Tehniskie bieži uzdotie jautājumi. Cilvēka vidū uzbrukumu noteikšana (cilvēks vidū, MitM uzbrukumi) Kas ir cilvēks vidū

Šajā rakstā mēs centīsimies izprast “man-in-the-middle” uzbrukumu teoriju un dažus praktiskus punktus, kas palīdzēs novērst šāda veida uzbrukumus. Tas mums palīdzēs izprast risku, ko šāda ielaušanās rada mūsu privātumam, jo ​​MitM uzbrukumi ļauj mums iejaukties saziņā un noklausīties mūsu sarunas.

Izpratne par interneta darbību

Lai saprastu uzbrukuma "cilvēks vidū" principu, vispirms ir vērts saprast, kā darbojas pats internets. Galvenie mijiedarbības punkti: klienti, maršrutētāji, serveri. Visizplatītākais saziņas protokols starp klientu un serveri ir hiperteksta pārsūtīšanas protokols (HTTP). Sērfošana internetā, izmantojot pārlūkprogrammu, e-pastu, tūlītējo ziņojumapmaiņu - tas viss tiek darīts, izmantojot HTTP.

Kad ierakstāt pārlūkprogrammas adreses joslā, klients (jūs) nosūta serverim pieprasījumu parādīt tīmekļa lapu. Pakete (HTTP GET pieprasījums) tiek pārsūtīta uz serveri caur vairākiem maršrutētājiem. Pēc tam serveris atbild ar tīmekļa lapu, kas tiek nosūtīta klientam un tiek parādīta tā monitorā. HTTP ziņojumi ir jānosūta uz drošais režīms lai nodrošinātu konfidencialitāti un anonimitāti.

1. attēls. Klienta-servera mijiedarbība

Komunikācijas protokola nodrošināšana

Drošam sakaru protokolam ir jābūt katram no šiem rekvizītiem:

1. Privātums- ziņojumu var lasīt tikai paredzētais adresāts.
2. Autentiskums- ir pierādīta mijiedarbības pušu identitāte.
3. Integritāte- apstiprinājums, ka ziņojums sūtīšanas laikā nav mainīts.

Ja kāds no šiem noteikumiem netiek ievērots, tiek apdraudēts viss protokols.

Cilvēka vidū uzbrukums, izmantojot HTTP protokolu

Uzbrucējs var viegli veikt uzbrukumu “cilvēks vidū”, izmantojot paņēmienu, ko sauc par ARP viltošanu. Ikviens jūsu Wi-Fi tīkli var nosūtīt jums viltotu ARP paketi, liekot jums neapzināti sūtīt visu trafiku caur uzbrucēju, nevis maršrutētāju.

Pēc tam uzbrucējs pilnībā kontrolē trafiku un var pārraudzīt abos virzienos nosūtītos pieprasījumus.

2. attēls. Cilvēka vidū uzbrukuma modelis

Lai novērstu šādus uzbrukumus, tika izveidota droša HTTP protokola versija. Transport Layer Security (TLS) un tā priekšgājējs Secure Socket Layer (SSL) ir kriptogrāfijas protokoli, kas nodrošina drošību datu pārraidei tīklā. Tāpēc drošais protokols tiks saukts par HTTPS. Varat redzēt, kā darbojas drošais protokols, ierakstot pārlūkprogrammas adreses joslā (ņemiet vērā S izmantojiet https).

Cilvēka vidējais uzbrukums slikti ieviestam SSL

Mūsdienu SSL izmanto labu šifrēšanas algoritmu, taču tas nav svarīgi, ja tas nav pareizi ieviests. Ja hakeris var pārtvert pieprasījumu, viņš var to modificēt, no pieprasītā URL noņemot burtu "S", tādējādi apejot SSL.

Tādu pieprasījuma pārtveršanu un pārveidošanu var pamanīt. Piemēram, ja pieprasāt https://login.yahoo.com/ un atbilde ir http://login.yahoo.com/ , tam vajadzētu radīt aizdomas. Rakstīšanas laikā šis uzbrukums faktiski darbojas pakalpojumā e-pasts Yahoo.

3. attēls. Pieprasīt pārtveršanu un modifikāciju

Lai novērstu šādu uzbrukumu, serveri var ieviest HTTP Strict Transport Security (HSTS) — mehānismu, kas nodrošina piespiedu drošu savienojumu, izmantojot HTTPS protokolu. Šādā gadījumā, ja uzbrucējs modificē pieprasījumu, no URL noņemot “S”, serveris joprojām novirzīs lietotāju ar 302. novirzīšanu uz lapu ar drošu protokolu.

4. attēls. HSTS darbības diagramma

Šāds SSL ieviešanas veids ir neaizsargāts pret cita veida uzbrukumiem – uzbrucējs izveido SSL savienojumu ar serveri, bet izmanto dažādus trikus, lai piespiestu lietotāju izmantot HTTP.

5. attēls. HSTS uzbrukuma modelis

Lai novērstu šādus uzbrukumus modernās pārlūkprogrammas piemēram, Chrome, Firefox un Tor uzrauga vietnes, izmantojot HSTS, un piespiež ar tām izveidot klienta puses savienojumu, izmantojot SSL. Šādā gadījumā uzbrucējam, kurš veic uzbrukumu “cilvēks vidū”, ir jāizveido SSL savienojums ar upuri.

6. attēls. Uzbrukuma modelis, kurā uzbrucējs izveido SSL savienojumu ar upuri

Lai lietotājam nodrošinātu SLL savienojumu, uzbrucējam ir jāzina, kā darboties kā serverim. Izpratīsim SSL tehniskos aspektus.

