Cyberaanval: wat het is, hoe het werkt, doel en hoe het te voorkomen: Man in the Middle

Een cyberaanval is defials een vijandige activiteit tegen een systeem, een tool, een applicatie of een element dat een computercomponent heeft. Het is een activiteit die gericht is op het behalen van een voordeel voor de aanvaller ten koste van de aangevallene.

Er zijn verschillende soorten cyberaanvallen, die variëren naargelang de te bereiken doelstellingen en de technologische en contextuele scenario's:

• cyberaanvallen om te voorkomen dat een systeem functioneert, 
• die wijzen op het compromitteren van een systeem, 
• sommige aanvallen zijn gericht op persoonlijke gegevens die eigendom zijn van een systeem of bedrijf,
• cyberactivisme-aanvallen ter ondersteuning van goede doelen of informatie- en communicatiecampagnes
• etc ...

Een van de meest wijdverbreide aanvallen van de laatste tijd zijn aanvallen voor economische doeleinden en aanvallen voor gegevensstromen, genaamd Man-in-the-Middle: een aanval die is gericht op een populaire website of database om financiële gegevens te stelen.

Degenen die de cyberaanval uitvoeren, alleen of in groepen, worden genoemd hacker

Man-in-the-middle-aanval

Een Man in the Middle-aanval vindt plaats wanneer een hacker ingrijpt tussen de communicatie van een client en een server. Hier zijn enkele veelvoorkomende soorten man-in-the-middle-aanvallen:

Sessie kapen

Bij dit type Man in the Middle-aanval kaapt een aanvaller een sessie tussen een vertrouwde client en een netwerkserver. De aanvallende computer vervangt zijn IP-adres door dat van de vertrouwde client, terwijl de server de sessie voortzet in de veronderstelling dat deze met de client communiceert. De aanval kan bijvoorbeeld als volgt verlopen:

1. Een client maakt verbinding met een server.
2. De computer van de aanvaller krijgt controle over de client.
3. De computer van de aanvaller verbreekt de verbinding tussen de client en de server.
4. De computer van de aanvaller vervangt het IP-adres van de klant door zijn eigen IP-adres e
   en vervalst het MAC-adres van de client.
5. De computer van de aanvaller blijft met de server praten en de server denkt nog steeds met de echte client te communiceren.

IP-spoofing

IP-spoofing wordt door een aanvaller gebruikt om een ​​systeem ervan te overtuigen dat het communiceert met een bekende en vertrouwde entiteit en zo de aanvaller toegang tot het systeem te geven. De aanvaller stuurt een pakket met het bron-IP-adres van een bekende en vertrouwde host in plaats van zijn eigen bron-IP-adres naar een bestemmingshost. De bestemmingshost kan het pakket accepteren en dienovereenkomstig handelen en toegang verlenen.

Replay

Een replay-aanval vindt plaats wanneer een aanvaller oude berichten onderschept en opslaat en deze later probeert te verzenden, waarbij hij zich voordoet als een van de deelnemers. Dit type kan eenvoudig worden tegengegaan met sessietijdstempels of a nuntius (een willekeurig getal of tekenreeks die in de loop van de tijd verandert).

Momenteel is er geen enkele technologie of configuratie om alle Man in the Middle-aanvallen te voorkomen. Over het algemeen bieden codering en digitale certificaten een effectieve beveiliging tegen Man in the Middle-aanvallen, waarbij zowel de vertrouwelijkheid als de integriteit van communicatie wordt gewaarborgd. Maar een man-in-the-middle-aanval kan ook zo in het midden van communicatie worden geïnjecteerd dat zelfs cryptografie niet kan helpen - aanvaller "A" onderschept bijvoorbeeld de openbare sleutel van persoon "P" en vervangt deze door uw openbare sleutel. Dus iedereen die een versleuteld bericht naar P wil sturen met de openbare sleutel van P, gebruikt onbewust de openbare sleutel van A. Daarom kan A het bericht lezen dat bedoeld is voor P en het bericht vervolgens naar P sturen, versleuteld met de echte openbare sleutel van P. P, en P zal nooit merken dat het bericht is gecompromitteerd. Verder kan A het bericht ook aanpassen voordat het teruggestuurd wordt naar P. Zoals je kunt zien, gebruikt P encryptie en denkt dat haar informatie veilig is, maar dat is niet zo, vanwege de Man in the Middle-aanval.

