• Программа для просмотра защищенных писем:
  • Блог
  • ЧаВо
  • О компании

Что такое MITM-атака?

MITM-атаку или атаку «человек посередине» (англ. Man in the middle) трудно обнаружить, и от нее трудно защититься. MITM-атаки, как правило, не заражают сами компьютеры, находящиеся в сети. Вместо этого они паразитируют и контролируют коммуникации, с помощью которых сообщаются между собой компьютеры. Например, зараженный маршрутизатор с бесплатным Wi-Fi в общественном месте может стать прекрасным объектом для MITM-атаки.

Офлайн MITM-атака

MITM-атаки появились еще до персональных компьютеров. Подразумевалось, что злоумышленник встает между двумя людьми, которые общаются друг с другом. По сути - это подслушивание.

Предположим, что вы общаетесь с кем-то по обычной неэлектронной почте - вы пишете друг другу письма. И если бы у вас на почте работал не совсем честный почтальон, он вскрывал бы каждое отправленное вами письмо, читал его, запечатывал обратно и тогда уже направлял дальше. Получатель в свою очередь пишет вам ответ, отправляет конверт, который позже на почте будет опять вскрыт, прочитан, запечатан. Вы даже не догадаетесь, что между вами стоит тот самый "человек посередине". Подобного рода атаки невидимы для участников переписки.

Это своего рода подслушивание - сидеть на канале связи между двумя участниками и считывать весь проходящий трафик. В этом и заключается суть MITM-атаки. Но перехват и чтение личной переписки — это наименьшая из проблем. Гораздо хуже, если отправляются письма с секретной информацией.

Взломщик также может изменить сообщение, которое находится в пути. Допустим, вы отправляете кому-то письмо по обычной почте. "Человек посередине" может немного изменить его, добавив свой текст, который теоретически принесет ему пользу, например, попросить получателя выслать денег. Конечно, почерк нового участка в письме будет отличаться от остального текста, поэтому «человек посередине» просто переписывает полностью письмо слово в слово, добавив в него то, что считает нужным, и отправляет получателю дальше. До тех пор, пока "человек посередине" является звеном переписки, получатель не может заметить подвоха. Получатель отправляет ответное письмо с деньгами внутри, а "человек посередине" забирает эти деньги и переписывает текст так, чтобы в нем не было никакого упоминания об отправленных средствах. Это трудоемкий процесс, если говорить о реальной жизни, но в интернете все происходит намного проще, где подобные вещи можно сделать в автоматическом режиме посредством специального программного обеспечения.

Сетевая MITM-атака

Сетевые MITM-атаки реализуются точно таким же образом. Предположим, что вы подключаетесь к зараженному беспроводному маршрутизатору. Предположим, что маршрутизатор раздает бесплатный Wi-Fi в общественном месте. Вы пытаетесь зайти на веб-сайт банка. В самом простом случае вы увидите ошибку, которая гласит, что на сайте банка нет соответствующего сертификата шифрования. Такое сообщение предупреждает о MITM-атаке, но большинство людей сочтут его ошибкой и согласятся перейти далее и продолжить работу. И так вы заходите в личный кабинет на сайте банка, чтобы проверить баланс или перевести деньги, как это обычно происходит. Все выглядит нормальным и привычным и не вызывает подозрений.

На самом деле, злоумышленник может создать фальшивый сервер, который замещает сайт банка на фальшивый сайт, никак не отличающийся от оригинального, при подключении к которому адрес банка изменяется так, что пользователь ничего не замечает. Далее открывается поддельная веб-страница, и когда вы заходите в личный кабинет, ваши учетные данные отправляются на MITM-сервер, который регистрирует вас, перехватывает данные запрошенной страницы и посылает вам ее измененную копию. Все выглядит нормально, но на самом деле MITM-сервер постоянно перенаправляет данные туда и обратно и перехватывает конфиденциальную информацию. Сообщение о сертификате — это не простое предупреждение. MITM-сервер никогда не будет иметь соответствующий сертификат безопасности веб-сайта вашего реального банка.

