В этой статьей я собираюсь Вам обьяснить, в теории, профилактику, некоторых практических атак, а так же судебную экспертизу, связанную с атаками вида «человек посередине», это поможет Вам понять риск для Вашей конфиденциальности. Подобные атаки используются, чтобы «подслушивать» Ваши коммуникации, имея доступ по меньше мере к одной части протокола связи.
Например, Алиса отправляет письмо Бобу, а их читает злой Люцик, он же Люцифер aka Diablo aka Дьявол aka Падший Ангел aka Владыка Ада, он использует ту самую атаку «человек посередине», что даёт ему возможность читать и изменять сообщения. Безопасность протокола обмена данными зависит теперь от доброго парня Люцифера.
Для понимание того как это работает:
Чтобы до конца понять, как работает эта атака с подключением к интернету, для начала надо узнать как работает интернет в его основной форме. Есть три типа устройств, котоыре используются: клиенты, маршрутизаторы и серверы. Наиболее распространённый протокол для клиента — общение через сервер, с протоколом передачи текст, и Вы знаете как он называется http. Большинство веб-страниц, а так же электронная почта, обмен мгновенными сообщениями и тд реализуются именно через этот http протокол.
Когда Вы вводите [B]http[/B]://www.*********.com в Ваш браузер, клиент, то есть Вы, отправляет запрос на веб-сервер. Пакет http передаётся через несколько маршрутизаторов на сервере. Затем сервер возвращает веб-страницу, которая передаётся обратно клиенту, получив которую он отображает её у Вас на экране. Это жизненно важно для того чтобы http-сообщения могли передаваться в безопасном режиме, дабы обеспечить анонимность и конфиденциальность.
Обеспечение коммуникационного протокола:
Протокол безопасной связи должен иметь каждое из следующих свойств:
Конфиденциальность — только получатель может прочитать данное сообщение
Аутентичность — подлинность взаимодействующих сторон
Целостность — подтверждение, что сообщение никак не было изменено в пути
Если что-либо из этого огромного списка не выполняется — то весь протокол не функнционирует!
«Человек посередине» атака через http
В компьютерных сетях, злоумышленник может легко получить эту позицию, используя метод, называемый ARP-спуфинг. Кто-то на Wi-FI может отправить Вам поддельные пакеты ARP, и Вы не осознанно начнёт отправлять весь Ваш трафик через подконтрольный злоумышленнику маршрутизатор, а не Ваш.
Злоумышленник может вынюхивать, изменять или даже прекратить все движения Вашего трафика. Он обычно хочет, чтобы Вы продолжали действия в сети, так что он будет настраивать определённый порт, который он же начнёт использовать для переадрисации запросов.
Для предотвращения таких нападений, была создана безопасная версия протокола http. Безопасность транспортного узла TLS и его предшественник, протокол защищённых сокетов SSL, оба являются криптографическими протоколами, обеспечивающими безопасность передачи данных по сети. Оба часто называют SSL, и вот ту мы подходим к интересной теме, Вам этот протокол известен как https, это означает, что проктол http реализован с помощью протокола SSL. Вы можете настроить Ваш браузер, чтобы он использовал SSL, запросив https://www.********.com , обращаем внимание на S в конце http).
Подобные атаки слабо реализуются на протоколе SSL.
Современные SSL используют хороший протокол шифрования, но это ещё ничего не значит, если хотя бы что-то выполнено неправильно. Поскольку злоумышленник сможет изменить запрос, он перехватывает Ваш трафик, он легко удалит «S» с запрошенного URL-адреса, отсутствие которой, позволит злоумышленнику, сделать так чтобы протокол SSL просто не использовался.
Вы легко можете заметить, что Ваше соединение не конфиденциально и может быть перехвачено. Если по Вашему запросу https://login.yahoo.com/ приходит ответ http://login.yahoo.com , то Вы должны что-либо заподозрить. Эта простая проверка действительно работает на сервере Yahoo, по крайне мере на момент написания статьи.
Чтобы предотравтить этот вариант атаки, сервера могут релизовывать протокол http со строгой безопасностью, это способ, при котором сервер вынуждает все соединения проходить только через протокол SSL. Если злоумышленник попробует удалить S в этом случае, то сервер просто не будет реагировать на веб-страницу, теоритически мало вероятен редирект на незащищённую версию протокола.
