Karşı taraflar arasındaki bir kanala bağlanan bir saldırganın, iletim protokolüne müdahale etmesi, bilgileri silmesi veya çarpıtması.

saldırı prensibi

Saldırı genellikle iletişim kanalını dinlemekle başlar ve kriptanalistin ele geçirilen mesajı değiştirmeye çalışmasıyla sona erer. kullanışlı bilgi, bazı harici kaynaklara yönlendirin.

A nesnesinin B nesnesine bazı bilgiler göndermeyi planladığını varsayalım. Nesne C, kullanılan veri aktarım yönteminin yapısı ve özelliklerinin yanı sıra, C'nin engellemeyi planladığı gerçek bilgilerin planlı aktarımı hakkında bilgi sahibidir. Bir saldırı gerçekleştirmek için C, A nesnesine B olarak ve B nesnesine A olarak “görünür”. Nesne A, yanlışlıkla B'ye bilgi gönderdiğine inanarak, onu C nesnesine gönderir. onunla bazı işlemler yapmak (örneğin, kendi amaçları için kopyalamak veya değiştirmek) verileri alıcının kendisine gönderir - B; B nesnesi, bilginin kendisi tarafından doğrudan A'dan alındığına inanıyor.

Saldırı örneği

Kötü amaçlı kod enjeksiyonu

Ortadaki adam saldırısı, bir kriptanalistin kodunu e-postalara, SQL ifadelerine ve web sayfalarına enjekte etmesine (yani, SQL enjeksiyonuna, HTML/komut dosyası yerleştirmesine veya XSS saldırılarına izin verir) ve hatta kullanıcı tarafından yüklenen ikili dosyaları değiştirmesine izin verir. erişmek için sipariş hesap veya kullanıcı tarafından İnternet'ten indirilen bir programın davranışını değiştirmek.

Saldırıyı düşürme

"Düşürme Saldırısı" terimi, kriptanalistin kullanıcıyı daha az güvenli işlevleri, uyumluluk nedenleriyle hala desteklenen protokolleri kullanmaya zorladığı böyle bir saldırıyı ifade eder. Bu tür saldırılar SSH , IPsec ve PPTP protokollerinde gerçekleştirilebilir.

Bir Düşürme Saldırısına karşı korunmak için, güvenli olmayan protokoller en az bir tarafta devre dışı bırakılmalıdır; sadece varsayılan olarak güvenli protokolleri desteklemek ve kullanmak yeterli değildir!

SSH V2 yerine SSH V1

Saldırgan, aralarında bir bağlantı kurulduğunda sunucu ile istemci arasındaki bağlantı parametrelerini değiştirmeye çalışabilir. Blackhat Conference Europe 2003'te verilen bir konuşmaya göre, bir kriptanalist, SSH oturumu için "1.99" sürüm numarasını "1.51" olarak değiştirerek bir istemciyi SSH2 oturumu yerine bir SSH1 oturumu başlatmaya "zorlayabilir". ssh kullanmak V1. SSH-1 protokolü, bir kriptanalistin yararlanabileceği güvenlik açıklarına sahiptir.

IPsec

Bu saldırı senaryosunda, kriptanalist kurbanını bir IPsec oturumunun diğer uçta (sunucu) başlayamayacağını düşünmeye yönlendirir. Bu, ana makine geri alma modundaysa mesajların açıkça iletilmesine neden olur.

PPTP

PPTP oturum parametreleri üzerinde anlaşma aşamasında, saldırgan kurbanı daha az güvenli bir PAP kimlik doğrulaması, MSCHAP V1 (yani, MSCHAP V2'den sürüm 1'e "geri alma") kullanmaya zorlayabilir veya hiç şifreleme kullanmayabilir.

Saldırgan, kurbanını PPTP oturum parametresi görüşme adımını tekrarlamaya (bir Terminate-Ack paketi göndermeye), mevcut tünelden parolayı çalmaya ve saldırıyı tekrarlamaya zorlayabilir.

Bilginin özgünlüğünü, gizliliğini, kullanılabilirliğini ve bütünlüğünü korumadan kamuya açık iletişim araçları

Bu gruptaki en yaygın iletişim aracı, sosyal ağ, bir genel e-posta hizmeti ve anlık mesajlaşma sistemi. İletişim hizmetini sağlayan kaynağın sahibi, muhabirler tarafından paylaşılan bilgiler üzerinde tam kontrole sahiptir ve kendi takdirine bağlı olarak her an kolaylıkla saldırı gerçekleştirebilir.

İletişimin teknik ve teknolojik yönlerine dayanan önceki senaryolardan farklı olarak, bu durumda saldırı, zihinsel yönlere, yani bilgi güvenliği gereksinimlerinin göz ardı edilmesi kavramının kullanıcıların zihinlerinde köklenmesine dayanmaktadır.

Şifreleme kurtaracak mı?

Standart bir HTTP işlemi durumunu düşünün. Bu durumda saldırgan, orijinal TCP bağlantısını kolayca iki yeni bağlantıya bölebilir: biri kendisiyle istemci arasında, diğeri kendisi ile sunucu arasında. Bunu yapmak oldukça kolaydır, çünkü çok nadiren istemci ve sunucu arasındaki bağlantı doğrudandır ve çoğu durumda bir dizi ara sunucu aracılığıyla bağlanırlar. Bu sunucuların herhangi birinde bir MITM saldırısı gerçekleştirilebilir.

Ancak, istemci ve sunucu, şifrelemeyi destekleyen bir protokol olan HTTPS üzerinden iletişim kurarsa, ortadaki adam saldırısı da gerçekleştirilebilir. Bu tür bir bağlantıyla, istekleri şifrelemek için TLS veya SSL kullanılır, bu da kanalı koklama ve MITM saldırılarına karşı güvenli hale getirir. Saldırgan, her TCP bağlantısı için iki bağımsız SSL oturumu oluşturabilir. İstemci, saldırganla bir SSL bağlantısı kurar ve saldırgan da sunucuyla bağlantı kurar. Bu gibi durumlarda tarayıcı genellikle sertifikanın güvenilir bir sertifika yetkilisi tarafından imzalanmadığı konusunda uyarır, ancak eski tarayıcıların sıradan kullanıcıları bu uyarıyı kolayca atlayabilir. Ayrıca, bir saldırganın kök CA tarafından imzalanmış bir sertifikası olabilir (örneğin, bu tür sertifikalar bazen DLP için kullanılır) ve uyarı oluşturmayabilir. Ek olarak, HTTPS'ye bir dizi saldırı var. Bu nedenle, HTTPS protokolü, sıradan kullanıcılar tarafından MITM saldırılarına karşı güvenli kabul edilemez. [ ] Https sitelerine yapılan bazı MITM saldırılarını, özellikle sitelerden http bağlantılarının kullanılmasını yasaklayan HSTS, sertifika değiştirmeyi yasaklayan Sertifika sabitleme ve HTTP Ortak Anahtar Sabitleme gibi bazı önlemleri önleyen bir dizi önlem vardır.

MITM saldırı tespiti

Ortadaki adam saldırısını tespit etmek için ağ trafiği analiz edilmelidir. Örneğin, bir SSL saldırısını tespit etmek için aşağıdaki parametrelere dikkat etmelisiniz:

  • sunucu IP'si
  • Dns sunucusu
  • X.509 sunucu sertifikası
    • Sertifika kendinden imzalı mı?
    • Sertifika bir sertifika yetkilisi tarafından imzalanmış mı?
    • Sertifika iptal mi edildi?
    • Sertifika yakın zamanda değişti mi?
    • İnternetteki diğer istemciler de aynı sertifikayı aldı mı?

MITM saldırı uygulamaları

Listelenen programlar, ortadaki adam saldırılarını gerçekleştirmek ve ayrıca bunları tespit etmek ve sistemi güvenlik açıklarına karşı test etmek için kullanılabilir.

