Czym jest atak Man in the Middle (MitM)? (I jak im zapobiegać)

Opublikowany: 2021-12-14

Wyobraź sobie, że dowiadujesz się, że ktoś szpiegował całą Twoją komunikację — rozmowy telefoniczne, wiadomości tekstowe, e-maile, a nawet rozmowy prowadzone osobiście. A na dodatek osoba udawała ciebie lub inną osobę – a nawet obie. Tak się dzieje w ataku MITM. Atakujący nie tylko obserwuje, co się dzieje, ale może działać jako jedna lub obie strony – bez wiedzy drugiej – w celu manipulowania komunikacją. W tym artykule wyjaśnimy, czym jest atak MITM, jak działają i co możesz zrobić, aby zapobiec zainfekowaniu witryny WordPress.

Co to jest atak MITM?

Ataki MITM są częstsze niż myślisz. Ten rodzaj ataku cyberbezpieczeństwa polega na podsłuchiwaniu komunikacji między dwoma celami, takimi jak przeglądarka i odwiedzana witryna. Co więcej, atak MITM może przejąć kontrolę nad konwersacją, tak że jeden lub oba cele otrzymają dezinformację. Atakujący może zamaskować się jako jeden lub oba cele, tak że żaden z nich nie zdaje sobie sprawy, że komunikuje się z atakującym. Informacje można następnie zmienić przed ich dostarczeniem.

Jak działa atak MITM?

Istnieje kilka rodzajów typowych ataków MITM. We wszystkich jednak są dwa główne kroki: przechwycenie komunikacji, a następnie odszyfrowanie informacji.

Na przykład atak na nieuczciwy punkt dostępowy może się zdarzyć, gdy urządzenie wyposażone w kartę bezprzewodową próbuje połączyć się z punktem dostępowym. Atakujący może skonfigurować bezprzewodowy punkt dostępowy i nakłonić urządzenie do połączenia się z nim. Wtedy cały ruch sieciowy może być widziany i manipulowany przez atakującego.

Innym przykładem jest atak spoofingu ARP . ARP to skrót od Address Resolution Protocol (protokół rozpoznawania adresów) i jest zasadniczo używany po to, aby host mógł określić, czy inny host, z którym się komunikuje, ma znany adres IP. W przypadku spoofingu ARP atakujący podszywa się pod hosta i odpowiada na żądania weryfikacji adresu IP. Atakujący może następnie szpiegować ruch między dwoma hostami i wydobywać informacje, które dają mu dostęp do kont.

Istnieje kilka technik stosowanych w atakach MITM:

  • Sniffing: Narzędzia do przechwytywania pakietów są używane do sprawdzania pakietów, dając atakującemu dostęp do informacji, których nie powinien widzieć.
  • Wstrzykiwanie pakietów: Złośliwe pakiety mogą być wstrzykiwane do strumieni komunikacji, mieszając się tak, aby nie były zauważalne. Zwykle prekursorem tego jest wąchanie.
  • Przejęcie sesji: gdy użytkownik loguje się do aplikacji internetowej, generowany jest tymczasowy token sesji, dzięki czemu nazwa użytkownika i hasło nie są wymagane za każdym razem, gdy użytkownik przechodzi na inną stronę. W przypadku przejmowania sesji osoba atakująca identyfikuje token sesji i działa jako użytkownik.
  • SSL Stripping: pakiety są przechwytywane i zmieniane w taki sposób, że host musi wysyłać niezaszyfrowane żądania do serwera, co oznacza, że ​​poufne informacje nie są już szyfrowane.

Wykrywanie tego typu ataków jest trudne. Musisz już szukać przechwycenia; w przeciwnym razie atak MITM może pozostać niewykryty. Na szczęście możesz podjąć kroki w celu wykrycia ataku, zanim on nastąpi, zamiast czekać z próbą złapania go w akcji.

Jak zapobiec atakowi MITM

Oto najlepsze praktyki, których należy przestrzegać, aby zapobiec atakowi MITM:

Zmień poświadczenia logowania routera

Nigdy nie należy zachowywać domyślnych danych logowania do routera. Jeśli atakujący jest w stanie je znaleźć, co jest łatwiejsze, jeśli nadal korzystasz z ustawień domyślnych, może zmienić Twoje serwery na swoje. Mogą również umieścić złośliwe oprogramowanie w routerze.

Wymuszaj HTTPS

HTTPS jest potrzebny do bezpiecznej komunikacji, a to oznacza, że ​​atakujący nie będzie mógł wykorzystać sniffujących danych. Strony internetowe nie powinny oferować alternatyw HTTP; powinni używać tylko protokołu HTTPS. Ponadto użytkownicy mogą uzyskać wtyczkę do przeglądarki, która zawsze będzie wymuszać HTTPS.

