هدف اکثر مهاجمان، بدون در نظر گرفتن کسب و کار و درآمدشان، دزدیدن اطلاعات کاربران است. حالا این حمله می تواند خیلی کوچک، حملات گسسته بر کاربران شخصی و یا می تواند حمله به وب سایت های معروف در کمپانی های بزرگ یا پایگاه داده های مالی باشد. روشها و متدها می توانند تغییر کنند اما هدف همیشه یک چیز است. در بیشتر موارد، در ابتدا مهاجمان سعی دارند گونه ای از نرم افزار های مخرب را بر روی سیستم کاربران نصب کنند، که کوتاه ترین مسیر بین آن ها و داده های شما است. اما اگر به دلایلی نتوانند از این راه وارد شوند، یکی دیگر از روش های مشهور که همان حمله مرد میانی است را عملی می کنند. همان طور که از نامش پیداست، در مسیر این حمله یا مهاجمان و یا ابزار مخرب مهاجمان مابین قربانی و یک منبع با ارزش مثل یک سایت بانکی یا حساب کاربری ایمیل قرار گرفته است. این حملات می توانند بسیار موثر وشناسایی آنها دشوار باشد، خصوصا برای کاربرانی که از حملات حاضر آگاه نیستند.
تعریف حملات مرد میانی
مفهوم حملات مرد میانی یا همان MITM به طور قابل ملاحظه ای ساده است و به امنیت کامپیوتر و دنیای آنلاین محدود نمی شود. در ساده ترین شکل آن، این حمله نیازمند این است که جایگاه مهاجم بین دو قسمتی که در حال برقراری ارتباط با یکدیگر هستند قرار بگیرد، که در واقع قادر به قطع پیام در حال ارسال می شود و می تواند خودش را به جای یکی از طرفین جا بزند. به عنوان مثال، در دنیای آفلاین مثل شخصی است که صورت حساب یا فاکتور های جعلی ایجاد می کند و آن ها را در صندوق پستی قربانیان قرار می دهد. سپس چک هایی را که قربانیان قصد داشتند به عنوان پرداخت از طریق پست ارسال کنند را، بدست می آورد. در دنیای آنلاین، این حملات تا حدودی پیچیده تر هستند اما ایده آنها یکی است. در اینجا مهاجم خود را بین هدف و برخی از منابعی که او میخواهد به آن برسد قرار می دهد. حضور مهاجمان باید بین قربانی و منبع قانونی به صورت ناشناخته بماند. در واقع مهاجم برای رسیدن به موفقیت باید جعل هویت کند.
انواع دیگر حمله MITM
رایج ترین نوع MITM ، حمله ایست که مهاجم با استفاده از روتر وای فای به عنوان مکانیسمی عمل می کند که ارتباط بین کاربران را قطع می کند. یک حملهی MITM ساده به نویسندهی کد مخرب امکان میدهد ترافیک اینترنت را پیش از آنکه به مقصد خود برسد، شنود و رهگیری کند و یا آن را به وبگاه دیگری هدایت کرده و از طریق آن به ثبت اطلاعات شخصی و محرمانه بپردازد. این اقدام زمانی امکان پذیر است که یک روتر مخرب طوری راه اندازی شود که به صورت مشروع نمایان شود یا با ایجاد یک نقص در روتر مانع از ارتباط کاربران با یکدیگر شوند. در سناریوی قبلی، مهاجم می تواند لپ تاپش را کانفیگ کند یا دیگر ابزار وای فای را به عنوان هات اسپات قرار دهد و آن را در مکان های عمومی مانند فرودگاه و یا کافی شاپ اشتراک گذاری کند. سپس، کاربرانی که به "روتر" متصل می شوند و برای دستیابی به سایت های حساس مثل سایت های آنلاین بانک ها یا سایت های بازرگانی تلاش می کنند، اطلاعات حساب اعتباریشان توسط مهاجمان گرفته می شود و برای دفعات بعد استفاده می شود. در مثال اخیر، مهاجم با بدست آوردن نقطه ضعف موجود در تنظیمات یا سیستم رمزگذاری روتر وای فای، ارتباطات بین کاربر و روتر را شنود می کند. این سناریو یکی از سخت ترین سناریوها می باشد اما چنانچه مهاجمان قادر به حفظ مداوم دسترسی روتر برای چند ساعت یا چند روز باشند می تواند موثرترین سناریو باشد. این روش به مجرمین این قابلیت را می دهد تا بصورت مخفی از کاربرانی که فکر می کنند بصورت امن با سرویس دهنده ایمیل خود یا اطلاعات مهم و حساس در ارتباط هستند؛ استراق سمع کنند.
نوعی دیگراز MITM که با عنوان مردی در مرورگر شناخته شده است. حملهی مردی در مرورگر (MitB)، بدافزاری است که در مرورگر وب مستقر شده و تمامی درخواستهای وب را رهگیری و دستکاری میکند. این بدافزارها میتوانند نامکاربری و گذرواژههای کاربر در وبگاههای مؤسسات مالی و یا شرکتها را برباید. همچنین این بدافزارها میتوانند کاربر را به نسخهای مشابه یک وبگاه پرداخت اینترنتی هدایت کرده و اطلاعات محرمانهی کاربر را سرقت کنند. در هر دوی این سناریوها، مجرمان سایبری در حال ربودن ارتباطات میان رایانهی شما و وبگاهی که از آن بازدید میکنید، هستند. این حمله درسالهای اخیر از محبوبیت بیشتری برخوردار بوده است زیرا که این نوع حمله به مهاجمان اجازه می دهد گروه بزرگتری از قربانیان را مورد حمله قرار دهند و نیاز نیست که آنها حتما در نزدیکی قربانیان باشند.
انواع راه های دفاع در برابر MITM
چندین راه موثر در مقابل حملات MITM وجود دارد اما تقریبا همه آن ها بر روی روتر و قسمت سرور هستند و کاربران هم هیچ کنترلی بر عملیات در حال انجام ندارند. گونه ای دفاع وجود دارد که برای رمزگزاری قوی بین مشتری و سرور استفاده می شود. در این مورد سرور می تواند خودش گواهینامه های دیجیتال تصدیق کند و سپس مشتری و سرور می توانند از طریق کانال رمزگزاری شده، اطلاعات حساس را برای هم ارسال کنند. اما این امکان نیازمند این است که شما بر روی سرور رمزگذاری را فعال کنید. از سویی دیگر، زمانی که کاربران به هیچ روتر وای فای بدون رمزی متصل نشوند یا با استفاده از یک پلاگین بروزر مثل HTTPS Everywhere1 و یا از ForceTLS که همیشه یک اتصال امن را زمانی که این گزینه در دسترس باشد به همراه دارد، کاربران می توانند از خود در برابر انواع حملات MITM محافظت کنند. با این حال، هر کدام از این محافظت ها یک سری محدودیت دارد و حملاتی مانند SSLStrip و SSLSnif امنیت اتصالات SSL را خنثی کرده اند.