Ayrıca bakınız

  • Aspidistra (İngilizce) - MITM saldırısının bir çeşidi olan II. Dünya Savaşı "istilaları" sırasında kullanılan İngiliz radyo vericisi.
  • Babington Plot (İngilizce) - Walsingham'ın yazışmaları ele geçirdiği Elizabeth I'e karşı bir komplo.

Diğer saldırılar

  • "Tarayıcıdaki Adam", bir saldırganın işlem parametrelerini anında değiştirebildiği, sayfaları tamamen şeffaf bir şekilde kurbana değiştirebildiği bir saldırı türüdür.
  • "Ortada buluşma saldırısı" - doğum günü saldırısı gibi, zaman ve bellek arasında bir değiş tokuş kullanan kriptografik bir saldırı.
  • "Ortadaki kayıp" (Miss in the Middle saldırısı), sözde imkansız diferansiyel kriptanalizin etkili bir yöntemidir.
  • Aktarma saldırısı - ele geçirilen bir mesajı geçerli bir alıcıya iletmeyi temel alan bir MITM saldırısının bir çeşididir, ancak amaçlanan alıcıya değil.
  • Bir rootkit, bir davetsiz misafirin varlığının izlerini gizlemek için tasarlanmış bir programdır.

"Aracının Saldırısı" makalesine bir inceleme yazın

Edebiyat

Bağlantılar

  • www.all.net/CID/Attack/Attack74.html
  • www.nag.ru/2003/0405/0405.shtml
  • www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Aracının saldırısını karakterize eden bir alıntı

Subay, küçümseyici ve iyi huylu bir gülümsemeyle küçük adama bakarak, "Quartire, quartire, logement," dedi. – Les Francais sont de bons enfants. Ölebilir! Voyonlar! Ne nous fachons pas, mon vieux, [Daireler, apartmanlar… Fransızlar iyi adamlar. Kahretsin, kavga etmeyelim dede.] - diye ekledi korkmuş ve sessiz Gerasim'in omzunu okşayarak.
- Bir ka! Dites donc, ne parle donc pas francais dans cette butikte? [Eh, burada da kimse Fransızca konuşmuyor mu?] diye ekledi, etrafına bakınıp Pierre'le göz göze geldi. Pierre kapıdan uzaklaştı.
Memur yine Gerasim'e döndü. Gerasim'den evdeki odaları kendisine göstermesini istedi.
"Yok usta - anlama... benimki..." dedi Gerasim, sözlerini tersten söyleyerek daha anlaşılır kılmaya çalışarak.
Fransız subayı gülümseyerek ellerini Gerasim'in burnunun önüne yaydı, kendisinin de onu anlamadığını hissettirdi ve topallayarak Pierre'in durduğu kapıya gitti. Pierre ondan saklanmak için uzaklaşmak istedi, ama tam o anda Makar Alekseich'in elinde tabancayla mutfak kapısından dışarı doğru eğildiğini gördü. Bir delinin kurnazlığıyla Makar Alekseevich, Fransız'a baktı ve tabancasını kaldırarak nişan aldı.
- Gemiye!!! - sarhoş, tabancanın tetiğine basarak bağırdı. Fransız subayı çığlık üzerine döndü ve aynı anda Pierre sarhoşa koştu. Pierre tabancayı alıp kaldırırken, Makar Alekseich nihayet parmağıyla tetiğe bastı ve sağır eden ve herkesi toz dumanına boğan bir atış çaldı. Fransız solgunlaştı ve kapıya koştu.
Fransızca bilgisini açığa vurmama niyetini unutan Pierre, tabancayı kaptı ve fırlattı, subaya koştu ve onunla Fransızca konuştu.
- Vous n "etes pas kutsasın mı? [Yaralı mısın?] - dedi.
"Je crois que non," diye yanıtladı memur, kendini hissederek, "mais je l "ai manque belle cette fois ci," diye ekledi duvardaki yontulmuş sıvayı göstererek. "Quel est cet homme? [Görünüşe göre değil. .. ama bu bir kez yakındı. Bu adam kim?] - Pierre'e sert bir şekilde bakarak, dedi subay.
- Ah, je suis vraiment au desespoir de ce qui vient d "arriver, [Ah, gerçekten olanlar konusunda umutsuzum,] - dedi Pierre, rolünü tamamen unutarak hızla. - C" est un fou, un malheureux quine savait pas ce qu "il faisait. [Bu ne yaptığını bilmeyen talihsiz bir deli.]
Memur Makar Alekseevich'in yanına gitti ve onu yakasından yakaladı.
Makar Alekseich, aralanmış dudaklarla, uykuya dalıyormuş gibi sallandı, duvara yaslandı.
Fransız, elini geri çekerek, "Brigand, tu me la payeras," dedi.
– Hayır, apres la victoire sonra gelenler: mais nous ne pardonnons pas aux Tratres, [Soyguncu, bunun için bana para ödeyeceksin. Kardeşimiz zaferden sonra merhametlidir, ama hainleri affetmeyiz,' diye ekledi yüzünde kasvetli bir ciddiyet ve güzel bir enerjik jest ile.
Pierre, Fransız subayını bu sarhoş, deli adamdan çekinmemeye ikna etmeye devam etti. Fransız, kasvetli görünümünü değiştirmeden sessizce dinledi ve aniden bir gülümsemeyle Pierre'e döndü. Birkaç saniye sessizce ona baktı. Yakışıklı yüzü trajik bir şekilde hassas bir ifade aldı ve elini uzattı.
- Vous m "avez sauve la vie! Vous etes Francais, [Hayatımı kurtardın. Sen bir Fransızsın]" dedi. Bir Fransız için bu sonuç inkar edilemezdi. Sadece bir Fransız harika bir şey yapabilir ve hayatını kurtarabilirdi. life, m r Ramball capitaine du 13 me leger [Mösyö Rambal, 13. Hafif Alayı'nın kaptanı] şüphesiz en büyük işti.
Ancak bu sonuca ve memurun buna dayanan mahkumiyetine ne kadar şüphesiz olursa olsun, Pierre onu hayal kırıklığına uğratmanın gerekli olduğunu düşündü.
"Je suis Russe, [Ben Rusum]" dedi Pierre çabucak.
- Ti ti ti, a d "autres, [bunu başkalarına söyle] - dedi Fransız, parmağını burnunun önünde sallayarak ve gülümseyerek. - Tout a l "heure vous allez me conter tout ca" dedi. - Charme de rencontrer un yurttaş. Eh bien! qu "allons nous faire de cet homme? [Şimdi bana tüm bunları anlatacaksın. Bir yurttaşla tanışmak çok güzel. Peki! Bu adamı ne yapmalıyız?] - Pierre'e zaten kardeşi olarak hitap ederek ekledi. Fransız subayın yüzündeki ifade ve ses tonu, Pierre bir Fransız olmasaydı, bir zamanlar dünyanın bu en yüksek adını aldığından vazgeçemezdi, dedi Pierre, son soruya Makar Alekseich'in kim olduğunu bir kez daha açıkladı. , gelmelerinden hemen önce bu sarhoş, deli bir adamın, ondan almaya zamanları olmayan dolu bir tabancayı sürüklediğini ve eyleminin cezasız bırakılmasını istediğini açıkladı.
Fransız göğsünü uzattı ve eliyle asil bir jest yaptı.
- Vous m "avez sauve la vie. Vous etes Francais. Vous me talepez sa lütuf? Tanrım. Qu "on emmene cet homme, [Hayatımı kurtardın. Sen bir Fransızsın. Onu affetmemi ister misin? Onu affediyorum. Al bu adamı,] dedi Fransız subayı hızlı ve enerjik bir şekilde, kolundan tuttuğu şeyi alarak. Pierre'in Fransızcasına hayatını kurtarmak için üretti ve onunla birlikte eve gitti.
Avluda bulunan ve silah sesini duyan askerler geçite girerek ne olduğunu sordular ve suçluları cezalandırmaya hazır olduklarını ifade ettiler; ama memur onları şiddetle durdurdu.
"On vous requestera quand on aura besoin de vous, [Gerektiğinde aranacaksınız," dedi. Askerler gitti. Bu sırada mutfakta olan batman, memura yaklaştı.
"Kaptan, mutfağın ils ont de la çorbası et du gigot de mouton dans la mutfağı," dedi. - Faut il vous l "apporter? [Kaptanlar mutfakta çorba ve kuzu rostosu var. Getirmek ister misiniz?]
- Oui, et le vin, [Evet ve şarap,] - dedi kaptan.

