Атака человек посередине кратко

Обновлено: 05.07.2024

Данная атака направлена на обход взаимной аутентификации или отсутствие таковой и может увенчаться успехом только тогда, когда злоумышленник имеет возможность выдать себя за каждую конечную точку либо оставаться незамеченным в качестве промежуточного узла. Большинство криптографических протоколов включает в себя некоторую форму аутентификации конечной точки специально для предотвращения MITM-атак. Например, TLS может выполнять проверку подлинности одной или обеих сторон с помощью взаимно доверенного центра сертификации .

Это из википедии, а теперь на практике

Взлом TG человека, который подключен к тому же WIFI, что и вы. С помощью вашего телефона на андроид.

Украсть личную информацию можно разными способами. Например, став невидимым звеном между жертвой и сервером.

Целью большинства атакующих ваш компьютер, вне зависимости от требуемого в конечном итоге результата, является кража пользовательских данных. Это одинаково верно как для простых пользователей, так и для крупных веб-ресурсов или баз данных, подвергающихся атаке. Методы могут быть разными, но цель всегда одна.

В большинстве случаев нападавшие сначала попытаются установить вредоносное ПО на компьютерах пользователей, так как это самый короткий маршрут между ними и вашими данными. Но если это невозможно по каким-либо причинам, другой популярный метод компромиентации системы – «человек посередине«. Как следует из названия, этот вектор атаки предполагает, что атакующий ставит себя или свои вредоносные инструменты между жертвой и целевым ресурсом, как то: сайт, банковский или почтовый ящик. Эти нападения могут быть весьма эффективными и довольно трудно обнаруживаемыми, особенно для пользователей, которые не знают о такой опасности.

Варианты MITM-атаки

Защита

Есть несколько эффективных средств защиты от MITM-атак, но почти все они используются либо в самом маршрутизаторе, либо на серверах, к которым обращается потенциальная жертва. При этом самой жертве невдомек, на настоящем она сервере либо это подделка, подставленная злоумышленником. Одним из способов защиты от такой атаки является использование стойкого шифрования между клиентом и сервером. В таком случае сервер может идентифицировать себя посредством предоставления цифрового сертификата, после чего между пользователем и сервером устанавливается шифрованный канал для обмена конфиденциальными данными. Но в этом случае возникает зависимость от самого сервера и выбора им метода шифрования.

Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.

Содержание

Принцип атаки

Пример атаки

Сценарии атаки

Обмен открытыми ключами

Внедрение вредоносного кода

Downgrade Attack

SSH V1 вместо SSH V2

IPsec

Атакующий может вынудить свою жертву повторить этап согласования параметров PPTP сессии (послать Terminate-Ack-пакет), выкрасть пароль из существующего туннеля и повторить атаку.

Спасёт ли шифрование?

Обнаружение MITM-атаки

• IP-адрес сервера
• DNS-сервер -сертификат сервера
  • Подписан ли сертификат самостоятельно?
  • Подписан ли сертификат CA?
  • Был ли сертификат аннулирован?
  • Менялся ли сертификат недавно?
  • Получали ли другие клиенты в интернете такой же сертификат?

  Реализации MITM-атаки

  Пример в литературе

  
  

  В этой статье мы попытаемся выяснить теорию атак посредника и некоторые практические моменты, которые помогут предотвратить эти типы атак. Это поможет нам понять тот риск, который несут подобные вторжения для нашей личной жизни, так как MitM-атаки позволяют вторгаться в коммуникации и прослушивать наши разговоры.

  Понимание того, как работает интернет

  Рисунок 1. Взаимодействие клиент—сервер

  
  

  Обеспечение безопасности протокола связи

  Безопасный протокол связи должен иметь каждое из следующих свойств:

  Если хоть одно из этих правил не соблюдено, весь протокол скомпрометирован.

  Злоумышленник может легко осуществить атаку посредника, используя технику, называемую ARP-спуфинг. Любой в вашей сети Wi-Fi может послать вам поддельный ARP-пакет, из-за него вы неосознанно будете посылать весь ваш трафик через злоумышленника вместо маршрутизатора.

  После этого злоумышленник получает полный контроль над трафиком и может отслеживать запросы, посылаемые в обе стороны.

  Рисунок 2. Схема атаки посредника

  
  

  Атака посредника на плохо реализованный SSL

  Рисунок 3. Перехват и модификация запроса

  
  

  Рисунок 4. Схема работы HSTS

  
  

  Рисунок 5. Схема атаки при HSTS

  
  

  Для предотвращения таких атак современные браузеры вроде Chrome, Firefox и Tor отслеживают сайты, использующие HSTS и устанавливают с ними соединение со стороны клиента по SSL в принудительном порядке. В этом случае злоумышленнику, проводящему атаку посредника, придется создавать SSL-соединение с жертвой.

