6 Εργαλεία επίθεσης HTTP MITM για ερευνητές ασφάλειας

Μια επίθεση man-in-the-middle (MITM) είναι όταν ένας κακός ηθοποιός διακόπτει μια καθιερωμένη συνομιλία δικτύου ή μεταφορά δεδομένων. Ο εισβολέας κάθεται στη μέση της διαδρομής μεταφοράς και στη συνέχεια προσποιείται ή ενεργεί ως νόμιμος συμμετέχων στη συνομιλία.

Στην πράξη, οι εισβολείς τοποθετούνται μεταξύ των εισερχόμενων αιτημάτων και των εξερχόμενων απαντήσεων. Ως χρήστης, θα συνεχίσετε να πιστεύετε ότι μιλάτε απευθείας με τον νόμιμο διακομιστή προορισμού ή την εφαρμογή web, όπως το Facebook, το Twitter, η ηλεκτρονική τράπεζα και άλλα. Ωστόσο, στην πραγματικότητα, θα στέλνετε αιτήματα στον άνθρωπο στη μέση, ο οποίος στη συνέχεια θα μιλήσει στην τράπεζά σας ή στην εφαρμογή σας για λογαριασμό σας.

Εικόνα από Imperva

Ως εκ τούτου, ο άνθρωπος στη μέση θα δει τα πάντα, συμπεριλαμβανομένων όλων των αιτημάτων και των απαντήσεών σας που λαμβάνετε από τον διακομιστή προορισμού ή στόχου. Εκτός από την προβολή όλης της συνομιλίας, ο άνθρωπος στη μέση μπορεί να τροποποιήσει τα αιτήματα και τις απαντήσεις σας, να κλέψει τα διαπιστευτήριά σας, να σας κατευθύνει σε έναν διακομιστή που ελέγχουν ή να διαπράξει άλλα εγκλήματα στον κυβερνοχώρο.

Γενικά, ο εισβολέας μπορεί να υποκλέψει τη ροή επικοινωνιών ή τα δεδομένα από οποιοδήποτε μέρος της συνομιλίας. Ο εισβολέας μπορεί στη συνέχεια να τροποποιήσει τις πληροφορίες ή να στείλει κακόβουλους συνδέσμους ή απαντήσεις και στους δύο νόμιμους συμμετέχοντες. Στις περισσότερες περιπτώσεις, αυτό μπορεί να μείνει απαρατήρητο για κάποιο χρονικό διάστημα, μέχρι αργότερα μετά από πολλές ζημιές.

Συνήθεις τεχνικές επίθεσης man-in-the-middle

Ανίχνευση πακέτων: – Ο εισβολέας χρησιμοποιεί διάφορα εργαλεία για να επιθεωρήσει τα πακέτα δικτύου σε χαμηλό επίπεδο. Το sniffing επιτρέπει στους εισβολείς να δουν πακέτα δεδομένων στα οποία δεν έχουν εξουσιοδότηση πρόσβασης.

Έγχυση πακέτων: – όπου οι εισβολείς εισάγουν κακόβουλα πακέτα στα κανάλια επικοινωνίας δεδομένων. Πριν από την ένεση, οι εγκληματίες θα χρησιμοποιήσουν πρώτα το sniffing για να εντοπίσουν πώς και πότε να στείλουν τα κακόβουλα πακέτα. Μετά την έγχυση, τα κακά πακέτα αναμειγνύονται με τα έγκυρα στη ροή επικοινωνίας.

Παραβίαση συνεδρίας: Στις περισσότερες εφαρμογές Ιστού, η διαδικασία σύνδεσης δημιουργεί ένα προσωρινό διακριτικό περιόδου λειτουργίας, έτσι ώστε ο χρήστης να μην χρειάζεται να συνεχίσει να πληκτρολογεί τον κωδικό πρόσβασης για κάθε σελίδα ή οποιοδήποτε μελλοντικό αίτημα. Δυστυχώς, ένας εισβολέας που χρησιμοποιεί διάφορα εργαλεία ανίχνευσης μπορεί να αναγνωρίσει και να χρησιμοποιήσει το διακριτικό περιόδου λειτουργίας, το οποίο μπορεί τώρα να χρησιμοποιήσει για να υποβάλει αιτήματα προσποιούμενος ότι είναι ο νόμιμος χρήστης.

