बीच में मौजूद आदमी से सुरक्षा. मैन इन द मिडिल (एमआईटीएम) हमले के बारे में सब कुछ

10/18/2016 | व्लादिमीर खज़ोव

रूसियों के पत्राचार के अवरोधन और डिक्रिप्शन के संबंध में यारोवाया कानून के प्रावधानों को लागू करने के लिए एफएसबी, दूरसंचार और जन संचार मंत्रालय और उद्योग और व्यापार मंत्रालय की योजनाएं अब केवल योजनाएं नहीं हैं, बल्कि पहले से ही लागू होने लगी हैं एमआईटीएम हमलों का उपयोग करके व्हाट्सएप, वाइबर, फेसबुक मैसेंजर, टेलीग्राम, स्काइप संदेशों को इंटरसेप्ट करने और ऐसे टूल के प्रोटोटाइप के प्रदर्शन की संभावना पर एक विशेषज्ञ की राय तैयार करने के आदेश द्वारा कार्रवाई की जा रही है।

हमने पिछले लेख में "वैध" एमआईटीएम हमले के आयोजन की योजना के बारे में लिखा था। आज हम इस तरह के हमले के सिद्धांत और इसके कार्यान्वयन के तरीकों पर अधिक विस्तार से ध्यान देंगे।

एमआईटीएम हमला क्या है?

मैन इन द मिडल (एमआईटीएम) का अनुवाद "बीच में आदमी" है। यह शब्द एक नेटवर्क हमले को संदर्भित करता है जहां एक हमलावर इंटरनेट उपयोगकर्ता और उस एप्लिकेशन के बीच होता है जिसे वह एक्सेस कर रहा है। बेशक, शारीरिक रूप से नहीं, बल्कि विशेष सॉफ्टवेयर की मदद से। यह उपयोगकर्ता के सामने स्वयं को अनुरोधित एप्लिकेशन के रूप में प्रस्तुत करता है (यह एक वेबसाइट या इंटरनेट सेवा हो सकती है), इसके साथ काम करने का अनुकरण करता है, और इसे इस तरह से करता है कि सामान्य संचालन और सूचना के आदान-प्रदान का आभास हो।

हमले का लक्ष्य उपयोगकर्ता का व्यक्तिगत डेटा है, जैसे लॉगिन क्रेडेंशियल विभिन्न प्रणालियाँ, बैंक विवरण और कार्ड नंबर, व्यक्तिगत पत्राचार और अन्य गोपनीय जानकारी। ज्यादातर मामलों में, वित्तीय अनुप्रयोगों (बैंक ग्राहक, ऑनलाइन बैंक, भुगतान और धन हस्तांतरण सेवाएँ), कंपनी SaaS सेवाएँ, वेबसाइटों पर हमला किया जाता है ई-कॉमर्स(ऑनलाइन स्टोर) और अन्य साइटें जहां लॉग इन करने के लिए प्राधिकरण की आवश्यकता होती है।

हमलावर द्वारा प्राप्त की गई जानकारी का उपयोग विभिन्न उद्देश्यों के लिए किया जा सकता है, जिसमें अवैध धन हस्तांतरण, खाते बदलना, व्यक्तिगत पत्राचार को रोकना, किसी और के खर्च पर खरीदारी करना, समझौता करना और ब्लैकमेलिंग शामिल है।

इसके अलावा, क्रेडेंशियल चुराने और सिस्टम को हैक करने के बाद, अपराधी कॉर्पोरेट नेटवर्क पर दुर्भावनापूर्ण सॉफ़्टवेयर इंस्टॉल कर सकते हैं। सॉफ़्टवेयरबौद्धिक संपदा (पेटेंट, प्रोजेक्ट, डेटाबेस) की चोरी को व्यवस्थित करना और महत्वपूर्ण डेटा को हटाकर आर्थिक क्षति पहुंचाना।

एमआईटीएम हमले की तुलना एक डाकिए से की जा सकती है, जो आपका पत्र-व्यवहार वितरित करते समय एक पत्र खोलता है, व्यक्तिगत उपयोग के लिए उसकी सामग्री को फिर से लिखता है, या यहां तक ​​कि लिखावट में गड़बड़ी करता है, अपनी खुद की कुछ चीज़ जोड़ता है, और फिर लिफाफे को सील कर देता है और उसे प्राप्तकर्ता को सौंप देता है। जैसे कुछ हुआ ही नहीं था। । इसके अलावा, यदि आपने पत्र के पाठ को एन्क्रिप्ट किया है, और डिक्रिप्शन कोड को प्राप्तकर्ता को व्यक्तिगत रूप से संप्रेषित करना चाहते हैं, तो डाकिया स्वयं को प्राप्तकर्ता के रूप में इस तरह से पेश करेगा कि आपको प्रतिस्थापन का पता भी नहीं चलेगा।

MITM हमला कैसे किया जाता है

MITM हमले को निष्पादित करने में दो चरण होते हैं: अवरोधन और डिक्रिप्शन।

• अवरोधन

हमले का पहला चरण उपयोगकर्ता से इच्छित लक्ष्य तक ट्रैफ़िक को रोकना और उसे हमलावर के नेटवर्क में निर्देशित करना है।

अवरोधन करने का सबसे आम और आसान तरीका एक निष्क्रिय हमला है, जब कोई हमलावर मुफ्त पहुंच (पासवर्ड या प्राधिकरण के बिना) के साथ वाई-फाई पॉइंट बनाता है। जैसे ही कोई उपयोगकर्ता ऐसे किसी बिंदु से जुड़ता है, हमलावर वहां से गुजरने वाले सभी ट्रैफ़िक तक पहुंच प्राप्त कर लेता है और अवरोधन के लिए इससे कोई भी डेटा निकाल सकता है।

दूसरी विधि सक्रिय अवरोधन है, जिसे निम्नलिखित में से किसी एक तरीके से किया जा सकता है:

आईपी ​​स्पूफिंग- पैकेट हेडर में लक्ष्य के आईपी पते को हमलावर के पते से बदलना। परिणामस्वरूप, उपयोगकर्ता, अनुरोधित URL पर जाने के बजाय, हमलावर की वेबसाइट पर पहुँच जाते हैं।

एआरपी स्पूफ़िंग- पीड़ित की एआरपी तालिका में हमलावर के पते के लिए होस्ट के वास्तविक मैक पते का प्रतिस्थापन। परिणामस्वरूप, उपयोगकर्ता द्वारा आवश्यक नोड के आईपी पते पर भेजा गया डेटा हमलावर के पते पर पहुंच जाता है।

डीएनएस स्पूफ़िंगडीएनएस कैश संक्रमण, में प्रवेश डीएनएस सर्वरऔर वेबसाइट पता मिलान रिकॉर्ड का प्रतिस्थापन। परिणामस्वरूप, उपयोगकर्ता अनुरोधित साइट तक पहुंचने का प्रयास करता है, लेकिन DNS सर्वर से हमलावर की साइट का पता प्राप्त करता है।

