1. <track id="nwqbi"><strike id="nwqbi"><rp id="nwqbi"></rp></strike></track> <acronym id="nwqbi"></acronym>

    <pre id="nwqbi"></pre>

      1. 計世網

        當心!你們中間有個第三者,微軟、蘋果都曾被他劫持!
        作者:專送干貨的 | 來源:計世網
        2019-05-17
        利用中間人網絡攻擊,攻擊者能夠秘密地攔截通信或者改變通信。雖然很難檢測MitM攻擊,但卻是可以預防的。

         

        中間人(Man-in-the-Middle,MitM)攻擊是指當雙方進行通信時,攻擊者攔截通信,秘密地竊聽或者修改雙方之間的數據流。攻擊者會使用MitM攻擊來竊取登錄憑證和個人信息、窺探受害者、破壞通信,甚至損壞數據。

        CrowdStrike公司的EMEA技術策略師Zeki Turedi指出,“MitM攻擊是為達到目的而實施的戰術手段。其目的可能是監視個人或者團體,以轉移人們的工作方向、資金、資源或者注意力。”

        雖然可以通過加密措施來防御MitM,但成功的攻擊者要么把數據流重新路由到設計為看起來合法的網絡釣魚網站,要么只是在收集或者記錄后將數據流傳送到其預定目的地,這意味著很難檢測此類攻擊。

        中間人攻擊的工作原理

        MitM攻擊是最古老的一種網絡攻擊形式。20世紀80年代初以來,計算機科學家一直在尋找能夠防止有威脅的犯罪分子篡改或者竊聽通信的方法。

        MitM攻擊包括位于通信雙方連接之間的坐席,他們觀察并控制數據流。這可以通過干擾合法網絡或者創建攻擊者能夠控制的假網絡來實現。然后,為了竊取、更改和重新路由這些數據流到攻擊者所選擇的目的地(例如,網絡釣魚登錄網站),會對被攻破的這些數據流進行解密。由于攻擊者在記錄或者編輯被截獲的數據流后,只是靜默地觀察,或者重新加密這些數據流,將其傳送到預定的目的地,因此很難發現這種攻擊。

        SANS技術研究所的研究主任Johannes Ullrich說:“MitM攻擊是攻擊者實際上位于受害者和受害者想要連接的合法主機之間的一種攻擊。所以,他們要么被動地監聽連接,要么實際上截獲連接,終止連接,并建立到目的地的新連接。”

        取決于目標和目的,MitM包含了很多技術,會帶來各種可能的結果。例如,在SSL剝離過程中,攻擊者在自己與服務器之間建立了一個HTTPS連接,但與用戶之間使用不安全的HTTP連接,這意味著以純文本形式發送信息,而不加密。Evil Twin攻擊對合法的Wi-Fi接入點進行鏡像處理,完全由惡意攻擊者控制,他們能夠監視、收集和控制用戶發送的所有信息。

        Turedi說:“這類攻擊可能是為了間諜活動或者獲取經濟利益,也可能就是為了搞破壞。造成的損害有大有小,這取決于攻擊者的目的和造成損害的能力。”

        在銀行業務場景中,攻擊者能看到用戶正在進行轉賬,并能更改要發送的目的帳號和金額。有威脅的犯罪分子可以使用中間人攻擊來獲取個人信息或者登錄憑證。如果攻擊者檢測到有正在下載或者更新的應用程序,就會發送安裝了惡意軟件的被攻破的更新,而不是合法的更新。EvilGrade漏洞工具包是專門針對安全性較差的更新而設計的。鑒于移動設備通常無法加密數據流,因此,移動設備尤其容易遭受這類攻擊。

        SANS研究所的Ullrich說:“這些攻擊很容易實現自動化。有一些工具能夠自動執行這類操作,包括查找密碼,在看到密碼時將其寫入到文件中,或者等待特定的請求(例如,下載請求),并將惡意數據流發送回去。”

        雖然這些Wi-Fi或者物理網絡攻擊一般要靠近受害者或者目標網絡才能實施,但也能遠程破壞路由協議。Ullrich解釋道:“這是一種更困難、更復雜的攻擊。攻擊者會在互聯網上宣傳自己負責這些IP地址,然后通過互聯網把這些IP地址路由給攻擊者,他們就能夠一次次的發動中間人攻擊。”

        Ullrich繼續說:“他們還可以更改某一域名的DNS設置(稱為DNS欺騙)。因此,如果您想訪問某一網站,實際上是連接到攻擊者所提供的錯誤IP地址,攻擊者可以再次發動中間人攻擊。”

        盡管大部分攻擊都是通過有線網絡或者Wi-Fi進行的,但也有可能使用假手機信號塔進行MitM攻擊。美國、加拿大和英國的執法機構發現有人使用假手機信號塔(稱為“黃貂魚”)來收集大量的信息。可以在暗網上買到黃貂魚設備。

        來自柏林技術大學、蘇黎世聯邦理工學院和挪威SINTEF Digital公司的研究人員最近發現了3G、4G所使用的、以及5G無線技術將要使用的身份驗證和密鑰協議(AKA)協議的缺陷——這可能導致攻擊者進行MitM攻擊。 

        中間人攻擊有多常見?

