A közbeékelődéses vagy középreállásos (man-in-the-middle, MitM) kibertámadások lehetővé teszik a támadók számára a kommunikáció lehallgatását vagy megváltoztatását. A MitM-támadások felderítése nehéz, de megelőzhető.
A közbeékelődéses (MitM) támadás a kibertámadások olyan típusa, amelyben két fél közötti kommunikációt hallgatnak le, gyakran bejelentkezési adatok vagy személyes információk ellopása, az áldozatok utáni kémkedés, a kommunikáció szabotálása vagy adatok megrongálása céljából.
"A MitM-támadások olyan támadások, amelyek során a támadó ténylegesen az áldozat és egy legitim hoszt között helyezkedik el, amelyhez az áldozat csatlakozni próbál" - mondta Johannes Ullrich, a SANS Technológiai Intézet kutatási szakembere. "Tehát vagy passzívan lehallgatják a kapcsolatot, vagy ténylegesen elfogják, megszakítják azt, és új kapcsolatot hoznak létre a célállomással."
A MitM-támadások a kibertámadások egyik legrégebbi formája. Az informatikusok már az 1980-as évek eleje óta keresik a módját annak, hogyan lehet megakadályozni, hogy a fenyegető szereplők manipulálják vagy lehallgassák a kommunikációt.
"A MITM-támadások taktikai eszközök" - mondta Zeki Turedi, a CrowdStrike EMEA régiójának technológiai stratégája. "A cél lehet az egyének vagy csoportok utáni kémkedés, pénzeszközök, erőforrások vagy a figyelem átirányítása."
Bár a MitM-támadások ellen titkosítással lehet védekezni, a sikeres támadók vagy átirányítják a forgalmat a legitimnek tűnő adathalász oldalakra, vagy egyszerűen továbbítják a forgalmat a tervezett célállomásra, miután azt összegyűjtötték vagy rögzítették, ami hihetetlenül megnehezíti az ilyen támadások felderítését.
Védje meg alkalmazottait és vállalkozását! Látogasson el a Computerworld által rendezett SecWorld konferenciára április 6-án!
Man-in-the-middle támadási példák
A MitM a technikák és a lehetséges eredmények széles skáláját öleli fel, a céltól függően. Például az SSL-stripping során a támadók HTTPS-kapcsolatot hoznak létre maguk és a kiszolgáló között, de az áldozattal nem biztonságos HTTP-kapcsolatot használnak, ami azt jelenti, hogy az információkat titkosítás nélkül, nyílt szövegben küldik. Az Evil Twin támadások a törvényes Wi-Fi hozzáférési pontokat tükrözik, de teljes mértékben rosszindulatú szereplők irányítják, akik most már képesek a felhasználó által küldött összes információt megfigyelni, összegyűjteni vagy manipulálni.
"Az ilyen típusú támadások célja lehet kémkedés vagy pénzügyi haszonszerzés, vagy egyszerűen csak a zavarás" - mondja Turedi. "Az okozott kár a kisebbtől a hatalmasig terjedhet, attól függően, hogy a támadó milyen célokat tűzött ki maga elé, és milyen képességekkel rendelkezik."
Egy banki forgatókönyvben a támadó láthatja, hogy egy felhasználó éppen átutalást végez, és megváltoztathatja a célszámlaszámot vagy a küldött összeget. A fenyegető szereplők man-in-the-middle támadásokkal személyes adatokat vagy bejelentkezési adatokat gyűjthetnek. Ha a támadók észlelik, hogy alkalmazásokat töltenek le vagy frissítenek, akkor a törvényes frissítések helyett kártékony programokat telepítő, kompromittált frissítéseket küldhetnek. Az EvilGrade exploit kit-et kifejezetten a rosszul védett frissítések célpontjaira tervezték. Tekintettel arra, hogy gyakran nem titkosítják a forgalmat, a mobileszközök különösen érzékenyek erre a forgatókönyvre.