Этот способ реализации SSL уязвим к другим атакам, злоумышленник может создать соединение SSL к серверу, но ретранслировать его пользователю по протоколу http.
Для предовтращения подобных нападений, в современных браузерах, таки как Chrome, Firefox и т.д. отслеживаются сайты, которые используют HSTS и SSL-соединения к ним со стороны клиента. Итак, человек посередине, ему необходимо создать SSL соединение для жертвы. Если злоумышленник не имеет доступа к браузеру жертвы, то он вынужден выступать в качестве сервера с SSL-протоколом, который крайне не легко получить.
Чтобы обеспечить подключение SSL к жертве, злоумышленник должен знать, как действовать в качестве сервера, так что давайте копаться в тонкостях протокола SSL.
Понимание протокола SSL.
Давайте взглянем на всё это глазами хакера. Взлом любого протокола связи сводится к возможности атаковать слабое звено упомянутых выше трёх свойств(конфиденциальность, целостность, аутентичность).
SSL использует алгоритм ассиметричного шифрования в отличие от симметричного. В симметричном шифровании, тот же ключ используется для шифрования и расшифровки данных. Это ужасно для интернет-протоколов, потому что злуомышленник, всегда сможет выкрасть и получить протокол во время начала общения, когда участники выбирают ключ.
Ассиметричное шифрование включает в себя 2 ключа, для каждого участника, открытый ключ используется для шифрования и соотвествующий закрытый ключ, для полной де-шифрации данных. Всё, что Вам надо сделать, это сказать всем, чтобы использовали Вам открытый ключ и каждый сможет отправить зишифрованное сообщение, но только Вы сможете его прочитать.
Как SSL обеспечивает три свойства, необходимых для безопасного общения?Связь является частной, потому что ассиметричная криптография используется для передаваемых данных. Это шифрование не то, что обычный Вася может легко сломать, так что злоумышленник не может быстро и легко изменять сообщения, не будучи обнаруженным, нарушится целостность.
Сервер проверяет подлинность клиента путём отправки SSL-сертификата, попдисанный центром сертифиикации — а это третья доверенная сторона. Сертификаты рассчитаны на то, что толькль действительный сервер будет иметь закрытый ключ.
Если злоумышленник каким-то образом всё же получит сертификат. то он получить должность человека посередине. Тогда злоумышленнику необходимо создать 2 SSL-соединения, одно с сервером и одно с жертвой. Сервер будет думать, что он обычный клиент, а потерпевший не имеет даже возможности обнаруджить нападающего, потому что он предоставил «свидетельство» доказывающее, что он и является владельцем сервера.
Ваши сообщения из конца в конец идут в зашифрованном виде, за исключением компьютера злоумышленника, где он будет иметь полный контроль. Это так же может улучшить эффективность любых атак. так отсутсвует необходимость сильно напрягаться и расшифровывать данные.
Если всё сделано правильно, то лучшее нападение заключается в манипулировании сертификатами.
Сертификат не должен быть поддельным, если злоумышленник решил компрометировтаь браузер жертвы. В этом случае он может вставить самоподписанный сертификат, которому можно доверять по умолчанию. Вот как большинство атак делали раньше. В других случаях преступник возьмёт за больше дело — самостоятельно выковать сертификат.
Проблемы с сертификатами.
Сертификаты серверов отправляют специальные конторы, которыми выданы и попдисаны сертификаты. Каждый браузер имеет список доверенных центров сертификации, и Вы можете добавить или удалить любой. Проблема здесь заключается в том, что если Вы решите снять например третий, самый большой авторитет, Вы не сомжете посещать почти любые сайты, которые используют сертификаты от данного центра, будет писать, что это опасно или возможна атака.
Сертификаты и центры сертификайии всегда были слабым звеном соединения https. Даже если всё было сделано правильно и кжадый центр сертификации выдавал только проверенным серверам эти сертификаты, я до сих пор не могу понять — почему я должен доверять каким-то неизвестным мне людям?
