Tấn công xen giữa (MiTM) và cách phòng chống

Tấn công xen giữa (Man-in-the-middle – MiTM) là hình thức tấn công vào dữ liệu trong quá trình truyền tin, mà ngày nay, quanh ta có quá nhiều thiết bị và công cụ truyền dữ liệu, smartphone và vô số ứng dụng di động, máy tính và hàng trăm triệu website. Dữ liệu xuyên thời gian, xuyên không gian, và khi dữ liệu rời một ứng dụng đến một thiết bị khác là lúc chúng dễ bị tổn thương nhất bởi một một kẻ đánh chặn mà chúng ta không hề hay biết.

 

Cơ chế tấn công xen giữa

Nếu như trước đây chỉ có những tin tặc trình độ cao mới thực hiện được MiTM thì ngày nay hình thức này đã trở nên dễ dàng hơn rất nhiều nhờ các công cụ được rao bán tràn lan trên mạng. MiTM thường được thực hiện bởi các nghiệp vụ sau:

  • Sniffing: hay Packet Sniffing là một kỹ thuật nghe lén các lưu lượng thông tin (tương tự như nghe lén điện thoại). Dù dữ liệu ở dạng nhị phân, các chương trình sniffing hiện nay đều có tính năng phân tích giao thức, giải mã dữ liệu nhị phân. Đối tượng sniffing thường là các password từ email, web, ftp, telnet, thông tin thẻ tín dụng, văn bản của email.  Như vậy, tất cả các giao thức Rlogin, HTTP, Telnet, SMTP, FTP, IMAP, POP không được mã hóa đều có khả năng cao bị sniffing.
  • Packet Injection: Đây là nghiệp vụ tiêm mã độc vào các gói dữ liệu thông thường khiến người dùng không hề nhận biết được mã độc vì chúng nằm ngay trong các dữ liệu quen thuộc với họ. Packet Injection thường được sử dụng để tạo ra các tấn công từ chối dịch vụ (DoS) nhằm ngăn cản người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó. Nó bao gồm cả việc làm tràn ngập mạng, ngắt kết nối … mà mục đích cuối cùng là làm cho server không đáp ứng nổi yêu cầu sử dụng dịch vụ từ các client.
  • Session Hijacking: Đây là hình thức tin tặc phát hiện ra các phiên đăng nhập và dùng công cụ đánh bật người dùng ra khỏi phiên đăng nhập đó để chiếm quyền truy cập. Người dùng thì tưởng “mạng chập chờn” rồi thực hiện login lại, còn tin tặc thì đã chiếm quyền kiểm soát được máy chủ nhờ có session của client vừa cướp được.
  • Hạ cấp SSL: Tấn công hạ cấp SSL là hình thức tấn công MiTM nguy hiểm nhất bởi tin tặc đã thực hiện lái (re-direct) các địa chỉ web có trang bị SSL với giao thức HTTPS về giao thức HTTP không an toàn.

 

Các phương pháp phòng chống MiTM

Bạn hoàn toàn có thể sử dụng SSL để phòng chống MiTM, với điều kiện bạn sử dụng chúng thông minh và đúng cách. Sau đây là các khuyến nghị từ Bluebits:

  • Trang bị SSL thương mại (không phải SSL mã nguồn mở như Let’s Encrypt, Encryption Everywhere). Rất lý tưởng nếu bạn có thể đầu tư SSL có xác thực thông tin tổ chức.
  • Kích hoạt giao thức HSTS (giao thức chống tấn công hạ cấp HTTPS)
  • Kích hoạt phiên bản TLS 1.2