• डिक्रिप्शन

एक बार इंटरसेप्ट होने के बाद, दो-तरफ़ा एसएसएल ट्रैफ़िक को इस तरह से डिक्रिप्ट किया जाना चाहिए कि उपयोगकर्ता और जिस संसाधन के लिए वह अनुरोध कर रहा है उसे हस्तक्षेप का पता न चले।

इसके लिए कई विधियाँ हैं:

HTTPS स्पूफिंग- HTTPS प्रोटोकॉल के माध्यम से साइट से कनेक्शन स्थापित होने पर पीड़ित के ब्राउज़र पर एक नकली प्रमाणपत्र भेजा जाता है। इस प्रमाणपत्र में समझौता किए गए एप्लिकेशन का डिजिटल हस्ताक्षर होता है, जिसके कारण ब्राउज़र हमलावर के साथ कनेक्शन को विश्वसनीय मानता है। एक बार ऐसा कनेक्शन स्थापित हो जाने के बाद, हमलावर को एप्लिकेशन में संचारित होने से पहले पीड़ित द्वारा दर्ज किए गए किसी भी डेटा तक पहुंच प्राप्त हो जाती है।

एसएसएल जानवर(एसएसएल/टीएलएस के विरुद्ध ब्राउज़र शोषण) - हमला टीएलएस संस्करण 1.0 और 1.2 में एसएसएल भेद्यता का शोषण करता है। पीड़ित का कंप्यूटर दुर्भावनापूर्ण जावास्क्रिप्ट से संक्रमित है, जो वेब एप्लिकेशन पर भेजे गए एन्क्रिप्टेड कुकीज़ को रोकता है। यह "सिफरटेक्स्ट ब्लॉक चेनिंग" एन्क्रिप्शन मोड से समझौता करता है जैसे कि हमलावर डिक्रिप्टेड कुकीज़ और प्रमाणीकरण कुंजी प्राप्त करता है।

एसएसएल अपहरण- टीसीपी सत्र की शुरुआत में उपयोगकर्ता और एप्लिकेशन को नकली प्रमाणीकरण कुंजी का स्थानांतरण। इससे एक सुरक्षित कनेक्शन का आभास होता है जब वास्तव में सत्र को "बीच में बैठे व्यक्ति" द्वारा नियंत्रित किया जाता है।

एसएसएल स्ट्रिपिंग- उपयोगकर्ता को एप्लिकेशन द्वारा भेजे गए टीएलएस प्रमाणीकरण को रोककर कनेक्शन को सुरक्षित HTTPS से सादे HTTP में डाउनग्रेड करता है। हमलावर उपयोगकर्ता को साइट पर अनएन्क्रिप्टेड एक्सेस प्रदान करता है, जबकि वह एप्लिकेशन के साथ एक सुरक्षित सत्र बनाए रखता है, जिससे पीड़ित के प्रेषित डेटा को देखने की क्षमता प्राप्त होती है।\

एमआईटीएम हमलों से सुरक्षा

एमआईटीएम हमलों के खिलाफ विश्वसनीय सुरक्षा संभव है यदि उपयोगकर्ता कई निवारक कार्रवाई करता है और वेब एप्लिकेशन डेवलपर्स द्वारा एन्क्रिप्शन और प्रमाणीकरण विधियों के संयोजन का उपयोग करता है।

उपयोगकर्ता क्रियाएँ:

• ऐसे वाई-फ़ाई पॉइंट से कनेक्ट होने से बचें जिनमें पासवर्ड सुरक्षा नहीं है। ज्ञात पहुंच बिंदुओं से स्वचालित रूप से कनेक्ट होने के फ़ंक्शन को अक्षम करें - एक हमलावर अपने वाई-फाई को वैध के रूप में छिपा सकता है।
• किसी असुरक्षित साइट पर जाने के बारे में ब्राउज़र अधिसूचना पर ध्यान दें। ऐसा संदेश किसी हमलावर की नकली वेबसाइट पर संक्रमण या किसी वैध वेबसाइट की सुरक्षा में समस्याओं का संकेत दे सकता है।
• यदि एप्लिकेशन उपयोग में नहीं है तो सत्र को एप्लिकेशन (लॉगआउट) के साथ समाप्त करें।
• गोपनीय लेनदेन करने के लिए सार्वजनिक नेटवर्क (कैफे, पार्क, होटल आदि) का उपयोग न करें ( व्यावसायिक पत्राचार, वित्तीय लेनदेन, ऑनलाइन स्टोर में खरीदारी, आदि)।
• अपने कंप्यूटर या लैपटॉप पर अद्यतित डेटाबेस वाले एंटीवायरस का उपयोग करें; यह दुर्भावनापूर्ण सॉफ़्टवेयर का उपयोग करके हमलों से बचाने में मदद करेगा।

वेब एप्लिकेशन और वेबसाइटों के डेवलपर्स को सुरक्षित का उपयोग करना चाहिए टीएलएस प्रोटोकॉलऔर HTTPS, जो प्रेषित डेटा को एन्क्रिप्ट करके स्पूफिंग हमलों को बहुत जटिल बनाता है। उनका उपयोग प्राधिकरण पैरामीटर और एक्सेस कुंजी प्राप्त करने के लिए ट्रैफ़िक अवरोधन को भी रोकता है।

न केवल प्राधिकरण पृष्ठों के लिए, बल्कि साइट के अन्य सभी अनुभागों के लिए भी टीएलएस और एचटीटीपीएस की सुरक्षा करना अच्छा अभ्यास माना जाता है। इससे उस समय किसी हमलावर द्वारा उपयोगकर्ता की कुकीज़ चुराने की संभावना कम हो जाती है जब वह प्राधिकरण के बाद असुरक्षित पृष्ठों के माध्यम से नेविगेट करता है।

एमआईटीएम हमलों से सुरक्षा उपयोगकर्ता और दूरसंचार ऑपरेटर की जिम्मेदारी है। उपयोगकर्ता के लिए सबसे महत्वपूर्ण बात यह है कि सतर्कता न खोएं, इंटरनेट तक पहुंचने के केवल सिद्ध तरीकों का उपयोग करें और व्यक्तिगत डेटा स्थानांतरित करते समय HTTPS एन्क्रिप्शन वाली साइटों का चयन करें। दूरसंचार ऑपरेटरों को डेटा नेटवर्क में विसंगतियों का पता लगाने और स्पूफिंग हमलों को रोकने के लिए डीप पैकेट इंस्पेक्शन (डीपीआई) सिस्टम का उपयोग करने की सिफारिश की जा सकती है।

