Wat is een actieve man-in-the-middle-aanval?
Actieve man-in-the-middle (MitM) is een aanvalsmethode waarmee een indringer toegang kan krijgen tot gevoelige informatie door de communicatie tussen de gebruiker van een openbaar netwerk en een opgevraagde website te onderscheppen en te wijzigen.
Het vermijden van het inloggen op gevoelige sites vanaf openbare locaties kan de gebruiker beschermen tegen conventionele man-in-the-middle-aanvallen. Bij een actieve MitM-aanval manipuleert de dader de communicatie echter zodanig dat hij informatie kan stelen voor sites die op andere tijdstippen worden bezocht. De aanvaller kan die informatie vervolgens gebruiken voor identiteitsdiefstal of andere vormen van fraude.
Een actieve MitM kan op een aantal manieren worden uitgevoerd. Hier volgt één methode:
- De aanvaller luistert communicatie af die via een openbaar netwerk wordt verzonden.
- Het slachtoffer krijgt toegang tot het internet via het netwerk en surft naar een onschuldige website, zoals een mainstream nieuwssite.
- De server van de website verwerkt het verzoek en antwoordt.
- De aanvaller onderschept het antwoord dat door de server wordt verzonden en injecteert een IFrame-object dat gericht is op de door hem gekozen site.
- Wanneer de browser van de gebruiker het gecompromitteerde antwoord ontvangt, vraagt hij onzichtbaar die website op, samen met het cookie dat gebruikersgegevens voor de site opslaat.
- Dit antwoord stelt de aanvaller in staat om in te loggen op de site en te communiceren op elke manier die de geldige gebruiker kan.
De aanvaller kan ook cache poisoning gebruiken om de aanval te verlengen.
Roi Saltzman en Adi Sharabani rapporteerden in februari 2009 over actieve man-in-the-middle aanvallen. Hoewel de onderzoekers benadrukken dat je je niet volledig kunt beschermen tegen actieve MitM-aanvallen, geven ze een aantal suggesties voor veiliger browsen. Saltzman en Sharabani raden aan om alle cookies en cache-bestanden te verwijderen voordat je verbinding maakt met een openbaar netwerk. Dat zou moeten betekenen dat er geen gegevens zijn voor een aanvaller om te stelen. Wanneer u de verbinding met het openbare netwerk verbreekt, moet u het proces herhalen, zodat alle verdachte gegevens die tijdens de sessie zijn gegenereerd, worden verwijderd. De onderzoekers raden ook aan om één browser te wijden aan openbaar browsen en die browser nooit te gebruiken om sites met gevoelige gegevens te bezoeken.