  Рисунок 6. Схема атаки, где злоумышленник устанавливает SSL-соединение с жертвой

  
  

  Для того чтобы обеспечить SLL-соединение с пользователем, злоумышленник должен знать, как действовать в качестве сервера. Давайте разберемся в технических аспектах SSL.

  Понимание SSL

  С точки зрения хакера, компрометирование любого протокола связи сводится к тому, чтобы найти слабое звено среди перечисленных выше компонентов (приватность, аутентичность и целостность).

  SSL использует асимметричный алгоритм шифрования. В симметричном шифровании проблема заключается в том, что для шифрования и дешифрования данных используется один и тот же ключ, такой подход недопустим для интернет-протоколов, поскольку злоумышленник может проследить этот ключ.

  Асимметричное же шифрование включает в себя 2 ключа для каждой стороны: открытый ключ, используемый для шифрования, и конфиденциальный ключ, используемый для дешифрования данных.

  Рисунок 7. Работа публичного и конфиденциального ключей

  
  

  Как SSL обеспечивает три свойства, необходимые для безопасной связи?

  1. Поскольку для шифрования данных используется асимметричная криптография, SSL обеспечивает приватное соединение. Это шифрование не так уж легко взломать и остаться незамеченным.
  2. Сервер подтверждает свою легитимность, посылая клиенту SSL-сертификат, выданный центром сертификации — доверенной третьей стороной.

  Если злоумышленнику каким-либо образом удастся заполучить сертификат, он может создать условия для атаки посредника. Таким образом, он создаст 2 соединения — с сервером и с жертвой. Сервер в этом случае думает, что злоумышленник — это обычный клиент, а у жертвы нет возможности идентифицировать злоумышленника, поскольку тот предоставил сертификат, доказывающий, что он сервер.

  Рисунок 8. Схема атаки при наличии у злоумышленника сертификата

  
  

  Сертификат не обязательно должен быть подделан, если у злоумышленника есть возможность скомпрометировать браузер жертвы. В этом случае он может вставить самостоятельно подписанный сертификат, который будет доверенным по умолчанию. Так и реализовываются большинство атак посредника. В более сложных случаях хакер должен пойти другим путем — подделать сертификат.

  Проблемы центров сертификации

  Отправляемый сервером сертификат выдан и подписан центром сертификации. В каждом браузере есть список доверенных центров сертификации, и вы можете добавлять или удалять их. Проблема здесь заключается в том, что если вы решите удалить крупные центры, вы не сможете посещать сайты, использующие подписанные этими центрами сертификаты.

  На сегодняшний день существует более 650 организаций, способных выдавать сертификаты. Если злоумышленник взломает любую из них, он заполучит любые сертификаты, которые пожелает.

  Даже когда существовал всего один центр сертификации, VeriSign, бытовала проблема — люди, которые должны были предотвращать атаки посредника, продавали услуги перехвата.

  Также многие сертификаты были созданы благодаря взлому центров сертификации. Различные приемы и трюки использовались, чтобы заставить атакуемого пользователя доверять мошенническим сертификатам.

  Криминалистика

  Поскольку злоумышленник отправляет поддельные пакеты ARP, нельзя увидеть его IP-адрес. Вместо этого нужно обращать внимание на MAC-адрес, который является специфическим для каждого устройства в сети. Если вы знаете MAC-адрес вашего маршрутизатора, вы можете сравнить его с МАС-адресом шлюза по умолчанию, чтобы выяснить, действительно ли это ваш маршрутизатор или злоумышленник.

  Например, на ОС Windows вы можете воспользоваться командой ipconfig в командной строке (CMD), чтобы увидеть IP-адрес вашего шлюза по умолчанию (последняя строка):

  Рисунок 9. Использование команды ipconfig

  
  

  Затем используйте команду arp –a для того, чтобы узнать MAC-адрес этого шлюза:

  Рисунок 10. Использование команды arp –a

  
  

  Но есть и другой способ заметить атаку — если вы отслеживали сетевую активность в то время, когда она началась, и наблюдали за пакетами ARP. Например, можно использовать Wireshark для этих целей, эта программа будет уведомлять, если MAC-адрес шлюза по умолчанию изменился.

  Примечание: если атакующий будет правильно подменять MAC-адреса, отследить его станет большой проблемой.

  Вывод

  SSL — протокол, заставляющий злоумышленника проделать огромную работу для совершения атаки. Но он не защитит вас от атак, спонсируемых государством или от квалифицированных хакерских организаций.

  Задача пользователя заключается в том, чтобы защитить свой браузер и компьютер, чтобы предотвратить вставку поддельного сертификата (очень распространенная техника). Также стоит обратить внимание на список доверенных сертификатов и удалить те, кому вы не доверяете.

  Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

  Читайте также:

    
  • Ю весняк биография кратко
    
  • Притоки реки лена кратко
    
  • Эргономика зинченко кратко и понятно
    
  • Жанна дарк мифы и реальность кратко
    
  • Значение средних веков в истории человечества кратко