सरकारी एजेंसियां ​​एमआईटीएम हमले का उपयोग नागरिकों की सुरक्षा के लिए करने की योजना बना रही हैं, न कि हमलावरों के विपरीत क्षति पहुंचाने के लिए। आतंकवाद, मादक पदार्थों की तस्करी और अन्य निषिद्ध गतिविधियों से निपटने के लिए न्यायिक अधिकारियों के निर्णय द्वारा व्यक्तिगत संदेशों और अन्य उपयोगकर्ता ट्रैफ़िक को वर्तमान कानून के ढांचे के भीतर रोका जाता है। नियमित उपयोगकर्ता"वैध" एमआईटीएम हमले खतरनाक नहीं हैं।

प्राप्त करना वांछित परिणामलगभग हमेशा कई तरीके होते हैं। यह सूचना सुरक्षा क्षेत्र पर भी लागू होता है। कभी-कभी, किसी लक्ष्य को प्राप्त करने के लिए, आप क्रूर बल का उपयोग कर सकते हैं, छिद्रों की तलाश कर सकते हैं और स्वयं शोषण विकसित कर सकते हैं, या नेटवर्क पर जो प्रसारित होता है उसे सुन सकते हैं। इसके अलावा, अंतिम विकल्प अक्सर इष्टतम होता है। इसीलिए आज हम ऐसे टूल के बारे में बात करेंगे जो हमें बहुमूल्य जानकारी प्राप्त करने में मदद करेंगे प्रसार यातायात, इसके लिए MITM हमलों को आकर्षित करना।

एमआईटीएमएफ

आइए सबसे दिलचस्प उम्मीदवारों में से एक से शुरुआत करें। यह सर्जियो-प्रॉक्सी के आधार पर निर्मित मैन-इन-द-मिडिल हमलों के संचालन के लिए एक संपूर्ण ढांचा है। हाल ही में शामिल किया गया है काली लिनक्स. इसे स्वयं स्थापित करने के लिए, बस रिपॉजिटरी को क्लोन करें और कुछ कमांड चलाएँ:

# setup.sh # pip install -r require.txt

# पिप इंस्टॉल -आर आवश्यकताएँ.txt

इसमें एक आर्किटेक्चर है जो प्लगइन्स के माध्यम से विस्तार योग्य है। इनमें से मुख्य निम्नलिखित हैं:

• स्पूफ - आपको ARP/DHCP स्पूफिंग, ICMP रीडायरेक्ट और DNS अनुरोधों को संशोधित करके ट्रैफ़िक को पुनर्निर्देशित करने की अनुमति देता है;
• स्निफ़र - यह प्लगइन विभिन्न प्रोटोकॉल के लिए लॉगिन प्रयासों को ट्रैक करता है;
• BeEFAutorun - आपको OS और क्लाइंट ब्राउज़र के प्रकार के आधार पर स्वचालित रूप से BeEF मॉड्यूल लॉन्च करने की अनुमति देता है;
• AppCachePoison - कैश पॉइज़निंग हमले को अंजाम देता है;
• सेशनहाईजैकिंग - सत्रों को हाईजैक करता है और परिणामी कुकीज़ को फ़ायरफ़्लाई प्रोफ़ाइल में संग्रहीत करता है;
• ब्राउज़रप्रोफाइलर - ब्राउज़र द्वारा उपयोग किए जाने वाले प्लगइन्स की एक सूची प्राप्त करने का प्रयास करता है;
• FilePwn - आपको भेजे गए संदेशों को बदलने की अनुमति देता है HTTP फ़ाइलेंबैकडोर फ़ैक्टरी और BDFProxy का उपयोग करना;
• इंजेक्ट - एक HTML पेज में मनमानी सामग्री इंजेक्ट करता है;
• jskeylogger - क्लाइंट पेजों में एक जावास्क्रिप्ट कीलॉगर एम्बेड करता है।

यदि यह कार्यक्षमता आपको अपर्याप्त लगती है, तो आप उचित एक्सटेंशन लागू करके हमेशा अपनी कार्यक्षमता जोड़ सकते हैं।

पुट्टीराइडर

ध्यान देने योग्य एक और उपयोगिता। सच है, आज माने जाने वाले अन्य सभी उपकरणों के विपरीत, यह बहुत संकीर्ण रूप से विशिष्ट है। जैसा कि परियोजना के लेखक स्वयं कहते हैं, उन्हें इस तरह की उपयोगिता बनाने के लिए इस तथ्य से प्रेरणा मिली कि प्रवेश परीक्षणों के दौरान, सबसे महत्वपूर्ण डेटा लिनक्स/यूनिक्स सर्वर पर स्थित था, जिससे प्रशासक एसएसएच/टेलनेट/आरलॉगिन के माध्यम से जुड़े थे। इसके अलावा, ज्यादातर मामलों में, लक्ष्य सर्वर की तुलना में प्रशासकों की मशीन तक पहुंच प्राप्त करना बहुत आसान था। सिस्टम प्रशासक की मशीन में प्रवेश करने के बाद, जो कुछ बचा है वह यह सुनिश्चित करना है कि पुटी चल रही है और, इस उपकरण का उपयोग करके, हमलावर के लिए एक बैक ब्रिज बनाएं।

उपयोगिता आपको न केवल व्यवस्थापक और दूरस्थ सर्वर (पासवर्ड सहित) के बीच "संचार" कैप्चर करने की अनुमति देती है, बल्कि किसी दिए गए सत्र के भीतर मनमाने ढंग से शेल कमांड निष्पादित करने की भी अनुमति देती है। इसके अलावा, यह सब उपयोगकर्ता (प्रशासक) के लिए बिल्कुल पारदर्शी तरीके से होगा। यदि आप तकनीकी विवरणों में रुचि रखते हैं, उदाहरण के लिए, प्रक्रिया में पुटी को कैसे लागू किया जाता है, तो मेरा सुझाव है कि आप लेखक की प्रस्तुति पढ़ें।

काफी पुरानी उपयोगिता, जिसका जन्म आठ वर्ष से भी पहले हुआ था। कुकीज़ चुराकर सत्रों की क्लोनिंग करने का इरादा। सत्र अपहरण के लिए, इसमें बुनियादी होस्ट पहचान कौशल हैं (खुले से कनेक्ट होने के मामले में)। बेतार तंत्रया हब) और एआरपी विषाक्तता का संचालन। एकमात्र समस्या यह है कि आज, आठ साल पहले के विपरीत, याहू या फेसबुक जैसी लगभग सभी बड़ी कंपनियां एसएसएल एन्क्रिप्शन का उपयोग करती हैं, जो इस टूल को पूरी तरह से बेकार बना देती है। इसके बावजूद, इंटरनेट पर अभी भी पर्याप्त संसाधन हैं जो एसएसएल का उपयोग नहीं करते हैं, इसलिए उपयोगिता को बंद करना जल्दबाजी होगी। इसके फायदों में यह तथ्य शामिल है कि यह स्वचालित रूप से फ़ायरफ़ॉक्स में एकीकृत होता है और प्रत्येक इंटरसेप्टेड सत्र के लिए एक अलग प्रोफ़ाइल बनाता है। स्रोतरिपॉजिटरी में उपलब्ध है, और आप कमांड के निम्नलिखित अनुक्रम का उपयोग करके इसे स्वयं बना सकते हैं:

