Omul din mijloc atacă

Atacul om în mijloc (adesea prescurtat în MITM, MIM, atac MIM sau MITMA, în italiană „man in the middle” ) este o terminologie utilizată în criptografie și securitatea computerului pentru a indica un atac cibernetic în care cineva retransmite sau modifică în secret comunicarea între două părți care cred că comunică direct între ele. ^[1]

De exemplu, un atac om-în-mijloc este interceptat , în care atacatorul creează conexiuni independente cu victimele și retransmite mesajele expeditorului în a crede că comunică direct printr-o conexiune privată, întreaga conversație fiind monitorizată. atacatorul poate intercepta toate mesajele importante și / sau injecta altele noi. În multe circumstanțe, acest lucru este simplu, de exemplu, un atacator în interiorul unui punct de acces WI-FI necriptat se poate introduce ca „om în mijloc” ^[2] . Un alt tip de om în mijlocul atacului este falsificarea .

Atacul poate funcționa numai dacă niciuna dintre părți nu este în măsură să știe că legătura care le unește între ele a fost de fapt compromisă de o terță parte, despre care ar putea afla, comunicând cu un canal diferit, fără compromisuri. Majoritatea protocoalelor de criptare includ o anumită formă de autentificare a punctelor finale, special pentru a preveni atacurile MITM. De exemplu, TLS poate autentifica una sau ambele părți utilizând o autoritate de certificare de încredere reciprocă ^[3] .

Exemplu de atac

Reprezentarea Omului în mijlocul atacului

Să presupunem că Alice dorește să comunice cu Bob și Mallory vrea să spioneze conversația și, dacă este posibil, să îi transmită lui Bob mesaje false. Pentru început, Alice trebuie să-i ceară lui Bob cheia sa publică . Dacă Bob îi trimite cheia sa publică către Alice, dar Mallory este capabil să o intercepteze, poate începe un atac de tip Man in the middle. Mallory îi poate trimite lui Alice o cheie publică pentru care are cheia privată corespunzătoare. Alice, crezând că aceasta este cheia publică a lui Bob, își criptează mesajele cu cheia lui Mallory și îi trimite mesajele criptate lui Bob. Mallory le interceptează, le decriptează, păstrează o copie pentru ea și le criptează din nou (după ce le-a modificat dacă dorește) folosind cheia publică pe care Bob i-a trimis-o inițial lui Alice. Când Bob primește mesajul criptat, va crede că a venit direct de la Alice.

Alice îi trimite un mesaj lui Bob, care este interceptat de Mallory:
Alice "Bună Bob, eu sunt Alice. Dă-mi cheia ta." → Mallory Bob
Mallory îi retransmite mesajul lui Bob, Bob nu poate ști că nu este chiar Alice:
Alice Mallory "Bună Bob, eu sunt Alice. Dă-mi cheia ta." → Bob
Bob răspunde cu propria sa cheie:
Alice Mallory ← [cheia lui Bob ] Bob
Mallory înlocuiește cheia lui Bob cu a ei și o trimite înapoi către Alice, pretinzând că este cheia lui Bob:
Alice ← [cheia lui Mallory ] Mallory Bob
Alice criptează un mesaj cu ceea ce crede că este cheia lui Bob, gândindu-se că numai Bob îl va putea citi:
Alice "Să ne întâlnim în piață!" [criptat cu cheia lui Mallory] → Mallory Bob
Acum Mallory poate decripta mesajul, folosind cheia ei, îl poate citi, îl poate modifica dacă dorește, îl poate cripta cu cheia lui Bob și, în cele din urmă, îl poate trimite lui Bob:
Alice Mallory "Să ne întâlnim la gară!" [criptat cu cheia lui Bob] → Bob
Bob crede că acest mesaj a venit din comunicarea sigură cu Alice.

Acest exemplu ^[4] arată necesitatea ca Alice și Bob să aibă o modalitate de a se asigura că folosesc cheile lor publice respective, mai degrabă decât cea a unui atacator. Astfel de atacuri sunt în general posibile împotriva oricărei comunicări care utilizează tehnologia cheii publice . Din fericire, există o varietate de tehnici de apărare împotriva atacurilor MITM.

Analiza criminalistică a atacurilor MITM

Adulmecând traficul de rețea a ceea ce se presupune că este un atac MITM, se poate analiza și determina dacă a fost cu adevărat un atac MITM sau nu. Dovezi importante de analizat în timpul analizelor criminalistice de rețea ale unui atac MITM TLS suspectat sunt ^[5] :

Adresa IP a serverului.
Numele DNS al serverului.
Certificatul X.509 al serverului, verificați dacă:
- Certificatul este autosemnat?
- Certificatul este semnat de o autoritate certificată?
- Certificatul a fost revocat ?
- Certificatul a fost schimbat recent?
- Pot alți Clienți din alte părți de pe internet să obțină același certificat?

