Атака _Человек посередине_ - Википедия. Человек посередине

Атака "Человек
посередине"
В криптографии и компьютерной безопасности
, а
человек-в-середине
[а]
атака - это кибератаки когда злоумышленник тайно ретранслирует и, возможно,
изменяет связь между двумя сторонами, которые
Русский

считают, что они непосредственно общаются друг с другом, как злоумышленник вставил себе между двумя сторонами.
[8]
Одним из примеров атаки MITM является активное подслушивание
, в котором злоумышленник устанавливает независимые соединения с жертвами и передает сообщения между ними, чтобы заставить их поверить, что они разговаривают напрямую друг с другом по частному соединению, когда на самом деле весь разговор контролируется злоумышленником.
[9]
Злоумышленник должен быть способен перехватывать все соответствующие сообщения, передаваемые между
Русский

двумя жертвами, и вводить новые. Во многих случаях это просто; например, злоумышленник, находящийся в зоне приема незашифрованной точки доступа Wi-Fi
, может действовать как посредник.
[10][11][12]
Поскольку целью
MITM-атаки является обход взаимной аутентификации,
она может увенчаться успехом только тогда, когда злоумышленник достаточно хорошо олицетворяет каждую конечную точку, чтобы удовлетворить их ожидания. Большинство криптографических протоколов включают ту или иную форму аутентификации конечной точки специально для предотвращения MITM-атак.
Русский

Например,
TLS
может аутентифицировать одну или обе стороны, используя взаимно доверенный центр сертификации
[13][11]
Пример
Иллюстрация атаки "человек посередине"
Русский

Предположим,
Алиса желает пообщаться с
Бобом
. Тем временем
Мэллори хочет перехватить разговор, чтобы подслушать и, возможно, передать ложное сообщение
Бобу.
Сначала Алиса запрашивает у Боба его открытый ключ
Если Боб отправит свой открытый ключ Алисе, но
Мэллори сможет его перехватить, может начаться MITM- атака. Мэллори отправляет Алисе поддельное сообщение, которое, по-видимому, исходит от Боба, но вместо этого содержит открытый ключ Мэллори.
Русский

Алиса, полагая, что этот открытый ключ принадлежит
Бобу, шифрует свое сообщение ключом Мэллори и отправляет зашифрованное сообщение обратно Бобу.
Мэллори снова перехватывает, расшифровывает сообщение, используя свой закрытый ключ, возможно,
изменяет его, если захочет, и повторно шифрует его,
используя открытый ключ, который она перехватила у
Боба, когда он первоначально пытался отправить его
Алисе. Когда Боб получает недавно зашифрованное сообщение, он считает, что оно пришло от Алисы.
Русский

1. Алиса отправляет сообщение Бобу, которое перехватывается Мэллори:
Элис
"Привет, Боб, это Элис. Дай мне свой ключ."
→
Мэллори
Боб
2. Мэллори передает это сообщение Бобу; Боб не может сказать, что на самом деле оно не от Алисы:
Элис
Мэллори
"Привет, Боб, это Элис. Дай мне
свой ключ."
→
Боб
3. Боб отвечает своим ключом шифрования:
Элис
Мэллори
← [Ключ Боба]
Боб
Русский

4. Мэллори заменяет ключ Боба своим собственным и передает это Алисе, утверждая, что это ключ Боба:
Алиса
← [Ключ Мэллори]
Мэллори
Боб
5. Алиса шифрует сообщение тем, что, по ее мнению,
является ключом Боба, думая, что только Боб может его прочитать:
Алиса
"Встретимся на автобусной остановке!"
[зашифровано ключом Мэллори]
→
Мэллори
Боб
. Однако, поскольку на самом деле оно было зашифровано ключом Мэллори, Мэллори может расшифровать его, прочитать, изменить (при
Русский

желании), повторно зашифровать ключом Боба и переслать его Бобу:
Элис
Мэллори
: "Встретимся у фургона внизу, у
реки!" [зашифровано ключом Боба]
→
Боб
7. Боб думает, что это сообщение является безопасным сообщением от Алисы.
Этот пример
[14]
показывает необходимость того, чтобы у
Алисы и Боба был какой-то способ гарантировать, что они действительно используют открытые ключи друг друга, а не открытый ключ злоумышленника. В
противном случае такие атаки, как правило, возможны, в
Русский

