MitM-атака (Man in the middle)

Атака «человек посередине» (англ. Man in the middle, MitM-атака) - термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.


Принцип атаки:

Предположим, объект 'A' планирует передать объекту 'B' некую информацию. Объект 'C' обладает знаниями о структуре и свойствах используемого метода передачи данных, а также о факте планируемой передачи собственно информации, которую 'С' планирует перехватить.

Для совершения атаки 'С' «представляется» объекту 'А' как 'В', а объекту 'В' — как 'А'. Объект 'А', ошибочно полагая, что он направляет информацию 'В', посылает её объекту 'С'.

Объект 'С', получив информацию, и совершив с ней некоторые действия (например, скопировав или модифицировав в своих целях) пересылает данные собственно получателю - 'В'; объект 'В', в свою очередь, считает, что информация была получена им напрямую от 'А'.

Пример MitM-атаке:

Предположим, у Алисы финансовые проблемы и используя программу для обмена мгновенными сообщениями, решила попросить у Джона сумму денег, отправляя сообщение:

Алиса: Джон, привет!
Алиса: Отправь, пожалуйста, ключ шифрования, есть маленькая просьба!
Джон: Привет! Подожди секундочку!

Но, в это время, Мистер-Х, который, анализируя трафик с помощью сниффера, заметил эту сообщению, а слова "ключ шифрования", вызвала любопытство. Вот почему решил перехватить следующие сообщения и подменить их на нужные ему данные, и когда получил следующую сообщению:

Джон: Вот, мой ключ: 1111_Д

Он менял ключ Джона на свой, и отправил сообщение Алисе:

Джон: Вот, мой ключ: 6666_М

Алиса, ничего не подозревая и думая, что это ключ Джона, используя секретный ключ 6666_М, отправляет Джону зашифрованные сообщения:

Алиса: Джон, у меня проблемы и мне срочно нужны деньги, переведи, пожалуйста, $300 на мой счёт: Z12345. Спасибо. p.s. Мой ключ: 2222_А

Получив сообщение, Мистер-Х, расшифровывает её с помощью его ключа, читает, и радуясь, меняет номер счёта и ключ шифрования Алисы на свой, зашифровывает сообщение ключом 1111_Д, и отправляет Джону сообщение:

Алиса: Джон, у меня проблеммы и мне срочно нужны деньги, переведи пожалуйста $300 на мой счёт: Z67890. Спасибо. p.s. Мой ключ: 6666_А

После того как получил сообщение, Джон расшифровывает её с помощью ключа 1111_Д, и даже не сомневаясь, переведёт деньги на счёт Z67890...

И таким образом, Мистер-Х используя атаку «человек посередине», заработал $300, но Алисе теперь придётся объяснить, что она не получила деньги... А Джон? Джон должен доказать Алисе, что он их отправил...

Реализация:

Подобный тип атак используется в некоторых программных продуктах для прослушивания сети, например:

NetStumbler - программа, с помощью которой можно собрать множество полезных данных о беспроводной сети и решить некоторые проблемы, связанные с ее эксплуатацией. NetStumbler позволяет определить радиус действия сети и поможет точно направить антенну для связи на дальние расстояния. Для каждой найденной точки доступа можно узнать MAC-адрес, соотношение сигнал/шум, название сервиса и степень его защищенности. Если трафик не шифруется, то полезной окажется способность программы обнаруживать неавторизованное подключение.


dsniff - представляет собой набор программ для сетевого аудита и проверок на возможность проникновения, обеспечивают пассивный мониторинг сети для поиска интересующих данных (пароли, адреса электронной почты, файлы и т. п.), перехват сетевого трафика, в обычных условиях недоступного для анализа (например, в коммутируемой сети), также возможность организации MITM-атак для перехвата сессий SSH и HTTPS за счет использования недостатков PKI.

Cain & Abel - бесплатная программа, позволяющая восстанавливать утерянные пароли для операционных систем семейства Windows. Поддерживается несколько режимов восстановления: грубый взлом методом перебора, подбор по словарю, просмотр скрытых звездочками паролей и т.д. Также присутствуют опции для выявления пароля путем перехвата информационных пакетов и их последующего анализа, записи переговоров по сети, анализа кэша и другие.

Ettercap - представляет собой сниффер, перехватчик пакетов и регистратор для локальных Ethernet-сетей, который поддерживает активный и пассивный анализ множества протоколов, а также возможны «подбрасывание» собственных данных в имеющееся соединение и фильтрация «на лету» без нарушения синхронизации соединения. Программа позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы и предоставляет возможность расшифровывать пароли для следующих протоколов: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA – набор утилит для оценки безопасности беспроводных клиентов, представляет собой беспроводной сниффер, который, пассивно прослушивая 802.11 Probe Request фреймы, позволяет обнаруживать клиентов и их предпочтительные/доверенные сети. Затем может быть создана поддельная точка доступа для одной из запрашиваемой сети, к которым он может быть автоматически подключен. Высокоуровневые поддельные службы могут использоваться для кражи персональных данных или эксплуатации клиентских уязвимостей на хосте.

AirJack - комплект программ, который, по мнению экспертов из области WiFi-хакинга, это наилучший инструмент для генерирования различных фреймов 802.11. AirJack включает в себя ряд утилит, предназначенные для обнаружения скрытого ESSID, посылки фреймов прекращения сеанса с поддельным MAC, проведения MitM-атак и её модификацию.

Противодействие:

Для избежания атак подобного типа абонентам 'A' и 'B' достаточно с помощью достоверного канала передать друг другу цифровые подписи публичных ключей шифрования. Тогда при сравнении подписей ключей в сеансах шифрования можно будет установить, каким ключом шифровались данные, и не произошла ли подмена ключей.