Fransız subayı, Pierre ile birlikte eve girdi. Pierre, kaptana Fransız olmadığını tekrar garanti etmeyi kendi görevi olarak gördü ve ayrılmak istedi, ancak Fransız subayı bunu duymak istemedi. O kadar nazik, cana yakın, iyi huylu ve hayatını kurtardığı için gerçekten minnettardı ki, Pierre onu reddetmeye cesaret edemedi ve girdikleri ilk odada salonda onunla birlikte oturdu. Pierre'in Fransız olmadığı iddiasına karşı, böylesine gurur verici bir unvanı reddetmenin nasıl mümkün olduğunu anlayamayan kaptan, omuzlarını silkti ve kesinlikle bir Rus olarak tanınmak istiyorsa, öyle olsun, dedi. buna rağmen, onunla sonsuza kadar bir hayat kurtardığı için minnettarlık duygusuyla bağlı olduğunu.
Bu kişiye en azından başkalarının duygularını anlama yeteneği verilmiş olsaydı ve Pierre'in duygularını tahmin etmiş olsaydı, Pierre muhtemelen onu terk ederdi; ama bu adamın kendisi olmayan her şeye canlı aşılmazlığı Pierre'i yendi.
- Francais ou prens russe gizli, [Fransız veya Rus prensi gizli,] - dedi Fransız, Pierre'in kirli ama ince iç çamaşırına ve elindeki yüzüğe bakarak. - İyi günler. Un Francais n "oublie jamais ni une hakaret ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [Sana hayatımı borçluyum ve sana arkadaşlık teklif ediyorum. Bir Fransız asla hakaretleri ve hizmetleri unutmaz. sana arkadaşlık, artık demiyorum.]
Sesinin seslerinde, yüzünün ifadesinde, bu memurun jestlerinde o kadar iyi bir tabiat ve asalet vardı (Fransızca anlamda) ki Pierre, Fransız'ın gülümsemesine bilinçsiz bir gülümsemeyle cevap vererek, uzanan eli sıktı.
- Capitaine Ramball du treizieme leger, decore pour l "affaire du Sept, [Kaptan Ramball, onüçüncü hafif alay, yedinci Eylül davası için Legion of Honor'un şövalyesi] - kendini beğenmiş, kontrol edilemez bir gülümsemeyle tanıttı. bıyığının altında dudaklarını buruşturdu. - Voudrez vous bien me dire bir hediye, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester a l" ambulans avec la balle de ce fou dans le corps. şimdi bana kiminle olduğumu söyleyecek kadar naziksin, vücudunda bu delinin kurşunuyla soyunma odasında olmak yerine böyle hoş bir şekilde konuşma onuruna sahibim?]
Pierre adını söyleyemediğini söyledi ve kızararak, bir isim icat etmeye, bunu neden söyleyemediğinin nedenleri hakkında konuşmaya başladı, ancak Fransız aceleyle onun sözünü kesti.
"De lütuf," dedi. - Je, vos raisons, vous etes officier ... officier superieur, peut etre'yi kavrar. Vous avez porte les armes contre nous. C n "est pas mon ilişki. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [Tamam, lütfen. Anlıyorum, sen bir subaysın ... bir kurmay subay, belki. Bize karşı hizmet ettin Bu beni ilgilendirmez. Sana hayatımı borçluyum. Bu bana yeter ve ben tamamen seninim. Sen asil misin?] - bir soru ipucu ile ekledi. Pierre başını eğdi. - Votre nom de bapteme, s "il vous plait? Davantage. Mösyö Pierre, dites vous... Parfe. C "est tout ce que je desire savoir. [Adınız? Başka bir şey sormuyorum. Bay Pierre, siz mi dediniz? Güzel. Tüm ihtiyacım olan bu.]
Fransızların yanlarında getirdikleri Rus mahzeninden rosto kuzu, çırpılmış yumurta, semaver, votka ve şarap getirildiğinde, Ramball Pierre'den bu yemeğe hemen, hevesle ve çabucak, sağlıklı ve aç bir insan gibi katılmasını istedi. adam, yemeye başladı, güçlü dişleriyle hızlı bir şekilde çiğnedi, sürekli dudaklarını şapırdattı ve mükemmel, exquis! [harika, mükemmel!] Yüzü kıpkırmızıydı ve terle kaplıydı. Pierre acıkmıştı ve akşam yemeğine memnuniyetle katıldı. Rahip Morel, bir çömlek ılık su getirdi ve içine bir şişe kırmızı şarap koydu. Ayrıca, test için mutfaktan aldığı bir şişe kvas getirdi. Bu içecek zaten Fransızlar tarafından biliniyordu ve adını aldı. Kvas limonade de cochon (domuz limonatası) adını verdiler ve Morel mutfakta bulduğu bu limonade de cochon'u övdü. Ancak kaptan Moskova'dan geçerken şarap elde ettiği için Morel'e kvas verdi ve bir şişe Bordeaux aldı. Şişeyi boynuna kadar bir peçeteye sardı ve kendisine ve Pierre şarabına doldurdu. Doymuş açlık ve şarap kaptanı daha da hareketlendirdi ve yemek sırasında konuşmayı kesmedi.
- Oui, mon cher mösyö Pierre, iyi şanslar. En voila une (yan tarafını göstererek) bir Wagram et de deux a Smolensk, - yanağında olan yara izini gösterdi. - Et cette jambe, comme vous voyez, qui ne veut pas Marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une kaba besogne; vous pouvez vous en vanter, "un petit bonhomme" adını aldı. [Evet, sevgili Bay Pierre, beni bu deliden kurtardığınız için sizin için iyi bir mum yakmak zorundayım. Görüyorsun, vücudumdaki kurşunlardan bıktım. İşte biri Wagram'a yakın, diğeri Smolensk'e yakın. Ve bu bacak, gördüğünüz gibi, hareket etmek istemiyor. Bu, Moskova yakınlarındaki 7.'nin büyük savaşı sırasında. Ö! harikaydı! Onu görmeliydin, bir ateş tufanıydı. Bize zor bir iş verdin, övünebilirsin. Ve Vallahi, bu koza rağmen (haçı işaret etti), her şeye yeniden başlamaya hazırdım. Görmeyenlere acıyorum.]
- J "y ai et, [oradaydım] - dedi Pierre.
- Bah, vraiment! Eh bien, tant mieux, dedi Fransız. - Vous en kötüler, en iyiler. La grande redoute a ete tenace, nom d "une pipe. Et vous nous l" avez oldu bitti ödeme ödeyen. Her şey bir yana, her şey yolunda. Süper bombalar, tonnerre de Dieu. Je les ai vu altı fois de suite serrer les çaldı, et Marcher bir une revü. Güzeller güzeli! Notre roi de Naples, qui s "y a çığlık: bravo! Ah, ah! soldat comme nous autres! - dedi gülümseyerek, bir an sessizlik yedi. - Tant mieux, tant mieux, mösyö Pierre. Korkunçlar en bataille . .. galants ... - bir gülümsemeyle göz kırptı, - avec les belles, voila les Francais, mösyö Pierre, n "est ce pas? [Ba, gerçekten mi? Çok daha iyi. Düşmanlara meydan okuyorsun, itiraf etmeliyim. Büyük tabya iyi dayandı, kahretsin. Ve bize pahalıya ödettin. Gördüğünüz gibi orada üç kez bulundum. Üç kez toplardaydık, üç kez kart askerleri gibi devrildik. El bombalarınız harikaydı, Tanrı aşkına. Altı kez saflarının nasıl kapandığını ve tam olarak geçit törenine nasıl yürüdüklerini gördüm. Mükemmel insanlar! Bu durumlarda köpeği yiyen Napoliten kralımız onlara bağırdı: bravo! - Ha, ha, demek sen bizim asker kardeşimizsin! "Ne kadar iyi, o kadar iyi, Mösyö Pierre. Savaşta korkunç, güzellere karşı nazik, işte Fransızlar, Mösyö Pierre. Değil mi?]
Kaptan o kadar saf ve iyi huyluydu ki, yürekten ve kendinden memnundu, Pierre ona neşeyle bakarak neredeyse kendini kırptı. Muhtemelen, "galant" kelimesi, kaptanın Moskova'nın konumu hakkında düşünmesini sağladı.