принципе, против любого сообщения, отправленного с использованием технологии открытого ключа.
Различные методы могут помочь защититься от MITM- атак.
Атаки MITM можно предотвратить или обнаружить двумя способами: аутентификацией и обнаружением несанкционированного доступа. Аутентификация обеспечивает некоторую степень уверенности в том, что данное сообщение пришло из законного источника.
Защита и обнаружение
Русский

Обнаружение несанкционированного доступа просто показывает доказательства того, что сообщение,
возможно, было изменено.
Аутентификация
Все криптографические системы, защищенные от MITM- атак, предоставляют тот или иной метод аутентификации сообщений. Большинство из них требуют обмена информацией (такой как открытые ключи) в дополнение к сообщению по защищенному каналу
. Такие протоколы,
Русский

часто использующие протоколы согласования ключей
,
были разработаны с учетом различных требований безопасности для защищенного канала, хотя некоторые пытались вообще исключить требование для любого защищенного канала.
[15]
Инфраструктура открытых ключей
, такая как безопасность транспортного уровня
, может усилить защиту
Протокола управления передачей от атак MITM. В
таких структурах клиенты и серверы обмениваются сертификатами, которые выдаются и проверяются доверенной третьей стороной, называемой центром
Русский

сертификации
(CA). Если исходный ключ для аутентификации этого центра сертификации сам по себе не был объектом MITM-атаки, то сертификаты, выданные центром сертификации, могут быть использованы для аутентификации сообщений, отправленных владельцем этого сертификата. Использование взаимной аутентификации
, при котором и сервер, и клиент проверяют связь другого пользователя, охватывает оба конца атаки MITM. Если личность сервера или клиента не будет проверена или признана недействительной, сеанс завершится.
[16]
Однако поведение большинства
Русский

подключений по умолчанию заключается только в аутентификации сервера, что означает, что взаимная аутентификация используется не всегда и атаки MITM
все еще могут иметь место.
Подтверждения, такие как устные сообщения общей ценности (как в
ZRTP
), или записанные подтверждения,
такие как аудио / визуальные записи хэша открытого ключа
[17]
, используются для отражения атак MITM,
поскольку имитировать визуальные носители намного сложнее и отнимает много времени, чем простая передача пакетов данных. Однако эти методы требуют
Русский

присутствия человека в цикле, чтобы успешно инициировать транзакцию.
В корпоративной среде успешная аутентификация (о чем свидетельствует зеленый значок блокировки браузера)
не всегда подразумевает безопасное соединение с удаленным сервером. Корпоративные политики безопасности могут предусматривать добавление пользовательских сертификатов в веб-браузеры рабочих станций, чтобы иметь возможность проверять зашифрованный трафик. Как следствие, зеленый значок блокировки указывает не на то, что клиент успешно
Русский

прошел аутентификацию на удаленном сервере, а только на корпоративном сервере / прокси, используемом для проверки SSL / TLS.
Закрепление открытого ключа HTTP
(HPKP), иногда называемое "закреплением сертификата", помогает предотвратить атаку MITM, при которой сам центр сертификации подвергается риску, поскольку сервер предоставляет список "закрепленных" хэшей открытого ключа во время первой транзакции. Затем для последующих транзакций требуется, чтобы один или
Русский

несколько ключей из списка были использованы сервером для проверки подлинности этой транзакции.
DNSSEC
расширяет протокол DNS, чтобы использовать подписи для аутентификации записей DNS,
предотвращая простые MITM-атаки, направленные клиенту на вредоносный
IP-адрес
Обнаружение несанкционированного доступа
Проверка задержки потенциально может обнаружить атаку в определенных ситуациях,
[18]
например, при
Русский

длительных вычислениях, которые занимают десятки секунд, как хэш-функции
. Чтобы обнаружить потенциальные атаки, стороны проверяют наличие расхождений во времени реагирования. Например:
Предположим, что двум сторонам обычно требуется определенное количество времени для выполнения определенной транзакции. Однако, если для достижения одной транзакции другой стороне потребуется ненормально много времени, это может свидетельствовать о вмешательстве третьей стороны,
приводящем к дополнительной задержке в транзакции.
Русский