Izpratne par SSL

No hakeru viedokļa jebkura komunikācijas protokola kompromitēšana ir saistīta ar vājās saites atrašanu starp iepriekš uzskaitītajiem komponentiem (privātums, autentiskums un integritāte).

SSL izmanto asimetrisku šifrēšanas algoritmu. Simetriskās šifrēšanas problēma ir tāda, ka datu šifrēšanai un atšifrēšanai tiek izmantota viena un tā pati atslēga; šī pieeja nav derīga interneta protokoliem, jo ​​uzbrucējs var izsekot šo atslēgu.

Asimetriskā šifrēšana ietver 2 atslēgas katrai pusei: publiskā atslēga, ko izmanto šifrēšanai, un privāto atslēgu, ko izmanto datu atšifrēšanai.

7. attēls. Darbojas publiskās un privātās atslēgas

Kā SSL nodrošina trīs rekvizītus, kas nepieciešami drošai saziņai?

1. Tā kā datu šifrēšanai tiek izmantota asimetriskā kriptogrāfija, SSL nodrošina privātu savienojumu. Šo šifrēšanu nav tik viegli uzlauzt un palikt neatklātam.
2. Serveris apstiprina savu likumību, nosūtot klientam SSL sertifikātu, ko izdevusi sertifikācijas iestāde - uzticama trešā puse.

Ja uzbrucējam kaut kādā veidā izdosies iegūt sertifikātu, viņš var atvērt durvis uzbrukumam "cilvēks vidū". Tādējādi tas izveidos 2 savienojumus - ar serveri un ar upuri. Serveris šajā gadījumā uzskata, ka uzbrucējs ir parasts klients, un cietušajam nav iespējas identificēt uzbrucēju, jo viņš iesniedza sertifikātu, kas apliecina, ka viņš ir serveris.

Jūsu ziņojumi pienāk un nonāk šifrētā veidā, taču tie seko ķēdei cauri kibernoziedznieka datoram, kur viņam ir pilnīga kontrole.

8. attēls. Uzbrukuma modelis, ja uzbrucējam ir sertifikāts

Sertifikāts nav jāvilto, ja uzbrucējam ir iespēja uzlauzt upura pārlūkprogrammu. Šajā gadījumā viņš var ievietot pašparakstītu sertifikātu, kas pēc noklusējuma tiks uzticams. Tādā veidā tiek veikti vairums uzbrukumu “cilvēks vidū”. Sarežģītākos gadījumos hakeram ir jāizvēlas cits ceļš - viltot sertifikātu.

Sertifikācijas iestādes problēmas

Servera nosūtīto sertifikātu izsniedza un parakstīja sertifikācijas iestāde. Katrā pārlūkprogrammā ir uzticamo sertifikācijas iestāžu saraksts, un jūs varat tās pievienot vai noņemt. Problēma ir tāda, ka, ja nolemjat noņemt lielas iestādes, jūs nevarēsit apmeklēt vietnes, kurās tiek izmantoti šo iestāžu parakstīti sertifikāti.

Sertifikāti un sertifikātu iestādes vienmēr ir bijis vājākais posms HTTPS savienojumā. Pat ja viss tika ieviests pareizi un katrai sertifikācijas iestādei ir stabila autoritāte, joprojām ir grūti samierināties ar faktu, ka jums ir jāuzticas daudzām trešajām personām.

Šobrīd ir vairāk nekā 650 organizācijas, kas spēj izsniegt sertifikātus. Ja uzbrucējs kādu no tiem uzlauztu, viņš saņemtu jebkādus sertifikātus, kādus vēlas.

Pat tad, kad bija tikai viena sertifikācijas iestāde, VeriSign, radās problēma — cilvēki, kuriem bija jānovērš uzbrukumi starp cilvēkiem, pārdeva pārtveršanas pakalpojumus.

Arī daudzi sertifikāti tika izveidoti sertifikācijas iestāžu uzlaušanas dēļ. Ir izmantoti dažādi paņēmieni un triki, lai pievilinātu mērķa lietotāju uzticēties krāpnieciskiem sertifikātiem.

Kriminālistika

Tā kā uzbrucējs sūta viltotas ARP paketes, uzbrucēja IP adresi nevar redzēt. Tā vietā jums jāpievērš uzmanība MAC adresei, kas ir raksturīga katrai tīkla ierīcei. Ja zināt sava maršrutētāja MAC adresi, varat to salīdzināt ar noklusējuma vārtejas MAC adresi, lai noskaidrotu, vai tas tiešām ir jūsu maršrutētājs vai uzbrucējs.

Piemēram, operētājsistēmā Windows OS varat izmantot komandu ipconfig komandrinda(CMD), lai redzētu noklusējuma vārtejas IP adresi (pēdējā rindiņa):

9. attēls. Komandas ipconfig izmantošana

Pēc tam izmantojiet komandu arp –a, lai uzzinātu šīs vārtejas MAC adresi:

10. attēls. Izmantojot komandu arp –a

Bet ir vēl viens veids, kā pamanīt uzbrukumu - ja jūs uzraudzījāt tīkla darbību brīdī, kad tas sākās, un skatījāties ARP paketes. Piemēram, šim nolūkam varat izmantot Wireshark, šī programma jums paziņos, ja ir mainījusies noklusējuma vārtejas MAC adrese.

Piezīme. Ja uzbrucējs pareizi krāpj MAC adreses, viņa izsekošana kļūs par lielu problēmu.