Απογύμνωση SSL: Οι εισβολείς μπορούν να χρησιμοποιήσουν την τεχνική αποσύνδεσης SSL για να υποκλέψουν τα νόμιμα πακέτα, να τροποποιήσουν τα αιτήματα που βασίζονται σε HTTPS και να τα κατευθύνουν στον μη ασφαλή προορισμό ισοδύναμο HTTP. Κατά συνέπεια, ο κεντρικός υπολογιστής θα αρχίσει να κάνει ένα μη κρυπτογραφημένο αίτημα στον διακομιστή, επομένως θα εκθέσει ευαίσθητα δεδομένα ως απλό κείμενο που είναι εύκολο να κλαπεί.

  10 καλύτερα διαδικτυακά εργαλεία και εφαρμογές εγγραφής φωνής

Συνέπειες επιθέσεων MITM

Οι επιθέσεις MITM είναι επικίνδυνες για κάθε οργανισμό και επειδή μπορούν να οδηγήσουν σε οικονομικές απώλειες και απώλεια φήμης.

Συνήθως, οι εγκληματίες μπορούν να αποκτήσουν και να κάνουν κατάχρηση των ευαίσθητων και ιδιωτικών πληροφοριών του οργανισμού. Για παράδειγμα, μπορούν να κλέψουν διαπιστευτήρια όπως ονόματα χρήστη και κωδικούς πρόσβασης, στοιχεία πιστωτικής κάρτας και να τα χρησιμοποιήσουν για να μεταφέρουν χρήματα ή να κάνουν μη εξουσιοδοτημένες αγορές. Μπορούν επίσης να χρησιμοποιήσουν κλεμμένα διαπιστευτήρια για να εγκαταστήσουν κακόβουλο λογισμικό ή να κλέψουν άλλες ευαίσθητες πληροφορίες – τις οποίες μπορούν να χρησιμοποιήσουν για να εκβιάσουν την εταιρεία.

Για το λόγο αυτό, είναι σημαντικό να προστατεύονται οι χρήστες και τα ψηφιακά συστήματα για να ελαχιστοποιούνται οι κίνδυνοι επιθέσεων MITM.

Εργαλεία επίθεσης MITM για ομάδες ασφαλείας

Εκτός από τη χρήση αξιόπιστων λύσεων και πρακτικών ασφαλείας, πρέπει να χρησιμοποιήσετε τα απαραίτητα εργαλεία για να ελέγξετε τα συστήματά σας και να εντοπίσετε τρωτά σημεία που μπορούν να εκμεταλλευτούν οι εισβολείς. Για να σας βοηθήσουμε να κάνετε τη σωστή επιλογή, ακολουθούν μερικά από τα εργαλεία επίθεσης HTTP MITM για ερευνητές ασφάλειας.

Hetty

Hetty είναι ένα γρήγορο κιτ εργαλείων ανοιχτού κώδικα HTTP με ισχυρά χαρακτηριστικά για την υποστήριξη ερευνητών ασφαλείας, ομάδων και της κοινότητας επιβράβευσης σφαλμάτων. Το ελαφρύ εργαλείο με μια ενσωματωμένη διεπαφή ιστού Next.js περιλαμβάνει έναν άνθρωπο HTTP στο μεσαίο διακομιστή μεσολάβησης.

Βασικά χαρακτηριστικά

  • Σας δίνει τη δυνατότητα να πραγματοποιήσετε αναζήτηση πλήρους κειμένου
  • Διαθέτει μια λειτουργική μονάδα αποστολέα που σας επιτρέπει να στέλνετε αιτήματα HTTP με μη αυτόματο τρόπο με βάση είτε τα αιτήματα απενεργοποίησης από το αρχείο καταγραφής διακομιστή μεσολάβησης είτε δημιουργώντας τα από την αρχή.
  • Μια λειτουργική μονάδα εισβολέα που σας επιτρέπει να στέλνετε αυτόματα αιτήματα HTTP
  • Απλή εγκατάσταση και εύκολη στη χρήση διεπαφή
  • Στείλτε μη αυτόματα τα αιτήματα HTTP είτε ξεκινώντας από την αρχή, δημιουργώντας το αίτημα είτε απλώς αντιγράφοντας από το αρχείο καταγραφής του διακομιστή μεσολάβησης.

