ABC of Cybersecurity: Elementul Man-in-the-Middle (MiTM)

Vă invităm să învățăm împreună despre fiecare literă din ABC-ul securității cibernetice by Bitdefender.

Hai să descoperim un nou element: Man-in-the-Middle (MiTM)

În momentul în care un  utilizator accesează o pagină web, informația este transmisă de la server către computerul său prin cabluri de mare viteză, routere și comutatoare de computere care contribuie la răspândirea internetului peste tot în lume. Asemenea vechilor hoți la drumul mare, atacatorii zilelor noastre știu că utilizatorul este vulnerabil în fiecare „intersecție”. În aceste „intersecții”, datele sale pot fi interceptate, citite și chiar modificate.

Un atac de tip man-in-the-middle este o procedură care permite atacatorului să se interpună între utilizator și computerul cu care comunică, pentru a citi sau modifica acea conversație. Această procedură obișnuia să fie foarte des întâlnită înainte de trecerea masivă la protocolul HTTP-Secure și continuă să fie întâlnită și în prezent, cu toate că este mai greu de realizat.

După ani întregi în care au vizat computerele, atacurile omniprezente de tip man-in-the-middle au început să vizeze telefoanele mobile. Din pricina faptului că nu conștientizează care este impactul acestor atacuri, utilizatorii își conectează telefoanele la rețele publice de Wi-Fi, în special când sunt în vacanță.

Cea mai mare amenințare o reprezintă rata scăzută de detecție. Utilizatorii nu își pot da seama întotdeauna dacă rețeaua pe care o folosesc este legitimă sau dacă cineva monitorizează traficul, fie că este vorba de un aeroport, un hotel sau o cafenea de cartier. Dependența noastră de internet ne-a determinat să utilizăm același dispozitiv atât pentru viața personală, cât și pentru cea profesională, astfel fiind expuși automat la riscuri. Utilizatorii finali reprezintă cea mai mare amenințare pentru companii; odată realizată conexiunea la o rețea nesigură, datele, informațiile sau mailurile companiei pot fi interceptate.

Cum funcționează atacurile de tip MiTM?

În momentul stabilirii unei conversații între două părți, se realizează de obicei o conexiune și un schimb de chei publice – chei utilizate pentru criptarea conversațiilor înainte ca acestea să fie trimise prin cablu. Să ne imaginăm că Dana și Mihai vorbesc prin chat pe internet. Când Dana îi trimite un mesaj lui Mihai, ea îi trimite cheia ei publică. Mihai va cripta toate mesajele pentru Dana cu această cheie publică. La rândul său, Mihai îi va trimite Danei cheia lui publică. În momentul în care Dana va primi mesajul criptat de la Mihai, îl va decripta utilizând cheia lui publică și îl va citi.

Acum haideți să ne imaginăm o a treia persoană între Dana și Mihai. Numele său este Șerban. Șerban interceptează cheia publică a Danei înainte ca aceasta să ajungă la Mihai și o înlocuiește cu propria sa cheie publică. De asemenea, interceptează cheia publică a lui Mihai și o înlocuiește cu propria sa cheie înainte să ajungă la Dana. În acest moment, atât Dana, cât și Mihai criptează informații cu ajutorul cheii publice a lui Șerban, iar Șerban le poate decripta cu propria sa cheie privată. După decriptare, el citește mesajul, este posibil să îl modifice, apoi îl criptează cu ajutorul cheii publice a Danei pe care o interceptase inițial și transmite mesajul Danei. Șerban intermediază întreg procesul de comunicare dintre Mihai și Dana fără ca niciunul dintre aceștia să știe.

Rețelele Wi-Fi înșelătoare sau neprotejate nu reprezintă doar o poartă de intrare pe care un hacker o poate utiliza pentru lansarea unui atac de tip man-in-the-middle. De fiecare dată când vă conectați la internet și utilizați un serviciu proxy pentru a vă ascunde adresa IP sau pentru a jongla cu restricțiile de la locul de muncă, amintiți-vă că serverul proxy are, de obicei, rol de man-in-the-middle.
Site-urile web accesate și activitatea online, cum ar fi transferurile, tranzacțiile financiare sau mailurile pot fi interceptate de infractori printr-un server proxy ostil. Toate informațiile voastre sunt expuse terților.

Serverele VPN ar trebui să protejeze infrastructura prin criptarea conexiunii. Serverele VPN compromise sau înșelătoare nu numai că pot permite interceptarea datelor de către terți, ci chiar mai rău, pot redirecționa traficul și pot utiliza conexiunea în scopuri ilicite. În lipsa unei conexiuni securizate, există posibilitatea ca în momentul în care utilizatorul își dă seama că a instalat un program periculos să fie deja prea târziu.

Cum le identificăm?

Atacurile de tip man-in-the-middle sunt foarte greu de detectat, așa că mai bine previi decât să tratezi.

Dacă utilizatorul este în vacanță și telefonul său se conectează automat la o rețea, există posibilitatea să devină victima unui atac MitM. Dacă i se solicită să instaleze o aplicație VPN sau să accepte un certificat digital, utilizatorul e pe drumul spre un atac de tip man-in-the-middle.

Cel mai simplu mod prin care poate fi identificat un astfel de atac este verificarea certificatului SSL. Ideal ar fi ca acesta să fi fost eliberat de către o autoritate de certificare legitimă, de încredere. Dacă browser-ul nu recunoaște validitatea sau legitimitatea certificatului, închideți pagina imediat și solicitați ajutor înainte de a introduce orice fel de date de autentificare. Puteți verifica certificatul SSL uitându-vă în colțul din stânga sus al browserului pentru a vă asigura că scrie „https” cu verde; acest lucru înseamnă că conexiunea este criptată și datele sunt ascunse.

Nu toate tehnicile de tip man-in-the-middle sunt rele

O tehnică de felul acesta poate fi utilizată pentru a proteja utilizatorii.
Pentru că din ce în ce mai multe site-uri web periculoase optează pentru comunicare securizată (https) pentru a extrage date și pentru a se asigura că soluția antivirus nu poate intercepta traficul înșelător, unele soluții de securitate utilizează proxy-uri SSL – module care decriptează traficul SSL/TLS, îl analizează în vederea detectării de amenințărilor (badware), îl re-criptează și îl trimit la destinație. Unele soluții de control parental utilizează tot această metodă pentru a garanta faptul că conversațiile criptate ale copilului nu conțin nimic ce ar putea să îngrijoreze părinții.

Cum ne protejăm?

Pentru că aceste atacuri sunt foarte greu de detectat, cea mai bună variantă este precauția.

Asigurați-vă că conexiunile sunt de tip https, nu http, verificați dacă certificatul SSL este expirat sau nu și dacă este emis de un furnizor autorizat și evitați VPN-urile și proxy-urile gratuite. De asemenea, modificați-vă regulat parolele și nu le reutilizați, nu vă conecta la rețele publice suspecte, fiți prudenți chiar și în cazul rețelelor Wi-Fi de la hoteluri. Dacă totuși nu există o alternativă și trebuie să vă conectați la o astfel de rețea, evitați să faceți plăți și să vă autentificați în conturile de pe rețelele de socializare sau de mail.

Încercați Bitdefender 2020 gratuit timp de 90 de zile.