TIP#591: Co je to MITM?

Čas naučit se jednu užitečnou zkratku a zjistit, že i antivirové programy mohou být extrémně nebezpečné, pokud jim dovolíte pohrávat si s vaším připojením k Internetu. Tou zkratkou je MITM, tedy Man in the Middle. A týká se MITM útoků, dost nepříjemného bezpečnostního problému.

MITM útoky se týkají Internetu (komunikace přes Internet) a šifrování a fungují tak, že útočník postaví do cesty toku nějakých těch dat, třeba mezi váš počítač a internetové bankovnictví, něco co komunikaci nejenom odchytí (odposlouchává), ale také dokáže měnit. Funguje to tak, že nemáte nejmenší tušení, že se něco takového děje. V internetovém bankovnictví to pak může vypadat tak, že vy sice zadáváte příkaz k platbě, ale útočník ho při zadávání mění a bance zadává jiné údaje. Což mu umožní vás dostat až ke schválení platby, která nakonec odejde na zcela jiný účet.

Nejsnadnější MITM útoky jsou tam, kde není šifrovaná komunikace, tedy například když se připojíte přes cizí nešifrovanou WiFi (užitečné čtení viz Co je to WiFi/Packet Sniffer a kde si ho můžu opatřit a co bych o tom měl vědět?, ale hlavně Je bezpečné používat neznámé WiFI?). Tam může kdokoliv, ale hlavně provozovatele takové WiFi, odchytávat vše co přes ni posíláte. Což mu umožní, například, získat vaše přihlašovací údaje tam kde nekomunikujete přes šifrované připojení https. Nebo vyměňovat to, co posíláte i přijímáte.

Халдлага

Takhle nějak to vypadá v jednoduchém zobrazení (Zdroj: Wikimedia Commons)

MITM útočník je ale bohužel běžně i antivirový program, který jste si pořídili do počítače a necháváte ho kontrolovat (hledat nebezpečný obsah) ve webové (internetové) komunikaci. Aby antivirový program mohl naslouchat a hlídat co pobíhá po šifrovaném připojení, naruší zásadním způsobem bezpečnost podvržením univerzálně použitelných certifikátů – dostane se tak k obsahu jakékoliv šifrované komunikace. Dešifruje ji, aby mohl najít nebezpečný obsah, a poté ji opět zašifruje aby data odešla či přišla tam kam mají.  Pokud si myslíte, že něco takového není možné, tak smůla. Viz například Avast’s man in the middle

MITM útoky podobné tomu jak to dělají antiviry ale nakonec používají i viry, adware či malware. Dokáží tak vyměňovat v obsahu webových stránek inzeráty, či je vsouvat tam, kde ve skutečnosti žádné nejsou.

Podobně nesmírně nebezpečné nápady ale mají občas i výrobci hardware, viz Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj, ale také třeba viz Na Download.com a jinde můžete chytit crapware narušující HTTPS, kde zjistíte, že MITM útočníka můžete do počítače dostat i tak, že si stahujete nedůvěryhodné software z Internetu.

MITM útočníkem se stávají běžně i represivní režimy, které chtějí za každou cenu vědět co jejich občané na Internetu dělají, ale také které chtějí omezovat komunikaci, tedy říkat kam lidé smí chodit a kam chodit nesmí. Velmi brzy jim přestane stačit prosté blokování URL či IP adres a nasadí různé formy MITM aby dokázaly najít ty, kteří se základní blokaci pokoušejí obejít.

Jeden příklad viz Po zablokování Gmailu Čína „hackla“ i Microsoft Outlook, kde se dozvíte o použití MITM na všechny uživatele e-mailu v Číně. Zásadní roli zde pochopitelně hrají podvržené certifikáty, jedna ze zásadních slabin dnes používaných „bezpečných“ komunikačních protokolů na Internetu.

Jak poznáte MITM útok?

Jedno je nutné říci, že poměrně těžko, pokud jste obyčejný uživatel. Tací jsou navíc schopni spokojeně odklikávat certifikáty nepocházející od skutečných certifikačních autorit, nechat se přesměrovat z https připojení na nešifrované (http, něco takového prakticky znemožní zjistit, že někde cestou je útočník) a vůbec dělat podivné věci.

Existují různé pluginy pro prohlížeče, které mohou usnadnit objevení MITM. Certificate Patrol pro FireFox například pomáhá hlídat bezpečnostní certifikáty, podobně jako Perspecives Project. Jedna z další pomůcek je k nalezení na www.grc.com/fingerprints.htm, včetně dlouhého povídání o MITM a hlavně certifikátech (týká se ale hlavně prohlížečů, MITM útoky probíhají i mimo ně).

Zkusit můžete i SSL Eye (Windows), stáhnutelný program, který ověřuje přítomnost MITM útoku tím, že ověří certifikáty, případně mrkněte i na Encrypted web stream interception, kde je nejenom obrázkové vysvětlení MITM, ale také test (nezapomeňte zadávat adresu včetně https://), včetně CheckMyHTTPS rozšíření.  Tamní test ale bude vyžadovat abyste se podívali, jestli ve vašem prohlížeč mají certifikáte stejný otisk.

2016-08-23 08_07_09-Chyba ochrany soukromí

Pokud se chcete podívat, jestli v počítači nemáte nasazený něco co nahrazuje SSL certifikáty něčím vlastním, univerzálním, tak zkuste jit například na https://revoked.grc.com/ – pokud vám neukáže chybu o neplatném certifikátu, tak máte v počítači něco, co tam nemá co dělat (a může to být právě antivirové software).

Problém s detekcí MITM je ten, že některé z nich jsou poznatelné, některé prakticky nikdy, nebo velmi  obtížně.

TIP: O MITM je řeč i v Co hrozí na veřejných Wi-Fi neznámého původu?  a související téma, pro začátek, je Jaký je rozdíl mezi http a https? A proč si na to dávat pozor?