"Ezek a támadások könnyen automatizálhatók" - mondta Ullrich, a SANS Institute munkatársa. "Vannak olyan automatizálható eszközök, amelyek jelszavakat keresnek és egy fájlba írnak, amikor csak látnak egyet, vagy várnak bizonyos kérésekre, például letöltésekre, és rosszindulatú forgalmat küldenek vissza."
Bár gyakran ezek a Wi-Fi vagy fizikai hálózati támadások az áldozat vagy a célzott hálózat közelségét igénylik, az útválasztási protokollok távolról történő kompromittálása is lehetséges. "Ez egy sokkal nehezebb és kifinomultabb támadás" - magyarázta Ullrich. "A támadók képesek magukat az internet felé úgy hirdetni, hogy ők a felelősek ezekért az IP-címekért, majd az internet ezeket az IP-címeket a támadóhoz irányítja, aki így ismét man-in-the-middle támadásokat indíthat"."
"Meg tudják változtatni egy adott tartomány DNS-beállításait is [ez az úgynevezett DNS-spoofing]" - folytatta Ullrich. "Így ha Ön egy adott weboldalra megy, akkor valójában a támadó által megadott rossz IP-címhez csatlakozik, és a támadó ismét man-in-the-middle támadást indíthat."
Bár a legtöbb támadás vezetékes hálózatokon vagy Wi-Fi-n keresztül történik, hamis mobiltornyokkal is lehet MitM-támadásokat végrehajtani. Az Egyesült Államokban, Kanadában és az Egyesült Királyságban a bűnüldöző szervek tömeges információgyűjtésre használtak hamis mobiltornyokat - úgynevezett stingray-ket. Stingray-eszközök "kereskedelmi" forgalomban is kaphatók a dark weben.
A Berlini Műszaki Egyetem, az ETH Zürich és a norvégiai SINTEF Digital kutatói nemrégiben olyan hibákat fedeztek fel a 3G, 4G és az 5G vezeték nélküli technológiák bevezetésekor használt hitelesítési (AKA) protokollokban, amelyek MitM-támadások végrehajtásához vezethetnek.
Man-in-the-middle támadások megelőzése
Az olyan titkosítási protokollok, mint a TLS, a legjobb védelmet nyújtják a MitM-támadások ellen. A TLS legújabb verziója 2018 augusztusában vált hivatalos szabvánnyá. Vannak más protokollok is, mint például az SSH vagy az újabb protokollok, például a Google QUIC.
Ha kereskedelmi szempontból életképessé válik, a kvantumkriptográfia robusztus védelmet nyújthat a MitM-támadások ellen, amely azon az elméleten alapul, hogy a kvantumadatokat lehetetlen lemásolni, és nem lehet megfigyelni anélkül, hogy az állapotuk megváltozna, és így erős jelzést ad, ha a forgalmat útközben megzavarták.
A végfelhasználók oktatása érdekében ösztönözni kell a munkatársakat arra, hogy lehetőség szerint ne használjanak nyilvános Wi-Fi-t vagy nyilvános helyeken kínált Wi-Fi-t, mivel ezeket sokkal könnyebb hamisítani, mint a mobiltelefonos kapcsolatokat, és figyelembe kell venniük a böngészők figyelmeztetéseit, amelyek szerint a webhelyek vagy kapcsolatok nem feltétlenül legitimek. Használjunk VPN-eket a biztonságos kapcsolatok biztosításához.
"A legjobb módszerek közé tartozik a többfaktoros hitelesítés is" - mondta Alex Hinchliffe, a Palo Alto Networks 42-es egységének fenyegetéselemzője.
A megelőzés jobb, mint a támadás utáni helyreállítás, különösen egy olyan támadás, amelyet nehéz észrevenni. "Ezek a támadások alapvetően alattomosak, és a legtöbb hagyományos biztonsági eszköz számára kezdetben nehéz észlelni őket" - mondta Turedi, a Crowdstrike munkatársa.
Védje meg alkalmazottait és vállalkozását! Látogasson el a Computerworld által rendezett SecWorld konferenciára április 6-án!
Mennyire gyakoriak a man-in-the-middle támadások?