Квантовая криптография
, теоретически, обеспечивает защиту транзакций от несанкционированного доступа благодаря теореме об отсутствии клонирования
Протоколы, основанные на квантовой криптографии,
обычно аутентифицируют часть или все свои классические коммуникации с помощью безусловно безопасной схемы аутентификации. В качестве примера можно привести аутентификацию Вегмана-Картера
[19]
Русский

Судебно - медицинский анализ
Захваченный сетевой трафик от того, что предположительно является атакой, может быть проанализирован, чтобы определить, имела ли место атака, и, если да, определить источник атаки. Важные доказательства для анализа при проведении сетевой криминалистики в отношении предполагаемой атаки включают:
[20]
IP-адрес сервера
DNS-имя сервера
Русский

X.509
сертификат сервера
Был ли сертификат самоподписан
Был ли сертификат подписан доверенным центром сертификации
Был ли отозван сертификат
Был ли недавно изменен сертификат
Получили ли другие клиенты в других местах
Интернета такой же сертификат
Русский

Stingray phone Tracker
- это устройство наблюдения за сотовым телефоном
, которое имитирует вышку сотовой связи оператора беспроводной связи, чтобы заставить все близлежащие мобильные телефоны и другие устройства передачи данных подключаться к нему.
Трекер ретранслирует все сообщения между сотовыми телефонами и вышками сотовой связи.
[21]
В 2011 году нарушение безопасности голландского центра сертификации
DigiNotar привело к
Известные случаи
Русский

мошеннической выдаче сертификатов
. Впоследствии поддельные сертификаты были использованы для выполнения MITM-атак.
[22]
В 2013 году было обнаружено, что браузер Xpress от
Nokia расшифровывает HTTPS-трафик на прокси-серверах
Nokia, предоставляя компании открытый текстовый доступ к зашифрованному трафику браузера своих клиентов. Nokia ответила, заявив, что контент не хранится постоянно, и что у компании есть организационные и технические меры для предотвращения доступа к частной информации.
[23]
Русский

В 2017 году
Equifax отозвала свои приложения для мобильных телефонов из-за опасений по поводу уязвимостей MITM.
[24]
Другие заметные реализации в реальной жизни включают следующее:
DSniff
– первая публичная реализация MITM-атак против SSL и SSHv1
Инструмент диагностики Fiddler2
HTTP (S)
АНБ, олицетворяющее
Google
[25]
Русский

Сертификат доверия Qaznet
Вредоносная ПРОГРАММА Superfish
Шлюз содержимого Forcepoint
– используется для проверки SSL-трафика на прокси
Comcast использует MITM-атаки для внедрения кода
JavaScript на сторонние веб-страницы, показывая их собственные объявления и сообщения поверх страниц
[26][13][10]
2015
Казахстанская атака "человек посередине"
См . также
Русский

ARP – подмена
- метод , с помощью которого злоумышленник отправляет сообщения Протокола разрешения адресов в локальную сеть
Передатчик Aspidistra
– британский радиопередатчик,
используемый для операций "вторжения" во время
Второй мировой войны, ранней атаки MITM.
Бабингтонский заговор
– заговор против Елизаветы I
Английской, в ходе которого Фрэнсис Уолсингем перехватил переписку.
Компьютерная безопасность
– проектирование защищенных компьютерных систем.
Атака Cookiemonster
– подвиг "человек посередине".
Русский

Криптоанализ
– искусство расшифровки зашифрованных сообщений с неполным знанием того,
как они были зашифрованы.
Цифровая подпись
– криптографическая гарантия подлинности текста, обычно являющаяся результатом вычислений, которые, как ожидается, сможет выполнить только автор.
Атака злой горничной
– атака, используемая против систем полного шифрования диска
Русский

Протокол блокировки
– специальный протокол для обхода MITM-атаки, когда ключи могли быть скомпрометированы.
Управление ключами
– как управлять криптографическими ключами, включая генерацию,
обмен и хранение.
Протокол согласования ключей
– криптографический протокол для установления ключа, в котором обе стороны могут быть уверены.
Человек в браузере
– тип веб-браузера MITM
Русский

