Кибератаки Man-in-the-middle позволяют злоумышленникам перехватывать сообщения или изменять их. Обнаружение атак MitM сложно, но их можно предотвратить.
Что такое атака man-in-the-middle?
Атака man-in-the-middle (MitM) - это тип кибератаки, при которой перехватываются сообщения между двумя сторонами, часто для кражи учетных данных или личной информации, шпионажа за жертвами, саботажа коммуникаций или повреждения данных.
“Атаки MitM-это атаки, при которых злоумышленник фактически находится между жертвой и законным хостом, к которому жертва пытается подключиться”, - говорит Йоханнес Ульрих, декан исследовательского института SANS Technology. “Таким образом, они либо пассивно прослушивают соединение, либо фактически перехватывают соединение, завершают его и устанавливают новое соединение с пунктом назначения”.
Атаки MitM являются одной из старейших форм кибератак. Компьютерные ученые ищут способы предотвращения взлома или подслушивания угроз с начала 1980-х годов.
“Атаки MITM-это тактическое средство достижения цели”, - говорит Зеки Туреди, технологический стратег, EMEA в CrowdStrike. “Целью может быть шпионаж за отдельными лицами или группами для перенаправления усилий, средств, ресурсов или внимания”.
Хотя атаки MitM могут быть защищены шифрованием, успешные злоумышленники либо перенаправляют трафик на фишинговые сайты, предназначенные для того, чтобы выглядеть законными, либо просто передают трафик по назначению после сбора или записи, что делает обнаружение таких атак невероятно трудным.
Примеры атак "человек посередине"
MitM охватывает широкий спектр методов и потенциальных результатов, в зависимости от цели и цели. Например, при использовании SSL злоумышленники устанавливают HTTPS-соединение между собой и сервером, но используют незащищенное HTTP-соединение с жертвой, что означает отправку информации в виде обычного текста без шифрования. Атаки Evil Twin отражают законные точки доступа Wi-Fi, но полностью контролируются злоумышленниками, которые теперь могут отслеживать, собирать или манипулировать всей информацией, которую отправляет пользователь.
“Эти типы атак могут быть для шпионажа или финансовой выгоды, или просто быть разрушительными”, - говорит Туреди. “Нанесенный ущерб может варьироваться от небольшого до огромного, в зависимости от целей злоумышленника и его способности причинить вред”.
В банковском сценарии злоумышленник может увидеть, что пользователь делает перевод, и изменить номер счета получателя или отправляемую сумму. Участники угроз могут использовать атаки man-in-the-middle для сбора личной информации или учетных данных для входа. Если злоумышленники обнаружат, что приложения загружаются или обновляются, скомпрометированные обновления, которые устанавливают вредоносные программы, могут быть отправлены вместо законных. Набор эксплойтов EvilGrade был разработан специально для плохо защищенных обновлений. Учитывая, что они часто не шифруют трафик, мобильные устройства особенно восприимчивы к этому сценарию.
“Эти атаки могут быть легко автоматизированы”, - говорит Ульрих из SANS Institute. “Существуют инструменты для автоматизации этого, которые ищут пароли и записывают их в файл всякий раз, когда они его видят, или они ожидают определенных запросов, таких как загрузка и отправка вредоносного трафика”.
Хотя часто эти атаки Wi-Fi или физической сети требуют близости к вашей жертве или целевой сети, также возможно удаленно компрометировать протоколы маршрутизации. “Это более сложная и более сложная атака”, - объясняет Ульрих. “Злоумышленники могут рекламировать себя в Интернете как отвечающие за эти IP-адреса, а затем Интернет направляет эти IP-адреса злоумышленнику, и теперь они снова могут запускать атаки man-in-the-middle”.
“Они также могут изменять настройки DNS для определенного домена [известного как DNS spoofing]”, - продолжает Ульрих. “Итак, если вы идете на конкретный веб-сайт, вы фактически подключаетесь к неправильному IP-адресу, предоставленному злоумышленником, и снова злоумышленник может запустить атаку man-in-the-middle”.
Хотя большинство атак происходит через проводные сети или Wi-Fi, также можно проводить атаки MitM с помощью поддельных вышек сотовой связи. Правоохранительные органы в США, Канаде и Великобритании использовали поддельные вышки сотовой связи, известные как stingrays, для массового сбора информации. Устройства Stingray также коммерчески доступны в dark web.
Исследователи из Технического университета Берлина, ETH Zurich и SINTEF Digital в Норвегии недавно обнаружили недостатки в протоколах аутентификации и ключевого соглашения (AKA), используемых в 3G, 4G и предназначенных для развертывания беспроводных технологий 5G, которые могут привести к тому, что злоумышленники смогут выполнять атаки MitM.
