Wszystkie artykuły Poprzedni Następny

Czym jest atak Man-in-the-Middle (MitM) i jak go uniknąć

Czasy, gdy podsłuchiwanie było głównym zajęciem szpiegów i miasteczkowych plotkarek są już za nami. W dobie internet zdobycie wrażliwych informacji stało się jeszcze prostsze niż przyłożenie szklanki do ściany, za którą jest sąsiad.

O ile możemy wybaczyć ludziom, którzy mniej lub bardziej przypadkowo dosłyszą nasze rozmowy w publicznych miejscach, cyfrowe podsłuchiwanie wchodzi na niespotykany dotąd poziom. Jest także dużo prostsze do wykonania. Wymaga dwóch rzeczy: połączenia do sieci Wi-Fi (niezależnie czy jest publiczna, czy prywatna i czy jest bezpieczna, czy nie) i ataku na tą sieć.

Jeśli brać pod uwagę podsłuchiwanie on-line od razu przychodzi na myśl termin man-in-the-middle, który w dużym uogólnieniu jest sytuacją, gdy osoba trzecia staje pomiędzy dwiema innymi, komunikującymi się między sobą.

W przypadku zwykłego podsłuchiwania trzecia osoba jest pasywnym obserwatorem i nie wchodzi w żaden sposób w interakcje pomiędzy osobami wymieniającymi informacje. Tak nie jest w przypadku MitM — nie tylko dochodzi tu do klasycznego podsłuchiwania, ale i może dojść do kontrolowania rozmowy. Fakt ten czyni atak MitM czynną aktywnością.

Atak MitM jest zwykle atakiem agresywnym, inwazyjnym i potajemnym. W tym artykule postaramy się wytłumaczyć na czym polega, jakie są jego rodzaje i typy, i w jaki sposób się przed nim zabezpieczać.

Jak i gdzie dochodzi do ataku Man-in-the-Middle

Atak MitM dotyczy podsłuchiwanie sieci, by zdobyć informacje lub wpłynąć na transakcję, konwersacje i transfer danych w czasie rzeczywistym. Atakujący może tego dokonać wykorzystując słabości sieci lub jakiegokolwiek jej elementów takich jak przeglądarka czy VoIP.

Wiele organizacji praktykuje coś, co w swojej esencji jest taktyką MitM w celach monitorowania swoich pracowników (zwykle się do tego nie przyznając wprost). Inne wykorzystanie tego typu praktyk ma na celu wyświetlanie reklam (tak było w przypadku chińskiego producenta laptopów Lenowo).

Kolejnym aktorem znanym z używania MitM są rządy, które aktywnie szpiegują swoich obywateli, pomijają zabezpieczenia technologiczne, szpiegują wrogie państwa, wykradając wrażliwe dane, czy dokonują ataków na organizacje finansowe innych państw, by zdobyć finansowanie dla swoich projektów (jak jest bardzo często w przypadku Korei Północnej).

MitM jest przede wszystkim integralną częścią tego, jak operuje bardzo duża część cyberkryminalistów. W przypadku ataków BEC (Business Email Compromise) dokonują tego, infiltrując sieć ofiary, zdobywając dostęp do korespondencji, monitorując zapytania zapłaty wykonywane przez inne firmy i w finalnej fazie instruując ofiarę do przesłania zapłaty na kontrolowane przez siebie konto bankowe.

Typy ataków Men-in-the-Middle

  • Podsłuchiwanie Wi-Fi
  • Przejęcia emaili
  • Zatruwanie ARP (ARP poisoning)
  • Zatruwanie DNS (DNS spoofing)
  • Port stealing
  • STP mangling

Dwa pierwsze typy ataków są najpopularniejsze i opisaliśmy je wyżej. Nie każdy typ ataku, który jest na liście może być przeprowadzony na dowolny rodzaj sieci. Dla przykładu zatruwanie ARP może być wykorzystane w ataku na systemy połączone do sieci LAN przez Ethernet.

Istnieją różne sposoby, w jakie atakujący może wykonać atak MitM, takie jak sniffing, wstrzykiwanie, przejęcia, filtrowanie i stripping.

Formy ataków Man-in-the-Middle

Jednym z form ataków jest man-in-the-browser (MitB), który zaczyna się, gdy malware zostaje umiejscowione w systemie i działa razem z przeglądarką. MitB zwykle wykorzystywany jest do oszustw finansowych np. poprzez przechwycenie komunikacji z bankiem.

