Et man-in-the-middle (MITM)-angreb opstår, når nogen sidder mellem to computere (såsom en bærbar computer og fjernserver) og opsnapper trafik. Denne person kan aflytte eller endda opsnappe kommunikation mellem de to maskiner og stjæle information.
Man-in-the-middle-angreb er et alvorligt sikkerhedsproblem. Her er hvad du behøver at vide, og hvordan du beskytter dig selv.
Indholdsfortegnelse
Two’s Company, Three’s a Crowd
“Skønheden” (i mangel på et bedre ord) ved MITM-angreb er, at angriberen ikke nødvendigvis behøver at have adgang til din computer, hverken fysisk eller eksternt. Han eller hun kan bare sidde på det samme netværk som dig og stille og roligt slurpe data. En MITM kan endda oprette sit eget netværk og narre dig til at bruge det.
Den mest åbenlyse måde, nogen kan gøre dette på, er ved at sidde på et ukrypteret, offentligt Wi-Fi-netværk, som dem i lufthavne eller caféer. En angriber kan logge på og ved hjælp af et gratis værktøj som Wireshark fange alle pakker, der sendes mellem et netværk. Han eller hun kunne derefter analysere og identificere potentielt nyttige oplysninger.
Denne tilgang bærer ikke så meget frugt, som den gjorde engang, takket være udbredelsen af HTTPS, som giver krypterede forbindelser til websteder og tjenester. En angriber kan ikke afkode de krypterede data, der sendes mellem to computere, der kommunikerer over en krypteret HTTPS-forbindelse.
HTTPS alene er dog ikke en sølvkugle. Der er løsninger, som en angriber kan bruge til at annullere det.
Ved at anvende en MITM kan en angriber forsøge at narre en computer til at “nedgradere” dens forbindelse fra krypteret til ukrypteret. Han eller hun kan derefter inspicere trafikken mellem de to computere.
Et “SSL-stripping”-angreb kan også forekomme, hvor personen sidder mellem en krypteret forbindelse. Han eller hun fanger derefter og ændrer potentielt trafik og sender den derefter videre til en intetanende person.
Netværksbaserede angreb og rogue trådløse routere
MITM-angreb sker også på netværksniveau. En tilgang kaldes ARP Cache Poisoning, hvor en angriber forsøger at knytte sin MAC-adresse (hardware) til en andens IP-adresse. Hvis det lykkes, videresendes alle data beregnet til offeret til angriberen.
DNS-spoofing er en lignende type angreb. DNS er internettets “telefonbog”. Det forbinder menneskelæselige domænenavne, såsom google.com, med numeriske IP-adresser. Ved at bruge denne teknik kan en angriber videresende legitime forespørgsler til et falsk websted, han eller hun kontrollerer, og derefter fange data eller implementere malware.
En anden tilgang er at oprette et useriøst adgangspunkt eller placere en computer mellem slutbrugeren og routeren eller fjernserveren.
Overvældende er folk alt for tillidsfulde, når det kommer til at oprette forbindelse til offentlige Wi-Fi-hotspots. De ser ordene “gratis Wi-Fi” og tænker ikke på, om en ond hacker kan stå bag det. Dette er blevet bevist gentagne gange med komisk effekt, når folk undlader at læse vilkårene og betingelserne på nogle hot spots. For eksempel kræver nogle, at folk gør det rene beskidte festivallatriner eller opgive deres førstefødte barn.
Det er nemmere at oprette et useriøst adgangspunkt, end det lyder. Der er endda fysiske hardwareprodukter, der gør dette utroligt enkelt. Disse er dog beregnet til legitime informationssikkerhedsprofessionelle, der udfører penetrationstests for at leve af.
Lad os heller ikke glemme, at routere er computere, der har en tendens til at have sørgelig sikkerhed. De samme standardadgangskoder har en tendens til at blive brugt og genbrugt på tværs af hele linjer, og de har også pletvis adgang til opdateringer. En anden mulig angrebsvej er en router injiceret med ondsindet kode, der gør det muligt for en tredjepart at udføre et MITM-angreb på afstand.
Malware og Man-in-the-Middle-angreb
Som vi nævnte tidligere, er det fuldt ud muligt for en modstander at udføre et MITM-angreb uden at være i samme rum eller endda på det samme kontinent. En måde at gøre dette på er med skadelig software.
Et man-in-the-browser-angreb (MITB) opstår, når en webbrowser er inficeret med ondsindet sikkerhed. Dette gøres nogle gange via en falsk udvidelse, som giver angriberen næsten uhindret adgang.
For eksempel kan nogen manipulere en webside til at vise noget andet end det ægte websted. Han eller hun kunne også kapre aktive sessioner på websteder som banker eller sociale medier og sprede spam eller stjæle penge.
Et eksempel på dette var SpyEye Trojan, som blev brugt som en keylogger til at stjæle legitimationsoplysninger til websteder. Det kan også udfylde formularer med nye felter, hvilket giver angriberen mulighed for at fange endnu flere personlige oplysninger.
Sådan beskytter du dig selv
Heldigvis er der måder, du kan beskytte dig selv mod disse angreb. Som med al online sikkerhed kommer det ned til konstant årvågenhed. Prøv ikke at bruge offentlige Wi-Fi-hotspots. Prøv kun at bruge et netværk, du selv kontrollerer, såsom et mobilt hotspot eller Mi-Fi.
Hvis det ikke lykkes, vil en VPN kryptere al trafik mellem din computer og omverdenen og beskytte dig mod MITM-angreb. Selvfølgelig er din sikkerhed her kun så god som den VPN-udbyder du bruger, så vælg med omhu. Nogle gange er det værd at betale lidt ekstra for en service, du kan stole på. Hvis din arbejdsgiver tilbyder dig en VPN, når du rejser, bør du helt sikkert bruge den.
For at beskytte dig selv mod malware-baserede MITM-angreb (som man-in-the-browser-varianten), skal du udvise god sikkerhedshygiejne. Installer ikke applikationer eller browserudvidelser fra skæve steder. Log ud af webstedssessioner, når du er færdig med det, du laver, og installer et solidt antivirusprogram.