Uzbrukuma princips

Uzbrukums parasti sākas ar sakaru kanāla noklausīšanos un beidzas ar to, ka kriptoanalītiķis mēģina aizstāt pārtverto ziņojumu un izvilkt noderīga informācija, novirziet to uz kādu ārēju resursu.

Pieņemsim, ka objekts A plāno pārsūtīt kādu informāciju objektam B. Objektam C ir zināšanas par izmantotās datu pārraides metodes struktūru un īpašībām, kā arī faktiskās informācijas, ko C plāno pārtvert, plānotās pārraides faktu. Lai veiktu uzbrukumu, C objektam A “parādās” kā B, bet objektam B kā A. Objekts A, maldīgi uzskatot, ka tas sūta informāciju B, nosūta to objektam C. Objekts C, saņēmis informāciju, un veic ar to dažas darbības (piemēram, kopē vai pārveido saviem nolūkiem) pārsūta datus pašam saņēmējam - B; objekts B savukārt uzskata, ka informācija saņemta tieši no A.

Uzbrukuma piemērs

Ļaunprātīga koda ievadīšana

Cilvēka vidū uzbrukums ļauj kriptoanalītiķim ievietot savu kodu e-pastiem, SQL priekšrakstus un tīmekļa lapas (t.i., atļauj SQL injekciju, HTML/skripta injekciju vai XSS uzbrukumus) un pat modificēt lietotāja augšupielādētos bināros failus, lai piekļūtu konts lietotājam vai mainīt programmas darbību, ko lietotājs lejupielādējis no interneta.

Pazemināt Attack versiju

Termins “pazeminātas versijas uzbrukums” attiecas uz uzbrukumu, kurā kriptoanalītiķis piespiež lietotāju izmantot mazāk drošas funkcijas, protokolus, kas joprojām tiek atbalstīti saderības apsvērumu dēļ. Šāda veida uzbrukumu var veikt SSH, IPsec un PPTP protokolos.

SSH V1, nevis SSH V2

Uzbrucējs var mēģināt mainīt savienojuma parametrus starp serveri un klientu, kad starp tiem ir izveidots savienojums. Saskaņā ar runu, kas tika sniegta 2003. gada Blackhat Conference Europe ietvaros, kriptanalītiķis var "piespiest" klientu sākt SSH1 sesiju, nevis SSH2, mainot SSH sesijas versijas numuru "1.99" uz "1.51", kas nozīmē SSH V1 izmantošanu. . SSH-1 protokolam ir ievainojamības, kuras var izmantot kriptoanalītiķis.

IPsec

Šajā uzbrukuma scenārijā kriptoanalītiķis maldina savu upuri, domājot, ka IPsec sesija nevar sākties otrā galā (serverī). Tā rezultātā ziņojumi tiek nosūtīti tieši, ja resursdatora mašīna darbojas atcelšanas režīmā.

PPTP

PPTP sesijas parametru apspriešanas posmā uzbrucējs var piespiest upuri izmantot mazāk drošu PAP autentifikāciju, MSCHAP V1 (tas ir, “atgriezties” no MSCHAP V2 uz versiju 1) vai neizmantot šifrēšanu vispār.

Uzbrucējs var piespiest savu upuri atkārtot PPTP sesijas parametru sarunu posmu (nosūtīt Terminate-Ack paketi), nozagt paroli no esoša tuneļa un atkārtot uzbrukumu.

Vai šifrēšana palīdzēs?

Apskatīsim standarta HTTP transakcijas gadījumu. Šajā gadījumā uzbrucējs var diezgan viegli sadalīt sākotnējo TCP savienojumu divos jaunos: vienu starp sevi un klientu, otru starp sevi un serveri. Tas ir diezgan vienkārši izdarāms, jo ļoti reti savienojums starp klientu un serveri ir tiešs, un vairumā gadījumu tie ir savienoti caur vairākiem starpserveriem. MITM uzbrukumu var veikt jebkurā no šiem serveriem.

Tomēr, ja klients un serveris sazinās, izmantojot HTTPS protokolu, kas atbalsta šifrēšanu, var tikt veikts arī uzbrukums “cilvēks vidū”. Šis savienojuma veids izmanto TLS vai SSL, lai šifrētu pieprasījumus, kas, šķiet, padara kanālu aizsargātu pret sniffing un MITM uzbrukumiem. Uzbrucējs var izveidot divas neatkarīgas SSL sesijas katram TCP savienojumam. Klients izveido SSL savienojumu ar uzbrucēju, kurš savukārt izveido savienojumu ar serveri. Šādos gadījumos pārlūkprogramma parasti brīdina, ka sertifikātu nav parakstījusi uzticama sertifikācijas iestāde, taču vidusmēra lietotājs viegli ignorē šo brīdinājumu. Turklāt uzbrucējam var būt sertifikāts, ko parakstījusi sertifikācijas iestāde. Tādējādi HTTPS protokolu nevar uzskatīt par drošu pret MITM uzbrukumiem.

MITM uzbrukuma noteikšana

Lai atklātu uzbrukuma "cilvēks vidū", jums ir jāanalizē tīkla trafiku. Piemēram, lai noteiktu SSL uzbrukumu, jums jāpievērš uzmanība šādiem parametriem:

• Servera IP adrese
• DNS serveris
• X.509 — servera sertifikāts
  • Vai sertifikāts ir pašparakstīts?
  • Vai sertifikāts ir parakstīts?
  • Vai sertifikāts ir atsaukts?
  • Vai sertifikāts nesen ir mainījies?
  • Vai citi klienti internetā ir saņēmuši tādu pašu sertifikātu?

