Интернет хакове: Какво е атака на човек в средата?
Когато въведете ExpressVPN.com в лентата на браузъра, вашият компютър търси физическия адрес на ExpressVPN.com в глобална база данни, наречена DNS, което е нещо като телефонен указател за уебсайтове.
Тези глобални бази данни са огледални на различни сървъри по целия свят и една често се намира много близо до вашето настоящо местоположение, където и да се намирате.
Оператори на системни имена на домейни
Вашият местен доставчик на телекомуникации вероятно поддържа такъв DNS сървър. Google, ExpressVPN и други също изпълняват собствени DNS услуги, макар и по различни причини. Google иска да знае всяка една страница, до която отивате, докато ExpressVPN изпълнява услугата, за да защити поверителността ви и да увеличи скоростта на сърфиране.
Има и други, безплатни DNS услуги, които обещават поверителност и устойчивост на цензура, като проекта Open NIC.
Атаки човек-в-средата
DNS сървърът е първата възможна точка за влизане на атака „човек в средата“. Няма начин да разберете дали DNS сървърът връща правилния IP адрес, така че е възможно да се окажете на грешен сървър или на сървъра на атакуващия, когато въвеждате уеб адрес.
Теоретично атаката на човек в средата обяснява много специфична атака, при която нападателят седи между двете жертви (в случая вие и сървъра). И двете страни са жертви, защото и двете страни са подмамени да мислят, че общуват директно помежду си, когато всъщност говорят чрез трета страна, нападателя.
Разбира се, в действителност нападателят на човек в средата не трябва да бъде мъж или дори един човек. Може да е група от хора, но най-вероятно това е просто софтуер.
Представете си, че сте жертва на подобна атака. Нападателят може да прочете целия ви интернет трафик, включително всички пароли, които въвеждате в уебсайт, и всички имейли, които въвеждате. Това би било катастрофа, така че как можем да имаме сигурен и функциониращ интернет, когато съществуват уязвими места?
HTTP, където е магията.
Hypertext Transfer Protocol Secure и Green Lock
Отговорът на проблема е HTTPS (Hypertext Transfer Protocol Secure).
HTTP означава протокол за трансфер на хипертекст и е разработен през 90-те години. От 1997 г. HTTP е фактически стандарт за обмен на структуриран текст – I.E. уебсайтове – в мрежата.
HTTPS значително подобри сигурността на HTTP в края на 2000-те. S означава сигурна и понастоящем разчита на два основни протокола за криптиране: SSL (Secure Sockets Layer) и TLS (Transport Layer Security), въпреки че първият е на път да стане излишен..
HTTPS прави две неща: Криптира трафика между вас и сайта, който посещавате, и ви предоставя удостоверяване, че сайтът, който посещавате, е наистина сайтът, който възнамерявате да посетите. Можете да кажете дали даден сайт използва HTTPS, тъй като в лентата на браузъра ви ще се появи зелено заключване.
За да постигне това, собственикът на сайта е длъжен да регистрира своите ключове за криптиране в сертифициращия орган (CA). Ключовете и регистрациите са публично достояние, за да се гарантира, че ако сертификатът е издаден неправилно, собственикът може лесно да разбере, както често се случва с Google.
Можете да потърсите сертификати за сертификати на никого, като използвате онлайн инструмента за прозрачност на Google, като просто въведете URL адреса им.
И така, докато всеки сайт използва HTTPS и докато проверяваме всеки сайт, който посещаваме, за зеленото заключване в лентата на браузъра, ние теоретично сме в безопасност от тези атаки на човек в средата.
Ако преминем към нов сайт и открием, че връзката не е криптирана (няма зелено заключване), е невъзможно да разберем дали сайтът не поддържа криптиране (в този случай може да ги публикуваме публично и да ги избягваме, докато не го направят ) или дали сме жертва на нападение между човек.
Дори ако сайт изисква от вас да се свържете с него през криптиран канал, атака човек в средата може да шифрира връзката, което ще накара сайта да повярва, че всичко е наред, когато всъщност връзката между нападателя и потребителят остава незашифрован.
HTTP стриктната транспортна сигурност е по-високо ниво на сигурност
За да се предпазят от това, ExpressVPN и много други използват нещо, наречено HSTS (строга HTTP транспортна сигурност).
Когато за първи път се свързвате с уебсайт на HSTS, уебсайтът инструктира вашия браузър да се свързва само през HTTPS в бъдеще и никога да не се свързва чрез незашифровани средства. Това обаче работи само ако за първи път се свържете със сайта, вече не сте атакувани.
Някои популярни уебсайтове с висок профил направят крачка напред и убеждават разработчиците на основните браузъри да включат специално правило в софтуера си, за да гарантират, че дори и първа връзка се осъществява по криптиран канал.
HTTPS навсякъде за вашия браузър
Фондацията за електронни граници пусна умен инструмент, наречен HTTPS Everywhere, който ви позволява да задавате правила за всички сайтове, които посещавате, и принуждава браузъра ви да използва само https. Това прави далеч по-малко вероятността случайно да пренебрегнете атаката на човек в средата.
HTTPS Everywhere е разширение за вашия браузър и работи с Firefox, Chrome и Opera. Можете дори да зададете правило, което блокира всички връзки, направени с HTTP, въпреки че за съжаление това прави много сайтове неизползваеми.
Важно е да запазите имейла и чата си защитени.
Шифровайте чата и имейла Защитете от атаки Man-In-The-Middle
Атаките на човек в средата не се ограничават до сърфиране. Те представляват заплаха навсякъде, където се използва криптиране, например имейл или чат съобщения. В криптиран чат и имейл стратегията на атаката е подобна на тази при сърфиране в уеб, но защитата е малко по-различна.
Съобщения извън записа (OTR)
OTR е протокол, който позволява силни криптирани разговори в чат между отделни хора. Когато се стартира чат OTR, ключовете за криптиране се обменят между потребителите. Ако нападател се постави в средата на двама потребители, той може да настрои два отделни криптирани чата с двете жертви, което ги кара да повярват, че говорят директно един с друг.
Тъй като сертификационните органи не съществуват за приложенията за чат, двамата потребители трябва да потвърдят ръчно ключовете си, за да се уверят, че наистина разговарят директно един с друг. Те могат да направят това, като посочат ключовете си на своя уебсайт, визитна картичка или го предават по всеки защитен канал, до който нападателят няма да има достъп.
Доста добра поверителност (PGP)
PGP е златният стандарт в криптирането. Използва се за криптиране на текст, имейли и файлове. Може да се използва и за проверка на целостта на всякакъв вид данни.
Тъй като всеки може да създаде PGP ключ, нападателят може просто да разпространи ключ от името на желаната жертва. Сега, ако някой се опита да общува с жертвата, всъщност свършва общуването с нападателя, който ще препрати съобщенията на жертвата. И двете страни смятат, че тъй като използват PGP, те са сигурни, но вместо това директно споделят съобщенията си с нападателя.
PGP ключовете обикновено се качват на сървъри на ключове, където те стават обществено видими. За да се защити от фалшиви ключове, PGP използва функция, наречена подписване на ключове. Това работи, като накарате няколко ваши колеги и доверени приятели да подпишат вашия ключ. Работейки по принципа, всеки в интернет е свързан чрез по-малко от четирима души, вероятно е някой, на когото имате доверие, да е подписал непознат ключ.
На практика обаче ключовете не се подписват обикновено и все пак ще трябва да разчитате сами да удостоверите вашия партньор за чат.
Други криптирани приложения за чат
Някои чат приложения, като Signal и Telegram, ви позволяват да проверите пръстовия отпечатък на партньора си за разговор и следователно да имате някакъв механизъм за откриване на атаки от човек в средата.
Други платформи за криптирани съобщения, като iMessage и Whatsapp, нямат тези функции. Те ви оставят на тъмно за подобни атаки, така че сте принудени да разчитате на службата, за да ви защити, по някакъв начин.
Важно е да се предпазите от атаки на човек в средата
Проверката на това, че посещаваните от вас сайтове използват достатъчно криптиране, е единствената ефективна защита срещу атаки от човек в средата.
За сайтове, които редовно посещавате, разширението HTTPS Everywhere ще се уверява, че всеки път, когато се свържете със сайта, то е над криптирана връзка. По този начин се гарантира, че нападателят не може да ви подмами да въведете информация на сървър, който просто се представя за сървъра, към който искате да бъдете свързани.
Когато липсва зелена брава, при никакви обстоятелства не трябва да въвеждате лична информация, като имейл адреси или пароли. Ако няма зелено заключване на дисплея, опитайте отново по-късно, свържете се чрез VPN. Или се свържете с оператора на уебсайта.
Препоръчано изображение: Владимир Колетич / Фотоклуб на Долар
HTTP: Фотоклуб Melpomene / Dollar
Чат: Фотоклуб Gstudio Group / Dollar
17.04.2023 @ 17:42
When you enter ExpressVPN.com in your browsers address bar, your computer searches for the physical address of ExpressVPN.com in a global database called DNS, which is like a phone book for websites. These global databases are mirrored on various servers around the world, and one is often located very close to your current location, wherever you are. Your local telecommunications provider probably maintains such a DNS server. Google, ExpressVPN, and others also provide their own DNS services, albeit for different reasons. Google wants to know every page you visit, while ExpressVPN provides the service to protect your privacy and increase browsing speed. There are also other free DNS services that promise privacy and censorship resistance, such as the Open NIC project.
The DNS server is the first possible point of entry for a “man-in-the-middle” attack. There is no way to know if the DNS server is returning the correct IP address, so it is possible to end up on the wrong server or on the attackers server when entering a web address. The man-in-the-middle attack theoretically explains a very specific attack in which the attacker sits between the two victims (in this case, you and the server). Both sides are victims because both sides are deceived into thinking they are communicating directly with each other when in fact they are talking through a third party, the attacker. Of course, in reality, the man-in-the-middle attacker does not have to be a man or even a person. It can be a group of people, but most likely it is just software.
The answer to the problem is HTTPS (Hypertext Transfer Protocol Secure). HTTPS significantly improved the security of HTTP in the late 2000s. HTTPS encrypts the traffic between you and the site you are visiting and provides you with authentication that the site you are visiting is indeed the site you intend to visit. You can tell if a site uses HTTPS because a green lock will appear in your browsers address bar. To achieve this, the site owner must register their encryption keys with a certification authority (CA). The keys and registrations are public domain to ensure that if the certificate is issued incorrectly, the owner can easily find out, as often happens with Google.
So, as long as every site uses HTTPS and we check every site we visit for the green lock in the browsers address bar, we are theoretically safe from these man-in-the-middle attacks. If we go to a new site and find that the connection is not encrypted (there is no green