Technické časté dotazy. All About Man in the Middle (MitM) Attack Mim Network Attack

18.10.2016 | Vladimír Chazov

Plány FSB, Ministerstva telekomunikací a masových komunikací a Ministerstva průmyslu a obchodu implementovat ustanovení zákona Yarovaya, pokud jde o zachycování a dešifrování korespondence Rusů, již nejsou jen plány a již se začínají realizovat vyvolané příkazem k vypracování znaleckého posudku na možnost odposlechu zpráv WhatsApp, Viber, Facebook Messenger, Telegram, Skype pomocí útoků MITM a ukázka prototypu takového nástroje.

O schématu organizace „legitimního“ MITM útoku jsme psali v minulém článku. Dnes se podrobněji zastavíme u samotného principu takového útoku a způsobů jeho provedení.

Co je útok MITM

Man In The Middle (MITM) se překládá jako „muž uprostřed“. Tento termín označuje síťový útok, kdy se útočník nachází mezi uživatelem internetu a aplikací, ke které přistupuje. Ne samozřejmě ve fyzické rovině, ale pomocí speciálního softwaru. Uživateli je předkládána požadovaná aplikace (může to být webová stránka nebo internetová služba), simuluje práci s ní, a to tak, aby navozovala dojem běžného provozu a výměny informací.

Cílem útoku jsou osobní údaje uživatele, jako jsou přihlašovací údaje do různých systémů, bankovní spojení a čísla karet, osobní korespondence a další. důvěrná informace... Ve většině případů se útoky zaměřují na finanční aplikace (klientské banky, online banky, služby pro platby a převody peněz), služby SaaS společnosti, stránky elektronického obchodu (online obchody) a další stránky, kde je pro vstup do systému vyžadována autorizace.

Informace získané útočníkem mohou být použity k různým účelům, včetně nelegálních převodů peněz, změny účtů, zachycování osobní korespondence, nákupu na cizí náklady, kompromitování a vydírání.

Kromě toho po krádeži přihlašovacích údajů a hacknutí systému mohou zločinci instalovat škodlivý software do podnikové sítě, aby organizovali krádeže duševního vlastnictví (patenty, projekty, databáze) a způsobili ekonomické škody smazáním důležitých dat.

Útok MITM lze přirovnat k pošťákovi, který během doručování vaší korespondence otevře dopis, přepíše jeho obsah pro osobní potřebu, nebo dokonce s padělaným rukopisem přidá něco vlastního a poté obálku zalepí a doručí adresátovi jako by se nic nestalo... Navíc, pokud jste text dopisu zašifrovali a chcete dešifrovací kód sdělit osobně adresátovi, pošťák se představí jako adresát, takže si záměny ani nevšimnete.

Jak se provádí útok MITM

Provedení útoku MITM se skládá ze dvou fází: zachycení a dešifrování.

  • Zachycení

První fází útoku je zachycení provozu od uživatele k určenému cíli a jeho nasměrování do sítě útočníka.

Nejběžnějším a nejjednodušším způsobem zachycení je pasivní útok, kdy útočník vytváří Wi-Fi hotspoty s volným přístupem (bez hesla a bez autorizace). Ve chvíli, kdy se uživatel k takovému bodu připojí, získá útočník přístup k veškerému provozu, který jím prochází, a může z něj získat jakákoli data pro zachycení.

Druhým způsobem je aktivní odposlech, který lze provést jednou z následujících možností:

IP spoofing- falšování IP adresy cíle v hlavičce paketu s adresou útočníka. Výsledkem je, že uživatelé místo toho, aby přešli na požadovanou adresu URL, skončí na webu útočníka.

ARP-spoofing- nahrazení skutečné MAC adresy hostitele za adresu útočníka v ARP tabulce oběti. V důsledku toho se data odeslaná uživatelem na IP adresu požadovaného hostitele dostanou na adresu útočníka.

DNS spoofing - infekce DNS cache, penetrace na DNS server a falšování záznamu o shodě webové adresy. V důsledku toho se uživatel pokusí získat přístup k požadovanému webu, ale ze serveru DNS obdrží adresu webu útočníka.

  • Dešifrování

Po zachycení musí být obousměrný provoz SSL dešifrován, a to tak, aby uživatel a jím požadovaný zdroj rušení nezaznamenali.

K tomu existuje několik metod:

HTTPS spoofing- falešný certifikát je odeslán do prohlížeče oběti v okamžiku navázání spojení se stránkou pomocí protokolu HTTPS. Tento certifikát obsahuje digitální podpis napadené aplikace, díky čemuž prohlížeč přijímá spojení s útočníkem jako spolehlivé. Jakmile je takové spojení navázáno, útočník získá přístup ke všem datům zadaným obětí, než je předá aplikaci.

SSL BEAST(využití prohlížeče proti SSL / TLS) - Útok využívá zranitelnost SSL v TLS verze 1.0 a 1.2. Počítač oběti je infikován škodlivým JavaScriptem, který zachycuje šifrované soubory cookie odeslané webové aplikaci. To ohrozí režim šifrování „zřetězení šifrového bloku“, takže útočník získá dešifrované soubory cookie a ověřovací klíče.

SSL únos- přenos falešných autentizačních klíčů uživateli a aplikaci v okamžiku zahájení TCP relace. Tím se vytvoří vzhled zabezpečené připojení když ve skutečnosti relace řídí „muž uprostřed“.

Odizolování SSL- Downgrade připojení ze zabezpečeného HTTPS na prostý HTTP zachycením ověřování TLS zaslaného aplikací uživateli. Útočník poskytuje uživateli nešifrovaný přístup na stránku a sám udržuje zabezpečenou relaci s aplikací, čímž získává možnost vidět přenášená data oběti. \

Ochrana proti útokům MITM

Spolehlivá ochrana proti útokům MITM je možná, když uživatel provede několik preventivních akcí a použije kombinaci šifrovacích a autentizačních metod vývojářů webových aplikací.

