Атака "человек посередине" (MITM) - это общий термин, обозначающий ситуацию, когда преступник вклинивается в разговор между пользователем и приложением - либо для подслушивания, либо для выдачи себя за одну из сторон, создавая видимость нормального обмена информацией.
Целью атаки является кража личной информации, такой как учетные данные для входа в систему, реквизиты счета и номера кредитных карт. Целью атаки обычно являются пользователи финансовых приложений, SaaS-компаний, сайтов электронной коммерции и других сайтов, где требуется вход в систему.
Информация, полученная в ходе атаки, может быть использована в различных целях, включая кражу личных данных, несанкционированный перевод средств или незаконную смену пароля.
Кроме того, она может использоваться для того, чтобы закрепиться внутри защищенного периметра на этапе проникновения передовой постоянной угрозы (APT).
В широком смысле, атака MITM эквивалентна тому, как если бы почтальон открыл выписку из вашего банковского счета, записал данные вашего счета, а затем запечатал конверт и доставил его к вашей двери.
Ход атаки MITM
Успешное выполнение MITM атаки состоит из двух отдельных фаз: перехват и расшифровка.
Перехват
На первом этапе перехватывается пользовательский трафик через сеть злоумышленника до того, как он достигнет места назначения.
Наиболее распространенный (и простой) способ сделать это - пассивная атака, при которой злоумышленник делает бесплатные вредоносные точки доступа WiFi общедоступными. Обычно они называются так, чтобы соответствовать своему местоположению, и не защищены паролем. Как только жертва подключается к такой точке доступа, злоумышленник получает полный доступ к любому обмену данными в сети.
Злоумышленники, желающие использовать более активный подход к перехвату, могут прибегнуть к одной из следующих атак:
- IP-спуфинг - злоумышленник маскируется под приложение, изменяя заголовки пакетов в IP-адресе. В результате пользователи, пытающиеся получить доступ к URL, связанному с приложением, направляются на сайт злоумышленника.
- ARP спуфинг - это процесс связывания MAC-адреса злоумышленника с IP-адресом легитимного пользователя в локальной сети с помощью поддельных ARP-сообщений. В результате данные, отправленные пользователем на IP-адрес хоста, вместо этого передаются злоумышленнику.
- Подделка DNS, также известная как отравление кэша DNS, заключается в проникновении на сервер DNS и изменении адресной записи веб-сайта. В результате пользователи, пытающиеся зайти на сайт, направляются по измененной записи DNS на сайт злоумышленника.
Расшифровка
После перехвата любой двусторонний SSL-трафик должен быть расшифрован без предупреждения пользователя или приложения. Для этого существует ряд методов:
- Подделка HTTPS отправляет фальшивый сертификат в браузер жертвы после первоначального запроса на подключение к защищенному сайту. Он содержит цифровой отпечаток, связанный со взломанным приложением, который браузер проверяет в соответствии с существующим списком доверенных сайтов. После этого злоумышленник получает доступ к любым данным, введенным жертвой, до того, как они будут переданы приложению.
- SSL BEAST (браузерный эксплойт против SSL/TLS) направлен на уязвимость TLS версии 1.0 в SSL. В этом случае компьютер жертвы заражается вредоносным JavaScript, который перехватывает зашифрованные cookies, отправленные веб-приложением. Затем цепочка блоков шифрования (CBC) приложения взламывается, чтобы расшифровать его файлы cookie и маркеры аутентификации.
- Перехват SSL происходит, когда злоумышленник передает поддельные ключи аутентификации как пользователю, так и приложению во время рукопожатия TCP. Это создает видимость безопасного соединения, хотя на самом деле "человек посередине" контролирует весь сеанс.
- Снятие SSL понижает уровень HTTPS-соединения до HTTP путем перехвата TLS-аутентификации, отправленной приложением пользователю. Злоумышленник отправляет пользователю незашифрованную версию сайта приложения, сохраняя при этом защищенную сессию с приложением. При этом вся сессия пользователя видна злоумышленнику.
Предотвращение атак типа "человек посередине"
Блокирование атак MITM требует нескольких практических шагов со стороны пользователей, а также сочетания методов шифрования и проверки для приложений.
Для пользователей это означает:
- Избегать WiFi-соединений, не защищенных паролем.
- Обращать внимание на уведомления браузера, сообщающие о том, что веб-сайт не защищен.
- Немедленно выходить из защищенного приложения, когда оно не используется.
- Не пользоваться общественными сетями (например, в кофейнях, гостиницах) при проведении конфиденциальных операций.
Для операторов веб-сайтов защищенные протоколы связи, включая TLS и HTTPS, помогают смягчить последствия атак подмены путем надежного шифрования и проверки подлинности передаваемых данных. Это предотвращает перехват трафика сайта и блокирует расшифровку конфиденциальных данных, таких как маркеры аутентификации.
Лучшей практикой для приложений считается использование SSL/TLS для защиты каждой страницы сайта, а не только тех, которые требуют от пользователей входа в систему. Это помогает снизить вероятность того, что злоумышленник украдет куки сеанса у пользователя, просматривающего незащищенную часть сайта при входе в систему.
Заключение
Атаки MITM часто происходят из-за неоптимальных реализаций SSL/TLS, таких как те, которые позволяют использовать эксплойт SSL BEAST или поддерживают использование устаревших и недостаточно защищенных шифров. Также стоит настроить политики HTTP Strict Transport Security (HSTS) для принудительного использования SSL/TLS безопасности.