Man-in-The-Middle атаки на публичных и домашних

маршрутизаторах

Анализ и методология защиты

Гребенник М.

Определение MiTM атакиВид атаки в криптографии, когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причём ни один из последних не догадывается о его присутствии в канале.

Пользователь

Злоумышленник

Сервер

Оригинальноесоединение

MITMсоединение

Выявление MiTM атакиКосвенные признаки:

• Кратковременная потеря соединения и ухудшение скорости интернета

• Сайты использующие HTTPS соединение плохо загружаются

• После авторизации на интернет-ресурсе сайт не загружается

Что можно сделать MiTM атакой?

• Поддельное обновление Windows компонента• Перехват сессии• Получение скриншотов экрана• Получение всех нажатых клавиш• Подделка трафика используя ARP, ICMP,

DHCP или DNS фальсификацию• Внедрять контент на запрашиваемую

страницу

Выгода MiTM для злоумышленника

• Перехват данных от платежных сервисов/почты/соц.сетей и т.д.

• Показ рекламы • Фишинговые атаки с использованием

фальшивых сайтов/элементов сайта• Принудительное перенаправление на

сторонние ресурсы

Пример MiTM атаки

Публичный маршрутизатор• Получение доступа• Использование

Домашний маршрутизатор• Получение доступа• Использование

Снифинг, спуфинг, инжекты, перехват сессий

• Перехват данных• Подмена ресурсов/элементов• Рекламные показы• Доступ к используемым пользователем

ресурсам

SSL и HTTPS. Лекарство или плацебо?

• Чем помогает SSL и HTTPS?• Использование SSL MiTM и SSLStrip

Методология защиты.Практические советы

• HSTS• Certificate pinning• HTTP Public Key Pinning

Итоги

• Ущерб от MiTM атак• Сложность защиты