Akce uživatele:

  • Nepřipojujte se k Wi-Fi hotspotům, které nemají ochrana heslem... Vypněte funkci automatického připojení ke známým přístupovým bodům – útočník může svou Wi-Fi maskovat jako legitimní.
  • Věnujte pozornost upozornění prohlížeče o přechodu na nechráněnou stránku. Taková zpráva může naznačovat přechod na falešnou stránku útočníka nebo problém s ochranou legitimní stránky.
  • Odhlaste se z aplikace, pokud ji nepoužíváte.
  • Nepoužívejte veřejné sítě (kavárny, parky, hotely atd.) k provádění důvěrných operací ( obchodní korespondence, finanční operace, nakupování online atd.).
  • Používejte antivirus s aktuálními databázemi na vašem počítači nebo notebooku, pomůže vám to chránit před útoky pomocí škodlivého softwaru.

Vývojáři webových aplikací a stránek musí používat zabezpečené protokoly TLS a HTTPS, které značně komplikují spoofingové útoky šifrováním přenášených dat. Jejich použití také zabraňuje odposlechu provozu za účelem získání autorizačních parametrů a přístupových klíčů.

Za správnou praxi se považuje zabezpečení TLS a HTTPS nejen autorizačních stránek, ale i všech ostatních částí webu. Snižuje se tak možnost útočníka ukrást soubory cookie uživatele v okamžiku, kdy prochází nechráněné stránky po schválení autorizace.

Ochrana proti útokům MITM je v odpovědnosti uživatele a telekomunikačního operátora. Pro uživatele je nejdůležitější neztrácet ostražitost, používat pouze osvědčené způsoby přístupu na internet a pro přenos osobních údajů volit stránky s HTTPS šifrováním. Poskytovatelům služeb lze doporučit, aby používali systémy Deep Packet Inspection (DPI) k detekci anomálií v datových sítích a zabránění útokům spoofingu.

Vládní agentury plánují útok MITM na rozdíl od útočníků využít k ochraně občanů, nikoli k poškození. Zachycení Soukromé zprávy a zbytek uživatelského provozu se uskutečňuje v rámci platné právní úpravy, je uskutečňován na základě rozhodnutí soudních orgánů v boji proti terorismu, obchodu s drogami a jiným zakázaným činnostem. Pro běžné uživatele nejsou „legitimní“ MITM útoky nebezpečné.

Téměř vždy existuje několik způsobů, jak dosáhnout požadovaného výsledku. To platí i pro oblast informační bezpečnosti. Někdy můžete k dosažení cíle použít hrubou sílu, hledat díry a vyvíjet exploity sami nebo poslouchat, co se přenáší přes síť. Navíc poslední možnost je často optimální. Proto dnes budeme hovořit o nástrojích, které nám pomohou získat cenné informace ze síťového provozu a přilákat k tomu útoky MITM.

MITMf

Začněme jedním ze zajímavějších kandidátů. Toto je celý rámec pro útoky typu man-in-the-middle, postavený na bázi sergio-proxy. Nedávno zahrnuto v Kali Linux... Pro vlastní instalace stačí naklonovat úložiště a spustit několik příkazů:

# setup.sh # pip install -r požadavky.txt

# pip install -r požadavky.txt

Má architekturu rozšiřitelnou pluginem. Mezi hlavní patří následující:

  • Spoof – umožňuje přesměrovat provoz pomocí spoofingu ARP / DHCP, přesměrování ICMP a úpravy požadavků DNS;
  • Sniffer - Tento plugin sleduje pokusy o přihlášení pro různé protokoly;
  • BeEFAutorun - umožňuje automaticky spouštět moduly BeEF na základě typu operačního systému a klientského prohlížeče;
  • AppCachePoison - Provede útok otravy mezipamětí;
  • SessionHijacking - unese relace a uloží přijaté soubory cookie do profilu firelis;
  • BrowserProfiler – pokusí se získat seznam pluginů používaných prohlížečem;
  • FilePwn - umožňuje nahradit zprávy odeslané uživatelem HTTP soubory pomocí Backdoor Factory a BDFProxy;
  • Vložit – Vloží libovolný obsah do stránky HTML;
  • jskeylogger – vloží JavaScript keylogger do klientských stránek.

Pokud se vám tato funkce nezdá dostatečná, můžete si vždy přidat vlastní implementací příslušného rozšíření.

PuttyRider

Další pozoruhodná pomůcka. Pravda, na rozdíl od všech ostatních dnes uvažovaných nástrojů je velmi úzce specializovaný. Jak sám autor projektu říká, k myšlence vytvořit takovou utilitu vedlo skutečnost, že při penetračních testech byla nejdůležitější data umístěna na serverech Linux / UNIX, ke kterým se admini připojovali přes SSH / Telnet / rlogin . Navíc ve většině případů bylo mnohem snazší získat přístup k počítači správce než k cílovému serveru. Po proniknutí do počítače správce systému zbývá pouze ujistit se, že PuTTY běží a pomocí tohoto nástroje postavit most zpět k útočníkovi.

Utilita umožňuje nejen čichat „komunikaci“ mezi administrátorem a vzdáleným serverem (včetně hesel), ale také spouštět libovolné příkazy shellu v rámci dané relace. To vše navíc proběhne zcela transparentně pro uživatele (admina). Pokud vás zajímají technické detaily, např. jak je implementace v procesu PuTTY realizována, doporučuji seznámit se s prezentací autora.

Docela stará utilita, která se objevila před více než osmi lety. Navrženo pro klonování relací krádeží souborů cookie. Pro ukradení relací má základní dovednosti v detekci hostitelů (v případě připojení k otevřené bezdrátové síti nebo rozbočovači) a provádění otravy ARP. Jediným problémem je, že dnes, na rozdíl od doby před osmi lety, téměř všechny velké společnosti jako Yahoo nebo Facebook používají šifrování SSL, díky čemuž je tento nástroj zcela zbytečný. Navzdory tomu je na webu stále dostatek zdrojů, které nepoužívají SSL, takže je příliš brzy na odepisování nástroje. Mezi jeho plusy patří fakt, že se automaticky integruje do Firefoxu a pro každou zachycenou relaci vytvoří samostatný profil. Zdrojový kód je k dispozici v úložišti a můžete si jej vytvořit sami pomocí následující sekvence příkazů:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g ++ $ (wx-config --cppflags --libs) -lpcap -o sessionthief * .cpp # setcap cap_net_raw, cap_net_admin = eip session zloděj

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev

# g ++ $ (wx-config --cppflags --libs) -lpcap -o sessionthief * .cpp

# setcap cap_net_raw, cap_net_admin = eip sessionthief

ProxyFuzz

ProzyFuzz nemá nic společného s útoky MITM. Jak název napovídá, nástroje jsou určeny pro fuzzing. Je to malý nedeterministický síťový fuzzer implementovaný v pythonu, který náhodně mění obsah paketů síťového provozu. Podporuje protokoly TCP a UDP. Lze nakonfigurovat tak, aby fuzz pouze na jedné straně. Užitečné, když potřebujete rychle otestovat nějakou síťovou aplikaci (nebo protokol) a vyvinout PoC. Příklad použití:

Python proxyfuzz -l -r -p

python proxyfuzz -l -r -p

Seznam možností zahrnuje:

  • w - nastavuje počet požadavků odeslaných před začátkem fuzzingu;
  • c - fuzz pouze klienta (jinak obě strany);
  • s - fuzz pouze server (jinak obě strany);
  • u - protokol UDP (jinak se používá TCP).

Prostředník

Nástroj pro provádění MITM útoků na různé protokoly prezentovaný na konferenci DEF CON. Alfa verze podporovala protokol HTTP a měla ve svém arzenálu tři skvělé pluginy:

  • plugin-beef.py - Vloží Browser Exploitation Framework (BeEF) do jakéhokoli požadavku HTTP přicházejícího z místní sítě.
  • plugin-metasploit.py - vkládá IFRAME do nešifrovaných (HTTP) požadavků, které stahují exploity pro prohlížeče z Metasploitu;
  • plugin-keylogger.py – Vloží obslužnou rutinu události onKeyPress JavaScript pro všechna textová pole, která budou odeslána přes HTTPS, což způsobí, že prohlížeč odešle uživateli zadané heslo znak po znaku na server útočníka před odesláním celého formuláře.

Middler nejen automaticky analyzuje síťový provoz a nachází v něm soubory cookie, ale také je nezávisle požaduje od klienta, to znamená, že proces je maximálně automatizován. Program garantuje sběr všech nechráněných účtů v počítačové síti (nebo veřejném hotspotu), k jejichž provozu má přístup. Aby program správně fungoval, musí být v systému nainstalovány následující balíčky: Scapy, libpcap, readline, libdnet, python-netfilter. Bohužel úložiště nebylo dlouho aktualizováno, takže si budete muset přidat novou funkcionalitu sami.

Nástroj konzoly, který interaktivně umožňuje zkoumat a upravovat provoz HTTP. Díky takovým dovednostem utilitu využívají nejen pentesteri / hackeři, ale i běžní vývojáři, kteří ji využívají například k ladění webových aplikací. S jeho pomocí můžete získat detailní informace jaké požadavky aplikace vznáší a jaké odpovědi dostává. Mitmproxy vám také může pomoci pochopit, jak fungují některá rozhraní REST API, zejména ta, která jsou špatně zdokumentována.

Instalace je velmi jednoduchá:

$ sudo aptitude install mitmproxy

Za zmínku stojí, že mitmproxy také umožňuje zachytit HTTPS provoz vydáním certifikátu s vlastním podpisem klientovi. Dobrý příklad jak nakonfigurovat zachycení a úpravu provozu, můžete.

Dsniff

Tento nástroj je obecně jedním z prvních, který by vás měl napadnout, jakmile uslyšíte
„útok MITM“. Nástroj je poměrně starý, ale stále se aktivně aktualizuje, což je dobrá zpráva. O jeho schopnostech nemá smysl podrobně mluvit, za čtrnáct let existence byl na síti pokryt nejednou. Například v tutoriálu, jako je tento:

no, nebo návod z našeho webu:

Konečně..

Jako obvykle jsme nezvážili všechny nástroje, ale pouze ty nejoblíbenější, stále existuje mnoho málo známých projektů, o kterých si někdy budeme povídat. Jak vidíte, nástroje pro vedení útoků MITM nechybí, a což se nestává tak často, jeden z nejlepších nástrojů je implementován pro Windows. O systémech nix není co říci - celá řada. Takže si myslím, že vždy můžete najít ten správný nástroj k únosu
cizí pověření. Jejda, tedy na testování.

Ve kterém útočník po připojení ke kanálu mezi protistranami zasahuje do přenosového protokolu, maže nebo zkresluje informace.

Kolegiální YouTube

    1 / 3

    ✪ # 4 JAK SE STÁT HACKEREM? "Útok makléře"! | HACKING od A do Z |

    ✪ MiTM útok na iOS. Technika a důsledky

    ✪ Bitcoin Časová osa hackerských útoků a burzovních hacků na trhu kryptoměn (2012 - 2018)

    titulky

Princip útoku

Útok obvykle začíná poslechem komunikačního kanálu a končí tím, že se kryptoanalytik snaží zachycenou zprávu nahradit, extrahovat z ní užitečné informace, přesměrujte jej na nějaký externí zdroj.

Předpokládejme, že objekt A plánuje předat nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat, stejně jako o skutečnosti plánovaného přenosu aktuální informace, kterou C plánuje zachytit. K provedení útoku se C "objeví" objektu A jako B a objektu B jako A. Objekt A, který se mylně domnívá, že posílá informace B, je pošle objektu C. Objekt C poté, co přijal informaci a provedl některé akce s ním (například zkopírování nebo úprava pro vlastní účely) odešle data samotnému příjemci - B; subjekt B se zase domnívá, že informace obdržel přímo od A.

Příklad útoku

Injekce škodlivého kódu

Útok typu man-in-the-middle umožňuje kryptoanalytovi vložit jeho kód e-maily, SQL příkazy a webové stránky (tj. umožňují SQL injection, HTML/script injection nebo XSS útoky) a dokonce upravují uživatelem načtené binární soubory za účelem přístupu účet uživatele nebo změnit chování programu staženého uživatelem z internetu.

Downgrade útok

Pojem „downgrade Attack“ označuje útok, při kterém kryptoanalytik nutí uživatele používat méně bezpečné funkce, protokoly, které jsou stále podporovány z důvodu kompatibility. Tento typ útoku lze provést proti protokolům SSH, IPsec a PPTP.

K ochraně před downgrade Attack musí být nebezpečné protokoly zakázány alespoň na jedné straně; pouze podpora a používání zabezpečených protokolů ve výchozím nastavení nestačí!

SSH V1 místo SSH V2

Útočník se může pokusit změnit parametry připojení mezi serverem a klientem při navazování spojení mezi nimi. Podle přednášky na Blackhat Conference Europe 2003 může kryptoanalytik „přinutit“ klienta zahájit relaci SSH1 změnou čísla verze „1.99“ pro relaci SSH na „1.51“ místo SSH2, což znamená použití SSH V1. Protokol SSH-1 má zranitelnosti, které může zneužít kryptoanalytik.

IPsec

V tomto scénáři útoku kryptoanalytik klame svou oběť, aby si myslela, že relace IPsec nemůže začít na druhém konci (serveru). To vede k tomu, že zprávy budou předávány explicitně, pokud hostitelský počítač běží v režimu vrácení zpět.

PPTP

Ve fázi vyjednávání parametrů relace PPTP může útočník donutit oběť, aby použila méně bezpečnou autentizaci PAP, MSCHAP V1 (to znamená „vrátit se“ z MSCHAP V2 na verzi 1), nebo nepoužila šifrování vůbec.

Útočník může donutit svou oběť k opakování fáze vyjednávání parametrů relace PPTP (odeslání paketu Terminate-Ack), ukrást heslo ze stávajícího tunelu a útok zopakovat.

Veřejné komunikační prostředky bez ochrany spolehlivosti, důvěrnosti, dostupnosti a integrity informací

Nejběžnějšími komunikačními prostředky pro tuto skupinu jsou sociální síť, veřejná e-mailová služba a systém pro rychlé zasílání zpráv. Vlastník zdroje, který poskytuje komunikační službu, má plnou kontrolu nad informacemi vyměňovanými korespondenty a podle svého uvážení může kdykoli snadno provést útok.

Na rozdíl od předchozích scénářů založených na technických a technologických aspektech komunikací, v v tomto případěútok je založen na mentálních aspektech, konkrétně na zakořenění v myslích uživatelů konceptu ignorování požadavků na informační bezpečnost.

Zachrání vás šifrování?

Zvažte případ standardní transakce HTTP. V tomto případě může útočník poměrně snadno rozdělit původní TCP spojení na dvě nová: jedno mezi sebe a klienta, druhé mezi sebe a server. To je docela snadné, protože je velmi vzácné, že spojení mezi klientem a serverem je přímé a ve většině případů jsou připojeni přes řadu mezilehlých serverů. Útok MITM lze provést na kterémkoli z těchto serverů.

Pokud však klient a server komunikují přes HTTPS, protokol, který podporuje šifrování, lze také provést útok typu man-in-the-middle. Tento typ připojení používá TLS nebo SSL k šifrování požadavků, což by zřejmě zajistilo kanál chráněný před útoky sniffing a MITM. Útočník může vytvořit dvě nezávislé relace SSL pro každé připojení TCP. Klient naváže spojení SSL s útočníkem, který zase vytvoří spojení se serverem. V takových případech prohlížeč většinou upozorní, že certifikát nepodepisuje důvěryhodná certifikační autorita, ale běžní uživatelé zastaralé prohlížeče snadno toto varování obejít. Útočník může mít navíc certifikát podepsaný kořenovou CA (například takové certifikáty se někdy používají pro DLP) a negeneruje výstrahy. Kromě toho existuje řada útoků proti HTTPS. Protokol HTTPS tedy nelze považovat za bezpečný proti MITM útokům mezi běžnými uživateli. [ ] Existuje řada opatření k zamezení některých útoků MITM na weby https, zejména HSTS, který zakazuje používání http připojení z webů, připínání certifikátů a připínání veřejného klíče HTTP, které zakazují falšování certifikátů.