MITM uzbrukuma ieviešana

Uzskaitītās programmas var izmantot, lai veiktu "man-in-the-middle" uzbrukumus, kā arī tos atklātu un pārbaudītu sistēmas ievainojamības.

Piemērs literatūrā

Skaidru literāru piemēru var redzēt A. S. Puškina “Pasaka par caru Saltānu”, kur parādās trīs “cilvēki pa vidu”: audēja, pavārs un Babarikha. Tieši viņi aizstāj caram adresētās vēstules un viņa atbildes korespondenci.

Skatīt arī

• Aspidistra (angļu val.) - Otrā pasaules kara "iebrukuma" laikā izmantotais britu radio raidītājs, MITM uzbrukuma variants.
• The Babington Plot (angļu val.) - sazvērestība pret Elizabeti I, kuras laikā Volsingema pārtvēra korespondenci.

Citi uzbrukumi

• “Cilvēks pārlūkprogrammā” ir uzbrukuma veids, kurā uzbrucējs spēj uzreiz mainīt darījuma parametrus un mainīt upurim pilnīgi caurspīdīgas lapas.
• Meet-in-the-middle uzbrukums ir kriptogrāfisks uzbrukums, kas, tāpat kā dzimšanas dienas uzbrukums, izmanto kompromisu starp laiku un atmiņu.
• "Miss in vidus uzbrukums" - efektīva metode tā sauktā neiespējamā diferenciālā kriptanalīze.
• Releja uzbrukums ir MITM uzbrukuma variants, kura pamatā ir pārtvertā ziņojuma pārsūtīšana derīgam adresātam, bet ne tam, kuram ziņojums bija paredzēts.
• Rootkit ir programma, kas paredzēta, lai paslēptu uzbrucēja klātbūtnes pēdas.

Literatūra

Saites

Wikimedia fonds. 2010. gads.

Skatiet, kas ir “cilvēks vidū” citās vārdnīcās:

“Man in the middle” uzbrukums (angļu: Man in the middle, MitM attack) ir termins kriptogrāfijā, kas apzīmē situāciju, kad uzbrucējs pēc vēlēšanās var lasīt un modificēt ziņojumus, ar kuriem apmainās starp korespondentiem, un neviens no... ... Vikipēdija

Gandrīz vienmēr ir vairāki veidi, kā sasniegt vēlamo rezultātu. Tas attiecas arī uz informācijas drošības jomu. Dažreiz, lai sasniegtu mērķi, varat izmantot brutālu spēku, meklēt caurumus un pats izstrādāt varoņdarbus vai klausīties, kas tiek pārraidīts tīklā. Turklāt pēdējā iespēja bieži vien ir optimāla. Tāpēc šodien mēs runāsim par rīkiem, kas palīdzēs no tīkla trafika noķert mums vērtīgu informāciju, šim nolūkam izmantojot MITM uzbrukumus.

MITMf

Sāksim ar vienu no interesantākajiem kandidātiem. Tas ir viss ietvars, lai veiktu uzbrukumus "cilvēks vidū", kas veidots, pamatojoties uz sergio-proxy. Nesen iekļauts Kali Linux. Priekš pašinstalācija Viss, kas jums jādara, ir klonēt repozitoriju un palaist dažas komandas:

# setup.sh # pip install -r prasības.txt

Tam ir arhitektūra, kas ir paplašināma, izmantojot spraudņus. Starp galvenajiem ir šādi:

• Spoof - ļauj novirzīt trafiku, izmantojot ARP/DHCP mānīšanu, ICMP novirzīšanu un modificēt DNS vaicājumus;
• Sniffer — šis spraudnis izseko pieteikšanās mēģinājumus dažādiem protokoliem;
• BeEFAutorun - ļauj automātiski palaist BeEF moduļus, pamatojoties uz OS un klienta pārlūkprogrammas veidu;
• AppCachePoison - veic kešatmiņas saindēšanās uzbrukumu;
• SessionHijacking - nolaupa sesijas un saglabā iegūtās sīkdatnes Firefly profilā;
• BrowserProfiler - mēģina iegūt pārlūkprogrammas izmantoto spraudņu sarakstu;
• FilePwn - ļauj aizstāt failus, kas nosūtīti, izmantojot HTTP, izmantojot Backdoor Factory un BDFProxy;
• Inject - ievada patvaļīgu saturu HTML lapā;
• jskeylogger — klienta lapās iegulst JavaScript taustiņu bloķētāju.

Ja šī funkcionalitāte jums šķiet nepietiekama, vienmēr varat pievienot savu, ieviešot atbilstošo paplašinājumu.

PuttyRider

Vēl viena lietderība, kas ir vērts pievērst uzmanību. Tiesa, atšķirībā no visiem citiem mūsdienās aplūkotajiem instrumentiem tas ir ļoti šauri specializēts. Kā stāsta pats projekta autors, šādu utilītu izveidot iedvesmojis tas, ka iespiešanās testu laikā svarīgākie dati atradās Linux/UNIX serveros, kuriem administratori pieslēdzās caur SSH/Telnet/rlogin. Turklāt vairumā gadījumu bija daudz vieglāk piekļūt administratoru mašīnai nekā mērķa serverim. Iekļūstot sistēmas administratora mašīnā, atliek tikai pārliecināties, vai PuTTY darbojas, un, izmantojot šo rīku, izveidot atpakaļ tiltu uz uzbrucēju.

Lietderība ļauj ne tikai tvert “saziņu” starp administratoru un attālais serveris(tostarp paroles), bet arī izpildīt patvaļīgas čaulas komandas noteiktā sesijā. Turklāt tas viss lietotājam (administratoram) notiks absolūti caurspīdīgi. Ja jūs interesē tehniskas detaļas, piemēram, kā PuTTY tiek ieviests procesā, iesaku izlasīt autora prezentāciju.

Diezgan vecs utilīts, dzimis pirms vairāk nekā astoņiem gadiem. Paredzēts klonēšanas sesijām, nozogot sīkfailus. Sesiju nolaupīšanai tai ir pamata saimniekdatora noteikšanas prasmes (ja tiek izveidots savienojums ar atvērtu bezvadu tīkls vai centrmezgls) un ARP saindēšanās veikšana. Vienīgā problēma ir tā, ka mūsdienās, atšķirībā no astoņiem gadiem, gandrīz visi lielie uzņēmumi, piemēram, Yahoo vai Facebook, izmanto SSL šifrēšanu, kas padara šo rīku pilnīgi bezjēdzīgu. Neskatoties uz to, internetā joprojām ir pietiekami daudz resursu, kas neizmanto SSL, tāpēc ir pāragri norakstīt utilītu. Tās priekšrocības ietver to, ka tas automātiski integrējas pārlūkprogrammā Firefox un katrai pārtvertajai sesijai izveido atsevišķu profilu. Avots ir pieejams repozitorijā, un jūs varat to izveidot pats, izmantojot šādu komandu secību:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip sesijas zaglis

ProxyFuzz

ProzyFuzz nav nekāda tieša sakara ar MITM uzbrukumu veikšanu. Kā jūs varat uzminēt pēc nosaukuma, rīks ir paredzēts izplūdumam. Šis ir mazs nedeterministisks tīkla fuzeris, kas ieviests Python un kas nejauši maina tīkla trafika pakešu saturu. Atbalsta TCP protokoli un UDP. Varat to konfigurēt, lai izplūdinātu tikai vienu pusi. Tas noder, ja nepieciešams ātri pārbaudīt kādu tīkla lietojumprogrammu (vai protokolu) un izstrādāt PoC. Lietošanas piemērs:

Python proxyfuzz -l -r -lpp

Opciju sarakstā ir:

• w - norāda pieprasījumu skaitu, kas nosūtīti pirms izplūdes sākuma;
• c - izplūdināt tikai klientu (pretējā gadījumā abas puses);
• s - izplūdināt tikai serveri (pretējā gadījumā abas puses);
• u - UDP protokols (pretējā gadījumā tiek izmantots TCP).

Vidējais

Lietderība MITM uzbrukumu veikšanai dažādiem protokoliem, kas tika prezentēti DEF CON konferencē. Alfa versija atbalstīja HTTP protokolu, un tās arsenālā bija trīs lieliski spraudņi:

• plugin-beef.py — ievada pārlūkprogrammas izmantošanas sistēmu (BeEF) jebkurā HTTP pieprasījumā, kas nāk no vietējā tīkla;
• plugin-metasploit.py — iegulst IFRAME nešifrētos (HTTP) pieprasījumos, kas ielādē pārlūkprogrammas izlietojumu no Metasploit;
• plugin-keylogger.py — iegulst JavaScript onKeyPress notikumu apdarinātāju visiem teksta laukiem, kas tiks iesniegti, izmantojot HTTPS, liekot pārlūkprogrammai lietotāja ievadīto paroli pa rakstzīmi nosūtīt uzbrucēja serverim, pirms tiek iesniegta visa veidlapa.

Middler ne tikai automātiski analizē tīkla trafiku un atrod tajā sīkfailus, bet arī neatkarīgi pieprasa tos no klienta, tas ir, process tiek maksimāli automatizēts. Programma garantē visu neaizsargāto kontu savākšanu datortīkls(vai publiskais tīklājs), kura datplūsmai tas var piekļūt. Lai programma darbotos pareizi, sistēmā ir jāinstalē šādas pakotnes: Scapy, libpcap, readline, libdnet, python-netfilter. Diemžēl repozitorijs nav atjaunināts ilgu laiku, tāpēc jums pašam būs jāpievieno jauna funkcionalitāte.

Konsoles utilīta, kas ļauj interaktīvi pārbaudīt un modificēt HTTP trafiku. Pateicoties šādām prasmēm, utilītu izmanto ne tikai pentesteri/hakeri, bet arī parastie izstrādātāji, kas to izmanto, piemēram, tīmekļa lietojumprogrammu atkļūdošanai. Ar tās palīdzību jūs varat saņemt Detalizēta informācija par to, kādus pieprasījumus pieteikums iesniedz un kādas atbildes tas saņem. Turklāt mitmproxy var palīdzēt izpētīt dažu REST API darbības īpatnības, īpaši to, kas ir slikti dokumentētas.

