Между нами человек или что такое MITM атака
Между нами тает … ой, о чем это я. Сегодня я вам расскажу:
- Что такое MITM
- Виды MITM
- Инструменты для проведения MITM
- Вовремя распознаем MITM
- Защита от MITM
- Будущее MITM
- Заключение
Это будет цикл статей по MITM. Вы сейчас читаете вводную статью. Далее будут выходить статьи по каждому виду MITM с подробными разбором, почему и как работают эти атаки, как от них защищаться. Так что подписывайтесь и не пропустите 😉.
Что такое MITM
Атака «человек посередине» (Man In The Middle) или сокращенно MITM, представляет собой кибератаку, в ходе которой киберпреступник перехватывает данные, передаваемые между двумя компаниями или людьми. Целью этой атаки является кража, перехват или изменение данных с какой-либо злонамеренной целью, например, для вымогательства денег.
Атаки «злоумышленник посередине» особенно проблематичны, потому что они могут происходить в очень сжатые сроки. Атака может длиться всего 10–15 минут, но ущерб, который она может причинить, может быть как долгосрочным, так и фатальным для бизнеса. Учитывая, что к 2025 году киберпреступность обойдется миру примерно в 10 триллионов долларов, пришло время всем нам серьезно отнестись к нашей кибербезопасности.
Как происходит атака «человек посередине»?
MITM-атаки опираются на манипулирование сетями или создание вредоносных сетей, контролируемых киберпреступниками. Киберпреступник перехватывает трафик и либо пропускает его через свою систему, собирая информацию по ходу, либо перенаправляет в другое место.
Киберпреступники, по сути, действуют как «посредники» между человеком, отправляющим информацию, и тем, кто ее получает, отсюда и название атаки «человек посередине». Эти атаки на удивление распространены, особенно в общедоступных сетях Wi-Fi. Поскольку общедоступный Wi-Fi часто бывает незащищенным, вы не можете знать, кто отслеживает или перехватывает веб-трафик, поскольку кто угодно может войти в систему.
Два глобальных этапа MITM атаки
1. Перехват
Перехват предполагает, что злоумышленник вмешивается в процесс передачи данных из/в сеть жертвы, перехватывая их с помощью «подставной» сети прежде, чем данные будут реально отправлены адресату или поступят в сеть жертвы. Фаза перехвата — это, по сути, то, как злоумышленник вводит себя в качестве «человека посередине». Злоумышленники часто делают с помощью создания в общественном месте поддельной точки доступа Wi-Fi, для подключения к которой не требуется пароль. Если жертва подключается к такой «подставной» точке доступа, то злоумышленник получает доступ к любому онлайн-обмену данными, который она выполняет.
Как только злоумышленник успешно вклинится между жертвой и другой желаемой стороной обмена информации, он сможет использовать различные методы для продолжения атаки.
2. Дешифрация
MITM-атака не останавливается только на фазе перехвата. После того, как злоумышленник получит доступ к зашифрованным данным жертвы, они должны быть расшифрованы, чтобы злоумышленник мог их прочитать и использовать в своих вредоносных целях. Для расшифровки данных жертвы может быть использован ряд методов без предупреждения пользователя или появления в приложении жертвы какого-либо предупреждения.
Виды MITM
- ICMP MITM
- RDP MITM
- SSH MITM
- HTTM Injection
- Group Policy Injection
- SSL BEAST
- SSL Stripping
- SSL Stripping + HSTS Bypass
- SSL Hijacking
- ARP-спуфинг
- DNS-спуфинг
- IP-спуфинг
- RogueAP
- Session Hijacking
Инструменты для MITM
Программные инструменты:
Hardware’ные инструменты:
Вовремя распознаем MITM
Вот некоторые признаки того, что в ваших сетях могут быть непрошенные слушатели:
- Странные или повторяющееся отключения от точки доступа: злоумышленники принудительно отключают пользователей, чтобы перехватить имя пользователя и пароль или handshake, когда те попытаются повторно подключиться. Отслеживая неожиданные или повторяющиеся отключения, вы можете заранее определить подобное опасное поведение.
- Неверные адреса в адресной строке браузера: если что-то в адресе выглядит хотя бы немного странно, перепроверьте свои подозрения. Возможно, вы имеете дело с перехватом DNS. Например, вы видите go0gle.com вместо google.com или arnazon.com вместо amazon.com.
