TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Project II Báo cáo tuần 4.3.2024 đến 10.3.2024 Tìm hiểu về các loại tấn công: Man-in-the-Middle NGUYỄN BẢO NGỌC Ngoc.nb215624@sis.hust.edu.vn Ngành Kỹ thuật Máy tính Giảng viên hướng dẫn: TS Nguyễn Hồng Quang Chữ ký của GVHD HÀ NỘI, 3/2024 1 Mục lục I Giới thiệu 3 II Cách thực hoạt động của tấn công Man-in-the-Middle 4 a, Xác định mục tiêu 4 b, Giả mạo kết nối 5 c, Gián đoạn giao tiếp 5 d, Đánh cắp thông tin và hoạt động độc hại 6 e, Xoá dấu vết 7 III Các phương pháp tấn công Man-in-the-Middle 8 a, Giả mạo IP (IP spoofing) 8 b, Giả mạo DNS (Domain Name Server spoofing) 9 c, Giả mạo HTTPS (HTTPS spoofing) 10 d, Đánh cắp email (Email hijacking) 11 e, Nghe lén Wi-Fi (WiFi eavesdropping) 11 IV Các biện pháp phòng chống tấn công MitM 12 Triển khai các biện pháp để ngăn chặn các cách thức tấn công MitM 13 Triển khai các biện pháp để ngăn chặn các phương pháp tấn công MitM 13 V Kết luận 15 Tài tiệu tham khảo 15 2 I Giới thiệu Man-in-the-Middle attack có thể được viết tắt theo nhiều cách khác nhau ở nhiều nơi, ví dụ: MITM, MitM, MIM hoặc MIM, trong bài báo cáo này thì được viết tắt là MitM MitM là một kiểu tấn công mạng linh hoạt và bí mật, xảy ra khi hacker tự nhét mình vào giữa phiên giao tiếp giữa người hoặc hệ thống (thường là trình duyệt web và máy chủ web), và có khả năng truy cập, ngăn chặn hoặc sửa đổi lưu lượng truy cập mà cả hai phía bị tấn công không nhận ra mà vẫn giao tiếp như thường Một kịch bản MITM có ba đối tượng: Nạn nhân, đối tượng mà nạn nhân đang cố gắng kết nối, giao tiếp, và kẻ tấn công ở giữa Điều kiện tiên quyết để cuộc tấn công thành công khi kẻ tấn công chặn được kết nối của nạn nhân và đưa mình vào trung gian giao tiếp mà cả hai bên không nhận thức được Chi tiết hơn là, kẻ tấn công sau khi chặn được kết nối sẽ mạo danh cả hai bên, có được quyền truy cập vào thông tin mà hai bên đang giao tiếp, cố gửi cho nhau Với quyền đó, kẻ tấn công có thể làm rất nhiều thứ, giả danh để gửi và nhận dữ liệu cho cả hai bên, nghe lén, thay đổi số thẻ ngân hàng, xuyên tạc tin nhắn, yêu cầu chuyển tiền,… mà không có bên nào biết cho đến khi quá muộn Ngoài các website, các cuộc tấn công này có thể chuyển mục tiêu đến liên lạc qua email, SMS, MMS, DNS lookups và mạng WiFi công cộng Và các đối tượng tiêu biểu của MitM bao gồm: Các doanh nghiệp thường mại điện tử, các ứng dụng tài chỉnh, các ứng dụng mạng xã hội và trò chuyện trực tuyến Tác hại của MitM là vô cùng nghiên trọng khi người bị tấn công không biết mình đã bị tấn công hay chưa Các thông tin nhạy cảm bị nghe lén thụ động, các cuộc trò chuyện, trao đổi, giao dịch bị kiểm soát,… 3 I.a cách MITM hoạt động II Cách thực hoạt động của tấn công Man-in-the-Middle Tấn công MitM hay bất kỳ loại tấn công mạng nào, trước tiên đều phải xác định được mục tiêu a, Xác định mục tiêu là kẻ tấn công xác định các bên hợp pháp tham giao vào giao tiếp mà họ muốn xâm nhập Việc xác định mục tiêu bao gồm thăm dò và quét, rà xoát Trong đó: - Thăm dò là các hành vi mà kẻ tấn công thực hiện nhằm thu thập thông tin về hệ thống: người dùng, khách hàng, các hoạt động nghiệp vụ, thông tin về tổ chức, Việc thăm dò có thể lặp đi lặp lại một cách định kỳ cho đến khi có cơ hội để thực hiện tấn công dễ dàng hơn Trong đó thăm dò có hai cách là thăm dò chủ động: chủ động có tương tác với mục tiêu, và thăm dò bị động: không có tương tác trực tiếp với mục tiêu Thăm dò mục tiêu có sử dụng các công cụ tìm kiếm trên mạng như: Google, Shodan, Censys Từ các thông tin từ mạng xã hội FB, Tweetter, Linkedin Thông tin từ website của đối phương bằng công cụ như Burp Suite, Zap, Web Spider, Web Mirrnoring Một số thông tin khác như DNS, hệ thống email, kết nối mạng, social Engineering đều có công cụ để thăm dò - Sau khi thăm dò, kẻ tấn công có được một cái nhìn tổng quan về hệ thống của mục tiêu, tiếp đấy kẻ tấn công sẽ quét rà soát để xác định các thông tin cụ thể của hệ thống từ các thông tin đã thu thập được từ quá trình thăm dò Kẻ tấn công sẽ có cái nhìn chi tiết hơn và sâu hơn về hệ thông như: các dịch vụ cung cấp, các cổng dịch vụ đang mở, địa chỉ ip, hệ điều hành