Czym jest atak Man-in-the-Middle?

W tym artykule opiszemy czym jest atak Man-in-the-Middle oraz jak możesz się przed nim zabezpieczyć

Podczas przeglądania sieci możesz zauważyć kłódkę po lewej stronie pasku adresu. Oznacza ona, że połączenie jest bezpieczne, a strona zaszyfrowana aby zapobiec atakowi Man-in-the-Middle.

Czym jest atak Man-in-the-Middle

Gdy próbujesz wejść na stronę internetową, dane podróżują z serwera do komputera za pośrednictwem kabli, routerów i switchy, które rozprowadzają Internet na cały świat. Atakujący wiedzą, że na każdym kroku jesteś podatny na atak. Są takie miejsca miejsca, w których dane mogą zostać przechwycone, odczytane, a nawet zmienione. Atak typu man-in-the-middle to procedura, która umożliwia atakującemu wejście pomiędzy użytkownika a komputer, z którym się komunikuje, w celu odczytania rozmowy lub jej zmiany. Procedura ta była niezwykle powszechna przed masowym przejściem na HTTP-Secure i nadal jest powszechna w dzisiejszych czasach, choć nieco bardziej skomplikowana do przeprowadzenia.

Po latach atakowania komputerów, wszechobecne ataki typu man-in-the-middle przeniosły się na telefony komórkowe. Użytkownicy nie wiedzą jakie konsekwencje może nieść za sobą ten atak i podłączają swoje telefony do sieci publicznych, aby pozostać w kontakcie, zwłaszcza podczas wyjazdów.

Największe zagrożenie wynika z niskiego poziomu wykrywalności. Użytkownicy nie zawsze mają jak się dowiedzieć , czy sieć, w której się znajdują, jest w porządku, czy też ktoś podsłuchuje ruch, czy to na lotnisku, w hotelu, czy też kawiarni. Nasze uzależnienie od Internetu sprawiło również, że używamy tego samego urządzenia zarówno do celów służbowych, jak i prywatnych, co automatycznie naraża nas na ryzyko. Użytkownicy końcowi są największym zagrożeniem dla przedsiębiorstw. Po podłączeniu do podstawionej sieci może dojść do wycieku danych uwierzytelniających lub wiadomości e-mail.

Przykłady

Gdy dwie strony rozpoczynają rozmowę, zazwyczaj nawiązują połączenie i wymieniają się tak zwanymi kluczami publicznymi – kluczami używanymi do szyfrowania rozmów przed ich przesłaniem przez przewody. Wyobraźmy sobie Alicję i Roberta czatujących w sieci. Gdy Alicja kontaktuje się z Robertem, wysyła swój klucz publiczny. Robert zaszyfruje wszystkie wiadomości dla Alicji swoim kluczem publicznym. Robert z kolei wysyła Alicji swój klucz publiczny. Gdy Alicja otrzyma zaszyfrowaną wiadomość od Roberta, odszyfrowuje ją za pomocą swojego klucza prywatnego i odczytuje. Wyobraźmy sobie teraz trzecią osobę pomiędzy Alicją i Bobem. Ma na imię Piotr. Piotr przechwytuje klucz publiczny Alicji w drodze do Roberta i zastępuje go własnym kluczem publicznym. Piotr również przechwytuje klucz publiczny Roberta i zastępuje go swoim własnym, gdy ten trafia do Alicji. Teraz zarówno Alicja, jak i Robert szyfrują informacje za pomocą klucza publicznego Piotra, a Piotr może je odszyfrować za pomocą własnego klucza prywatnego. Po odszyfrowaniu odczytuje wiadomość, może ją zmienić, a następnie szyfruje ją kluczem publicznym Alicji przechwyconym w pierwszym kroku i przesyła wiadomość do Alicji. Przekierowuje całą komunikację do i od Roberta lub Alicji i żadne z nich nie wie, że jest podsłuchiwane.

Podstawione lub niezabezpieczone sieci Wi-Fi nie są jedynym punktem wejścia, który haker może wykorzystać do przeprowadzenia ataku typu man-in-the-middle. Za każdym razem, gdy korzystasz z Internetu i korzystasz z usługi proxy, aby zanonimizować swój adres IP lub obejść ograniczenia w miejscu pracy, pamiętaj, że serwer proxy zwykle działa jako pośrednik. 