        雖然MitM攻擊不像勒索軟件和網絡釣魚攻擊那樣常見,但對企業來說卻是一種永遠存在的威脅。IBM X-Force的《2018年威脅情報指數》指出,35%的攻擊活動涉及到攻擊者試圖實施MitM攻擊,但難以得出確切的數字。

        Palo Alto網絡公司第42部的威脅情報分析師Alex Hinchliffe說:“不太確切地說,MitM攻擊并不是非常普遍。很多相同的目標——監視數據/通信、重定向數據流等等,都可以通過安裝在受害者系統上的惡意軟件來實現。如果有更簡單的方法來進行攻擊,攻擊者通常會選擇更簡單的路線。”

        最近一個值得注意的例子是一群俄羅斯GRU特工試圖利用Wi-Fi欺騙設備入侵海牙禁止化學武器組織(OPCW)的辦公系統。

        更多地采用HTTPS和更多的瀏覽器內置警告功能已經減少了一些MitM攻擊可能帶來的威脅。2017年,電子前沿基金會(Electronic Frontier Foundation,EFF)報告說,超過一半的互聯網數據流現在是加密的,而谷歌報告說,一些國家90%以上的數據流現在都被加密了。Chrome和Firefox等主要瀏覽器也會在用戶面臨MitM攻擊風險時發出警告。CrowdStrike的Turedi說:“隨著越來越多地采用SSL以及引入Google Chrome等現代瀏覽器,對公共WiFi熱點的MitM攻擊在逐漸減少。”

        Turedi補充道:“如今,常見的是在非常復雜的攻擊中利用了MitM原理。最近在開源報告中觀察到的一個例子是針對大型金融機構的SWIFT網絡的惡意軟件,這其中利用了MitM技術提供假賬戶余額,目的是在資金被惡意轉移到網絡罪犯分子的賬戶過程中不被發現。”

        這種威脅仍然存在。例如,Retefe銀行木馬通過攻擊者控制的服務器重新路由來自銀行域的數據流,在重新加密數據并將其發送到銀行之前對請求進行解密和修改。利用最近發現的一個TLS協議缺陷(包括最新的1.3版本),攻擊者能夠破壞RSA密鑰交換并攔截數據。

        中間人攻擊的預防

        盡管時不時的能發現缺陷,而TLS這樣的加密協議是防范MitM攻擊的最佳方法。最新版本的TLS于2018年8月成為正式標準。還有其他一些協議,例如SSH,以及谷歌的QUIC等更新的協議。

        在最終用戶教育方面,應督促員工盡可能不要在公共場所使用開放公共Wi-Fi或者Wi-Fi服務,因為這比手機連接更容易被欺騙,并告訴他們要注意瀏覽器的警告,即網站或者連接可能不合法。使用VPN有助于保證安全的連接。

        Palo Alto公司的Hinchliffe說:“最好的方法包括多重身份驗證、最大限度地增強網絡控制和可視性,以及對網絡進行劃分。”

        預防勝于攻擊后的事后諸葛亮,尤其是很難發現的攻擊。CrowdStrike公司的Turedi說:“對于大部分傳統的安全設備來說,這些攻擊基本上是偷偷摸摸進行的,一開始很難檢測到。”

        如果量子加密技術在商業上可行,那么它能提供強有力的保護,以防范MitM攻擊,其理論是不可能復制量子數據,也不可能在不改變狀態的情況下進行觀察,因此,如果數據流在傳輸途中受到了干擾,就會發出很強的指示。

        物聯網會成為MitM攻擊的下一目標嗎?

        分析人士預測,未來五年,連接互聯網的設備的數量可能會激增至數百億臺。然而,很多設備缺乏安全性意味著物聯網的增長可能會導致MitM攻擊的激增。CSO先前報告過有可能在物聯網設備上進行MitM式攻擊,向企業發送回錯誤信息,或者向設備本身發送錯誤的指令。

        Ullrich說:“物聯網設備往往更容易受到攻擊,因為它們沒有采用很多針對MitM攻擊的標準緩解措施。很多物聯網設備還沒有采用TLS,或者所采用的老版本沒有最新版本那么強大。”

        Ponemon研究所和OpenSky公司的一項新調查發現,美國61%的安全從業人員表示,他們無法控制物聯網和工業物聯網設備在其公司內部的擴散,而60%的人說他們無法避免物聯網和工業物聯網帶來的安全漏洞和數據泄露問題。

        Ullrich說:“對于移動應用程序和周圍沒有人的物聯網設備,這是一個問題;其中一些應用程序會忽略這些錯誤,仍然進行連接,這就違背了TLS的目的。”

        責任編輯:何周重

        欧美a级片