Celem większości napastników, bez względu na to, w jaki sposób dbają o swoje interesy, jest kradzież danych użytkowników. Kradzież odbywać się może podczas niewielkich, dyskretnych ataków na pojedyncze ofiary lub podczas masowych operacji cyberprzestępczych na dużą skalę z wykorzystaniem skompromitowanych stron WWW i włamań do finansowych baz danych. Metody mogą być różne, ale cel pozostaje ten sam. W większości przypadków napastnicy próbują w pierwszej kolejności dostarczyć na komputer ofiary jakiś rodzaj szkodliwego oprogramowania, jako że jest to najkrótsza droga pomiędzy nimi a danymi użytkownika. Ale jeżeli, z jakiegoś powodu, niemożliwe jest wniknięcie szkodnika do komputera ofiary, kolejnym popularnym sposobem wtargnięcia jest atak man-in-the-middle (MITM). Jak sugeruje sama nazwa, wektor tego ataku wymaga umieszczenia atakującego lub pewnych złośliwych narzędzi pomiędzy ofiarą a docelowym zasobem, takim jak strona internetowa banku lub program pocztowy. Ataki te mogą być bardzo skuteczne i dość trudne do wykrycia, zwłaszcza dla użytkowników, którzy nie są świadomi niebezpieczeństw, jakie takie ataki stwarzają.
Definicja ataku Man-in-the-Middle
Idea stojąca za atakiem MITM jest niesamowicie prosta, jednak nie ogranicza się tylko do zagadnień bezpieczeństwa komputerowego lub zbioru działań internetowych. W najprostszej postaci atak MITM wymaga jedynie, aby napastnik znalazł się między dwiema stronami, które próbują się komunikować i był w stanie przechwytywać wysyłane komunikaty, a ponadto posiadał zdolność podszywania się pod przynajmniej jedną ze stron. Na przykład, w świecie rzeczywistym może to obejmować kogoś tworzącego fałszywe rachunki lub faktury i umieszczającego je w skrzynce pocztowej ofiary, a następnie przechwytującego przelewy bankowe w momencie, gdy ofiara próbuje uregulować sfabrykowaną płatność. W świecie online ataki MITM są nieco bardziej złożone, ale koncepcja pozostaje identyczna. Atakujący umiejscawia się między celem a jakimś zasobem, do którego ofiara stara się dotrzeć. Aby atak zakończył się powodzeniem, obecność atakującego musi pozostać niezauważona zarówno przez ofiarę, jak i zasób, pod który podszywa się agresor.
Warianty ataku MITM
Najpowszechniejszy atak MITM obejmuje napastnika wykorzystującego router WiFi jako mechanizm do przechwytywania komunikacji użytkownika. Można to zrobić albo poprzez skonfigurowanie złośliwego routera, który wydaje się być legalny, albo poprzez wykorzystanie podatności w konfiguracji routera w celu przechwytywania komunikacji ofiary z urządzeniem. W pierwszym scenariuszu atakujący może skonfigurować swój laptop lub inne urządzenie bezprzewodowe do działania jako hotspot WiFi i nadać mu nazwę powszechnie stosowaną w miejscach publicznych, takich jak lotniska lub kawiarnie. Następnie, kiedy użytkownicy próbują połączyć się z fałszywym „routerem” i dotrzeć do krytycznie ważnych miejsc, takich jak witryny banków internetowych lub e-sklepów, napastnik może np. przechwycić ich dane logowania i wykorzystać je do własnych, niecnych celów. W drugim przykładzie atakujący identyfikuje podatności w ustawieniach konfiguracji lub szyfrowania legalnego routera WiFi, a następnie wykorzystuje znalezione luki do podsłuchiwania komunikacji pomiędzy użytkownikiem a routerem. Ten scenariusz jest zdecydowanie trudniejszy do odegrania, ale może być również bardziej skuteczny, zwłaszcza, jeśli napastnik jest w stanie utrzymywać dostęp do zaatakowanego routera przez kilka godzin lub dni. To daje napastnikowi możliwość ukradkowego podsłuchiwania sesji komunikacyjnych niczego niepodejrzewającej ofiary – np. wymiany treści z firmowym serwerem pocztowym – i gromadzenia ogromnych ilości poufnych danych.
Nowszy wariant ataku MITM nosi nazwę ataku man-in-the-browser (MITB). W tym scenariuszu atakujący korzysta z jednej z wielu możliwych metod, aby wprowadzić złośliwy kod do przeglądarki internetowej zainstalowanej na komputerze ofiary. Wprowadzane złośliwe oprogramowanie ma za zadanie dyskretnie rejestrować dane przesyłane między przeglądarką ofiary a różnymi miejscami docelowymi, których adresy atakujący zamieszcza w kodzie szkodnika. Ataki MITB stają się coraz bardziej popularne w ostatnich latach, ponieważ pozwalają atakującemu razić większą grupę ofiar i nie wymagają od napastnika przebywania w pobliżu ofiar.
Środki obronne
Istnieje kilka skutecznych metod obrony przed atakami MITM, ale niemal wszystkie z nich znajdują się po stronie routera / serwera i nie dają użytkownikom zupełnie żadnej kontroli w zakresie bezpieczeństwa transakcji. Jednym z takich środków obrony jest zastosowanie silnego algorytmu szyfrowania między klientem a serwerem. W tym przypadku serwer może uwierzytelniać się poprzez przedstawienie ważnego certyfikatu cyfrowego, a następnie, po pomyślnej weryfikacji, klient i serwer mogą ustanowić szyfrowany kanał komunikacyjny, przez który przesyłane są poufne dane. Jednak, powodzenie tej metody opiera się na wiarygodności serwera, który musi mieć włączone szyfrowanie. Z drugiej strony, użytkownicy sami mogą chronić się przed niektórymi rodzajami ataków MITM unikając łączenia się z niezabezpieczonymi routerami i otwartymi sieciami WiFi oraz stosując specjalne wtyczki bezpieczeństwa, takie jak HTTPS Everywhere lub ForceTLS, które zawsze, kiedy tylko jest to możliwe, wymuszają bezpieczne połączenie. NIestety, każda z tych metod obrony posiada pewne ograniczenia, a demonstracje praktycznych ataków, takich jak SSLStrip lub SSLSniff pokazują, że zabezpieczenia połączeń SSL przestały być wystarczające.