Рассмотрим распространенные методы перехвата сеанса.
1. Session Fixation (фиксация сеанса) - преступник использует уязвимость системы, которая позволяет фиксировать (найти или установить) идентификатор сеанса другого пользователя. Этот тип атаки основан на фишинге. Например, киберпреступник отправляет по электронной почте ссылку, содержащую конкретный идентификатор сеанса. Пользователь кликает на ссылку и входит на веб-сайт. После этих действий пользователя, преступник будет знать, какой идентификатор сеанса им используется.
Приведем пример подобной атаки (рис. 4):
Преступник определяет, что принимает любой идентификатор сеанса и не имеет проверки безопасности.
Преступник отправляет пользователю фишинговое письмо со словами: «Привет, Марк!
Рис. 4. Атака фиксации сеанса
Оцени эту новую функцию учетной записи в нашем банке». Ссылка направляет пользователя. В этом случае преступник пытается зафиксировать идентификатор сеанса.
Пользователь кликает на ссылку, перед ним появляется привычный для него экран входа в систему. Пользователю кажется, что все в порядке, и он входит в систему как обычно, вводя свой логин с паролем.
Теперь преступник может посетить и получить полный доступ к учетной записи пользователя.
2. Session Sniffing - киберпреступник использует анализатор пакетов, такой как Wire-shark. Он предназначен для перехвата и регистрации пакетов по мере их прохождения через сетевое соединение. Сеансовые файлы cookie являются частью этого трафика, анализ сеанса позволяет преступнику найти их и похитить. Распространенная уязвимость, которая оставляет сайт открытым для прослушивания сеансов, - когда шифрование SSL/TLS используются только на страницах входа. Преступник может использовать анализ пакетов для отслеживания трафика всех пользователей этой сети, включая файлы cookie-сеанса.
ARP Spoofing (подмена протокола разрешения адресов (ARP)). Обычно протокол ARP используется LAN (локальными сетями), поэтому этот метод MITM-атаки происходит через LAN. Однако, когда пользователь отправляет ARP-запрос, киберпреступник отправляет ложный ответ. В этом случае преступник представляет себя устройством, например, маршрутизатором, что позволяет ему перехватывать весь интернет-трафик пользователя.
Приведенный перечень содержит лишь некоторые примеры методов MITM-атаки, используемые киберпреступниками в настоящее время.
По мере того, как изощренность MITM-атак из года в год растет, обнаружение этих преступных проявлений становится все труднее и пользователю, и правоохранительными органами. Так как киберпреступник способен модернизировать и подменять передаваемую информацию, а также ограничивать доступ пользователям к информационным ресурсам [2, с. 39].
Большинство преступников пытаются действовать анонимно. Но из-за человеческого фактора они все равно оставляют цифровые (материальные) следы: домены, IP-адреса, SSH-отпечатки, SSL-сертификаты, телефонные номера, скрытые идентификаторы, адреса электронной почты, log-файлы, MAC-адрес и др. [6].
Считаем, что образовательным организациям высшего и среднего профессионального образования необходимо ввести в курс «Криминалистика» информацию о MITM-атаках. Для сотрудников правоохранительных органов, раскрывающих и расследующих киберпреступления, рекомендуется своевременно проводить курсы повышения квалификации, обучающие семинары, лекции.
Литература
1. Уголовный кодекс Российской Федерации от 13 июня 1996 г. №63-ФЗ. СПС «КонсультантПлюс».
2. Арзуманян Э.А., Чумаков А.А. МИТМ-атака. Угроза информационной безопасности в РФ // Znanstvena misel journal. 2019. №33.
3. Зуйков Г.Г. Криминалистическое учение о способе совершения преступления: автореф. дис. ... д-ра юрид. наук. М., 1970.
4. Янгаева М.О. Методы (техники) социальной инженерии, используемые при совершении преступлений в сфере компьютерной информации // Вестник Дальневосточного юридического института МВД России. 2020. №4 (53).
5. Check Point обнародовала материалы по расследованию кражи $1 млн, которую успешно совершил хакер с помощью MITM-атаки.
6. Выйти на след хакера в несколько кликов.
7. Состояние преступности в России за январь-декабрь 2017 года // Официальный сайт МВД России.
8. Состояние преступности в России за январь-декабрь 2018 года // Официальный сайт МВД России.
9. Состояние преступности в России за январь-декабрь 2019 года // Официальный сайт МВД России.
10. Состояние преступности в России за январь-декабрь 2020 года // Официальный сайт МВД России.
Bibliography
1. Criminal Code of the Russian Federation №63-FZ of June 13, 1996 // LRS «Consultant- Plus».
2. Arzumanyan E.A., Chumakov A.A. MITM-attack. The threat of information security in the Russian Federation // Znanstvena misel journal. 2019. №33.
3. Zuikov G.G. Criminalistic teaching about the method of committing a crime: abstract of the dis. ... Doctor of Law. Moscow, 1970
4. Yangaeva M.O. Methods (techniques) of social engineering used in committing crimes in the field of computer information // Bulletin of the Far Eastern Law Institute of the Ministry of Internal Affairs of Russia. 2020. №4 (53).
11. Check Point has published materials on the investigation of the theft of $1 million, which was successfully committed by a hacker using a MITM attack.
12. Get on the hacker's trail in a few clicks.
13. The state of crime in Russia for January- December 2017 // Official Website of the Ministry of Internal Affairs of Russia.
14. The state of crime in Russia for January- December 2018 // Official Website of the Ministry of Internal Affairs of Russia.
15. The state of crime in Russia for January- December 2019 // Official Website of the Ministry of Internal Affairs of Russia.
16. The state of crime in Russia for January- December 2020 // Official Website of the Ministry of Internal Affairs of Russia.