Bu yazıda, ortadaki adam saldırıları teorisini ve bu tür saldırıları önlemeye yardımcı olacak bazı pratik noktaları anlamaya çalışacağız. Bu, MitM saldırıları iletişimlere izinsiz girmemize ve konuşmalarımızı dinlememize izin verdiğinden, bu tür izinsiz girişlerin gizliliğimize yönelik oluşturduğu riski anlamamıza yardımcı olacaktır.

İnternetin nasıl çalıştığını anlamak

Ortadaki adam saldırısı ilkesini anlamak için önce İnternet'in kendisinin nasıl çalıştığını anlamalısınız. Ana etkileşim noktaları: istemciler, yönlendiriciler, sunucular. İstemci ve sunucu arasındaki en yaygın iletişim protokolü Köprü Metni Aktarım Protokolüdür (HTTP). Bir tarayıcı ile internette gezinme, e-posta, anlık mesajlaşma - hepsi HTTP üzerinden yapılır.

Tarayıcınızın adres çubuğuna yazdığınızda, istemci (siz) sunucuya bir web sayfasını görüntülemek için bir istek gönderir. Paket (HTTP GET isteği) birden çok yönlendirici aracılığıyla sunucuya gönderilir. Sunucu daha sonra istemciye gönderilen ve monitöründe görüntülenen bir web sayfasıyla yanıt verir. Gizliliği ve anonimliği sağlamak için HTTP mesajları güvenli modda iletilmelidir.

Şekil 1. İstemci-sunucu etkileşimi

İletişim protokolünün güvenliğini sağlama

Güvenli bir iletişim protokolü aşağıdaki özelliklerin her birine sahip olmalıdır:

  1. mahremiyet- Yalnızca hedeflenen alıcı mesajı okuyabilir.
  2. özgünlük- etkileşimde bulunan tarafların kimliğinin kanıtlanması.
  3. Bütünlük- mesajın aktarım sırasında değiştirilmediğine dair onay.

Bu kurallardan en az birine uyulmazsa, tüm protokol tehlikeye girer.

HTTP protokolü üzerinden ortadaki adam saldırısı

Saldırgan, ARP sahtekarlığı adı verilen bir teknik kullanarak ortadaki adam saldırısını kolayca gerçekleştirebilir. Wi-Fi ağınızdaki herkes size sahte bir ARP paketi gönderebilir ve tüm trafiğinizi bilmeden yönlendirici yerine bir saldırgan aracılığıyla göndermenize neden olabilir.

Bundan sonra, saldırgan trafik üzerinde tam kontrol sahibi olur ve her iki yönde gönderilen istekleri izleyebilir.

Şekil 2. Ortadaki adam saldırı şeması


Bu tür saldırıları önlemek için HTTP protokolünün güvenli bir sürümü oluşturuldu. Aktarım Katmanı Güvenliği (TLS) ve öncülü Güvenli Yuva Katmanı (SSL), bir ağ üzerinden güvenli iletişim sağlayan kriptografik protokollerdir. Bu nedenle, güvenli protokol HTTPS olarak adlandırılacaktır. Tarayıcınızın adres çubuğuna yazarak güvenli protokolün nasıl çalıştığını görebilirsiniz (https'deki S'ye dikkat edin).

Kötü uygulanmış SSL'ye ortadaki adam saldırısı

Modern SSL, iyi bir şifreleme algoritması kullanır, ancak doğru uygulanmamış olması önemli değildir. Bir bilgisayar korsanı isteğe müdahale edebilirse, istenen URL'den "S" yi kaldırarak ve böylece SSL'yi atlayarak değiştirebilir.

İsteğin bu tür müdahalesi ve değiştirilmesi fark edilebilir. Örneğin, https://login.yahoo.com/ talebinde bulunursanız ve yanıt http://login.yahoo.com/ ise, bu şüphe uyandırmalıdır. Yazma sırasında, böyle bir saldırı aslında Yahoo e-posta hizmetinde çalışır.

Şekil 3. Bir isteği engelleme ve değiştirme


Bu tür bir saldırıyı önlemek için sunucular, HTTPS protokolü üzerinden zorunlu güvenli bir bağlantı uygulayan bir mekanizma olan HTTP Katı Aktarım Güvenliği'ni (HSTS) uygulayabilir. Bu durumda, bir saldırgan URL'den "S"yi kaldırarak isteği değiştirirse, sunucu yine de kullanıcıyı 302 yönlendirmesi ile güvenli bir protokole sahip bir sayfaya yönlendirecektir.

Şekil 4. HSTS operasyon şeması


SSL'yi uygulamanın bu yolu, başka bir saldırı türüne karşı savunmasızdır - saldırgan sunucuya bir SSL bağlantısı oluşturur, ancak kullanıcıyı HTTP kullanması için kandırır.

Şekil 5. HSTS için saldırı şeması


Bu tür saldırıları önlemek için Chrome, Firefox ve Tor gibi modern tarayıcılar, HSTS kullanan siteleri izler ve bunlarla istemci tarafı SSL bağlantısını zorunlu kılar. Bu durumda, ortadaki adam saldırısı gerçekleştiren bir saldırganın, kurbanla bir SSL bağlantısı oluşturması gerekecektir.

Şekil 6. Saldırganın kurbanla SSL bağlantısı kurduğu saldırı şeması


Bir kullanıcıya bir SLL bağlantısının güvenliğini sağlamak için, bir saldırganın nasıl sunucu gibi davranacağını bilmesi gerekir. SSL'nin teknik yönlerini anlayalım.

SSL'yi Anlamak

Bir bilgisayar korsanının bakış açısından, herhangi bir iletişim protokolünden ödün vermek, yukarıda sıralanan bileşenler (gizlilik, özgünlük ve bütünlük) arasında zayıf bir bağlantı bulmak anlamına gelir.

SSL, asimetrik bir şifreleme algoritması kullanır. Simetrik şifrelemede sorun, verileri şifrelemek ve şifresini çözmek için aynı anahtarın kullanılmasıdır, bir saldırgan bu anahtarı izleyebileceği için bu yaklaşım İnternet protokolleri için kabul edilemez.

Asimetrik şifreleme ise her iki taraf için 2 anahtar içerir: şifrelemek için kullanılan genel anahtar ve verilerin şifresini çözmek için kullanılan özel anahtar.

Şekil 7. Genel ve özel anahtarların çalışması

SSL, güvenli iletişim için gereken üç özelliği nasıl sağlar?

  1. Verileri şifrelemek için asimetrik şifreleme kullanıldığından, SSL özel bir bağlantı sağlar. Bu şifrelemenin kırılması ve fark edilmemesi o kadar kolay değil.
  2. Sunucu, istemciye güvenilir bir üçüncü taraf olan bir sertifika yetkilisi tarafından verilen bir SSL sertifikası göndererek meşruiyetini kanıtlar.

Saldırgan bir şekilde sertifikayı ele geçirmeyi başarırsa, ortadaki adam saldırısı için koşullar yaratabilir. Böylece, sunucuyla ve kurbanla olmak üzere 2 bağlantı oluşturacaktır. Bu durumda sunucu, saldırganın normal bir istemci olduğunu düşünür ve kurbanın, sunucu olduğunu kanıtlayan bir sertifika sağladığı için saldırganı tanımlamasının bir yolu yoktur.

Mesajlarınız şifreli biçimde ulaşır ve ulaşır, ancak zincir boyunca siber suçlunun tam kontrole sahip olduğu bilgisayarından geçer.

Şekil 8. Saldırganın sertifikası varsa saldırının şeması


Saldırganın kurbanın tarayıcısının güvenliğini aşma yeteneği varsa sertifikanın sahte olması gerekmez. Bu durumda, varsayılan olarak güvenilecek kendinden imzalı bir sertifika ekleyebilir. Ortadaki adam saldırılarının çoğu bu şekilde uygulanır. Daha karmaşık durumlarda, bilgisayar korsanı diğer yoldan gitmeli - sertifikayı taklit etmelidir.

Sertifika yetkililerinin sorunları

Sunucu tarafından gönderilen sertifika, bir sertifika yetkilisi tarafından verilir ve imzalanır. Her tarayıcının bir güvenilir CA listesi vardır ve bunları ekleyebilir veya kaldırabilirsiniz. Buradaki sorun şu ki, büyük otoriteleri kaldırmaya karar verirseniz, bu otoriteler tarafından imzalanmış sertifikaları kullanan siteleri ziyaret edemezsiniz.

Sertifikalar ve CA'lar her zaman bir HTTPS bağlantısındaki en zayıf halka olmuştur. Her şey doğru uygulanmış olsa ve her sertifika yetkilisinin sağlam bir yetkisi olsa bile, birçok üçüncü kişiye güvenmek zorunda olduğunuzu kabul etmek yine de zor.

Bugün sertifika verebilen 650'den fazla kuruluş var. Saldırgan bunlardan herhangi birini hacklerse, istediği sertifikaları alır.

Yalnızca bir sertifika yetkilisi olan VeriSign olduğunda bile bir sorun vardı - ortadaki adam saldırılarını önlemesi gereken kişiler müdahale hizmetleri satıyorlardı.

Ayrıca, sertifika yetkilileri hacklenerek birçok sertifika oluşturuldu. Saldırıya uğrayan kullanıcıyı sahte sertifikalara güvenmeye zorlamak için çeşitli teknikler ve püf noktaları kullanılmıştır.

kriminalistik

Saldırgan sahte ARP paketleri gönderdiği için IP adresini göremezsiniz. Bunun yerine ağdaki her cihaza özel olan MAC adresine dikkat etmeniz gerekiyor. Yönlendiricinizin MAC adresini biliyorsanız, gerçekten yönlendiriciniz mi yoksa davetsiz misafir mi olduğunu öğrenmek için onu varsayılan ağ geçidinin MAC adresiyle karşılaştırabilirsiniz.

Örneğin, Windows'ta, varsayılan ağ geçidinizin (son satır) IP adresini görmek için komut satırındaki (CMD) ipconfig komutunu kullanabilirsiniz:

Şekil 9 ipconfig Komutunu Kullanma


Ardından, bu ağ geçidinin MAC adresini bulmak için arp -a komutunu kullanın:

Şekil 10. arp –a komutunu kullanma


Ancak, bir saldırıyı fark etmenin başka bir yolu daha vardır - başladığı sırada ağ etkinliğini izliyor ve ARP paketlerini izliyorsanız. Örneğin Wireshark'ı bu amaçla kullanabilirsiniz, bu program varsayılan ağ geçidinin MAC adresi değiştiğinde sizi bilgilendirecektir.

Not: Bir saldırgan MAC adreslerini doğru şekilde taklit ederse, onu izlemek büyük bir sorun haline gelir.

Çözüm

SSL, bir saldırganı bir saldırı gerçekleştirmek için çok fazla iş yapmaya zorlayan bir protokoldür. Ancak sizi devlet destekli saldırılardan veya nitelikli hacker organizasyonlarından korumaz.

Kullanıcının görevi, sahte bir sertifikanın eklenmesini önlemek için tarayıcısını ve bilgisayarını korumaktır (çok yaygın bir teknik). Ayrıca güvenilir sertifikalar listesine de dikkat etmeli ve güvenmediğiniz sertifikaları kaldırmalısınız.

10/18/2016 | Vladimir Khazov

FSB, Haberleşme Bakanlığı ve Sanayi ve Ticaret Bakanlığı'nın Yarovaya Yasası'nın Rus yazışmalarının ele geçirilmesi ve şifresinin çözülmesine ilişkin hükümlerinin uygulanmasına yönelik planları artık sadece plan değil, bir MITM saldırılarını kullanarak WhatsApp, Viber, Facebook Messenger, Telegram, Skype mesajlarını ele geçirme olasılığı ve böyle bir aracın prototipinin gösterimi hakkında uzman görüşü hazırlamak.

Önceki bir makalede "meşru" bir MITM saldırısı düzenleme planı hakkında yazmıştık. Bugün böyle bir saldırının prensibi ve nasıl uygulanacağı üzerinde daha ayrıntılı olarak duracağız.

MITM saldırısı nedir

Ortadaki Adam (MITM), "ortadaki adam" olarak tercüme edilir. Bu terim, bir saldırganın bir İnternet kullanıcısı ile eriştiği uygulama arasında olduğu zaman bir ağ saldırısını ifade eder. Tabii ki fiziksel olarak değil, özel bir yazılım yardımıyla. Kullanıcıya istenen uygulama tarafından sunulur (bir web sitesi veya bir İnternet hizmeti olabilir), onunla çalışmayı taklit eder, normal çalışma ve bilgi alışverişi izlenimi verecek şekilde yapar.

Saldırının hedefi, çeşitli sistemlere giriş bilgileri, banka bilgileri ve kart numaraları, kişisel yazışmalar ve diğer gizli bilgiler gibi kullanıcının kişisel verileridir. Çoğu durumda, finansal uygulamalar (banka müşterileri, çevrimiçi bankalar, ödeme ve para transferi hizmetleri), şirket SaaS hizmetleri, e-ticaret siteleri (çevrimiçi mağazalar) ve sisteme girmek için yetkilendirme gerektiren diğer siteler saldırıya uğrar.

Bir saldırgan tarafından elde edilen bilgiler, yasa dışı para transferleri, hesap değiştirme, kişisel yazışmalara müdahale, masrafları başkasına ait satın almalar, uzlaşma ve şantaj gibi çeşitli amaçlarla kullanılabilir.

Ayrıca, kimlik bilgilerini çaldıktan ve sisteme sızdıktan sonra, suçlular Şirket ağı Fikri mülkiyet (patentler, projeler, veri tabanları) hırsızlığını organize etmeye ve önemli verileri silerek ekonomik zarara yol açmaya yönelik kötü amaçlı yazılımlar.

Bir MITM saldırısı, yazışmalarınızı teslim ederken mektubu açan, içeriğini kişisel kullanım için yeniden yazan, hatta sahte el yazısıyla kendine ait bir şeyler ekleyen ve ardından zarfı mühürleyen ve teslim eden bir postacıya benzetilebilir. muhatap için hiçbir şey olmamış gibi. Ayrıca, mektubun metnini şifrelediyseniz ve şifre çözme kodunu muhatabı kişisel olarak bilgilendirmek istiyorsanız, postacı kendisini muhatap olarak tanıtacak ve böylece ikame olduğunu fark etmeyeceksiniz.

MITM saldırısı nasıl gerçekleştirilir?

Bir MITM saldırısının yürütülmesi iki aşamadan oluşur: müdahale ve şifre çözme.

  • durdurma

Saldırının ilk aşaması, kullanıcıdan amaçlanan hedefe giden trafiği kesmek ve onu saldırganın ağına yönlendirmektir.

Engellemenin en yaygın ve en kolay yolu, bir saldırgan ücretsiz erişimli (şifre ve yetkilendirme olmadan) Wi-Fi noktaları oluşturduğunda pasif bir saldırıdır. Bir kullanıcı böyle bir noktaya bağlandığı anda, saldırgan, içinden geçen tüm trafiğe erişebilir ve müdahale için bu noktadan herhangi bir veriyi çıkarabilir.