# apt-get install बिल्ड-एसेंशियल libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # सेटकैप कैप_नेट_रॉ, कैप_नेट_एडमिन=ईआईपी सत्रचोर

# apt-get install बिल्ड-एसेंशियल libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # सेटकैप कैप_नेट_रॉ, कैप_नेट_एडमिन=ईआईपी सेशनथीफ

प्रॉक्सीफ़ज़

ProzyFuzz का MITM हमलों के संचालन से सीधे तौर पर कोई लेना-देना नहीं है। जैसा कि आप नाम से अनुमान लगा सकते हैं, यह टूल फ़ज़िंग के लिए डिज़ाइन किया गया है। यह एक छोटा गैर-नियतात्मक नेटवर्क फ़ज़र है, जिसे पायथन में कार्यान्वित किया गया है, जो नेटवर्क ट्रैफ़िक पैकेट की सामग्री को यादृच्छिक रूप से बदलता है। टीसीपी और यूडीपी प्रोटोकॉल का समर्थन करता है। आप इसे केवल एक तरफ फ़ज़ करने के लिए कॉन्फ़िगर कर सकते हैं। तब उपयोगी जब आपको किसी चीज़ की शीघ्रता से जाँच करने की आवश्यकता होती है नेटवर्क अनुप्रयोग(या प्रोटोकॉल) और एक PoC विकसित करें। उपयोग उदाहरण:

पायथन प्रॉक्सीफ़ज़ -एल -आर -पी

पायथन प्रॉक्सीफ़ज़ -एल -आर -पी

विकल्पों की सूची में शामिल हैं:

• w - फ़ज़िंग शुरू होने से पहले भेजे गए अनुरोधों की संख्या निर्दिष्ट करता है;
• सी - केवल क्लाइंट को फ़ज़ करें (अन्यथा दोनों तरफ);
• एस - केवल सर्वर को फ़ज़ करें (अन्यथा दोनों तरफ);
• यू - यूडीपी प्रोटोकॉल (अन्यथा टीसीपी का उपयोग किया जाता है)।

मध्यस्थ

DEF CON सम्मेलन में प्रस्तुत विभिन्न प्रोटोकॉल पर MITM हमलों के संचालन के लिए एक उपयोगिता। अल्फ़ा संस्करण HTTP प्रोटोकॉल का समर्थन करता था और इसके शस्त्रागार में तीन शानदार प्लगइन्स थे:

• प्लगइन-beef.py - स्थानीय नेटवर्क से आने वाले किसी भी HTTP अनुरोध में ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क (BeEF) को इंजेक्ट करता है;
• प्लगइन-metasploit.py - एक IFRAME को अनएन्क्रिप्टेड (HTTP) अनुरोधों में एम्बेड करता है, जो Metasploit से ब्राउज़र शोषण को लोड करता है;
• प्लगइन-keylogger.py - HTTPS पर सबमिट किए जाने वाले सभी टेक्स्ट फ़ील्ड के लिए एक जावास्क्रिप्ट onKeyPress ईवेंट हैंडलर एम्बेड करता है, जिससे ब्राउज़र पूरे फॉर्म सबमिट होने से पहले हमलावर के सर्वर पर उपयोगकर्ता द्वारा दर्ज पासवर्ड चरित्र-दर-अक्षर भेजता है।

मिडिलर न केवल स्वचालित रूप से नेटवर्क ट्रैफ़िक का विश्लेषण करता है और उसमें कुकीज़ ढूंढता है, बल्कि क्लाइंट से स्वतंत्र रूप से उनका अनुरोध भी करता है, यानी प्रक्रिया अधिकतम स्वचालित होती है। प्रोग्राम कंप्यूटर नेटवर्क (या सार्वजनिक हॉटस्पॉट) पर उन सभी असुरक्षित खातों के संग्रह की गारंटी देता है जिनके ट्रैफ़िक तक इसकी पहुंच है। प्रोग्राम को सही ढंग से काम करने के लिए, सिस्टम पर निम्नलिखित पैकेज स्थापित होने चाहिए: स्कैपी, लिबकैप, रीडलाइन, लिबडनेट, पायथन-नेटफिल्टर। दुर्भाग्य से, रिपॉजिटरी को लंबे समय से अपडेट नहीं किया गया है, इसलिए आपको स्वयं नई कार्यक्षमता जोड़नी होगी।

एक कंसोल उपयोगिता जो आपको HTTP ट्रैफ़िक की इंटरैक्टिव जांच और संशोधन करने की अनुमति देती है। ऐसे कौशल के लिए धन्यवाद, उपयोगिता का उपयोग न केवल पेंटेस्टर/हैकर्स द्वारा किया जाता है, बल्कि सामान्य डेवलपर्स द्वारा भी किया जाता है जो इसका उपयोग करते हैं, उदाहरण के लिए, वेब अनुप्रयोगों को डीबग करने के लिए। इसकी सहायता से आप इस बात की विस्तृत जानकारी प्राप्त कर सकते हैं कि एप्लिकेशन क्या अनुरोध करता है और उसे क्या प्रतिक्रियाएँ मिलती हैं। इसके अलावा, मिटमप्रॉक्सी कुछ आरईएसटी एपीआई के कामकाज की विशिष्टताओं का अध्ययन करने में मदद कर सकता है, खासतौर पर वे जो खराब दस्तावेज हैं।

स्थापना अत्यंत सरल है:

$ सुडो एप्टीट्यूड इंस्टाल मिटमप्रॉक्सी

यह ध्यान देने योग्य है कि मिटमप्रॉक्सी आपको क्लाइंट को स्व-हस्ताक्षरित प्रमाणपत्र जारी करके HTTPS ट्रैफ़िक को रोकने की भी अनुमति देता है। अच्छा उदाहरणआप सीख सकते हैं कि ट्रैफ़िक के अवरोधन और संशोधन को कैसे कॉन्फ़िगर किया जाए।

Dsniff

खैर, यह उपयोगिता आम तौर पर पहली चीजों में से एक है जिसे सुनते ही आपके दिमाग में आना चाहिए
"एमआईटीएम हमला"। यह टूल काफी पुराना है, लेकिन इसे सक्रिय रूप से अपडेट किया जाना जारी है, जो अच्छी खबर है। इसकी क्षमताओं के बारे में विस्तार से बात करने का कोई मतलब नहीं है, अपने अस्तित्व के चौदह वर्षों में इसे इंटरनेट पर एक से अधिक बार कवर किया गया है। उदाहरण के लिए, इस तरह एक गाइड में:

या हमारी वेबसाइट से निर्देश:

अंततः..

