Vahendajarünne

Juhtmega võrgu pealt kuulamiseks füüsilist ligipääsu kaablitele, mida pealt kuulata, et paigaldada seade mis andmeid pealt kuulab. Eksisteerib kahte liiki seadmeid mida pealt kuulamiseks kasutatakse: passiivsed ja aktiivsed. Passiivsetel seadmetel pole vaja eraldiseisvat toidet, optilise kaabli puhul jagatakse andmeid kandev laserkiir kaheks. Passiivse seadme puhul on loetakse andmed ning väljuvat signaali võimendatakse, kuid seadme rikke korral katkeb ühendus mõlema otspunkti vahel. ^[5]

Juhtmevaba võrgu korral piisab ründajal kuulata õhus levivaid raadiolaineid. ^[6] Wifi võrkude populaarsus toob kaasa võimaluse ründajal seada püsti võlts võrk, eesmärgiga meelitada kasutajad seda kasutama. Näiteks luues päris wifi võrgule sarnase nimega alternatiivne võrk, saab tekitada olukorra kus kasutajad ühendavad ennast pahatahtliku ühendusega. ^[7]

IP võltsimise korral esitavad ründajad ennast vale IP aadressiga ning seeläbi üritavad kasutajat suunata pahatahtlikule otspunktile, et kasutaja suhtlust pealt kuulata. ^[8]

HTTPS protokolli kasutatakse, et kinnitada veebilehe autentsus ning turvalisus. Selle rünnaku korral üritatakse kasutaja veebilehitsejale jätta mulje, et HTTPS protokoll on jõus ning veebileht on turvaline, kuigi tegelikult on kasutusel kompromiteeritud veebileht. ^[9]

DNS (Domain Name System) vastutab domeeninimede IP aadressiteks tõlkimise eest. Seda kasutatakse, et kasutajad saaksid veebilehtedele ligi pääseda kasutades lihtsasti meeldejäävaid domeeninimesid. Rünnak seiseneb võrguliikluse pahatahtlikule IP aadressile suunamisest ning seeläbi andmevoo pealtkuulamises. ^[10]

SSL protokolli kasutatakse võrguliikluse krüpteerimiseks. Sellisel juhul pole võimalik kolmandatel osapooltel andmeid dekrüpteerida ja kasutada. Rünnak põhineb SSL sertifikaatide vargusel, mis võimaldab andmed dekrüpteerida. ^[11]

Veebilehitseja kasutab küpsiseid, et hoida veebisessiooni andmeid. See tagab kasutajale mugavuse, sest puudub vajadus iga kord ennast autentida. Juhul kui pahatahtlik osapool suudab küpsised varastada, on tal võimalik kasutajana esinedes veebilehtedele siseneda. ^[12]

Vahendajarünnaku ära hoidmiseks on võimalik kasutada autentimist. See tähendab, et otspunktid tõestavad kes nad on. Autentimiseks kasutatakse digitaalset sertifikaati mis on krüptograafilise võtmega kinnitatud. Kui sertifikaadid on turvaliselt hoitud siis ei ole ründajal võimalik neid võltsida ning edastatavat sõnumit muuta. Kui suhtlus pole krüpteeritud on siiski võimalik andmevoogu lugeda ja analüüsida, kuid mitte muuta. ^[13]

Juhul kui mõlema otspunkti vaheline andmeedastus toimub krüpteeritult ei ole ründaja jaoks pealt kuulatav informatsioon väärtuslik, sest andmed tuleb analüüsimiseks esmalt dekrüpteerida. ^[14]

Üks viis rünnakute ära hoidmiseks on võrguliikluse analüüsimine. Latentsi uurimine on võrguliikluse ajatemplite uurimine, mis võimaldab hinnata kas võrguliiklust on kahe otspunkti vahel häiritud. Samuti on kasulik uurida pakettide päiseid ning erinevaid anomaaliaid võrguliikluses. Nimetatud lahendused on kasutusel paljudes võrguturvalisust pakkuvates tarkvaralahendustes. ^[15]