Bettercap

Bettercap είναι ένα ολοκληρωμένο και επεκτάσιμο εργαλείο αναγνώρισης και επίθεσης δικτύου.

Η εύχρηστη λύση παρέχει στους μηχανικούς, τους ειδικούς ασφαλείας και τις κόκκινες ομάδες όλες τις δυνατότητες για να δοκιμάσουν ή να επιτεθούν σε δίκτυα Wi-Fi, IP4, IP6, συσκευές Bluetooth Low Energy (BLE) και ασύρματες συσκευές HID. Επιπλέον, το εργαλείο διαθέτει δυνατότητες παρακολούθησης δικτύου και άλλες δυνατότητες, όπως δημιουργία πλαστού σημείου πρόσβασης, ανιχνευτής κωδικού πρόσβασης, πλαστογράφηση DNS, λήψη χειραψίας κ.λπ.

Βασικά χαρακτηριστικά

  • Ένας ισχυρός ενσωματωμένος ανιχνευτής δικτύου για τον εντοπισμό δεδομένων ελέγχου ταυτότητας και τη συλλογή διαπιστευτηρίων
  • ισχυρός, επεκτάσιμος
  • Ανιχνεύστε και δοκιμάστε ενεργά και παθητικά κεντρικούς υπολογιστές δικτύου IP για πιθανές ευπάθειες MITM.
  • Εύκολο στη χρήση και διαδραστικό περιβάλλον χρήστη βασισμένο στον ιστό που σας επιτρέπει να διεξάγετε ένα ευρύ φάσμα επιθέσεων MITM, να μυρίζετε διαπιστευτήρια, να ελέγχετε την κυκλοφορία HTTP και HTTP κ.λπ.
  • Εξάγει όλα τα δεδομένα που συλλέγει, όπως διαπιστευτήρια POP, IMAP, SMTP και FTP, διευθύνσεις URL επισκέψεων και κεντρικούς υπολογιστές HTTPS, cookie HTTP, δημοσιευμένα δεδομένα HTTP και άλλα. Στη συνέχεια το παρουσιάζει σε ένα εξωτερικό αρχείο.
  • Χειριστείτε ή τροποποιήστε την κυκλοφορία TCP, HTTP και HTTPS σε πραγματικό χρόνο.
  Πώς να βελτιστοποιήσετε τον ιστότοπό σας για χρήστες κινητών;

Proxy.py

Proxy.py είναι ένας ελαφρύς διακομιστής μεσολάβησης WebSockets, HTTP, HTTPS και HTTP2 ανοιχτού κώδικα. Διαθέσιμο σε ένα μόνο αρχείο python, το γρήγορο εργαλείο επιτρέπει στους ερευνητές να επιθεωρούν την κυκλοφορία ιστού, συμπεριλαμβανομένων των κρυπτογραφημένων εφαρμογών TLS, ενώ καταναλώνουν ελάχιστους πόρους.

Βασικά χαρακτηριστικά

  • Είναι ένα γρήγορο και επεκτάσιμο εργαλείο που μπορεί να χειριστεί δεκάδες χιλιάδες συνδέσεις ανά δευτερόλεπτο.
  • Προγραμματιζόμενες λειτουργίες όπως ένας ενσωματωμένος διακομιστής ιστού, διακομιστής μεσολάβησης και προσαρμογή δρομολόγησης HTTP κ.λπ.
  • Έχει ελαφρύ σχεδιασμό που χρησιμοποιεί 5-20MB RAM. Επίσης, βασίζεται στις τυπικές βιβλιοθήκες Python και δεν απαιτεί εξωτερικές εξαρτήσεις.
  • Ένας προσαρμόσιμος πίνακας εργαλείων σε πραγματικό χρόνο που μπορείτε να επεκτείνετε χρησιμοποιώντας πρόσθετα. Σας δίνει επίσης την επιλογή να επιθεωρήσετε, να παρακολουθήσετε, να διαμορφώσετε και να ελέγξετε το proxy.py κατά το χρόνο εκτέλεσης.
  • Το ασφαλές εργαλείο χρησιμοποιεί TLS για να παρέχει κρυπτογράφηση από άκρο σε άκρο μεταξύ του proxy.py και του πελάτη.

Mitmproxy

ο mitmproxy είναι μια εύχρηστη λύση διακομιστή μεσολάβησης HTTPS ανοιχτού κώδικα.

