Mine sisu juurde

Vahendajarünne

Allikas: Vikipeedia

Vahendajarünne (inglise keeles man-in-the-middle attack, MITM) on andmeturbe mõiste, mis tähendab rünnakut, kus kahe otspunkti vahelist ühendust kontrollib pahatahtlik kasutaja, kellel on võimalik otspunktide vahel saadetavaid andmeid muuta. Krüptograafias ja IT turvalisuses on vahendajarünnak rünnakuliik kus ründaja eesmärgipõhiselt vahendab ja mõnel juhul muudab, kahe kasutaja vahelist vestlust. Ründaja eesmärk on saada teada kasutajate paroolid või muu privaatne informatsioon. [1]

Selline rünnak võib toimuda kahel viisil: pealtkuulamine või manipuleerimine. Pealtkuulamise korral suudab pahatahtlik kasutaja lugeda kahe otspunkti vahel liikuvat informatsiooni, mis võimaldab seda salvestada ja analüüsida. Manipuleerimise korral suudab ründaja lisaks kuulamisele, ohvrina esinedes, andmeid muuta ning edastada. Selleks et vahendajarünnakut teostada on vaja ligipääsu võrgule, mida mööda andmeid edastatakse, seda saab teostada ühendust pealt kuulates või andmevoo pahatahtlikust masinast läbi suunates. [2]

Tavaliselt teostatakse vaheründajarünnakut finantsasutuste ning veebipõhiste teenusepakkujate vastu. Enamasti üritatakse saada ligipääs kasutajate sisselogimisinformatsioonile. [3]

Rünnakut aitab ära hoida korrektne küberhügieen ning erinevad võrguturvalisust pakkuvad tarkvaralahendused. Krüpteeritud andmeside kasutamine ja tundmatutesse võrkudesse mitte ühendamine on ühed kõige kindlamad viisid rünnakust hoidumiseks. [4]

Pealtkuulamise viisid

[muuda | muuda lähteteksti]

Juhtmega võrk

[muuda | muuda lähteteksti]

Juhtmega võrgu pealtkuulamiseks füüsilist ligipääsu kaablitele, mida pealt kuulata, et paigaldada seade mis andmeid pealt kuulab. Eksisteerib kahte liiki seadmeid mida pealtkuulamiseks kasutatakse: passiivsed ja aktiivsed. Passiivsetel seadmetel pole vaja eraldiseisvat toidet, optilise kaabli puhul jagatakse andmeid kandev laserkiir kaheks. Passiivse seadme puhul on loetakse andmed ning väljuvat signaali võimendatakse, kuid seadme rikke korral katkeb ühendus mõlema otspunkti vahel. [5]

Juhtmevaba võrk

[muuda | muuda lähteteksti]

Juhtmevaba võrgu korral piisab ründajal kuulata õhus levivaid raadiolaineid. [6] Wi-Fi võrkude populaarsus toob kaasa võimaluse ründajal seada püsti võlts võrk, eesmärgiga meelitada kasutajad seda kasutama. Näiteks luues päris Wi-Fi võrgule sarnase nimega alternatiivne võrk, saab tekitada olukorra kus kasutajad ühendavad ennast pahatahtliku ühendusega. [7]

Rünnakutüübid

[muuda | muuda lähteteksti]

IP võltsimine

[muuda | muuda lähteteksti]

IP võltsimise korral esitavad ründajad ennast vale IP-aadressiga ning seeläbi üritavad kasutajat suunata pahatahtlikule otspunktile, et kasutaja suhtlust pealt kuulata. [8]

HTTPS võltsimine

[muuda | muuda lähteteksti]

HTTPS protokolli kasutatakse, et kinnitada veebilehe autentsus ning turvalisus. Selle rünnaku korral üritatakse kasutaja veebibrauserile jätta mulje, et HTTPS-protokoll on jõus ning veebileht on turvaline, kuigi tegelikult on kasutusel kompromiteeritud veebileht. [8]

DNS võltsimine

[muuda | muuda lähteteksti]

DNS (Domain Name System) vastutab domeeninimede IP-aadressideks tõlkimise eest. Seda kasutatakse, et kasutajad saaksid veebilehtedele ligi pääseda kasutades lihtsasti meeldejäävaid domeeninimesid. Rünnak seisneb võrguliikluse pahatahtlikule IP aadressile suunamisest ning seeläbi andmevoo pealtkuulamises. [8]

SSL kaaperdamine

[muuda | muuda lähteteksti]

SSL protokolli kasutatakse võrguliikluse krüpteerimiseks. Sellisel juhul pole võimalik kolmandatel osapooltel andmeid dekrüpteerida ja kasutada. Rünnak põhineb SSL sertifikaatide vargusel, mis võimaldab andmed dekrüpteerida. [8]

Veebibrauseri küpsiste vargus

[muuda | muuda lähteteksti]

Veebibrauser kasutab küpsiseid, et hoida veebisessiooni andmeid. See tagab kasutajale mugavuse, sest puudub vajadus iga kord ennast autentida. Juhul kui pahatahtlik osapool suudab küpsised varastada, on tal võimalik kasutajana esinedes veebilehtedele siseneda. [8]

