Атаки посредника, также известные как «человек посередине» (Man-in-the-middle или MitM) могут происходить, когда злоумышленник имеет возможность перехватывать сообщения по сети. Это позволяет злоумышленнику читать и, возможно, изменять эти сообщения.
Как работает атака посредника (Man-in-the-middle)?
Компьютеры в Интернете не связаны напрямую друг с другом. Весь сетевой трафик, включая просмотр веб-страниц, электронную почту и использование мобильных приложений, проходит через множество различных маршрутизаторов и устройств на пути от источника к месту назначения. Эти устройства обычно не находятся под контролем отправителя или получателя сообщения и управляются поставщиками услуг Интернета (ISP), организациями и, возможно, отдельными лицами.
Это создает вероятность того, что один из переходов, через которые проходит сетевой трафик, находится под контролем злоумышленника. Если это так, то злоумышленник имеет возможность проверить сетевые пакеты, которые они передают.
Это вредоносное устройство может отбрасывать пакеты между двумя сторонами, прерывая их связь. В случае, если отправляемые данные не зашифрованы, злоумышленник может прочитать и потенциально изменить трафик, чтобы данные, видимые получателю, отличались от данных, переданных отправителем.
Одним из примеров распространенного риска атаки MitM является использование ненадежных сетей Wi-Fi. Если злоумышленник настраивает беспроводную сеть и к ней подключается компьютер, то весь сетевой трафик этого компьютера проходит через беспроводной маршрутизатор, контролируемый злоумышленником. Затем, злоумышленник может проверить, удалить и потенциально изменить этот трафик в зависимости от того, зашифрован ли он и защищен ли он от модификации.
Управление рисками атаки посредника (Man-in-the-middle / MitM ) с помощью протокола защиты транспортного уровня (transport layer security / TLS)
Атаки MitM основаны на способности злоумышленника перехватывать, читать и изменять сетевой трафик. Хотя пользователь имеет ограниченный контроль над тем, как его трафик проходит через Интернет, он может предпринять шаги, чтобы затруднить выполнение атак MitM. Например, использование виртуальной частной сети (VPN) при подключении к общедоступным сетям Wi-Fi помогает защититься от перехвата трафика вредоносной беспроводной точкой доступа.
Даже если злоумышленник имеет доступ к сетевому трафику пользователя, его способность читать и изменять трафик зависит от того, как этот трафик защищен. Если сетевой трафик зашифрован и аутентифицирован с использованием протокола защиты транспортного уровня (TLS) – что отличает протоколы HTTP и HTTPS между собой – злоумышленник не должен иметь возможности прочитать данные, содержащиеся в сетевом трафике, или изменить их без обнаружения.
В соединении TLS веб-сервер отправляет цифровую подпись, которая доказывает, что он является законным владельцем URL-адреса, который посещает пользователь. Этот цифровой сертификат также содержит ключи шифрования, которые можно использовать для защиты соединения между клиентом и сервером. Эти ключи и встроенные в протокол проверки целостности сообщений защищают от атак MitM.
Проблемы безопасности протоколов защиты транспортного уровня (TLS)
TLS предназначен для обеспечения конфиденциальности и целостности сетевого трафика. Однако, у системы есть некоторые недостатки, которые могут сделать ее уязвимой для атак.
Одним из самых больших ограничений TLS является то, что он только доказывает, что пользователь подключен к законному веб-серверу для URL-адреса, который он посещает. Если клиента обманом заставляют посетить вредоносный URL-адрес с помощью фишинговой атаки, то все, что делает TLS, — это защищает соединение пользователя с сервером злоумышленника.
Другая важная возможная проблема TLS заключается в том, что цифровой сертификат, предоставляемый веб-сервером, является законным и заслуживающим доверия. Подлинность цифровых сертификатов демонстрируется цепочкой цифровых сертификатов, восходящей к доверенному корневому центру сертификации (CA). Каждый сертификат имеет цифровую подпись предыдущего сертификата в цепочке, поэтому сертификат считается доверенным, если все цифровые подписи действительны и корневой CA является доверенным.
Если эта цепочка доверия разорвана, возможна атака MitM. Например, обычная атака MitM выполняется предприятиями, пытающимися получить представление о сетевом трафике для выявления вредоносного контента или кражи данных в сетевом трафике. Эти организации заставляют компьютеры сотрудников доверять корневому CA, контролируемому компанией, для всех веб-сайтов.
Это позволяет прокси-серверу установить зашифрованное аутентифицированное соединение с пользователем, а другое — с желаемым удаленным веб-сервером. В середине данные зашифрованы и могут быть проверены и потенциально изменены веб-сервером.
Как защититься от атак посредников (MitM) и других кибератак?
Атака MitM в основном представляет собой угрозу, когда не соблюдаются передовые методы кибербезопасности. Использование TLS, когда это возможно, и VPN при подключении к ненадежным общедоступным сетям значительно снижает риск атак MitM.