Что такое «человек посередине»?

Новости Советы Угрозы

Целью большинства атакующих ваш компьютер, вне зависимости от требуемого в конечном итоге результата, является кража пользовательских данных. Это одинаково верно как для простых пользователей, так и для крупных веб-ресурсов или баз данных, подвергающихся атаке. Методы могут быть разными, но цель всегда одна.

Атака Человек посередине (Man in the Middle) - что это такое

В большинстве случаев нападавшие сначала попытаются установить вредоносное ПО на компьютерах пользователей, так как это самый короткий маршрут между ними и вашими данными. Но если это невозможно по каким-либо причинам, другой популярный метод компромиентации системы – «человек посередине«. Как следует из названия, этот вектор атаки предполагает, что атакующий ставит себя или свои вредоносные инструменты между жертвой и целевым ресурсом, как то: сайт, банковский или почтовый ящик. Эти нападения могут быть весьма эффективными и довольно трудно обнаруживаемыми, особенно для пользователей, которые не знают о такой опасности.

Определение «человека посередине»

Концепция MITM-нападения (Man-in-the-Middle) на удивление проста, и она не ограничивается безопасностью компьютера или онлайн-ресурса. В самом простом случае злоумышленнику надо всего лишь поставить себя в цепь между двумя общающимися сторонами, чтобы перехватывать их сообщения друг другу. При этом злоумышленник всегда должен выдавать себя за каждую из противоположных сторон. Например, в реальной жизни можно создать поддельный счет и положить его в почтовый ящик жертвы. После чего перехватить его на почте, когда жертва попытается счет оплатить. В онлайне все намного сложнее, но суть та же. Злоумышленник ставит себя между целью и ресурсом, требуемым цели. При этом наличие атакующего всегда должно оставаться незаметным для обеих сторон. В этом залог успеха атаки.

Варианты MITM-атаки

Больше всего распространены MITM-атаки, когда злоумышленник использует Wi-Fi-маршрутизатор в качестве инструмента перехвата сообщений. В данном случае создается подмена используемого роутера и подмена самой сети. Либо используются ошибки в настройке и защите сети, позволяющие вполне легально перехватывать сессии. В первом сценарии злоумышленник настраивает в своем ноутбуке точку беспроводного доступа, давая ей то же имя, что и используемое в общественном месте с доступным Wi-Fi. Когда пользователи подключаются к этой псевдосети, то при попытке совершить какое-либо действие с коммерческими сайтами, банковскими или прочими финансовыми ресурсами, их информация перехватывается, после чего злоумышленник уже может пользоваться ей по своему усмотрению.

Второй вариант сценария предполагает, что злоумышленник находит уязвимости в настройке или шифровании в легальной сети, после чего использует этот недостаток для слежения за жертвами. Это более сложный путь, но он может быть не менее эффективным, если атакующий имеет постоянный доступ к интересующему его роутеру в течение длительного времени. Это дает ему возможность незаметно «прослушивать» интересующую сессию и, пока жертва считает, что она в безопасности, собирать большое количество нужной информации.

В последнее время встречается и вариант MITM-атаки «Человек-в-браузере». В этом случае злоумышленник использует один из нескольких возможных методов для того, чтобы занести вредоносный код, работающий внутри браузера, на компьютер жертвы. Это ПО потом незаметно записывает все данные, передаваемые между браузером и различными сайтами, после чего отсылает полученные сведения злоумышленнику. Такой вариант становится все более распространенным, так как он может применяться к большой группе пользователей-жертв, а также не требует, чтобы злоумышленник находился поблизости.

Защита 

Есть несколько эффективных средств защиты от MITM-атак, но почти все они используются либо в самом маршрутизаторе, либо на серверах, к которым обращается потенциальная жертва. При этом самой жертве невдомек, на настоящем она сервере либо это подделка, подставленная злоумышленником. Одним из способов защиты от такой атаки является использование стойкого шифрования между клиентом и сервером. В таком случае сервер может идентифицировать себя посредством предоставления цифрового сертификата, после чего между пользователем и сервером устанавливается шифрованный канал для обмена конфиденциальными данными. Но в этом случае возникает зависимость от самого сервера и выбора им метода шифрования.

Другим вариантом защиты от некоторых видов MITM-атак является полный отказ от использования открытых Wi-Fi-сетей для работы с личными данными. Хорошую защиту дают некоторые плагины для браузеров. Например, HTTPS Everywhere или ForceTLS, которые самостоятельно устанавливают защищенное соединение всякий раз, когда эта опция доступна на стороне сервера. Но, как бы то ни было, все способы защиты имеют определенные ограничения. Кстати, не стоит забывать и об уже проведенных с целью демонстрации возможностей атаках, таких как SSLStrip или SSLSniff, которые легко сведут на нет безопасность SSL-соединения.