Dus hoe weet je zeker dat de openbare sleutel van P van P is en niet van A? Certificaatautoriteiten en hashfuncties zijn gemaakt om dit probleem op te lossen. Wanneer persoon 2 (P2) een bericht naar P wil sturen, en P er zeker van wil zijn dat A het bericht niet zal lezen of wijzigen en dat het bericht daadwerkelijk van P2 is, moet de volgende methode worden gebruikt:

1. P2 maakt een symmetrische sleutel en versleutelt deze met de openbare sleutel van P.
2. P2 stuurt de versleutelde symmetrische sleutel naar P.
3. P2 berekent een hash van het bericht en ondertekent het digitaal.
4. P2 versleutelt zijn bericht en de ondertekende hash van het bericht met behulp van de symmetrische sleutel en stuurt het naar P.
5. P kan de symmetrische sleutel van P2 ontvangen omdat alleen hij de privésleutel heeft om de codering te decoderen.
6. P, en alleen P, kan het symmetrisch versleutelde bericht en de ondertekende hash ontsleutelen omdat het de symmetrische sleutel heeft.
7. Het kan controleren of het bericht niet is gewijzigd, omdat het de hash van het ontvangen bericht kan berekenen en het kan vergelijken met het digitaal ondertekende bericht.
8. P is ook in staat om aan zichzelf te bewijzen dat P2 de afzender was, omdat alleen P2 de hash kan ondertekenen zodat deze wordt geverifieerd met de openbare sleutel van P2.

Malware en de mens in het midden

Het is mogelijk om een ​​aanval uit te voeren met malware; in technisch jargon hebben we het over aanval "man in de browser”Omdat de aanvaller via het virus de webbrowsersoftware infecteert.

zodra de browser gecompromitteerd, de aanvaller kan een webpagina manipuleren laat iets anders zien dan de originele site.

Het kan ook de ongelukkigen kapen op valse websites, die bijvoorbeeld bank- of sociale-mediapagina's simuleren, door de toegangssleutels in bezit te nemen ... stel je de rest voor!

Laten we als voorbeeld de trojan nemen SpyEye, gebruikt als keylogger om websitegegevens te stelen. SpyEye werd in 2009 in Rusland ontwikkeld en werd gepopulariseerd door de browserextensies Google Chrome, Firefox, Internet Explorer en Opera.

Maak een nep-toegangspunt

Het laatste type aanval (dat misschien triviaal lijkt), is echter degene die bijna altijd werkt. Het gaat om het creëren van een nep-toegangspunt (met een vergelijkbare naam maar niet dezelfde als de legitieme), waardoor een brug tussen de gebruiker en de router van het wifi-netwerk.

Dat gezegd hebbende, lijkt het vreemd en triviaal, maar in plaats daarvan trappen mensen er bijna altijd in en maken verbinding met het valse toegangspunt dat door de aanvaller is gemaakt, waardoor de deuren van zijn apparaat worden geopend.

Sessie cookie kaping

Een ander type Man in the Middle-aanval vindt plaats wanneer criminelen codefragmenten stelen die door uw browser zijn gegenereerd om verbinding te maken met verschillende websites. In dit geval spreken we van cookiekaping.

Deze codefragmenten, of sessiecookies, kunnen duizenden kritieke persoonlijke informatie bevatten: gebruikersnamen, wachtwoorden, vooraf ingevulde formulieren, online activiteit en zelfs uw fysieke adres. Als een hacker eenmaal in het bezit is van al deze informatie, kan hij deze op vrijwel oneindig veel manieren gebruiken (waarvan geen enkele voorgoed), zoals het online nabootsen van u, toegang tot financiële gegevens, het organiseren van fraude en diefstal door misbruik van uw identiteit en dergelijke.