Ataki MitB są niezwykle niebezpieczne przez trudność w ich wykryciu. Pomijają typowe zabezpieczenia kontroli i szyfrowania na stronach bankowych, a także mogą być niewidoczne dla programów antywirusowych.

Innym typem MitM, który dotyczy urządzeń mobilnych jest man-in-the-mobile (MitMo) znany również jako man-in-the-phone. MitMo to malware, którego głównym zadaniem jest ominięcie dwuetapowej identyfikacji przy pomocy SMS-a. Dokonuje tego przez monitorowanie wiadomości z kodami weryfikującymi. Malware skupiające się na urządzeniach z androidem może mieć dostęp do zaszyfrowanych wiadomości w WhatsApp.

W przestrzeni urządzeń mobilnych można wyróżnić jeszcze jeden typ ataku nazwany man-in-the-app, gdzie atakujący używa certyfikatu (podpisanego przez siebie) do komunikacji z zaatakowaną aplikacją.

W dobie internetu rzeczy (Internet of Things) można wyróżnić także ataki typu man-in-the-cloud i man-in-the-IoT.

Jak powszechne są ataki man-in-the-middle

Ataki MitM są bardzo rozpowszechnione, choć nie w takim stopniu jak ransomware, czy phishing. Niektóre z typów tego ataku są łatwe do przeprowadzenia, a narzędzia hakerskie ogólnodostępne. Są przeprowadzane nie tylko z zewnątrz, ale zdarzają się incydenty wewnątrz organizacji, gdzie dochodzi do wykorzystania MitM do ataku na sieć intranet.

Niestety, ale tego typu incydenty są bardzo trudne do wykrycia, dlatego tak ważne są działania prewencyjne, które mogą jednocześnie podnieść bezpieczeństwo sieci i prywatność.

Internet Rzeczy (Internet of Things)

Analitycy przewidują, że liczba urządzeń podłączonych do internetu osiągnie dziesiątki miliardów w ciągu najbliższych pięciu lat. Nie jest wielką tajemnicą, że urządzenia te nie są dobrze zabezpieczone pod względem cyberbezpieczeństwa. To może oznaczać duży skok w atakach MitM. Głównym problemem w tym przypadku będą błędne wiadomości zwrotne wysyłane przez urządzenia IoT, a także szkodliwe instrukcje wysyłane do nich.

Co możemy zrobić, by chronić się przed atakami MitM?

  • Przede wszystkim należy unikać publicznych punktów dostępu WiFi — szczególnie gdy nie są chronione hasłem. Jeśli jesteś zmuszony do korzystania z takiej sieci, rób to jedynie, do pasywnego korzystania z internetu nie korzystając ze stron, które wymagają podawania danych.

  • Wyloguj się po zakończeniu korzystania ze strony, która wymaga logowania. Część stron robi to automatycznie wraz z zamknięciem przeglądarki.

  • Używaj wieloetapowego uwierzytelniania, jeśli to możliwe. Praktycznie wszystkie strony związane z finansami mają opcję dwuetapowego uwierzytelniania, które staje się standardem również poza branżą finansową.

  • Używaj stron korzystających z HTTPS. Upewnij się, że jesteś na stronie z 'kłódką' gdy podajesz jakiekolwiek dane — HTTPS zapewnia szyfrowaną komunikację. Jeśli masz możliwość, zainstaluj plug-in typu HTTPS Everywhere, który wymusza przeglądarkę do korzystania z bezpiecznej wersji strony.

  • Używaj VPN (virtual private network) do przeprowadzania transakcji i wrażliwej komunikacji. VPN jest właściwie konieczne w czasie korzystania z publicznego WiFi.

  • Skonfiguruj router. Upewnij się, że nie pozostawiłeś domyślnych danych logowania producenta. Upewnij się także, że router jest zaktualizowany.

  • Uważaj na phishing w mailach.

  • Zainstaluj oprogramowanie antywirusowe — w ten sposób można uniknąć ataków man-in-the-middle, które bazują na zainstalowanym malware.

Postaw kawę autorowi artukułu.

Zobacz wszystkie artykuły

Jeśli potrzebujesz pomocy, twoja strona została zainfekowana, chcesz dokonać audytu bezpieczeństwa, czy po prostu masz jakieś pytania — napisz do nas. Postaramy się pomóc.

Zgłoś błąd w tekście
×