При работе с сайтами по нешифрованному протоколу HTTP (в отличие от HTTPS) вы бы не получили предупреждение о MITM-атаке. Именно поэтому веб-страницы, подразумевающие работу с конфиденциальными данными, такие как страницы входа, системы онлайн-банкинга, онлайн-магазины и почтовые сервисы, как правило, работают через HTTPS-соединение.

Защищенный сервис Sfletter.com использует защищенный протокол HTTPS для обеспечения высокого уровня безопасности для своих пользователей.

Однако, существует утилита «SSLStrip», которая может почти незаметно удалить с сайта шифрование по HTTPS. В этом случае при посещении сайта банка вы не увидите предупреждения о проблемах с сертификатами, так как утилита заменила шифрование HTTPS на HTTP, и далее вы будете перенаправлены на фишинговую копию сайта и будете взломаны при попытке залогиниться. Единственное, что можно заметить в подобной ситуации - это то, что сайт банка вместо HTTPS работает через HTTP. Но подобное очень легко упустить из виду.

Другие MITM-атаки могут основываться на программном обеспечении, которое заражает персональный компьютер. Например, вредоносная программа может скрываться в фоновых процессах компьютера, встав между браузером и MITM-серверами, которые оперируют его работой удаленно. Подобное вредоносное ПО, конечно, должно быть обнаружено при помощи хорошего антивируса.

Защита от MITM-атак

MITM-атаки слишком сложные по своей природе, чтобы можно было иметь постоянную защиту от них. Как правило, это означает, что канал связи, например, маршрутизатор Wi-Fi, сам по себе изначально скомпрометирован. Заметить MITM-атаку можно, ведь подлинный удаленный сервер скорее всего будет использовать шифрование по HTTPS. Надо быть предельно внимательным, когда дело касается безопасности личных данных.

Вот несколько советов:

Не игнорируйте предупреждение об использовании поддельного/непроверенного сертификата. Предупреждение об использовании сервером непроверенного сертификата безопасности указывает, что возникла серьезная проблема. Если сертификат не соответствует серверу, то это может означать, что вы обращаетесь к фишинговому или поддельному серверу, выполняющему MITM-атаку. Это также может значить, что сервер неверно настроен. Поэтому многие пользователи привыкли игнорировать подобные предупреждения. Просто не кликайте на кнопку «Продолжить», особенно если вы хотите зайти на сайт почтового сервиса или в личный кабинет банка.

Проверяйте наличие соединения по HTTPS. При подключении к сайту, содержащего конфиденциальные данные, где вы вводите пароль или данные кредитной карты, убедитесь, что сайт использует шифрование по протоколу HTTPS. Быстро взгляните на адресную строку и убедитесь в наличии HTTPS, прежде чем войти в систему, особенно в общественных сетях Wi-Fi. Расширение для интернет-браузеров под названием «EFF HTTPS Everywhere» может в этом немного помочь. Оно принуждает браузер использовать HTTPS на тех сайтах, которые поддерживают этот протокол.

Проявляйте осторожность при работе в общественных Wi-Fi-сетях. Будьте особенно осторожны при подключении к Wi-Fi сетям общественного пользования, которым вы не доверяете. Избегайте работы с онлайн-банкингом и другими особо конфиденциальными вещами, которые требуют подключения к сети. Будьте очень осторожны, если вы видите сообщения об ошибках сертификатов и заходите на сайты, требующие работы с конфиденциальными данными без HTTPS-шифрования.

Используйте антивирус. Антивирусное программное обеспечение и другие основы интернет-безопасности помогут защититься от MITM-атак, для совершения которых необходимо наличие вредоносных программ на вашем компьютере.

MITM-атаки зависят от уровня уязвимости канала связи, поэтому не используйте подключение к интернету, если оно не вызывает доверия, чтобы сохранить свои конфиденциальные данные в сохранности.