Çfarë është MitM?

Që pajisja juaj të komunikojë me çdo pajisje tjetër, duhet të lidhet me të. Nëse pajisja tjetër është fizikisht e pranishme, kjo është shumë e thjeshtë. Thjesht mund të lidhni një kabllo midis dy pajisjeve. Është e nevojshme që ata të ndajnë një lloj standardi komunikimi, por parimi bazë qëndron. Sigurisht, shumica e pajisjeve me të cilat mund të dëshironi të komunikoni nuk janë fizikisht të pranishme. Në vend të kësaj, ju duhet të lidheni me ta përmes një rrjeti kompjuterik zakonisht me internetin të përfshirë.

Problemi me këtë është se tani ka potencialisht shumë lajmëtarë që duhet të kalojnë komunikimet tuaja përpara dhe mbrapa. Për të komunikuar siç duhet nëpërmjet palëve ndërmjetëse, duhet të jeni në gjendje t'u besoni atyre. Përndryshe, ju duhet të jeni në gjendje të siguroheni që ata nuk mund të lexojnë ose modifikojnë komunikimet tuaja. Kjo është baza e kriptimit. Kjo ju lejon të komunikoni në mënyrë të sigurt përmes një kanali të pasigurt.

Puna është se edhe me enkriptimin në lojë, ka ende disa aktorë të këqij që përpiqen të kenë akses në informacione të ndjeshme. Një mënyrë që ata mund të përpiqen ta bëjnë këtë është të kryejnë një sulm Man-in-the-Middle ose MitM.

Vendosja

Që MitM të funksionojë, sulmuesi duhet të jetë një nga palët që transmeton të dhënat që duan të aksesojnë. Ka disa mënyra për ta arritur këtë. E para është relativisht e thjeshtë, përdorni një pikë aksesi në internet, pikërisht kjo është arsyeja pse duhet të jeni të kujdesshëm ndaj pikave të nxehta të rastësishme pa Wi-Fi. Kjo është e lehtë për t'u bërë, problemi është se mund të mos jetë e lehtë të lidhësh një person specifik me një rrjet specifik.

Opsionet alternative janë të konfiguroni pajisjen e viktimës për të përdorur pajisjen tuaj si një server proxy ose për të qenë një ISP për viktimën. Realisht, nëse një sulmues mund të vendosë pajisjen e tij për t'u përdorur si një përfaqësues, ata ndoshta kanë më shumë se mjaftueshëm akses në kompjuterin tuaj për të marrë informacionin që duan. Teorikisht, ISP-ja e kujtdo mund t'i synojë ato pasi trafiku i tyre kalon përmes ISP-së së tyre. Një ofrues VPN/proxy është saktësisht në të njëjtin pozicion si ISP dhe mund të jetë ose jo aq i besueshëm.

Shënim: Nëse jeni duke menduar të merrni një VPN për t'u mbrojtur nga ISP-ja juaj, është e rëndësishme të kuptoni se ofruesi VPN më pas bëhet ISP-ja juaj efektive. Si të tilla, të gjitha shqetësimet e njëjta të sigurisë duhet të vlejnë edhe për ta.

MitM pasive

Ndërsa shumë pajisje mund të jenë në një pozicion MitM, shumica e tyre nuk do të jenë me qëllim të keq. Megjithatë, kriptimi mbron nga ato që janë dhe ndihmon në përmirësimin e privatësisë suaj. Një sulmues në një pozicion MitM thjesht mund të përdorë pozicionin e tij për të "dëgjuar" rrjedhën e trafikut. Në këtë mënyrë ata mund të gjurmojnë disa detaje të paqarta të trafikut të koduar dhe mund të lexojnë trafikun e pakriptuar.

Në këtë lloj skenari, një sulmues në një pozicion MitM gjithmonë mund të lexojë ose modifikojë trafikun e pakriptuar. Është vetëm enkriptimi që e pengon këtë.

MitM aktiv

Një sulmues që ka pasur mundimin për të arritur veten në atë pozicion mund të mos jetë domosdoshmërisht i lumtur vetëm duke lexuar/modifikuar të dhëna të pakriptuara. Si të tillë, ata mund të përpiqen të kryejnë një sulm aktiv në vend të kësaj.

Në këtë skenar, ata futen plotësisht në mes të lidhjes duke vepruar si ndërmjetës aktiv. Ata negociojnë një lidhje "të sigurt" me serverin dhe përpiqen të bëjnë të njëjtën gjë me përdoruesin përfundimtar. Kjo është ajo ku gjërat zakonisht shpërbëhen. Për aq sa ata absolutisht mund t'i bëjnë të gjitha këto, ekosistemi i enkriptimit është krijuar për të trajtuar këtë skenar.