Detekce útoků MITM

Chcete-li detekovat útok typu man-in-the-middle, musíte analyzovat síťový provoz. Chcete-li například detekovat útok SSL, měli byste věnovat pozornost následujícím parametrům:

  • IP serveru
  • DNS server
  • X.509 - certifikát serveru
    • Je certifikát podepsaný sám sebou?
    • Je certifikát podepsán certifikační autoritou?
    • Byl certifikát zneplatněn?
    • Změnil se certifikát v poslední době?
    • Obdrželi stejný certifikát i jiní zákazníci na internetu?

Implementace útoků MITM

Uvedené programy lze použít k provádění útoků typu man-in-the-middle a také k jejich detekci a testování zranitelnosti systému.

viz také

  • Aspidistra (anglicky) – britský rádiový vysílač používaný během druhé světové války „invaze“, varianta útoku MITM.
  • Babingtonské spiknutí je spiknutí proti Alžbětě I., ve kterém Walsingham zachytil korespondenci.

Jiné útoky

  • Man in the Browser je typ útoku, při kterém může útočník okamžitě změnit parametry transakce a změnit stránky zcela transparentně pro oběť.
  • Meet-in-the-middle útok je kryptografický útok, který stejně jako narozeninový útok využívá kompromisu mezi časem a pamětí.
  • Slečna v útoku uprostřed - účinná metoda tzv. nemožná diferenciální kryptoanalýza.
  • Relay attack je varianta MITM útoku založená na předání zachycené zprávy platnému příjemci, ale ne zamýšlenému příjemci.

Ve kterém útočník po připojení ke kanálu mezi protistranami zasahuje do přenosového protokolu, maže nebo zkresluje informace.

Princip útoku

Útok obvykle začíná poslechem komunikačního kanálu a končí tím, že se kryptoanalytik snaží zachycenou zprávu nahradit, extrahovat z ní užitečné informace a přesměrovat ji na nějaký externí zdroj.

Předpokládejme, že objekt A plánuje předat nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat, stejně jako o skutečnosti plánovaného přenosu aktuální informace, kterou C plánuje zachytit. K provedení útoku se C "objeví" objektu A jako B a objektu B jako A. Objekt A, který se mylně domnívá, že posílá informace B, je pošle objektu C. Objekt C poté, co přijal informaci a provedl některé akce s ním (například zkopírování nebo úprava pro vlastní účely) odešle data samotnému příjemci - B; subjekt B se zase domnívá, že informace obdržel přímo od A.

Příklad útoku

Injekce škodlivého kódu

Útok typu man-in-the-middle umožňuje kryptoanalytikovi vložit svůj kód do e-mailů, příkazů SQL a webových stránek (to znamená, že umožňuje vkládání SQL, vkládání HTML / skriptů nebo útoky XSS), a dokonce upravuje binární soubory nahrané uživateli. pro přístup k uživatelskému účtu nebo změnu chování programu staženého uživatelem z internetu.

Downgrade útok

Pojem „downgrade Attack“ označuje útok, při kterém kryptoanalytik nutí uživatele používat méně bezpečné funkce, protokoly, které jsou stále podporovány z důvodu kompatibility. Tento typ útoku lze provést proti protokolům SSH, IPsec a PPTP.

K ochraně před downgrade Attack musí být nebezpečné protokoly zakázány alespoň na jedné straně; pouze podpora a používání zabezpečených protokolů ve výchozím nastavení nestačí!

SSH V1 místo SSH V2

Útočník se může pokusit změnit parametry připojení mezi serverem a klientem při navazování spojení mezi nimi. Podle přednášky na Blackhat Conference Europe 2003 může kryptoanalytik „přinutit“ klienta, aby zahájil relaci SSH1 namísto SSH2, změnou čísla verze „1.99“ pro relaci SSH na „1.51“, což znamená použití SSH V1. Protokol SSH-1 má zranitelnosti, které může zneužít kryptoanalytik.

IPsec

V tomto scénáři kryptoanalytik klame svou oběť, aby si myslela, že relace IPsec nemůže začít na druhém konci (serveru). To vede k tomu, že zprávy budou předávány explicitně, pokud hostitelský počítač běží v režimu vrácení zpět.

PPTP

Ve fázi vyjednávání parametrů relace PPTP může útočník donutit oběť, aby použila méně bezpečnou autentizaci PAP, MSCHAP V1 (to znamená „vrátit se“ z MSCHAP V2 na verzi 1), nebo nepoužila šifrování vůbec.

Útočník může donutit svou oběť k opakování fáze vyjednávání parametrů relace PPTP (odeslání paketu Terminate-Ack), ukrást heslo ze stávajícího tunelu a útok zopakovat.

Veřejné komunikační prostředky bez ochrany spolehlivosti, důvěrnosti, dostupnosti a integrity informací

Nejběžnějšími komunikačními prostředky pro tuto skupinu jsou sociální sítě, veřejné e-mailové služby a systémy pro rychlé zasílání zpráv. Vlastník zdroje, který poskytuje komunikační službu, má plnou kontrolu nad informacemi vyměňovanými korespondenty a podle svého uvážení může kdykoli snadno provést útok.

Na rozdíl od předchozích scénářů založených na technických a technologických aspektech komunikačních prostředků je v tomto případě útok založen na mentálních aspektech, konkrétně na zakořenění v myslích uživatelů konceptu ignorování požadavků na informační bezpečnost.

Zachrání vás šifrování?

Zvažte případ standardní transakce HTTP. V tomto případě může útočník poměrně snadno rozdělit původní TCP spojení na dvě nová: jedno mezi sebe a klienta, druhé mezi sebe a server. To je docela snadné, protože je velmi vzácné, že spojení mezi klientem a serverem je přímé a ve většině případů jsou připojeni přes řadu mezilehlých serverů. Útok MITM lze provést na kterémkoli z těchto serverů.

