Vahendajarünne

See artikkel ootab keeletoimetamist. (Juuni 2025) Kui oskad, siis palun aita artiklit keeleliselt parandada. (Kuidas ja millal see märkus eemaldada?)

Vahendajarünne (inglise keeles man-in-the-middle attack, MITM) on andmeturbe mõiste, mis tähendab rünnakut, kus kahe otspunkti vahelist ühendust kontrollib pahatahtlik kasutaja, kellel on võimalik otspunktide vahel saadetavaid andmeid muuta. Krüptograafias ja IT turvalisuses on vahendajarünnak rünnakuliik kus ründaja eesmärgipõhiselt vahendab ja mõnel juhul muudab, kahe kasutaja vahelist vestlust. Ründaja eesmärk on saada teada kasutajate paroolid või muu privaatne informatsioon. ^[1]

Selline rünnak võib toimuda kahel viisil: pealtkuulamine või manipuleerimine. Pealtkuulamise korral suudab pahatahtlik kasutaja lugeda kahe otspunkti vahel liikuvat informatsiooni, mis võimaldab seda salvestada ja analüüsida. Manipuleerimise korral suudab ründaja lisaks kuulamisele, ohvrina esinedes, andmeid muuta ning edastada. Selleks et vahendajarünnakut teostada on vaja ligipääsu võrgule, mida mööda andmeid edastatakse, seda saab teostada ühendust pealt kuulates või andmevoo pahatahtlikust masinast läbi suunates. ^[2]

Tavaliselt teostatakse vaheründajarünnakut finantsasutuste ning veebipõhiste teenusepakkujate vastu. Enamasti üritatakse saada ligipääs kasutajate sisselogimisinformatsioonile. ^[3]

Rünnakut aitab ära hoida korrektne küberhügieen ning erinevad võrguturvalisust pakkuvad tarkvaralahendused. Krüpteeritud andmeside kasutamine ja tundmatutesse võrkudesse mitte ühendamine on ühed kõige kindlamad viisid rünnakust hoidumiseks. ^[4]

Juhtmega võrgu pealtkuulamiseks füüsilist ligipääsu kaablitele, mida pealt kuulata, et paigaldada seade mis andmeid pealt kuulab. Eksisteerib kahte liiki seadmeid mida pealtkuulamiseks kasutatakse: passiivsed ja aktiivsed. Passiivsetel seadmetel pole vaja eraldiseisvat toidet, optilise kaabli puhul jagatakse andmeid kandev laserkiir kaheks. Passiivse seadme puhul on loetakse andmed ning väljuvat signaali võimendatakse, kuid seadme rikke korral katkeb ühendus mõlema otspunkti vahel. ^[5]

Juhtmevaba võrgu korral piisab ründajal kuulata õhus levivaid raadiolaineid. ^[6] Wi-Fi võrkude populaarsus toob kaasa võimaluse ründajal seada püsti võlts võrk, eesmärgiga meelitada kasutajad seda kasutama. Näiteks luues päris Wi-Fi võrgule sarnase nimega alternatiivne võrk, saab tekitada olukorra kus kasutajad ühendavad ennast pahatahtliku ühendusega. ^[7]

IP võltsimise korral esitavad ründajad ennast vale IP-aadressiga ning seeläbi üritavad kasutajat suunata pahatahtlikule otspunktile, et kasutaja suhtlust pealt kuulata. ^[8]

HTTPS protokolli kasutatakse, et kinnitada veebilehe autentsus ning turvalisus. Selle rünnaku korral üritatakse kasutaja veebibrauserile jätta mulje, et HTTPS-protokoll on jõus ning veebileht on turvaline, kuigi tegelikult on kasutusel kompromiteeritud veebileht. ^[8]

DNS (Domain Name System) vastutab domeeninimede IP-aadressideks tõlkimise eest. Seda kasutatakse, et kasutajad saaksid veebilehtedele ligi pääseda kasutades lihtsasti meeldejäävaid domeeninimesid. Rünnak seisneb võrguliikluse pahatahtlikule IP aadressile suunamisest ning seeläbi andmevoo pealtkuulamises. ^[8]

SSL protokolli kasutatakse võrguliikluse krüpteerimiseks. Sellisel juhul pole võimalik kolmandatel osapooltel andmeid dekrüpteerida ja kasutada. Rünnak põhineb SSL sertifikaatide vargusel, mis võimaldab andmed dekrüpteerida. ^[8]

Veebibrauser kasutab küpsiseid, et hoida veebisessiooni andmeid. See tagab kasutajale mugavuse, sest puudub vajadus iga kord ennast autentida. Juhul kui pahatahtlik osapool suudab küpsised varastada, on tal võimalik kasutajana esinedes veebilehtedele siseneda. ^[8]