İkinci yöntem, aşağıdaki seçeneklerden biri ile gerçekleştirilebilen aktif müdahaledir:

IP sahtekarlığı– paket başlığındaki hedef IP adresinin saldırganın adresiyle değiştirilmesi. Sonuç olarak, kullanıcılar istenen URL'ye gitmek yerine saldırganın sitesine giderler.

ARP sızdırma- ana bilgisayarın gerçek MAC adresinin, kurbanın ARP tablosundaki saldırganın adresiyle değiştirilmesi. Sonuç olarak, kullanıcı tarafından gerekli düğümün IP adresine gönderilen veriler, saldırganın adresine ulaşır.

DNS sahtekarlığı - DNS önbelleğine bulaşma, DNS sunucusuna sızma ve web sitesi adresinin eşleşme kaydının yanıltılması. Sonuç olarak, kullanıcı istenen siteye erişmeye çalışır, ancak saldırganın site adresini DNS sunucusundan alır.

  • şifre çözme

Müdahaleden sonra, iki yönlü SSL trafiğinin şifresi çözülmeli ve bu, kullanıcı ve onun tarafından talep edilen kaynak müdahaleyi fark etmeyecek şekilde yapılmalıdır.

Bunun için birkaç yöntem vardır:

HTTPS sızdırma– HTTPS protokolü aracılığıyla siteye bağlantı kurulduğunda kurbanın tarayıcısına sahte bir sertifika gönderilir. Bu sertifika, güvenliği ihlal edilmiş uygulamanın dijital imzasını içerir ve bu, tarayıcının saldırganla olan bağlantıyı güvenilir olarak kabul etmesine neden olur. Böyle bir bağlantı kurulduğunda, saldırgan, kurban tarafından girilen verilere uygulamaya geçmeden önce erişebilir.

SSL BEAST(SSL/TLS'ye karşı tarayıcı istismarı) – saldırı, TLS 1.0 ve 1.2 sürümlerinde bir SSL güvenlik açığından yararlanır. Kurbanın bilgisayarına, web uygulamasına gönderilen şifreli tanımlama bilgilerini engelleyen kötü amaçlı JavaScript bulaşmıştır. Bu, "şifreli metin blok zincirleme" şifreleme modunu, saldırganın şifresi çözülen çerezleri ve kimlik doğrulama anahtarlarını alacak şekilde tehlikeye atar.

SSL kaçırma– TCP oturumunun başlangıcında kullanıcıya ve uygulamaya sahte kimlik doğrulama anahtarlarının iletilmesi. Bu, aslında "ortadaki adam" oturumun kontrolündeyken, güvenli bir bağlantı görünümü verir.

SSL soyma- Uygulama tarafından kullanıcıya gönderilen TLS kimlik doğrulamasını engelleyerek bağlantıyı güvenli HTTPS'den düz HTTP'ye düşürür. Saldırgan, kullanıcıya siteye şifrelenmemiş erişim sağlarken, kendisi uygulama ile güvenli bir oturum sürdürür ve kurbanın iletilen verilerini görme fırsatı elde eder.\

MITM saldırılarına karşı koruma

MITM saldırılarına karşı güvenilir koruma, kullanıcı birkaç önleyici eylem gerçekleştirdiğinde ve web uygulaması geliştiricileri tarafından şifreleme ve kimlik doğrulama yöntemlerinin bir kombinasyonunu kullandığında mümkündür.

Kullanıcı işlemleri:

  • Parola koruması olmayan Wi-Fi erişim noktalarına bağlanmaktan kaçının. Özelliği devre dışı bırak otomatik bağlantı bilinen erişim noktalarına - bir saldırgan Wi-Fi'sini yasal olarak gizleyebilir.
  • Güvenli olmayan bir siteye geçişle ilgili tarayıcı bildirimine dikkat edin. Böyle bir mesaj, bir saldırganın sahte sitesine yönlendirildiğinizi veya meşru bir sitenin korunmasıyla ilgili sorunlar olduğunu gösterebilir.
  • Kullanımda değilse, uygulama ile oturumu sonlandırın (oturum kapatın).
  • Gizli işlemler için genel ağları (kafe, park, otel vb.) kullanmayın ( İş yazışmaları, finansal işlemler, çevrimiçi mağazalardan satın alma vb.).
  • Bilgisayarınızda veya dizüstü bilgisayarınızda güncel bir virüsten koruma yazılımı kullanın, kötü amaçlı yazılım kullanan saldırılara karşı korunmanıza yardımcı olur.

Web uygulamalarının ve web sitelerinin geliştiricileri, iletilen verileri şifreleyerek sızdırma saldırılarını büyük ölçüde karmaşıklaştıran TLS ve HTTPS güvenli protokollerini kullanmalıdır. Ayrıca kullanımları, yetkilendirme parametreleri ve erişim anahtarları elde etmek için trafiğin kesilmesini önler.

TLS ve HTTPS'yi yalnızca yetkilendirme sayfaları için değil, sitenin diğer tüm bölümleri için de korumak iyi bir uygulama olarak kabul edilir. Bu, bir saldırganın oturum açtıktan sonra güvenli olmayan sayfalarda gezinirken kullanıcının çerezlerini çalma şansını azaltır.

MITM saldırılarına karşı koruma, kullanıcının ve telekom operatörünün sorumluluğundadır. Kullanıcı için en önemli şey, uyanıklığı kaybetmemek, yalnızca İnternet'e erişmek için kanıtlanmış yöntemleri kullanmak ve kişisel verileri aktarmak için HTTPS şifrelemeli siteleri seçmektir. Telekom operatörlerine, veri ağlarındaki anormallikleri tespit etmek ve spoofing saldırılarını önlemek için Derin Paket Denetimi (DPI) sistemlerini kullanmaları önerilebilir.

Devlet kurumları MITM saldırısını saldırganların aksine vatandaşları korumak ve zarar vermemek için kullanmayı planlıyor. Kişisel mesajların ve diğer kullanıcı trafiğinin ele geçirilmesi, yürürlükteki mevzuat çerçevesinde yürütülmekte olup, terör, uyuşturucu kaçakçılığı ve diğer yasaklanmış faaliyetlerle mücadele amacıyla yargı mercilerinin kararı ile gerçekleştirilmektedir. Sıradan kullanıcılar için "meşru" MITM saldırıları tehlikeli değildir.

İstediğiniz sonucu hemen hemen her zaman çeşitli şekillerde elde edebilirsiniz. Bu aynı zamanda bilgi güvenliği alanı için de geçerlidir. Bazen, hedefe ulaşmak için kaba, bağımsız olarak delikler arayabilir ve boşluklar geliştirebilir veya ağ üzerinden iletilenleri dinleyebilirsiniz. Ve son seçenekçoğu zaman optimaldir. Bu nedenle bugün, bunun için MITM saldırılarını kullanarak ağ trafiğinden bizim için değerli bilgileri yakalamamıza yardımcı olacak araçlardan bahsedeceğiz.

MITMf

En ilginç adaylardan biriyle başlayalım. Bu, sergio-proxy'nin üzerine inşa edilmiş, ortadaki adam saldırıları için eksiksiz bir çerçevedir. Son zamanlarda Kali Linux'a dahil edildi. Kendiniz kurmak için depoyu klonlayın ve birkaç komut çalıştırın:

# setup.sh # pip kurulumu -r gereksinimleri.txt

# pip kurulumu -r gereksinimleri.txt

Eklentilerle genişletilebilen bir mimariye sahiptir. Ana olanlar arasında şunlar vardır:

  • Sahtekarlık - ARP / DHCP sahtekarlığı kullanarak trafiği yeniden yönlendirmenize, ICMP yönlendirmelerine ve DNS sorgularını değiştirmenize olanak tanır;
  • Sniffer - bu eklenti, çeşitli protokoller için oturum açma girişimlerini izler;
  • BeEFAutorun - işletim sistemi ve istemci tarayıcısının türüne göre BeEF modüllerini otomatik olarak çalıştırmanıza izin verir;
  • AppCachePoison - bir önbellek zehirlenmesi saldırısı gerçekleştirir;
  • SessionHijacking - oturumları ele geçirir ve alınan çerezleri firelis profiline kaydeder;
  • BrowserProfiler - tarayıcı tarafından kullanılan eklentilerin bir listesini almaya çalışır;
  • FilePwn - Backdoor Factory ve BDFProxy kullanarak HTTP üzerinden gönderilen dosyaları değiştirmenize olanak tanır;
  • Inject - bir HTML sayfasına rastgele içerik enjekte eder;
  • jskeylogger - İstemci sayfalarına bir JavaScript keylogger enjekte eder.