và phần mềm,… Một số phương pháp mà kẻ tấn công có thể sử dụng trong quá trình quét rà soát như: 4 Quét mạng: kẻ tấn công sử dụng các công cụ quét mạng (phổ biến nhất là Nmap, Ping Sweep) để tìm kiếm các thiết bị kết nối trong mạng Qua đó, kẻ tấn công có thể phát hiện các thiết bị mục tiêu như máy tính, điện thoại di động, máy chủ, router, và các thiết bị mạng khác Kiểm tra các cổng dịch vụ đang mở: TCP Scanning, UDP Scanning Xác định thông tin hệ điều hành trên hệ thống của mục tiêu bằng các tools như ID Serve, Netcraft Quét lỗ hổng bằng Nessus, GFI, Languard Xác định topology của mạng mục tiêu bằng Network Topology Mapper b, Giả mạo kết nối: Sau khi thăm dò và xác định được thời cơ tấn công, kẻ tấn công sẽ cố giả mạo kết nối đến mục tiêu Giả mạo kết nối là một kỹ thuật trong an ninh mạng mà kẻ tấn công đánh lừa hệ thống hoặc người dùng bằng cách giả mạo hoặc làm giả một thành phần của mạng hoặc một thực thể hợp pháp khác để đạt được mục đích xấu Kỹ thuật này thường được sử dụng để xâm nhập vào hệ thống, đánh cắp thông tin nhạy cảm hoặc thực hiện các hoạt động độc hại Dưới đây là một số phương pháp phổ biến mà kẻ tấn công thường dùng để giả mạo kết nối: - Giả mạo địa chỉ IP (IP Spoofing): Kẻ tấn công sử dụng kỹ thuật IP Spoofing để thay đổi hoặc giả mạo địa chỉ IP nguồn trong gói tin mạng Điều này dẫn đến việc hệ thống nhận dạng gói tin như là một gói tin từ một nguồn hợp pháp, cho phép kẻ tấn công xâm nhập vào hệ thống mà không bị phát hiện hoặc chặn - Giả mạo địa chỉ MAC (MAC Spoofing): Địa chỉ MAC (Media Access Control) là một định danh duy nhất gắn liền với mỗi card mạng Kẻ tấn công có thể thay đổi địa chỉ MAC của card mạng của mình để giả mạo một thiết bị khác trong mạng Điều này cho phép kẻ tấn công nhận được các gói tin mà ban đầu được gửi đến thiết bị mục tiêu - Giả mạo tên miền (DNS Spoofing): Kẻ tấn công thực hiện DNS Spoofing bằng cách thay đổi hoặc làm giả dữ liệu DNS (Domain Name System) Điều này có thể dẫn đến việc chuyển hướng người dùng đến các trang web giả mạo hoặc lừa đảo, nơi kẻ tấn công có thể thu thập thông tin đăng nhập hoặc tiến hành các cuộc tấn công khác - Giả mạo địa chỉ email (Email Spoofing): Kẻ tấn công sử dụng kỹ thuật Email Spoofing để giả mạo thông tin nguồn hoặc đích của một email Điều này cho phép kẻ tấn công gửi email giả mạo từ một địa chỉ đáng tin cậy hoặc thực hiện các cuộc tấn công xã hội như lừa đảo thông qua email - Giả mạo SSL/TLS (SSL/TLS Spoofing): Kẻ tấn công có thể sử dụng kỹ thuật SSL/TLS Spoofing để giả mạo chứng chỉ SSL/TLS và thiết lập một kết nối bảo mật giả mạo với người dùng Điều này cho phép kẻ tấn công ngụy trang thành một trang web an toàn và thu thập thông tin nhạy cảm từ người dùng c, Gián đoạn giao tiếp: Cùng lúc với giả mạo kết nối đến mục tiêu, kẻ tấn công sẽ gián đoạn giao tiếp giữa mục tiêu và đối tượng mà mục tiêu đang cố giao tiếp Việc gián đoạn này 5 phải đảm bảo để hai bên không nhận thức được bất thường trong giao tiếp Một kịch bản phổ biến là trong lúc kẻ tấn công giả mạo thành server và giao tiếp với client, đồng thời tấn công ddos đến server thật để trì hoãn server thật giao tiếp với client, sau khi giả mạo thành server kết nối đến client thành công, kẻ tấn công sẽ dừng tấn công ddos đến server đồng thời giả mạo client giao tiếp tới server Sau khi thành công kẻ tấn công sẽ trở thành trung gian nhận và gửi dữ liệu trong giao tiếp giữa client và server (Man-in-the-Middle) Một số phương pháp phổ biến mà kẻ tấn công thường dùng để gián đoạn giao tiếp: - Tấn công từ chối dịch vụ (Denial of Service - DoS): Kẻ tấn công gửi một lượng lớn yêu cầu không hợp lệ hoặc tài nguyên tới một hệ thống hoặc dịch vụ, gây quá tải và làm cho hệ thống trở nên không thể hoạt động Điều này dẫn đến việc người dùng hợp pháp không thể truy cập hoặc sử dụng dịch vụ - Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS): Tấn công DDoS tương tự như tấn công DoS, nhưng có sự tham gia của nhiều thiết bị đầu cuối hoặc botnet Kẻ tấn công chiếm quyền kiểm soát các thiết bị này và sử dụng chúng để gửi lưu lượng truy cập đồng thời đến một mục tiêu, gây ra tình trạng quá tải và làm gián