Secinājums

SSL ir protokols, kas liek uzbrucējam veikt lielu darbu, lai veiktu uzbrukumu. Taču tas nepasargās jūs no valsts sponsorētiem uzbrukumiem vai no prasmīgām hakeru organizācijām.

Lietotāja uzdevums ir aizsargāt savu pārlūkprogrammu un datoru, lai novērstu viltota sertifikāta ievietošanu (ļoti izplatīts paņēmiens). Ir vērts pievērst uzmanību arī sarakstam uzticami sertifikāti un noņemiet tos, kuriem neuzticaties.

Cilvēks vidū uzbrukums ir vispārīgs nosaukums dažādām metodēm, kuru mērķis ir kā starpnieks piekļūt datplūsmai. Šo metožu daudzveidības dēļ ir problemātiski ieviest vienu rīku šo uzbrukumu noteikšanai, kas darbotos visās iespējamās situācijās. Piemēram, uzbrukumā “cilvēks vidū” lokālajam tīklam parasti tiek izmantota ARP viltošana (saindēšanās). Un daudzi uzbrukuma noteikšanas rīki, kas tiek atklāti vidū, pārrauga izmaiņas Ethernet adrešu pāros/vai ziņo par aizdomīgām ARP darbībām, pasīvi pārraugot ARP pieprasījumus/atbildes. Bet, ja šis uzbrukums tiek izmantots ļaunprātīgi konfigurētam starpniekserverim, VPN vai citām opcijām, kas neizmanto ARP saindēšanos, tad šādi rīki ir bezpalīdzīgi.

Šīs sadaļas mērķis ir pārskatīt dažus paņēmienus, kā atklāt cilvēka vidū uzbrukumus, kā arī dažus rīkus, kas izstrādāti, lai noteiktu, vai pret jums ir vērsts MitM uzbrukums. Metodoloģiju un ieviešanas scenāriju dažādības dēļ nevar garantēt 100% atklāšanu.

1. Satiksmes izmaiņu noteikšana

Kā jau minēts, "cilvēka vidū" uzbrukumos ne vienmēr tiek izmantota ARP viltošana. Tāpēc, lai gan aktivitātes noteikšana ARP līmenī ir vispopulārākā noteikšanas metode, vairāk universālā veidā ir satiksmes izmaiņu noteikšana. Programma Mitmcanary mums var palīdzēt šajā jautājumā.

Programmas darbības princips ir tāds, ka tā veic “kontroles” pieprasījumus un saglabā saņemtās atbildes. Pēc tam tas noteiktos intervālos atkārto tos pašus pieprasījumus un salīdzina saņemtās atbildes. Programma ir diezgan inteliģenta un, lai izvairītos no viltus pozitīvas atbildes, tā identificē atbildēs dinamiskos elementus un tos pareizi apstrādā. Tiklīdz programma ir atklājusi MitM uzbrukumu rīku darbības pēdas, tā ziņo par to.

Piemēri tam, kā daži rīki var “mantot”:

• MITMf pēc noklusējuma maina visus HTTPS URL HTML kodā uz HTTP. Noteikts, salīdzinot HTTP saturu.
• Zarp + MITMProxy, MITMProxy ir funkcionalitāte, kas ļauj notīrīt HTTP saspiešanu, to izmanto pārsūtītās trafika caurspīdīgumam, šī kombinācija tiek noteikta pēc iepriekš esošās saspiešanas pazušanas
• Atbildētājs, ko identificē pēc pēkšņām izmaiņām mDNS reakciju transformācijā: negaidīta reakcija; atbilde ir iekšēja, bet tiek gaidīta ārēja; atbilde atšķiras no paredzētās IP

• MITMCanary pret MITMf:

• MITMCanary vs Responder:

• MITMCanary vs Zarp + MITMProxy:

Sudo pip instalēt Cython sudo apt-get instalēt python-kivy python-dbus sudo pip instalēt plyer uuid urlopen analīzes pieprasījums simplejson datetime git klons https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Kā jau minēts, mitmcanary jāsāk strādāt ar kontroles pieprasījumiem. Lai to izdarītu, dodieties uz direktoriju

CD serviss/

Un palaidiet failu setup_test_persistence.py:

Python2 setup_test_persistence.py

Tas prasīs kādu laiku — pagaidiet, līdz tas beigsies. Kļūdu ziņojumiem nevajadzētu būt (ja tā, tad jums trūkst dažu atkarību).

Izvade būs aptuveni šāda:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Konstatēta vecāka konfigurācijas versija (0, nevis 14) Notiek konfigurācijas jaunināšana. Atlaists tīrīšanas baļķis. Notiek analīze... Iztīrīšana ir pabeigta!

Ierakstīt pieteikšanos /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (noklusējums, 2016. gada 1. septembris, 20:27:38)

Kad šis process ir pabeigts, tajā pašā direktorijā izpildiet (tas sāks fona procesu):

Python2 main.py

Pēc tam atveriet jaunu termināļa logu un dodieties uz beigu direktoriju ar mitmcanary. Mans direktorijs ir bin/mitmcanary/, tāpēc es ieeju

CD tvertne/mitmcanary/

Kad šis process ir pabeigts, tajā pašā direktorijā izpildiet (tas sāks fona procesu):

un dari tur:

Pirmajā logā tiek parādīts kaut kas līdzīgs: Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py Ierakstīt pieteikšanos /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (noklusējums, 2016. gada 1. septembris, 20:27:38), izmantojot

ligzdas klausīšanai Tuio 127.0.0.1:3000 Gulēt 60 sekundes Gulēt 60 sekundes Gulēt 60 sekundes Gulēt 60 sekundes gulēt 60 sekundes gulēt 60 sekundes gulēt

Tie. Programma reizi minūtē veic kontroles pieprasījumus un meklē pazīmes, kas liecina par uzbrukuma vīrieti vidū.