Bu işlevsellik sizin için yeterli değilse, uygun uzantıyı uygulayarak her zaman kendinizinkini ekleyebilirsiniz.

macun sürücüsü

Dikkate değer başka bir yardımcı program. Doğru, bugün düşünülen diğer tüm araçların aksine, çok dar bir şekilde uzmanlaşmıştır. Projenin yazarının kendisinin dediği gibi, penetrasyon testleri sırasında en önemli verilerin yöneticilerin SSH / Telnet / rlogin aracılığıyla bağlandığı Linux / UNIX sunucularında bulunması gerçeğinden ilham aldı. Ve çoğu durumda, yöneticilerin makinesine erişmek, hedef sunucuya erişmekten çok daha kolaydı. Sistem yöneticisinin makinesine sızdıktan sonra geriye kalan tek şey PuTTY'nin çalıştığından emin olmak ve bu aracı saldırgana karşı bir ters köprü oluşturmak için kullanmaktır.

Yardımcı program, yalnızca yönetici ve yönetici arasındaki "iletişimin" koklanmasına izin vermez. uzak sunucu(şifreler dahil), aynı zamanda belirli bir oturumda rastgele kabuk komutları da yürütür. Ve tüm bunlar kullanıcı (yönetici) için kesinlikle şeffaf bir şekilde gerçekleşecek. PuTTY sürecinin uygulanmasının nasıl uygulandığı gibi teknik detaylarla ilgileniyorsanız, yazarın sunumunu okumanızı tavsiye ederim.

Sekiz yıldan daha uzun bir süre önce doğmuş oldukça eski bir yardımcı program. Çerezleri çalarak oturumları klonlamak için tasarlanmıştır. Oturum ele geçirme için, ana bilgisayarları algılamak için temel becerilere sahiptir (açık bir ağa bağlanma durumunda Kablosuz ağ veya habu) ve ARP zehirlenmesi gerçekleştirin. Tek sorun, bugün, sekiz yıl öncesinin aksine, Yahoo veya Facebook gibi neredeyse tüm büyük şirketlerin SSL şifrelemesi kullanması, bu da bu aracı tamamen işe yaramaz hale getiriyor. Buna rağmen, Web'de hala SSL kullanmayan yeterli kaynak var, bu yüzden yardımcı programı silmek için çok erken. Avantajları, Firefox'a otomatik olarak entegre olması ve ele geçirilen her oturum için ayrı bir profil oluşturmasıdır. Kaynak depoda mevcuttur ve aşağıdaki komut dizisini kullanarak kendiniz oluşturabilirsiniz:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip oturum hırsızı

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev

# g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp

# setcap cap_net_raw,cap_net_admin=eip oturum hırsızı

Proxy Fuzz'ı

ProzyFuzz'ın MITM saldırılarıyla doğrudan ilgisi yoktur. Adından da anlaşılacağı gibi, araç fuzzing için tasarlanmıştır. Bu, ağ trafiği paketlerinin içeriğini rastgele değiştiren python'da uygulanan küçük, deterministik olmayan bir ağ fuzzeridir. TCP ve UDP protokollerini destekler. Yalnızca bir tarafı bulanıklaştıracak şekilde yapılandırılabilir. Bazı ağ uygulamalarını (veya protokollerini) hızlı bir şekilde test etmeniz ve bir PoC geliştirmeniz gerektiğinde kullanışlıdır. Kullanım örneği:

Python proxyfuzz -l -r -p

piton proxyfuzz -l -r -p

Seçenekler listesi şunları içerir:

  • w - fuzzing başlamadan önce gönderilen isteklerin sayısını ayarlar;
  • c - yalnızca müşteriyi bulanıklaştırır (aksi takdirde her iki taraf);
  • s - yalnızca sunucuyu bulanıklaştırır (aksi takdirde her iki taraf);
  • u - UDP protokolü (aksi takdirde TCP kullanılır).

arabulucu

DEF CON konferansında sunuldu, çeşitli protokollerde MITM saldırılarını gerçekleştirmek için bir yardımcı program. Alfa sürümü, HTTP protokolünü destekledi ve cephaneliğinde üç harika eklenti vardı:

  • plugin-beef.py - Yerel ağdan gelen herhangi bir HTTP isteğine Tarayıcı Sömürü Çerçevesini (BeEF) enjekte eder;
  • plugin-metasploit.py - şifrelenmemiş (HTTP) isteklerine enjekte eder, Metasploit'ten tarayıcı açıklarını yükleyen bir IFRAME ister;
  • plugin-keylogger.py - HTTPS üzerinden gönderilecek tüm metin alanları için bir JavaScript onKeyPress olay işleyicisi enjekte ederek, tarayıcının tüm form gönderilmeden önce kullanıcının parolasını karakter karakter saldırganın sunucusuna göndermesine neden olur.

Middler, yalnızca ağ trafiğini otomatik olarak analiz etmekle ve içindeki çerezleri bulmakla kalmaz, aynı zamanda bunları istemciden bağımsız olarak talep eder, yani süreç maksimuma kadar otomatikleştirilir. Program, tüm korumasız hesapların toplanmasını garanti eder. bilgisayar ağı(veya genel erişim noktası) trafiğine erişimi vardır. Programın düzgün çalışması için sistemde şu paketlerin kurulu olması gerekir: Scapy, libpcap, readline, libdnet, python-netfilter. Ne yazık ki, depo uzun süredir güncellenmedi, bu nedenle kendiniz yeni işlevler eklemeniz gerekecek.

HTTP trafiğini etkileşimli olarak incelemenizi ve değiştirmenizi sağlayan bir konsol yardımcı programı. Bu tür beceriler sayesinde, yardımcı program yalnızca penetrasyon test cihazları / bilgisayar korsanları tarafından değil, aynı zamanda örneğin web uygulamalarında hata ayıklamak için kullanan sıradan geliştiriciler tarafından da kullanılır. Uygulamanın hangi istekleri yaptığı ve hangi yanıtları aldığı hakkında ayrıntılı bilgi almak için kullanılabilir. Ayrıca mitmproxy, bazı REST API'lerinin, özellikle de yetersiz belgelenmiş olanların nasıl çalıştığını öğrenmenize yardımcı olabilir.

Kurulum son derece basittir:

$ sudo yetenek yükleme mitmproxy

Mitmproxy'nin istemciye kendinden imzalı bir sertifika vererek HTTPS trafiğini engellemenize de izin verdiğini belirtmekte fayda var. Trafik durdurma ve değiştirmenin nasıl kurulacağına dair iyi bir örnek bulunabilir.

koku

Eh, bu yardımcı program genellikle duyar duymaz akla gelmesi gereken ilk şeylerden biridir.
"MITM saldırısı". Araç oldukça eski, ancak aktif olarak güncellenmeye devam ediyor, bu da iyi bir haber. Yetenekleri hakkında ayrıntılı olarak konuşmak mantıklı değil, varlığının on dört yılı boyunca ağda bir kereden fazla ele alındı. Örneğin, bunun gibi bir kılavuzda:

veya web sitemizdeki talimatlar:

Son olarak..