đoạn giao tiếp - Tấn công gửi gói tin giả mạo (Spoofed Packet Attack): Kẻ tấn công giả mạo hoặc thay đổi thông tin trong gói tin mạng Điều này có thể làm cho gói tin trở nên không hợp lệ hoặc gây rối trong quá trình truyền tải, gây ra sự gián đoạn trong giao tiếp giữa các thành phần mạng - Tấn công tràn bộ đệm (Buffer Overflow Attack): Kẻ tấn công cố gắng gửi dữ liệu lớn hơn khả năng xử lý của một ứng dụng hoặc hệ thống, làm cho bộ đệm tràn trang và gây ra sự gián đoạn hoặc làm cho ứng dụng/hệ thống bị treo hoặc tự khởi động lại - Tấn công chặn các giao thức quản lý mạng (Management Protocol Attack): Kẻ tấn công tấn công vào các giao thức quản lý mạng như SNMP (Simple Network Management Protocol), ICMP (Internet Control Message Protocol) để gián đoạn hoặc làm gián đoạn giao tiếp trong mạng d, Đánh cắp thông tin và hoạt động độc hại: Thành công trở thành trung gian trong giao tiếp giữa hai bên, kẻ tấn công sẽ liên tục đánh cắp thông tin nhạy cảm từ giao tiếp giữa hai bên, bao gồm tên người dùng, mật khẩu, thông tin tài khoản,… Đồng thời tiến hành các hoạt động độc hại như thay đổi dữ liệu hoặc chèn mã độc vào gói tín, thậm chí điều hướng lưu lượng mạng sang các máy chủ giả mạo Trong giai đoạn này kẻ tấn công có thể sử dụng các kỹ thuật như: - Chặn và lắng nghe (Interception and Eavesdropping): Kẻ tấn công giữ vai trò trung gian giữa hai bên truyền thông và lắng nghe các thông tin được gửi đi và nhận về Khi thông tin nhạy cảm như tên đăng nhập, mật khẩu, thông tin tài khoản hoặc thông 6 tin cá nhân được truyền qua kết nối, kẻ tấn công có thể tự động ghi lại và lưu trữ thông tin này để sử dụng sau này - Thay đổi và chèn (Modification and Injection): Kẻ tấn công có thể thay đổi nội dung của các gói tin truyền qua kết nối Điều này cho phép kẻ tấn công chèn các dữ liệu giả mạo hoặc độc hại vào gói tin, hoặc thay đổi thông tin như địa chỉ gửi, địa chỉ nhận, số tiền thanh toán, và các thông tin khác Kẻ tấn công có thể sử dụng phương pháp này để đánh cắp thông tin hoặc tạo ra sự nhầm lẫn và gây hại cho các bên tham gia trong quá trình truyền thông - Tấn công giả mạo SSL/TLS (SSL/TLS Spoofing): Kẻ tấn công có thể tạo ra chứng chỉ SSL/TLS giả mạo và sử dụng chúng để thực hiện tấn công giữa chừng Khi người dùng truy cập vào một trang web được bảo vệ bằng SSL/TLS, kẻ tấn công sẽ giả mạo chứng chỉ và lừa người dùng kết nối đến một trang web giả mạo Khi thông tin được gửi đi từ người dùng tới trang web giả mạo, kẻ tấn công có thể thu thập thông tin nhạy cảm như tên đăng nhập và mật khẩu - Tấn công Replay (Phát lại): Kẻ tấn công có thể ghi lại các gói tin được truyền trong quá trình truyền thông và sau đó phát lại chúng để tái tạo lại các hoạt động của người dùng Điều này có thể cho phép kẻ tấn công lấy trộm thông tin xác thực hoặc thực hiện các hành động trái phép giả mạo người dùng e, Xoá dấu vết: Sau khi gây đủ thiệt hại, lừa đảo được đủ lợi ích, thu thập đủ thông tin nhạy cảm hoặc phát hiện được nguy cơ bị phát hiện, kẻ tấn công sẽ ngừng tấn công MitM, khôi phục lại giao tiếp ban đầu, và xoá dấu vết để hai bên bị thiệt hại khó truy vết đến mình Vì nhận thức được mình đang hành động phạm pháp, kẻ tấn công luôn cố gắng giữ lại đường lùi , nên quá trình xoá dấu vết thường được kẻ tấn công thực hiện đồng thời mọi lúc trong quá trình tấn công Tuy nhiên đây là một quá trình khá phức tạp và thường khó khăn để thanh trừ sạch mọi dấu vết để lại Kẻ tấn công sử dụng một số biện pháp để thực hiện xoá dấu vết như: - Xóa logs: Kẻ tấn công có thể xóa các logs hoặc ghi đè lên các logs liên quan đến hoạt động tấn công Điều này nhằm mục đích che giấu hoạt động bất hợp pháp và làm khó khăn trong việc phát hiện và điều tra sau này - Xóa các tệp tin và thư mục: Kẻ tấn công có thể xóa các tệp tin, thư mục hoặc các dấu vết liên quan đến hoạt động tấn công Điều này bao gồm các tệp tin log, tệp tin lưu trữ thông tin đăng nhập, tệp tin script hay mã độc, và các tệp tin khác có thể tiết lộ hoạt động của kẻ tấn công - Xóa các dấu vết trong cơ sở dữ liệu: Kẻ tấn công có thể truy cập vào cơ sở dữ liệu và xóa các dữ liệu có liên quan đến hoạt động tấn công Điều này nhằm