Views
1 year ago

IT Professional Security - ΤΕΥΧΟΣ 46

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

T4608-10.2016 Issue Μια νύχτα στο αεροδρόμιο! Μan-in-the-middle (MITM) επίθεση στην πράξη Μετά από μια εξαήμερη περιπλάνηση στη βρετανική εξοχή με τραίνο, για λογαριασμό ενός Hackathon event που διοργάνωνε το Υπουργείο Μεταφορών της Ηνωμένου Βασιλείου, πέρασα την τελευταία μου μέρα περπατώντας στους κρύους δρόμους του Λονδίνου, κατευθυνόμενος στον τελικό μου προορισμό, το αεροδρόμιο Heathrow, για να επιστρέψω στη χώρα μου. ταν έφθασα σε ένα από τα πιο πολυσύχναστα αεροδρόμια στην Ευρώπη, το μυαλό μου Ό ήταν σε σύγχυση για διάφορες ιδέες που βρίσκονταν σε εμβρυακό στάδιο, αλλά έπρεπε να γίνουν πράξη τις επόμενες μέρες. Ήταν η στιγμή που παρατήρησα στον πίνακα ανακοινώσεων του αεροδρομίου ότι η πτήση μου επρόκειτο να καθυστερήσει τέσσερις ώρες, λόγω ομίχλης στον αεροδιάδρομο. Η πρώτη σκέψη που μου ήρθε στο μυαλό ήταν: «Τι θα μπορούσα να κάνω εδώ για τέσσερις ώρες;». Κατευθύνθηκα, λοιπόν, προς την αίθουσα αναμονής, μαζί με δεκάδες άλλους επιβάτες, καθώς σχεδόν όλα τα καταστήματα και τα εστιατόρια στην αίθουσα αναχωρήσεων είχαν κλείσει. Ήταν 10.30 το βράδυ. Για να περάσω το χρόνο μου, εγώ, όπως και πολλοί άλλοι, προτιμήσαμε να σερφάρουμε στο internet. Ρώτησα ένα συνεπιβάτη που καθόταν απέναντι από μένα, «βυθισμένος» στην οθόνη του laptop του, αν το δωρεάν Wi-Fi ήταν γρήγορο. Εκείνος απάντησε με βαριά βρετανική προφορά: «Να το θέσω έτσι: δε θα πρέπει να βασίζεσαι σε αυτό, αν ήθελες να κάνεις σοβαρή δουλειά». Παρ’ όλα αυτά, ποιος θα πλήρωνε για Premium internet, όταν υπάρχει το δωρεάν; σκέφτηκα. Έτσι ξαφνικά, μου ήρθε μια ιδέα! Θα μπορούσα να παρατηρήσω, μέσα από ένα μικρό πείραμα, πόσοι ταξιδιώτες θα ήταν διατεθειμένοι να πληρώσουν premium Wi-Fi και πόσο ασφα- 32 security