Uzstādīšana ir ārkārtīgi vienkārša:

$ sudo aptitude instalējiet mitmproxy

Ir vērts atzīmēt, ka mitmproxy ļauj arī pārtvert HTTPS trafiku, izsniedzot klientam pašparakstītu sertifikātu. Labs piemērs Varat uzzināt, kā konfigurēt satiksmes pārtveršanu un modificēšanu.

Dsniff

Šī utilīta parasti ir viena no pirmajām lietām, kam vajadzētu ienākt prātā, tiklīdz dzirdat
"MITM uzbrukums". Rīks ir diezgan vecs, taču tas tiek aktīvi atjaunināts, kas ir labas ziņas. Nav jēgas detalizēti runāt par tā iespējām četrpadsmit pastāvēšanas gadu laikā, internetā tas ir apskatīts ne reizi vien. Piemēram, šādā rokasgrāmatā:

vai norādījumi no mūsu vietnes:

Visbeidzot..

Kā parasti, mēs neesam apskatījuši visus komunālos pakalpojumus, bet tikai populārākos ir arī daudzi mazpazīstami projekti, par kuriem mēs kādreiz varētu runāt. Kā redzat, rīku MITM uzbrukumu veikšanai netrūkst, un, kas notiek ne pārāk bieži, viens no foršajiem rīkiem ir ieviests operētājsistēmai Windows. Par nix sistēmām nav ko teikt – visa dažādība. Tāpēc es domāju, ka jūs vienmēr varat atrast pareizo rīku zādzībai
citu cilvēku pilnvaras. Ak, tas ir, testēšanai.

Šajā rakstā mēs centīsimies izprast “man-in-the-middle” uzbrukumu teoriju un dažus praktiskus punktus, kas palīdzēs novērst šāda veida uzbrukumus. Tas mums palīdzēs izprast risku, ko šāda ielaušanās rada mūsu privātumam, jo ​​MitM uzbrukumi ļauj mums iejaukties saziņā un noklausīties mūsu sarunas.

Izpratne par interneta darbību

Lai saprastu uzbrukuma "cilvēks vidū" principu, vispirms ir vērts saprast, kā darbojas pats internets. Galvenie mijiedarbības punkti: klienti, maršrutētāji, serveri. Visizplatītākais saziņas protokols starp klientu un serveri ir hiperteksta pārsūtīšanas protokols (HTTP). Sērfošana internetā, izmantojot pārlūkprogrammu, e-pastu, tūlītējo ziņojumapmaiņu - tas viss tiek darīts, izmantojot HTTP.

Kad jūs ieejat adreses josla jūsu pārlūkprogrammā klients (jūs) nosūta serverim pieprasījumu parādīt tīmekļa lapu. Pakete (HTTP GET pieprasījums) tiek pārsūtīta uz serveri caur vairākiem maršrutētājiem. Pēc tam serveris atbild ar tīmekļa lapu, kas tiek nosūtīta klientam un tiek parādīta tā monitorā. HTTP ziņojumi ir jānosūta uz drošais režīms lai nodrošinātu konfidencialitāti un anonimitāti.

1. attēls. Klienta-servera mijiedarbība

Komunikācijas protokola nodrošināšana

Drošam sakaru protokolam ir jābūt katram no šiem rekvizītiem:

1. Privātums- ziņojumu var lasīt tikai paredzētais adresāts.
2. Autentiskums- ir pierādīta mijiedarbības pušu identitāte.
3. Integritāte- apstiprinājums, ka ziņojums sūtīšanas laikā nav mainīts.

Ja kāds no šiem noteikumiem netiek ievērots, tiek apdraudēts viss protokols.

Cilvēka vidū uzbrukums, izmantojot HTTP protokolu

Uzbrucējs var viegli veikt uzbrukumu “cilvēks vidū”, izmantojot paņēmienu, ko sauc par ARP viltošanu. Ikviens jūsu Wi-Fi tīkli var nosūtīt jums viltotu ARP paketi, liekot jums neapzināti sūtīt visu trafiku caur uzbrucēju, nevis maršrutētāju.

Pēc tam uzbrucējs pilnībā kontrolē satiksmi un var pārraudzīt abos virzienos nosūtītos pieprasījumus.

2. attēls. Cilvēka vidū uzbrukuma modelis

Lai novērstu šādus uzbrukumus, tika izveidota droša HTTP protokola versija. Transport Layer Security (TLS) un tā priekšgājējs Secure Socket Layer (SSL) ir kriptogrāfijas protokoli, kas nodrošina drošību datu pārraidei tīklā. Tāpēc drošais protokols tiks saukts par HTTPS. Varat redzēt, kā darbojas drošais protokols, ierakstot pārlūkprogrammas adreses joslā (ņemiet vērā S izmantojiet https).

Cilvēka vidējais uzbrukums slikti ieviestam SSL

Mūsdienu SSL lietojumi labs algoritmsšifrēšana, taču tas nav svarīgi, ja tas ir ieviests nepareizi. Ja hakeris var pārtvert pieprasījumu, viņš var to modificēt, no pieprasītā URL noņemot burtu "S", tādējādi apejot SSL.

Tādu pieprasījuma pārtveršanu un pārveidošanu var pamanīt. Piemēram, ja pieprasāt https://login.yahoo.com/ un atbilde ir http://login.yahoo.com/ , tam vajadzētu radīt aizdomas. Rakstīšanas laikā šis uzbrukums faktiski darbojas pakalpojumā E-pasts Yahoo.