Otrajā logā ir arī izvade + atveras tumšs logs, ko programmas autori sauc par “grafisko interfeisu”:

Varat nedaudz pagaidīt un sērfot internetā, lai pārliecinātos, ka programma neizdod viltus brīdinājumus. Pamēģināsim klasiskā programma

ettercap. Es sāku regulāru MitM uzbrukumu ar ARP viltošanu. mitmcanary nereaģē uz pašu kodināšanu. Mitmcanary rīks pats ģenerē trafiku, t.i., lietotājam nav jāveic nekādas darbības. Pēc kāda laika parādās viens brīdinājums, kas turpmākajās pārbaudēs netiek apstiprināts. Bet pēc dažām minūtēm parādās līdzīgs brīdinājums. Bez papildu analīzes man ir grūti pateikt, vai tas ir piemērs- ļoti līdzīgs šim. Pilnīgi iespējams, ka šo brīdinājumu izraisījusi komunikācijas kļūme, jo satiksmei jāšķērso papildu maršruti, vai arī mana nekvalitatīvā interneta savienojuma īpatnību dēļ.

Tā kā rezultāts nav acīmredzams (drīzāk “nē” nekā “jā”), izmēģināsim Bettercap programmu, kurā ir dažādi moduļi. Es nešaubos, ka, izmantojot dažādus Ettercap un/vai spraudņus papildu programmas lai paplašinātu funkcionalitāti, mēs "iedegtu" arī mitmcanary.

Eksperimenta tīrības labad es restartēju aprīkojumu, palaižu mitmcanary uz uzbrukuma mašīnas un Bettercap uz uzbrukuma. Šajā gadījumā nav nepieciešams atkārtoti veikt kontroles pieprasījumus uzbrukušajā mašīnā - tie tiek saglabāti failā, kas atrodas direktorijā ar programmu. Tie. Pietiek, lai palaistu pakalpojumu un grafisko interfeisu.

Un uzbrukuma mašīnā mēs palaidīsim Bettercap ar iespējotiem parsētājiem:

Sudo bettercap -X

Parādās atsevišķi brīdinājumi, kas arī vairāk izskatās kā viltus pozitīvi.

Bet palaižot šo komandu:

Sudo bettercap -X -- starpniekserveris

Uzbrūk mašīnas zvani liels skaits brīdinājumi par iespējamu vīrieša uzbrukumu:

Tātad, jo jaudīgāks ir uzbrukuma rīks "cilvēks vidū", jo vairāk pēdu tas atstāj satiksmē. Lai praktiski izmantotu mitmcanary, ir jāievēro šādi nosacījumi:

• veikt sākotnējos pieprasījumus uzticamā tīklā, kad esat pārliecināts, ka trafika pārraidē nav starpnieku;
• rediģējiet resursus, kuriem tiek iesniegti verifikācijas pieprasījumi, jo profesionāls uzbrucējs var pievienot noklusējuma resursus izņēmumiem, kas padarīs viņu neredzamu šim rīkam.

2. ARP viltošanas (ARP kešatmiņas saindēšanās) noteikšana.

Ļoti bieži uzbrukums vietējam tīklam sākas ar ARP saindēšanos. Tāpēc daudzi rīki, kas paredzēti MitM uzbrukumu noteikšanai, ir balstīti uz ARP kešatmiņas izmaiņu uzraudzības mehānismu, kas piešķir korespondenci starp Ethernet (MAC adreses) un IP adresēm.

Kā šādu programmu piemēru mēs varam atsaukties uz arpwatch, arpalert un lielu skaitu jaunu programmu. Programma ArpON ne tikai uzrauga izmaiņas ARP kešatmiņā, bet arī aizsargā to no tām.

Piemēram, palaidīsim arpwatch atkļūdošanas režīmā, neveidojot dakšas fonā un nesūtot ziņojumus pa pastu. Tā vietā ziņojumi tiek nosūtīti uz stderr (standarta kļūdu izvade).

Sudo /usr/sbin/arpwatch -d

Palaidīsim Ettercap uz uzbrukuma mašīnas un sāksim ARP viltošanu. Uzbrukušajā mašīnā mēs novērojam:

Programma arpwatch palīdzēs ātri uzzināt par jaunām ierīcēm, kas pievienotas jūsu lokālais tīkls, kā arī izmaiņas ARP kešatmiņā.

Vēl viens rīks ARP viltošanas noteikšanai reāllaikā ir spraudnis no paša Ettercap, ko sauc arp_cop. Uzbrukušajā mašīnā palaidiet Ettercap šādi:

Sudo ettercap -TQP arp_cop ///

Un uz uzbrucēja mēs sāksim ARP saindēšanos. Uzbrukušajā mašīnā nekavējoties sāk parādīties brīdinājumi:

3. DNS viltošanas noteikšana

DNS viltošana norāda, ka starp jums un jūsu galamērķi ir starpnieks, kas var mainīt jūsu trafiku. Kā noteikt, ka DNS ieraksti ir viltoti? Vienkāršākais veids, kā to izdarīt, ir salīdzināt ar atbildēm no vārdu servera, kuram uzticaties. Bet ierakstus atbildē, kas nosūtīta uz jūsu pieprasījumu, var arī aizstāt...

