Locked History Actions

MITM

MITM

Man-in-the-middle

Susidūrimas viduryje



  • Įvadas

  • Kompiuterinių tinklų apsaugos yra svarbios tiek įmonėms, tiek ir privatiems asmenims. Internetas mums suteikė galimybę skleisti informaciją ir ją gauti iš kitų, tačiau jame taip pat atsirado pavojų, kurių ankščiau nebuvo. Kompiuteriniai nusikaltimai, vagystės ir tyčinė žala yra dažnas reiškinys kibernetinėje ervėje.
    • Nesąžiningas asmuo arba įsilaužėlis naudodamas specialias programas ir tinklo atakas gali nulaužti sistemos slaptažodžius, apeiti antivirusines programas ir taip patekti į jūsų kompiuterį. Gavęs prieigą toks įsilaužėlis gali padaryti daug žalos: sugadinti vartotojo asmeninį kompiuterį, pavogti iš jo svarbią, slaptą informaciją ir ją panaudoti savo reikmėm arba paviešinti, siuntinėti apgaulingus pranešimus kitiems žmonėms. Šiame darbe trumpai apžvelgsime internetinių užpuolikų gan dažnai naudojamas tinklo atakas: MITM (ARP spoof, DNS spoof, SCAM pages).

MITM

„Man-in-the-middle“ ataka (dažnai sutrumpintai vadinama MITM, MitM, MIM, MiM, MITMA, taip pat žinoma kaip „bucket brigade“ arba „Janus“ ataka), kriptografijoje ir kompiuterių saugume yra aktyvi slapto pasiklausymo forma, kada užpuolikas sudaro nepriklausomas jungtis su aukomis ir siuntinėja pranešimus tarp jų, priverčiant juos patikėti, kad jie bendrauja tiesiogiai vienas su kitu per privatų ryšį, kai iš tiesų visą pokalbį kontroliuoja užpuolikas. Užpuolikas turi sugebėti perimti visus perduodamus pranešimus, kurie yra siunčiami tarp dviejų aukų ir įterpti naujus, kurie yra nesudėtingi daugeliu atvejų (pavyzdžiui, per priėmimo diapazone esantį nešifruotą „Wi-Fi“ bevielio ryšio prieigos tašką, užpuolikas gali įterpti save kaip žmogų tarp dviejų pašnekovų „man-in-the-middle“). „Man-in-the-middle“ ataka gali būti sėkminga tik tada, kai užpuolikas apsimeta kitu žmogumi kiekvieną kartą kitos pusės pasitenkinimui – tai yra abipusė autentiškumo patvirtinimo ataka (arba jos nebuvimas). Dauguma kriptografinių protokolų įtraukia tam tikrą galutinių taškų autentiškumo patvirtinimo formą būtent tam, kad būtų užkirstas kelias MITM atakoms. Pavyzdžiui, SSL gali patvirtinti viena arba abi šalys naudodamos abiem pusėm patikimą sertifikavimo instrukciją.

Papildomo perdavimo būtinybė saugiame kanale.

  • Išskyrus „Interlock“ protokolą, visos kriptografinės sistemos, kurios yra apsaugotos nuo MITM atakų reikalauja papildomo keitimosi arba informacijos perdavimo, per kokį nors saugų kanalą.

Atakos pavyzdys.

  • Tarkime, Alice nori bendrauti su Bob. Tuo tarpu Mallory nori perimti pokalbį pasiklausymui ir greičiausiai pateikti klaidingą pranešimą Bob. Pirmiausia Alice prašo Bob viešojo rakto. Jei Bob siunčia savo viešąjį raktą Alice, bet Mallory gali perimti jį, tada gali prasidėti „man-in-the-middle“ ataka.

Mallory siunčia suklastotą žinutę Alice, kurioje teigiama, kad ji yra nuo Bob, bet vietoj to yra Mallory‘s viešasis raktas. Alice manydama, kad šis viešasis raktas yra Bob, užšifruoja savo pranešimą su Mallory‘s raktu ir siunčia užšifruotą pranešimą atgal Bob. Mallory vėl perima pranešimą, dešifruoja jį naudojant jos privatų raktą galimai pakeičia jį ir pakartotinai užšifravus vėl naudojant Bob viešąjį raktą pranešimas yra siunčiamas Alice. Kai Bob gauna naujai užšifruotą pranešimą, jis mano, kad pranešimas atėjo iš Alice.