3. attēls. Pieprasīt pārtveršanu un modifikāciju

Lai novērstu šādu uzbrukumu, serveri var ieviest HTTP Strict Transport Security (HSTS) — mehānismu, kas nodrošina piespiedu drošu savienojumu, izmantojot HTTPS protokolu. Šādā gadījumā, ja uzbrucējs modificē pieprasījumu, no URL noņemot “S”, serveris joprojām novirzīs lietotāju ar 302. novirzīšanu uz lapu ar drošu protokolu.

4. attēls. HSTS darbības diagramma

Šāds SSL ieviešanas veids ir neaizsargāts pret cita veida uzbrukumiem – uzbrucējs izveido SSL savienojumu ar serveri, bet izmanto dažādus trikus, lai piespiestu lietotāju izmantot HTTP.

5. attēls. HSTS uzbrukuma modelis

Lai novērstu šādus uzbrukumus modernās pārlūkprogrammas piemēram, Chrome, Firefox un Tor uzrauga vietnes, izmantojot HSTS, un piespiež ar tām izveidot savienojumu no klienta puses, izmantojot SSL. Šādā gadījumā uzbrucējam, kurš veic uzbrukumu “cilvēks vidū”, ir jāizveido SSL savienojums ar upuri.

6. attēls. Uzbrukuma modelis, kurā uzbrucējs izveido SSL savienojumu ar upuri

Lai lietotājam nodrošinātu SLL savienojumu, uzbrucējam ir jāzina, kā darboties kā serverim. Izpratīsim SSL tehniskos aspektus.

Izpratne par SSL

No hakeru viedokļa jebkura komunikācijas protokola kompromitēšana ir saistīta ar vājās saites atrašanu starp iepriekš uzskaitītajiem komponentiem (privātums, autentiskums un integritāte).

SSL izmanto asimetrisku šifrēšanas algoritmu. Simetriskās šifrēšanas problēma ir tāda, ka datu šifrēšanai un atšifrēšanai tiek izmantota viena un tā pati atslēga; šī pieeja nav derīga interneta protokoliem, jo ​​uzbrucējs var izsekot šo atslēgu.

Asimetriskā šifrēšana ietver 2 atslēgas katrai pusei: publiskā atslēga, ko izmanto šifrēšanai, un privāto atslēgu, ko izmanto datu atšifrēšanai.

7. attēls. Darbojas publiskās un privātās atslēgas

Kā SSL nodrošina trīs rekvizītus, kas nepieciešami drošai saziņai?

1. Tā kā datu šifrēšanai tiek izmantota asimetriskā kriptogrāfija, SSL nodrošina privātu savienojumu. Šo šifrēšanu nav tik viegli uzlauzt un palikt neatklātam.
2. Serveris apstiprina savu likumību, nosūtot klientam SSL sertifikātu, ko izdevusi sertifikācijas iestāde - uzticama trešā puse.

Ja uzbrucējam kaut kādā veidā izdosies iegūt sertifikātu, viņš var atvērt durvis uzbrukumam "cilvēks vidū". Tādējādi tas izveidos 2 savienojumus - ar serveri un ar upuri. Serveris šajā gadījumā uzskata, ka uzbrucējs ir parasts klients, un cietušajam nav iespējas identificēt uzbrucēju, jo viņš iesniedza sertifikātu, kas apliecina, ka viņš ir serveris.

Jūsu ziņojumi pienāk un pienāk šifrētā veidā, bet seko ķēdei cauri kibernoziedznieka datoram, kur viņam ir pilnīga kontrole.

8. attēls. Uzbrukuma modelis, ja uzbrucējam ir sertifikāts

Sertifikāts nav jāvilto, ja uzbrucējam ir iespēja uzlauzt upura pārlūkprogrammu. Šajā gadījumā viņš var ievietot pašparakstītu sertifikātu, kas pēc noklusējuma būs uzticams. Tādā veidā tiek īstenoti vairums uzbrukuma "cilvēks vidū". Sarežģītākos gadījumos hakeram ir jāizvēlas cits ceļš - viltot sertifikātu.

Sertifikācijas iestādes problēmas

Servera nosūtīto sertifikātu izsniedza un parakstīja sertifikācijas iestāde. Katrā pārlūkprogrammā ir uzticamo sertifikācijas iestāžu saraksts, un jūs varat tās pievienot vai noņemt. Problēma ir tāda, ka, ja nolemjat noņemt lielas iestādes, jūs nevarēsit apmeklēt vietnes, kurās tiek izmantoti šo iestāžu parakstīti sertifikāti.

Sertifikāti un sertifikātu iestādes vienmēr ir bijuši vājākais posms HTTPS savienojumā. Pat ja viss tika ieviests pareizi un katrai sertifikācijas iestādei ir stabila autoritāte, joprojām ir grūti samierināties ar faktu, ka jums ir jāuzticas daudzām trešajām personām.

Šobrīd ir vairāk nekā 650 organizācijas, kas spēj izsniegt sertifikātus. Ja uzbrucējs kādu no tiem uzlauztu, viņš saņemtu jebkādus sertifikātus, kādus vēlas.

