Un atac de tip „om în mijloc” (MITM) se produce când o entitate se interpune între două dispozitive conectate, de exemplu un laptop și un server, monitorizând traficul de date. Această persoană poate spiona sau chiar intercepta comunicarea dintre cele două mașini, sustrăgând informații.
Atacurile de tip MITM sunt o problemă gravă de securitate. Iată ce ar trebui să cunoști și cum te poți apăra.
Complexitatea atacurilor MITM
Un aspect problematic al atacurilor MITM este că atacatorul nu are nevoie de acces direct, nici fizic, nici la distanță, la calculatorul tău. Pur și simplu, poate să se afle în aceeași rețea cu tine și să colecteze datele. Un atacator MITM are capacitatea de a crea o rețea proprie, atrăgându-te să o folosești.
O modalitate comună de a realiza acest lucru este într-o rețea Wi-Fi publică necriptată, cum ar fi cele din aeroporturi sau cafenele. Atacatorul se poate conecta și, folosind un instrument gratuit precum Wireshark, poate înregistra toate pachetele transmise în rețea. Ulterior, poate analiza datele, identificând informații valoroase.
Totuși, această metodă nu mai este la fel de eficientă ca în trecut, datorită răspândirii protocolului HTTPS, care criptează conexiunile la site-uri și servicii. Un atacator nu poate descifra datele criptate transmise între două computere care comunică printr-o conexiune HTTPS protejată.
Cu toate acestea, HTTPS nu reprezintă o soluție completă. Atacatorii pot utiliza tehnici pentru a eluda această protecție.
Prin intermediul unui atac MITM, un infractor cibernetic poate manipula un calculator, forțând „degradarea” conexiunii de la criptată la necriptată. Ulterior, poate inspecta traficul dintre cele două dispozitive.
Un alt tip de atac este „decaparea SSL”, unde atacatorul se interpune într-o conexiune criptată. Apoi, captează, eventual modifică traficul și îl transmite mai departe către utilizatorul neștiutor.
Atacuri la nivel de rețea și routere false
Atacurile MITM se pot produce și la nivelul rețelei. O tehnică este otrăvirea cache-ului ARP, unde atacatorul încearcă să asocieze adresa sa MAC (hardware) cu adresa IP a altcuiva. În caz de succes, datele destinate victimei sunt redirectionate către atacator.
Falsificarea DNS este o formă similară de atac. DNS este „agenda telefonică” a internetului, corelând numele de domenii, ușor de reținut pentru oameni, cu adrese IP numerice. Prin această tehnică, atacatorul poate redirecționa interogările către un site fals pe care îl controlează, capturând date sau implementând programe malware.
O altă tactică este crearea unui punct de acces fals, sau poziționarea unui dispozitiv între utilizator și router sau server.
Adesea, utilizatorii au prea multă încredere când se conectează la rețele Wi-Fi publice. Văzând mesajul „Wi-Fi gratuit”, nu se gândesc dacă un hacker malitios ar putea fi în spatele ei. Acest lucru a fost demonstrat în repetate rânduri, uneori cu efect comic, când oamenii nu citesc termenii și condițiile în unele puncte de acces. De exemplu, unii cer să curețe toalete murdare de festival sau să renunțe la primul născut în schimbul accesului la internet.
Crearea unui punct de acces fals este mai simplă decât pare. Există chiar și dispozitive hardware care simplifică acest proces. Acestea sunt concepute pentru profesioniștii legitimi în securitate informatică, care efectuează teste de penetrare.
De asemenea, routerele sunt computere care, adesea, au măsuri de securitate slabe. Parolele implicite sunt folosite și refolosite frecvent, iar actualizările sunt adesea neglijate. Un router infectat cu cod malițios poate permite unui atacator să efectueze atacuri MITM de la distanță.
Malware și atacuri de tip Man-in-the-Middle
Așa cum am menționat anterior, un atacator poate executa un atac MITM chiar dacă nu se află în aceeași cameră sau pe același continent. O metodă este prin intermediul software-ului rău intenționat.
Un atac de tip „om în browser” (MITB) se produce când un browser este infectat cu malware. Acest lucru se întâmplă, uneori, printr-o extensie falsă, oferind atacatorului acces extins.
De exemplu, atacatorul poate manipula o pagină web, afișând un conținut diferit de cel al site-ului legitim. De asemenea, poate prelua controlul sesiunilor active de pe site-uri web, cum ar fi servicii bancare sau platforme de socializare, pentru a răspândi spam sau a fura bani.
Un exemplu este Troianul SpyEye, folosit ca un keylogger pentru a fura date de autentificare. De asemenea, putea completa formulare cu câmpuri noi, capturând informații personale suplimentare.
Măsuri de protecție
Din fericire, există modalități de a te proteja împotriva acestor atacuri. Ca în cazul oricărei măsuri de securitate online, cheia este vigilența constantă. Evită utilizarea punctelor de acces Wi-Fi publice. Folosește rețele pe care le controlezi, cum ar fi un hotspot mobil sau Mi-Fi.
Alternativ, un VPN criptează traficul dintre calculatorul tău și restul lumii, protejându-te de atacurile MITM. Bineînțeles, securitatea ta depinde de furnizorul VPN, așa că alege cu atenție. Uneori, este justificat să plătești mai mult pentru un serviciu de încredere. Dacă angajatorul tău oferă un VPN când călătorești, folosește-l neapărat.
Pentru a te apăra de atacurile MITM bazate pe malware (cum ar fi cele de tip „om în browser”), respectă practicile de igienă digitală. Evită să instalezi aplicații sau extensii de browser din surse necunoscute. Deconectează-te de pe site-uri când ai terminat de folosit și instalează un antivirus eficient.