Γενικά, το εύκολο στην εγκατάσταση εργαλείο λειτουργεί ως διακομιστής μεσολάβησης SSL man-in-the-middle HTTP και διαθέτει μια διεπαφή κονσόλας που σας επιτρέπει να επιθεωρείτε και να τροποποιείτε τη ροή κυκλοφορίας αμέσως. Μπορείτε να χρησιμοποιήσετε το εργαλείο που βασίζεται στη γραμμή εντολών ως διακομιστή μεσολάβησης HTTP ή HTTPS για να καταγράψετε όλη την κίνηση του δικτύου, να δείτε τι ζητούν οι χρήστες και να τα αναπαράγετε ξανά. Συνήθως, το mitmproxy αναφέρεται σε ένα σύνολο τριών ισχυρών εργαλείων. το mitmproxy (διεπαφή κονσόλας), το mitmweb (διασύνδεση που βασίζεται στον ιστό) και το mitmdump (έκδοση γραμμής εντολών).

Βασικά χαρακτηριστικά

  • Διαδραστικό και αξιόπιστο εργαλείο ανάλυσης και τροποποίησης κίνησης HTTP
  • Ένα ευέλικτο, σταθερό, αξιόπιστο, εύκολο στην εγκατάσταση και χρήση εργαλείο
  • Σας επιτρέπει να παρακολουθείτε και να τροποποιείτε τα αιτήματα και τις απαντήσεις HTTP και HTTPS εν κινήσει
  • Καταγράψτε και αποθηκεύστε τις συνομιλίες HTTP από την πλευρά του πελάτη και του διακομιστή και, στη συνέχεια, αναπαράγετε ξανά και αναλύστε τις στο μέλλον
  • Δημιουργήστε τα πιστοποιητικά SSL/TLS για αναχαίτιση εν κινήσει
  • Οι δυνατότητες αντίστροφου διακομιστή μεσολάβησης σάς επιτρέπουν να προωθείτε την κίνηση δικτύου σε διαφορετικό διακομιστή.

Ρέψιμο

Ρέψιμο είναι ένα αυτοματοποιημένο και επεκτάσιμο εργαλείο σάρωσης ευπάθειας. Το εργαλείο είναι μια καλή επιλογή για πολλούς επαγγελματίες ασφαλείας. Γενικά, δίνει τη δυνατότητα στους ερευνητές να δοκιμάσουν εφαρμογές Ιστού και να εντοπίσουν τρωτά σημεία που μπορούν να εκμεταλλευτούν οι εγκληματίες και να εξαπολύσουν επιθέσεις MITM.

Χρησιμοποιεί μια ροή εργασίας με γνώμονα τον χρήστη για να παρέχει μια άμεση προβολή της εφαρμογής-στόχου και του τρόπου λειτουργίας της. Λειτουργώντας ως διακομιστής μεσολάβησης Ιστού, ο Burp βρίσκεται ως ο άνθρωπος στη μέση μεταξύ του προγράμματος περιήγησης Ιστού και των διακομιστών προορισμού. Κατά συνέπεια, αυτό σας επιτρέπει να παρακολουθείτε, να αναλύετε και να τροποποιείτε την κίνηση αιτημάτων και απαντήσεων.

  Διορθώστε το Microsoft Setup Bootstrapper έχει σταματήσει να λειτουργεί

Βασικά χαρακτηριστικά

  • Αναχαιτίστε και επιθεωρήστε την ακατέργαστη κίνηση δικτύου και προς τις δύο κατευθύνσεις μεταξύ του προγράμματος περιήγησης ιστού και του διακομιστή
  • Διακόπτει τη σύνδεση TLS στην κυκλοφορία HTTPS μεταξύ του προγράμματος περιήγησης και του διακομιστή προορισμού, επιτρέποντας έτσι στον εισβολέα να προβάλλει και να τροποποιεί κρυπτογραφημένα δεδομένα
  • Επιλογή χρήσης του ενσωματωμένου προγράμματος περιήγησης Burps ή του εξωτερικού τυπικού προγράμματος περιήγησης ιστού
  • Αυτοματοποιημένη, γρήγορη και επεκτάσιμη λύση σάρωσης ευπάθειας, Σας επιτρέπει να σαρώνετε και να δοκιμάζετε εφαρμογές Ιστού πιο γρήγορα και αποτελεσματικά, προσδιορίζοντας έτσι ένα ευρύ φάσμα ευπαθειών
  • Εμφάνιση μεμονωμένων αιτημάτων και απαντήσεων HTTP που έχουν υποκλαπεί
  • Ελέγξτε με μη αυτόματο τρόπο την αναχαιτισμένη κυκλοφορία για να κατανοήσετε τις λεπτομέρειες μιας επίθεσης.

Ettercap

Ettercap είναι ένας αναλυτής και υποκλοπής κίνησης δικτύου ανοιχτού κώδικα.

Το ολοκληρωμένο εργαλείο επιθέσεων MITM επιτρέπει στους ερευνητές να αναλύουν και να αναλύουν ένα ευρύ φάσμα πρωτοκόλλων δικτύου και κεντρικών υπολογιστών. Μπορεί επίσης να καταχωρήσει τα πακέτα δικτύου σε ένα LAN και σε άλλα περιβάλλοντα. Επιπλέον, ο αναλυτής κυκλοφορίας δικτύου πολλαπλών χρήσεων μπορεί να ανιχνεύσει και να σταματήσει επιθέσεις man-in-the-middle.

Βασικά χαρακτηριστικά

  • Υποκλέψτε την κυκλοφορία του δικτύου και καταγράψτε διαπιστευτήρια, όπως κωδικούς πρόσβασης. Επίσης, μπορεί να αποκρυπτογραφήσει κρυπτογραφημένα δεδομένα και να εξάγει διαπιστευτήρια, όπως ονόματα χρήστη και κωδικούς πρόσβασης.
  • Κατάλληλο για βαθιά ανίχνευση πακέτων, δοκιμές, παρακολούθηση της κυκλοφορίας δικτύου και παροχή φιλτραρίσματος περιεχομένου σε πραγματικό χρόνο.
  • Υποστηρίζει ενεργητική και παθητική υποκλοπή, ανατομή και αναλύσεις πρωτοκόλλων δικτύων, συμπεριλαμβανομένων εκείνων με κρυπτογράφηση
  • Αναλύστε μια τοπολογία δικτύου και καθορίστε τα εγκατεστημένα λειτουργικά συστήματα.
  • Φιλικό προς το χρήστη γραφικό περιβάλλον χρήστη με διαδραστικές και μη διαδραστικές επιλογές λειτουργίας GUI
  • χρησιμοποιεί τεχνικές ανάλυσης όπως η παρακολούθηση ARP, το φιλτράρισμα IP και MAC και άλλες για την παρακολούθηση και ανάλυση της κυκλοφορίας

Πρόληψη επιθέσεων MITM

Ο εντοπισμός των επιθέσεων MITM δεν είναι πολύ εύκολος, καθώς συμβαίνει μακριά από τους χρήστες και είναι δύσκολο να εντοπιστεί, καθώς οι εισβολείς κάνουν τα πάντα να φαίνονται φυσιολογικά. Ωστόσο, υπάρχουν αρκετές πρακτικές ασφαλείας που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να αποτρέψουν επιθέσεις από τον άνθρωπο στη μέση. Αυτά περιλαμβάνουν;

  • Ασφαλίστε τις συνδέσεις στο Διαδίκτυο στην εργασία ή στα οικιακά δίκτυα, όπως χρησιμοποιώντας αποτελεσματικές λύσεις και εργαλεία ασφαλείας στους διακομιστές και τους υπολογιστές σας, αξιόπιστες λύσεις ελέγχου ταυτότητας
  • Επιβολή ισχυρής κρυπτογράφησης WEP/WAP για τα σημεία πρόσβασης
  • Διασφάλιση ότι όλοι οι ιστότοποι που επισκέπτεστε είναι ασφαλείς και έχουν HTTPS στη διεύθυνση URL.
  • Αποφύγετε να κάνετε κλικ σε ύποπτα μηνύματα email και συνδέσμους
  • Επιβάλετε το HTTPS και απενεργοποιήστε τα μη ασφαλή πρωτόκολλα TLS/SSL.
  • Χρησιμοποιήστε εικονικά ιδιωτικά δίκτυα όπου είναι δυνατόν.
  • Χρησιμοποιώντας τα παραπάνω εργαλεία και άλλες λύσεις HTTP για τον εντοπισμό και την αντιμετώπιση όλων των τρωτών σημείων που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι.