Между нами человек или что такое MITM атака

Между нами тает … ой, о чем это я. Сегодня я вам расскажу:

1. Что такое MITM
2. Виды MITM
3. Инструменты для проведения MITM
4. Вовремя распознаем MITM
5. Защита от MITM
6. Будущее MITM
7. Заключение

Это будет цикл статей по MITM. Вы сейчас читаете вводную статью. Далее будут выходить статьи по каждому виду MITM с подробными разбором, почему и как работают эти атаки, как от них защищаться. Так что подписывайтесь и не пропустите 😉.

Что такое MITM

Атака «человек посередине» (Man In The Middle) или сокращенно MITM, представляет собой кибератаку, в ходе которой киберпреступник перехватывает данные, передаваемые между двумя компаниями или людьми. Целью этой атаки является кража, перехват или изменение данных с какой-либо злонамеренной целью, например, для вымогательства денег.

Атаки «злоумышленник посередине» особенно проблематичны, потому что они могут происходить в очень сжатые сроки. Атака может длиться всего 10–15 минут, но ущерб, который она может причинить, может быть как долгосрочным, так и фатальным для бизнеса. Учитывая, что к 2025 году киберпреступность обойдется миру примерно в 10 триллионов долларов, пришло время всем нам серьезно отнестись к нашей кибербезопасности.

Как происходит атака «человек посередине»?

MITM-атаки опираются на манипулирование сетями или создание вредоносных сетей, контролируемых киберпреступниками. Киберпреступник перехватывает трафик и либо пропускает его через свою систему, собирая информацию по ходу, либо перенаправляет в другое место.

Киберпреступники, по сути, действуют как «посредники» между человеком, отправляющим информацию, и тем, кто ее получает, отсюда и название атаки «человек посередине». Эти атаки на удивление распространены, особенно в общедоступных сетях Wi-Fi. Поскольку общедоступный Wi-Fi часто бывает незащищенным, вы не можете знать, кто отслеживает или перехватывает веб-трафик, поскольку кто угодно может войти в систему.

Два глобальных этапа MITM атаки

1. Перехват

Перехват предполагает, что злоумышленник вмешивается в процесс передачи данных из/в сеть жертвы, перехватывая их с помощью «подставной» сети прежде, чем данные будут реально отправлены адресату или поступят в сеть жертвы. Фаза перехвата — это, по сути, то, как злоумышленник вводит себя в качестве «человека посередине». Злоумышленники часто делают с помощью создания в общественном месте поддельной точки доступа Wi-Fi, для подключения к которой не требуется пароль. Если жертва подключается к такой «подставной» точке доступа, то злоумышленник получает доступ к любому онлайн-обмену данными, который она выполняет.

Как только злоумышленник успешно вклинится между жертвой и другой желаемой стороной обмена информации, он сможет использовать различные методы для продолжения атаки.

2. Дешифрация

MITM-атака не останавливается только на фазе перехвата. После того, как злоумышленник получит доступ к зашифрованным данным жертвы, они должны быть расшифрованы, чтобы злоумышленник мог их прочитать и использовать в своих вредоносных целях. Для расшифровки данных жертвы может быть использован ряд методов без предупреждения пользователя или появления в приложении жертвы какого-либо предупреждения.

Виды MITM

1. ICMP MITM
2. RDP MITM
3. SSH MITM
4. HTTM Injection
5. Group Policy Injection
6. SSL BEAST
7. SSL Stripping
8. SSL Stripping + HSTS Bypass
9. SSL Hijacking
10. ARP-спуфинг
11. DNS-спуфинг
12. IP-спуфинг
13. RogueAP
14. Session Hijacking

Инструменты для MITM

Программные инструменты:

1. Intercepter-ng
2. Mitmproxy
3. Wireshark
4. Ettercap
5. Bettercap
6. Hetty
7. BurpSuite
8. Seth

Hardware’ные инструменты:

1. Wi-Fi Pineapple
2. WIFI COCONUT

Вовремя распознаем MITM

Вот некоторые признаки того, что в ваших сетях могут быть непрошенные слушатели:

• Странные или повторяющееся отключения от точки доступа: злоумышленники принудительно отключают пользователей, чтобы перехватить имя пользователя и пароль или handshake, когда те попытаются повторно подключиться. Отслеживая неожиданные или повторяющиеся отключения, вы можете заранее определить подобное опасное поведение.
• Неверные адреса в адресной строке браузера: если что-то в адресе выглядит хотя бы немного странно, перепроверьте свои подозрения. Возможно, вы имеете дело с перехватом DNS. Например, вы видите go0gle.com вместо google.com или arnazon.com вместо amazon.com.
• Автоподключение устройства к общедоступной или открытой сети Wi-Fi: будьте очень осторожны с сетями, к которым подключаетесь, и по возможности избегайте общедоступного Wi-Fi. Злоумышленники создают поддельные сети с известными идентификаторами, такими как «Бесплатный интернет» или другим распространенным именем, чтобы обманом заставить людей подключиться. Если вы подключитесь к Wi-Fi злоумышленника, он сможет легко увидеть все, что вы отправляете по Wi-Fi.

Защита от MITM

Хотя и важно знать, как обнаружить потенциальную MITM-атаку, но лучший способ защититься от подобного рода атак — это предотвратить их в принципе. Настоятельно советую вам следовать моим рекомендациям:

• Избегайте сетей Wi-Fi, которые не защищены паролем, и никогда не используйте общедоступные публичные сети Wi-Fi для обмена чувствительными данными такие, как: личные сообщения; персональные данные; конфиденциальная информация, составляющая коммерческую или гос тайну; данные для авторизации или аутентификации.
• Используйте VPN (Virtual Private Network) — особенно при подключении к Интернету в общественном месте. VPN шифрует вашу онлайн-активность и не позволяет злоумышленнику «прочитать» ваш сетевой трафик и получить доступ к вашим персональным данным, таким как пароли или информацию о банковском счете.
• Деавторизуйтесь после окончания работ на критически важных сайтах (например, на сайте онлайн-банка, корпоративном портале), чтобы исключить возможность перехвата вашей сессии злоумышленником.
• Придерживайтесь правильных привычек по отношению к паролям , например, никогда не используйте одинаковые пароли для разных аккаунтов, используйте менеджер паролей для обеспечения максимального уровня их безопасности.
• Используйте многофакторную аутентификацию везде, где это возможно.
• Используйте Firewall для обеспечения безопасных интернет соединений и предотвращения сетевых атак на ваше устройство.
• Используйте антивирусную программу для защиты данных на вашем гаджете от вредоносных программ или от эксплуатации уязвимостей.
• Используйте DNS поверх HTTPS — технологию, которая защищает вас от перехвата DNS путем шифрования ваших DNS-запросов.
• Следуйте принципам «нулевого доверия», чтобы создать внутренние барьеры для доступа к данным, которые не позволяют злоумышленникам свободно перемещаться по сети, даже если они проникнут внутрь.
• Используйте сквозное шифрование для электронной почты, чата и видеосвязи (Zoom, Teams и т. д.)

Будущее атак «человек посередине»

Атаки типа «человек посередине» будут оставаться эффективным инструментом в арсенале злоумышленников до тех пор, пока они смогут перехватывать важные данные, такие как пароли и банковские данные. Между разработчиками программного обеспечения и поставщиками сетевых услуг с одной стороны, и киберпреступниками с другой идет постоянная гонка вооружений для устранения уязвимостей, которые злоумышленники используют для запуска своих атак.

Возьмем, к примеру, массовое распространение интернета вещей (IoT) за последние несколько лет. Устройства интернета вещей еще не соответствуют стандартам безопасности и не обладают такими возможностями, как другие устройства, что делает их более уязвимыми для атак «человек посередине». Злоумышленники используют их для входа в сеть организации, а затем переходят к другим методам. Кто бы мог подумать, что холодильник с выходом в интернет — это не просто новое модное устройство, а еще и дыра в системе безопасности? Киберпреступники об этом знают!

Широкое распространение беспроводных сетей, например сетей 5G, — еще одна возможность для злоумышленников использовать атаки типа «человек посередине» для кражи данных и проникновения в организации. Это было наглядно продемонстрировано на конференции по компьютерной безопасности BlackHat 2019. Компании, занимающиеся технологиями беспроводной связи, обязаны устранять уязвимости, подобные тем, что были показаны на BlackHat, и обеспечивать безопасную сетевую магистраль для пользователей и устройств.

Заключение

Современные тенденции таковы, что количество сетей и подключенных к ним устройств растет, а это означает, что у злоумышленников больше возможностей использовать методы MITM атаки. Знание явных признаков атаки «человек посередине» и применение методов обнаружения может помочь вам обнаруживать атаки до того, как они нанесут ущерб.