Mô phỏng một cuộc tấn công trung gian vào Diffie-Hellman bằng Python bằng cách hoàn thành mã hiện có

Có nhiều loại mối đe dọa bảo mật mà kẻ tấn công có thể sử dụng để khai thác các ứng dụng không an toàn. Các tác nhân đe dọa có thể thực hiện một số cuộc tấn công này bằng phần mềm tự động, trong khi những cuộc tấn công khác yêu cầu vai trò tích cực hơn từ những kẻ tấn công. Trong hướng dẫn này, chúng tôi sẽ giải thích ý tưởng cơ bản đằng sau cuộc tấn công trung gian [MITM], cung cấp các ví dụ và kỹ thuật giảm thiểu

Man-in-the-Middle Attack là gì?

Tấn công trung gian là một kiểu tấn công nghe lén, trong đó kẻ tấn công làm gián đoạn cuộc hội thoại hoặc truyền dữ liệu hiện có. Sau khi tự đưa mình vào "trung tâm" của quá trình chuyển tiền, những kẻ tấn công giả vờ là cả hai người tham gia hợp pháp. Điều này cho phép kẻ tấn công chặn thông tin và dữ liệu từ một trong hai bên đồng thời gửi các liên kết độc hại hoặc thông tin khác cho cả hai bên tham gia hợp pháp theo cách có thể không bị phát hiện cho đến khi quá muộn

Bạn có thể coi kiểu tấn công này tương tự như trò chơi điện thoại trong đó lời nói của một người được chuyển từ người tham gia này sang người tham gia khác cho đến khi nó thay đổi khi đến người cuối cùng. Trong một cuộc tấn công trung gian, người tham gia ở giữa điều khiển cuộc trò chuyện mà một trong hai người tham gia hợp pháp không biết, hành động để lấy thông tin bí mật và gây ra thiệt hại

Các chữ viết tắt phổ biến cho một cuộc tấn công trung gian bao gồm MITM, MitM, MiM và MIM

Các khái niệm chính về tấn công trung gian

Các cuộc tấn công trung gian

• Là một loại chiếm quyền điều khiển phiên
• Liên quan đến những kẻ tấn công tự chèn mình làm chuyển tiếp hoặc proxy trong một cuộc trò chuyện hoặc truyền dữ liệu hợp pháp đang diễn ra
• Khai thác bản chất thời gian thực của các cuộc hội thoại và truyền dữ liệu để không bị phát hiện
• Cho phép kẻ tấn công chặn dữ liệu bí mật
• Cho phép kẻ tấn công chèn dữ liệu và liên kết độc hại theo cách không thể phân biệt được với dữ liệu hợp pháp

Để tìm hiểu thêm về bảo mật phần mềm, bao gồm các cuộc tấn công trung gian và các lỗ hổng khác, hãy tải xuống báo cáo State of Software Security v11 miễn phí của chúng tôi

Trạng thái bảo mật phần mềm 2023

Ví dụ về các cuộc tấn công MITM

Mặc dù khái niệm trung tâm về việc chặn một chuyển giao đang diễn ra vẫn giống nhau, nhưng có một số cách khác nhau mà những kẻ tấn công có thể thực hiện một cuộc tấn công trung gian

cảnh 1. chặn dữ liệu

1. Kẻ tấn công cài đặt trình nghe trộm gói tin để phân tích lưu lượng mạng cho các liên lạc không an toàn
2. Khi người dùng đăng nhập vào một trang web, kẻ tấn công sẽ lấy thông tin người dùng của họ và chuyển hướng họ đến một trang giả mạo bắt chước trang thật
3. Trang web giả mạo của kẻ tấn công thu thập dữ liệu từ người dùng, sau đó kẻ tấn công có thể sử dụng dữ liệu này trên trang web thực để truy cập thông tin của mục tiêu

Trong trường hợp này, kẻ tấn công chặn truyền dữ liệu giữa máy khách và máy chủ. Bằng cách lừa máy khách tin rằng nó vẫn đang liên lạc với máy chủ và máy chủ tin rằng nó vẫn đang nhận thông tin từ máy khách, kẻ tấn công có thể chặn dữ liệu từ cả hai cũng như đưa thông tin sai lệch của chính họ vào bất kỳ lần chuyển nào trong tương lai.

kịch bản 2. Đạt được quyền truy cập vào quỹ

1. Kẻ tấn công thiết lập một dịch vụ trò chuyện giả mạo bắt chước dịch vụ của một ngân hàng nổi tiếng
2. Sử dụng kiến ​​thức thu được từ dữ liệu bị chặn trong kịch bản đầu tiên, kẻ tấn công giả làm ngân hàng và bắt đầu trò chuyện với mục tiêu
3. Sau đó, kẻ tấn công bắt đầu trò chuyện trên trang web ngân hàng thực, giả vờ là mục tiêu và chuyển thông tin cần thiết để có quyền truy cập vào tài khoản của mục tiêu

Trong trường hợp này, kẻ tấn công chặn cuộc trò chuyện, chuyển các phần của cuộc thảo luận cho cả hai người tham gia hợp pháp

Các cuộc tấn công MITM trong thế giới thực

Vào năm 2011, trang web đăng ký tên miền DigiNotar của Hà Lan đã bị xâm phạm, cho phép kẻ đe dọa có quyền truy cập vào 500 chứng chỉ cho các trang web như Google, Skype và các trang web khác. Quyền truy cập vào các chứng chỉ này cho phép kẻ tấn công giả làm trang web hợp pháp trong cuộc tấn công MITM, đánh cắp dữ liệu của người dùng sau khi lừa họ nhập mật khẩu trên các trang web nhân bản độc hại. DigiNotar cuối cùng đã nộp đơn xin phá sản do vi phạm

Vào năm 2017, công ty điểm tín dụng Equifax đã xóa ứng dụng của họ khỏi Google và Apple sau khi vi phạm dẫn đến rò rỉ dữ liệu cá nhân. Một nhà nghiên cứu nhận thấy rằng ứng dụng không sử dụng HTTPS một cách nhất quán, cho phép kẻ tấn công chặn dữ liệu khi người dùng truy cập vào tài khoản của họ

Tương tác dễ bị tấn công MITM

Mọi tương tác được bảo mật không đúng cách giữa hai bên, cho dù đó là truyền dữ liệu giữa máy khách và máy chủ hay giao tiếp giữa hai cá nhân qua hệ thống nhắn tin internet, đều có thể là mục tiêu của các cuộc tấn công trung gian. Đăng nhập và xác thực tại các trang web tài chính, các kết nối cần được bảo mật bằng khóa công khai hoặc khóa riêng và bất kỳ tình huống nào khác mà giao dịch đang diễn ra có thể cấp cho kẻ tấn công quyền truy cập vào thông tin bí mật đều dễ bị ảnh hưởng

Để biết thêm về bảo mật ứng dụng, hãy đọc Hướng dẫn sinh tồn DevOps an toàn của chúng tôi

Hướng dẫn sinh tồn Devops an toàn

Các hình thức chiếm quyền điều khiển phiên khác

Các cuộc tấn công trung gian chỉ là một hình thức chiếm quyền điều khiển phiên. những người khác bao gồm

• Đánh hơi - Kẻ tấn công sử dụng phần mềm để chặn [hoặc "đánh hơi"] dữ liệu được gửi đến hoặc từ thiết bị của bạn
• Sidejacking - Kẻ tấn công đánh hơi các gói dữ liệu để đánh cắp cookie phiên từ thiết bị của bạn, cho phép chúng chiếm quyền điều khiển phiên người dùng nếu chúng tìm thấy thông tin đăng nhập không được mã hóa
• Evil Twin - Kẻ tấn công sao chép mạng Wi-Fi hợp pháp, cho phép chúng chặn dữ liệu từ những người dùng tin rằng họ đang đăng nhập vào mạng thực

Tăng cường bảo mật ứng dụng của bạn với Nền tảng dựa trên đám mây của Veracode

Một cách để giảm tác hại do chiếm quyền điều khiển phiên và các cuộc tấn công khác là áp dụng vòng đời phát triển phần mềm an toàn. Các kỹ thuật như phân tích mã tĩnh và kiểm tra xâm nhập thủ công có thể phát hiện các lỗi bảo mật trong ứng dụng trước khi chúng có thể bị khai thác. Nền tảng dựa trên đám mây của Veracode được thiết kế để giúp các nhà phát triển tìm hiểu các phương pháp mã hóa an toàn nhất. Liên hệ với chúng tôi ngay hôm nay để lên lịch demo và kiểm tra các dịch vụ của chúng tôi

Phân tích động Veracode

Bảo mật các ứng dụng web trên quy mô lớn bằng cách thực hiện quét xác thực và chưa xác thực tất cả từ một sản phẩm duy nhất