Apărări împotriva atacului

Toate sistemele criptografice care sunt sigure împotriva atacurilor MITM necesită un schimb suplimentar sau o transmisie de informații pe un canal securizat . De fapt, au fost dezvoltate multe metode cheie de acord , cu cerințe de securitate diferite pentru canalul securizat.

Diverse mijloace de apărare împotriva atacurilor MITM utilizează tehnici de autentificare care includ:

DNSSEC - Extensii DNS sigure.
Infrastructura cheii publice (PKI) : Securitatea stratului de transport este un exemplu de implementare a infrastructurii cheii publice pentru Protocolul de control al transmisiei . Aceasta este utilizată pentru a preveni atacurile MITM printr-o conexiune HTTP sigură pe internet. Client și server schimbă certificate PKI emise și verificate de un organism comun certificat. Apărarea principală într-un scenariu PKI este autentificarea reciprocă. În acest caz, Clientul și Serverul își validează reciproc certificatele emise de un organism comun certificat central. Rețelele private virtuale efectuează autentificarea reciprocă înainte de a trimite date prin canalul securizat creat. Cu toate acestea, autentificarea reciprocă pe internet pentru conexiunile HTTP este rar aplicată.
Fixarea certificatului .
Un certificat de sunet înregistrat (presupunând că identitatea utilizatorului poate fi recunoscută de înregistrare), care poate fi:
- O comunicare verbală cu o valoare comună pentru fiecare sesiune (ca în ZRTP ).
- O comunicare audio / vizuală a hashului cheii publice (care poate fi distribuită cu ușurință prin PKI) ^[6] .
autentificare reciprocă mai puternică, cum ar fi cheile secrete (care sunt de obicei informații de entropie secretă de nivel înalt, deci mai sigure) sau parole (care sunt de obicei informații de entropie secretă de nivel scăzut, deci mai puțin sigure).
testarea latenței , cum ar fi calculele lungi ale funcțiilor hash criptografice . Dacă timpii de răspuns sunt mai mari decât se aștepta, poate indica prezența unei terțe părți.
Un al doilea canal sigur de verificare.
Criptografie cuantică .
Sunt în curs de testare, efectuate de autoritățile emitente, pentru anularea certificatelor compromise pe computerele actuale. Certificatele compromise sunt exportate într-o zonă sandbox , înainte de eliminare, pentru analiză.

Integritatea cheilor publice trebuie, în general, să fie asigurată într-un fel, dar nu trebuie să fie un secret. Parolele partajate și cheile secrete au obligații suplimentare de confidențialitate. Cheile publice pot fi verificate de o autoritate de certificare, a cărei cheie publică este distribuită printr-un canal sigur (de exemplu, cu un browser web sau cu instalarea unui sistem de operare). Cheile publice pot fi verificate de o rețea de încredere care distribuie cheile publice printr-un canal sigur (de exemplu, prin întâlniri față în față).

Pentru o clasificare a protocoalelor care utilizează diferite forme de chei și parole pentru a preveni atacurile MITM, este sugerat să vedeți protocolul de acord de chei .

Criptare cuantică

Protocoalele de criptografie cuantică autentifică de obicei unele sau toate comunicațiile lor clasice cu o schemă de autentificare sigură necondiționată ^[7] .

Dincolo de criptare

În timp ce acest exemplu se concentrează pe atacul MITM într-un context criptografic, MITM ar trebui privit ca o problemă mai generală care rezultă din orice utilizare a intermediarilor care acționează ca delegați ai oricărei părți. În funcție de fiabilitatea intermediarilor, ar putea fi stabilit un anumit grad de încredere în confidențialitatea comunicărilor.

De exemplu, un atac MITM non-criptografic remarcabil a fost comis de un router de rețea fără fir Belkin în 2003. A luat în mod regulat locul mai multor conexiuni HTTP care au fost direcționate prin acesta (acest lucru ar face ca traficul să nu treacă la destinație, dar ar eșuează. răspunde ca și cum ar fi serverul destinatar), răspunsul trimis, în locul paginii web solicitate de utilizator, a fost o pagină publicitară pentru un alt produs Belkin. După un protest din partea utilizatorilor mai experimentați, această „caracteristică” a fost eliminată din versiunile ulterioare ale firmware-ului routerului ^[8] .

Sau, în 2013, browserul Nokia Xpress a fost descoperit decriptând traficul HTTPS pe serverele proxy Nokia, oferind companiei acces la text clar al traficului criptat al clienților săi. Nokia a răspuns afirmând că conținutul nu a fost stocat permanent și că compania a luat măsuri organizatorice și tehnice pentru a împiedica accesul la informații private ^[9] .