Φώτης Σωφρόνης Senior Cyber Security Consultant at EY λές θα ήταν αυτό σε ένα δημόσιο χώρο, όπως αυτός του αεροδρομίου. Ο πιο σύντομος δρόμος για να κάνω αυτό το πείραμα ήταν με τη μέθοδο MITM (man-in-the-middleattack). Ανταλλαγή ευαίσθητων πληροφοριών, αριθμοί πιστωτικών καρτών, εμπιστευτικά έγγραφα ενδεχομένως. Όλα φαίνονται τόσο ενδιαφέροντα. Ο συγκεκριμένος τύπος επίθεσης, MITM, έχει σκοπό ο «επιτιθέμενος» να μεσολαβήσει κρυφά στην επικοινωνία μεταξύ των δύο μερών (παροχής internet και χρήστη). Η επικοινωνία μεταβάλλεται και δίνεται η δυνατότητα στον επιτιθέμενο να υποκλέψει την πληροφορία. Βασιζόμενος στις αρχές τις μεθόδου αυτής, σκοπός μου ήταν να μεσολαβήσω στην επικοινωνία όσων επιθυμούσαν να συνδεθούν στο Wi-Fi του αεροδρομίου και, κυρίως, αυτών που θα χρησιμοποιούσαν την premium επιλογή internet. Χρησιμοποίησα το κινητό μου ως ανεξάρτητο hot spot σύνδεσης και μετονόμασα το SSID σε αυτό του αεροδρομίου, ώστε το ανυποψίαστο θύμα να πιστεύει ότι συνδέεται άμεσα μέσω μίας ιδιωτικής και ασφαλούς σύνδεσης, όταν στην πραγματικότητα ολόκληρη η συνομιλία ελέγχεται από τον εισβολέα. Πρωτίστως, φρόντισα να χρησιμοποιήσω ένα freeware tool για να κλωνοποιήσω την ιστοσελίδα του αεροδρομίου και το welcome page "Πρόσβαση στο Internet". Αλλάζοντας μερικές από τις προσφορές στην οθόνη υποδοχής της σελίδας, όπως, παραδείγματος χάριν, μείωση της τιμής του Premium internet από 8 λίρες σε 4, αυξάνοντας τον ελεύθερο χρόνο στο internet από 2 ώρες έως 4 ώρες, ώστε να προσελκύσω περισσότερα θύματα, αποτέλεσαν το τέλειο δόλωμα για τους ταλαιπωρημένους ταξιδιώτες του αεροδρομίου που ήθελαν μια αξιοπρεπή σύνδεση στο internet. Τέλος, έπρεπε να τροποποιήσω και να φτιάξω μια φόρμα ολοκλήρωσης πληρωμής, επιτρέποντας στα πιθανά θύματα να επεξεργάζονται εύκολα τις πιστωτικές τους κάρτες για να αγοράζουν premium internet. Χρησιμοποιώντας απλά το τηλέφωνό μου ως hot-spot και χρεώνοντας στο λογαριασμό μου roaming data, οι ανυποψίαστοι άρχισαν ήδη να συνδέονται. Μετά από μία ώρα σχεδόν, είχα την πρώτη μου επίσκεψη πρόθυμου ταξιδιώτη να πληρώσει για premium δίκτυο Wi-Fi, και, τόσο απλά, είχα σε την πρώτη υποκλοπή πιστωτικής κάρτας μαζί με κάποιες χρήσιμες προσωπικές πληροφορίες του θύματος. Αυτό το ψεύτικο, ιδιωτικό hot-spot που εξέπεμπε για τουλάχιστον 2 ώρες συγκέντρωσε περίπου 18 πιστωτικές κάρτες από ανυποψίαστους ταξιδιώτες. Και αυτό ήταν. Έριξα τη σύνδεση και διέγραψα οποιαδήποτε στοιχεία ενοχοποιούσαν τον υπολογιστή μου. Η απειλή είναι υπαρκτή Είναι τρομακτικό το πόσο εύκολα, στη σύγχρονη εποχή των γρήγορων ταχυτήτων του διαδικτύου και του Internet of Things, θα μπορούσε κάποιος να υποκλέψει τον αριθμό πιστωτικής κάρτας σε απλό κείμενο, έτοιμο για οποιαδήποτε πληρωμή στο διαδίκτυο ή ακόμα και να το πουλήσει στο deep web. Ένας αυτοαποκαλούμενος χάκερ, που συνδέεται με τους Anonymous έγραφε σε ένα τυχαίο site του darknet: «Είναι απλούστερη και ταχύτερη η διαδικασία να αγοράσει κάποιος αριθμούς πιστωτικών καρτών από κακοποιούς, οι οποίοι υποκλέπτουν υπολογιστές, έχουν συστήσει ψεύτικα ηλεκτρονικά καταστήματα που πωλούν ανύπαρκτα προϊόντα σε τιμές ευκαιρίας, να "σαρώσει" αριθμούς από ΑΤΜ, από το να "κλέψει" ένα ανυποψίαστο θύμα σε ένα εστιατόριο.» Φανταστείτε τώρα, πως ένας «επιτιθέμενος» θα μπορούσε με στωικότητα, αφιερώνοντας χρόνο, να παρακολουθεί κάθε σας δραστηριότητα στο internet, υποκλέπτοντας τα πακέτα της σύνδεσης σας, ώστε να μελετήσει το profile σας. Βρίσκοντας στοιχεία για εσάς από το Web (social media sites, web-mails), κωδικούς για να έχει πρόσβαση σε sites που έχετε account, θα μπορούσε κάλλιστα να «αντιγράψει» την ηλεκτρονική σας ταυτότητα. Κάτι τέτοιο θα μπορούσε να συνεπάγε- security 33