Сегодня огромное количество людей работают на 650+ организаций, которые выдают эти самые сертификаты, число, я уверен, такое, что многие из Вас заподозрят, что кое-что не в порядке. Если кто-либо из них будет взломан, то злоумышленник получит сам любые свидетельства по своему желанию
Даже когда существовал единый центр сертификации, компания VeriSign, возникла абсурдная проблема — те люди, которым мы должны доверять, чтобы они предотращали атаки на нас, начали просто продавать услуги по перехвату данных.
Многие сертификаты были созданы путём взлома, на очень многих уровнях. Бессчиленные ошибки были использованы, чтобы обмануть жертву, которая доверяет поддельным сертификатам. Если Вас инетресует тема. то я рекомендую её изучить гораздо внимательней, в сети полно информации, а то я тут трактат напишу на пару томов.
Судмедэкспертиза.
Злоумышленник ведь отправляет поддельный ARP-пакет, Вы не увидите его IP-адрес где бы он не был, но Вы должны настаивать на поиске MAC-адреса, который является специфическим для каждой части оборудования в сети. Если Вы знаете, что у Вашего роутера определённый MAC-адрес, то Вы можете его сравнить с MAC-адресом Вашего шлюза по умолчанию, чтобы увидеть, это вообще действительно Ваш маршрутизатор или всё же злоумышленник.
В Windows, например, Вы можете использовать команду «ipconfig» в командной строке cmd, чтобы увидеть IP-адрес своего основного шлюза, это последняя строка.
Затем используйте “arp –a” команду, чтобы увидеть Ваш MAC-адрес, физический, и шлюз.
Если же Вы не знаете MAC-адрес своего маршрутизатора, Вы всё ещё можете заметить атаку, если Вы контролируете сетевую активность, в то время как атака началась, наблюдайте за пакетами. Вы можете использовать wireshark, чтобы отслеживать и регистрировать сетевую активность. Если у Вас есть основания полагать, что кто-либо будет пробовать атаковать Вас, он не сумашедший кстати, необходимо запустить автоматизированный инструмент, который уведомит Вас, если MAC-адрес шлюза по умолчанию изменяется.
Примечание: если злоумышленник далеко не дурак, то он правильно подменит MAC-адрес, и игра в Шерлока Холмса станет для Вас головной болью.
Заключение:
SSL- это хороший протокол, потому что он заставляет злоумышленника проделывать огромную работу, если он захочет выниюхать Ваши конфиденциальные данные
Например, Алиса отправляет письмо Бобу, а их читает злой Люцик, он же Люцифер aka Diablo aka Дьявол aka Падший Ангел aka Владыка Ада, он использует ту самую атаку «человек посередине», что даёт ему возможность читать и изменять сообщения. Безопасность протокола обмена данными зависит теперь от доброго парня Люцифера.
Для понимание того как это работает:
Чтобы до конца понять, как работает эта атака с подключением к интернету, для начала надо узнать как работает интернет в его основной форме. Есть три типа устройств, котоыре используются: клиенты, маршрутизаторы и серверы. Наиболее распространённый протокол для клиента — общение через сервер, с протоколом передачи текст, и Вы знаете как он называется http. Большинство веб-страниц, а так же электронная почта, обмен мгновенными сообщениями и тд реализуются именно через этот http протокол.
Когда Вы вводите [B]http[/B]://www.*********.com в Ваш браузер, клиент, то есть Вы, отправляет запрос на веб-сервер. Пакет http передаётся через несколько маршрутизаторов на сервере. Затем сервер возвращает веб-страницу, которая передаётся обратно клиенту, получив которую он отображает её у Вас на экране. Это жизненно важно для того чтобы http-сообщения могли передаваться в безопасном режиме, дабы обеспечить анонимность и конфиденциальность.
Обеспечение коммуникационного протокола:
Протокол безопасной связи должен иметь каждое из следующих свойств:
Конфиденциальность — только получатель может прочитать данное сообщение
Аутентичность — подлинность взаимодействующих сторон
Целостность — подтверждение, что сообщение никак не было изменено в пути
Если что-либо из этого огромного списка не выполняется — то весь протокол не функнционирует!
«Человек посередине» атака через http
В компьютерных сетях, злоумышленник может легко получить эту позицию, используя метод, называемый ARP-спуфинг. Кто-то на Wi-FI может отправить Вам поддельные пакеты ARP, и Вы не осознанно начнёт отправлять весь Ваш трафик через подконтрольный злоумышленнику маршрутизатор, а не Ваш.