Vahendajaründe ärahoidmine

[muuda | muuda lähteteksti]

Autentimine

[muuda | muuda lähteteksti]

Vahendajarünnaku ärahoidmiseks on võimalik kasutada autentimist. See tähendab, et otspunktid tõestavad kes nad on. Autentimiseks kasutatakse digitaalset sertifikaati mis on krüptograafilise võtmega kinnitatud. Kui sertifikaadid on turvaliselt hoitud, siis ei ole ründajal võimalik neid võltsida ning edastatavat sõnumit muuta. Kui suhtlus pole krüpteeritud, siis on siiski võimalik andmevoogu lugeda ja analüüsida, kuid mitte muuta. [9]

Krüpteerimine

[muuda | muuda lähteteksti]

Kui mõlema otspunkti vaheline andmeedastus toimub krüpteeritult, siis ei ole ründaja jaoks pealtkuulatav informatsioon väärtuslik, sest andmed tuleb analüüsimiseks esmalt dekrüpteerida. [1]

Forensiline analüüs

[muuda | muuda lähteteksti]

Üks viis rünnakute ärahoidmiseks on võrguliikluse analüüsimine. Latentsi uurimine on võrguliikluse ajatemplite uurimine, mis võimaldab hinnata kas võrguliiklust on kahe otspunkti vahel häiritud. Samuti on kasulik uurida pakettide päiseid ning erinevaid anomaaliaid võrguliikluses. Nimetatud lahendused on kasutusel paljudes võrguturvalisust pakkuvates tarkvaralahendustes. [10]

SSL inspektsioon

[muuda | muuda lähteteksti]

Paljud ettevõtted kasutavad võrguliikluse jälgimiseks SSL inspektsiooni. Sarnaselt vaherünnakule kuulatakse kahe otspunkti vahelist võrguliiklust pealt, kuid sel juhul on eesmärgiks andmelekke ärahoidmine, mitte andmevargus. Selle eesmärk on krüpteeritud andmete analüüsimine, et vältida firma saladuste lekkimine ning peidetud pahavara levik. [11]

Märkimisväärsed näited

[muuda | muuda lähteteksti]

Esimene dokumenteeritud vahendajarünnak

[muuda | muuda lähteteksti]

Esimene dokumenteeritud vahendajarünnak toimus enne interneti kasutuselevõttu. Raadio leiutaja Guglielmo Marconi demonstreeris raadioside ühendust, kui kodanik Maskelyne seda pealt kuulas ning oma raadiosaatjaga Marconi pähe edastas. [8]

Equifaxi andmeleke

[muuda | muuda lähteteksti]

2017. aastal teatas finantsettevõte Equifax andmelekkest, mis hõlmas ligi 143 miljonit ameeriklast. [12] Ründajad kasutasid viga koodi alusraamistikus (CVE-2017-5638) ning said ligipääsu ettevõtte andmebaasidele ja kasutajate andmetele [13]. Ründajad kasutasid saadud andmeid, et juhatada kasutajad pahaaimamatult ründajate veebilehele, kus kasutajate andmevoogu pealt kuulati [12].

GCHQ ja NSA andmesidekaablite pealtkuulamine

[muuda | muuda lähteteksti]

Edward Snowdeni andmelekked paljastasid GCHQ ja NSA massiivse pealtkuulamiskampaania. GCHQ paigaldas pealtkuulamisseadmed transatlantiliste fiiberoptiliste kaablite külge, mis võimaldas koguda andmeid telefonikõnede, emailide ning internetiliikluse kohta. Operatsioon kandis nime Tempora ning salvestatud andmeid hoiti kuni 30 päeva, et neid selle aja jooksul analüüsida. Operatsiooni viidi läbi terrorivastase võitluse ettekäändel, kuid selle legaalsus on siiani kahtluse all. [14]

  1. 1,0 1,1 Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019), p. 85.
  2. Potter 2002, Man-in-the-Middle Attacks
  3. Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019), p. 77.
  4. Magnusson, A. (2023, July 19). Man-in-the-middle (MITM) attack, How to Prevent Man-in-the-Middle Attacks
  5. Understanding network TAPs
  6. Potter 2002, Man-in-the-Middle Attacks, Eavesdropping
  7. What is a man in the middle attack? (2023, November 24). Snyk Learn. Man-in-the-middle in action
  8. 8,0 8,1 8,2 8,3 8,4 8,5 Georgescu, E. (2021, August 27). Man-in-the-Middle attack
  9. Sullivan, B., & Liu, V. Authentication Fundamentals
  10. Kasam, A. (2023, February 15)
  11. What is SSL inspection?
  12. 12,0 12,1 Magnusson, A. (2023, July 19). Equifax website spoofing compromises millions of users
  13. Fruhlinger, J. (2020, February 12). Equifax data breach FAQ, When did the Equifax breach happen?
  14. MacAskill, E., Borger, J., Hopkins, N., Davies, N., & Ball, J. (2013, June 21). GCHQ taps fibre-optic cables for secret access to world’s communications