Komerční článek

MAN IN THE MIDDLE – MITM

Podstatou tohoto útoku je získávání informací pomocí odposlechu, přičemž útočník se stává v komunikaci prostředníkem, což mu umožňuje informace nejen získat, ale i s nimi manipulovat a následně podstrčit změněnou informaci.

Při tomto útoku stejně jako při phishingu může útočník oběti podstrčit škodlivý kód, kterým získá přístup do nějakého systému, nějaké citlivé informace nebo může získat informace potřebné k nadcházejícímu útoku, například emailovou adresu či jméno zájmové osoby pro připravovaný spear-phishingový útok.

Útočník je sice z definice útoku uprostřed komunikace, nicméně fyzicky může zcela mimo tuto cestu a síťový provoz přesměrovat přes sebe.

MUŽ UPROSTŘED

Na obrázku níže je vidět velmi zjednodušeně, jak útok probíhá.

Útočník vstoupí do komunikace mezi 2 koncovými body a odposlouchává / mění komunikaci mezi nimi.

K odposlechu mezi uživateli dochází zpravidla bez vědomí uživatelů, a to za použití falešných SSL certifikátů. Zatímco si oba koncové body myslí, že komunikují bezpečně pouze mezi sebou, jelikož disponují důvěryhodným certifikátem, útočník jim podvrhl jeho certifikát a celou jejich komunikaci s ním dešifruje, čímž může ukládat či měnit její obsah. Zpět k oběti odesílá zašifrovaná data a ta se nedozví, že byla kompromitována.

Na podobném principu fungují i filtrování HTTPS komunikace, antiviry a podobně, jelikož jinak by nebylo možné, aby bezpečnostní programy do těchto šifrovaných komunikací zasahovaly. V tomto směru bych zmínil například kauzu Superfish z dílny Lenovo nebo kauzu eDellroot z dílny Dell, kdy výrobce na prodávané notebooky instaloval kořenový certifikát a umístil zde i svůj privátní klíč, což při zneužití umožňovalo podepisování kódu s malware.

Problém by se dalo zdánlivě vyřešit komunikací za pomoci veřejných klíčů pro šifrování a dešifrování dat, i zde ovšem najdeme slabý bod. Pokud si dva uživatelé pošlou své veřejné klíče přes nezabezpečený kanál, útočník může tyto klíče zachytit a zaměnit za svůj klíč. To znamená, že si uživatelé budou myslet, že komunikují bezpečně, zatímco útočník je celou dobu odposlouchává. Uživatelé samozřejmě nic poznají, protože útočník zprávy opět před odesláním šifruje.

Prevence proti MITM

Proti odposlechu komunikace na síti se však můžeme naštěstí bránit.

Vždy je zapotřebí opatrnosti a předvídavosti uživatelů, tedy jejich krátké proškolení v dané oblasti, třeba jen prostřednictvím interního dokumentu s popisem problému.

Jako samozřejmost bych uvedl nepoužívat WiFi bez hesla v obchodních centrech, restauracích a podobně. Ještě více nebezpečné je používat nezabezpečené WiFi tam, kde je umístění takovéto WiFi neobvyklé. Je totiž pravděpodobné, že tato síť byla nastrčená útočníkem. Pracovní záležitosti je vhodné vyřizovat primárně na firemní síti. Pokud je to nezbytné mimo firmu, vždy je nutné používat alespoň identifikovatelné WiFi s důvěryhodným zdrojem a veškerou komunikaci směrovat pomocí VPN do bezpečné sítě.

Citlivé dokumenty je nutno posílat vždy jedině zašifrované a pomocí VPN, a pokud možno, jen ve firemní síti. Klíče pro podepisování emailů a šifrování souborů si vždy předávat osobně, a pokud toto nelze, vždy ověřovat po přijetí klíče jeho otisk, a to nejlépe po telefonu.

Pro ověřování klíčů pak použijme certifikační autority nebo sítě důvěry.

V obou případech tedy platí totéž; nejdůležitější je informovanost zaměstnanců o potenciální hrozbě, dále pak obezřetnost a opatrnost uživatelů.

JAK SE BRÁNIT?

Používat intuici – pokud si nejste jistí zdrojem nebo obsah vypadá podezřele, je žádoucí vždy prvně ověřit odesílatele.

Zvýšení bezpečnosti – pokud je možnost používat dvoufaktorovou autorizaci, používejte ji. Neotevírejte neznámé, podezřelé a neočekáváné přílohy v emailech. Pokud se musíte někam přihlásit, neklikejte na odkaz ale např. internetovou banku si otevřete obvyklým způsobem. Hesla neukládáme do prohlížečů a nepoužíváme na všechny účty jedno univerzální.

