Man in the middle Attack (MITM) là gì? Tìm hiểu ‘Tấn công xen giữa’

Tấn công MITM là gì

Tấn công xen giữa (MITM: Man in the middle) là một thuật ngữ chung để chỉ khi thủ phạm định vị mình trong cuộc trò chuyện giữa người dùng và ứng dụng – để nghe trộm hoặc mạo danh một trong các bên, khiến nó có vẻ như là một cuộc trao đổi thông tin bình thường đang được tiến hành.

Mục tiêu của cuộc tấn công xen giữa (MITM Attack) là đánh cắp thông tin cá nhân, chẳng hạn như thông tin đăng nhập, chi tiết tài khoản và số thẻ tín dụng. Mục tiêu thường là người dùng của các ứng dụng tài chính, các doanh nghiệp SaaS, các trang web thương mại điện tử và các trang web khác, nơi yêu cầu đăng nhập.

Thông tin thu được trong một cuộc tấn công có thể được sử dụng cho nhiều mục đích, bao gồm đánh cắp danh tính, chuyển tiền không được chấp thuận hoặc thay đổi mật khẩu bất hợp pháp.

Ngoài ra, nó có thể được sử dụng để giành được chỗ đứng bên trong một vành đai an toàn trong giai đoạn xâm nhập của một cuộc tấn công liên tục nâng cao (APT: advanced persistent threat).

Nói rộng ra, một cuộc tấn công MITM tương đương với việc một người đưa thư mở bảng sao kê ngân hàng của bạn, ghi chi tiết tài khoản của bạn và sau đó đóng lại phong bì và giao nó đến tận nhà.

Tiến trình tấn công xen giữa MITM

Việc thực thi MITM thành công có hai giai đoạn riêng biệt: đánh chặn và giải mã.

Đánh chặn (Interception)

Bước đầu tiên chặn lưu lượng truy cập của người dùng thông qua mạng của kẻ tấn công trước khi nó đến đích dự kiến.

Cách phổ biến nhất (và đơn giản nhất) để thực hiện điều này là một cuộc tấn công thụ động, trong đó kẻ tấn công tạo ra các điểm truy cập WiFi miễn phí, độc hại cho công chúng. Thường được đặt tên theo cách tương ứng với vị trí của họ, chúng không được bảo vệ bằng mật khẩu. Sau khi nạn nhân kết nối với một điểm phát sóng như vậy, kẻ tấn công sẽ có được khả năng hiển thị đầy đủ đối với bất kỳ cuộc trao đổi dữ liệu trực tuyến nào.

Những kẻ tấn công muốn có một cách tiếp cận tích cực hơn để đánh chặn có thể thực hiện một trong các cuộc tấn công sau:

• Giả mạo IP liên quan đến việc kẻ tấn công cải trang thành một ứng dụng bằng cách thay đổi tiêu đề gói trong địa chỉ IP. Kết quả là, người dùng cố gắng truy cập vào một URL được kết nối với ứng dụng sẽ được gửi đến trang web của kẻ tấn công.
• Giả mạo ARP là quá trình liên kết địa chỉ MAC của kẻ tấn công với địa chỉ IP của người dùng hợp pháp trên mạng cục bộ bằng cách sử dụng các thông báo ARP giả mạo. Do đó, dữ liệu do người dùng gửi đến địa chỉ IP của máy chủ sẽ được truyền đến kẻ tấn công.
• Giả mạo DNS, còn được gọi là nhiễm độc bộ nhớ cache DNS, liên quan đến việc xâm nhập vào máy chủ DNS và thay đổi bản ghi địa chỉ của trang web. Do đó, người dùng cố gắng truy cập trang web sẽ bị bản ghi DNS đã thay đổi gửi đến trang web của kẻ tấn công.

Giải mã (Decryption)

Sau khi bị chặn, bất kỳ lưu lượng SSL hai chiều nào cần được giải mã mà không cần thông báo cho người dùng hoặc ứng dụng. Một số phương pháp tồn tại để đạt được điều này:

• Giả mạo HTTPS sẽ gửi một chứng chỉ giả đến trình duyệt của nạn nhân sau khi yêu cầu kết nối ban đầu tới một trang web an toàn được thực hiện. Nó chứa một dấu vân tay kỹ thuật số được liên kết với ứng dụng bị xâm nhập, được trình duyệt xác minh theo danh sách các trang web đáng tin cậy hiện có. Sau đó, kẻ tấn công có thể truy cập bất kỳ dữ liệu nào do nạn nhân nhập trước khi dữ liệu đó được chuyển đến ứng dụng.
• SSL BEAST (khai thác trình duyệt chống lại SSL/TLS) nhắm vào lỗ hổng TLS phiên bản 1.0 trong SSL. Tại đây, máy tính của nạn nhân bị nhiễm mã độc JavaScript chặn các cookie được mã hóa do một ứng dụng web gửi đến. Sau đó, chuỗi khối mật mã (CBC) của ứng dụng bị xâm phạm để giải mã cookie và mã thông báo xác thực của nó.
• Việc chiếm quyền điều khiển SSL xảy ra khi kẻ tấn công chuyển các khóa xác thực giả mạo cho cả người dùng và ứng dụng trong quá trình bắt tay TCP. Điều này thiết lập những gì có vẻ là một kết nối an toàn khi trên thực tế, người đàn ông ở giữa kiểm soát toàn bộ phiên.
• Việc loại bỏ SSL hạ cấp kết nối HTTPS xuống HTTP bằng cách chặn xác thực TLS được gửi từ ứng dụng đến người dùng. Kẻ tấn công gửi một phiên bản không được mã hóa của trang web của ứng dụng cho người dùng trong khi vẫn duy trì phiên bảo mật với ứng dụng. Trong khi đó, kẻ tấn công có thể nhìn thấy toàn bộ phiên của người dùng.

Cách ngăn chặn cuộc tấn công xen giữa (MITM Attack)

Việc ngăn chặn các cuộc tấn công MITM đòi hỏi một số bước thực tế từ phía người dùng, cũng như sự kết hợp của các phương pháp mã hóa và xác minh cho các ứng dụng.

Đối với người dùng, điều này có nghĩa là:

• Tránh các kết nối WiFi không được bảo vệ bằng mật khẩu.
• Chú ý đến các thông báo của trình duyệt báo cáo một trang web là không an toàn.
• Đăng xuất ngay lập tức khỏi một ứng dụng an toàn khi nó không được sử dụng.
• Không sử dụng mạng công cộng (ví dụ: quán cà phê, khách sạn) khi thực hiện các giao dịch nhạy cảm.

Đối với các nhà điều hành trang web, các giao thức truyền thông an toàn, bao gồm TLS và HTTPS, giúp giảm thiểu các cuộc tấn công giả mạo bằng cách mã hóa và xác thực dữ liệu được truyền một cách mạnh mẽ. Làm như vậy ngăn chặn việc chặn lưu lượng truy cập trang web và chặn việc giải mã dữ liệu nhạy cảm, chẳng hạn như mã thông báo xác thực.

Các ứng dụng sử dụng SSL/TLS được coi là phương pháp hay nhất để bảo mật mọi trang trong trang web của họ chứ không chỉ các trang yêu cầu người dùng đăng nhập. Làm như vậy sẽ giúp giảm nguy cơ kẻ tấn công lấy cắp cookie phiên từ người dùng đang duyệt trên một của một trang web khi đã đăng nhập.

Theo: imperva

Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.

Nội dung đề xuất