Атака "Человек на стороне"
– аналогичная атака,
предоставляющая только обычный доступ к каналу связи.
Взаимная аутентификация
– как общающиеся стороны устанавливают уверенность в идентичности друг друга.
Соглашение о ключе, аутентифицированном паролем
- протокол для установления ключа с использованием пароля.
Русский

Квантовая криптография
– использование квантовой механики для обеспечения безопасности в криптографии.
Защищенный канал
– способ связи, устойчивый к перехвату и несанкционированному вмешательству.
Подменяющая атака
– кибератака , при которой человек или программа успешно маскируется под другого путем фальсификации данных
Русский

a. Также известен как монстр посередине,
[1][2]
машина
посередине, посредник посередине,
[3]
манипулятор
посередине
[4][5]
(MITM), человек посередине
[6]
(PITM) или
атака противника посередине
[7]
(AiTM)
1. Габби Фишер; Люк Валентина (18 марта 2019).
"Монстры в
промежуточных блоках: представляем два новых
инструмента для обнаружения перехвата HTTPS" (https://blo
g.cloudflare.com/monsters-in-the-middleboxes/)
.
Список примечаний
Ссылки
Русский

2. Фассл, Маттиас (23 апреля 2018).
Используемые церемонии
аутентификации в защищенных мгновенных сообщениях (htt
ps://sec.cs.univie.ac.at/fileadmin/user_upload/i_sec/docs/teachi
ng/thesis/mfassl_usable_authentication_ceremonies.pdf)
(PDF)
(Дипл.-прим.). Technische Universität Wien.
Русский

3. Poddebniak, Damian; Ising, Fabian; Böck, Hanno; Schinzel,
Sebastian (August 13, 2021).
Почему TLS лучше без STARTTLS:
Анализ безопасности STARTTLS в контексте электронной
почты (https://www.usenix.org/system/files/sec21-poddebniak.p
df)
(PDF)
.
30-й симпозиум по безопасности USENIX (https://w
ww.usenix.org/conference/usenixsecurity21/technical-session
s)
. стр. 4366.
ISBN
978-1-939133-24-3
. "Когда
злоумышленник, вмешивающийся посередине (MitM),
удаляет из ответа сервера функцию
STARTTLS
, они могут
легко понизить статус соединения до открытого текста."
Русский

4.
"Атака манипулятора посередине" (https://owasp.org/www-co
mmunity/attacks/Manipulator-in-the-middle_attack)
. Страницы
сообщества OWASP. Фонд OWASP. Проверено 1 августа 2022
года.
5.
"MitM" (https://developer.mozilla.org/en-US/docs/Glossary/Mit
M)
.
Веб-документы MDN
. Mozilla. 13 июля 2022 года.
Проверено 1 августа 2022 года.
"Человек-посередине" (https://www.cyber.gov.au/acsc/view-all-
content/glossary/person-middle)
. 2020-10-11.
Русский

7.
"От кражи файлов cookie до BEC: злоумышленники
используют фишинговые сайты AiTM в качестве отправной
точки для дальнейшего финансового мошенничества" (http
s://www.microsoft.com/security/blog/2022/07/12/from-cookie-t
heft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-fur
ther-financial-fraud/)
.
Майкрософт
. 12 Июля 2022 года.
Русский

. Элакрат, Мохаммед Абдалла; Юнг, Дже Чхон (2018-06-01).
"Разработка модуля шифрования на основе
программируемой в полевых условиях матрицы вентилей
для смягчения атаки "человек посередине" для сети
передачи данных атомной электростанции" (https://doi.org/1
0.1016%2Fj.net.2018.01.018)
. Ядерная инженерия и
технологии. 50 (5): 780-787.
doi
:
10.1016/j.net.2018.01.018 (http
s://doi.org/10.1016%2Fj.net.2018.01.018)
.
Русский