1. Alisa siunčia pranešimą Bob, kuris yra perimtas Mallory:

2. Mallory perduoda šį pranešimą Bob; Bob negali pasakyti ar tai tikrai ne nuo Alice:

3. Bob atsako su savo šifravimo raktu:

4. Mallory pakeičia Bob raktą su savo, ir perduoda tai Alice, tvirtindama, kad tai Bob raktas:

5. Alice užšifruoja žinutę galvodama, kad tai Bob raktas ir kad tik Bob gali perskaityti pranešimą:

6. Kadangi, pranešimas buvo šifruojamas Mallory raktu, Mallory gali iššifruoti pranešimą, jį perskaityti, modifikuoti (jei nori) ir iš naujo užšifruoti su Bob raktu ir perduoti pranešimą Bob:

7. Bob mano, kad šis saugus pranešimas yra iš Alice.

Šis pavyzdys rodo Alice ir Bob būtinybę turėti tam tikrą kelią užtikrinantį, kad jie tikrai naudoja vienas kito viešuosius raktus, o ne užpuoliko viešąjį raktą. Priešingu atveju, tokios atakos yra iš esmės dažniausiai galimos, prieš bet kokį pranešimą, siunčiamą naudojantis viešojo rakto technologija.

Būdai apsisaugoti nuo atakos:

• Viešojo rakto objektai;

• Stipresnis autentiškumo patvirtinimas, toks kaip:

Slapti raktai, kurie paprastai yra didelės informacijos entropijos paslaptys yra saugesni;

Slaptažodžiai, kurie paprastai yra mažos informacijos entropijos paslaptys yra mažiau saugesni;

• Antrasis (saugomas) patvirtinimo kanalas;

• Vienkartiniai paketai yra apsaugoti nuo MITM atakų;

• Delsos laiko tyrimas su ilga kriptografine maišos (hash) funkcija, kurios skaičiavimai veda į sekundžių dešimtis. Normaliai tarp abiejų šalių skaičiavimas užima 20 sekundžių, bet jeigu tai užsitesia iki 60 sekundžių tai galime daryti išvadą, kad yra įsiterpusi trečioji šalis;

• Statinės ARP lentelės.

MITM atakų nustatymo būdai Užfiksavus tinklo srauto pakitimus, nuo tada kai buvo įtarta MITM ataka, yra analizuojama ar ji tikrai buvo. Svarbūs atakos buvimo įrodymai analizuojant tinklą yra:

• Serverio IP adresas;

• DNS serverio vardas;

• Serverio X.509 sertifikatas.

ARP spoof

„ARP spoofing“ yra toks būdas, kai užpuolikas siunčia netikrus („apgaulingus“) „Address Resolution Protocol“ (ARP) pranešimus į vietinį tinklą (LAN). Apskritai, tikslas yra susieti užpuoliko MAC adresą su kito šeimininko IP adresu (pavyzdžiui, maršrutizatorius), todėl bet kuriuo keliu, šis išskirtas IP adresas turi būti nusiųstas vietoj užpuoliko. „ARP spoofing“ gali leisti įsilaužėliui perimti LAN duomenų kadrus, keisti srautą, arba jį visiškai sustabdyti. Neretai viena ataka naudojama sudaryti sąlygas kitoms atakoms, tokioms kaip, atsisakymo aptarnauti, „man-in-the-middle“, ar sesijos užgrobimo. Ataka gali būti naudojama tik tinkluose, kurie naudoja „Address Resolution Protocol“ (ARP), ir yra apribota vietinio tinklo segmentų.

„Address Resolution Protocol“ pažeidžiamumas. „Address Resolution Protocol“ (ARP) yra plačiai naudojamas protokolas tvarkant tinklo lygmens adresus į perdavimo kanalo lygmens adresus. Kai interneto protokolo (IP) datagrama yra siunčiama iš vienos priimančiosios į kitą vietiniame tinkle, paskirties IP adresas turi būti konvertuojamas į MAC adresą, skirtą perdavimui per duomenų ryšio lygmenį. Kai kitos priimančiosios IP adresas žinomas, taip pat kaip ir jos reikalingas MAC adresas, transliacijos paketas yra siunčiamas iš vietinio tinklo. Šis paketas yra žinomas, kaip „ARP request“. Priimantysis įrenginys su IP adresu „ARP request“ pakete reaguoja su „ARP reply“, kurio sudėtyje yra MAC adresas, tam IP. ARP yra niekam nepriklausantis protokolas. Tinklo priimančiosios automatiškai talpina ARP atsakymus, kuriuos jos gauna, neatsižvelgiant į tai, ar jos jų paprašė. Net ARP įrašai, kurie dar nėra pasibaigęs bus perrašyti, kada yra gautas naujas ARP atsakymo paketas. ARP protokole nėra metodo, pagal kurį priimančiosios gali patvirtinti, iš kurios poros kilęs vienas iš paketų. Toks elgesys yra pažeidžiamas ir leidžia pasireikšti „ARP spoofing“.

„ARP spoofing“ atakos anatomija. Pagrindinis „ARP spoofing“ principas yra naudoti pirmiau minėtus pažeidžiamumus, siunčiant ARP protokolu suklastotus ARP pranešimus į LAN. „ARP spoofing“ atakos gali būti pradėtos iš pažeistos priimančiosios per LAN arba iš užpuoliko kompiuterio, kuris yra tiesiogiai prijungtas prie pasirinkto LAN. Apskritai atakos tikslas yra susieti užpuoliko MAC adresą su pasirinktos priimančiosios IP adresu taip, kad bet koks srautas skirtas pasirinktai priimančiajai bus išsiųstas vietoj užpuoliko MAC. Užpuolikas gali pasirinkti:

1. Patikrinti paketus, ir pateikti juos į srautą per numatytus vartus;

2. Keisti duomenis prieš siunčiant („man-in-the-middle“ ataką);

3. Paleisti atsisakymo aptarnauti ataką, kuri sukelia kai kurių ar visų iš tinklo siunčiamų paketų galimą atmetimą.

Apsisaugojimas.

Statiniai ARP įrašai. IP – MAC priskyrimai vietiniame „ARP cache“ gali būti statiškai nustatyti, tada priimančios gali būti nukreiptos ignoruoti visus ARP atsakymų paketus. Kai statiniai įrašai suteikia tobulą apsaugą nuo klastojimo, tai operacinės sistemos tvarko juos teisingai, kaip IP-MAC rodymo sritis, visos tinkle esančios mašinos turi būti išdėstytos atitinkamai visoms kitoms mašinoms.

„ARP spoofing“ aptikimo programinė įranga. Programinė įranga, kuri aptinka „ARP spoofing“, visuotinai remiasi tam tikru sertifikatu arba ARP atsakymų kryžmine patikra. Nesertifikuoti ARP atsakymai yra blokuojami. Šie būdai gali būti integruoti kartu su DHCP serveriu taip, kad abu statinis ir dinaminis IP adresai yra sertifikuoti. Ši galimybė gali būti įgyvendinama atskirų kompiuterių, arba gali būti integruota į „Ethernet“ komutatorius arba kitą tinklo įrangą. Buvimas daugelyje IP adresų, susijusių su vienu MAC adresu gali nurodyti „ARP spoof „ ataką, nors tokios konfigūracijos naudojimas yra teisėtas. Labiau pasyvų metodą prietaisas taiko ARP atsakymų tinkle, ir siunčia pranešimą elektroniniu paštu, kai ARP įrašas pasikeičia.

DNS spoof

„DNS spoofing“ yra terminas, vartojamas, kai DNS serveris priima ir naudoja neteisingą informaciją iš priimančiosios, kuri neturi įgaliojimų suteikti šią informaciją. „DNS spoofing“ yra iš tiesų kenksminga atmintinės užteršimui, kai suklastoti duomenys yra pateikiami serverių vardų talpykloje. „Spoof“ atakos gali sukelti rimtų saugumo problemų, kada tokių išpuolių metu pažeidžiami DNS serveriai, todėl vartotojai yra nukreipiami į neteisingas interneto svetaines, elektroninį paštą arba nukreipti į nepatvirtintus pašto serverius.

