Какво е MitM?

За да може вашето устройство да комуникира с всяко друго устройство, трябва да се свърже с него. Ако другото устройство присъства физически, това е доста просто. Можете просто да прекарате кабел между двете устройства. Необходимо е те да споделят някакъв стандарт за комуникация, но основният принцип остава. Разбира се, повечето от устройствата, с които може да искате да комуникирате, не присъстват физически. Вместо това трябва да се свържете с тях през компютърна мрежа, обикновено с включен интернет.

Проблемът с това е, че сега има потенциално много пратеници, които трябва да предават вашите комуникации напред-назад. За да комуникирате правилно чрез посредници, трябва да можете да им се доверите. Като алтернатива трябва да сте в състояние да гарантирате, че те не могат да четат или променят вашите комуникации. Това е основата на криптирането. Позволява ви да комуникирате сигурно по несигурен канал.

Работата е там, че дори с криптиране в играта все още има някои лоши актьори, които се опитват да получат достъп до чувствителна информация. Един от начините, по който могат да се опитат да направят това, е да извършат атака Man-in-the-Middle или MitM.

Конфигурацията

За да работи MitM, нападателят трябва да е една от страните, предаващи данните, до които искат да имат достъп. Има няколко начина да постигнете това. Първият е сравнително прост, стартирайте точка за достъп до интернет, точно поради тази причина трябва да внимавате за произволни безплатни Wi-Fi горещи точки. Това е лесно да се направи, проблемът е, че може да не е лесно да накарате конкретен човек да се свърже с конкретна мрежа.

Алтернативните опции са да конфигурирате устройството на жертвата да използва вашето устройство като прокси сървър или да бъде интернет доставчик на жертвата. Реално погледнато, ако хакер може да настрои устройството си да се използва като прокси, той вероятно има повече от достатъчно достъп до вашия компютър, за да получи информацията, която иска. Теоретично всеки интернет доставчик може също да се насочи към него, тъй като трафикът му преминава през неговия интернет доставчик. Доставчикът на VPN/прокси е в точно същата позиция като интернет доставчика и може или не може да бъде толкова надежден.

Забележка: Ако обмисляте да получите VPN, за да се предпазите от вашия интернет доставчик, важно е да разберете, че след това VPN доставчикът става вашият ефективен интернет доставчик. Като такива всички същите опасения за сигурността трябва да се прилагат и за тях.

Пасивен MitM

Докато много устройства може да са в позиция MitM, повечето от тях няма да са злонамерени. Все пак криптирането предпазва от тези, които са и помага за подобряване на поверителността ви. Нападател в позиция MitM може просто да използва позицията си, за да „слуша“ потока на трафика. По този начин те могат да проследяват някои неясни подробности за криптирания трафик и да четат некриптиран трафик.

При този вид сценарий нападател в позиция MitM винаги може да чете или променя некриптиран трафик. Само криптирането предотвратява това.

Активен MitM

Нападател, който си е направил труда да стигне до тази позиция, може да не е непременно доволен само от четенето/модифицирането на некриптирани данни. Като такива, те могат да се опитат да извършат активна атака вместо това.

В този сценарий те се вмъкват напълно в средата на връзката, действайки като активен посредник. Те договарят „сигурна“ връзка със сървъра и се опитват да направят същото с крайния потребител. Това е мястото, където нещата обикновено се разпадат. Колкото и да могат да направят всичко това, екосистемата за криптиране е проектирана да се справи с този сценарий.

Всеки HTTPS уебсайт обслужва HTTPS сертификат. Сертификатът е подписан от верига от други сертификати, водещи до един от няколкото специални „основни сертификата“. Основните сертификати са специални, защото се съхраняват в довереното хранилище на сертификати на всяко устройство. Поради това всяко устройство може да провери дали HTTPS сертификатът, с който е представен, е подписан от един от главните сертификати в собственото му надеждно хранилище за сертификати.

Ако процесът на проверка на сертификата не завърши правилно, тогава браузърът ще изведе предупредителна страница за грешка в сертификата, обясняваща основите на проблема. Системата за издаване на сертификати е настроена по такъв начин, че трябва да можете да докажете, че сте законният собственик на сайт, за да убедите който и да е Сертифициращ орган да подпише сертификата Ви с техния основен сертификат. Като такъв, атакуващият обикновено може да използва само невалидни сертификати, карайки жертвите да виждат съобщения за грешка в сертификата.

Забележка: Нападателят може също така да убеди жертвата да инсталира основния сертификат на нападателя в довереното хранилище на сертификати, в който момент всички защити са нарушени.

Ако жертвата избере да „приеме риска“ и игнорира предупреждението за сертификат, тогава атакуващият може да прочете и промени „криптираната“ връзка, тъй като връзката е криптирана само към и от атакуващия, а не чак до сървъра.

По-малко дигитален пример

Ако ви е трудно да обхванете концепцията за атака Man-in-the-Middle, може да е по-лесно да работите с концепцията за физическа „охлювна“ поща. Пощата и системата са като интернет, но за изпращане на писма. Предполагате, че всяко изпратено от вас писмо минава през цялата пощенска система, без да бъде отваряно, прочитано или модифицирано.

Човекът, който доставя публикацията ви обаче, е в перфектната позиция на човек по средата. Те можеха да изберат да отворят всяко писмо, преди да го доставят. След това те могат да прочетат и променят съдържанието на писмото по желание и да го запечатат отново в друг плик. В този сценарий всъщност никога не общувате наистина с човека, който мислите, че сте. Вместо това и двамата комуникирате с любопитния човек по пощата.

Трета страна, която може да провери (криптографски защитени) подписи, може поне да ви каже, че някой отваря вашата поща. Можете да изберете да пренебрегнете това предупреждение, но ще бъдете добре посъветвани да не изпращате нищо тайно.

Има много малко, което можете да направите за ситуацията, освен да промените системата, чрез която комуникирате. Ако започнете да общувате по имейл, лицето, което изпраща пощата, вече не може да чете или променя вашите съобщения. По същия начин, свързването към различна и в идеалния случай надеждна мрежа е единственият начин да откажете достъп на атакуващия, като същевременно можете да комуникирате.

Заключение

MitM означава Man-in-the-Middle. Представлява ситуация, при която пратеник във веригата за комуникация злонамерено наблюдава и потенциално редактира комуникациите. Обикновено най-големият риск е от първия хоп, т.е. рутера, към който се свързвате. Безплатна Wi-Fi гореща точка е идеалният пример за това. Нападател в позиция MitM може да чете и редактира некриптирани комуникации. Те също могат да опитат същото с криптирани комуникации, но това трябва да доведе до съобщения за грешка при валидиране на сертификата. Тези предупредителни съобщения за проверка на сертификата са единственото нещо, което пречи на атакуващия да може да подготви и модифицира криптирания трафик. Това работи, защото и двете страни комуникират с нападателя, а не помежду си. Нападателят се представя за другата страна и на двете страни.