हमेशा की तरह, हमने सभी उपयोगिताओं पर ध्यान नहीं दिया है, बल्कि केवल सबसे लोकप्रिय उपयोगिताओं पर ध्यान दिया है; कई अल्पज्ञात परियोजनाएँ भी हैं जिनके बारे में हम किसी दिन बात कर सकते हैं। जैसा कि आप देख सकते हैं, एमआईटीएम हमलों को अंजाम देने के लिए उपकरणों की कोई कमी नहीं है, और, जो अक्सर नहीं होता है, विंडोज के लिए एक अच्छा उपकरण लागू किया गया है। निक्स सिस्टम के बारे में कहने को कुछ नहीं है - एक पूरी विविधता। इसलिए मुझे लगता है कि आप चोरी के लिए हमेशा सही उपकरण ढूंढ सकते हैं
अन्य लोगों की साख. उफ़, यानी परीक्षण के लिए।

मैन इन मिडल अटैक (एमआईटीएम अटैक) क्रिप्टोग्राफी में एक शब्द है जो ऐसी स्थिति को संदर्भित करता है जहां एक हमलावर संवाददाताओं के बीच आदान-प्रदान किए गए संदेशों को अपनी इच्छानुसार पढ़ने और संशोधित करने में सक्षम होता है, और कोई भी उसकी पहचान का अनुमान नहीं लगा सकता है। .

संचार चैनल से समझौता करने की एक विधि, जिसमें एक हमलावर, प्रतिपक्षों के बीच एक चैनल से जुड़कर, ट्रांसमिशन प्रोटोकॉल में सक्रिय रूप से हस्तक्षेप करता है, जानकारी को हटाता है, विकृत करता है या गलत जानकारी लगाता है।

आक्रमण सिद्धांत:

मान लीजिए कि वस्तु "ए" वस्तु "बी" को कुछ जानकारी प्रसारित करने की योजना बना रही है। ऑब्जेक्ट "सी" को उपयोग की जाने वाली डेटा ट्रांसमिशन विधि की संरचना और गुणों के बारे में ज्ञान है, साथ ही वास्तविक जानकारी के नियोजित प्रसारण के तथ्य के बारे में भी जानकारी है जिसे "सी" इंटरसेप्ट करने की योजना बना रहा है।

हमला करने के लिए, "सी" "ए" पर आपत्ति जताता है "बी" और "बी" पर आपत्ति करता है "ए"। ऑब्जेक्ट "ए", गलती से यह मानते हुए कि यह "बी" को जानकारी भेज रहा है, इसे ऑब्जेक्ट "सी" पर भेज देता है।

ऑब्जेक्ट "सी", जानकारी प्राप्त करने और उसके साथ कुछ क्रियाएं करने के बाद (उदाहरण के लिए, इसे अपने उद्देश्यों के लिए कॉपी करना या संशोधित करना), प्राप्तकर्ता को ही डेटा भेजता है - "बी"; ऑब्जेक्ट "बी", बदले में, मानता है कि जानकारी सीधे "ए" से प्राप्त हुई थी।

मिटएम हमले का उदाहरण:

मान लीजिए कि ऐलिस को वित्तीय समस्याएं हो रही हैं और, एक त्वरित संदेश कार्यक्रम का उपयोग करते हुए, उसने संदेश भेजकर जॉन से कुछ धनराशि मांगने का निर्णय लिया:

ऐलिस: जॉन, नमस्ते!
ऐलिस: कृपया मुझे एन्क्रिप्शन कुंजी भेजें, मेरा एक छोटा सा अनुरोध है!
जॉन: नमस्ते! एक सेकंड रुको!

लेकिन, इस समय, श्री एक्स, जिन्होंने एक खोजी यंत्र का उपयोग करके ट्रैफ़िक का विश्लेषण करते हुए, इस संदेश को देखा, और "एन्क्रिप्शन कुंजी" शब्द ने उत्सुकता जगा दी। इसीलिए उन्होंने निम्नलिखित संदेशों को इंटरसेप्ट करने और उन्हें आवश्यक डेटा से बदलने का निर्णय लिया, और जब उन्हें निम्नलिखित संदेश प्राप्त हुआ:

जॉन: यहाँ मेरी कुंजी है: 1111_D

उसने जॉन की चाबी को अपनी चाबी से बदल लिया, और ऐलिस को एक संदेश भेजा:

जॉन: यहाँ मेरी कुंजी है: 6666_एम

ऐलिस, अनजान और यह सोचकर कि यह जॉन की कुंजी है, निजी कुंजी का उपयोग कर रही है 6666_एम, जॉन को एन्क्रिप्टेड संदेश भेजता है:

ऐलिस: जॉन, मुझे समस्याएँ हैं और मुझे तत्काल पैसों की आवश्यकता है, कृपया $300 मेरे खाते में स्थानांतरित करें: Z12345। धन्यवाद। पी.एस. मेरी कुंजी: 2222_ए

संदेश प्राप्त करने के बाद, मिस्टर एक्स अपनी कुंजी का उपयोग करके इसे डिक्रिप्ट करता है, इसे पढ़ता है, और खुश होकर, ऐलिस का खाता नंबर और एन्क्रिप्शन कुंजी को अपने पास बदल लेता है, कुंजी के साथ संदेश को एन्क्रिप्ट करता है 1111_डी, और जॉन को एक संदेश भेजता है:

ऐलिस: जॉन, मुझे समस्याएँ हैं और मुझे तत्काल पैसों की आवश्यकता है, कृपया $300 मेरे खाते में स्थानांतरित करें: Z67890। धन्यवाद। पी.एस. मेरी कुंजी: 6666_ए

संदेश प्राप्त करने के बाद, जॉन कुंजी का उपयोग करके इसे डिक्रिप्ट करता है 1111_डीऔर बिना किसी झिझक के अकाउंट में पैसे ट्रांसफर कर देंगे Z67890...

और इस प्रकार, मिस्टर एक्स ने मैन-इन-द-मिडिल हमले का उपयोग करके $300 कमाए, लेकिन ऐलिस को अब यह समझाना होगा कि उसे पैसे नहीं मिले... और जॉन? जॉन को ऐलिस को साबित करना होगा कि उसने उन्हें भेजा है...