Tie. jums ir jāpārbauda vai nu caur šifrētu kanālu (piemēram, caur Tor), vai arī jāizmanto nestandarta iestatījumi (cits ports, TCP, nevis UDP). Aptuveni tam ir paredzēta XiaoxiaoPu sans programma (vismaz tā, kā es to saprotu). Es varēju izmantot šo programmu, lai novirzītu DNS pieprasījumus, izmantojot Tor un nestandarta iestatījumus uz manu DNS serveris. Bet es nevarēju panākt, lai viņa man parādītu ziņojumus par DNS atbildes viltošanu. Bez tā programmas jēga tiek zaudēta.

Vairāk cienīgas alternatīvas Es nevarēju to atrast.

Principā, ņemot vērā, ka DNS spooferi parasti uzrauga tikai 53. portu un tikai UDP protokolu, pat manuāli pietiek vienkārši pārbaudīt DNS viltošanas faktu, lai gan tam ir nepieciešams savs DNS serveris ar nestandarta konfigurāciju. Piemēram, uzbrūkošajā mašīnā es izveidoju failu dns.conf ar šādu saturu:

Vietējais mi-al.ru

Tie. pieprasot DNS ierakstu vietnei mi-al.ru, uzbrucēja mašīnas IP tiks nosūtīts, nevis reālais IP.

Es skrienu uz uzbrukuma mašīnas:

Sudo bettercap --dns dns.conf

Un uzbrukušajam es veicu divas pārbaudes:

Izrakt mi-al.ru # un izrakt mi-al.ru -p 4560 @185.117.153.79

Rezultāti:

Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; globālās opcijas: +cmd ;; Saņēmu atbildi: ;; ->> GALVENE<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; globālās opcijas: +cmd ;; Saņēmu atbildi: ;; ->> GALVENE<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Redzams, ka “parastajam” DNS pieprasījumam tika nosūtīts lokālais IP 192.168.1.48 un, pieprasot DNS netipiskā portā, tika nosūtīts pareizais servera IP.

Ja serveris ir konfigurēts, lai izmantotu TCP (nevis UDP), komanda izskatīsies šādi:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Acīmredzot trūkst rīka, kas pats uzraudzītu DNS atbildes trafikā, vēlreiz pārbaudītu tās pret alternatīvu avotu un izsauktu trauksmi viltošanas gadījumā.

Lai izvairītos no sava attālā DNS iestatīšanas, varat veikt nosaukumu servera vaicājumus, izmantojot Tor. Tā kā visa Tor trafika ir šifrēta, šādā veidā iegūtās DNS atbildes ir ārpus starpnieka iespējām. Ja Tor vēl nav instalēts, instalējiet to.

Sudo apt-get install tor

Sudo pacman -S tor

Sāciet pakalpojumu:

Sudo systemctl start tor

Ja jums tas ir nepieciešams, pievienojiet šo pakalpojumu startēšanai:

Sudo systemctl enable tor

Atveriet failu /etc/tor/torrc un pievienojiet tur šādas rindas:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSufiksi .exit,.onion

Pievērsiet uzmanību numuram 530. Tas ir porta numurs, nevis 530, varat norādīt jebkuru citu (neizmantotu) portu. Galvenais ir to atcerēties.

Mēs vēlreiz pārbaudām:

Izrakt mi-al.ru # un izrakt mi-al.ru -p 530 @localhost

Tagad mēs norādām kā serveri vietējais saimnieks un ierakstiet porta numuru, ko norādījāt /etc/tor/torrc iestatījumos.

Kā redzat no šī ekrānuzņēmuma, iekārtai, kurā tika veikta pārbaude, tiek veikts DNS viltošanas uzbrukums:

4. Meklējiet tīkla saskarnes izlaidības režīmā

Ja jūsu lokālajā tīklā ir (un it īpaši, ja tas pēkšņi parādījās) aprīkojums nepamatotā režīmā, tas ir ļoti aizdomīgi, lai gan tas skaidri nenorāda uz uzbrukumu.

Šajā režīmā tīkla karte ļauj saņemt visas paketes neatkarīgi no tā, kam tās ir adresētas.

Normālā stāvoklī Ethernet saskarne izmanto saišu slāņa pakešu filtrēšanu, un, ja saņemtās paketes galamērķa galvenē esošā MAC adrese neatbilst pašreizējā tīkla interfeisa MAC adresei un netiek pārraidīta, pakete tiek izmesta. Režīmā “nepatīkams” filtrēšana tīkla saskarnē ir atspējota, un sistēmā tiek atļautas visas paketes, tostarp tās, kas nav paredzētas pašreizējam mezglam.

Lielākajai daļai operētājsistēmu ir nepieciešamas administratora tiesības, lai iespējotu izlaidīgo režīmu. Tie. Tīkla kartes iestatīšana izlaidības režīmā ir apzināta darbība, kas var kalpot sniffing mērķiem.

Lai meklētu tīkla saskarnes izlaidības režīmā, tiek izsaukts spraudnis Ettercap search_promisc.

Spraudņa palaišanas piemērs:

Sudo ettercap -TQP search_promisc ///

Spraudņa darbība nav pilnībā uzticama, nosakot tīkla interfeisa režīmu.

Secinājums

Dažas “cilvēka vidū” uzbrukuma metodes atstāj daudz pēdu, un dažas (piemēram, pasīvā starpniekservera akreditācijas datu meklēšana) nav iespējams vai gandrīz neiespējami noteikt.

Apzīmē situāciju, kad uzbrucējs pēc vēlēšanās var lasīt un modificēt ziņojumus, ar kuriem apmainās starp korespondentiem, un neviens no pēdējiem nevar uzminēt savu klātbūtni kanālā.