- Автоподключение устройства к общедоступной или открытой сети Wi-Fi: будьте очень осторожны с сетями, к которым подключаетесь, и по возможности избегайте общедоступного Wi-Fi. Злоумышленники создают поддельные сети с известными идентификаторами, такими как «Бесплатный интернет» или другим распространенным именем, чтобы обманом заставить людей подключиться. Если вы подключитесь к Wi-Fi злоумышленника, он сможет легко увидеть все, что вы отправляете по Wi-Fi.
Защита от MITM
Хотя и важно знать, как обнаружить потенциальную MITM-атаку, но лучший способ защититься от подобного рода атак — это предотвратить их в принципе. Настоятельно советую вам следовать моим рекомендациям:
- Избегайте сетей Wi-Fi, которые не защищены паролем, и никогда не используйте общедоступные публичные сети Wi-Fi для обмена чувствительными данными такие, как: личные сообщения; персональные данные; конфиденциальная информация, составляющая коммерческую или гос тайну; данные для авторизации или аутентификации.
- Используйте VPN (Virtual Private Network) — особенно при подключении к Интернету в общественном месте. VPN шифрует вашу онлайн-активность и не позволяет злоумышленнику «прочитать» ваш сетевой трафик и получить доступ к вашим персональным данным, таким как пароли или информацию о банковском счете.
- Деавторизуйтесь после окончания работ на критически важных сайтах (например, на сайте онлайн-банка, корпоративном портале), чтобы исключить возможность перехвата вашей сессии злоумышленником.
- Придерживайтесь правильных привычек по отношению к паролям , например, никогда не используйте одинаковые пароли для разных аккаунтов, используйте менеджер паролей для обеспечения максимального уровня их безопасности.
- Используйте многофакторную аутентификацию везде, где это возможно.
- Используйте Firewall для обеспечения безопасных интернет соединений и предотвращения сетевых атак на ваше устройство.
- Используйте антивирусную программу для защиты данных на вашем гаджете от вредоносных программ или от эксплуатации уязвимостей.
- Используйте DNS поверх HTTPS — технологию, которая защищает вас от перехвата DNS путем шифрования ваших DNS-запросов.
- Следуйте принципам «нулевого доверия», чтобы создать внутренние барьеры для доступа к данным, которые не позволяют злоумышленникам свободно перемещаться по сети, даже если они проникнут внутрь.
- Используйте сквозное шифрование для электронной почты, чата и видеосвязи (Zoom, Teams и т. д.)
Будущее атак «человек посередине»
Атаки типа «человек посередине» будут оставаться эффективным инструментом в арсенале злоумышленников до тех пор, пока они смогут перехватывать важные данные, такие как пароли и банковские данные. Между разработчиками программного обеспечения и поставщиками сетевых услуг с одной стороны, и киберпреступниками с другой идет постоянная гонка вооружений для устранения уязвимостей, которые злоумышленники используют для запуска своих атак.
Возьмем, к примеру, массовое распространение интернета вещей (IoT) за последние несколько лет. Устройства интернета вещей еще не соответствуют стандартам безопасности и не обладают такими возможностями, как другие устройства, что делает их более уязвимыми для атак «человек посередине». Злоумышленники используют их для входа в сеть организации, а затем переходят к другим методам. Кто бы мог подумать, что холодильник с выходом в интернет — это не просто новое модное устройство, а еще и дыра в системе безопасности? Киберпреступники об этом знают!
Широкое распространение беспроводных сетей, например сетей 5G, — еще одна возможность для злоумышленников использовать атаки типа «человек посередине» для кражи данных и проникновения в организации. Это было наглядно продемонстрировано на конференции по компьютерной безопасности BlackHat 2019. Компании, занимающиеся технологиями беспроводной связи, обязаны устранять уязвимости, подобные тем, что были показаны на BlackHat, и обеспечивать безопасную сетевую магистраль для пользователей и устройств.
Заключение
Современные тенденции таковы, что количество сетей и подключенных к ним устройств растет, а это означает, что у злоумышленников больше возможностей использовать методы MITM атаки. Знание явных признаков атаки «человек посередине» и применение методов обнаружения может помочь вам обнаруживать атаки до того, как они нанесут ущерб.