Školení zaměstnanců – proškolený zaměstnanec je daleko menší bezpečností riziko než zaměstnanec neproškolený. Je proto dobré znát základní taktiky a metody phishingu, což může pomoci identifikovat hrozbu.

PHISHING

Patří mezi nejčastější útoky na internetu. Mohou to být podvodné e-maily, které po kliknutí instalují malware, odkazují na podvodné stránky nebo emaily z podvržené adresy obsahující faktury.

K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od firemních IT administrátorů.

Podle zpráv společnosti ESET útočníci v posledních dnech využívají paniky spojené s epidemií coronaviru a rozesílají podvržené emaily od zdravotnických organizací a zařízení za účelem infikování strojů oběti, vylákání peněz, nebo zachytávání hesel na počítači oběti. V České republice je nejčastěji šířený.

Phishing nebo spearphishing?

Zatímco phishingový útok na firemní emaily se dá poměrně rychle identifikovat díky antiphishingovému filtru, emaily jsou často napsány s nepříliš dokonalým textem a lacinějším scénářem, spearphishing je pravý opak. Obvykle se jedná o dobře promyšlený útok na konkrétní osobu na nějaké pro útočníka zajímavé či užitečné pozici.

Základní prvky spearphisingu:

  1. email přichází z podvržené emailové adresy, kterou oběť dobře zná,
  2. email je napsán bez zjevných pravopisných a dalších chyb,
  3. email obsahuje přílohu s nějakým očekávaným názvem, např. faktura,
  4. příloha obsahuje škodlivý kód, který antivir ještě neumí detekovat,
  5. po spuštění přílohy se do systému načte škodlivý kód, který shromažduje data,
  6. škodlivý kód posílá nashromážděná zašifrovaná data útočníkovi.

Obrana proti spearphisingu

Vzhledem k sofistikovanosti útoku je obrana poměrně složitá. Jednak se nelze spolehnout na systémy, jako jsou spam či antiphishing filtry, protože výskyt emailu je obvykle příliš nízky na to, aby byl zaznamenán, ale ani na uživatelské identifikování hrozby. Může za to jednak dobře propracovaný text, který je psán konkrétně pro oběť, zpravidla tedy obsahuje její jméno, email přichází z adresy, která je pro oběť známá a důvěryhodná, není zde žádný odkaz do internetu například na internetovou banku, kde by si uživatel měl měnit heslo jako u phishingu a není ani požadováno zadání či nějaké jiné sdělení citlivých údajů.

Jediným způsobem ochrany, který by mohl zabránit zneužití dat, nebo upozornit na probíhající útok by mohl být DLP —  software na ochranu dat —  nebo případně řešení, které provádí behaviorální analýzu sítě (Network Behavior Analysis). Ta detekují nestandardní chování v rámci sítě v reálném čase a díky tomu na útok upozorní včas.

Dnes, 15:25
Na sociálních sítích se po skončení ceremoniálu v pražském Rudolfinu objevily fotografie, na kterých umělci...
Dnes, 10:18
U Pražského Masarykova nádraží má vyrůst nové kancelářské centrum v režii společnosti Penta miliardáře Marka...
Dnes, 09:14
Komerční článek
SMART REGION CHCETE SE ZVIDITELNIT NEBO PROPAGOVAT SVÉ PRODUKTY V REGIONECH ČR​? Nabízíme Vám Reklamní...
Dnes, 09:14
Vchody do metra na Palmovce, Florenci a v Kobylisích přitahují lidi bez domova, na drogách...
Dnes, 04:00
Nedaleko metra Palmovka jsme se ptali náhodných chodců na to, co říkají zpřísněnému nouzovému stavu,...
Dnes, 04:00
Vypadá to, že Praha bude mít nový koncertní sál. Magistrát, respektive radní hlavního města, totiž...
Včera, 12:08
Práce snů – tak by se dal nazvat nouzový stav z pohledu některých úředníků městských...
6.3.2021
Na to, až se uvolní omezení, a zejména na děti se už těší v Muzeu...
4.3.2021
Boj proti pandemii koronaviru vidí jako jednu z priorit letošního roku starosta první městské části...
4.3.2021
V únoru měla mít v Dejvickém divadle premiéru nová inscenace hry Vina? od Daniela Majlinga....
3.3.2021
Zahušťování našeho hlavního města novou výstavbou je protiváhou jeho rozšiřování do okolní krajiny. Možnosti se...
Reklama