Pokud však klient a server komunikují přes HTTPS, protokol, který podporuje šifrování, lze také provést útok typu man-in-the-middle. Tento typ připojení používá TLS nebo SSL k šifrování požadavků, což by zřejmě zajistilo kanál chráněný před útoky sniffing a MITM. Útočník může vytvořit dvě nezávislé relace SSL pro každé připojení TCP. Klient naváže spojení SSL s útočníkem, který zase vytvoří spojení se serverem. V takových případech prohlížeč většinou upozorní, že certifikát není podepsán důvěryhodnou certifikační autoritou, ale běžní uživatelé zastaralých prohlížečů toto varování snadno obejdou. Útočník může mít navíc certifikát podepsaný kořenovou CA (například takové certifikáty se někdy používají pro DLP) a negeneruje výstrahy. Kromě toho existuje řada útoků proti HTTPS. Protokol HTTPS tedy nelze považovat za bezpečný proti MITM útokům mezi běžnými uživateli. [ ] Existuje řada opatření k zamezení některých útoků MITM na weby https, zejména HSTS, který zakazuje používání http připojení z webů, připínání certifikátů a připínání veřejného klíče HTTP, které zakazují falšování certifikátů.

Detekce útoků MITM

Chcete-li detekovat útok typu man-in-the-middle, musíte analyzovat síťový provoz. Chcete-li například detekovat útok SSL, měli byste věnovat pozornost následujícím parametrům:

  • IP serveru
  • DNS server
  • X.509 - certifikát serveru
    • Je certifikát podepsaný sám sebou?
    • Je certifikát podepsán certifikační autoritou?
    • Byl certifikát zneplatněn?
    • Změnil se certifikát v poslední době?
    • Obdrželi stejný certifikát i jiní zákazníci na internetu?

Implementace útoků MITM

Uvedené programy lze použít k provádění útoků typu man-in-the-middle a také k jejich detekci a testování zranitelnosti systému.

viz také

  • Aspidistra (anglicky) – britský rádiový vysílač používaný během druhé světové války „invaze“, varianta útoku MITM.
  • Babingtonské spiknutí je spiknutí proti Alžbětě I., ve kterém Walsingham zachytil korespondenci.

Jiné útoky

  • Man in the Browser je typ útoku, při kterém může útočník okamžitě změnit parametry transakce a změnit stránky zcela transparentně pro oběť.
  • Útok Meet-in-the-middle je kryptografický útok, který stejně jako narozeninový útok využívá kompromisu mezi časem a pamětí.
  • Útok Miss in the middle je účinnou metodou tzv. nemožné diferenciální kryptoanalýzy.
  • Relay attack je varianta MITM útoku založená na předání zachycené zprávy platnému příjemci, ale ne zamýšlenému příjemci.
  • Rootkit je program navržený tak, aby skryl stopy přítomnosti vetřelce.

Napište recenzi na "Middleman Attack"

Literatura

Odkazy

  • www.all.net/CID/Attack/Attack74.html
  • www.nag.ru/2003/0405/0405.shtml
  • www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Úryvek z Útok prostředníka

"Quartire, quartire, logement," řekl důstojník a shlížel na malého muže se shovívavým a dobromyslným úsměvem. - Les Francais sont de bons enfants. Que diable! Voyony! Ne nous fachons pas, mon vieux, [Apartmány, apartmány... Francouzi jsou dobří chlapi. Sakra, nehádejme se, dědečku.] - dodal a poplácal vyděšeného a tichého Gerasima po rameni.
- Asi! Dites donc, on ne parle donc pas francais dans cette boutique? [No, vážně, tady taky nikdo nemluví francouzsky?] - dodal, rozhlédl se a setkal se s Pierrovýma očima. Pierre ustoupil ode dveří.
Důstojník se znovu obrátil ke Gerasimovi. Požadoval, aby mu Gerasim ukázal pokoje v domě.
- Mistr není přítomen - nerozumím... můj tvůj... - řekl Gerasim a snažil se svá slova objasnit tím, že je vyslovil obráceně.
Francouzský důstojník s úsměvem rozhodil ruce před Gerasimovým nosem, dal mu pocítit, že mu nerozumí, a kulhal a šel ke dveřím, u kterých stál Pierre. Pierre se chtěl odstěhovat, aby se před ním schoval, ale právě v tu chvíli uviděl Makara Alekseicha, jak se vyklonil z otevíracích dveří kuchyně s pistolí v rukou. Makar Alekseich se s vychytralostí šílence podíval na Francouze, zvedl pistoli a zamířil.
- Na palubu!!! Opilec vykřikl a stiskl spoušť pistole. Francouzský důstojník se otočil, aby vykřikl, a v tom samém okamžiku se Pierre vrhl na opilce. Zatímco Pierre popadl a zvedl pistoli, Makar Alekseich konečně stiskl spoušť prstem a ozval se výstřel, který všechny ohlušil a polil prachovým kouřem. Francouz zbledl a vrhl se zpět ke dveřím.
Když Pierre zapomněl na svůj úmysl neprozradit svou znalost francouzštiny, vytáhl pistoli a hodil ji, přiběhl k důstojníkovi a promluvil na něj francouzsky.
"Vous n" etes pas blesse? [Jsi zraněný?] Řekl.
„Je crois que non,“ odpověděl důstojník a cítil se sám sebou, „mais je l“ ai manque belle cette fois ci, „dodal a ukázal na tepající omítku ve zdi.“ Quel est cet homme? [Zdá se, že ne. .. ale jednou to bylo blízko Kdo je ten muž?] - řekl důstojník s přísným pohledem na Pierra.
- Ah, je suis vraiment au desespoir de ce qui vient d "příjezd, [Ach, opravdu jsem zoufalý z toho, co se stalo," řekl Pierre rychle a úplně zapomněl na svou roli. - C "est un fou, un malheureux qui ne savait pas ce qu "il faisait." [To je nešťastný šílenec, který nevěděl, co dělá.]
Důstojník přistoupil k Makaru Alekseichovi a popadl ho za límec.
Makar Alekseich otevřel rty, jako by usnul, zakolísal se a opřel se o zeď.
"Brigande, tu me la payeras," řekl Francouz a sundal ruku.
- Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [Rogue, za tohle mi zaplatíš. Náš bratr je po vítězství milosrdný, ale zrádcům neodpouštíme,] - dodal s ponurou vážností ve tváři a s krásným energickým gestem.
Pierre pokračoval ve francouzštině v přesvědčování důstojníka, aby se nevzpamatoval z tohoto opilého, šíleného muže. Francouz mlčky naslouchal, aniž by změnil svůj zachmuřený pohled, a najednou se s úsměvem obrátil k Pierrovi. Několik sekund se na něj mlčky díval. Jeho hezká tvář získala tragicky jemný výraz a napřáhl ruku.
- Vous m "avez sauve la vie! Vous etes Francais, [Zachránil jsi mi život. Jsi Francouz,] - řekl. Pro Francouze byl tento závěr nade vší pochybnost. Jen Francouz mohl udělat velkou věc a zachránit svou život, pane Ramballe“ I capitaine du 13 me leger [Monsieur Rambal, kapitán 13. lehkého pluku] – byl bezpochyby tím největším činem.
Ale bez ohledu na to, jak nepochybný byl tento závěr a na něm založené přesvědčení důstojníka, Pierre považoval za vhodné ho zklamat.
- Je suis Russe, [Jsem Rus,] - řekl Pierre rychle.
- Ti tee tee, a d "autres, [řekni to ostatním,] - řekl Francouz, zamával si prstem před nosem a usmál se. - Tout a l" heure vous allez me conter tout ca," řekl. - Charme de rencontrer un compatriote. Eh bien! qu "allons nous faire de cet homme? [Teď mi to všechno povíš. Je velmi příjemné potkat krajana. No, co s tím mužem můžeme dělat?" Pierre nebyl Francouz, toto nejvyšší jméno získal v roce svět, nemohl se toho vzdát, mluvil výraz ve tváři a tón francouzského důstojníka.Opilý, nepříčetný muž ukradl nabitou pistoli, kterou mu nestihli vzít, a požádal, aby jeho čin ponechal bez trestu.
Francouz natáhl hruď a udělal královské gesto rukou.
- Vous m "avez sauve la vie. Vous etes Francais. Vous me requestez sa grace? Je vous l" souhlasím. Qu "on emmene cet homme, [Zachránil jsi mi život. Jsi Francouz. Chceš, abych mu odpustil? Odpouštím mu. Odnes toho muže pryč," řekl francouzský důstojník rychle a energicky a vzal za paži, co měl. udělal, aby zachránil svůj život francouzskému Pierrovi, a šel s ním do domu.
Vojáci, kteří byli na dvoře, když slyšeli výstřel, vstoupili do vchodu, ptali se, co se stalo, a vyjádřili svou připravenost potrestat viníky; ale důstojník je přísně zastavil.
- Na vous demandera quand on aura besoin de vous, [Když to bude nutné, budete zavoláni,] - řekl. Vojáci odešli. Zřízenec, který byl mezitím v kuchyni, přistoupil k důstojníkovi.
"Kapitáne, je tu polévka a gigot de mouton dans la kuchyně," řekl. - Faut il vous l "apporter? [Kapitán má v kuchyni polévku a pečené jehněčí maso. Chcete, abych to přinesl?]
- Oui, et le vin, [Ano, a víno,] řekl kapitán.