कार्यान्वयन:

इस प्रकार के हमले का उपयोग नेटवर्क पर जासूसी करने के लिए कुछ सॉफ़्टवेयर उत्पादों में किया जाता है, उदाहरण के लिए:

netstumbler- एक प्रोग्राम जिसके साथ आप वायरलेस नेटवर्क के बारे में बहुत सारे उपयोगी डेटा एकत्र कर सकते हैं और इसके संचालन से जुड़ी कुछ समस्याओं का समाधान कर सकते हैं। नेटस्टंबलर आपको अपने नेटवर्क की सीमा निर्धारित करने की अनुमति देता है और लंबी दूरी के संचार के लिए आपके एंटीना को सटीक रूप से इंगित करने में आपकी सहायता करता है। पाए गए प्रत्येक पहुंच बिंदु के लिए, आप मैक पता, सिग्नल-टू-शोर अनुपात, सेवा का नाम और इसकी सुरक्षा की डिग्री का पता लगा सकते हैं। यदि ट्रैफ़िक एन्क्रिप्टेड नहीं है, तो अनधिकृत कनेक्शन का पता लगाने की प्रोग्राम की क्षमता उपयोगी होगी।

dsniff- नेटवर्क ऑडिटिंग और पैठ परीक्षण के लिए कार्यक्रमों का एक सेट है, जो रुचि के डेटा (पासवर्ड, पते) की खोज के लिए निष्क्रिय नेटवर्क निगरानी प्रदान करता है ईमेल, फ़ाइलें, आदि), नेटवर्क ट्रैफ़िक का अवरोधन जो सामान्य रूप से विश्लेषण के लिए दुर्गम है (उदाहरण के लिए, एक स्विच किए गए नेटवर्क में), साथ ही पीकेआई खामियों का फायदा उठाकर एसएसएच और एचटीटीपीएस सत्रों को रोकने के लिए एमआईटीएम हमलों को व्यवस्थित करने की क्षमता।

कैन और हाबिल - निःशुल्क कार्यक्रम, जो आपको खोए हुए पासवर्ड को पुनर्प्राप्त करने की अनुमति देता है ऑपरेटिंग सिस्टम विंडोज़ परिवार. कई पुनर्प्राप्ति मोड समर्थित हैं: ब्रूट फोर्स हैकिंग, शब्दकोश चयन, तारांकन द्वारा छिपे हुए पासवर्ड देखना आदि। सूचना पैकेटों को इंटरसेप्ट करके और उनके बाद के विश्लेषण, नेटवर्क वार्तालापों को रिकॉर्ड करने, कैश विश्लेषण और अन्य द्वारा पासवर्ड की पहचान करने के विकल्प भी हैं।

एटरकैप- स्थानीय ईथरनेट नेटवर्क के लिए एक स्निफर, पैकेट इंटरसेप्टर और रिकॉर्डर है, जो कई प्रोटोकॉल के सक्रिय और निष्क्रिय विश्लेषण का समर्थन करता है, और अपने स्वयं के डेटा को मौजूदा कनेक्शन में "फेंकना" और कनेक्शन को बाधित किए बिना "फ्लाई पर" फ़िल्टर करना भी संभव है। तादात्म्य। प्रोग्राम आपको SSH1, HTTPS और अन्य सुरक्षित प्रोटोकॉल को इंटरसेप्ट करने की अनुमति देता है और निम्नलिखित प्रोटोकॉल के लिए पासवर्ड को डिक्रिप्ट करने की क्षमता प्रदान करता है: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , आरआईपी, बीजीपी, सॉक्स 5, आईएमएपी 4, वीएनसी, एलडीएपी, एनएफएस, एसएनएमपी, हाफ लाइफ, क्वेक 3, एमएसएन, वाईएमएसजी।

कर्म- वायरलेस क्लाइंट की सुरक्षा का आकलन करने के लिए उपयोगिताओं का एक सेट, एक वायरलेस स्निफ़र है, जो 802.11 जांच अनुरोध फ़्रेमों को निष्क्रिय रूप से सुनकर, आपको क्लाइंट और उनके पसंदीदा/विश्वसनीय नेटवर्क का पता लगाने की अनुमति देता है। फिर अनुरोधित नेटवर्कों में से किसी एक के लिए एक नकली एक्सेस प्वाइंट बनाया जा सकता है, जिससे यह स्वचालित रूप से कनेक्ट हो सकता है। उच्च-स्तरीय नकली सेवाओं का उपयोग व्यक्तिगत डेटा चुराने या होस्ट पर क्लाइंट की कमजोरियों का फायदा उठाने के लिए किया जा सकता है।

एयरजैक- प्रोग्रामों का एक सेट, जो वाईफाई हैकिंग के क्षेत्र के विशेषज्ञों के अनुसार, विभिन्न 802.11 फ्रेम बनाने के लिए सबसे अच्छा उपकरण है। एयरजैक में छुपे हुए ईएसएसआईडी का पता लगाने, नकली मैक के साथ सत्र समाप्ति फ्रेम भेजने, एमआईटीएम हमलों का संचालन करने और इसे संशोधित करने के लिए डिज़ाइन की गई कई उपयोगिताएँ शामिल हैं।

प्रतिकार:

इस प्रकार के हमलों से बचने के लिए, ग्राहकों "ए" और "बी" को केवल एक विश्वसनीय चैनल का उपयोग करके सार्वजनिक एन्क्रिप्शन कुंजी के डिजिटल हस्ताक्षर एक दूसरे को स्थानांतरित करने की आवश्यकता है। फिर, एन्क्रिप्शन सत्रों में कुंजी हस्ताक्षरों की तुलना करते समय, यह निर्धारित करना संभव होगा कि डेटा को एन्क्रिप्ट करने के लिए किस कुंजी का उपयोग किया गया था, और क्या कुंजियाँ बदल दी गई हैं।

इस लेख में, हम मैन-इन-द-मिडिल हमलों के सिद्धांत और कुछ व्यावहारिक बिंदुओं को समझने की कोशिश करेंगे जो इस प्रकार के हमलों को रोकने में मदद करेंगे। इससे हमें उस जोखिम को समझने में मदद मिलेगी जो इस तरह की घुसपैठ हमारी गोपनीयता के लिए पैदा करती है, क्योंकि एमआईटीएम हमले हमें संचार में घुसपैठ करने और हमारी बातचीत पर नजर रखने की अनुमति देते हैं।

यह समझना कि इंटरनेट कैसे काम करता है

मैन-इन-द-मिडिल हमले के सिद्धांत को समझने के लिए, पहले यह समझना ज़रूरी है कि इंटरनेट कैसे काम करता है। इंटरैक्शन के मुख्य बिंदु: क्लाइंट, राउटर, सर्वर। क्लाइंट और सर्वर के बीच सबसे आम संचार प्रोटोकॉल हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) है। ब्राउज़र, ईमेल, इंस्टेंट मैसेजिंग का उपयोग करके इंटरनेट पर सर्फिंग - यह सब HTTP के माध्यम से किया जाता है।

जब आप अपने ब्राउज़र के एड्रेस बार में टाइप करते हैं, तो क्लाइंट (आप) एक वेब पेज प्रदर्शित करने के लिए सर्वर को एक अनुरोध भेजता है। पैकेट (HTTP GET अनुरोध) कई राउटर के माध्यम से सर्वर तक प्रेषित किया जाता है। सर्वर तब एक वेब पेज के साथ प्रतिक्रिया करता है, जिसे क्लाइंट को भेजा जाता है और उसके मॉनिटर पर प्रदर्शित किया जाता है। HTTP संदेश अवश्य भेजे जाने चाहिए सुरक्षित मोडगोपनीयता और गुमनामी सुनिश्चित करने के लिए.