Pat tad, kad bija tikai viena sertifikācijas iestāde, VeriSign, radās problēma — cilvēki, kuriem bija jānovērš uzbrukumi starp cilvēkiem, pārdeva pārtveršanas pakalpojumus.

Arī daudzi sertifikāti tika izveidoti sertifikācijas iestāžu uzlaušanas dēļ. Ir izmantoti dažādi paņēmieni un triki, lai pievilinātu mērķa lietotāju uzticēties krāpnieciskiem sertifikātiem.

Kriminālistika

Tā kā uzbrucējs sūta viltotas ARP paketes, uzbrucēja IP adresi nevar redzēt. Tā vietā jums jāpievērš uzmanība MAC adresei, kas ir raksturīga katrai tīkla ierīcei. Ja zināt sava maršrutētāja MAC adresi, varat to salīdzināt ar noklusējuma vārtejas MAC adresi, lai noskaidrotu, vai tas tiešām ir jūsu maršrutētājs vai uzbrucējs.

Piemēram, operētājsistēmā Windows OS varat izmantot komandu ipconfig komandrinda(CMD), lai redzētu noklusējuma vārtejas IP adresi (pēdējā rindiņa):

9. attēls. Komandas ipconfig izmantošana

Pēc tam izmantojiet komandu arp –a, lai uzzinātu šīs vārtejas MAC adresi:

10. attēls. Izmantojot komandu arp –a

Bet ir vēl viens veids, kā pamanīt uzbrukumu - ja jūs uzraudzījāt tīkla darbību brīdī, kad tas sākās, un skatījāties ARP paketes. Piemēram, šim nolūkam varat izmantot Wireshark, šī programma jums paziņos, ja ir mainījusies noklusējuma vārtejas MAC adrese.

Piezīme. Ja uzbrucējs pareizi krāpj MAC adreses, viņa izsekošana kļūs par lielu problēmu.

Secinājums

SSL ir protokols, kas liek uzbrucējam veikt lielu darbu, lai veiktu uzbrukumu. Taču tas nepasargās jūs no valsts sponsorētiem uzbrukumiem vai no prasmīgām hakeru organizācijām.

Lietotāja uzdevums ir aizsargāt savu pārlūkprogrammu un datoru, lai novērstu viltota sertifikāta ievietošanu (ļoti izplatīts paņēmiens). Ir arī vērts pievērst uzmanību uzticamo sertifikātu sarakstam un noņemt tos, kuriem neuzticaties.

18.10.2016. | Vladimirs Hazovs

FSB, Telekomunikāciju un masu komunikāciju ministrijas un Rūpniecības un tirdzniecības ministrijas plāni īstenot Jarovaja likuma noteikumus par krievu korespondences pārtveršanu un atšifrēšanu vairs nav tikai plāni, bet jau tiek īstenoti. darbībā ar rīkojumu par ekspertīzes atzinuma sagatavošanu par pārtveršanas iespēju whatsapp ziņas Viber Facebook Messenger, Telegram, Skype izmantojot MITM uzbrukumus un šāda rīka prototipa demonstrāciju.

Par “likumīga” MITM uzbrukuma organizēšanas shēmu rakstījām iepriekšējā rakstā. Šodien mēs sīkāk pakavēsimies pie paša šāda uzbrukuma principa un tā īstenošanas metodēm.

Kas ir MITM uzbrukums

Cilvēks vidū (MITM) tulkojumā nozīmē "cilvēks vidū". Šis termins nozīmē tīkla uzbrukums, kad uzbrucējs atrodas starp interneta lietotāju un lietojumprogrammu, kurai viņš piekļūst. Ne fiziski, protams, bet ar speciālas programmatūras palīdzību. Tas lietotājam parāda sevi kā pieprasīto lietojumprogrammu (tā varētu būt vietne vai interneta pakalpojums), simulē darbu ar to un dara to tā, lai radītu iespaidu normāla darbība un informācijas apmaiņu.

Uzbrukuma mērķis ir lietotāja personas dati, piemēram, pieteikšanās akreditācijas dati dažādas sistēmas, Bankas rekvizīti un karšu numuri, personiskā sarakste un citi konfidenciāla informācija. Vairumā gadījumu tiek uzbrukts finanšu lietojumprogrammām (banku klientiem, internetbankām, maksājumu un naudas pārvedumu pakalpojumiem), uzņēmuma SaaS pakalpojumiem, e-komercijas vietnēm (tiešsaistes veikaliem) un citām vietnēm, kurās nepieciešama autorizācija, lai pieteiktos sistēmā.

Uzbrucēja iegūtā informācija var tikt izmantota dažādiem mērķiem, tostarp nelikumīgiem naudas pārskaitījumiem, kontu maiņai, personiskās sarakstes pārtveršanai, pirkumu veikšanai uz kāda cita rēķina, kompromitēšanai un šantāžai.

Turklāt pēc akreditācijas datu nozagšanas un sistēmas uzlaušanas noziedznieki var instalēt korporatīvais tīklsļaunprātīga programmatūra organizēt intelektuālā īpašuma (patentu, projektu, datu bāzu) zādzību un nodarīt ekonomisku kaitējumu, dzēšot svarīgus datus.

