Человек посередине (Man in the Middle)
Главная » Угрозы информационной безопасности » Несанкционированный доступ » Перехват данных по сети

Человек посередине (Man in the Middle)

Человек посередине (Man in the Middle, MITM, атака посредника) вид атаки, при совершении которой преступник выступает в роли «посредника» при передаче информации между пользователями, получает контроль над трафиком, отслеживает запросы, посылаемые в обе стороны, и/или изменяет связь между ними. Атака является одной из многочисленных методик дискредитации канала связи, при которой злоумышленник внедряется в канал, вмешивается в протокол передачи, удаляет и/или искажает информацию, которой обмениваются пользователи.

Жертва атаки убеждена, что обменивается данными непосредственно, например, с банком, но фактически трафик при этом проходит через вычислительные мощности преступника, которому удается получить конфиденциальные банковские сведения.

Осуществляя атаку MITM, злоумышленники преследуют следующие цели:

  • хищение средств;
  • перенаправление пользователя на вредоносный интернет-ресурс;
  • сбор информации с целью её использования в компрометирующих целях.

Сценарии атак «человек посередине»:

  • Использование маршрутизатора Wi-Fi как средства перехвата запросов пользователя.
  • Поиск уязвимостей в настройках или шифровании легальной сети, их последующее использование для получения данных жертв и слежения за ними.
  • Осуществление атаки «человек в браузере» путем внедрения вредоносного кода, который работает внутри браузера жертвы и производит запись всех данных, передаваемых пользователем на различные сайты, а затем отправляет эти данные злоумышленнику.
  • Принуждение пользователя к применению менее надежных протоколов и функций, которые до сих пор поддерживаются устройством по принципу совместимости (Downgrade Attack).

Обнаружение атаки:

  • Чтобы выявить потенциальную атаку, взаимодействующие пользователи могут проверить несовпадения во времени ответа. Увеличенное время ответа одного из пользователей может указывать на то, что в коммуникацию вмешался посторонний.
  • Также полезен мониторинг сетевого трафика, при этом нужно обратить особое внимание на DNS-сервер, X.509-сертификат сервера и его IP-адрес.

Защита от атаки:

  • Не использовать общественные сети Wi-Fi, поскольку они не защищены и не ограничены в доступе. В них не контролируется трафик, а следовательно, с ним можно делать все что угодно, пока он не достигнет маршрутизатора.
  • Использовать статические ARP-таблицы для защиты сети от посторонних пользователей и злоумышленников.
  • Обратить внимание на MAC-адрес. У каждого устройства в сети он индивидуален. Знание MAC-адреса собственного маршрутизатора позволяет сравнить его с МАС-адресом шлюза по умолчанию, чтобы определить, принадлежит ли маршрутизатор злоумышленнику.
Инциденты
Таинственная группировка захватила четверть выходных узлов Tor
Инциденты
Старый протокол GTP — причина уязвимости сетей 5G

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.