चित्र 1. क्लाइंट-सर्वर इंटरैक्शन

संचार प्रोटोकॉल को सुरक्षित करना

एक सुरक्षित संचार प्रोटोकॉल में निम्नलिखित में से प्रत्येक गुण होना चाहिए:

1. गोपनीयता- केवल इच्छित प्राप्तकर्ता ही संदेश पढ़ सकता है।
2. सत्यता- बातचीत करने वाले पक्षों की पहचान सिद्ध हो गई है।
3. अखंडता- पुष्टि कि संदेश पारगमन में संशोधित नहीं किया गया था।

यदि इनमें से किसी भी नियम का पालन नहीं किया जाता है, तो संपूर्ण प्रोटोकॉल से समझौता हो जाता है।

HTTP प्रोटोकॉल के माध्यम से मैन-इन-द-मिडिल हमला

एआरपी स्पूफिंग नामक तकनीक का उपयोग करके एक हमलावर आसानी से बीच-बीच में हमला कर सकता है। आपके अंदर कोई भी वाई-फ़ाई नेटवर्कआपको एक नकली एआरपी पैकेट भेज सकता है, जिससे आप अनजाने में अपना सारा ट्रैफ़िक अपने राउटर के बजाय हमलावर के माध्यम से भेज सकते हैं।

इसके बाद, हमलावर के पास ट्रैफ़िक पर पूर्ण नियंत्रण होता है और वह दोनों दिशाओं में भेजे गए अनुरोधों की निगरानी कर सकता है।

चित्र 2. बीच में आदमी का आक्रमण पैटर्न

ऐसे हमलों को रोकने के लिए HTTP प्रोटोकॉल का एक सुरक्षित संस्करण बनाया गया। ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) और इसके पूर्ववर्ती, सिक्योर सॉकेट लेयर (एसएसएल), क्रिप्टोग्राफ़िक प्रोटोकॉल हैं जो नेटवर्क पर डेटा ट्रांसमिशन के लिए सुरक्षा प्रदान करते हैं। इसलिए, सुरक्षित प्रोटोकॉल को HTTPS कहा जाएगा। आप अपने ब्राउज़र के एड्रेस बार में टाइप करके देख सकते हैं कि सुरक्षित प्रोटोकॉल कैसे काम करता है (https में S नोट करें)।

खराब ढंग से लागू एसएसएल पर मैन-इन-द-मिडिल हमला

आधुनिक एसएसएल एक अच्छे एन्क्रिप्शन एल्गोरिदम का उपयोग करता है, लेकिन इससे कोई फर्क नहीं पड़ता अगर इसे सही ढंग से लागू नहीं किया गया है। यदि कोई हैकर अनुरोध को रोक सकता है, तो वे अनुरोधित यूआरएल से "एस" को हटाकर इसे संशोधित कर सकते हैं, जिससे एसएसएल को बायपास किया जा सकता है।

अनुरोध के इस तरह के अवरोधन और संशोधन को देखा जा सकता है। उदाहरण के लिए, यदि आप https://login.yahoo.com/ का अनुरोध करते हैं और प्रतिक्रिया http://login.yahoo.com/ है, तो इससे संदेह पैदा होना चाहिए। लेखन के समय, यह हमला वास्तव में याहू ईमेल सेवा पर काम करता है।

चित्र 3. अवरोधन और संशोधन का अनुरोध करें

इस तरह के हमले को रोकने के लिए, सर्वर HTTP स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी (HSTS) को लागू कर सकते हैं, एक तंत्र जो HTTPS प्रोटोकॉल पर एक मजबूर सुरक्षित कनेक्शन को सक्षम करता है। इस मामले में, यदि कोई हमलावर यूआरएल से "एस" हटाकर अनुरोध को संशोधित करता है, तो सर्वर अभी भी उपयोगकर्ता को 302 रीडायरेक्ट के साथ एक सुरक्षित प्रोटोकॉल वाले पृष्ठ पर रीडायरेक्ट करेगा।

चित्र 4. एचएसटीएस ऑपरेशन आरेख

एसएसएल को लागू करने का यह तरीका एक अन्य प्रकार के हमले के प्रति संवेदनशील है - हमलावर सर्वर से एक एसएसएल कनेक्शन बनाता है, लेकिन उपयोगकर्ता को HTTP का उपयोग करने के लिए मजबूर करने के लिए विभिन्न तरकीबों का उपयोग करता है।

चित्र 5. एचएसटीएस आक्रमण पैटर्न

ऐसे हमलों को रोकने के लिए, क्रोम, फ़ायरफ़ॉक्स और टोर जैसे आधुनिक ब्राउज़र एचएसटीएस का उपयोग करके साइटों की निगरानी करते हैं और एसएसएल के माध्यम से क्लाइंट-साइड कनेक्शन को बाध्य करते हैं। इस मामले में, मैन-इन-द-मिडिल हमले का संचालन करने वाले हमलावर को पीड़ित के साथ एक एसएसएल कनेक्शन बनाना होगा।

चित्र 6. हमले का पैटर्न जहां हमलावर पीड़ित के साथ एक एसएसएल कनेक्शन स्थापित करता है

किसी उपयोगकर्ता को SLL कनेक्शन प्रदान करने के लिए, एक हमलावर को पता होना चाहिए कि सर्वर के रूप में कैसे कार्य करना है। आइए एसएसएल के तकनीकी पहलुओं को समझें।

एसएसएल को समझना

हैकर के दृष्टिकोण से, किसी भी संचार प्रोटोकॉल से समझौता करना ऊपर सूचीबद्ध घटकों (गोपनीयता, प्रामाणिकता और अखंडता) के बीच कमजोर लिंक को खोजने के लिए आता है।

एसएसएल एक असममित एन्क्रिप्शन एल्गोरिदम का उपयोग करता है। सममित एन्क्रिप्शन के साथ समस्या यह है कि डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए एक ही कुंजी का उपयोग किया जाता है, यह दृष्टिकोण इंटरनेट प्रोटोकॉल के लिए मान्य नहीं है क्योंकि एक हमलावर इस कुंजी का पता लगा सकता है।

असममित एन्क्रिप्शन में प्रत्येक पक्ष के लिए 2 कुंजियाँ शामिल हैं: सार्वजनिक कुंजी, एन्क्रिप्शन के लिए उपयोग किया जाता है, और एक निजी कुंजी, डेटा को डिक्रिप्ट करने के लिए उपयोग किया जाता है।

चित्र 7. सार्वजनिक और निजी कुंजियाँ कार्य करती हैं

एसएसएल सुरक्षित संचार के लिए आवश्यक तीन गुण कैसे प्रदान करता है?

