Mi az a MitM?

Ahhoz, hogy az eszköz kommunikálni tudjon bármely más eszközzel, csatlakoznia kell hozzá. Ha a másik eszköz fizikailag jelen van, ez nagyon egyszerű. Csak egy kábelt húzhat a két eszköz között. Szükséges, hogy valamilyen kommunikációs szabványt osztozzanak, de az alapelv megmarad. Természetesen a legtöbb eszköz, amellyel kommunikálni szeretne, fizikailag nincs jelen. Ehelyett csatlakoznia kell hozzájuk egy számítógépes hálózaton keresztül, amelyhez általában az internet is kapcsolódik.

Ezzel az a probléma, hogy jelenleg sok hírnök van, akiknek oda-vissza kell továbbítaniuk a kommunikációt. A közvetítő feleken keresztüli megfelelő kommunikációhoz képesnek kell lennie megbízni bennük. Alternatív megoldásként biztosítania kell, hogy ne tudják elolvasni vagy módosítani a kommunikációt. Ez a titkosítás alapja. Lehetővé teszi a biztonságos kommunikációt egy nem biztonságos csatornán keresztül.

A helyzet az, hogy még a játékban lévő titkosítás mellett is vannak rossz szereplők, akik megpróbálnak hozzáférni érzékeny információkhoz. Ennek egyik módja egy Man-in-the-Middle támadás vagy MitM.

A beállítás

A MitM működéséhez a támadónak az általa elérni kívánt adatokat továbbító felek egyikének kell lennie. Ezt többféleképpen is elérheti. Az első viszonylag egyszerű, futtasson egy Internet hozzáférési pontot, pontosan ezért kell óvakodnia a véletlenszerű ingyenes Wi-Fi hotspotoktól. Ezt könnyű megtenni, a probléma az, hogy nem biztos, hogy könnyű rávenni egy adott személyt, hogy csatlakozzon egy adott hálózathoz.

A másik lehetőség az, hogy beállítja az áldozat eszközét, hogy proxyszerverként használja az eszközt, vagy hogy az áldozat internetszolgáltatója legyen. Valójában, ha egy támadó be tudja állítani eszközét proxyként való használatra, valószínűleg több mint elegendő hozzáféréssel rendelkezik a számítógéphez, hogy megszerezze a kívánt információkat. Elméletileg bárki internetszolgáltatója is megcélozhatja őket, mivel a forgalom az internetszolgáltatóján keresztül halad. A VPN/proxy szolgáltató pontosan ugyanabban a helyzetben van, mint az internetszolgáltató, és lehet, hogy megbízható vagy nem.

Megjegyzés: Ha azon gondolkodik, hogy VPN-t szerezzen az internetszolgáltatója elleni védelem érdekében, fontos megértenie, hogy ekkor a VPN-szolgáltató válik a hatékony internetszolgáltatóvá. Mint ilyen, ugyanazok a biztonsági szempontok vonatkoznak rájuk is.

Passzív MitM

Bár sok eszköz MitM pozícióban lehet, legtöbbjük nem lesz rosszindulatú. Ennek ellenére a titkosítás véd az ilyenektől, és segít javítani a magánéletét. A MitM pozícióban lévő támadó egyszerűen arra használja a pozícióját, hogy „hallgassa” a forgalom áramlását. Ily módon nyomon tudják követni a titkosított forgalom néhány homályos részletét, és ki tudják olvasni a titkosítatlan forgalmat.

Ebben a fajta forgatókönyvben a MitM pozícióban lévő támadó mindig képes olvasni vagy módosítani a titkosítatlan forgalmat. Ezt csak a titkosítás akadályozza meg.

Aktív MitM

Az a támadó, aki megtette a fáradságot, hogy eljusson erre a pozícióra, nem biztos, hogy örül a titkosítatlan adatok olvasásának/módosításának. Ennek megfelelően megpróbálhatnak aktív támadást végrehajtani.

Ebben a forgatókönyvben teljesen beilleszkednek a kapcsolat közepébe, aktív közvetítőként működve. Megbeszélik a „biztonságos” kapcsolatot a szerverrel, és megpróbálják ugyanezt megtenni a végfelhasználóval. Itt jellemzően szétesnek a dolgok. Amennyire mindezt meg tudják tenni, a titkosítási ökoszisztémát úgy tervezték, hogy kezelje ezt a forgatókönyvet.