Vahendajarünnaku ärahoidmiseks on võimalik kasutada autentimist. See tähendab, et otspunktid tõestavad kes nad on. Autentimiseks kasutatakse digitaalset sertifikaati mis on krüptograafilise võtmega kinnitatud. Kui sertifikaadid on turvaliselt hoitud, siis ei ole ründajal võimalik neid võltsida ning edastatavat sõnumit muuta. Kui suhtlus pole krüpteeritud, siis on siiski võimalik andmevoogu lugeda ja analüüsida, kuid mitte muuta. ^[9]

Kui mõlema otspunkti vaheline andmeedastus toimub krüpteeritult, siis ei ole ründaja jaoks pealtkuulatav informatsioon väärtuslik, sest andmed tuleb analüüsimiseks esmalt dekrüpteerida. ^[1]

Üks viis rünnakute ärahoidmiseks on võrguliikluse analüüsimine. Latentsi uurimine on võrguliikluse ajatemplite uurimine, mis võimaldab hinnata kas võrguliiklust on kahe otspunkti vahel häiritud. Samuti on kasulik uurida pakettide päiseid ning erinevaid anomaaliaid võrguliikluses. Nimetatud lahendused on kasutusel paljudes võrguturvalisust pakkuvates tarkvaralahendustes. ^[10]

Paljud ettevõtted kasutavad võrguliikluse jälgimiseks SSL inspektsiooni. Sarnaselt vaherünnakule kuulatakse kahe otspunkti vahelist võrguliiklust pealt, kuid sel juhul on eesmärgiks andmelekke ärahoidmine, mitte andmevargus. Selle eesmärk on krüpteeritud andmete analüüsimine, et vältida firma saladuste lekkimine ning peidetud pahavara levik. ^[11]

Esimene dokumenteeritud vahendajarünnak toimus enne interneti kasutuselevõttu. Raadio leiutaja Guglielmo Marconi demonstreeris raadioside ühendust, kui kodanik Maskelyne seda pealt kuulas ning oma raadiosaatjaga Marconi pähe edastas. ^[8]

2017. aastal teatas finantsettevõte Equifax andmelekkest, mis hõlmas ligi 143 miljonit ameeriklast. ^[12] Ründajad kasutasid viga koodi alusraamistikus (CVE-2017-5638) ning said ligipääsu ettevõtte andmebaasidele ja kasutajate andmetele ^[13]. Ründajad kasutasid saadud andmeid, et juhatada kasutajad pahaaimamatult ründajate veebilehele, kus kasutajate andmevoogu pealt kuulati ^[12].

Edward Snowdeni andmelekked paljastasid GCHQ ja NSA massiivse pealtkuulamiskampaania. GCHQ paigaldas pealtkuulamisseadmed transatlantiliste fiiberoptiliste kaablite külge, mis võimaldas koguda andmeid telefonikõnede, emailide ning internetiliikluse kohta. Operatsioon kandis nime Tempora ning salvestatud andmeid hoiti kuni 30 päeva, et neid selle aja jooksul analüüsida. Operatsiooni viidi läbi terrorivastase võitluse ettekäändel, kuid selle legaalsus on siiani kahtluse all. ^[14]

• Potter, B., & Fleck, B. (2002). 802.11 security (First Edition). “O’Reilly Media, Inc.”
• Understanding network TAPs – the first step to visibility. (n.d.). Gigamon.com. Retrieved January 15, 2024, from https://www.gigamon.com/resources/resource-library/white-paper/understanding-network-taps-first-step-to-visibility.html
• Sullivan, B., & Liu, V. (2011). Web application security, A Beginner’s Guide. McGraw Hill Professional.
• Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019). Man-in-the-middle-attack: Understanding in simple words. 3. 77-92. 10.5267/j.ijdns.2019.1.001.
• Fruhlinger, J. (2020, February 12). Equifax data breach FAQ: What happened, who was affected, what was the impact? CSO Online. https://www.csoonline.com/article/567833/equifax-data-breach-faq-what-happened-who-was-affected-what-was-the-impact.html
• Magnusson, A. (2023, July 19). Man-in-the-middle (MITM) attack: Definition, examples & more. Strongdm.com. https://www.strongdm.com/blog/man-in-the-middle-attack
• MacAskill, E., Borger, J., Hopkins, N., Davies, N., & Ball, J. (2013, June 21). GCHQ taps fibre-optic cables for secret access to world’s communications. The Guardian. https://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa
• Georgescu, E. (2021, August 27). Man-in-the-Middle attack: Definition, examples, prevention. Heimdal Security Blog; Heimdal Security. https://heimdalsecurity.com/blog/man-in-the-middle-mitm-attack/
• What is SSL inspection? (n.d.). Zscaler. Retrieved January 15, 2024, from https://www.zscaler.com/resources/security-terms-glossary/what-is-ssl-inspection
• What is a man in the middle attack? (2023, November 24). Snyk Learn. https://learn.snyk.io/lesson/man-in-the-middle-attack/
• Kasam, A. (2023, February 15). Detection and prevention of man-in-the-middle (MITM) attacks. ITSecurityWire. https://itsecuritywire.com/featured/detection-and-prevention-of-man-in-the-middle-attacks/