Злоумышленник может вынюхивать, изменять или даже прекратить все движения Вашего трафика. Он обычно хочет, чтобы Вы продолжали действия в сети, так что он будет настраивать определённый порт, который он же начнёт использовать для переадрисации запросов.
Для предотвращения таких нападений, была создана безопасная версия протокола http. Безопасность транспортного узла TLS и его предшественник, протокол защищённых сокетов SSL, оба являются криптографическими протоколами, обеспечивающими безопасность передачи данных по сети. Оба часто называют SSL, и вот ту мы подходим к интересной теме, Вам этот протокол известен как https, это означает, что проктол http реализован с помощью протокола SSL. Вы можете настроить Ваш браузер, чтобы он использовал SSL, запросив https://www.********.com , обращаем внимание на S в конце http).
Подобные атаки слабо реализуются на протоколе SSL.
Современные SSL используют хороший протокол шифрования, но это ещё ничего не значит, если хотя бы что-то выполнено неправильно. Поскольку злоумышленник сможет изменить запрос, он перехватывает Ваш трафик, он легко удалит «S» с запрошенного URL-адреса, отсутствие которой, позволит злоумышленнику, сделать так чтобы протокол SSL просто не использовался.
Вы легко можете заметить, что Ваше соединение не конфиденциально и может быть перехвачено. Если по Вашему запросу https://login.yahoo.com/ приходит ответ http://login.yahoo.com , то Вы должны что-либо заподозрить. Эта простая проверка действительно работает на сервере Yahoo, по крайне мере на момент написания статьи.
Чтобы предотравтить этот вариант атаки, сервера могут релизовывать протокол http со строгой безопасностью, это способ, при котором сервер вынуждает все соединения проходить только через протокол SSL. Если злоумышленник попробует удалить S в этом случае, то сервер просто не будет реагировать на веб-страницу, теоритически мало вероятен редирект на незащищённую версию протокола.
Этот способ реализации SSL уязвим к другим атакам, злоумышленник может создать соединение SSL к серверу, но ретранслировать его пользователю по протоколу http.
Для предовтращения подобных нападений, в современных браузерах, таки как Chrome, Firefox и т.д. отслеживаются сайты, которые используют HSTS и SSL-соединения к ним со стороны клиента. Итак, человек посередине, ему необходимо создать SSL соединение для жертвы. Если злоумышленник не имеет доступа к браузеру жертвы, то он вынужден выступать в качестве сервера с SSL-протоколом, который крайне не легко получить.
Чтобы обеспечить подключение SSL к жертве, злоумышленник должен знать, как действовать в качестве сервера, так что давайте копаться в тонкостях протокола SSL.
Понимание протокола SSL.
Давайте взглянем на всё это глазами хакера. Взлом любого протокола связи сводится к возможности атаковать слабое звено упомянутых выше трёх свойств(конфиденциальность, целостность, аутентичность).
SSL использует алгоритм ассиметричного шифрования в отличие от симметричного. В симметричном шифровании, тот же ключ используется для шифрования и расшифровки данных. Это ужасно для интернет-протоколов, потому что злуомышленник, всегда сможет выкрасть и получить протокол во время начала общения, когда участники выбирают ключ.
Ассиметричное шифрование включает в себя 2 ключа, для каждого участника, открытый ключ используется для шифрования и соотвествующий закрытый ключ, для полной де-шифрации данных. Всё, что Вам надо сделать, это сказать всем, чтобы использовали Вам открытый ключ и каждый сможет отправить зишифрованное сообщение, но только Вы сможете его прочитать.
Как SSL обеспечивает три свойства, необходимых для безопасного общения?Связь является частной, потому что ассиметричная криптография используется для передаваемых данных. Это шифрование не то, что обычный Вася может легко сломать, так что злоумышленник не может быстро и легко изменять сообщения, не будучи обнаруженным, нарушится целостность.
Сервер проверяет подлинность клиента путём отправки SSL-сертификата, попдисанный центром сертифиикации — а это третья доверенная сторона. Сертификаты рассчитаны на то, что толькль действительный сервер будет иметь закрытый ключ.