Twoje wizyty na stronach internetowych i aktywność online, taka jak transfery plików, transakcje finansowe lub wiadomości e-mail, mogą zostać przechwycone przez cyberprzestępców za pośrednictwem wrogiego serwera proxy. Narażasz wszystkie swoje dane na kontakt z osobami trzecimi.

Serwery VPN powinny chronić Twoją infrastrukturę poprzez szyfrowanie połączenia. Nieuczciwe serwery VPN mogą również umożliwić stronom trzecim kradzież danych, a co gorsza, mogą przekierować ruch i wykorzystać połączenie internetowe do nielegalnych celów. W przypadku braku bezpiecznego połączenia, zanim zorientujesz się, że zainstalowałeś złośliwy program, może być już za późno.

Zapobieganie

Jeśli nie jesteś obeznany z technologią, niewiele możesz zrobić. Ataki typu man-in-the-middle są bardzo trudne do wykrycia, więc lepiej zapobiegać niż leczyć.

Jeśli jesteś na wakacjach, a Twój telefon automatycznie łączy się z siecią, możesz paść ofiarą ataku MitM. Jeśli zostaniesz poproszony o zainstalowanie aplikacji VPN lub zaakceptowanie certyfikatu cyfrowego, jesteś na dobrej drodze do ataku typu man-in-the-middle. Najprostszym sposobem identyfikacji ataków typu man–in–the–middle jest sprawdzenie, czy certyfikat SSL został wydany dla podmiotu, który zamierzasz odwiedzić. Najlepiej byłoby, gdyby został on wydany przez legalny, godny zaufania urząd certyfikacji. Jeśli przeglądarka sprzeciwia się ważności lub legalności certyfikatu, należy natychmiast zamknąć stronę i poprosić o pomoc przed wprowadzeniem jakichkolwiek danych uwierzytelniających. Możesz sprawdzić certyfikat SSL, patrząc w lewy górny róg przeglądarki, aby upewnić się, że ma zielony napis HTTPS. Oznacza to, że połączenie jest szyfrowane, a dane ukryte.

Nie ma sposobu na prawidłowe wykrycie tych ataków, lepiej jest podchodzić bezpiecznie od samego początku:

• Upewnij się, że połączenia są HTTPS, a nie HTTP.
• Upewnij się, że certyfikat SSL nie wygasł i został wydany przez wiarygodnego dostawcę.
• Unikaj darmowych sieci VPN i serwerów proxy.
• Regularnie zmieniaj hasła i nie używaj ich ponownie.
• Nie łącz się z podejrzanymi sieciami publicznymi, bądź nieufny nawet jeśli chodzi o hotelowe Wi–Fi i nigdy niczego nie instaluj ani nie pobieraj.
• Korzystaj z rozwiązania zabezpieczającego, które jest w stanie skanować połączenia HTTPS.
• Jeśli nie ma alternatywy i musisz połączyć się z taką siecią, unikaj dokonywania płatności i logowania się do kont w mediach społecznościowych lub kont e–mail.

Teraz, gdy przyprawiliśmy cię o dreszcze, spójrzmy na jasną stronę man–in–the–middle. Nie wszystkie MiTM są złe. Takie techniki można wykorzystać dla własnego bezpieczeństwa. Coraz więcej złośliwych stron internetowych i złośliwego oprogramowania przechodzi na bezpieczną komunikację HTTPS w celu eksfiltracji danych i upewnienia się, że rozwiązanie bezpieczeństwa nie może przechwycić nieuczciwego ruchu, niektóre rozwiązania bezpieczeństwa wykorzystują proxy SSL – moduły, które odszyfrowują ruch SSL / TLS, sprawdzają go pod kątem złośliwego oprogramowania, a następnie ponownie szyfrują i przesyłają do miejsca docelowego. Niektóre rozwiązania do kontroli rodzicielskiej również korzystają z tych technologii, aby upewnić się, że zaszyfrowane rozmowy dziecka nie zawierają czegoś, o co musisz się martwić.

Źródło: https://www.bitdefender.com/consumer/support/answer/49038/