MITM uzbrukumu var salīdzināt ar pastnieku, kurš, piegādājot jūsu korespondenci, atver vēstuli, pārraksta tās saturu personīgai lietošanai vai pat vilto rokrakstu, pievieno kaut ko no sava un pēc tam aizlīmē aploksni un nogādā to adresātam. it kā nekas nebūtu noticis. Turklāt, ja esat šifrējis vēstules tekstu un vēlaties personīgi paziņot atšifrēšanas kodu adresātam, pastnieks iepazīstinās ar sevi kā adresātu tā, ka jūs pat nepamanīsit aizstāšanu.

Kā tiek veikts MITM uzbrukums

MITM uzbrukuma izpilde sastāv no divām fāzēm: pārtveršanas un atšifrēšanas.

• Pārtveršana

Pirmais uzbrukuma posms ir pārtvert trafiku no lietotāja uz paredzēto mērķi un novirzīt to uzbrucēja tīklā.

Visizplatītākais un vienkāršākais pārtveršanas veids ir pasīvs uzbrukums, kad uzbrucējs izveido Wi-Fi punktus ar brīvu piekļuvi (bez paroles vai autorizācijas). Brīdī, kad lietotājs izveido savienojumu ar šādu punktu, uzbrucējs iegūst piekļuvi visai trafikai, kas iet caur to, un var iegūt no tā jebkādus datus pārtveršanai.

Otrā metode ir aktīva pārtveršana, ko var veikt vienā no šiem veidiem:

IP viltošana- mērķa IP adreses aizstāšana paketes galvenē ar uzbrucēja adresi. Rezultātā lietotāji nokļūst uzbrucēja vietnē, nevis apmeklē pieprasīto URL.

ARP viltošana- resursdatora reālās MAC adreses aizstāšana ar uzbrucēja adresi upura ARP tabulā. Rezultātā dati, ko lietotājs nosūta uz vajadzīgā mezgla IP adresi, nonāk uzbrucēja adresē.

DNS viltošana DNS kešatmiņas infekcija, iekļūšana DNS serveris un vietnes adreses atbilstības ieraksta aizstāšana. Rezultātā lietotājs mēģina piekļūt pieprasītajai vietnei, bet no DNS servera saņem uzbrucēja vietnes adresi.

• Atšifrēšana

Pēc pārtveršanas divvirzienu SSL trafiks ir jāatšifrē, un tas jādara tā, lai lietotājs un viņa pieprasītais resurss nepamanītu traucējumus.

Tam ir vairākas metodes:

HTTPS viltošana- viltots sertifikāts tiek nosūtīts uz upura pārlūkprogrammu, kad tiek izveidots savienojums ar vietni, izmantojot HTTPS protokolu. Šis sertifikāts satur Digitālais paraksts apdraudēta lietojumprogramma, liekot pārlūkprogrammai pieņemt savienojumu ar uzbrucēju kā uzticamu. Kad šāds savienojums ir izveidots, uzbrucējs var piekļūt visiem upura ievadītajiem datiem, pirms tie tiek pārsūtīti uz lietojumprogrammu.

SSL BEAST(pārlūka izmantošana pret SSL/TLS) – uzbrukumā tiek izmantota SSL ievainojamība TLS versijās 1.0 un 1.2. Upura dators ir inficēts ar ļaunprātīgu JavaScript, kas pārtver uz tīmekļa lietojumprogrammu nosūtītos šifrētos sīkfailus. Tas apdraud šifrēšanas režīmu "šifrēta teksta bloku ķēde", tādējādi uzbrucējs iegūst atšifrētos sīkfailus un autentifikācijas atslēgas.

SSL nolaupīšana– viltotu autentifikācijas atslēgu pārsūtīšana lietotājam un lietojumprogrammai TCP sesijas sākumā. Tas rada droša savienojuma izskatu, lai gan faktiski sesiju kontrolē “cilvēks vidū”.

SSL noņemšana– Pazemina savienojumu no droša HTTPS uz vienkāršu HTTP, pārtverot lietojumprogrammas lietotājam nosūtīto TLS autentifikāciju. Uzbrucējs nodrošina lietotājam nešifrētu piekļuvi vietnei, vienlaikus uzturot drošu sesiju ar lietojumprogrammu, iegūstot iespēju redzēt upura pārsūtītos datus.\

Aizsardzība pret MITM uzbrukumiem

Uzticama aizsardzība pret MITM uzbrukumiem ir iespējama, ja lietotājs veic vairākas preventīvas darbības un izmanto tīmekļa lietojumprogrammu izstrādātāju šifrēšanas un autentifikācijas metožu kombināciju.

Lietotāja darbības:

• Izvairieties no savienojuma izveides ar Wi-Fi tīklājiem, kuriem nav paroles aizsardzība. Atspējot funkciju automātisks savienojums zināmiem piekļuves punktiem - uzbrucējs var noslēpt savu Wi-Fi kā likumīgu.
• Pievērsiet uzmanību pārlūkprogrammas paziņojumam par došanos uz neaizsargātu vietni. Šāds ziņojums var norādīt uz pāreju uz uzbrucēja viltotu vietni vai problēmām ar likumīgas vietnes aizsardzību.
• Pabeidziet sesiju ar lietojumprogrammu (atteikties), ja tā netiek lietota.
• Nelietojiet publiskie tīkli(kafejnīca, parks, viesnīca un citi) konfidenciālu darījumu veikšanai (biznesa sarakste, finanšu darījumi, pirkumi interneta veikalos utt.).
• Izmantojiet pretvīrusu ar atjauninātām datu bāzēm savā datorā vai klēpjdatorā, tas palīdzēs aizsargāt pret uzbrukumiem, izmantojot ļaunprātīgu programmatūru.