Если злоумышленник каким-то образом всё же получит сертификат. то он получить должность человека посередине. Тогда злоумышленнику необходимо создать 2 SSL-соединения, одно с сервером и одно с жертвой. Сервер будет думать, что он обычный клиент, а потерпевший не имеет даже возможности обнаруджить нападающего, потому что он предоставил «свидетельство» доказывающее, что он и является владельцем сервера.
Ваши сообщения из конца в конец идут в зашифрованном виде, за исключением компьютера злоумышленника, где он будет иметь полный контроль. Это так же может улучшить эффективность любых атак. так отсутсвует необходимость сильно напрягаться и расшифровывать данные.
Если всё сделано правильно, то лучшее нападение заключается в манипулировании сертификатами.
Сертификат не должен быть поддельным, если злоумышленник решил компрометировтаь браузер жертвы. В этом случае он может вставить самоподписанный сертификат, которому можно доверять по умолчанию. Вот как большинство атак делали раньше. В других случаях преступник возьмёт за больше дело — самостоятельно выковать сертификат.
Проблемы с сертификатами.
Сертификаты серверов отправляют специальные конторы, которыми выданы и попдисаны сертификаты. Каждый браузер имеет список доверенных центров сертификации, и Вы можете добавить или удалить любой. Проблема здесь заключается в том, что если Вы решите снять например третий, самый большой авторитет, Вы не сомжете посещать почти любые сайты, которые используют сертификаты от данного центра, будет писать, что это опасно или возможна атака.
Сертификаты и центры сертификайии всегда были слабым звеном соединения https. Даже если всё было сделано правильно и кжадый центр сертификации выдавал только проверенным серверам эти сертификаты, я до сих пор не могу понять — почему я должен доверять каким-то неизвестным мне людям?
Сегодня огромное количество людей работают на 650+ организаций, которые выдают эти самые сертификаты, число, я уверен, такое, что многие из Вас заподозрят, что кое-что не в порядке. Если кто-либо из них будет взломан, то злоумышленник получит сам любые свидетельства по своему желанию
Даже когда существовал единый центр сертификации, компания VeriSign, возникла абсурдная проблема — те люди, которым мы должны доверять, чтобы они предотращали атаки на нас, начали просто продавать услуги по перехвату данных.
Многие сертификаты были созданы путём взлома, на очень многих уровнях. Бессчиленные ошибки были использованы, чтобы обмануть жертву, которая доверяет поддельным сертификатам. Если Вас инетресует тема. то я рекомендую её изучить гораздо внимательней, в сети полно информации, а то я тут трактат напишу на пару томов.
Судмедэкспертиза.
Злоумышленник ведь отправляет поддельный ARP-пакет, Вы не увидите его IP-адрес где бы он не был, но Вы должны настаивать на поиске MAC-адреса, который является специфическим для каждой части оборудования в сети. Если Вы знаете, что у Вашего роутера определённый MAC-адрес, то Вы можете его сравнить с MAC-адресом Вашего шлюза по умолчанию, чтобы увидеть, это вообще действительно Ваш маршрутизатор или всё же злоумышленник.
В Windows, например, Вы можете использовать команду «ipconfig» в командной строке cmd, чтобы увидеть IP-адрес своего основного шлюза, это последняя строка.
Затем используйте “arp –a” команду, чтобы увидеть Ваш MAC-адрес, физический, и шлюз.
Если же Вы не знаете MAC-адрес своего маршрутизатора, Вы всё ещё можете заметить атаку, если Вы контролируете сетевую активность, в то время как атака началась, наблюдайте за пакетами. Вы можете использовать wireshark, чтобы отслеживать и регистрировать сетевую активность. Если у Вас есть основания полагать, что кто-либо будет пробовать атаковать Вас, он не сумашедший кстати, необходимо запустить автоматизированный инструмент, который уведомит Вас, если MAC-адрес шлюза по умолчанию изменяется.
Примечание: если злоумышленник далеко не дурак, то он правильно подменит MAC-адрес, и игра в Шерлока Холмса станет для Вас головной болью.
Заключение:
SSL- это хороший протокол, потому что он заставляет злоумышленника проделывать огромную работу, если он захочет выниюхать Ваши конфиденциальные данные
Последнее редактирование: