Co to jest MitM?

Aby Twoje urządzenie mogło komunikować się z innym urządzeniem, musi się z nim połączyć. Jeśli drugie urządzenie jest fizycznie obecne, jest to całkiem proste. Możesz po prostu poprowadzić kabel między dwoma urządzeniami. Konieczne jest, aby współdzielili jakiś standard komunikacji, ale podstawowa zasada pozostaje niezmieniona. Oczywiście większość urządzeń, z którymi możesz chcieć się komunikować, nie jest fizycznie obecna. Zamiast tego musisz połączyć się z nimi przez sieć komputerową, zwykle z udziałem Internetu.

Problem polega na tym, że teraz jest potencjalnie wielu posłańców, którzy muszą przekazywać twoją komunikację tam iz powrotem. Aby prawidłowo komunikować się za pośrednictwem stron pośredniczących, trzeba mieć do nich zaufanie. Alternatywnie, musisz być w stanie upewnić się, że nie będą mogli czytać ani modyfikować Twojej komunikacji. To podstawa szyfrowania. Umożliwia bezpieczną komunikację przez niezabezpieczony kanał.

Rzecz w tym, że nawet przy szyfrowaniu nadal istnieją złoczyńcy próbujący uzyskać dostęp do poufnych informacji. Jednym ze sposobów, w jaki mogą to zrobić, jest wykonanie ataku Man-in-the-Middle lub MitM.

Ustawić

Aby MitM zadziałał, atakujący musi być jedną ze stron przesyłających dane, do których chce uzyskać dostęp. Jest kilka sposobów, aby to osiągnąć. Pierwszy jest stosunkowo prosty, uruchom punkt dostępu do Internetu, właśnie dlatego powinieneś uważać na losowe bezpłatne hotspoty Wi-Fi. Jest to łatwe do zrobienia, problem polega na tym, że nakłonienie konkretnej osoby do połączenia się z określoną siecią może nie być łatwe.

Alternatywne opcje to skonfigurowanie urządzenia ofiary tak, aby używało twojego urządzenia jako serwera proxy lub usługodawcy internetowego dla ofiary. Realistycznie, jeśli osoba atakująca może ustawić swoje urządzenie tak, aby było używane jako serwer proxy, prawdopodobnie ma więcej niż wystarczający dostęp do komputera, aby uzyskać potrzebne informacje. Teoretycznie każdy dostawca usług internetowych może również atakować ich, ponieważ ich ruch przechodzi przez ich dostawcę usług internetowych. Dostawca VPN/proxy jest w dokładnie takiej samej sytuacji jak dostawca usług internetowych i może, ale nie musi, być tak samo godny zaufania.

Uwaga: jeśli zastanawiasz się nad uzyskaniem VPN w celu ochrony przed usługodawcą internetowym, ważne jest, aby zrozumieć, że dostawca VPN staje się wtedy Twoim efektywnym dostawcą usług internetowych. W związku z tym wszystkie te same obawy dotyczące bezpieczeństwa powinny mieć również do nich zastosowanie.

Pasywna MitM

Chociaż wiele urządzeń może znajdować się w pozycji MitM, większość z nich nie będzie złośliwa. Mimo to szyfrowanie chroni przed tymi, które są i pomaga poprawić twoją prywatność. Atakujący na pozycji MitM może po prostu wykorzystać swoją pozycję do „nasłuchiwania” przepływu ruchu. W ten sposób mogą śledzić pewne niejasne szczegóły zaszyfrowanego ruchu i mogą odczytywać niezaszyfrowany ruch.

W tego rodzaju scenariuszu atakujący na stanowisku MitM zawsze może odczytać lub zmodyfikować niezaszyfrowany ruch. Tylko szyfrowanie temu zapobiega.

Aktywny MitM

Osoba atakująca, która zadała sobie trud dotarcia do tej pozycji, niekoniecznie musi być zadowolona z czytania/modyfikowania niezaszyfrowanych danych. W związku z tym mogą zamiast tego spróbować wykonać aktywny atak.

W tym scenariuszu w pełni włączają się w środek połączenia, działając jako aktywny pośrednik. Negocjują „bezpieczne” połączenie z serwerem i próbują zrobić to samo z użytkownikiem końcowym. Tutaj zazwyczaj wszystko się rozpada. O ile mogą to wszystko absolutnie zrobić, ekosystem szyfrowania został zaprojektowany do obsługi tego scenariusza.