mục đích loại bỏ bằng chứng và làm khó khăn cho quá trình điều tra sau này - Xóa hoặc giả mạo các bản ghi mạng: Kẻ tấn công có thể xóa hoặc giả mạo các bản ghi mạng liên quan đến hoạt động tấn công Điều này bao gồm các bản ghi ARP, 7 bản ghi DNS, bản ghi DHCP và các bản ghi khác để che giấu địa chỉ IP thực sự và các thông tin liên quan đến kẻ tấn công - Sử dụng công cụ giả mạo địa chỉ MAC: Kẻ tấn công có thể sử dụng công cụ giả mạo địa chỉ MAC để che giấu danh tính của mình và làm khó khăn cho quá trình xác định nguồn gốc tấn công Các bước thực hiện tấn công MitM đều rõ ràng, có mục đích cụ thể, không yêu cầu kẻ tấn công phải là chuyên gia, và tất cả giai đoạn đều có công cụ hỗ trợ được công khai Nên MitM là một loại tấn công phổ biến và gây ra nhiều thiệt hại trong quá khứ và hiện tại Các biện pháp phòng chống cho từng giai đoạn tấn công MitM được các chuyên gia an ninh mạng đề xuất, triển khai và cải thiện thường xuyên nên mức độ khó khăn để tấn công MitM ngày càng tăng Cùng với đó, là cộng đồng hacker cũng liên tục tìm ra biện pháp chống lại các biện pháp an toàn đó, và cũng liên tục được cải thiện các công cụ tấn công, đồng thời sử dụng các công cụ mà bên an ninh mạng phát triển ra để tiến hành tấn công, ví dụ như: Burp Suite, Zap,… Việc đồng thời liên tục tìm ra biện pháp tấn công và biện pháp phòng ngừa của hai phía đang từng bước tăng cường hạn mức và trình độ công nghệ thông tinh trong lĩnh vực an ninh mạng III Các phương pháp tấn công Man-in-the-Middle Cộng đồng hacker có rất nhiều người là chuyên gia trong lĩnh vực mạng máy tính Họ hiểu chi tiết cơ chế, kết cấu, hệ thống mạng triển khai, hiểu rõ về cách hoạt động của từng tầng mạng, hiểu rõ về cách các gói tin được đóng gói, được chuyển thành tín hiệu, được truyền đi nên có thể thiết kế ra rất nhiều biện pháp tấn công, can thiệp vào hệ thống Một số phương pháp tấn công MitM phổ biến nhất được kẻ tấn công thường sử dụng như: a, Giả mạo IP (IP spoofing): Mỗi thiết bị có khả năng kết nối với internet đều có internet protocolt address (IP), tương tự như địa chỉ cho nhà bạn Với IP spoofing, kẻ tấn công có thể thay thế bạn hoặc đối tượng tương tác với bạn và lừa bạn rằng bạn đang liên hệ trực tiếp với bên kia, kẻ tấn công có thể truy cập vào thông tin mà bạn đang trao đổi - Một dạng IP spoofing phổ biến nhất là ARP spoofing (Address Resolution Protocol spoofing) - một kỹ thuật tấn công trong đó kẻ tấn công giả mạo các bản ghi ARP trong mạng local để gian lận và đánh lừa các thiết bị trong mạng Chi tiết hơn về ARP spoofing bao gồm: - Giao thức ARP được sử dụng để ánh xạ địa chỉ IP sang địa chỉ MAC trong mạng local Khi một thiết bị muốn gửi dữ liệu đến một địa chỉ IP nào đó, nó sẽ gửi một yêu cầu ARP broadcast để tìm địa chỉ MAC tương ứng của địa chỉ IP đó - Lợi dụng cách giao thức ARP tìm địa chỉ MAC, kẻ tấn công sử dụng công cụ phần mềm đặc biệt để tạo ra các bản ghi ARP giả mạo Khi kẻ tấn công giả mạo bản ghi ARP, nó gửi các thông báo ARP với địa chỉ IP nguồn được giả mạo và địa chỉ MAC 8 tương ứng với địa chỉ IP mục tiêu Điều này khiến cho các thiết bị trong mạng local tin rằng địa chỉ MAC của địa chỉ IP mục tiêu chính là địa chỉ MAC của kẻ tấn công - ARP spoofing thường được sử dụng để tấn công trong mạng local Kẻ tấn công thường nhắm vào các thiết bị trong mạng như máy tính, điện thoại di động, máy chủ và thiết bị mạng khác Trong tấn công MitM, ARP spoofing được kẻ tấn công sử dụng với mục đích như: kẻ tấn công có thể giả mạo bản ghi ARP để chuyển hướng lưu lượng mạng của các thiết bị khác qua một máy chủ tấn công, từ đó lấy cắp thông tin nhạy cảm như tên người dùng, mật khẩu hoặc dữ liệu cá nhân Kẻ tấn công có thể theo dõi, ghi lại và thậm chí thay đổi lưu lượng mạng giữa các thiết bị, từ đó tiềm ẩn nguy cơ truy cập trái phép vào dữ liệu và tấn công khác ARP spoofing cũng có thể sử dụng để tấn công DoS bằng cách gây ra sự chồng chéo các bản ghi ARP giả mạo, gây ra sự cản trở trong quá trình ánh xạ địa chỉ IP sang địa chỉ MAC Điều này có thể làm cho các thiết bị trong mạng không thể giao tiếp và dẫn đến tình trạng từ chối dịch vụ b, Giả mạo DNS (Domain Name Server