УДК 004.056.53
В.Ю. Писаренко, V.U. Pisarenko, e-mail: j-e-d-y@mail.ru
B.А. Соловьев, V.A. Solovev, e-mail: v.a.solovev@gmail.com
C.В. Тарасов, S.V. Tarasov, e-mail: shizoid325@gmail.com
Омский государственный технический университет, г. Омск, Россия Omsk State Technical University, Omsk, Russia
ЗАЩИТА ОТ АТАК ТИПА ЧЕЛОВЕК ПОСЕРЕДИНЕ
DEFENSE FROM MAN-IN-THE-MIDDLE ATTACKS
Сегодня люди все чаще пользуются открытыми сетями для доступа к веб-сервисам (социальные сети, программы банк-клиент, электронная почта). В этом случае они потенциально уязвимы для атаки человек-посередине, которая рассмотрена в работе. Описана реализация атаки с использованием техники arp-spoofing. Показана принципиальная возможность внедрения в канал связи между пользователем и удаленным сервером,
87
Динамика систем, механизмов и машин, № 4, 2014
которая позволяет осуществлять модификацию веб-страниц, запрашиваемых пользователем. Приведены рекомендации к защите пользователя от атак данного типа.
People are using shared networks for access to web services (social networks, financial programs, e-mail) more often today. In this case, they are potentially vulnerable to "Man-in-the-middle" attacks considered in the paper. Arp-spoofing based attack is described. The principal possibility of intruding into the communication channel between user and remote server, which allows modification of web pages requested by user, is showed. Recommendations how to protect users from attacks of this type are provided.
Ключевые слова: атака типа человек посередине, arp-спуфинг, прокси сервер, перехват http запросов
Keywords: man-in-the-middle attack, arp-spoofing, proxy server, http-request interception
В настоящее время уже почти не существует людей, не имеющих дело с IT сферой. С одной стороны технологии упрощают нам жизнь, делая доступ к данным очень легкодоступным, но с другой - мы практически отдаём всю информацию о себе в случае взлома нашего аккаунта в социальных сетях, например, В контакте, Facebook, Twitter или почтового ящика.
Рассмотрим атаку из класса mitm (men in the middle). Данная атака имеет большой потенциал от кражи аккаунтов и получения доступа к личным данным до полного доступа к машине жертвы.
Реализация атаки.
Необходимым условием для проведения атаки является доступ в один сегмент сети с жертвой. Для начала, злоумышленнику необходимо перехватить трафик, идущий в сети между пользователем и сервером. Для этого существуют определённые приёмы, например, ARP-spoofing[1]. ARP-spoofing - техника атаки в сетях Ethernet, позволяющая перехватывать трафик между узлами. Основана на использовании протокола ARP.
При использовании в распределённой вычислительной сети алгоритмов удалённого поиска существует возможность осуществления в такой сети типовой удалённой атаки «ложный объект распределённой вычислительной системы». Анализ безопасности протокола ARP показывает, что, перехватив на атакующем узле внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP-ответ, в котором объявить себя искомым узлом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного узла, воздействуя на него по схеме «ложный объект РВС». (Рис. 1)
Рис. 1. Реализация ARP-spoofing
Если реализовать специальный прокси-сервер[2] (Рис. 2), позволяющий управлять трафиком жертвы, то, перехватывая его, злоумышленник может внедрять произвольный код в страницы, возвращаемые от удаленных серверов, находящихся в сети интернет. Таким образом, когда пользователю придёт форма авторизации на каком-либо сайте, данные, которые он введёт, сначала придут на компьютер злоумышленника, а затем будут переадресованы на
88
Динамика систем, механизмов и машин, № 4, 2014
веб сервер. После этого злоумышленник будет иметь в своём распоряжении логин и пароль учётной записи. Определение того факта, что данные были украдены обычному пользователю, без применения каких-либо специальных знаний, представляется сложным. При таком подходе, даже шифрованный трафик, передаваемый по ИТТРБ, не гарантирует сохранности информации, поскольку может быть расшифрован благодаря ББЬ-вроой^Р].
Имея возможность изменять исходный код страницы, злоумышленник может получить доступ к машине пользователя. Для этого злоумышленнику необходимо выдать вредоносный код за установку какого-либо сетевого ПО или обновления драйвера. Большинство пользователей не проверяют достоверность предложения установки. Таким образом, пользователь устанавливает себе на компьютер вредоносное ПО, функциональность которого целиком и полностью зависит лишь от фантазии злоумышленника.
Пальзователь В
Рис. 2. Работа прокси-сервера
Способы защиты.
Первое и самое простое - не использовать общественные сети. Free wi-fi сети (Рис. 3), как правило, ничем не защищаются и не ограничены в доступе. В таких сетях никак нельзя контролировать трафик, который в них вращается и передаётся на сервер, а, следовательно, с ним можно сделать всё что угодно, пока он не достиг маршрутизатора.
Рис. 3. Не пользоваться общественными сетями
Второе, более сложное с точки зрения обычных пользователей, - использовать статические АКР таблицы для защиты сегмента сети от посторонних пользователей (Рис. 4). Если
89
Динамика систем, механизмов и машин, № 4, 2014
злоумышленник не будет иметь доступа в один сетевой сегмент с компьютером жертвы, он не сможет взаимодействовать, а значит и изменять трафик, проходящий в сети.
Рис. 4. Защита частной сети от посторонних пользователей
864 с.
Библиографический список
1. Локхарт, Э. Антихакинг в сети. Трюки / Э. Локхарт. - СПб. : Питер, 2005. - 296 с.
2. Чирилло, Дж. Обнаружение хакерских атак / Дж. Чирилло. - СПб. : Питер, 2003. -
3. Скудис, Э. Противостояние хакерам / Э. Скудис ; - М. : ДМК Пресс, 2003. - 506 с.