Wikimedia fonds.

2010. gads.

Skatiet, kas ir “Cilvēks vidū (uzbrukums)” citās vārdnīcās:

Cilvēks vidū uzbrukums, MITM uzbrukums (angļu valodā Man in the middle) ir termins kriptogrāfijā, kas apzīmē situāciju, kad kriptonalīzis (uzbrucējs) var lasīt un pēc vēlēšanās modificēt ziņojumus, ar kuriem apmainīts... ... Wikipedia

- ... Vikipēdija

Kriptanalīze (no grieķu valodas κρυπτός paslēpta un analīze) ir zinātne par metodēm, kā iegūt šifrētas informācijas sākotnējo nozīmi, nepiekļūstot šim nolūkam nepieciešamajai slepenajai informācijai (atslēgai). Vairumā gadījumu tas nozīmē... ... Wikipedia

Hakeru uzbrukums šī vārda šaurā nozīmē pašlaik tiek saprasts kā “uzbrukums drošības sistēmai”, un tas vairāk sliecas uz sekojošā termina “Cracker attack” nozīmi. Tas notika paša vārda “hacker” nozīmes sagrozīšanas dēļ... Vikipēdija

- (no citiem grieķu vārdiem κρυπτός slēptās un analīzes) zinātne par metodēm šifrētas informācijas atšifrēšanai bez atslēgas, kas paredzēta šādai atšifrēšanai. Šo terminu 1920. gadā ieviesa amerikāņu kriptogrāfs Viljams F. Frīdmens. Neoficiāli... ... Vikipēdija

Cilvēks vidējā uzbrukumā (MitM uzbrukums) ir termins kriptogrāfijā, kas attiecas uz situāciju, kad uzbrucējs var lasīt un pēc vēlēšanās mainīt ziņojumus, ar kuriem apmaiņa notiek starp korespondentiem, un neviens no pēdējiem nevar uzminēt savu identitāti kanālā .

Komunikācijas kanāla kompromitēšanas metode, kurā uzbrucējs, pieslēdzies kanālam starp darījuma partneriem, aktīvi traucē pārraides protokolu, dzēšot, sagrozot informāciju vai uzspiežot nepatiesu informāciju.

Uzbrukuma princips:

Lai veiktu uzbrukumu, "C" iebilst pret "A" kā "B" un pret "B" kā "A". Objekts "A", kļūdaini uzskatot, ka tas sūta informāciju "B", nosūta to objektam "C".

Objekts “C”, saņēmis informāciju un ar to veicis dažas darbības (piemēram, kopējot vai modificējot to saviem mērķiem), nosūta datus pašam saņēmējam - “B”; objekts "B" savukārt uzskata, ka informācija saņemta tieši no "A".

MitM uzbrukuma piemērs:

Pieņemsim, ka Alisei ir finansiālas problēmas un, izmantojot tūlītējās ziņojumapmaiņas programmu, viņa nolemj lūgt Džonam naudas summu, nosūtot ziņojumu:

Alise: Jāni, sveiks!
Alise: Lūdzu, atsūtiet man šifrēšanas atslēgu, man ir neliels pieprasījums!
Jānis: Sveiki! Pagaidi!

Taču šobrīd X kungs, kurš, analizējot trafiku ar sniffer palīdzību, pamanīja šo ziņojumu, un vārdi “šifrēšanas atslēga” izraisīja ziņkāri. Tāpēc viņš nolēma pārtvert tālāk norādītos ziņojumus un aizstāt tos ar nepieciešamajiem datiem, un, saņemot šādu ziņojumu:

Jānis: Šeit ir mana atslēga: 1111_D

Viņš nomainīja Jāņa atslēgu uz savējo un nosūtīja ziņu Alisei:

Jānis: Šeit ir mana atslēga: 6666_M

Alise nezina un domā, ka tā ir Jāņa atslēga, izmantojot privāto atslēgu 6666_M, sūta Jānim šifrētus ziņojumus:

Alise: Jāni, man ir problēmas un man steidzami vajadzīga nauda, ​​lūdzu, pārskaitiet 300$ uz manu kontu: Z12345. Paldies. p.s. Mana atslēga: 2222_A

Saņēmis ziņojumu, X kungs to atšifrē, izmantojot savu atslēgu, nolasa to un, priecājoties, nomaina Alises konta numuru un šifrēšanas atslēgu uz savu, šifrē ziņojumu ar atslēgu. 1111_D un nosūta Jānim ziņojumu:

Alise: Jāni, man ir problēmas un man steidzami vajadzīga nauda, ​​lūdzu, pārskaitiet 300 USD uz manu kontu: Z67890. Paldies. p.s. Mana atslēga: 6666_A

Pēc ziņojuma saņemšanas Džons to atšifrē, izmantojot atslēgu 1111_D, un pat nevilcinoties pārskaitīs naudu uz kontu Z67890...

Un līdz ar to X kungs, izmantojot vīrieša uzbrukumu, nopelnīja 300 dolārus, bet Alisei tagad būs jāpaskaidro, ka viņa naudu nesaņēma... Un Džons? Jānim jāpierāda Alisei, ka viņš viņus sūtīja...