spoofing): còn được gọi là DNS cache poisoning, là một kỹ thuật tấn công trong đó kẻ tấn công gian lận và đánh lừa hệ thống DNS (Domain Name System) để chuyển hướng các yêu cầu DNS từ các địa chỉ trang web hợp lệ sang địa chỉ trang web được kiểm soát bởi kẻ tấn công DNS spoofing buộc người dùng vào một website giả chứ không phải trang mà người dùng dự định truy cập Nếu bạn là nạn nhân của DNS spoofing, bạn sẽ nghĩ rằng bạn đang truy cập một website đáng tin khi bạn thực sự tương tác với một kẻ lừa đảo Mục tiêu của thủ phạm là tăng lượng truy cập website giả mạo hoặc đánh cắp thông tin đăng nhập của người dùng Chi tiết về DNS spoofing như sau: - Giao thức DNS được sử dụng để ánh xạ tên miền (ví dụ: example.com) sang địa chỉ IP tương ứng Khi người dùng truy cập một trang web bằng tên miền, trình duyệt sẽ gửi yêu cầu DNS để tìm địa chỉ IP của trang web đó - Lợi dụng cơ chế của giao thức DNS, kẻ tấn công thực hiện DNS spoofing bằng cách gian lận và thay đổi các bản ghi DNS trong bộ nhớ cache của máy chủ DNS hoặc các thiết bị trung gian, chẳng hạn như router Khi hệ thống DNS hoặc thiết bị trung gian nhận được yêu cầu DNS, nó sẽ truy vấn bộ nhớ cache để tìm địa chỉ IP tương ứng Kẻ tấn công sẽ gửi các phản hồi DNS giả mạo chứa thông tin sai lệch, dẫn đến người dùng bị chuyển hướng đến địa chỉ IP mà kẻ tấn công đã chỉ định - Mục đích khi kẻ tấn công sử dụng DNS spoofing chủ yếu là để giả mạo kết nối bằng nhiều cách ví dụ như: phishing - kẻ tấn công có thể chuyển hướng người dùng đến trang web giả mạo, giả danh trang web hợp pháp (ví dụ: trang web ngân hàng) để lừa đảo người dùng vào cung cấp thông tin cá nhân nhạy cảm như tên người dùng, mật khẩu hoặc số thẻ tín dụng Sử dụng mã độc - kẻ tấn công có thể chuyển hướng người dùng đến trang web chứa mã độc, như malware hoặc keylogger, để xâm nhập 9 và kiểm soát máy tính của nạn nhân Đánh cắp thông tin - kẻ tấn công có thể chuyển hướng người dùng đến máy chủ giả mạo để thu thập thông tin nhạy cảm, như tên đăng nhập, mật khẩu hoặc thông tin tài khoản c, Giả mạo HTTPS (HTTPS spoofing): còn được gọi là SSL/TLS spoofing, là một hình thức tấn công mạng mà kẻ tấn công giả mạo một trang web an toàn bằng cách sử dụng chứng chỉ SSL/TLS giả mạo Khi truy cập website, HTTPS trong URL, chứ không phải là HTTP là dấu hiệu cho thấy website này an toàn Kẻ tấn công có thể đánh lừa trình duyệt của bạn rằng đang truy cập một website đáng tin cậy bằng cách chuyển hướng trình duyệt của bạn đến một website không an toàn sau khi truy cập, kẻ tấn công có thể theo dõi các tương tác của bạn với website đó và có thể đánh cắp thông tin cá nhân bạn đang chia sẻ Chi tiết về quá trình và cách thức hoạt động của HTTPS spoofing như sau: - HTTPS (HyperText Transfer Protocol Secure) là một phiên bản bảo mật của HTTP sử dụng SSL (Secure Socket Layer) hoặc TLS (Transport Layer Security) để mã hóa dữ liệu truyền qua mạng SSL/TLS tạo ra một kênh kết nối an toàn giữa máy khách và máy chủ, đảm bảo tính bảo mật và riêng tư cho thông tin truyền tải - Khi một trang web sử dụng HTTPS, nó sẽ sử dụng một chứng chỉ SSL/TLS để chứng minh tính xác thực và đáng tin cậy của nó Chứng chỉ này được phát hành bởi một tổ chức chứng thực (Certificate Authority - CA) và chứng nhận rằng trang web đó là chính xác và an toàn - HTTPS là một cơ chế, biện pháp để ngăn chặn các phương pháp tấn công mạng, nên để nhắm vào khai thác tấn công cần phức tạp hơn nhắm vào các cơ chế khác Để thực hiện tấn công HTTPS spoofing, kẻ tấn công cần thực hiện các bước sau: Giả mạo chứng chỉ SSL/TLS: Kẻ tấn công tạo ra một chứng chỉ SSL/TLS giả mạo, giả danh một CA hoặc sử dụng các công cụ và phần mềm để tạo ra một chứng chỉ giả mạo Lừa đảo DNS: Kẻ tấn công sẽ thực hiện một cuộc tấn công Man-in-the-Middle (MITM) để kiểm soát giao tiếp giữa máy khách và máy chủ Kẻ tấn công có thể sử dụng các phương pháp như DNS spoofing để điều hướng yêu cầu của người dùng đến máy chủ giả mạo Giả mạo trang web: Kẻ tấn công tạo ra một trang web giả mạo, sao chép trang web gốc mà người dùng đang cố gắng truy cập Trang web giả mạo này được cấu hình để sử dụng chứng chỉ SSL/TLS giả mạo mà kẻ tấn