Tấn công man-in-the-middle
- Thứ hai - 15/08/2016 21:58
- In ra
- Đóng cửa sổ này
- 6 bài học kinh nghiệm chống tấn công APT
- Việt Nam trước hiểm họa tấn công APT
- Tội phạm mạng đang thay đổi chiến thuật lừa đảo và tống tiền
- 5 kiểu lừa đảo phổ biến trên mạng
- Làm sao có thể lấy được mã OTP
Tấm hình trên có quen với bạn không? Không có gì lạ. Hàng triệu người dùng khắp thế giới kết nối vào mạng Wi-Fi công cộng bằng thiết bị di động của mình khi đi đây đó, và hầu như ai cũng cố gắng giữ kết nối càng lâu càng tốt. Vấn đề ở đây là không phải mạng không dây nào cũng đàng hoàng. Hình ảnh bên trên là một mạng Wi-Fi giả của hệ thống Wi-Fi của một khách sạn, nhưng chúng ta không thể phân biệt được nếu chỉ nhìn vào màn hình.
Kiểu tấn công này trong giới chuyên môn gọi là man-in-the-middle (người đứng giữa), là một trong nhiều kỹ thuật tấn công mạng, cho phép kẻ nào đó can thiệp vào kết nối Internet của người khác và thu thập mọi thông tin truyền trên hệ thống mạng đó. Loại tấn công này đã xuất hiện nhiều năm nay, gây hại với người dùng PC. Nhưng hiện nay, điện thoại di động đang được sử dụng nhiều nên đã trở thành đích ngắm mới.
Một chuyên gia của công ty bảo mật Lookout đã trình diễn những cánh tấn công thông dụng sử dụng kỹ thuật này.
Diễn ra thế nào?
Bởi vì người dùng thường làm rất nhiều việc thông qua thiết bị di động, sử dụng Wi-Fi công cộng, nên dữ liệu truyền ra vào thiết bị trở thành rủi ro lớn cho nhiều doanh nghiệp.
Thông thường, kết nối Internet thông qua các điểm truy cập (access point) hay proxy không an toàn không phải là hiểm hoạ lớn, bởi vì dữ liệu của doanh nghiệp thường được mã hoá. Tuy vậy, có những phương pháp tấn công cho phép kẻ xấu xem được cả dữ liệu mã hoá của doanh nghiệp, như tài khoản đăng nhập hay email nhạy cảm.
Có hai bước để thực hiện tấn công kiểu man-in-the-middle. Đầu tiên, kẻ tấn công phải xâm nhập được vào hệ thống mạng. Thứ hai, kẻ tấn công phải giải mã dữ liệu.
Xâm nhập vào hệ thống mạng
Có bốn cách phổ biến mà kẻ xấu thường dùng để xâm nhập mạng:
1. Giả một điểm truy cập Wi-Fi
2. Giả ARP
3. Chiếm proxy /SSL Bump
4. VPN giả
Giả điểm truy cập Wi-Fi
1. Kẻ tấn công thiết lập một access point giả
2. Giả một mạng mà người dùng sẽ tin tưởng là thật
3. Khi người dùng kết nối (hoặc có thể thiết bị tự động kết nối mà không cần người dùng can thiệp), kẻ tấn công đã vào được cùng một mạng với thiết bị của người dùng.
Giả ARP
1. Kẻ tấn công thiết lập địa chỉ MAC của chính chúng như là một gateway hoặc thiết bị của nạn nhân.
2. Kẻ tấn công có thể can thiệp hoặc chỉnh sửa mọi luồng dữ liệu.
Chiếm proxy/SSL Bump
1. Kẻ tấn công lừa người dùng cài một ứng dụng độc hại hoặc một profile cấu hình nào đó, hoặc sử dụng một phương thức bảo mật khác.
2. Luồng dữ liệu trên thiết bị bị định hướng đến kiến trúc mạng dựng sẵn của kẻ tấn công.
VPN giả
1. Một người dùng bị lừa để tải về một ứng dụng hay một profile cấu hình để yêu cầu kích hoạt VPN.
2. Luồng dữ liệu trên thiết bị bị định hướng trỏ vào VPN của kẻ tấn công.
Giải mã dữ liệu
Có vài cách sau để giải mã dữ liệu trong khi dữ liệu đang di chuyển trên hệ thống mạng. Trong đó, ba cách sau là thường gặp nhất:
1. Tấn công chứng thực host
2. SSLStrip
3. Hạ cấp giao thức TLS
Tấn công chứng thực host
1. Kết nối thông qua man-in-the-middle
2. Kẻ tấn công thiết lập session SSL với host đã nhắm trước
3. Host hồi đáp với chứng thực SSL
4. Chứng thực giả tới người dùng cuối và người dùng chấp nhận
Nếu người dùng bị lừa cài đặt một chứng thực root thì thậm chí hệ thống vô hiệu hoá cảnh báo về chứng thực về sau.
SSLStrip
Cách hoạt động:
1. Kết nối thông qua kẻ tấn công
2. Kẻ tấn công viết lại nội dung nhưng không gồm các link HTTPS
3. Thông tin vào ra, như tài khoản đăng nhập, sẽ hiển thị ở dạng văn bản thuần, không hề mã hoá
Hạ cấp giao thức TLS
Kẻ tấn công chiếm kết nối để hạ cấp giao thức. Những giao thức lỗi thời như TLS lại rất dễ giải mã nếu kẻ tấn công am tường công nghệ.
An toàn là trên hết
Khi kết nối đến Wi-Fi, bạn nên cẩn trọng nếu có bất kỳ dấu hiệu nào yêu cầu bạn thực hiện thêm vài điều để có thể kết nối được đến Internet.
Nhưng nếu mạng Wi-Fi yêu cầu bạn bổ sung thông tin nào khác, như là chứng thực hay phải tải một app nào đó về thì rõ ràng đó là dấu hiệu của kẻ xấu muốn lừa bạn.
Cũng có vài cách an toàn để bạn lướt web khi đi ra ngoài. Sử dụng mạng 3G, tuy có tốn kém nhưng lại an toàn hơn nhiều so với Wi-Fi. Nên nếu cần truy cập dịch vụ ngân hàng trực tuyến hay công việc quan trọng trên mạng, bạn nên chuyển sang dùng 3G. Hoặc bạn có thể bật VPN để mã hoá mọi dữ liệu vào/ra khi đến quán xá nào đó.
Cách tốt nhất là bạn không nên giao dịch điện tử qua Wi-Fi công cộng.
PC World VN 08/2016