Атака «людина посередині» (MITM) відбувається, коли хтось сидить між двома комп’ютерами (наприклад, ноутбуком і віддаленим сервером) і перехоплює трафік. Ця людина може підслуховувати або навіть перехоплювати зв’язок між двома машинами та красти інформацію.
Атаки «людина посередині» є серйозною проблемою безпеки. Ось що вам потрібно знати та як захистити себе.
Двоє компанія, троє натовп
«Краса» (за браком кращого слова) атак MITM полягає в тому, що зловмисник не обов’язково повинен мати доступ до вашого комп’ютера фізично чи віддалено. Він або вона може просто сидіти в одній мережі з вами і тихо споживати дані. MITM може навіть створити власну мережу і обманом обманом використовувати її.
Найочевидніший спосіб зробити це – сидіти в незашифрованій загальнодоступній мережі Wi-Fi, наприклад в аеропортах чи кафе. Зловмисник може увійти в систему і за допомогою безкоштовного інструменту, такого як Wireshark, захопити всі пакети, надіслані між мережею. Потім він чи вона могли проаналізувати та визначити потенційно корисну інформацію.
Цей підхід не приносить таких плодів, як колись, завдяки поширенню HTTPS, який забезпечує зашифровані з’єднання з веб-сайтами та службами. Зловмисник не може декодувати зашифровані дані, надіслані між двома комп’ютерами, які спілкуються через зашифроване з’єднання HTTPS.
Однак сам по собі HTTPS не є срібною кулею. Існують обхідні шляхи, які зловмисник може використати, щоб анулювати його.
Використовуючи MITM, зловмисник може спробувати обманом змусити комп’ютер «понизити» його з’єднання із зашифрованого до незашифрованого. Потім він чи вона може перевірити трафік між двома комп’ютерами.
Також може статися атака «вилучення SSL», коли особа перебуває між зашифрованим з’єднанням. Потім він або вона фіксує та потенційно змінює трафік, а потім передає його нічого не підозрює особі.
Мережні атаки та шахрайські бездротові маршрутизатори
Атаки MITM також відбуваються на рівні мережі. Один підхід називається ARP Cache Poisoning, при якому зловмисник намагається пов’язати свою MAC (апаратну) адресу з чужою IP-адресою. У разі успіху всі дані, призначені для жертви, передаються зловмиснику.
Спуфінг DNS є подібним типом атаки. DNS — це «телефонна книга» Інтернету. Він пов’язує читані людиною доменні імена, як-от google.com, із числовими IP-адресами. Використовуючи цю техніку, зловмисник може пересилати законні запити на фіктивний сайт, який він контролює, а потім захоплювати дані або розгортати зловмисне програмне забезпечення.
Інший підхід полягає у створенні шахрайської точки доступу або розміщенні комп’ютера між кінцевим користувачем і маршрутизатором або віддаленим сервером.
У переважній більшості люди занадто довірливі, коли справа доходить до підключення до загальнодоступних точок доступу до Wi-Fi. Вони бачать слова «безкоштовний Wi-Fi» і не зупиняються на думці, чи може за цим стоїть підлий хакер. Це було неодноразово доведено з комічним ефектом, коли люди не читають умови в деяких гарячих точках. Наприклад, деякі вимагають від людей цього чисті брудні святкові вбиральні або відмовитися від свого первістка.
Створити шахрайську точку доступу простіше, ніж здається. Існують навіть фізичні апаратні продукти, які роблять це неймовірно простим. Однак вони призначені для законних спеціалістів із інформаційної безпеки, які заробляють на життя тести на проникнення.
Крім того, не забуваймо, що маршрутизатори – це комп’ютери, які, як правило, мають жахливий захист. Ті самі паролі за замовчуванням, як правило, використовуються і повторно використовуються в цілих рядках, і вони також мають нерівний доступ до оновлень. Інший можливий шлях атаки – це маршрутизатор із шкідливим кодом, який дозволяє сторонній стороні здійснити атаку MITM здалеку.
Шкідливе програмне забезпечення та атаки «Людина посередині».
Як ми вже згадували раніше, противник цілком може здійснити атаку MITM, не перебуваючи в одній кімнаті або навіть на тому ж континенті. Один із способів зробити це – за допомогою шкідливого програмного забезпечення.
Атака «людина в браузері» (MITB) відбувається, коли веб-браузер заражений шкідливими засобами безпеки. Іноді це робиться через фальшиве розширення, яке дає зловмиснику майже безперешкодний доступ.
Наприклад, хтось може маніпулювати веб-сторінкою, щоб показати щось інше, ніж справжній сайт. Він або вона може також захопити активні сеанси на веб-сайтах, як-от банківські сторінки або сторінки в соціальних мережах, і поширювати спам або красти кошти.
Одним із прикладів цього було Троян SpyEye, який використовувався як кейлоггер для крадіжки облікових даних для веб-сайтів. Він також може заповнювати форми новими полями, дозволяючи зловмиснику отримати ще більше особистої інформації.
Як захистити себе
На щастя, є способи захистити себе від цих атак. Як і будь-яка онлайн-безпека, це зводиться до постійної пильності. Намагайтеся не використовувати загальнодоступні точки доступу Wi-Fi. Намагайтеся використовувати лише мережу, яку ви самі контролюєте, як-от мобільну точку доступу або Mi-Fi.
Якщо цього не зробити, VPN зашифрує весь трафік між вашим комп’ютером і зовнішнім світом, захищаючи вас від атак MITM. Звичайно, тут ваша безпека настільки висока, як і постачальник VPN, який ви використовуєте, тому вибирайте обережно. Іноді варто доплатити за послугу, якій можна довіряти. Якщо ваш роботодавець пропонує вам VPN, коли ви подорожуєте, вам обов’язково варто скористатися ним.
Щоб захистити себе від атак MITM на основі зловмисного програмного забезпечення (наприклад, «людина в браузері»), дотримуйтесь правил гігієни безпеки. Не встановлюйте програми або розширення для браузера з небажаних місць. Вийдіть із сеансів веб-сайту, коли ви закінчите свою роботу, і встановіть надійну антивірусну програму.