Предотвращение атак Man-in-the-middle
Хотя иногда обнаруживаются недостатки, протоколы шифрования, такие как TLS, являются лучшим способом защиты от атак MitM. Последняя версия TLS стала официальным стандартом в августе 2018года. Существуют и другие, такие как SSH или более новые протоколы, такие как QUIC от Google.
Если это станет коммерчески жизнеспособным, квантовая криптография может обеспечить надежную защиту от атак MitM, основанных на теории, что невозможно скопировать квантовые данные, и их нельзя наблюдать без изменения их состояния и, следовательно, обеспечить сильный индикатор, если трафик был нарушен в пути.
Для обучения конечных пользователей поощряйте сотрудников не использовать открытые общедоступные предложения Wi-Fi или Wi-Fi в общественных местах, где это возможно, так как это гораздо легче подделать, чем сотовые телефонные соединения, и скажите им, чтобы они прислушивались к предупреждениям браузеров о том, что сайты или соединения могут быть нелегальными. Используйте VPN для обеспечения безопасных соединений.
“Лучшие методы включают многофакторную аутентификацию, максимизацию сетевого контроля и видимости, а также сегментацию вашей сети”,-говорит Алекс Хинчлифф, аналитик threat intelligence в Unit 42, Palo Alto Networks.
Профилактика лучше, чем попытка исправить ситуацию после атаки, особенно атаки, которую так трудно обнаружить. Эти атаки принципиально хитры и трудны для первоначального обнаружения большинством традиционных устройств безопасности.
Насколько распространены атаки man-in-the-middle?
Несмотря на то, что атаки MitM не так распространены, как атаки вымогателей или фишинга, они представляют собой постоянную угрозу для организаций. IBM X-Force Threat Intelligence Index 2018 говорит, что в 35 процентах случаев злоумышленники пытались проводить атаки MitM, но трудно найти точные цифры.
“Я бы сказал, основываясь на сообщениях, что атаки MitM невероятно распространены”, - говорит Хинчлифф. “Многие из тех же целей—шпионаж за данными/коммуникациями, перенаправление трафика и так далее—могут быть выполнены с помощью вредоносных программ, установленных в системе жертвы. Если есть более простые способы выполнения атак, противник часто выбирает легкий маршрут”.
Более широкое внедрение HTTPS и большее количество предупреждений в браузере снизили потенциальную угрозу некоторых атак MitM. В 2017 году Фонд Electronic Frontier Foundation (EFF) сообщил, что более половины всего интернет-трафика теперь зашифровано, а Google Now сообщает, что более 90 процентов трафика в некоторых странах теперь зашифровано. Основные браузеры, такие как Chrome и Firefox, также будут предупреждать пользователей, если они подвергаются риску атак MitM. С ростом внедрения SSL и внедрение современных браузеров, таких как Google Chrome, MitM-атаки на общедоступные точки доступа Wi-Fi ослабли в популярности.
Сегодня обычно наблюдается использование принципов MitM в очень сложных атаках. Одним из примеров, недавно замеченных в отчетности с открытым исходным кодом, было вредоносное ПО, нацеленное на сеть SWIFT крупной финансовой организации, в которой метод MitM использовался для обеспечения ложного баланса счета, чтобы остаться незамеченным, поскольку средства злонамеренно перекачивались на счет киберпреступника”.
Однако угроза все еще существует. Например, банковский троянец Retefe перенаправляет трафик из банковских доменов через серверы, контролируемые злоумышленником, расшифровывая и изменяя запрос перед повторным шифрованием данных и отправкой их в банк. Недавно обнаруженный недостаток в протоколе TLS, включая новейшую версию 1.3, позволяет злоумышленникам нарушать обмен ключами RSA и перехватывать данные.
Распространение устройств IoT может также увеличить распространенность атак man-in-the-middle из-за отсутствия безопасности во многих таких устройствах. Ранее сообщалось о возможности выполнения атак в стиле MitM на устройствах IoT и отправки ложной информации обратно в организацию или неправильных инструкций самим устройствам.
Устройства IoT, как правило, более уязвимы для атак, потому что они не реализуют много стандартных мер защиты от атак MitM. Многие устройства IoT еще не реализуют TLS или не реализовали более старые версии, которые не так надежны, как последняя версия.
Опрос, проведенный Ponemon Institute и OpenSky, показал, что 61 процент специалистов по безопасности говорят, что они не могут контролировать распространение устройств IoT и IIoT в своих компаниях, в то время как 60 процентов говорят, что они не могут избежать эксплойтов безопасности и утечек данных, связанных с IoT .
С мобильными приложениями и устройствами IoT вокруг никого нет, и это проблема; некоторые из этих приложений игнорируют эти ошибки и все еще подключаются, и это побеждает цель TLS.