Paljud ettevõtted kasutavad võrguliikluse jälgimiseks SSL inspektsiooni. Sarnaselt vaherünnakule kuulatakse kahe otspunkti vahelist võrguliiklust pealt, kuid sel juhul on eesmärgiks andmelekke ära hoidmine, mitte andmevargus. Selle eesmärk on krüpteeritud andmete analüüsimine, et vältida firma saladuste lekkimine ning peidetud pahavara levik. ^[16]

Esimene dokumenteeritud vahendajarünnak toimus enne interneti kasutuselevõttu. Raadio leiutaja, Guglielmo Marconi, demostreeris raadioside ühendust kui Mr. Maskelyne seda pealt kuulas ning oma raadiosaatjaga Marconi pähe edastas. ^[17]

2017 aastal teatas finantsettevõte Equifax andmelekkest, mis hõlmas ligi 143 miljonit ameeriklast ^[18]. Ründajad kasutasid viga koodi alusraamistikus (CVE-2017-5638) ning said ligipääsu ettevõtte andmebaasidele ja kasutajate andmetele ^[19]. Ründajad kasutasid saadud andmeid, et juhatada kasutajad pahaaimamatult ründajate veebilehele, kus kasutajate andmevoogu pealt kuulati ^[20].

Edward Snowdeni andmelekked paljastasid GCHQ ja NSA massiivse pealtkuulamiskampaania. GCHQ paigaldas pealtkuulamisseadmed transatlantiliste fiiberoptiliste kaablite külge, mis võimaldas koguda andmeid telefonikõnede, emailide ning internetiliikluse kohta. Operatsioon kandis nime Tempora ning salvestatud andmeid hoiti kuni 30 päeva, et neid selle aja jooksul analüüsida. Operatsiooni viidi läbi terrorivastase võitluse ettekäändel, kuid selle legaalsus on siiani kahtluse all. ^[21]

• Potter, B., & Fleck, B. (2002). 802.11 security (First Edition). “O’Reilly Media, Inc.”
• Understanding network TAPs – the first step to visibility. (n.d.). Gigamon.com. Retrieved January 15, 2024, from https://www.gigamon.com/resources/resource-library/white-paper/understanding-network-taps-first-step-to-visibility.html
• Sullivan, B., & Liu, V. (2011). Web application security, A Beginner’s Guide. McGraw Hill Professional.
• Mallik, Avijit & Ahsan, Abid & Shahadat, Mhia & Tsou, Jia-Chi. (2019). Man-in-the-middle-attack: Understanding in simple words. 3. 77-92. 10.5267/j.ijdns.2019.1.001.
• Fruhlinger, J. (2020, February 12). Equifax data breach FAQ: What happened, who was affected, what was the impact? CSO Online. https://www.csoonline.com/article/567833/equifax-data-breach-faq-what-happened-who-was-affected-what-was-the-impact.html
• Magnusson, A. (2023, July 19). Man-in-the-middle (MITM) attack: Definition, examples & more. Strongdm.com. https://www.strongdm.com/blog/man-in-the-middle-attack
• MacAskill, E., Borger, J., Hopkins, N., Davies, N., & Ball, J. (2013, June 21). GCHQ taps fibre-optic cables for secret access to world’s communications. The Guardian. https://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa
• Georgescu, E. (2021, August 27). Man-in-the-Middle attack: Definition, examples, prevention. Heimdal Security Blog; Heimdal Security. https://heimdalsecurity.com/blog/man-in-the-middle-mitm-attack/
• What is SSL inspection? (n.d.). Zscaler. Retrieved January 15, 2024, from https://www.zscaler.com/resources/security-terms-glossary/what-is-ssl-inspection
• What is a man in the middle attack? (2023, November 24). Snyk Learn. https://learn.snyk.io/lesson/man-in-the-middle-attack/
• Kasam, A. (2023, February 15). Detection and prevention of man-in-the-middle (MITM) attacks. ITSecurityWire. https://itsecuritywire.com/featured/detection-and-prevention-of-man-in-the-middle-attacks/