Человек в средней атаке | Избегайте падения жертвы MITM

В веб-приложении обычно есть два участника: клиент и сервер . Третья сущность, которая чаще всего остается незамеченной, - это канал связи. Этот канал может быть как проводным, так и беспроводным. На пути к наиболее эффективному перенаправлению вашего запроса на сервер назначения может быть один или несколько серверов. Они известны как прокси-серверы .

Когда в сети есть нежелательный прокси, перехватывающий и изменяющий запросы / ответы, этот прокси называется Человеком посередине . Сообщается, что сеть находится под атакой «Человек посередине» . Интересный момент заключается в том, что этот мошеннический прокси-сервер часто неверно воспринимается как законная конечная точка в обмене данными другой конечной точкой. (Он работает как сервер для клиента и как клиент для сервера).

Например, предположим, что вы подключены к сети Wi-Fi и выполняете транзакцию со своим банком. Злоумышленник также подключен к тому же Wi-Fi. Злоумышленник делает следующее:

1. Злоумышленник отправляет в сеть ложные ARP-пакеты, которые сопоставляют IP-адрес точки доступа с MAC-адресом устройства злоумышленника.
2. Каждое устройство, подключенное к сети, кэширует запись, содержащуюся в ложных пакетах.
3. Ваше устройство использует ARP для отправки пакетов, предназначенных для веб-сервера вашего банка, в точку доступа (которая является шлюзом по умолчанию для сети).
4. Пакеты отправляются на машину злоумышленника.
5. Злоумышленник теперь может читать и изменять запросы, содержащиеся в пакетах, перед их пересылкой.

Таким образом, злоумышленник удобно расположен между вами и сервером вашего банка. Каждый бит конфиденциальных данных, которые вы отправляете на свой сервер, включая пароль для входа, виден злоумышленнику. Отравление кэша ARP - один из многих способов выполнения атаки MITM; другие способы -

1. Подмена DNS.
2. Подмена IP-адреса.
3. Настройка мошеннической точки доступа Wi-Fi.
4. Спуфинг SSL. и т.п.

Использование SSL может предотвратить успех этих атак. Поскольку данные зашифрованы и только законные конечные точки имеют ключ для их расшифровки, злоумышленник может сделать с данными гораздо меньше, даже если он получит к ним доступ.
(SSL полезен только в том случае, если он настроен правильно, есть способы обойти этот механизм защиты, но их очень сложно реализовать). Но злоумышленник все равно может нанести большой ущерб, если веб-приложение, с которым взаимодействовал пользователь, не использует то, что называется nonce. Злоумышленник может перехватить зашифрованный запрос в течение всего сеанса, а затем осторожно повторно отправить запросы, используемые для входа в систему. Таким образом, злоумышленник получит доступ к вашей учетной записи, не зная вашего пароля. Использование nonce предотвращает такие «атаки повторного воспроизведения». Одноразовый номер - это уникальный номер, который сервер отправляет клиенту перед входом в систему. Он отправляется с именем пользователя и паролем и становится недействительным после однократного использования.

Есть кое-что, что можно сделать, чтобы не стать жертвой MITM и связанных с ним атак. Надо :

• Всегда используйте надежные сети и устройства для входа на конфиденциальные веб-сайты.
• Избегайте подключения к открытой (незашифрованной) сети Wi-Fi.
• Защита сетей от нежелательного внешнего доступа.
• Если вам нужно использовать общедоступный компьютер, проверьте его браузер на наличие каких-либо мошеннических сертификатов и убедитесь, что их нет. Также проверьте файл hosts.
• При подключении к общедоступной сети или использовании общедоступного компьютера выполните трассировку веб-сайта, к которому вы хотите получить доступ, и просмотрите маршрут, пройденный пакетами, на предмет чего-либо подозрительного. Например, пакеты идут на IP-адрес, отличный от IP-адреса, последний октет которого равен 1 (IP-адрес вашего шлюза).