Vahendajarünne
Vahendajarünne (ingl Man-in-the-middle attack, MITM) on andmeturbe mõiste, mis tähendab rünnakut, kus kahe otspunkti vahelist ühendust kontrollib pahatahtlik kasutaja, kellel on võimalik otspunktide vahel saadetavaid andmeid muuta. Krüptograafias ja IT turvalisuses on vahendajarünnak rünnakuliik kus ründaja eesmärgipõhiselt vahendab ja mõnel juhul muudab, kahe kasutaja vahelist vestlust. Ründaja eesmärk on saada teada kasutajate paroolid või muu privaatne informatsioon. [1]
Selline rünnak võib toimuda kahel erineval kujul: pealtkuulamine või manipuleerimine. Pealtkuulamise korral suudab pahatahtlik kasutaja lugeda kahe otspunkti vahel liikuvat informatsiooni, mis võimaldab seda salvestada ja analüüsida. Manipuleerimise korral suudab ründaja lisaks kuulamisele, ohvrina esinedes, andmeid muuta ning edastada. Selleks et vahendajarünnakut teostada on vaja ligipääsu võrgule, mida mööda andmeid edastatakse, seda saab teostada ühendust pealt kuulates või andmevoo pahatahtlikust masinast läbi suunates. [2]
Tavaliselt teostatakse vaheründajarünnakut finantsasutuste ning veebipõhiste teenusepakkujate vastu. Enamasti üritatakse saada ligipääs kasutajate sisselogimisinformatsioonile. [3]
Rünnakut aitab ära hoida korrektne küberhügieen ning erinevad võrguturvalisust pakkuvad tarkvaralahendused. Krüpteeritud andmeside kasutamine ja tundmatutesse võrkudesse mitte ühendamine on ühed kõige kindlamad viisid rünnakust hoidumiseks. [4]
Pealt kuulamise viisid
[muuda | muuda lähteteksti]Juhtmega võrk
[muuda | muuda lähteteksti]Juhtmega võrgu pealt kuulamiseks füüsilist ligipääsu kaablitele, mida pealt kuulata, et paigaldada seade mis andmeid pealt kuulab. Eksisteerib kahte liiki seadmeid mida pealt kuulamiseks kasutatakse: passiivsed ja aktiivsed. Passiivsetel seadmetel pole vaja eraldiseisvat toidet, optilise kaabli puhul jagatakse andmeid kandev laserkiir kaheks. Passiivse seadme puhul on loetakse andmed ning väljuvat signaali võimendatakse, kuid seadme rikke korral katkeb ühendus mõlema otspunkti vahel. [5]
Juhtmevaba võrk
[muuda | muuda lähteteksti]Juhtmevaba võrgu korral piisab ründajal kuulata õhus levivaid raadiolaineid. [6] Wifi võrkude populaarsus toob kaasa võimaluse ründajal seada püsti võlts võrk, eesmärgiga meelitada kasutajad seda kasutama. Näiteks luues päris wifi võrgule sarnase nimega alternatiivne võrk, saab tekitada olukorra kus kasutajad ühendavad ennast pahatahtliku ühendusega. [7]
Rünnakutüübid
[muuda | muuda lähteteksti]IP võltsimine
[muuda | muuda lähteteksti]IP võltsimise korral esitavad ründajad ennast vale IP aadressiga ning seeläbi üritavad kasutajat suunata pahatahtlikule otspunktile, et kasutaja suhtlust pealt kuulata. [8]
HTTPS võltsimine
[muuda | muuda lähteteksti]HTTPS protokolli kasutatakse, et kinnitada veebilehe autentsus ning turvalisus. Selle rünnaku korral üritatakse kasutaja veebilehitsejale jätta mulje, et HTTPS protokoll on jõus ning veebileht on turvaline, kuigi tegelikult on kasutusel kompromiteeritud veebileht. [8]
DNS võltsimine
[muuda | muuda lähteteksti]DNS (Domain Name System) vastutab domeeninimede IP aadressiteks tõlkimise eest. Seda kasutatakse, et kasutajad saaksid veebilehtedele ligi pääseda kasutades lihtsasti meeldejäävaid domeeninimesid. Rünnak seiseneb võrguliikluse pahatahtlikule IP aadressile suunamisest ning seeläbi andmevoo pealtkuulamises. [8]
SSL kaaperdamine
[muuda | muuda lähteteksti]SSL protokolli kasutatakse võrguliikluse krüpteerimiseks. Sellisel juhul pole võimalik kolmandatel osapooltel andmeid dekrüpteerida ja kasutada. Rünnak põhineb SSL sertifikaatide vargusel, mis võimaldab andmed dekrüpteerida. [8]
Veebilehitseja küpsiste vargus
[muuda | muuda lähteteksti]Veebilehitseja kasutab küpsiseid, et hoida veebisessiooni andmeid. See tagab kasutajale mugavuse, sest puudub vajadus iga kord ennast autentida. Juhul kui pahatahtlik osapool suudab küpsised varastada, on tal võimalik kasutajana esinedes veebilehtedele siseneda. [8]
Vahendajaründe ära hoidmine
[muuda | muuda lähteteksti]Autentimine
[muuda | muuda lähteteksti]Vahendajarünnaku ära hoidmiseks on võimalik kasutada autentimist. See tähendab, et otspunktid tõestavad kes nad on. Autentimiseks kasutatakse digitaalset sertifikaati mis on krüptograafilise võtmega kinnitatud. Kui sertifikaadid on turvaliselt hoitud siis ei ole ründajal võimalik neid võltsida ning edastatavat sõnumit muuta. Kui suhtlus pole krüpteeritud on siiski võimalik andmevoogu lugeda ja analüüsida, kuid mitte muuta. [9]
Krüpteerimine
[muuda | muuda lähteteksti]Juhul kui mõlema otspunkti vaheline andmeedastus toimub krüpteeritult ei ole ründaja jaoks pealt kuulatav informatsioon väärtuslik, sest andmed tuleb analüüsimiseks esmalt dekrüpteerida. [1]
Forensiline analüüs
[muuda | muuda lähteteksti]Üks viis rünnakute ära hoidmiseks on võrguliikluse analüüsimine. Latentsi uurimine on võrguliikluse ajatemplite uurimine, mis võimaldab hinnata kas võrguliiklust on kahe otspunkti vahel häiritud. Samuti on kasulik uurida pakettide päiseid ning erinevaid anomaaliaid võrguliikluses. Nimetatud lahendused on kasutusel paljudes võrguturvalisust pakkuvates tarkvaralahendustes. [10]
SSL inspektsioon
[muuda | muuda lähteteksti]Paljud ettevõtted kasutavad võrguliikluse jälgimiseks SSL inspektsiooni. Sarnaselt vaherünnakule kuulatakse kahe otspunkti vahelist võrguliiklust pealt, kuid sel juhul on eesmärgiks andmelekke ära hoidmine, mitte andmevargus. Selle eesmärk on krüpteeritud andmete analüüsimine, et vältida firma saladuste lekkimine ning peidetud pahavara levik. [11]
Märkimisväärsed näited
[muuda | muuda lähteteksti]Esimene dokumenteeritud vahendajarünnak
[muuda | muuda lähteteksti]Esimene dokumenteeritud vahendajarünnak toimus enne interneti kasutuselevõttu. Raadio leiutaja, Guglielmo Marconi, demostreeris raadioside ühendust kui Mr. Maskelyne seda pealt kuulas ning oma raadiosaatjaga Marconi pähe edastas. [8]
Equifax andmeleke
[muuda | muuda lähteteksti]2017 aastal teatas finantsettevõte Equifax andmelekkest, mis hõlmas ligi 143 miljonit ameeriklast [12]. Ründajad kasutasid viga koodi alusraamistikus (CVE-2017-5638) ning said ligipääsu ettevõtte andmebaasidele ja kasutajate andmetele [13]. Ründajad kasutasid saadud andmeid, et juhatada kasutajad pahaaimamatult ründajate veebilehele, kus kasutajate andmevoogu pealt kuulati [12].
GCHQ ja NSA andmesidekaablite pealtkuulamine
[muuda | muuda lähteteksti]Edward Snowdeni andmelekked paljastasid GCHQ ja NSA massiivse pealtkuulamiskampaania. GCHQ paigaldas pealtkuulamisseadmed transatlantiliste fiiberoptiliste kaablite külge, mis võimaldas koguda andmeid telefonikõnede, emailide ning internetiliikluse kohta. Operatsioon kandis nime Tempora ning salvestatud andmeid hoiti kuni 30 päeva, et neid selle aja jooksul analüüsida. Operatsiooni viidi läbi terrorivastase võitluse ettekäändel, kuid selle legaalsus on siiani kahtluse all. [14]
Märkmed
[muuda | muuda lähteteksti]- ↑ 1,0 1,1 Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019), p. 85.
- ↑ Potter 2002, Man-in-the-Middle Attacks
- ↑ Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019), p. 77.
- ↑ Magnusson, A. (2023, July 19). Man-in-the-middle (MITM) attack, How to Prevent Man-in-the-Middle Attacks
- ↑ Understanding network TAPs
- ↑ Potter 2002, Man-in-the-Middle Attacks, Eavesdropping
- ↑ What is a man in the middle attack? (2023, November 24). Snyk Learn. Man-in-the-middle in action
- ↑ 8,0 8,1 8,2 8,3 8,4 8,5 Georgescu, E. (2021, August 27). Man-in-the-Middle attack
- ↑ Sullivan, B., & Liu, V. Authentication Fundamentals
- ↑ Kasam, A. (2023, February 15)
- ↑ What is SSL inspection?
- ↑ 12,0 12,1 Magnusson, A. (2023, July 19). Equifax website spoofing compromises millions of users
- ↑ Fruhlinger, J. (2020, February 12). Equifax data breach FAQ, When did the Equifax breach happen?
- ↑ MacAskill, E., Borger, J., Hopkins, N., Davies, N., & Ball, J. (2013, June 21). GCHQ taps fibre-optic cables for secret access to world’s communications
Viited
[muuda | muuda lähteteksti]- Potter, B., & Fleck, B. (2002). 802.11 security (First Edition). “O’Reilly Media, Inc.”
- Understanding network TAPs – the first step to visibility. (n.d.). Gigamon.com. Retrieved January 15, 2024, from https://www.gigamon.com/resources/resource-library/white-paper/understanding-network-taps-first-step-to-visibility.html
- Sullivan, B., & Liu, V. (2011). Web application security, A Beginner’s Guide. McGraw Hill Professional.
- Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019). Man-in-the-middle-attack: Understanding in simple words. 3. 77-92. 10.5267/j.ijdns.2019.1.001.
- Fruhlinger, J. (2020, February 12). Equifax data breach FAQ: What happened, who was affected, what was the impact? CSO Online. https://www.csoonline.com/article/567833/equifax-data-breach-faq-what-happened-who-was-affected-what-was-the-impact.html
- Magnusson, A. (2023, July 19). Man-in-the-middle (MITM) attack: Definition, examples & more. Strongdm.com. https://www.strongdm.com/blog/man-in-the-middle-attack
- MacAskill, E., Borger, J., Hopkins, N., Davies, N., & Ball, J. (2013, June 21). GCHQ taps fibre-optic cables for secret access to world’s communications. The Guardian. https://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa
- Georgescu, E. (2021, August 27). Man-in-the-Middle attack: Definition, examples, prevention. Heimdal Security Blog; Heimdal Security. https://heimdalsecurity.com/blog/man-in-the-middle-mitm-attack/
- What is SSL inspection? (n.d.). Zscaler. Retrieved January 15, 2024, from https://www.zscaler.com/resources/security-terms-glossary/what-is-ssl-inspection
- What is a man in the middle attack? (2023, November 24). Snyk Learn. https://learn.snyk.io/lesson/man-in-the-middle-attack/
- Kasam, A. (2023, February 15). Detection and prevention of man-in-the-middle (MITM) attacks. ITSecurityWire. https://itsecuritywire.com/featured/detection-and-prevention-of-man-in-the-middle-attacks/