Als u een aanval heeft gehad en de normale werking moet herstellen, of als u gewoon duidelijk wilt zien en beter wilt begrijpen, of wilt voorkomen: schrijf ons op rda@hrcsrl.it. 

Mogelijk bent u geïnteresseerd in ons bericht over malware-aanvallen ->

Hoe werkt een man-in-the-middle-aanval?

Een Man in the Middle-aanval bestaat uit twee fasen:

Fase 1: onderschepping

De eerste vereiste voor een man-in-the-middle-aanvaller is om uw internetverkeer te onderscheppen voordat het zijn bestemming bereikt. Hiervoor zijn een aantal methoden:

• IP-spoofing: net als een bende dieven die valse kentekenplaten aanbrengen op de auto die werd gebruikt om te ontsnappen, vervalsen met Internet Protocol (IP)-adresspoofing de ware bron van de gegevens die ze naar uw computer sturen door deze te vermommen als legitiem en vertrouwd. 
• ARP-spoofing: ook wel ARP-infectie of kwaadaardige ARP-berichtroutering genoemd, deze MITM-methode stelt hackers in staat een nep-ARP-bericht (Adres Resolution Protocol) te verzenden
• Spoofing DNS: staat voor Domain Name System en is een systeem voor het converteren van internetdomeinnamen van lange en onuitspreekbare numerieke IP-adressen naar intuïtieve en gemakkelijk te onthouden adressen

Stap 2: decodering

Na het onderscheppen van uw webverkeer, moeten hackers het ontsleutelen. Hier zijn enkele van de meest gebruikte decoderingsmethoden voor MITM-aanvallen:

• HTTPS-spoofing
• BEEST SSL
• SSL-kaping
• SSL-strip

Als u een aanval heeft gehad en de normale werking moet herstellen, of als u gewoon duidelijk wilt zien en beter wilt begrijpen, of wilt voorkomen: schrijf ons op rda@hrcsrl.it. 

Mogelijk bent u geïnteresseerd in ons bericht over malware-aanvallen ->

Preventie van man-in-the-middle-aanvallen

Hoewel Man in the Middle-aanvallen potentieel zeer gevaarlijk zijn, kunt u veel doen om ze te voorkomen door risico's te minimaliseren en uw gegevens, geld en... waardigheid veilig te houden.

Gebruik altijd een VPN

Simpel gezegd, een VPN is een programma of app die elk aspect van je online leven verbergt, versleutelt en maskeert, zoals e-mail, chat, zoekopdrachten, betalingen en zelfs je locatie. VPN's helpen u Man in the Middle-aanvallen te voorkomen en elk wifi-netwerk te beschermen door al uw internetverkeer te versleutelen en het om te zetten in wartaal en ontoegankelijke taal voor iedereen die u probeert te bespioneren.

Zorg voor een goede antivirus

U moet absoluut een effectieve en betrouwbare antivirussoftware hebben
Als uw budget krap is, kunt u online talloze gratis antivirusprogramma's vinden

VEILIGHEIDSBEOORDELING

Het is het fundamentele proces voor het meten van het huidige beveiligingsniveau van uw bedrijf.
Hiervoor is het nodig om een ​​adequaat voorbereid CyberTeam in te schakelen, dat een analyse kan maken van de staat waarin het bedrijf zich bevindt op het gebied van IT-beveiliging.
De analyse kan synchroon worden uitgevoerd, door middel van een interview uitgevoerd door het Cyber ​​​​Team of
ook asynchroon, door online een vragenlijst in te vullen.

We kunnen u helpen, neem contact op met de HRC srl-specialisten door te schrijven naar rda@hrcsrl.it.

VEILIGHEIDSBEWUSTZIJN: ken de vijand

Meer dan 90% van de hackeraanvallen begint met actie van medewerkers.
Bewustwording is het eerste wapen om cyberrisico's tegen te gaan.

