Atak typu man-in-the-middle (MITM) ma miejsce, gdy osoba przechwytuje komunikację pomiędzy dwoma komputerami, na przykład laptopem a zdalnym serwerem. Taki intruz może monitorować, a nawet przechwytywać dane przesyłane pomiędzy tymi urządzeniami, co stwarza zagrożenie dla prywatności i bezpieczeństwa informacji.
Ataki MITM są poważnym zagrożeniem w zakresie bezpieczeństwa. Oto kluczowe informacje, które warto poznać oraz metody ochrony przed nimi.
Dwie firmy, trzy to tłum
Interesującą cechą ataków MITM jest to, że atakujący nie musi mieć fizycznego dostępu do twojego urządzenia. Może wystarczyć, że znajduje się w tej samej sieci, co ty, i w niepostrzegalny sposób przechwytuje dane. Co więcej, atakujący może stworzyć własną sieć, zmuszając cię do korzystania z niej.
Najłatwiejszym sposobem na przeprowadzenie takiego ataku jest korzystanie z niezabezpieczonej, publicznej sieci Wi-Fi, na przykład w kawiarniach czy na lotniskach. Osoba atakująca może zalogować się do takiej sieci i użyć dostępnych narzędzi, takich jak Wireshark, aby przechwycić wszystkie przesyłane pakiety danych, a następnie analizować je w poszukiwaniu cennych informacji.
Jednakże z powodu powszechnego stosowania protokołu HTTPS, który zapewnia szyfrowane połączenia, skuteczność takich ataków znacznie spadła. Atakujący nie jest w stanie odszyfrować danych przesyłanych między dwoma urządzeniami, jeśli korzystają one z HTTPS.
Niemniej jednak, sam HTTPS nie jest rozwiązaniem idealnym. Istnieją metody, które atakujący mogą zastosować, aby obejść to zabezpieczenie.
W ataku MITM intruz może spróbować nakłonić urządzenie do „obniżenia” poziomu zabezpieczeń, zmieniając połączenie z szyfrowanego na nieszyfrowane, co pozwala mu monitorować ruch między komputerami.
Innym przykładem jest atak „stripping SSL”, polegający na tym, że intruz przechwytuje i ewentualnie modyfikuje dane w zaszyfrowanym połączeniu, zanim przekaże je do niczego niepodejrzewającego użytkownika.
Ataki sieciowe i fałszywe routery bezprzewodowe
Ataki MITM mogą również występować na poziomie sieci. Jedna z metod, znana jako ARP poisoning, polega na przypisaniu adresu MAC atakującego do adresu IP innej osoby. Jeśli atak się powiedzie, wszystkie dane kierowane do ofiary będą trafiać do intruza.
Innym sposobem jest spoofing DNS. DNS pełni rolę „książki telefonicznej” internetu, łącząc łatwe do zapamiętania nazwy domen z adresami IP. Dzięki tej technice atakujący może przekierować właściwe zapytania do fałszywej strony, którą kontroluje, co umożliwia mu przechwytywanie danych lub wprowadzanie złośliwego oprogramowania.
Można także stworzyć fałszywy punkt dostępu lub umieścić komputer pomiędzy użytkownikiem a routerem lub zdalnym serwerem.
Często ludzie są zbyt ufni, łącząc się z publicznymi hotspotami Wi-Fi. Widząc informacje o „darmowym Wi-Fi”, nie zastanawiają się nad potencjalnym zagrożeniem, jakie może wiązać się z taką siecią. Przykłady takich sytuacji udowadniają, że często nie czytają regulaminów, które mogą być absurdalne, jak na przykład wymaganie czyszczenia brudnych toalet festiwalowych lub podpisania umowy o oddanie swojego pierworodnego dziecka.
Tworzenie fałszywego punktu dostępu jest prostsze, niż można by przypuszczać. Istnieją nawet urządzenia, które umożliwiają przeprowadzenie takiego ataku, choć są one z reguły wykorzystywane przez specjalistów ds. bezpieczeństwa do testowania zabezpieczeń.
Nie można również zapominać, że routery są komputerami, które często mają słabe zabezpieczenia. Często używane są te same domyślne hasła, co stwarza ryzyko. Ponadto, dostęp do aktualizacji dla wielu z nich jest ograniczony. Możliwe jest także wstrzyknięcie złośliwego kodu do routera, co umożliwia zdalne przeprowadzenie ataku MITM.
Złośliwe oprogramowanie i ataki typu Man-in-the-Middle
Jak już wspomniano, atakujący może przeprowadzić atak MITM bez potrzeby fizycznej obecności w pobliżu ofiary, korzystając z złośliwego oprogramowania.
Atak typu man-in-the-browser (MITB) ma miejsce, gdy przeglądarka internetowa zostaje zainfekowana złośliwym oprogramowaniem. Może to być spowodowane instalacją fałszywego rozszerzenia, które umożliwia atakującemu uzyskanie niemal pełnego dostępu do danych użytkownika.
W takim przypadku intruz może zmodyfikować wyświetlaną stronę, aby wyglądała inaczej niż oryginał. Może także przejąć aktywne sesje na stronach internetowych, takich jak banki czy portale społecznościowe, aby rozprzestrzeniać spam lub kradnąć środki finansowe.
Jednym z przykładów jest Trojan SpyEye, który był używany jako keylogger do kradzieży danych logowania do różnych witryn. Może on również modyfikować formularze, dodając nowe pola, co prowadzi do przechwytywania jeszcze większej ilości danych osobowych.
Jak się chronić
Na szczęście istnieją skuteczne metody ochrony przed tego typu atakami. Jak w przypadku większości zabezpieczeń w sieci, kluczowa jest nieustanna czujność. Staraj się unikać korzystania z publicznych hotspotów Wi-Fi i korzystaj z sieci, które sam kontrolujesz, jak mobilny punkt dostępowy czy Mi-Fi.
Alternatywnie, korzystanie z VPN pozwala na szyfrowanie całego ruchu między twoim komputerem a internetem, co chroni przed atakami MITM. Warto jednak pamiętać, że bezpieczeństwo zależy także od dostawcy VPN, dlatego warto wybierać usługi zaufane. Czasami warto zainwestować w droższą usługę, aby mieć pewność, że jest bezpieczna. Jeśli twój pracodawca oferuje VPN podczas podróży, korzystaj z tej możliwości.
Aby zabezpieczyć się przed atakami MITM związanymi z złośliwym oprogramowaniem, warto dbać o higienę bezpieczeństwa. Unikaj instalacji aplikacji lub rozszerzeń z nieznanych źródeł, wylogowuj się z sesji po ich zakończeniu i zainstaluj solidny program antywirusowy.
newsblog.pl