Implementări

Implementările cunoscute ale atacurilor MITM sunt după cum urmează:

DSniff : Prima implementare publică a atacurilor MITM împotriva SSL și SSH.
Fiddler2 : instrument de diagnostic HTTP (S).
NSA : uzurparea identității Google ^[10] .
Opendium Iceni : software de control al conținutului , utilizat pentru inspectarea traficului HTTPS la nivelul gateway-ului.
Subterfuge: un cadru pentru lansarea mai multor atacuri MITM.
Malware superfish .
Websense Content Gateway - Folosit pentru a inspecta traficul SSL în proxy .
Wsniff: Un instrument pentru atacuri MITM bazat pe 802.11 HTTP / HTTPS .
VPNFilter : un malware IoT periculos care infectează routerele și NAS, a căror etapă 3 cu modulul ssler poate provoca retrogradarea HTTPS la HTTP

Notă

^ (EN) Ce este atacul om-în-mijloc (MitM)? - Definiție de la WhatIs.com , pe Agenda IoT . Adus la 6 iunie 2016 .
^ (EN) Tanmay Patange, Cum să te aperi împotriva MITM sau a atacului Man-in-the-middle asupra Hackerspace. Adus la 6 iunie 2016 (Arhivat din original la 8 aprilie 2019) .
^ F. Callegati, W. Cerroni și M. Ramilli, Man-in-the-Middle Attack to the HTTPS Protocol , în IEEE Security Privacy , vol. 7, nr. 1, 1 ianuarie 2009, pp. 78–81, DOI : 10.1109 / MSP.2009.12 . Adus la 6 iunie 2016 .
^ MiTM pe criptarea cheii publice RSA , la crypto.stackexchange.com . Adus la 6 iunie 2016 .
^ Analiza criminalistică a rețelei atacurilor SSL MITM - Blog NETRESEC , la www.netresec.com . Adus la 6 iunie 2016 .
^ Stuart Heinrich, Public Key Infrastructure based on Authentication of Media Attestments , în arXiv: 1311.7182 [cs] , 27 noiembrie 2013. Accesat la 6 iunie 2016 .
^ 5. Autentificare sigură necondiționată , la www.lysator.liu.se . Adus la 6 iunie 2016 .
^ Hacking, Ajutor! routerul meu Belkin mă trimite spam , pe theregister.co.uk . Adus la 6 iunie 2016 .
^ David Meyer, Gigaom | Nokia: Da, vă decriptăm datele HTTPS, dar nu vă faceți griji , pe gigaom.com . Adus la 6 iunie 2016 .
^ NSA s-a deghizat în Google pentru a spiona, spun rapoartele , pe CNET . Adus la 6 iunie 2016 .

Elemente conexe

Semnătura digitală - o garanție criptografică a autenticității unui text.
Securitatea cibernetică - proiectarea sistemelor informatice sigure.
Criptoanaliză - arta decriptării mesajelor criptate cu cunoștințe incomplete despre modul în care au fost criptate.
Criptografia cuantică - utilizarea mecanicii cuantice pentru a asigura securitatea criptografiei (în timp ce metodele mai vechi se bazează pe funcții unidirecționale).
Meet-in-the-middle - un atac fără legătură, dar cu un nume foarte asemănător, care poate fi confuz.
Spoofing - atac cibernetic folosind falsificarea identității.

Alte proiecte

linkuri externe

MITM LAN , la greyhatspeaks.com . Adus la 15 octombrie 2013 (arhivat din original la 15 octombrie 2013) .

Portal de criptografie

Portal de securitate IT

[1] (EN) Ce este atacul om-în-mijloc (MitM)? - Definiție de la WhatIs.com , pe Agenda IoT . Adus la 6 iunie 2016 .

[2] (EN) Tanmay Patange, Cum să te aperi împotriva MITM sau a atacului Man-in-the-middle asupra Hackerspace. Adus la 6 iunie 2016 (Arhivat din original la 8 aprilie 2019) .

[3] F. Callegati, W. Cerroni și M. Ramilli, Man-in-the-Middle Attack to the HTTPS Protocol , în IEEE Security Privacy , vol. 7, nr. 1, 1 ianuarie 2009, pp. 78–81, DOI : 10.1109 / MSP.2009.12 . Adus la 6 iunie 2016 .

[4] MiTM pe criptarea cheii publice RSA , la crypto.stackexchange.com . Adus la 6 iunie 2016 .

[5] Analiza criminalistică a rețelei atacurilor SSL MITM - Blog NETRESEC , la www.netresec.com . Adus la 6 iunie 2016 .

[6] Stuart Heinrich, Public Key Infrastructure based on Authentication of Media Attestments , în arXiv: 1311.7182 [cs] , 27 noiembrie 2013. Accesat la 6 iunie 2016 .

[7] 5. Autentificare sigură necondiționată , la www.lysator.liu.se . Adus la 6 iunie 2016 .

[8] Hacking, Ajutor! routerul meu Belkin mă trimite spam , pe theregister.co.uk . Adus la 6 iunie 2016 .

[9] David Meyer, Gigaom | Nokia: Da, vă decriptăm datele HTTPS, dar nu vă faceți griji , pe gigaom.com . Adus la 6 iunie 2016 .

[10] NSA s-a deghizat în Google pentru a spiona, spun rapoartele , pe CNET . Adus la 6 iunie 2016 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]