Man in the middle napad

Internet je javna i globalna mreža te kao takav nije siguran. Kada dva računala iz različitih lokalnih mreža komuniciraju podaci se šalju kroz nekoliko različitih usmjerivača i računala. Jedan od načina na koji napadači mogu krasti podatke je man in the middle napadom. Ime napada dobro opisuje i sam napad, a to je neovlašteno prisluškivanje komunikacijskog kanala. Man in the middle napadi ciljaju usmjeritelje i poslužitelje s nedovoljnom zaštitom. U ovom radu proći ću kroz vrste, primjere te načine prevencije i detekcije man in the middle napada.

Ključne riječi: man in the middle; mrežni napad; komunikacijski kanal

Man in the middle napad je moderna verzija prisluškivanja razgovora. Dok se to prije radilo prislanjanjem uha na vrata ili skrivanja iza zavjesa danas se prisluškuje komunikacija putem računala. U suštini man in the middle napad je čitanje podataka iz komunikacijskog kanala u kojem ne bi trebali biti. Osim čitanja podataka moguće je spremiti podatke te ih promijeniti u stvarnom vremenu te umetnuti vlastite maliciozne podatke. Cilj man in the middle napada su najčešće povjerljive informacije kao što su lozinke. U ovom radu ću prvo navesti i objasniti različite vrste man in the middle napada gledajući ciljane podatke ili ciljane žrtve, a nakon toga će slijediti teoretski i stvarni primjeri napada. Posljednje poglavlje je temeljeno na detekciji i prevenciji man in the middle napada.

Kako bi napadač došao u priliku čitati podatke iz komunikacijskog on se prvo treba neopaženo priključiti na kanal. Napadač to može napraviti na više načina.

• Lažna pristupna točka: najjednostavniji način za neovlašteno čitanje podataka. U ovakvom napadu napadač napravi pristupnu točku na javnom mjestu te joj da uvjerljivo ime, pristupna točka imena “Maksimir” pokraj stadiona Maksimir. Ostavljajući priključivanje mreži bez zaporke napadač čeka da se žrtva pomoću njegove pristupne točke spoji na Internet. Napadač pomoću alata za praćenje mrežnog prometa može čitati podatke koje žrtva šalje i prima preko Interneta. Ovakvi napadi ciljaju ljude na javnim mjestima kao što su kafići, restorani i hoteli. Teško je ciljanu žrtvu napasti jer se ona sama dobrovoljno mora spojiti na pristupnu točku.

• IP spoofing: Svako računalo spojeno na Internet ima dodijeljenu Internet Protocol(IP) adresu. Podaci u Internetu se šalju paketima od jednog računala prema drugom pomoću niza usmjeritelja. IP spoofing podrazumijeva stvaranje i slanje IP paketa potpisujući se žrtvinom IP adresom. IP spoofing se koristi pretežno u svrhu napada uskraćivanja usluge, neovlaštenim spajanjem na poslužitelj, ali i za man in the middle napade iako nije praktično. Koristeći IP spoofing napadač može preusmjeriti komunikacijski kanal između dva korisnika tako da on bude u sredini tj. prima i šalje podatke od obje žrtve kao što se vidi na slici 1.

• DNS spoofing: U Internetu svaki poslužitelj ima vlastitu IP adresu, ali mu se može pristupiti pomoću imena poslužitelja. To omogućava DNS koji na korisnikov zahtjev za IP adresom poslužitelja dan njegovim imenom daje odgovor u kojem se nalazi njegova IP adresa. Nakon primitka IP adrese ona je zapisana u cache memoriju računala. Napadač izvodi DNS spoofing tako što se predstavi kao autoritativni poslužitelj(authoritative nameserver). Nakon što korisnikov zahtjev dođe do DNS poslužitelja on proslijedi zahtjev stvarnom autoritativnom poslužitelju i čeka odgovor. Tada napadač šalje svoju IP adresu DNS poslužitelju praveći se da odgovara na zahtjev koji onda tu adresu proslijedi korisniku. To je moguće jer se paketi između DNS poslužitelja i autoritativnog poslužitelja šalju User Datagram Protocolom(UDP). Na slikama 2. i 3. prikazan je tijek komunikacije odnosno konačnog stanja nakon DNS spoofinga

• ARP spoofing: Address Resolution Protocol(ARP) je protokol koji zabilježava IP adresu računala i Media Access Control(MAC) adresu računala u ARP tablici. ARP tablice su pohranjene u usmjeritelju i u računalima u lokalnoj mreži. Računala koriste ARP protokol komunicirajući pomoću request(zahtjev) i response(poruka). Napadač prvo mora saznati IP i MAC adrese žrtve i usmjeritelja. Nakon što žrtvino računalo pošalje ARP request ono čeka odgovor. ARP protokol ne verificira odgovore tako da napadač može odgovoriti na žrtvinu poruku te u ARP response navesti svoju MAC adresu te tako preusmjeriti sav promet usmjeren prema lokalnoj i ostalim mrežama. Na slici 4. ispod se vidi smjer podataka u mreži nakon uspješnog ARP spoofinga.

[1] https://www.researchgate.net/publication/333198147_Network_Forensics_Analysis_of_Man_in_the_Middle_Attack_Using_Live_Forensics_Method

[2] Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.

[3] Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006