Атака Man In The Middle: «Человек посередине» чего?

Бизнес

Время от времени эксперты по безопасности выдумывают своеобразные и, казалось бы, самоочевидные термины, которые подхватывают все прочие (СМИ в том числе) и начинают использовать повсюду, не вдаваясь в объяснения того, что именно они означают.

Возьмите, к примеру, атаку «человек посередине» (Man-in-the-Middle, MITM). Вполне логично предположить, что она имеет какое-то отношение к подслушиванию. Наверное. Или нет? Давайте кто-нибудь, объясните уже. Для простых смертных! Ну же, кто?

Ну, ладно, давайте смотреть. Да, действительно это связано с подслушиванием. В частности, речь идет об «активной» прослушке, когда злоумышленник способен не только перехватывать данные, пересылаемые между отправителем и получателем, но и изменять их, поддерживая в обеих жертвах уверенность в том, что на линии они вдвоем, и данные остались нетронутыми.

Следующий пример является чисто теоретическим. Алиса связывается с Бобом, Боб отвечает, а плохая Мэллори способна шпионить за ними и прослушивать обоих. Или, скорее, принимать и передавать их сообщения друг другу. Алиса запрашивает ключ авторизации, и Боб посылает. Но получает его Мэллори, а потому она уже отправляет Алисе свой ключ. А Алиса все еще думает, что это ключ Боба.

Затем Алиса шифрует свои сообщения жульническим ключом и посылает зашифрованные данные… Бобу? Неправильный ответ. Они попадают к Мэллори; она может расшифровать информацию Алисы, прочесть ее, изменить, а затем зашифровать ключом Боба (который у нее по-прежнему имеется) и переслать Бобу. Боб получает мошеннические данные, полагая, что они от Алисы. Алиса также понятия не имеет, что ее информация до Боба так и не дошла.

800

Алиса пишет: «Можете ли вы встретиться со мной сегодня вечером? Надо обсудить пару идей». (Да, конечно, никто не собирается запускать безопасный канал, чтобы болтать о чем-то вроде этого, но, опять же, это всего лишь пример того, как подобные вещи происходят).

Мэллори перехватывает это сообщение и посылает Бобу следующее: «Можете ли вы одолжить мне пару сотен баксов, пожалуйста? Села на мель, нужно разобраться с делами, а свободных наличных прямо сейчас нет».

Боб отвечает: «Хм… Ладно. Как насчет встречи в 9 вечера в баре «У Гарри»? Я принесу деньги».

Мэллори перехватывает и изменяет сообщение, вырезав последнее предложение, затем передает его Алисе, продолжая свой ​​обмен репликами с Бобом:

«Это здорово, но меня немного время поджимает. Можете ли вы перевести их на мою кредитную карту прямо сейчас? «(Ниже указаны реквизиты Мэллори).

Боб: «Ну, хорошо, ждите … Вот. Получили деньги? »

Мэллори: «Да, спасибо, спасибо, спасибо! Увидимся вечером! »

Тем временем, Алиса пишет: «Бар «У Гарри»? Хороший выбор, буду там в 9. Увидимся! «. Но Боб этого не получает. Мэллори, в свою очередь, транслирует Алисе «Увидимся» от Боба, прежде чем они завершат беседу.

Со временем Боб спрашивает у Алисы, собирается ли она вернуть деньги, которые он дал «ей», и встречает вполне понятное изумление и растерянность, что потенциально может привести к нехорошей ситуации. А Мэллори получает $200 без налоговых вычетов.

Кстати, вместо «Боба», скорее всего, в такой ситуации оказывается какой-нибудь банк, когда Алиса (человек) просто проверяет свой счет, пренебрегая мерами предосторожности.

А в качестве «Мэллори» на самом деле будет выступать, скорее всего, маршрутизатор жуликов. Злоумышленник может установить собственное беспроводное устройство, которое будет действовать под видом «легитимной» точки доступа. После этого он может засесть с ним в каком-либо людном месте — кафе с бесплатным Wi-Fi, на железнодорожном вокзале, или в аэропорту. Чем больше людей, тем лучше. Некоторые из них наверняка беспечно подключатся к любой бесплатной сети Wi-Fi, а затем пойдут проверять свой банковский счет или делать покупки на коммерческом сайте. Способ первый.

Сделать это можно и по-другому: через уязвимость в конфигурации или заданном алгоритме шифрования легитимного маршрутизатора Wi-Fi. Хотя это сложнее технически, на деле о багах в популярных маршрутизаторах много информации в интернете. И как только злоумышленник перехватывает управление одним из них, то обзаводится чем-то вроде постоянного присутствия внутри атакуемой сети, будучи в состоянии шпионить за любыми сообщениями, проходящими через устройство. Способ второй. Пока кто-нибудь не решит обновить прошивку маршрутизатора. А это происходит на так уж часто.

А есть еще и новый тип атаки под названием «Атака браузера» (Man-in-the-Browser MITB). Вы только посмотрите на имя! Напоминает нечто вроде «Джонни Мнемоника»: взрослого человека весом в 70-80 кг упаковали программу?

На самом деле речь опять идет о подсадке вредоносного кода на машину жертвы, который будет запускаться в браузере и записывать все данные, передаваемые между браузером и сайтами-мишенями, прописанными в коде троянца.

Популярность этого вида атак выросла в последние несколько лет, так как в их случае злоумышленники могут нацеливаться сразу на несколько сайтов, не подбираясь близко к своим жертвам.

Как видим, основная причина атак MITM, скорее всего, в финансах. Но не только в них. Успешная атака MITM в процессе обмена данными между двумя объектами (кроме банка и т.п.) потенциально делает все передаваемые данные крайне ненадежными. Ни одна из сторон не может быть уверена в том, что информация, предоставленная другой стороной, не поддельная. И это может привести к огромным проблемам, особенно если информация конфиденциальная, а объемы ее велики.

Как защитить себя? Прежде всего, использование публичных точек доступа Wi-Fi для банкинга или электронной коммерции, мягко говоря, неосмотрительно. Во-вторых, даже если вы используете общественные хот-споты для чего-либо, все равно внимательно смотрите, куда подключаетесь, дабы исключить возможность любых заражений вредоносными программами злоумышленником, который может находиться в 10 метрах от вас (а может, и нет).

Большинство средств защиты от MITM-атак установлены на стороне маршрутизатора/сервера, так что пользователи не контролируют безопасность транзакции. Но пользователи по-прежнему могут (и должны) защитить себя от некоторых видов MITM-атак, используя плагины для браузера, такие как HTTPSEverywhere или ForceTLS, которые устанавливают защищенное соединение всякий раз, когда такая опция доступна.

Что касается бизнеса, то Safe Money «Лаборатории Касперского» (доступен в виде отдельного продукта или в составе крупных пакетов, таких как Kaspersky Small Office Security, например), запускает собственный экземпляр браузера с уровнем безопасности «параноик» каждый раз, когда пользователи подключаются к веб-сайту банка.

Добавление дополнительного слоя шифрования для конфиденциальных данных до их передачи — тоже хороший метод, но это сработает только в том случае, если получатель уже имеет ключ шифрования, который вы используете.