Tīmekļa lietojumprogrammu un vietņu izstrādātājiem ir jāizmanto droši TLS un HTTPS protokoli, kas ievērojami sarežģī viltošanas uzbrukumus, šifrējot pārsūtītos datus. To izmantošana arī novērš satiksmes pārtveršanu, lai iegūtu autorizācijas parametrus un piekļuves atslēgas.

Tiek uzskatīts par labu praksi aizsargāt TLS un HTTPS ne tikai autorizācijas lapām, bet arī visām pārējām vietnes sadaļām. Tas samazina iespēju, ka uzbrucējs nozags lietotāja sīkfailus brīdī, kad viņš pēc autorizācijas pārlūko neaizsargātās lapas.

Par aizsardzību pret MITM uzbrukumiem atbild lietotājs un telekomunikāciju operators. Lietotājam vissvarīgākais ir nezaudēt modrību, izmantot tikai pārbaudītas interneta piekļuves metodes un, pārsūtot personas datus, izvēlēties vietnes ar HTTPS šifrēšanu. Telekomunikāciju operatoriem var ieteikt izmantot Deep Packet Inspection (DPI) sistēmas, lai atklātu anomālijas datu tīklos un novērstu viltošanas uzbrukumus.

Valdības aģentūras plāno izmantot MITM uzbrukumu, lai aizsargātu pilsoņus, nevis radītu kaitējumu, atšķirībā no uzbrucējiem. Personisko ziņojumu un citu lietotāju trafika pārtveršana tiek veikta saskaņā ar spēkā esošajiem tiesību aktiem, ko veic ar tiesu iestāžu lēmumu terorisma, narkotiku kontrabandas un citu aizliegtu darbību apkarošanai. Parastajiem lietotājiem “likumīgie” MITM uzbrukumi nerada draudus.

TCP sesijas sākšanas process, kas sastāv no trīs soļi. Klients nosūta serverim paketi ar SYN karogu. Saņemot no klienta paketi ar SYN karogu, serveris atbild ar paketi ar karodziņu SYN+ACK un pāriet stāvoklī ESTABLISHED. Saņemot pareizu atbildi no servera, klients nosūta paketi ar karodziņu ACK un nonāk stāvoklī ESTABLISHED

Aizliegumu saraksts

To klientu saraksts, kuriem nav tiesību uz noteiktām darbībām. Izmantojot aizliegumu sarakstu, jūs parasti ierobežojat robotu iespējas, kad tiek atklāts DDoS uzbrukums. Arī spēļu serveru realitātē šajā sarakstā ir iekļauti spēlētāji ar sliktu reputāciju, kuri izmanto krāpšanās kodus vai veic nelikumīgas darbības.

Bot

Dators, ko izmanto, lai veiktu DDoS uzbrukums"īstā" satiksme. Vairumā gadījumu tas ir dators parasts lietotājs, inficēti ar vīrusu. Bieži vien lietotājs nevar pamanīt, ka viņa dators ir inficēts un tiek izmantots nelikumīgiem mērķiem

Web serveris

Dators tīklā, kas pieņem HTTP pieprasījumus no klientiem, parasti tīmekļa pārlūkprogrammām, un nodrošina tiem HTTP atbildes. Parasti kopā ar HTTP atbildi tīmekļa serveris atbild ar HTML lapu, attēlu, multivides straumi vai citiem datiem.

Tīmekļa pakalpojums

Tīmekļa pakalpojumi ir pakalpojumi, kas tiek nodrošināti internetā. Lietojot šo terminu, mēs varam runāt par meklēšanu, tīmekļa pastu, dokumentu, failu, grāmatzīmju uc glabāšanu. Parasti tīmekļa pakalpojumus var izmantot neatkarīgi no datora, pārlūkprogrammas vai vietas, kur piekļūstat internetam.

Domēns

Jēdzienu "Domēns" var izmantot dažādos kontekstos, runājot par tīkla tehnoloģijas. Visbiežāk ar domēnu viņi domā Domēna vārds vietne. Domēni ir sadalīti dažādos līmeņos, piemēram, domēnā example.com com ir pirmā līmeņa domēns, bet piemērs ir otrā līmeņa domēns. Lai atvieglotu saziņu, cilvēki izmanto arī terminu "apakšdomēns", kas nozīmē domēnu, kas ir vairāk nekā divus līmeņus dziļš. Piemēram, domēnā mail.example.com pasts ir apakšdomēns.

Meklēšanas robots

apkalpošana meklētājs atklāt jaunas lapas internetā un mainīt esošās. Darbības princips ir līdzīgs pārlūkprogrammai. Tas analizē lapas saturu, saglabā to īpašā formā tās meklētājprogrammas serverī, kurai tā pieder, un nosūta saites uz nākamajām lapām.

Joslas platums

Maksimālais iespējamais datu apjoms, kas tiek pārraidīts laika vienībā. Bieži vien interneta pakalpojumu sniedzēji, solot lielāku interneta piekļuves ātrumu, savus solījumus nepilda. Vairumā gadījumu tas ir saistīts ar to, ka joslas platums ir pilnībā aizņemts.