Francouzský důstojník vstoupil do domu s Pierrem. Pierre považoval za svou povinnost ujistit kapitána, že není Francouz, a chtěl odejít, ale francouzský důstojník o tom nechtěl ani slyšet. Byl tak zdvořilý, laskavý, dobromyslný a opravdu vděčný za záchranu jeho života, že Pierre neměl to srdce ho odmítnout a posadil se s ním na chodbu, v první místnosti, do které vešli. V reakci na Pierrovo tvrzení, že není Francouz, kapitán, očividně nechápající, jak je možné odmítnout tak lichotivý titul, pokrčil rameny a řekl, že pokud určitě chce být známý jako Rus, ať to tak bude. , ale že s ním i přesto navždy spojil pocit vděčnosti za záchranu života.
Pokud by tento muž byl nějakým způsobem nadán schopností porozumět pocitům druhých a hádal o Pierrových pocitech, Pierre by ho pravděpodobně opustil; ale oživená nepropustnost tohoto muže vůči všemu, co nebylo on sám, získala Pierre.
- Francais ou prince russe inkognito, [francouzský nebo ruský inkognito princ,] - řekl Francouz a podíval se na Pierrovo tenké, ale špinavé prádlo a prsten na ruce. - Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [Dlužím ti svůj život a nabízím ti přátelství. Francouzi nikdy nezapomenou na urážku nebo službu. I nabídnout ti své přátelství. Nic víc neříkám.]
Ve zvucích hlasu, ve výrazu ve tváři, v gestech tohoto důstojníka bylo tolik dobré povahy a ušlechtilosti (ve francouzském smyslu), že Pierre, který na Francouzův úsměv odpověděl nevědomým úsměvem, se otřásl. jeho natažená ruka.
- Capitaine Ramball du treizieme leger, decore pour l "affaire du Sept, [kapitán Rambal, třináctý lehký pluk, rytíř Čestné legie za sedmé září]," představil se se samolibým, nepotlačitelným úsměvem, který mu zkřivil rty. pod knírem. - Voudrez vous bien me dire dar, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester al" ambulance avec la balle de ce fou dans le corps. [Byli byste tak laskav řekni mi teď, s kým jsem, mám tu čest si tak hezky popovídat, místo abych byl na převlékací stanici s kulkou toho šílence v těle?]
Pierre odpověděl, že nemůže říct své jméno, a začervenal se a začal se snažit vymyslet jméno, mluvit o důvodech, proč to nemohl říct, ale Francouz ho spěšně přerušil.
"De grace," řekl. - Je to pochopit vos raisons, vous etes officier ... officier superieur, peut etre. Vous avez porte les armes contre nous. Ce n "est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [Dokončete, prosím. Rozumím vám, jste důstojník ... možná velitel ústředí. Vy sloužil proti nám To není moje věc. Dlužím ti svůj život. To mi stačí a jsem celý tvůj. Jsi šlechtic?] "Dodal s nádechem otázky. Pierre sklonil hlavu." Votre nom de bapteme, s "il vous plait? Je ne demande pas davantage. Monsieur Pierre, dites vous... Parfait. C "est tout ce que je touha savoir. [Vaše jméno? Na víc se neptám. Pane Pierre, řekl jste? Dobře. To je vše, co potřebuji.]
Když přinesli smažené jehněčí, míchaná vejce, samovar, vodku a víno z ruského sklepa, které si Francouzi přivezli, požádal Rambal Pierra, aby se této večeře zúčastnil a okamžitě, chtivě a rychle, jako zdravý a hladový muž, začal jíst, rychle žvýkal svými silnými zuby, neustále mlátil rty a říkal vynikající, vynikající! [nádherné, úžasné!] Jeho tvář byla zrudlá a pokrytá potem. Pierre měl hlad a s radostí se účastnil večeře. Morel, zřízenec, přinesl hrnec s teplou vodou a postavil do něj láhev červeného vína. Navíc přinesl láhev kvasu, který si vzal na vzorek v kuchyni. Tento nápoj znali již Francouzi a dostal své jméno. Říkali kvass limonade de cochon (vepřová limonáda) a Morel chválil tuto limonade de cochon, kterou našel v kuchyni. Ale protože kapitán měl víno získané při průjezdu Moskvou, poskytl kvas Morelovi a vzal láhev Bordeaux. Zabalil láhev až po hrdlo do ubrousku a nalil sobě a Pierrovi trochu vína. Ukojený hlad a víno kapitána ještě více oživily a během večeře neustále mluvil.
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m "avoir sauve ... de cet enrage ... J" en ai assez, voyez vous, de balles dans le corps. En voila une (na ukázal na stranu) Wagram et de deux a Smolensk, - ukázal jizvu, kterou měl na tváři. - Et cette jambe, comme vous voyez, qui ne veut pas marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une rude besogne; vous pouvez vous en vanter, nom d "un petit bonhomme. Et, ma parole, malgre l" atoux que j "y ai gagne, je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca. [Ano, můj drahý mistře Pierre, jsem povinen zapálit vám dobrou svíčku za to, že jste mě zachránil před tímto šílencem. Vidíš, už mám dost těch kulek, které mám v těle. Tady je jeden u Wagramu, další u Smolenska. A tato noha, jak vidíte, se nechce pohnout. To je ve velké bitvě 7. u Moskvy. Ó! Bylo to úžasné! Měli jste vidět, že to byla záplava ohně. Dali jste nám těžkou práci, můžete se pochlubit. A proboha, i přes tento trumf (ukázal na kříž) bych byl připraven začít znovu. Lituji těch, kteří to neviděli.]
- J "y ai ete, [byl jsem tam] - řekl Pierre.
- Bah, vraiment! Eh bien, tant mieux, řekl Francouz. - Vous etes de fiers ennemis, tout de meme. La grande redoute a ete tenace, nom d "une pipe. Et vous nous l" avez fait cranement payer. J "y suis alle trois fois, tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. Oh !! c" etait beau, monsieur Pierre. Vos granátníci ont ete superbes, tonnerre de Dieu. Je les ai vu šest fois de suite serrer les rangs, et marcher comme a une revue. Les beaux hommes! Notre roi de Neapol, qui s "y connait a crie: bravo! Ach, ach! Soldat comme nous autres!" Řekl s úsměvem a jedl chvíli ticha. "Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille .. galants ... - mrkl s úsměvem, - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [Bah, opravdu? Tím lépe. Musím přiznat, že jste úskoční nepřátelé. Velká reduta obstála dobře, sakra. A donutil jsi nás zaplatit draze. Byl jsem tam třikrát, jak vidíte. Třikrát jsme byli na kanónech, třikrát nás povalili jako kartářky. Vaši granátníci byli skvělí, proboha. Viděl jsem, jak se jejich řady šestkrát uzavřely a jak šli rovnou do průvodu. Úžasní lidé! Náš neapolský král, který v těchto věcech sežral psa, na ně křičel: bravo! - Ha, ha, tak ty jsi náš bratr voják! "Tím lépe, tím lépe, monsieur Pierre." Hrozný v bitvách, laskavý ke kráskám, tady jsou Francouzi, monsieur Pierre. Není to ono?]
Kapitán byl do takové míry naivně a dobromyslně veselý a bezelstný a spokojený sám se sebou, že Pierre na sebe málem mrkl a vesele se na něj díval. Pravděpodobně slovo „galantní“ přimělo kapitána zamyslet se nad situací v Moskvě.