Skonfiguruj silne szyfrowanie

Punkty dostępu bezprzewodowego wymagają silnego szyfrowania, aby uniemożliwić pobliskim niepożądanym użytkownikom dołączanie do sieci. Gdy szyfrowanie jest słabe, atakujący może użyć ataku brute-force, aby dostać się do sieci i przeprowadzić atak MITM.

Użyj VPN

Wirtualne sieci prywatne (VPN) tworzą bezpieczne środowisko online, co jest ważne, jeśli przechowujesz poufne informacje. Sieci VPN wykorzystują szyfrowanie oparte na kluczu, aby stworzyć przestrzeń do bezpiecznej komunikacji. Nawet jeśli atakujący może dostać się do sieci współdzielonej, nie będzie w stanie zrozumieć ruchu VPN.

Co muszą wiedzieć użytkownicy WordPressa

Gdy użytkownik loguje się do WordPressa, nazwa użytkownika i hasło są przesyłane w żądaniu HTTP – które nie jest szyfrowane. Dlatego tak ważne jest, aby używać protokołu HTTPS, aby uniemożliwić napastnikowi podsłuchiwanie komunikacji. Na szczęście konfiguracja za pomocą wtyczki jest bardzo prosta – w katalogu wtyczek WordPress jest kilka, które skonfigurują Twoją witrynę tak, aby działała przez HTTPS.

Jeśli chodzi o WordPress, największym problemem jest to, że atak MITM doprowadzi do włamania do WordPressa. HTTPS jest ważny, ponieważ uniemożliwia atakującym wyświetlenie Twojej nazwy użytkownika i hasła w postaci zwykłego tekstu. HTTPS pomoże również chronić Twoją witrynę WordPress przed innymi typowymi zagrożeniami, takimi jak podszywanie się pod ARP i kradzież plików cookie uwierzytelniania.

Oprócz korzystania z protokołu HTTPS, najlepsze praktyki wzmacniania WordPress będą działać na rzecz bezpieczeństwa Twojej witryny. Obejmują one:

  • Dziennik aktywności
  • Zapora
  • Ograniczanie nieudanych prób logowania
  • Silne hasła
  • Uwierzytelnianie dwuskładnikowe

Przydatna jest również znajomość typów stron internetowych, które najczęściej padają ofiarą ataków MITM. Witryny, w których wymagane jest zalogowanie się, są najbardziej podatne na ataki MITM, ponieważ celem atakującego jest zwykle kradzież danych uwierzytelniających, numerów kont, numerów kart kredytowych i tym podobnych. Jeśli masz witrynę WordPress, na której użytkownicy muszą się zalogować – na przykład w celu uzyskania dostępu do witryny członkowskiej lub dostępu do zapisanego koszyka zakupów – musisz być szczególnie świadomy ataków MIMT.

Atak MITM — często zadawane pytania

Co powoduje atak Man in the Middle?

Atak MITM może wystąpić, gdy dwie strony mają niezabezpieczoną interakcję. Mogą to być dwie osoby, które rozmawiają przez system przesyłania wiadomości online lub przesyłanie danych między dwoma hostami.

Jakie są oznaki ataku Man in the Middle?

Istnieje kilka charakterystycznych oznak, że jesteś lub możesz być w pobliżu ataku Man in the Middle – lub nawet sam jesteś ofiarą:

  • Otwarte, publiczne sieci Wi-Fi.
  • Podejrzane nazwy sieci Wi-Fi.
  • Złe bliźniacze sieci Wi-Fi, których celem jest oszukanie użytkownika. Na przykład StarbucksJoin i StarbucksWiFi. Jeśli widzisz oba, jeden może być fałszywy.

Czym jest pasywny człowiek w ataku środkowym?

Pasywny atak MITM ma miejsce, gdy osoba atakująca podsłuchuje komunikację między dwiema stronami, ale nie podejmuje żadnych działań w celu manipulowania danymi.

Zawijanie

Świadomość, że padłeś ofiarą ataku MITM, niezależnie od tego, czy sprawdzasz pocztę w kawiarni, czy jesteś właścicielem witryny, która została zhakowana, jest przerażająca. Myślenie o kimkolwiek, kto szpieguje Ciebie lub Twoją aktywność online, jest po prostu przerażające. A jeśli chodzi o poufne informacje – własne lub klientów, subskrybentów itp. – mogą one stanowić poważny uszczerbek również dla Twojego życia osobistego i zawodowego. Konfiguracja protokołu HTTPS w witrynie WordPress to kolejny niezbędny krok. Stamtąd postaraj się maksymalnie wzmocnić swoją witrynę. Nigdy nie możesz być zbyt bezpieczny.

Przy okazji zapoznaj się z naszym artykułem o tym, jak przeprowadzić audyt bezpieczeństwa WordPress.