Атаки типу Man-In-The-Middle: що треба знати кожному

Кіберзлочинність сьогодні поширена в різних формах, але однією з найстаріших і найнебезпечніших є атака типу Man-In-The-Middle (MITM). Дослівно це перекладається як «людина посередині», тобто коли злочинець виступає в ролі посередника при передачі інформації. Цей тип кіберзлочину є розповсюдженим та руйнівним. Пропонуємо ознайомитися з основними фактами про MITM та способами захисту від цієї атаки.

Підслуховування, підробка та перехоплення повідомлень – це злочини, що відомі вже тисячі років. Будь-яка інформація, окрім тієї, що міститься у нашому мозку, може стати доступною іншим людям, і не всі вони мають гарні наміри стосовно вас.

І хоча перехоплення та підміна конфіденційних даних напевно траплялася ще в доісторичні часи, саме поява інтернету надала для такого типу атак більше можливостей, ніж раніше. Тепер у злочинців є чимало варіантів, як запустити «свою руку» у приватні комунікації.

Що таке атака «людина по середині»?

Суть атаки man-in-the-middle доволі проста: злочинець таємно перехоплює трафік з одного комп’ютера та відправляє його кінцевому одержувачу, попередньо прочитавши та змінивши на свою користь.

Атаки MITM надають злочинцю можливість робити такі дії як підміна криптовалютного гаманця для викрадення коштів, перенаправлення браузера на шкідливий веб-сайт або ж просто пасивний збір інформації з метою її подальшого злочинного використання.

Кожного разу, коли третя сторона перехоплює інтернет-трафік, це можна ідентифікувати як атаку MITM. Такі дії зовсім неважко зробити злочинцеві навіть без належної автентифікації. Наприклад, загальнодоступні мережі Wi-Fi є гарним джерелом для MITM, оскільки ні маршрутизатор, ні підключений комп’ютер не перевіряють її ідентичність.

Схематичний принцип атаки типу Man-In-The-Middle

Схематичний принцип атаки типу Man-In-The-Middle

У випадку публічної атаки через мережу Wi-Fi зловмисник повинен перебувати поблизу та під’єднатися до тієї самої мережі, або ж просто мати комп’ютер в мережі, здатний перехоплювати трафік. Не всі атаки MITM вимагають, щоб зловмисник фізично знаходився поруч зі своєю жертвою, оскільки існує велика кількість штамів зловмисного програмного забезпечення, яке здатне викрасти трафік та підмінити інформацію в будь-якому місці, де є можливість інфікувати комп’ютер жертви.

Боротьба з атаками MITM вимагає використання певної форми автентифікації кінцевої точки, наприклад TLS або SSL, яка застосовує ключ ідентифікації, що в ідеалі не може бути підробленим. Слід зазначити, що методи автентифікації стають все більш сильними, що веде до наскрізного шифрування деяких систем.

Двофакторний метод автентифікації є одним з прикладів підвищеного захисту проти атак MITM. Паролі стають все менш надійними способами захисту облікових записів та систем, тож додавання другого фактора, такого як апаратний ключ, додатковий пароль чи певний PIN-код, що вводиться окремо від основного пароля, значно ускладнює перехоплення трафіку або злам шифру для зловмисника. Це не означає, що шифровані дані неможливо зламати – хакерам часто вдається підробити сертифікат і видавати фальшиві веб-ресурси за офіційні банківські веб-сайти або портали входу, які вони використовують для крадіжки інформації.

Атаки MITM є чудовим прикладом перегонів озброєнь в кібербезпеці: як тільки буде зламана нова форма шифрування, розробники запропонують новий тип захисту, який, в свою чергу, з часом також буде зламано.

Найвідоміші приклади атак «людина посередині»

Найбільш знаменита атака типу МІТМ, що, правда, відбулась задовго до появи комп’ютера та інтернету, мала назву План Бабінгтона.

У 1568 році прихильники ув’язненої королеви Шотландії Марії Стюарт написали їй зашифрований лист з проханням підтримати замах на королеву Британії Єлизавету І. Відповідь Марії була перехоплена агентами Єлизавети, які змінили лист таким чином, ніби Марія просить змовників ідентифікувати себе. Конспіратори відповіли на лист, вклавши перелік імен всіх змовників. Цей лист знову був перехоплений «людиною посередині», що призвело надалі до страти Марії та її прибічників.

Зразок шифрованого листування між між Бабінгтоном та Марією Стюарт

Зразок шифрованого листування між Бабінгтоном та Марією Стюарт

Втім, сьогодні існує багато прикладів атак MITM вже на базі інтернету.

  • Агенція національної безпеки США (NSA) використала свою здатність перехоплювати трафік і підробляти сертифікати SSL, внаслідок чого отримала можливість робити закладки в потенційно будь-які пошукові запити Google. Ця атака була розкрита в 2013 році, коли Едвард Сноуден опублікував секретні документи NSA.
  • Comcast був спійманий на ін’єкції Java-скриптів у свій веб-трафік, що дозволяло провайдеру показувати власні рекламні ролики замість тих, які розміщали сторонні сайти.
  • Нещодавно виявилося, що Superfish, програмна утиліта типу adware, сканує SSL-трафік та встановлює сертифікати, які дозволяють їй перехоплювати та перенаправляти захищений трафік.
  • Дефект в банківських додатках на смартфонах Android відкрив наявність десятків програм, здатних виконувати атаки типу MITM.

Існує ще багато прикладів MITM-атак, але треба запам’ятати одне – атаки MITM були, є і будуть, поки існує інтернет.

На кого полюють кіберзлочинці за допомогою атаки «людина посередині»?

Будь-яка особа або організація може стати об’єктом нападу МІТМ, але більшість цих злочинів має спільну мету: фінансова вигода. Банки та банківські додатки є популярними цілями для атак MITM, тому хакери намагаються інтегрувати зловмисний код на цільовий сайт, який здатний перехопити легітимний трафік.

Це не означає, що злочинцям цікаві лише фінансові установи: будь-яка інформація, що здатна принести прибуток злочинцю, може бути привабливою для нього. Сюди входять облікові записи соціальних мереж, облікові дані інтернет-магазинів, конфіденційні бази даних, тощо.

Інтернет речей (IoT) стає все більш популярною метою для атак типу MITM, оскільки число пристроїв зростає швидко, і технології безпеки просто не встигають за ними. IoT-пристрої також потенційно можуть надсилати великі обсяги особистої інформації про індивідуальних користувачів та компаній, що робить викрадення трафіку перспективною справою для кіберзлочинців.

Корпорації, що працюють з технологією Industrial Internet of Things (IIoT), стикаються з особливим ризиком з боку атак MITM з причини слабкого захисту конфіденційної інформації, до якої мають доступ машини IIoT. Атака типу MITM на системи IIoT може призвести до зупинки виробництва, маніпуляцій з продуктом, що виготовляється, з метою зробити його менш якісним чи безпечним, а також до викрадення пропрієтарної інформації, яку використовують машини IIoT у виробничому процесі.

Коротко кажучи, кожен, хто передає конфіденційну інформацію через інтернет, є потенційною мішенню MITM, хоча атаки на банківський сектор є найбільшою загрозою через величезний обсяг шкоди, яку вони здатні зробити.

Типи атак «людина посередині»

Нижче  перелічені основні типи атак Man-in-the-middle.

  • Фальшиві точки доступу – це точки бездротового доступу, які були встановлені в захищеній мережі без відома адміністратора локальної мережі. Вони використовуються для приєднання комп’ютерів, що налаштовані на автоматичне підключення до Wi-Fi. Фактично комп’ютер «вважає», що підключений до легітимної мережі, а насправді це точка доступу, яка належить шахраям. Такій підхід дозволяє їм контролюють трафік та викрадати конфіденційну інформацію.
  • Address resolution spoofing – різновид мережевої атаки, що застосовується в мережах з використанням протоколу ARP. Атака основана на можливості створення «фальшивого об’єкта обчислювальної системи». Оскільки протокол ARP містить вразливості, злошкідливий вузол в локальній мережі може оголосити себе легітимним вузлом (наприклад, маршрутизатором), і надалі активно перехоплювати мережевий трафік.
  • mDNS spoofing – одна з форм зламу комп’ютерних мереж. Ось як це працює: клієнт з підтримкою протоколу mDNS (Multicast DNS) виконує запит mDNS на групову адресу (в локальній мережі). Усі клієнти, які прослуховують цю адресу, у відповідь повідомляють їхні імена. Але якщо в мережі є два клієнти з однаковим ім’ям, то «виграє» той, який першим повідомить своє ім’я. Наприклад, якщо ви хочете надрукувати текст через текстовий редактор, шукаючи вузол printer.local, то зловмисники можуть легко відправити відповідь на цей запит DNS з підробленою відповіддю, яка накаже шукати принтер за іншою IP-адресою. Таким чином, кіберзлочинці отримують можливість перехопити інформацію.
  • DNS spoofing зазвичай використовуються для того, щоб змусити інтернет-користувачів підключатися до фальшивих веб-сайтів, створених таким чином, щоб вони виглядали як справжні. Цей метод є загальноприйнятим у випадках онлайн-фроду та інших атак, пов’язаних з викраденням облікового запису.

Як запобігти атакам типу man-in-the-middle?

Захист від атак типу MITM вимагає кількох дій, кожна з них має важливе значення.

  • Не дозволяйте комп’ютерам або мобільним пристроям автоматично підключатися до Wi-Fi-мереж, переконайтеся, що вони підключаються тільки до відомих та перевірених мереж Wi-Fi.
  • Переконайтеся, що всі точки доступу, які ви контролюєте, захищені та зашифровані. Зловмисники, які покладаються на фізичну близькість для проведення атак MITM, повинні бути ізольовані від вашої мережі за допомогою надійних засобів безпеки.
  • Якщо ви підключаєтеся до невідомої або загальнодоступної мережі Wi-Fi, обов’язково використовуйте VPN-канал для захисту вашого трафіку.
  • Ніколи не надсилайте конфіденційну інформацію на веб-сайт, який не використовує захищений протокол HTTPS (URL-адреса сайту починається з https: //).
  • Додайте другий спосіб автентифікації до всіх облікових записів, які підтримують таку технологію.
  • Будьте обережні щодо будь-яких електронних листів, в яких вам пропонується перейти по веб-посиланню на інший сайт. Якщо ви не впевнені в легальності електронного листа, перейдіть до відповідного веб-сайту вручну, не використовуючи посилання, що надійшло до електронної пошти. Також можна спробувати зв’язатися з організацією, якій належить цей сайт, щоб дізнатись, наскільки легітимним був отриманий електронний лист.
  • Переконайтеся, що операційна система на комп’ютерах своєчасно оновлюється, щоб запобігти нападам MITM, які використовують вразливості ОС.
  • Встановіть найновішу антивірусну програму та переконайтесь, що вона налаштована на регулярну перевірку комп’ютера.

І хоча навіть такі засоби не зможуть вас назавжди захистити від атаки MITM або інших кібератак, це, як мінімум, значно зменшить кіберризики та переконає злочинців, що вони лише змарнують час, якщо спробують вас атакувати.

ЧИТАЙТЕ ТАКОЖ:

Джерело: TechRepublic