Īstenošana:

Šis uzbrukuma veids tiek izmantots dažos programmatūras produktos tīkla noklausīšanai, piemēram:

NetStumbler- programma, ar kuru varat savākt daudz noderīgu datu par bezvadu tīklu un atrisināt dažas ar tā darbību saistītas problēmas. NetStumbler ļauj noteikt tīkla diapazonu un palīdz precīzi norādīt antenu tālsatiksmes sakariem. Katram atrastajam piekļuves punktam varat uzzināt MAC adresi, signāla un trokšņa attiecību, pakalpojuma nosaukumu un tā drošības pakāpi. Ja trafika nav šifrēta, tad noderēs programmas spēja noteikt nesankcionētus savienojumus.

sniff- ir programmu komplekts tīkla auditēšanai un iespiešanās pārbaudei, kas nodrošina pasīvu tīkla uzraudzību, lai meklētu interesējošos datus (paroles, e-pasta adreses, failus utt.), pārtverot tīkla trafiku, kas parasti būtu nepieejama analīzei (piemēram, komutēts tīkls), kā arī iespēja organizēt MITM uzbrukumus, lai pārtvertu SSH un HTTPS sesijas, izmantojot PKI trūkumus.

Kains un Ābels ir bezmaksas programma, kas ļauj atgūt zaudētās paroles Windows saimes operētājsistēmām. Tiek atbalstīti vairāki atkopšanas režīmi: brutāla uzlaušana, vārdnīcas atlase, ar zvaigznītēm paslēpto paroļu skatīšana utt. Ir arī iespējas identificēt paroli, pārtverot informācijas paketes un to turpmāko analīzi, ierakstot tīkla sarunas, kešatmiņas analīzi un citus.

Ettercap- ir sniffer, pakešu pārtvērējs un ierakstītājs vietējiem Ethernet tīkliem, kas atbalsta vairāku protokolu aktīvo un pasīvo analīzi, kā arī ir iespējams “iemest” savus datus esošajā savienojumā un filtrēt “lidojumā”, nepārtraucot savienojumu sinhronizācija. Programma ļauj pārtvert SSH1, HTTPS un citus drošus protokolus un nodrošina iespēju atšifrēt paroles šādiem protokoliem: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA– utilītu komplekts bezvadu klientu drošības novērtēšanai, ir bezvadu sniffer, kas, pasīvi klausoties 802.11 Probe Request kadrus, ļauj noteikt klientus un to vēlamos/uzticamos tīklus. Pēc tam vienam no pieprasītajiem tīkliem var izveidot viltus piekļuves punktu, kuram to var automātiski pieslēgt. Augsta līmeņa viltus pakalpojumus var izmantot, lai nozagtu personas datus vai izmantotu resursdatora klienta ievainojamības.

AirJack- programmu komplekts, kas, pēc WiFi uzlaušanas jomas ekspertu domām, ir labākais rīks dažādu 802.11 kadru ģenerēšanai. AirJack ietver vairākas utilītas, kas izstrādātas, lai atklātu slēptos ESSID, nosūtītu sesijas pārtraukšanas kadrus ar viltotu MAC, veiktu MitM uzbrukumus un modificētu to.

Pretdarbība:

Lai izvairītos no šāda veida uzbrukumiem, abonentiem “A” un “B” tikai viens otram jāpārsūta publisko šifrēšanas atslēgu ciparparaksti, izmantojot uzticamu kanālu. Pēc tam, salīdzinot atslēgu parakstus šifrēšanas sesijās, būs iespējams noteikt, kura atslēga tika izmantota datu šifrēšanai un vai atslēgas ir nomainītas.

MTProto izmanto oriģinālu metodi, lai sasniegtu pašlaik neaizsargāto mobilo sakaru uzticamību un lielu failu (piemēram, fotoattēlu, video un dokumentu, kuru izmērs ir līdz 1 GB) piegādes ātrumu. Šis dokuments ir paredzēts, lai precizētu mūsu sistēmas detaļas un adreses elementus, kurus no pirmā acu uzmetiena var būt grūti saprast.

Detalizēta protokola dokumentācija ir pieejama šajā lapā. Ja ir kādi jautājumi, rakstiet uz Twitter.

Piezīme: Katrs ziņojums, kas šifrēts, izmantojot MTProto, vienmēr satur šādus datus, kas tiks pārbaudīti atšifrēšanas laikā, lai sistēma būtu droša pret zināmām problēmām:

• sesijas identifikators - sesijas id;
• ziņojuma garums - ziņojuma garums;

2. piezīme: Skatiet papildu komentārus par lietošanu un modificēts shēmas

Kāpēc neizmantot X [jūsu iespēja]

Lai gan neapšaubāmi pastāv citi veidi, kā sasniegt tos pašus kriptogrāfiskos mērķus, mēs uzskatām, ka pašreizējais risinājums ir gan uzticams, gan sekmīgi sasniedz mūsu sekundāro mērķi – piegādes ātruma un stabilitātes ziņā pārspēt nedrošos sūtņus.

Kāpēc jūs paļaujaties uz klasiskajiem kriptoalgoritmiem?

Mēs dodam priekšroku labi zināmiem algoritmiem, kas izveidoti tajos laikos, kad joslas platums un apstrādes jauda bija rets pāris. Tieši šie algoritmi būtiski ietekmē mūsdienu mobilo ierīču aplikāciju izstrādi, liekot to autoriem atbrīvoties no zināmiem trūkumiem. Arī šādu algoritmu trūkumi ir labi zināmi, un uzbrucēji tos izmantojuši gadu desmitiem. Mēs izmantojam šos algoritmus šajā īstenošanā, jo, mūsuprāt, tie noved pie jebkura zināma uzbrukuma neveiksmes. Tomēr mēs priecāsimies redzēt pierādījumus par pretējo (līdz šim tādi gadījumi nav bijuši), lai uzlabotu mūsu sistēmu.

Esmu drošības eksperts un uzskatu, ka jūsu protokols nav drošs.