Minden HTTPS-webhely HTTPS-tanúsítványt szolgál ki. A tanúsítványt más tanúsítványok lánca írja alá, amelyek a néhány speciális „gyökértanúsítvány” egyikéhez vezetnek vissza. A gyökértanúsítványok különlegesek, mert minden eszköz megbízható tanúsítványtárolójában vannak tárolva. Ezért minden eszköz ellenőrizheti, hogy a neki bemutatott HTTPS-tanúsítványt aláírta-e valamelyik gyökértanúsítvány a saját megbízható tanúsítványtárolójában.

Ha a tanúsítvány-ellenőrzési folyamat nem fejeződik be megfelelően, akkor a böngésző egy tanúsítványhiba figyelmeztető oldalt dob, amely elmagyarázza a probléma alapjait. A tanúsítványkibocsátó rendszer úgy van beállítva, hogy bizonyítania kell, hogy Ön egy webhely jogos tulajdonosa, hogy meggyőzze bármelyik tanúsító hatóságot, hogy írja alá a tanúsítványt a gyökértanúsítványával. Mint ilyen, a támadók általában csak érvénytelen tanúsítványokat használhatnak, így az áldozatok tanúsítványhibaüzeneteket látnak.

Megjegyzés: A támadó arról is meggyőzheti az áldozatot, hogy telepítse a támadó gyökértanúsítványát a megbízható tanúsítványtárolóba, ekkor az összes védelem megszakad.

Ha az áldozat úgy dönt, hogy „elfogadja a kockázatot”, és figyelmen kívül hagyja a tanúsítványra vonatkozó figyelmeztetést, akkor a támadó elolvashatja és módosíthatja a „titkosított” kapcsolatot, mivel a kapcsolat csak a támadó felé és a támadótól van titkosítva, nem egészen a szerverig.

Egy kevésbé digitális példa

Ha nehézséget okoz a „középben lévő ember” támadás fogalma körül, könnyebb lehet a fizikai „csigaposta” koncepciójával dolgozni. A posta és a rendszer olyan, mint az internet, csak levélküldésre. Feltételezi, hogy bármely küldött levél a teljes postai rendszeren átmegy anélkül, hogy kinyitná, elolvasná vagy módosítaná.

A posztját kézbesítő személy azonban tökéletes ember a középső pozícióban van. Dönthetnek úgy, hogy bármelyik levelet felbontják, mielőtt kézbesítenék. Ezután tetszés szerint elolvashatták és módosíthatták a levél tartalmát, majd újra lezárhatták egy másik borítékba. Ebben a forgatókönyvben valójában soha nem kommunikál azzal a személlyel, akinek gondolja magát. Ehelyett mindketten az érdeklődő postával kommunikálnak.

Egy harmadik fél, amely képes ellenőrizni (kriptográfiailag biztonságos) aláírásokat, legalább elmondhatja Önnek, hogy valaki megnyitja a leveleit. Dönthet úgy, hogy figyelmen kívül hagyja ezt a figyelmeztetést, de azt tanácsoljuk, hogy ne küldjön semmi titkot.

Nagyon keveset tehetsz a helyzettel azon kívül, hogy megváltoztatod a rendszert, amelyen keresztül kommunikálsz. Ha e-mailben kezd kommunikálni, a bejegyzés személye többé nem tudja elolvasni vagy módosítani az üzeneteit. Hasonlóképpen, egy másik, ideális esetben megbízható hálózathoz való csatlakozás az egyetlen módja annak, hogy megtagadja a támadó hozzáférését, miközben továbbra is képes kommunikálni.

Következtetés

A MitM a Man-in-the-Middle rövidítése. Olyan helyzetet képvisel, amikor a kommunikációs láncban egy hírnök rosszindulatúan figyeli és potenciálisan szerkeszti a kommunikációt. Jellemzően a legnagyobb kockázat az első ugrásnál van, azaz a routernél, amelyhez csatlakozol. Az ingyenes Wi-Fi hotspot tökéletes példa erre. A MitM pozícióban lévő támadó elolvashatja és szerkesztheti a titkosítatlan kommunikációt. Ugyanezt a titkosított kommunikációval is megpróbálhatják, de ennek tanúsítványérvényesítési hibaüzeneteket kell eredményeznie. Ezek a tanúsítványérvényesítési figyelmeztető üzenetek az egyetlen dolog, ami megakadályozza, hogy a támadó a titkosított forgalmat is előkészítse és módosítsa. Ez azért működik, mert mindkét fél a támadóval kommunikál, nem pedig egymással. A támadó a másik félnek adja ki magát mindkét fél számára.