Każda witryna HTTPS obsługuje certyfikat HTTPS. Certyfikat jest podpisany łańcuchem innych certyfikatów prowadzących z powrotem do jednego z kilku specjalnych „certyfikatów głównych”. Certyfikaty główne są wyjątkowe, ponieważ są przechowywane w zaufanym magazynie certyfikatów każdego urządzenia. Każde urządzenie może zatem sprawdzić, czy przedstawiony mu certyfikat HTTPS został podpisany przez jeden z certyfikatów głównych w jego własnym magazynie zaufanych certyfikatów.

Jeśli proces weryfikacji certyfikatu nie zakończy się poprawnie, przeglądarka wyświetli stronę z ostrzeżeniem o błędzie certyfikatu wyjaśniającą podstawy problemu. System wydawania certyfikatów jest skonfigurowany w taki sposób, że musisz być w stanie udowodnić, że jesteś prawowitym właścicielem witryny, aby przekonać dowolny urząd certyfikacji do podpisania twojego certyfikatu przy użyciu certyfikatu głównego. W związku z tym osoba atakująca może zazwyczaj używać tylko nieprawidłowych certyfikatów, co powoduje, że ofiary widzą komunikaty o błędach certyfikatów.

Uwaga: osoba atakująca może również przekonać ofiarę do zainstalowania certyfikatu głównego osoby atakującej w zaufanym magazynie certyfikatów, w którym to momencie wszystkie zabezpieczenia zostaną zerwane.

Jeśli ofiara zdecyduje się „zaakceptować ryzyko” i zignorować ostrzeżenie o certyfikacie, atakujący może odczytać i zmodyfikować „zaszyfrowane” połączenie, ponieważ połączenie jest szyfrowane tylko do i od atakującego, a nie do serwera.

Mniej cyfrowy przykład

Jeśli masz trudności ze zrozumieniem koncepcji ataku Man-in-the-Middle, łatwiej będzie Ci pracować z koncepcją fizycznej „ślimakowej” poczty. Poczta i system są jak Internet, ale do wysyłania listów. Zakładasz, że każdy list, który wysyłasz, przechodzi przez cały system pocztowy bez otwierania, czytania lub modyfikowania.

Osoba, która dostarcza Twój post, jest jednak w idealnej pozycji Man-in-the-Middle. Mogli zdecydować się na otwarcie dowolnego listu, zanim go dostarczą. Mogli wtedy przeczytać i zmodyfikować zawartość listu do woli i zapieczętować go ponownie w innej kopercie. W tym scenariuszu tak naprawdę nigdy nie komunikujesz się z osobą, za którą się uważasz. Zamiast tego oboje komunikujecie się z wścibską osobą wysyłającą pocztę.

Strona trzecia, która może zweryfikować (bezpieczne kryptograficznie) podpisy, może przynajmniej powiedzieć ci, że ktoś otwiera twoją pocztę. Możesz zignorować to ostrzeżenie, ale dobrze byłoby nie wysyłać niczego tajnego.

W tej sytuacji niewiele można zrobić poza zmianą systemu, przez który się komunikujesz. Jeśli zaczniesz komunikować się przez e-mail, osoba wysyłająca nie będzie mogła czytać ani modyfikować Twoich wiadomości. Podobnie połączenie z inną, najlepiej zaufaną siecią jest jedynym sposobem na odmówienie atakującemu dostępu przy jednoczesnym zachowaniu możliwości komunikacji.

Wniosek

MitM to skrót od Man-in-the-Middle. Reprezentuje sytuację, w której posłaniec w łańcuchu komunikacji złośliwie monitoruje i potencjalnie edytuje komunikację. Zazwyczaj największe ryzyko wiąże się z pierwszym przeskokiem, tj. z routerem, z którym się łączysz. Darmowy hotspot Wi-Fi jest tego doskonałym przykładem. Atakujący na stanowisku MitM może odczytywać i edytować niezaszyfrowaną komunikację. Mogą również spróbować tego samego z zaszyfrowaną komunikacją, ale powinno to spowodować wyświetlenie komunikatów o błędach sprawdzania poprawności certyfikatu. Te komunikaty ostrzegawcze dotyczące sprawdzania poprawności certyfikatu są jedyną rzeczą, która uniemożliwia atakującemu przygotowanie i zmodyfikowanie zaszyfrowanego ruchu. Działa to, ponieważ obie strony komunikują się z atakującym, a nie ze sobą. Atakujący udaje drugą stronę obu stron.