công đã tạo ra Thiết lập kết nối an toàn giả mạo: Khi người dùng truy cập trang web giả mạo, trình duyệt sẽ nhận được chứng chỉ SSL/TLS giả mạo từ kẻ tấn công và thiết lập một kết nối an toàn Người dùng sẽ thấy biểu tượng khóa và/hoặc biểu tượng "https://" trong thanh địa chỉ của trình duyệt, tạo ra sự ảo tưởng rằng họ đang truy cập một trang web an toàn 10 - Hậu quả của HTTPS spoofing, khi kẻ tấn công thành công thực hiện HTTPS spoofing, họ có thể đọc, sửa đổi và thậm chí đánh cắp thông tin nhạy cảm gửi đến từ người dùng Điều này bao gồm tên người dùng, mật khẩu, thông tin tài khoản ngân hàng, thông tin thẻ tín dụng, và các dữ liệu khác được truyền qua kết nối an toàn giả mạo Đồng thời hạ thấp cảnh giác của người dùng, kéo dài thời hạn tấn công khi người dùng khó nhận thức được bị tấn công hơn - Một số phương pháp khác nhắm vào SSL là SSL stripping, SSL hijacking, cũng được kẻ tấn sử dụng khi tấn công MitM, nhắm các vào các cơ chế khác của SSL và gây ra nhiều hậu quả khác nhau d, Đánh cắp email (Email hijacking): Một cuộc tấn công trung gian phổ biến khác là Email hijacking Giả sử bạn đã nhận được một email có vẻ là từ ngân hàng của bạn, yêu cầu bạn đăng nhập vào tài khoản để xác nhận thông tin liên hệ Bạn nhấp vào một liên kết trong email và được đưa đến trang đăng nhập và thực hiện nhiệm vụ được yêu cầu Trong kịch bản này, MitM đã gửi cho bạn email, làm cho nó có vẻ hợp pháp Nhưng khi bạn làm điều đó, bạn không đăng nhập vào tài khoản ngân hàng của mình, bạn đang bàn giao thông tin đăng nhập cho kẻ tấn công Kẻ tấn công nhắm vào email khách hàng của các ngân hàng và các tổ chức tài chính khác Khi họ có quyền truy cập, họ có thể giám sát các giao dịch giữa tổ chức và khách hàng của mình Những kẻ tấn công sau đó có thể giả mạo địa chỉ email của ngân hàng và gửi email có chứa một vài hướng dẫn cho khách hàng Điều này khiến cho khách hàng làm theo hướng dẫn của kẻ tấn công chứ không phải ngân hàng Kết quả tồi tệ là khách hàng đặt tiền vào tay kẻ tấn công Email sẽ có vẻ hợp pháp và vô hại đối với người nhận làm cho cuộc tấn công này rất hiệu quả và tàn phá về tài chính e, Nghe lén Wi-Fi (WiFi eavesdropping): WiFi eavesdropping - một cách thụ động để triển khai các cuộc tấn công MitM thường xuyên xảy ra trên các mạng WiFi Với MitM truyền thống, kẻ tấn công cần có quyền truy cập vào bộ định tuyến WiFi (Có thể do không được bảo mật hoặc bảo mật kém) Các loại kết nối này thường là các kết nối công cộng (Các điểm truy cập Wi-Fi miễn phí), hoặc cũng có thể là WiFi cá nhân nếu người dùng không bảo vệ tốt cho chúng Kẻ tấn công có thể thiết lập kết nối WiFi với các tên nghe có vẻ rất hợp pháp Khi người dùng kết nối với WiFi của kẻ tấn công, họ có thể theo dõi hoạt động trực tuyến của người dùng và có thể chặn thông tin đăng nhập, thông tin thẻ thanh toán Khi kẻ tấn công tìm thấy bộ định tuyến dễ bị tấn công, chúng có thể triển khai các công cụ để chặn và đọc dữ liệu truyền của nạn nhân Kẻ tấn công sau đó cũng có thể chèn các công cụ của chúng vào giữa máy tính của nạn nhân và các website mà nạn nhân truy cập để ghi lại thông tin đăng nhập, thông tin ngân hàng và thông tin cá nhân khác 11 Còn có rất nhiều phương pháp khác mà kẻ tấn công có thể sử dụng để tấn công MitM, nhắm vào khai thác các điểm yếu khác nhau của hệ thống mạng, gây ra nhiều hậu quả khác nhau từ đánh cắp thông tin nhạy cảm, lừa đảo tiền bạc tài sản,… do đó các phương pháp phòng ngừa và ngăn chặn được triển khai nhưng các phương pháp chỉ có thể ngăn chặn một số loại tấn công nhất định, không có phương pháp nào ngăn chặn được toàn bộ tất cả các loại tấn công Hệ thống mạng đã được cải thiện để các phương pháp tấn công có chủ đích khó khai thác điểm yếu, nhưng người dùng thường mắc các sai lầm nghiêm trọng để lộ điểm yếu và bị kẻ tấn công khai thác, do đó con người cũng là một nhân tố cần được cải thiện để tăng cường an ninh hệ thống mạng IV Các biện pháp phòng chống tấn công MitM Trong an ninh mạng, phòng chống tấn công được triển khai trên cả hệ thống mạng và con người Các loại tấn công thường nhắm vào các tương tác khi người dùng sử dụng hệ thống như: Trang web tài chính - giữa đăng nhập và xác thực, các kết nối công cộng hoặc bảo mật kém, các website yêu cầu đăng nhập Vì có khá nhiều cách để thực hiện MITM, không có giải pháp tất cả trong một cho các cuộc tấn công này Một trong những cách cơ bản nhất, hãy chắc chắn rằng của các website truy cập sử dụng giao thức HTTPS Các website hiện nay hầu hết đều triển khai HTTP Strict Transport Security (HSTS) - chỉ tương tác thông qua HTTPS Cảnh giác với các email lừa đảo từ những kẻ tấn công yêu cầu cập nhật mật khẩu hoặc bất kỳ thông tin đăng nhập nào khác Thay vì nhấp vào liên kết được cung cấp trong email, hãy nhập thủ công địa chỉ website vào trình duyệt Vì MITM chủ yếu sử dụng phần mềm độc hại để thực thi, hệ thống nên thực thi một giải pháp bảo mật internet toàn diện Tăng tính bảo mật cho mạng WiFi tại nhà và công ty của mọi người trong hệ thống bằng cách thay đổi tên người dùng và mật khẩu mặc định trên bộ định tuyến và tất cả các thiết bị được kết nối thành mật khẩu mạnh và duy nhất Điều thiết yếu là phải ý thức rằng MITM có thể làm tổn hại không nhẹ đến thông tin cá nhân và hệ thống, để luôn thực thi các biện pháp bảo mật thích hợp với các thiết bị trong hệ thống mạng Authentication certificates cũng có thể được sử dụng để bảo vệ chống lại MITM Một tổ chức có thể thực hiện xác thực rồi cấp chứng chỉ cho tất cả các thiết bị của họ, để chỉ những người dùng có chứng chỉ, cấu hình thích hợp mới có thể truy cập hệ thống của họ 12 Để ngăn chặn việc đánh cắp email, có thể sử dụng Secure/Multipurpose Internet Mail Extensions (S/MIME) Giao thức này mã hóa email và cho phép đăng ký email với Digital Certificate duy nhất, cho người nhận biết rằng tin nhắn đã nhận là hợp pháp Triển khai các biện pháp để ngăn chặn các cách thức tấn công MitM: - Để phòng ngừa xác định mục tiêu bằng thăm dò và quét rà soát, người dùng cần tăng cường ý thức về an ninh mạng, tránh kết nối vào mạng Wi-Fi công cộng không an toàn, sử dụng các phương thức bảo mật như HTTPS và VPN để mã hóa dữ liệu, và luôn duy trì các công nghệ bảo mật và cập nhật hệ thống - Để bảo vệ chống lại giả mạo kết nối, người dùng và các tổ chức cần áp dụng các biện pháp bảo mật như sử dụng mã hóa mạnh, kiểm tra tính hợp lệ của chứng chỉ SSL/TLS, cập nhật hệ điều hành và phần mềm đầy đủ, và tăng cường giáo dục về an ninh mạng để nhận biếtcác dấu hiệu của giả mạo kết nối và nhận diện các cuộc tấn công - Các biện pháp phòng ngừa chống lại gián đoạn giao tiếp bao gồm triển khai hệ thống bảo mật mạng mạnh mẽ, cập nhật định kỳ phần mềm và hệ điều hành, sử dụng giải pháp chống tấn công DoS/DDoS, kiểm tra và xử lý các lỗ hổng bảo mật trong hệ thống, và duy trì các giải pháp sao lưu và phục hồi dữ liệu - Các biện pháp phòng ngừa chống lại đánh cắp thông tin bao gồm sử dụng mật khẩu mạnh và đổi mật khẩu định kỳ, không chia sẻ thông tin cá nhân hoặc tài khoản với các nguồn không đáng tin cậy, cập nhật và sử dụng phần mềm bảo mật, không mở các tập tin hoặc liên kết không rõ nguồn gốc, và tăng cường giáo dục về an ninh mạng để nhận diện và tránh các hình thức tấn công Triển khai các biện pháp để ngăn chặn các phương pháp tấn công MitM, do có rất nhiều phương pháp tấn công MitM nên chỉ đề cập đến phương pháp phòng ngừa các loại tấn công đã nhắc đến ở trên như: - Để ngăn chặn ARP spoofing, có thể áp dụng các biện pháp sau: Sử dụng VLAN (Virtual Local Area Network) để phân tách các mạng con trong mạng local, giới hạn phạm vi tấn công của kẻ tấn công Sử dụng công nghệ ARP Spoofing Detection để phát hiện và cảnh báo về các hoạt động giả mạo bản ghi ARP Sử dụng các công cụ chống ARPSpoofing Prevention để ngăn chặn các cuộc tấn công ARP spoofing và giám sát sự thay đổi của bản ghi ARP trong mạng Thiết lập các quy tắc bảo mật chặt chẽ trong mạng, bao gồm việc cấu hình các thiết bị mạng và máy tính để không chấp nhận các bản ghi ARP giả mạo Sử dụng các giải pháp mã hóa và chứng thực để bảo vệ dữ liệu trong mạng, giúp ngăn chặn kẻ tấn công từ việc đánh cắp thông tin nhạy cảm - Để ngăn chặn DNS spoofing, có thể áp dụng các biện pháp sau: 13 Sử dụng DNSSEC (DNS Security Extensions): DNSSEC là một bổ sung cho DNS để đảm bảo tính