Bár nem olyan gyakoriak, mint a zsarolóprogramok vagy az adathalász-támadások, a MitM-támadások mégis állandó fenyegetést jelentenek a szervezetek számára. Az IBM X-Force 2018-as Threat Intelligence Indexe szerint a rosszindulatú tevékenység 35 százalékában a támadók MitM-támadásokat próbáltak végrehajtani, de konkrét számokat nehéz beszerezni.
"Anekdotikus jelentések alapján azt mondanám, hogy a MitM-támadások nem hihetetlenül elterjedtek" - mondta Hinchliffe. "Ugyanazon célok nagy része - adatok/kommunikáció kikémlelése, a forgalom átirányítása stb. - az áldozat rendszerére telepített rosszindulatú szoftverekkel is megvalósítható. Ha vannak egyszerűbb módok a támadások végrehajtására, a támadó gyakran az egyszerűbb utat választja".
A közelmúltban egy figyelemre méltó példa volt az orosz GRU ügynökeinek egy csoportja, akik Wi-Fi hamisító eszközzel próbáltak betörni a Vegyifegyver-tilalmi Szervezet (OPCW) hágai irodájába.
A HTTPS és a böngészőben megjelenő figyelmeztetések nagyobb mértékű elterjedése csökkentette egyes MitM-támadások potenciális veszélyét. Az Electronic Frontier Foundation (EFF) 2017-ben arról számolt be, hogy az internetes forgalom több mint fele titkosított, a Google pedig arról számolt be, hogy egyes országokban a forgalom több mint 90 százaléka titkosított. A nagyobb böngészők, például a Chrome és a Firefox is figyelmeztetik a felhasználókat, ha MitM-támadások veszélyének vannak kitéve. "Az SSL fokozott elterjedésével és a modern böngészők, például a Google Chrome bevezetésével a nyilvános WiFi hotspotok elleni MitM-támadások népszerűsége csökkent" - mondta Turedi.
"Manapság általában a MitM-elvek felhasználását láthatjuk igen kifinomult támadásokban" - tette hozzá Turedi. "A nyílt forráskódú jelentésekben nemrégiben megfigyelt egyik példa egy nagy pénzügyi szervezet SWIFT-hálózatát célzó malware volt, amelyben egy MitM-technikát használtak hamis számlaegyenleg megadására, hogy észrevétlenek maradjanak, miközben a pénzösszegeket rosszindulatúan a kiberbűnöző számlájára szivattyúzták."
A fenyegetés azonban továbbra is fennáll. A Retefe banki trójai például a banki tartományokból érkező forgalmat a támadó által ellenőrzött szervereken keresztül irányítja át, visszafejti és módosítja a kérést, mielőtt újra titkosítja az adatokat, és továbbküldi a banknak. A TLS protokollban - beleértve a legújabb, 1.3-as verziót is - nemrégiben felfedezett hiba lehetővé teszi a támadók számára, hogy feltörjék az RSA kulcscserét, és elfogják az adatokat.
Az IoT-eszközök elterjedése szintén növelheti a man-in-the-middle-támadások gyakoriságát, mivel sok ilyen eszközben nincs megfelelő biztonság. A CSO korábban már beszámolt arról, hogy az IoT-eszközökön MitM-szerű támadásokat hajthatnak végre, és vagy hamis információkat küldhetnek vissza a szervezetnek, vagy téves utasításokat maguknak az eszközöknek.
"Az IoT-eszközök általában sebezhetőbbek a támadásokkal szemben, mivel nem valósítanak meg sok szabványos MitM-támadás elleni védekezést" - mondta Ullrich. "Sok IoT-eszköz még nem valósítja meg a TLS-t, vagy annak régebbi verzióit valósítja meg, amelyek nem olyan robusztusak, mint a legújabb verzió."
A Ponemon Institute és az OpenSky felmérése szerint az Egyesült Államokban a biztonsági szakemberek 61 százaléka szerint nem tudják ellenőrizni az IoT és IIoT eszközök elterjedését a vállalatukban, míg 60 százalékuk szerint nem tudják elkerülni az IoT-vel és IIoT-vel kapcsolatos biztonsági incidenseket.