Tấn công man-in-the-middle

Tấn công man-in-the-middle

Là một trong nhiều kỹ thuật tấn công mạng, cho phép hacker can thiệp vào kết nối Internet của người dùng và thu thập mọi thông tin truyền trên hệ thống mạng đó

Tấm hình trên có quen với bạn không? Không có gì lạ. Hàng triệu người dùng khắp thế giới kết nối vào mạng Wi-Fi công cộng bằng thiết bị di động của mình khi đi đây đó, và hầu như ai cũng cố gắng giữ kết nối càng lâu càng tốt. Vấn đề ở đây là không phải mạng không dây nào cũng đàng hoàng. Hình ảnh bên trên là một mạng Wi-Fi giả của hệ thống Wi-Fi của một khách sạn, nhưng chúng ta không thể phân biệt được nếu chỉ nhìn vào màn hình.

Kiểu tấn công này trong giới chuyên môn gọi là man-in-the-middle (người đứng giữa), là một trong nhiều kỹ thuật tấn công mạng, cho phép kẻ nào đó can thiệp vào kết nối Internet của người khác và thu thập mọi thông tin truyền trên hệ thống mạng đó. Loại tấn công này đã xuất hiện nhiều năm nay, gây hại với người dùng PC. Nhưng hiện nay, điện thoại di động đang được sử dụng nhiều nên đã trở thành đích ngắm mới.

Một chuyên gia của công ty bảo mật Lookout đã trình diễn những cánh tấn công thông dụng sử dụng kỹ thuật này.

Diễn ra thế nào?

Bởi vì người dùng thường làm rất nhiều việc thông qua thiết bị di động, sử dụng Wi-Fi công cộng, nên dữ liệu truyền ra vào thiết bị trở thành rủi ro lớn cho nhiều doanh nghiệp.

Thông thường, kết nối Internet thông qua các điểm truy cập (access point) hay proxy không an toàn không phải là hiểm hoạ lớn, bởi vì dữ liệu của doanh nghiệp thường được mã hoá. Tuy vậy, có những phương pháp tấn công cho phép kẻ xấu xem được cả dữ liệu mã hoá của doanh nghiệp, như tài khoản đăng nhập hay email nhạy cảm.

Có hai bước để thực hiện tấn công kiểu man-in-the-middle. Đầu tiên, kẻ tấn công phải xâm nhập được vào hệ thống mạng. Thứ hai, kẻ tấn công phải giải mã dữ liệu.

Xâm nhập vào hệ thống mạng

Có bốn cách phổ biến mà kẻ xấu thường dùng để xâm nhập mạng:

  1. Giả một điểm truy cập Wi-Fi
  2. Giả ARP
  3. Chiếm proxy /SSL Bump
  4. VPN giả

tan-cong-man-middleGiả điểm truy cập Wi-Fi

  1. Kẻ tấn công thiết lập một access point giả
  2. Giả một mạng mà người dùng sẽ tin tưởng là thật
  3. Khi người dùng kết nối (hoặc có thể thiết bị tự động kết nối mà không cần người dùng can thiệp), kẻ tấn công đã vào được cùng một mạng với thiết bị của người dùng.

tan-cong-man-middle-1Giả ARP

  1. Kẻ tấn công thiết lập địa chỉ MAC của chính chúng như là một gateway hoặc thiết bị của nạn nhân.
  2. Kẻ tấn công có thể can thiệp hoặc chỉnh sửa mọi luồng dữ liệu.

tan-cong-man-middle-2Chiếm proxy/SSL Bump

  1. Kẻ tấn công lừa người dùng cài một ứng dụng độc hại hoặc một profile cấu hình nào đó, hoặc sử dụng một phương thức bảo mật khác.
  2. Luồng dữ liệu trên thiết bị bị định hướng đến kiến trúc mạng dựng sẵn của kẻ tấn công.

tan-cong-man-middle-3VPN giả

  1. Một người dùng bị lừa để tải về một ứng dụng hay một profile cấu hình để yêu cầu kích hoạt VPN.
  2. Luồng dữ liệu trên thiết bị bị định hướng trỏ vào VPN của kẻ tấn công.

tan-cong-man-middle-4Giải mã dữ liệu

Có vài cách sau để giải mã dữ liệu trong khi dữ liệu đang di chuyển trên hệ thống mạng. Trong đó, ba cách sau là thường gặp nhất:

  1. Tấn công chứng thực host
  2. SSLStrip
  3. Hạ cấp giao thức TLS

Tấn công chứng thực host

  1. Kết nối thông qua man-in-the-middle
  2. Kẻ tấn công thiết lập session SSL với host đã nhắm trước
  3. Host hồi đáp với chứng thực SSL
  4. Chứng thực giả tới người dùng cuối và người dùng chấp nhận

Nếu người dùng bị lừa cài đặt một chứng thực root thì thậm chí hệ thống vô hiệu hoá cảnh báo về chứng thực về sau.

tan-cong-man-middle-5SSLStrip

Cách hoạt động:

  1. Kết nối thông qua kẻ tấn công
  2. Kẻ tấn công viết lại nội dung nhưng không gồm các link HTTPS
  3. Thông tin vào ra, như tài khoản đăng nhập, sẽ hiển thị ở dạng văn bản thuần, không hề mã hoá

tan-cong-man-middle-6Hạ cấp giao thức TLS

Kẻ tấn công chiếm kết nối để hạ cấp giao thức. Những giao thức lỗi thời như TLS lại rất dễ giải mã nếu kẻ tấn công am tường công nghệ.

tan-cong-man-middle-7An toàn là trên hết

Khi kết nối đến Wi-Fi, bạn nên cẩn trọng nếu có bất kỳ dấu hiệu nào yêu cầu bạn thực hiện thêm vài điều để có thể kết nối được đến Internet.

Nhưng nếu mạng Wi-Fi yêu cầu bạn bổ sung thông tin nào khác, như là chứng thực hay phải tải một app nào đó về thì rõ ràng đó là dấu hiệu của kẻ xấu muốn lừa bạn.

tan-cong-man-middle-8Cũng có vài cách an toàn để bạn lướt web khi đi ra ngoài. Sử dụng mạng 3G, tuy có tốn kém nhưng lại an toàn hơn nhiều so với Wi-Fi. Nên nếu cần truy cập dịch vụ ngân hàng trực tuyến hay công việc quan trọng trên mạng, bạn nên chuyển sang dùng 3G. Hoặc bạn có thể bật VPN để mã hoá mọi dữ liệu vào/ra khi đến quán xá nào đó.

Cách tốt nhất là bạn không nên giao dịch điện tử qua Wi-Fi công cộng.

Theo PCWorldVN