Her zamanki gibi, tüm yardımcı programları değil, yalnızca en popüler olanları düşündük, bir gün hakkında konuşabileceğimiz hala az bilinen birçok proje var. Gördüğünüz gibi, MITM saldırılarını gerçekleştirmek için araç sıkıntısı yok ve çok sık olmayan, harika araçlardan biri Windows altında uygulanıyor. Nix sistemleri hakkında söylenecek bir şey yok - çok çeşitli. Sanırım her zaman doğru kaçırma aracını bulabilirsin.
başkasının kimlik bilgileri. Oops, yani test amaçlı.

Saldırı "ortadaki adam" (İng. Ortadaki adam, MitM-saldırı) - kriptografide bir terim, bir saldırganın muhabirler tarafından değiştirilen mesajları istediği gibi okuyabildiği ve değiştirebildiği ve ikincisinin hiçbirinin yapamadığı bir durumu ifade eder. kanaldaki varlığını tahmin edin.

Karşı taraflar arasındaki bir kanala bağlanan bir saldırganın, aktif olarak iletim protokolüne müdahale ederek, bilgileri silerek, çarpıtarak veya yanlış bilgiler empoze ettiği bir iletişim kanalını tehlikeye atma yöntemi.

Saldırı prensibi:

Diyelim ki "A" nesnesi "B" nesnesine bazı bilgiler göndermeyi planlıyor. "C" nesnesi, kullanılan veri iletim yönteminin yapısı ve özelliklerinin yanı sıra "C"nin engellemeyi planladığı asıl bilginin planlı iletimi hakkında bilgi sahibidir.

Bir saldırı gerçekleştirmek için "C", "A" nesnesine "B" olarak ve "B" nesnesine "A" olarak "temsil edilir". "A" nesnesi, yanlışlıkla "B"ye bilgi gönderdiğine inanarak, "C" nesnesine gönderir.

Bilgiyi almış ve onunla bazı eylemler gerçekleştirmiş (örneğin, kendi amaçları için kopyalamak veya değiştirmek) "C" nesnesi, verileri alıcının kendisine gönderir - "B"; "B" nesnesi, bilginin kendisi tarafından doğrudan "A" dan alındığına inanıyor.

MitM saldırısına bir örnek:

Alice'in mali sıkıntısı olduğunu ve bir anlık mesajlaşma programı kullanarak John'dan bir mesaj göndererek bir miktar para istemeye karar verdiğini varsayalım:
Alice: John, merhaba!
Alice: Lütfen şifreleme anahtarını gönderin, küçük bir istek var!
John: Merhaba! Bir saniye bekle!

Ancak bu sırada, bir sniffer ile trafiği analiz ederken bu mesajı fark eden Bay X, "şifreleme anahtarı" kelimeleri merak uyandırdı. Bu nedenle, aşağıdaki mesajları engellemeye ve bunları ihtiyaç duyduğu verilerle değiştirmeye karar verdi ve aşağıdaki mesajı aldığında:
John: İşte anahtarım: 1111_D

John'un anahtarını kendi anahtarıyla değiştirdi ve Alice'e bir mesaj gönderdi:
John: İşte anahtarım: 6666_M

Alice, habersiz ve bunun John'un anahtarı olduğunu düşünerek özel anahtarı kullanıyor 6666_M, John'a şifreli mesajlar gönderir:
Alice: John, başım belada ve acilen paraya ihtiyacım var, lütfen hesabıma 300$ aktarın: Z12345. Teşekkürler. not Anahtarım: 2222_A

Mister-X mesajı aldıktan sonra anahtarıyla şifresini çözer, okur ve sevinerek Alice'in hesap numarasını ve şifreleme anahtarını kendi şifresiyle değiştirir, mesajı anahtarla şifreler. 1111_D, ve John'a bir mesaj gönderir:
Alice: John, sorunlarım var ve acilen paraya ihtiyacım var, lütfen hesabıma 300$ aktarın: Z67890. Teşekkürler. not Anahtarım: 6666_A

John mesajı aldıktan sonra anahtarı kullanarak şifresini çözer. 1111_D, ve hiç şüphesiz, hesaba para aktaracak Z67890...

Ve böylece Bay X, ortadaki adam saldırısını kullanarak 300 dolar kazandı, ama Alice şimdi parayı almadığını açıklamak zorunda... Ya John? John, Alice'e onları kendisinin gönderdiğini kanıtlamak zorundadır...

Uygulama:

Bazı yazılım ürünlerinde ağı dinlemek için benzer bir saldırı türü kullanılır, örneğin:
NetStumbler- kablosuz ağ hakkında birçok yararlı veri toplayabileceğiniz ve çalışmasıyla ilgili bazı sorunları çözebileceğiniz bir program. NetStumbler, ağın menzilini belirlemenize ve uzun mesafelerde iletişim için anteni doğru bir şekilde yönlendirmenize yardımcı olur. Bulunan her erişim noktası için MAC adresini, sinyal-gürültü oranını, hizmetin adını ve güvenlik derecesini öğrenebilirsiniz. Trafik şifrelenmemişse, programın yetkisiz bağlantıları tespit etme yeteneği faydalı olacaktır.

dsniff- ağ denetimi ve sızma kontrolleri için bir dizi programdır, ilgilenilen verileri (parolalar, e-posta adresleri, dosyalar, vb.) aramak için pasif ağ izleme sağlar, normalde analiz için erişilemeyen ağ trafiğine müdahale eder (örneğin , anahtarlamalı bir ağda) ve ayrıca PKI'nın eksikliklerinden yararlanarak SSH ve HTTPS oturumlarını engellemek için MITM saldırıları düzenleme olasılığı.

Kabil ve Habil- için kayıp şifreleri kurtarmanıza izin veren ücretsiz bir program işletim sistemleri Windows ailesi. Birkaç kurtarma modu desteklenir: kaba kuvvetle kaba kuvvet kırma, sözlük seçimi, yıldızlarla gizlenmiş parolaları görüntüleme vb. Bilgi paketlerini ve sonraki analizlerini ele geçirerek, ağ konuşmalarını kaydederek, önbellek analizini ve diğerlerini yaparak parola algılama seçenekleri de vardır.

Ettercap- yerel Ethernet ağları için birçok protokolün aktif ve pasif analizini destekleyen, ayrıca kendi verilerini mevcut bir bağlantıya "atlayan" ve bağlantının senkronizasyonunu bozmadan "anında" filtreleyen bir dinleyici, paket önleyici ve kayıt kuruluşudur. . Program, SSH1, HTTPS ve diğer güvenli protokolleri engellemenize izin verir ve aşağıdaki protokoller için şifrelerin şifresini çözme yeteneği sağlar: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, YARIM ÖMÜR, QUAKE 3, MSN, YMSG.

KARMA- kablosuz istemcilerin güvenliğini değerlendirmek için bir dizi yardımcı program, 802.11 Prob İsteği çerçevelerini pasif olarak dinleyerek istemcileri ve tercih ettikleri / güvenilen ağları keşfetmenizi sağlayan kablosuz bir dinleyicidir. Ardından, istenen ağlardan biri için otomatik olarak bağlanabileceği sahte bir erişim noktası oluşturulabilir. Üst düzey sahte hizmetler, kişisel verileri çalmak veya ana bilgisayardaki istemci tarafı güvenlik açıklarından yararlanmak için kullanılabilir.

hava girişi- WiFi korsanlığı alanındaki uzmanlara göre bir dizi program en iyi araççeşitli 802.11 çerçeveleri oluşturmak için. AirJack, gizli bir ESSID'yi algılamak, sahte bir MAC ile oturum sonlandırma çerçeveleri göndermek, MitM saldırıları yürütmek ve değiştirmek için tasarlanmış bir dizi yardımcı program içerir.

Muhalefet:

Bu tür saldırılardan kaçınmak için "A" ve "B" abonelerinin ortak şifreleme anahtarlarının dijital imzalarını güvenilir bir kanal kullanarak birbirlerine aktarmaları yeterlidir. Ardından, şifreleme oturumlarında anahtar imzaları karşılaştırılırken, verilerin hangi anahtarla şifrelendiği ve anahtarların sahte olup olmadığı belirlenebilecek.