1. क्योंकि असममित क्रिप्टोग्राफी का उपयोग डेटा को एन्क्रिप्ट करने के लिए किया जाता है, एसएसएल एक निजी कनेक्शन प्रदान करता है। इस एन्क्रिप्शन को तोड़ना और पता नहीं चल पाना इतना आसान नहीं है।
2. सर्वर क्लाइंट को एक प्रमाणपत्र प्राधिकारी - एक विश्वसनीय तृतीय पक्ष द्वारा जारी एसएसएल प्रमाणपत्र भेजकर इसकी वैधता की पुष्टि करता है।

यदि कोई हमलावर किसी तरह प्रमाणपत्र प्राप्त करने में सफल हो जाता है, तो वे बीच-बीच में हमले का द्वार खोल सकते हैं। इस प्रकार, यह 2 कनेक्शन बनाएगा - सर्वर के साथ और पीड़ित के साथ। इस मामले में सर्वर सोचता है कि हमलावर एक सामान्य ग्राहक है, और पीड़ित के पास हमलावर की पहचान करने का कोई तरीका नहीं है, क्योंकि उसने यह साबित करने वाला प्रमाणपत्र प्रदान किया है कि वह सर्वर है।

आपके संदेश एन्क्रिप्टेड रूप में आते हैं और आते हैं, लेकिन वे साइबर अपराधी के कंप्यूटर के माध्यम से एक श्रृंखला का पालन करते हैं, जहां उसका पूरा नियंत्रण होता है।

चित्र 8. यदि हमलावर के पास प्रमाणपत्र है तो हमले का पैटर्न

यदि किसी हमलावर के पास पीड़ित के ब्राउज़र से समझौता करने की क्षमता है तो प्रमाणपत्र को जाली बनाने की आवश्यकता नहीं है। इस मामले में, वह एक स्व-हस्ताक्षरित प्रमाणपत्र सम्मिलित कर सकता है, जिस पर डिफ़ॉल्ट रूप से भरोसा किया जाएगा। अधिकांश मानव-मध्य हमले इसी तरह से किए जाते हैं। अधिक जटिल मामलों में, हैकर को एक अलग रास्ता अपनाना होगा - प्रमाणपत्र बनाना।

प्रमाणपत्र प्राधिकारी समस्याएँ

सर्वर द्वारा भेजा गया प्रमाणपत्र प्रमाणन प्राधिकारी द्वारा जारी और हस्ताक्षरित था। प्रत्येक ब्राउज़र में विश्वसनीय प्रमाणपत्र प्राधिकारियों की एक सूची होती है और आप उन्हें जोड़ या हटा सकते हैं। यहां समस्या यह है कि यदि आप बड़े प्राधिकारियों को हटाने का निर्णय लेते हैं, तो आप उन साइटों पर नहीं जा पाएंगे जो उन प्राधिकारियों द्वारा हस्ताक्षरित प्रमाणपत्रों का उपयोग करती हैं।

HTTPS कनेक्शन में प्रमाणपत्र और प्रमाणपत्र प्राधिकारी हमेशा सबसे कमजोर कड़ी रहे हैं। भले ही सब कुछ सही ढंग से लागू किया गया हो और प्रत्येक प्रमाणपत्र प्राधिकरण के पास एक ठोस प्राधिकरण हो, फिर भी इस तथ्य को स्वीकार करना मुश्किल है कि आपको कई तीसरे पक्षों पर भरोसा करना होगा।

आज 650 से अधिक संगठन प्रमाणपत्र जारी करने में सक्षम हैं। यदि कोई हमलावर उनमें से किसी को भी हैक कर लेता है, तो उसे जो भी प्रमाणपत्र चाहिए उसे मिल जाएगा।

यहां तक ​​कि जब केवल एक प्रमाणपत्र प्राधिकरण, वेरीसाइन था, तब भी एक समस्या थी - जिन लोगों को बीच-बीच में होने वाले हमलों को रोकना था, वे अवरोधन सेवाएं बेच रहे थे।

इसके अलावा, सर्टिफिकेट अथॉरिटीज की हैकिंग के कारण कई सर्टिफिकेट बनाए गए। लक्षित उपयोगकर्ता को धोखाधड़ी वाले प्रमाणपत्रों पर भरोसा दिलाने के लिए विभिन्न तकनीकों और तरकीबों का उपयोग किया गया है।

फोरेंसिक

क्योंकि हमलावर नकली एआरपी पैकेट भेजता है, इसलिए हमलावर का आईपी पता नहीं देखा जा सकता है। इसके बजाय, आपको मैक पते पर ध्यान देने की ज़रूरत है, जो नेटवर्क पर प्रत्येक डिवाइस के लिए विशिष्ट है। यदि आप अपने राउटर का मैक पता जानते हैं, तो आप यह पता लगाने के लिए डिफ़ॉल्ट गेटवे के मैक पते से इसकी तुलना कर सकते हैं कि क्या यह वास्तव में आपका राउटर है या कोई हमलावर है।

उदाहरण के लिए, विंडोज़ ओएस पर आप ipconfig कमांड का उपयोग कर सकते हैं कमांड लाइन(सीएमडी) अपना डिफ़ॉल्ट गेटवे आईपी पता (अंतिम पंक्ति) देखने के लिए:

चित्र 9. ipconfig कमांड का उपयोग करना

फिर इस गेटवे का मैक पता जानने के लिए arp –a कमांड का उपयोग करें:

चित्र 10. arp-a कमांड का उपयोग करना

लेकिन हमले को नोटिस करने का एक और तरीका है - यदि आप नेटवर्क गतिविधि की शुरुआत के समय निगरानी कर रहे थे और एआरपी पैकेट देख रहे थे। उदाहरण के लिए, आप इस उद्देश्य के लिए वायरशार्क का उपयोग कर सकते हैं, यदि डिफ़ॉल्ट गेटवे का मैक पता बदल गया है तो यह प्रोग्राम आपको सूचित करेगा।

ध्यान दें: यदि हमलावर मैक पते को सही ढंग से धोखा देता है, तो उसे ट्रैक करना एक बड़ी समस्या बन जाएगी।

निष्कर्ष

एसएसएल एक प्रोटोकॉल है जो किसी हमलावर को किसी हमले को अंजाम देने के लिए बहुत सारे काम करने के लिए मजबूर करता है। लेकिन यह आपको राज्य-प्रायोजित हमलों या कुशल हैकिंग संगठनों से नहीं बचाएगा।

उपयोगकर्ता का काम नकली प्रमाणपत्र डालने से रोकने के लिए अपने ब्राउज़र और कंप्यूटर की सुरक्षा करना है (एक बहुत ही सामान्य तकनीक)। विश्वसनीय प्रमाणपत्रों की सूची पर ध्यान देना और जिन पर आपको भरोसा नहीं है उन्हें हटाना भी उचित है।