Zo creëren we "Bewustzijn", we kunnen u helpen, neem contact op met de HRC srl-specialisten door te schrijven naar rda@hrcsrl.it.

MANAGED DETECTION & RESPONSE (MDR): proactieve eindpuntbescherming

Bedrijfsgegevens zijn van enorme waarde voor cybercriminelen, daarom zijn endpoints en servers het doelwit. Het is moeilijk voor traditionele beveiligingsoplossingen om opkomende dreigingen het hoofd te bieden. Cybercriminelen omzeilen antivirusbescherming en profiteren van het onvermogen van de IT-teams van bedrijven om beveiligingsgebeurtenissen de klok rond te bewaken en te beheren.

Met onze MDR kunnen we u helpen, neem contact op met de HRC srl-specialisten door te schrijven naar rda@hrcsrl.it.

MDR is een intelligent systeem dat netwerkverkeer bewaakt en gedragsanalyses uitvoert
besturingssysteem, het identificeren van verdachte en ongewenste activiteiten.
Deze informatie wordt doorgegeven aan een SOC (Security Operation Center), een laboratorium bemand door:
cybersecurity analisten, in het bezit van de belangrijkste cybersecurity certificeringen.
In het geval van een anomalie kan het SOC, met een 24/7 beheerde service, ingrijpen op verschillende niveaus van ernst, van het verzenden van een waarschuwingsmail tot het isoleren van de klant van het netwerk.
Dit helpt potentiële bedreigingen in de kiem te blokkeren en onherstelbare schade te voorkomen.

SECURITY WEB MONITORING: analyse van het DARK WEB

Het dark web verwijst naar de inhoud van het World Wide Web in darknets die via internet bereikbaar zijn via specifieke software, configuraties en toegangen.
Met onze Security Web Monitoring zijn we in staat om cyberaanvallen te voorkomen en in te dammen, vertrekkende van de analyse van het bedrijfsdomein (bv.: ilwebcreativo.it ) en individuele e-mailadressen.

Neem contact met ons op door te schrijven naar rda@hrcsrl.it, we kunnen ons voorbereiden een herstelplan om de dreiging te isoleren, de verspreiding ervan te voorkomen, en defiwe nemen de nodige herstelmaatregelen. De service wordt 24/XNUMX geleverd vanuit Italië

CYBERDRIVE: veilige applicatie voor het delen en bewerken van bestanden

CyberDrive is een cloud-bestandsbeheerder met hoge beveiligingsstandaarden dankzij de onafhankelijke versleuteling van alle bestanden. Zorg voor de beveiliging van bedrijfsgegevens terwijl u in de cloud werkt en documenten deelt en bewerkt met andere gebruikers. Als de verbinding wordt verbroken, worden er geen gegevens opgeslagen op de pc van de gebruiker. CyberDrive voorkomt dat bestanden verloren gaan door onopzettelijke schade of worden geëxfiltreerd voor diefstal, fysiek of digitaal.

«THE CUBE»: de revolutionaire oplossing

Het kleinste en krachtigste in-a-box datacenter dat rekenkracht en bescherming biedt tegen fysieke en logische schade. Ontworpen voor gegevensbeheer in edge- en robo-omgevingen, winkelomgevingen, professionele kantoren, externe kantoren en kleine bedrijven waar ruimte, kosten en energieverbruik essentieel zijn. Er zijn geen datacenters en rackkasten voor nodig. Het kan in elk type omgeving worden geplaatst dankzij de impactesthetiek in harmonie met de werkruimtes. «The Cube» stelt bedrijfssoftwaretechnologie ten dienste van kleine en middelgrote ondernemingen.

Neem contact met ons op door te schrijven naar rda@hrcsrl.it.

Misschien ben je geïnteresseerd in onze Man in the Middle-post

Ercole Palmeri: Innovatie verslaafd

[ultimate_post_list id=”12982″]