Mis on keskkõrvarünnak ja kuidas ma saan seda vältida?

Mees keskmises rünnakusInimeste keskel (MitM) rünnakud on olnud aegade algusest peale. Põhimõte on lihtne – paha poiss paneb end kahe osapoole vahelise vestluse keskele ja edastab üksteise sõnumeid, ilma et kumbki osapool oleks kolmandast isikust teadlik. Interneti-kontekstis tähendab see, et keskerakondlastel on võimalus lugeda kõike, mille kumbki osapool on saatnud, ja seda ka muuta.


Kuidas keskmises rünnakus mees töötab?

Juba päevi viitas fraas keskel sõna otseses mõttes olevale inimesele. Kindral Bob saadab oma käskjala hobusel, et öelda kolonel Alice’ile vasakpoolne külg. Lady Mallory, keset kurja (häda) meest, suunaks selle käskjala edasi ja varastaks selle sõnumi. Seejärel vahetas ta sõnumi kolonel Alice’ile, juhendades teda tagasi kukkuma, ja saadab kindral Bobile vastuse, tunnistades algsed kaasnevad korraldused. Vahetult pärast seda kaotab kindral Bob sõja taktikalises hämmingus, sest tema vasakpoolne külg oli täiesti kaitsmata.

Interneti MitM-i rünnakud on samal kujul. Tavaline MitM-i rünnak on Mallory jaoks võltsitud traadita pääsupunkti seadistamine avalikus kohas; näiteks kohvik. Ta annab võltsitud pääsupunktile õigustatud kõlava nime, näiteks „kohvipood-klient-tasuta-wifi” ja enne kui pikad kliendid hakkavad selle pääsupunktiga seaduslikuma asemel ühendust looma. Sel hetkel on Mallory lisanud end andmeedastusse teie seadme ja kogu Interneti vahel ning suudab kogu teie liikluse hõivata. Kui te ei kasuta krüptimist, tähendab see ka seda, et Mallory saab nüüd kogu teie liiklust lugeda ja seda potentsiaalselt muuta.

Selle pealtkuulamise mõned võimalikud tulemused on järgmised:

Sessiooni kaaperdamine: Kaaluge juhtumit, kus kasutate e-posti saatmiseks veebimeili. Kui olete oma veebimeili sisse loginud, haaras Mallory teie brauserisse saatmise ajal autentimisküpsise koopia ja nüüd saab ta seda küpsist kasutada ka teie veebimeilile juurdepääsuks.

Märkus: eelmistes artiklites olen kirjeldanud, kuidas veeb tegelikult töötab, võrreldes sellega, kuidas meile öeldakse, et see töötab. Me ei logi veebisaitidele sisse. Pigem taotleb meie brauser veebisaiti, mis seejärel saadetakse meie kohalikule arvutisse. Seejärel sisestame oma sisselogimismandaadid, mis saadetakse veebisaidi serverisse. Kui mandaat on õige, vastab veebisait mingisuguse autentimisloaga, tavaliselt küpsisega. Kui esitame oma arvutist täiendavaid päringuid, saadetakse küpsis koos nende päringutega nii, et veebisait teaks, kes me oleme, ega pane meid iga kord sisse logima, kui tahame teisele lehele minna. See küpsis on tundlik märk ja varastamise korral on see väärtuslik.

Replay rünnak: Mallory saab sooritada kordusrünnaku. Kuna tal on kõik teie andmed, on teie tehtud tööd võimalik uuesti korrata. Näiteks kui olete oma sõbrale üle kandnud 100 Runescape’i krediiti, võib algsest ülekandest koosnevate pakettide uuesti saatmine põhjustada uue ülekande ja teil on nüüd 200 krediiti.

Muudetud sisu: Tagasi veebimeili näite juurde, ehk juhendate oma advokaati kinni pidama hiljutise juriidilise tehingu raha. Kuna Malloryl on kõik pakid, mis sisaldavad seda e-kirja, saab ta sõna “kinni pidada” sõnaks “vabastada” ja tekitada igasugu segadust. See on populaarne MitM-i rünnakute tüüp, mida oleme näinud Kodi meediumikeskuse lisarünnakutes, ja see on ka väljamõeldud rünnak, mida Mallory kasutas kindral Bobi alandamiseks..

Puudub sisu: Muudetud sisu teine ​​variant on põhjustada sisu täielik kadumine. Võibolla ootate mingit signaali, et midagi teha. Mallory saab olla kindel, et seda kunagi ei saabu.

Millised kaitsed on olemas, et Inimene keset rünnakuid ära hoida?

Hoolimata nende rünnakute lõpututest viisidest, on ikka ja jälle ära kasutatud vaid mõnda asja. MitM rünnakute eest kaitsmiseks peavad olema olemas järgmised tingimused:

Tagasilükkamine: Sõnum tuli inimeselt või seadmest, kelle sõnul see tuli.

Sõnumi terviklikkus: Sõnumit ei ole muudetud, kuna see jättis saatja kontrolli alla

Pidage meeles, et sõna „teade” kasutatakse üldjoontes paljudele mõistetele, näiteks terviklikele meilidele või andmepakettidele, mis asuvad allpool virna. Kehtivad samad mõisted, sõltumata andmete tüübist.

MitM-i rünnaku ohvriks sattumise vältimiseks on järgmised viisid:

Kasutage võimaluse korral HTTPS-i

HTTPS-i ribareklaam

HTTPS-i nägemine oma brauseri aadressiribal tagab, et teie ühendus veebisaidiga on krüptitud. See ei tähenda, et peaksite seda veebisaiti rohkem kui ühte teist usaldama, see tähendab lihtsalt seda, et teie andmed krüptitakse, kui nad seadme ja saidi vahel liiguvad. Pahatahtlikud veebisaidid võivad mängida teile rolli MitM-i rünnaku seadistamisel, nii et tasub olla ettevaatlik iga külastatud veebisaidi suhtes, et veenduda, kas selle seadusega alustamine on seaduslik.

HTTPS kasutab transpordikihi turvalisust (TLS).

Märkus. TLS-i nimetatakse peaaegu üldiselt valesti SSL-i (Secure Sockets Layer). SSL on TLS-i eelkäija, kuid nimi näib olevat takerdunud.

TLS ja HTTP töötavad koos HTTPS-iga, mis pakub krüptimist ja tagasilükkamist. Kui teie brauser ühendub esmakordselt HTTPS-saidiga, peab see serveriga läbirääkimisi. Selle protsessi käigus uurib brauser serveri sertifikaati, et kinnitada, et see loob ühenduse arvatava saidiga (tagasilükkamine) ja genereerib ka seansi krüptimisvõtmete komplekti. Neid võtmeid kasutatakse kogu järgneva seansi jooksul andmete krüptimiseks, mis omakorda tagab sõnumi terviklikkuse.

Selleks, et Mallory saaks serverist teile saadetavaid andmeid edukalt muuta, peaksid tal olema nii brauseri kui ka serveriseansi võtmed, millest kumbagi ei edastata kunagi. See tähendab, et tal peaks olema kontroll nii kliendi kui ka serveri üle ning sellisel juhul poleks vaja esiteks MitM-i rünnakut paigaldada..

Seal on brauseri pistikprogrammid, mis sunnivad teie brauserit kasutama HTTPS-i, kui see on saidil saadaval. Kuna paljud saidid toetavad HTTPS-i, kuid pole tingimata konfigureeritud sundima brausereid seda kasutama, võivad sellised pistikprogrammid palju aidata.

Kasutage brauserit, mis toetab avaliku võtme kinnitamist

Mõned MitM-i rünnakud võivad olla väga keerulised. Kuna suur osa kaitsest tuleneb TLS-ist ja krüptimisest ning kuna krüptimist on raske lahti saada, võib edasijõudnutele ründajatel olla lihtsam veebisaiti jäljendada. Näiteks usaldavad brauserid TLS-sertifikaate, kuna neile on alla kirjutanud sertifikaadiasutused (CA), mida brauser usaldab. Kui Mallory ohustab CA-d edukalt, võib ta väljastada kehtivad sertifikaadid igale domeenile, mida veebibrauserid usaldavad. Kui Mallory saab õigustatud veebisaidil edukalt imiteerida, on ainus järelejäänud väljakutse saada kasutajatel seda saiti tavaliste andmepüügitehnikate abil külastada.

See juhtus 2011. aastal, kui Hollandi CA DigiNotar sattus ohtu ja loodi sertifikaadid, et meelitada suurt hulka Iraani Gmaili kasutajaid loobuma oma Google’i kasutajanimedest ja paroolidest.

HTTP avaliku võtme kinnitamine (HPKP) on meetod, mille abil veebisaitide omanikud saavad brauseritest teada anda, milliseid avalikke võtmeid veebisait kasutab. Kui brauser külastab seda saiti ja kuvatakse mõni muu avalik võti, mida loendis ei ole, tähendab see, et sait või vähemalt TLS-sertifikaat pole kehtiv.

Kinnituse peab tegema serveri omanik, kuid saate end kasutajana kaitsta brauseri abil, mis toetab avaliku võtme kinnitamist. Alates sellest kuupäevast toetavad seda Firefox (versioon 32), Chrome (versioon 56) ja Opera (33); Internet Explorer ja Edge seda ei tee. Firefoxi seade on umbes järgmine: konfiguratsioon nimega security.cert_pinning.enforcement_level; 1, mis võimaldab teil HPKP keelata, kuid miks te seda teeksite? Kui soovite testida, kas teie brauser toetab HKPK-d, külastage seda HPKP-testi URL-i. See esitab HPKP päised ja kehtetu avaliku võtme. Kui teie brauser toetab HPKP, kuvatakse sellel tõrketeade.

Kasutage virtuaalset privaatvõrku (VPN)

VPN-i mosaiik

VPN loob krüptitud tunneli teie seadme ja VPN-serveri vahel. Kogu teie liiklus kulgeb selle tunneli kaudu. See tähendab, et isegi kui olete sunnitud kasutama mitte HTTPS-i saiti või isegi siis, kui teid on petetud kasutama pahatahtlikku wifi pääsupunkti, säilitate siiski teatud määral kaitse MitM-i vastu.

Mõelge, wifi pääsupunkti küsimus. Kui olete ühendatud Mallory võltsitud pääsupunktiga, näeb Mallory kogu teie liiklust. Kuna aga kogu teie liiklus on VPN-i kasutamisel krüptitud, on tal ainult hunnik loetamatuid krüptitud plekke, mis pakuvad väga vähe andmeid. VPN-i kasutamine kogu aeg on hea mõte, kuid selle kasutamine visandlikes olukordades, nagu näiteks avalik wifi, on kohustuslik.

Kasutage brauserit, mis toetab HTTP ranget transporditurvalisust (HSTS)

HTTPS on väga hea samm MitM-i rünnakute ärahoidmiseks veebis, kuid ka seal on potentsiaalne nõrkus. Selleks, et veebisaidi omanik sunniks külastajaid kasutama HTTPS-i, on kaks võimalust. Esimene on lihtsalt täielikult krüptimata HTTP-port 80 sulgeda. See tähendab, et inimesed, kes üritavad saidile jõuda kasutades http: //, ei saa midagi ja saidil on lihtsalt aeg. Enamik veebisaitide omanikke ei soovi, et nende külastajatel oleks selline negatiivne kogemus, mistõttu nad jätavad pordi 80 avatuks, kuid kasutavad seda ainult HTTP 301 ümbersuunamiskoodi saatmiseks, mis käsivad brauseritel minna https: //.

Praktikas see töötab hästi, kuid ründajal on võimalus selle ümbersuunamise ajal teostada madalama astme rünnak. Alamüürünnak võib sundida veebiserverit kasutama nõrgemaid krüptograafilisi šifreid, mis teeb hilisema MitM-i rünnaku lihtsamaks. HSTS-i kasutavad veebisaidid saadavad brauserisse päiseid juba esimese ühenduse loomise ajal, mis suunab brauserit kasutama HTTPS-i. Seejärel ühendab brauser olemasoleva seansi lahti ja loob uuesti ühenduse, kasutades HTTPS-i. Ehkki see võib tunduda väike erinevus, vähendab see tavalise HTTP rünnakvektorit HTTPS-i ümbersuunamiseks tunduvalt. Peaaegu kõik kaasaegsed brauserid toetavad HSTS-i, kuid turul on palju brausereid, nii et tasub kinnitada, et teie konkreetne brauser seda toetab.

Inelegantsed MitMi rünnakud

Samuti väärib märkimist, et mõned MitM-i rünnakud on üsna ebameeldivad ja põhilised. Näiteks võib Mallory ilma palju tehniliste teadmisteta üles seada kaks e-posti aadressi, mis vastavad Alice’ile ja Bobile täpselt ning seejärel alustada vestlust ühega neist, kes väidetavalt on teine. Kuna paljud e-posti kliendid näitavad ainult aadresside nimesid, mitte nende e-posti aadresse, töötab see tõrkeotsing sagedamini kui peaks. Seejärel saab Mallory kasutada mõlemat e-posti kasti ja jääda määramata ajaks vestluse keskele.

Parim kaitse seda tüüpi MitM-i rünnakute vastu on valvsus. Otsige märguande märke, näiteks ebatavalist keelt, ja hõljutage kursorit saatja e-posti aadressi kohal, et olla kindel, et see on seaduslik.

Näited teadaolevatest MitM-i rünnakutest

Olen juba puudutanud MitM-i wifi-sid ja kordusrünnakuid, kuid sellele, kuidas üldisi MitM-i tehnikaid rünnakuks kasutada, pole peaaegu mingit piirangut. Mis tahes protsess, millel on kaks või enam osapoolt suhtlemas (spoiler: see on kõik) on halval tüübil õige kraam, et ta end keskele süstiks.

ARP mürgistus: Aadresside eraldamise protokoll on IP-võrgu loomulik kangelane, mis tagab, et paketid jõuavad täpselt neile määratud võrgukaardile. Kui pakett siseneb sihtkoha LAN-i, peab ta teadma selle võrgukaardi meediumipöörduse juhtimise (MAC) aadressi, millele see on mõeldud. Selle teostab ARP, kellel on päring, mis küsib igalt kohtvõrgu arvutilt, kellel on paketi IP-aadress. Teoreetiliselt vastab sellele IP-aadressile määratud võrgukaart oma MAC-aadressiga ja pakett saadetakse kohale. Praktikas pole ARP-protokolli sisse ehitatud autentimist, nii et Mallory võiks vastata, et tal on see IP ja liiklus saadetakse talle. Sellest rünnakust heauskselt mitMM-i saamiseks peab ta lisaks tagama, et pakett edastatakse ka õigele MAC-aadressile.

Sadama varastamine: See on täiustatud rünnak, mida saab kasutada suuremates võrkudes, kus kasutatakse võrgulüliteid. Lülitid sisaldavad sisu adresseeritava mälu (CAM) tabelit, mis registreerib seosed tema poolt pakutavate võrgukaartide MAC-aadresside ja nende vastavate portide vahel. Kui muud turvaseadistust pole, siis ehitatakse ja ehitatakse CAM-tabel uuesti iga paketiga, mida lüliti näeb. Ründaja saab ohvri MAC-aadressiga paketti võltsida ja lüliti salvestab selle seose. See tähendab, et järgnevad ohvrile mõeldud pakid saadetakse ründajale.

MitMi rünnakuid on väga raske tuvastada ja selle vastu pole nn hõbekuulide kaitsemehhanisme. See suutmatus täielikult kaitsta MitM-i rünnakute eest tuleneb suuresti asjaolust, et rünnakute tüüpidele, mille pahe võib välja mõelda, pole peaaegu lõppu. Andmepaketi hankimine arvutist kusagil Internetis asuvasse serverisse hõlmab paljusid protokolle, paljusid rakendusi ja paljusid seadmeid, nagu ruuterid ja lülitid, mida kõiki on võimalik ära kasutada. Parim, mida teha saate, on muutuda „kõrgeks riputatavaks viljaks” ja astuda samme selleks, et raskendada MitM-i rünnaku ohvriks langemist. Enamik rünnakuid on suunatud suurele hulgale inimestele, et pakkuda suurimat eduvõimalust. Kui vastaspool teid konkreetselt ei suuna, peaksid selle artikli toimingud pakkuma head kaitset.

Samuti võite meeldidaVPNVõimaluste mõistmine VPN-i logimisest ja otsimispõhimõtetestVPN70 + levinumad Interneti-pettused, mida kasutavad küberkurjategijad ja petturidVPNKuidas nuhkvara tasuta eemaldada ja milliseid tööriistu kasutadaVPNKus on VPN-id legaalsed ja kus need on keelatud?

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me