toàn vẹn và xác thực của thông tin DNS Nó sử dụng chữ ký số để xác minh tính hợp lệ của dữ liệu DNS và ngăn chặn các cuộc tấn công DNS spoofing Cập nhật phần mềm và firmware: Đảm bảo máy chủ DNS, router và các thiết bị mạng khác được cập nhật phiên bản phần mềm và firmware mới nhất để khắc phục các lỗ hổng bảo mật đã biết Mở rộng thời gian hết hạn bộ nhớ cache DNS: Thiết lập thời gian hết hạn lâu hẹn cho bộ nhớ cache DNS, giảm khả năng bị tấn công DNS spoofing Sử dụng VPN: Sử dụng một mạng riêng ảo (VPN) có thể giúp bảo vệ an toàn thông tin truyền qua mạng bằng cách mã hóa dữ liệu và ẩn địa chỉ IP thực Kiểm tra chứng chỉ SSL: Kiểm tra chứng chỉ SSL của trang web để đảm bảo rằng trang web được kết nối là trang web hợp pháp và không bị sửa đổi thông qua tấn công DNS spoofing Giám sát và phát hiện tấn công: Triển khai các công cụ và hệ thống giám sát mạng để phát hiện các hoạt động bất thường và các tấn công DNS spoofing có thể xảy ra - Để bảo vệ khỏi HTTPS spoofing, người dùng cần tuân thủ các biện pháp an ninh sau: Luôn kiểm tra tính xác thực của trang web: Kiểm tra chứng chỉ SSL/TLS của trang web bằng cách nhấp vào biểu tượng khóa hoặc biểu tượng "https://" trong thanh địa chỉ của trình duyệt Xác minh rằng chứng chỉ được phát hành bởi một CA đáng tin cậy và tên trang web trên chứng chỉ phù hợp với tên trang web bạn đang truy cập Cập nhật trình duyệt và phần mềm: Luôn cập nhật phiên bản mới nhất của trình duyệt web và các phần mềm bảo mật khác để đảm bảo bạn có những bản vá bảo mật mới nhất Sử dụng phần mềm bảo mật và tường lửa: Cài đặt và cập nhật phần mềm diệt virus, phần mềm chống độc, và tường lửa để ngăn chặn các cuộc tấn công từ phía bên ngoài Sử dụng mạng riêng ảo (VPN): Sử dụng một dịch vụ VPN (Virtual Private Network) để mã hóa dữ liệu và tạo một kênh kết nối an toàn giữa máy tính của bạn và trang web mà bạn truy cập Kiểm tra địa chỉ URL: Hãy kiểm tra kỹ địa chỉ URL của trang web trước khi cung cấp thông tin cá nhân hay tài khoản Sử dụng các phương pháp an toàn khác nhau để truy cập vào trang web, chẳng hạn như sử dụng các liên kết được lưu trữ hoặc nhập trực tiếp địa chỉ URL được biết đến Cảnh giác với các liên kết không đáng tin cậy: Tránh nhấp vào các liên kết không đáng tin cậy trong email, tin nhắn xã hội hoặc các trang web không xác định Cẩn thận với các thông điệp yêu cầu cung cấp thông tin cá nhân hoặc tài khoản 14 V Kết luận Tấn công Man-in-the-Middle là một hình thức tấn công mạng nguy hiểm, trong đó kẻ tấn công giả mạo mình là một trung gian giữa hai bên hợp pháp và can thiệp vào giao tiếp giữa họ Kẻ tấn công có thể đọc, sửa đổi và thậm chí đánh cắp thông tin nhạy cảm như tên đăng nhập, mật khẩu, thông tin tài khoản ngân hàng và thông tin thẻ tín dụng Quá trình tấn công MITM thường bao gồm xâm nhập vào mạng hoặc điểm truy cập mạng của nạn nhân và thiết lập một kết nối giả mạo với máy chủ hoặc trang web mục tiêu Kẻ tấn công sẽ sử dụng các kỹ thuật để ẩn danh và can thiệp vào giao tiếp, khiến người dùng tin rằng họ đang trò chuyện với một bên đáng tin cậy Hệ thống mạng và các biện pháp an toàn an ninh mạng đã được cải thiện để cho các cuộc tấn công MitM khó thực hiện thành công hơn nếu người dùng và hệ thống áp các nguyên tắc được khuyến cáo như: sử dụng HTTPS, xác minh chứng chỉ SSL/TLS, cập nhật phần mềm định kỳ các phần mềm, hệ điều hành và trình duyệt để bảo mật hơn và tránh các lỗ hổng bảo mật đã biết Sử dụng dịch vụ mạng riêng ảo (VPN) để tạo một kênh kết nối mã hóa an toàn giữa máy tính của người dùng và trang web mục tiêu Kiểm tra kỹ địa chỉ URL của trang web trước khi cung cấp thông tin nhạy cảm hoặc tài khoản Cảnh giác với liên kết không đáng tin cậy, tránh nhấp vào các liên kết không đáng tin cậy trong email, tin nhắn xã hội hoặc trang web không xác định Tuy tấn công Man-in-the-Middle có thể khá phức tạp, nhưng việc áp dụng các biện pháp bảo mật và cảnh giác trong quá trình truy cập Internet có thể giúp ngăn chặn và bảo vệ khỏi loại tấn công này Tài tiệu tham khảo: 1, Bài viết: https://viblo.asia/p/man-in-the-middle-attack-mitm-aWj53LMbK6m 2, Khoá học: https://users.soict.hust.edu.vn/tungbt/it4263 15