9. Ван, Ле; Виглински, Александр М. (2014-10-01).
"Обнаружение
атак типа "человек посередине" с использованием методов
защиты беспроводной сети физического уровня: атаки типа
"Человек посередине" с использованием безопасности
физического уровня" (https://onlinelibrary.wiley.com/doi/10.100
2/wcm.2527)
. Беспроводная связь и мобильные
вычисления. 16 (4): 408-426.
doi
:
10.1002/wcm.2527 (https://do
i.org/10.1002%2Fwcm.2527)
.
10.
"Comcast продолжает внедрять свой собственный код на
веб-сайты, которые вы посещаете" (https://thenextweb.com/in
sights/2017/12/11/comcast-continues-to-inject-its-own-code-into
-websites-you-visit/)
. 2017-12-11.
Русский

11. Каллегати, Франко; Черрони, Вальтер; Рамилли, Марко
(2009). "Атака "Человек посередине" на протокол HTTPS".
Журнал IEEE Security & Privacy Magazine. 7: 78-81.
doi
:
10.1109/MSP.2009.12 (https://doi.org/10.1109%2FMSP.2009.
12)
.
S2CID
32996015 (https://api.semanticscholar.org/CorpusID:
32996015)
.
Русский

12. Танмэй Патанж (10 ноября 2013).
"Как защититься от MITM
или атаки "Человек посередине"" (https://web.archive.org/web/
20131124235452/http://hackerspace.lifehacker.com/how-to-defe
nd-yourself-against-mitm-or-man-in-the-middl-1461796382)
.
Заархивировано с
оригинала (https://hackerspace.lifehacker.c
om/how-to-defend-yourself-against-mitm-or-man-in-the-middl-146
1796382)
24 ноября 2013 года. Проверено 25 ноября 2014 г.
13.
"Comcast по-прежнему использует внедрение MITM javascript
для показа нежелательной рекламы и сообщений" (https://w
ww.privateinternetaccess.com/blog/2016/12/comcast-still-uses-
mitm-javascript-injection-serve-unwanted-ads-messages/)
.
2016-12-28.
Русский

14.
"диффи хеллман - MiTM о шифровании с открытым ключом
RSA" (https://crypto.stackexchange.com/questions/31224/mitm-
on-rsa-public-key-encryption)
. Обмен криптографическим
стеком.
15. Меркл, Ральф Си (апрель 1978). "Безопасная связь по
незащищенным каналам". Сообщения ACM. 21 (4): 294-299.
CiteSeerX
10.1.1.364.5157 (https://citeseerx.ist.psu.edu/viewdo
c/summary?doi=10.1.1.364.5157)
.
doi
:
10.1145/359460,359473
(https://doi.org/10.1145%2F359460.359473)
.
S2CID
6967714 (h
ttps://api.semanticscholar.org/CorpusID:6967714)
. "Получено в
августе 1975 г.; исправлено в сентябре 1977 г."
Русский

1 . Сасикаладеви, Н. и Д. Малати. 2019. “Энергоэффективный
облегченный протокол взаимной аутентификации (REAP)
для MBAN На основе гиперэллиптической кривой Genus-2”.
Беспроводная личная связь 109 (4):2471-88.
17. Heinrich, Stuart (2013). "Инфраструктура открытых ключей,
основанная на аутентификации свидетельств носителей".
arXiv
:
1311.7182v1 (https://arxiv.org/abs/1311.7182v1)
[
cs.CR (h
ttps://arxiv.org/archive/cs.CR)
].
Русский

1 . Азиз, Бенджамин; Гамильтон, Джефф (2009).
"Обнаружение
атак типа "Человек посередине" с помощью точного
определения времени" (https://researchportal.port.ac.uk/porta
l/files/107556/Detecting_Man-in-the-Middle_Attacks_by_Precise_
Timing.pdf)
(PDF)
. 2009 Третья международная конференция
по новым информационным системам и технологиям
безопасности: 81-86.
doi
:
10.1109/SECURWARE.2009.20 (http
s://doi.org/10.1109%2FSECURWARE.2009.20)
.
ISBN
978-0-
7695-3668-2
.
S2CID
18489395 (https://api.semanticscholar.org/C
orpusID:18489395)
.
Русский

19.
"5. Безоговорочно безопасная аутентификация" (http://www.ly
sator.liu.se/