Çdo faqe interneti HTTPS shërben një certifikatë HTTPS. Certifikata nënshkruhet nga një zinxhir certifikatash të tjera që çojnë në një nga disa "certifikata rrënjësore" të veçanta. Certifikatat rrënjësore janë të veçanta sepse ato ruhen në dyqanin e besuar të certifikatave të çdo pajisjeje. Prandaj, çdo pajisje mund të kontrollojë për të parë nëse certifikata HTTPS me të cilën është paraqitur është nënshkruar nga një prej certifikatave rrënjësore në dyqanin e saj të besuar të certifikatave.

Nëse procesi i verifikimit të certifikatës nuk përfundon siç duhet, atëherë shfletuesi do të hapë një faqe paralajmërimi për gabimin e certifikatës që shpjegon bazat e problemit. Sistemi i lëshimit të certifikatave është krijuar në atë mënyrë që ju duhet të jeni në gjendje të provoni se jeni pronari legjitim i një siti për të bindur çdo Autoritet Certifikatash të nënshkruajë certifikatën tuaj me certifikatën e tij rrënjësore. Si i tillë, një sulmues në përgjithësi mund të përdorë vetëm certifikata të pavlefshme, duke bërë që viktimat të shohin mesazhe gabimi të certifikatës.

Shënim: Sulmuesi gjithashtu mund ta bindë viktimën që të instalojë certifikatën rrënjësore të sulmuesit në dyqanin e besuar të certifikatave, në atë moment, të gjitha mbrojtjet janë prishur.

Nëse viktima zgjedh të "pranojë rrezikun" dhe të injorojë paralajmërimin e certifikatës, atëherë sulmuesi mund të lexojë dhe modifikojë lidhjen "e enkriptuar", sepse lidhja është e koduar vetëm me dhe nga sulmuesi, jo deri në server.

Një shembull më pak dixhital

Nëse keni vështirësi të mbështillni kokën rreth konceptit të një sulmi Man-in-the-Middle, mund të jetë më e lehtë të punoni me konceptin e postës fizike "kërmilli". Posta dhe sistemi janë si interneti por për dërgimin e letrave. Ju supozoni se çdo letër që dërgoni kalon në të gjithë sistemin postar pa u hapur, lexuar ose modifikuar.

Personi që jep postimin tuaj, megjithatë, është në një pozicion të përsosur Man-in-the-Middle. Ata mund të zgjidhnin të hapnin çdo letër përpara se ta dorëzonin atë. Më pas ata mund të lexojnë dhe modifikojnë përmbajtjen e letrës sipas dëshirës dhe ta mbyllin sërish në një zarf tjetër. Në këtë skenar, në të vërtetë nuk po komunikoni kurrë me personin që mendoni se jeni. Në vend të kësaj, të dy po komunikoni me postuesin e zhurmshëm.

Një palë e tretë që mund të verifikojë nënshkrimet (kriptografikisht të sigurta) mund të paktën t'ju thotë se dikush po hap postën tuaj. Ju mund të zgjidhni ta shpërfillni këtë paralajmërim, por do të këshilloheshit të mos dërgoni asgjë sekrete.

Ju mund të bëni shumë pak për situatën përveç ndryshimit të sistemit mbi të cilin komunikoni. Nëse filloni të komunikoni me email, postuesi nuk mund t'i lexojë ose modifikojë më mesazhet tuaja. Po kështu, lidhja me një rrjet të ndryshëm dhe të besueshëm në mënyrë ideale është mënyra e vetme për të mohuar aksesin e sulmuesit, ndërkohë që mund të komunikoni.

konkluzioni

MitM qëndron për Man-in-the-Middle. Ai përfaqëson një situatë ku një lajmëtar në zinxhirin e komunikimit monitoron me qëllim të keq dhe mundësisht redakton komunikimet. Në mënyrë tipike, rreziku më i madh është nga kërcimi i parë, dmth. ruteri me të cilin lidheni. Një pikë e nxehtë Wi-Fi falas është shembulli i përsosur i kësaj. Një sulmues në një pozicion MitM mund të lexojë dhe modifikojë komunikimet e pakriptuara. Ata gjithashtu mund të provojnë të njëjtën gjë me komunikime të koduara, por kjo duhet të rezultojë në mesazhe gabimi të vërtetimit të certifikatës. Këto mesazhe paralajmëruese të vlefshmërisë së certifikatës janë e vetmja gjë që pengojnë një sulmues të jetë në gjendje të përgatitë dhe modifikojë gjithashtu trafikun e koduar. Kjo funksionon sepse të dyja palët komunikojnë me sulmuesin dhe jo me njëra-tjetrën. Sulmuesi paraqitet si pala tjetër për të dyja palët.