„DNS spoofing“ gali būti atliekamas naudojant tris metodus:

1. Klastojant DNS atsakymus;

2. DNS talpyklos užsikrėtimas;

3. Įsilaužimas į platformą.

1. DNS atsakymų klastojimas.

Kiekvienas DNS prašymas turi susijusias su juo 16 bitų užklausos ID, senesnės BIND versijos naudojo lengvai nuspėjamą ID, jei užpuolikas gali atspėti kelią, kuriuo yra kuriamas DNS užklausos ID tai jis gali siųsti netikrus melagingus atsakymus apie priimančiosios užklausos IP adresą.

2. DNS talpyklos užsikrėtimas apima siunčiamą neteisingą DNS serverio informaciją, su aukšta TTL reikšme, kad išsaugoti klaidingą įrašą DNS talpykloje ilgesniam laikotarpiui taip, kad kitą kartą užklausus serverį jis atsakys su klaidinga informacija.

3. Įsilaužimas į platformą: jei užpuolikas gali įsilaužti į platformą, kurioje veikia DNS, naudojant buferio perpildymo ataką arba bet kokias kitas atakas, kad gauti šakninę (root) prieigą, įsilaužėlis turi turėti pilnai kontroliuojamą tinklą.

Aptarsime keletą „DNS spoofing“ atakų tipų. Pirmasis yra vietinis „DNS spoofing“, kur užpuolikas turi būti prijungtas, bet kur tarp aukos ir DNS serverio, ir jis / ji turėtų turėti galimybę apeiti visą srautą nuo nukentėjusiojo iki DNS serverio. Jei auka ir užpuolikas abu sujungti į vieną šakotuvą, užpuolikas gali lengvai apieškoti srautą naudojant vieną iš keleto daugkartinių ieškiklių nesunkiai randamų internete. Įsilaužėlis norėdamas galės pamatyti visą DNS srautą, taip pat jam bus suteikta galimybė pagrobti DNS sesiją ir siųsti klaidingus atsakymus, įskaitant melą apie tikrą IP adresą, o auka bandys išspręsti šią problemą ir proceso metu gali būti nukreipta ten, kur užpuolikas nori. Antroji ataka yra sudėtingesnė ataka ir ji turi pavojingesnį poveikį, nes tai sukelia pakitimus DNS talpyklos įrašuose, nes tai paveikia bet kokį vidaus ar išorės vartotoją bandantį pašalinti konkrečiai suklastotus įrašus. Ši ataka gali būti suorganizuota vietiniu arba nuotoliniu būdu. Vis dėlto, kad ši ataka įvyktų sėkmingai, ji turi būti nuspėjama DNS ID, kuriuos generuoja DNS serveris.

SCAM pages

Scam atpažinimas.

Dauguma scam įtraukia vieną ar daugiau iš šių veiksmų:

• Klausiama kieno nors esančio toli, dažniausiai kitoje šalyje;

• „Western Union, Money Gram“, kasos čekis, pinigų perlaidos, laivyba, sąlyginio deponavimo paslaugos, arba garantija;

• Negalėjimas arba atsisakymas susitikti akis į akį prieš sudarant sandorį.

Scam pavyzdžiai:

Teigiama, kad „Craigslist“ garantuos sandorius, patvirtins, pirkėją / pardavėją, arba tvirtins, kad „Craigslist“ tvarkys arba teiks apsaugą tam tikriems mokėjimams.

• Šie teiginiai yra apgaulingi, nes „Craigslist“ neturi jokio vaidmens bet kokiame sandoryje;

• Scameriai dažnai siunčia oficialų ieškomąjį laišką, kuris atrodo atėjęs iš „Craigslist“, siūlantis garantiją, patvirtinantą pardavėją, teikiantį mokėjimų paslaugas – visi tokie laiškai yra klastotės.

Nepažįstamas asmuo siūlo originaliai atrodantį (bet padirbtą) kasos čekį:

• Gausite laišką siūlantį nusipirkti sau akyse nematytą daiktą, ar išsinuomoti sau butą;

• Kasos čekis yra siūlomas jūsų objekto pardavimui, kaip užstatas už butą, ar už savo paslaugas;

• Kasos čekio vertė dažnai gerokai viršija savo prekės kainą – scameriai siūlo jums „pasitikėti“, ir prašo pervesti balansą elektroniniu pinigų pervedimo būdu;

• Bankai dažnai išgrynina šiuos padirbtus čekius ir tada laiko jus atsakingu, kai patikrinimo metu nepavyksta gauti aiškios ataskaitos, įskaitant kai kuriais atvejais patraukimą baudžiamojon atsakomybėn;

• Scam dažnai apima trečią dalį (laivybos kompanijos agentus, verslo asociacijas, kurios valdo pirkėjų pinigus ir t.t).

Kas nors prašo sumokėti per „Western Union ar MoneyGram“.

• Į scamer „masalą“ įeina butai, nešiojamieji kompiuteriai, televizoriai, mobilieji telefonai, bilietai, ir kiti didelės vertės daiktai;

• Dažnai tvirtinama, kad yra reikalingas MTCN arba patvirtinimo kodas tam, kad jis galėtų atsiimti jūsų pinigus – tai yra netiesa. Kai tik jūs pervesite pinigus jis iškart dings;

• Bendros šalys šiuo metu apima: Nigeriją, Rumuniją, Jungtinę Karalystę, Ukrainą, Ispaniją, Italiją, Nyderlandus – bet tai gali būti bet kur;

• Butų sąrašas gali būti vietinis, tačiau nuomininkas / savininkas yra „keliaujantys“ arba „persikraustantys“ ir pinigus reikia pervesti jiems į užsienį;

• Sandoris dažnai atrodo per gerai, kad būtų tiesa, kainos yra per žemos, nuoma žemiau rinkos kainos, ir t.t.

Nepažįstamas asmuo siūlo jums atsiųsti pinigų į sąskaitą:

• Tai visada sukčiai. Iš patirties - piniginis čekis yra netikras;

• Kartais pridedamas pasiūlymas apie prekes, o kartais ne;

• Scameris dažnai prašo jūsų vardo, adreso ir t.t., kad galėtų atspausdinti ant suklastoto čekio;

• Sandoris dažnai atrodo per gerai, kad būtų tiesa.

Nepažįstamas pardavėjas pasiūlė naudoti internetinę aptarnavimo tarnybą.

• Dauguma internetinio aptarnavimo svetainių yra apgaulingos, valdomos sukčių.

Nepažįstamas pardavėjas prašo iš ankstinio dalinio apmokėjimo, po kurio jis išsiųs prekes.

• Jis teigia, kad pasitiki jūsų daliniu apmokėjimu;

• Jis gali teigti, kad jau išsiuntė prekes;

• Sandoris dažnai skamba per daug gerai kad būtų tiesa.

Užsienio kompanija siūlo jums darbą gauti išmokas iš klientų, o ne iš finansavimo fondų.

• Užsienio įmonė gali tvirtinti, kad ji negali gauti išmokų iš savo klientų tiesiogiai;

• Jums paprastai siūloma gauti išmokų procentus;

• Tokia „pozicija“ gali būti paskelbta kaip darbo skelbimas, arba atsiųsta tiesiai į elektroninį paštą.

Trumpai tariant, geriau nepasitikėti tokiais apgaulingais puslapiais arba siunčiamais elektroniniais laiškais, kurios gauname elektroniniu paštu.

Išvados

  • Atliktame darbe išnagrinėjome tinklo atakų tipus, jų galimas atsiradimo priežastis, apsisaugojimą bei jų žalingą poveikį vartotojui. Naudodami tinklo atakas užpuolikai siekia tik vieno tikslo – padaryti kuo daugiau žalos aukai, kad patenkintų savo poreikius. Apsisaugoti nuo tokių kenkėjų yra sunku.

Naudota literatūra

http://en.wikipedia.org/wiki/Man-in-the-middle_attack

http://en.wikipedia.org/wiki/ARP_spoofing

http://www.giac.org/paper/gcih/364/dns-spoofing-attack/103863

http://www.craigslist.org/about/scams