Jūs varat piedalīties mūsu konkursā: Pāvels Durovs piedāvā $ 200 000 Bitcoin pirmajam, kas uzlauzis MTProto. Jūs varat izlasīt paziņojumu un konkursa FAQ. Ja jums ir vēl kādi komentāri, mēs tos labprāt uzklausīsim vietnē [aizsargāts ar e-pastu].

Aizsardzība pret zināmiem uzbrukumiem

Zināmi vienkārša teksta uzbrukumi

Pēc definīcijas vienkārša teksta uzbrukums ir kriptonalītiskā uzbrukuma veids, kurā uzbrucējam ir gan teksta šifrētas, gan vienkārša teksta versijas. MTProto izmantotais AES IGE ir izturīgs pret šādiem uzbrukumiem. Turklāt MTProto vienkāršajā tekstā vienmēr ir ietverts servera sāls un sesijas ID.

Adaptīvs vienkārša teksta uzbrukums

Pēc definīcijas adaptīvs vienkāršā teksta uzbrukums ir kriptanalīzes uzbrukuma veids, kurā kriptoanalītiķis var atlasīt vienkāršu tekstu un iegūt atbilstošu šifrētu tekstu. MTProto izmanto AES IGE režīmā, kas ir drošs pret šādiem uzbrukumiem. Ir zināms, ka IGE ir neaizsargāts pret bloķētiem adaptīviem uzbrukumiem, taču MTProto to novērš tālāk aprakstītajā veidā. Katrs šifrējamais vienkāršā teksta ziņojums satur šādus datus, kas tiek pārbaudīti atšifrēšanas laikā:

• servera sāls (64 bitu);
• ziņojuma kārtas numurs;
• ziņojuma nosūtīšanas laiks - laiks.

Turklāt, lai aizstātu vienkāršu tekstu, jums ir jāizmanto arī pareizā AES atslēga un inicializācijas vektors, kas ir atkarīgi no auth_key . Tas padara MTProto izturīgu pret adaptīviem vienkārša teksta uzbrukumiem.

Atbilstoši šifrēta teksta uzbrukumi

Saskaņā ar definīciju izvēlēts šifrēta teksta uzbrukums ir kriptogrāfisks uzbrukums, kurā kriptoanalītiķis apkopo informāciju par šifru, izvēloties šifrētu tekstu un iegūstot tā atšifrēšanu ar nezināmu atslēgu. Šādā uzbrukumā uzbrucējs var ievadīt sistēmā vienu vai vairākus zināmus šifrētus tekstus un iegūt vienkāršus tekstus. Izmantojot šos datus, uzbrucējs var mēģināt atgūt atšifrēšanai izmantoto atslēgu. Programmā MTProto katru reizi, kad ziņojums tiek atšifrēts, tiek veikta pārbaude, lai nodrošinātu, ka msg_key atbilst atšifrēto datu SHA-1. Vienkāršajā tekstā (atšifrētie dati) vienmēr ir arī informācija par ziņojuma garumu, tā kārtas numuru un servera sāli. Tas noliedz uzbrukumus, kuru pamatā ir atlasītais šifrētais teksts.

Atkārtojiet uzbrukumus

Atkārtoti uzbrukumi nav iespējami, jo katrā vienkāršā teksta ziņojumā ir servera sāls, unikāls ziņojuma ID un kārtas numurs.

Cilvēks vidū (MitM) uzbrukums

Telegram ir divi saziņas režīmi: parastās tērzēšanas, kurās tiek izmantota klienta-servera šifrēšana, un slepenās tērzēšanas, kurās tiek izmantota pilnīga šifrēšana un kas ir aizsargātas pret uzbrukumiem starp cilvēkiem. Datu pārsūtīšana starp klientu un serveri ir aizsargāta pret šādiem uzbrukumiem Diffie-Hellman atslēgu ģenerēšanas laikā, pateicoties RSA publiskās atslēgas algoritmam, kas ir iebūvēts Telegram klientos. Pēc tam, ja sarunu biedru klienti uzticas servera programmatūrai, serveris aizsargā viņu savstarpējo slepeno tērzēšanu no uzbrukumiem starp cilvēkiem. Īpaši tiem, kuri Nav uzticas serverim, aplikācijā ir pieejams slepeno kodu salīdzinājums. Taustiņi tiek vizualizēti kā attēli. Salīdzinot vizualizētās atslēgas, lietotāji var pārbaudīt, vai nav noticis uzbrukums “cilvēks vidū”.

Šifrēšana

Vai jūs izmantojat IGE? Tas ir uzlauzts!

Jā, mēs izmantojam IGE, bet mūsu realizācijā ar to viss ir kārtībā. Fakts, ka mēs neizmantojam IGE ar citiem mūsu sistēmas elementiem tāpat kā MAC, padara mēģinājumus uzlauzt IGE bezjēdzīgi. IGE, tāpat kā parastais šifrētā teksta bloku ķēdes (CBC) režīms, ir jutīgs pret blokādes adaptīviem uzbrukumiem. Taču adaptīvie uzbrukumi apdraud tikai tad, ja vairākos ziņojumos tiek izmantota viena un tā pati atslēga (tas tā nav).

Adaptīvie uzbrukumi MTProto pat teorētiski nav iespējami, jo, lai atšifrētu ziņojumus, tie vispirms ir pilnībā jāievada, jo ziņojuma atslēga ir atkarīga no tā satura. Kas attiecas uz neadaptīviem CPA uzbrukumiem, IGE ir aizsargāts no tiem, tāpat kā CBC.