Атака со стороны человека

Атака « человек на стороне» — это форма активной атаки в области компьютерной безопасности, аналогичная атаке «человек посередине» . Вместо полного контроля над сетевым узлом, как при атаке «человек посередине», злоумышленник имеет только регулярный доступ к каналу связи, что позволяет ему читать трафик и вставлять новые сообщения, но не изменять или удалять отправленные сообщения. другими участниками. Злоумышленник полагается на преимущество во времени, чтобы быть уверенным, что ответ, который он отправляет на запрос жертвы, поступит раньше законного ответа.

В реальных атаках отправленный злоумышленником ответный пакет может использоваться для размещения вредоносного ПО на компьютере жертвы. ^[1] Необходимость временного преимущества затрудняет выполнение атаки, поскольку для нее требуется привилегированное положение в сети, например, в магистральной сети Интернет. ^[2] Потенциально этот класс атак может быть осуществлен внутри локальной сети (при условии привилегированного положения), исследования показали, что он оказался успешным в критической инфраструктуре. ^[3]

Обнародованные в 2013 году данные глобальной слежки США показали, что Агентство национальной безопасности (АНБ) широко использует атаки с участием человека для заражения целей вредоносным ПО через свою программу QUANTUM . ^[1]

GitHub подвергся такой атаке в 2015 году. ^[4] Группа «Русская угроза» могла подвергнуться аналогичной атаке в 2019 году.

Определение

Термин «человек на стороне» стал более привычным после того, как Эдвард Сноуден обнародовал информацию о проекте АНБ по квантовой вставке. Атака «человек на стороне» предполагает участие киберзлоумышленника в разговоре между двумя людьми или двумя сторонами, которые общаются в Интернете. Кибер-злоумышленник может перехватить и внедрить сообщения в систему связи между двумя сторонами. ^[5] Однако злоумышленнику не удается удалить какие-либо сигналы по каналам связи. Атака «человек на стороне» может быть применена к веб-сайтам при получении загруженных онлайн-файлов. Кибер-злоумышленник может принимать сигналы и осуществлять атаку через спутник. Пока у них есть спутниковая антенна в том месте, где они проживают, они смогут читать передачи и принимать сигналы. Спутники, как правило, имеют высокую задержку, что дает кибер-злоумышленнику достаточно времени, чтобы отправить введенный ответ жертве до того, как фактический ответ от одной стороны достигнет другой через спутниковую связь. ^[5] Следовательно, это причина, по которой злоумышленник полагается на преимущество во времени.

Основное различие между атакой «человек посередине» и атакой «человек посередине» заключается в том, что злоумышленники «человек посередине» могут перехватывать и блокировать передачу сообщений и сигналов, в то время как атака «человек посередине» Злоумышленники со стороны могут перехватывать и внедрять сообщения и сигналы до того, как другая сторона получит законный ответ.

Поскольку атака «Человек на стороне» требует сильного временного преимущества, причина, по которой люди используют атаку «Человек на стороне», может быть объяснена их психологическим поведением. Преподаватель Университета Ставангера Мария Кьерланд провела исследование с целью изучения взаимосвязи между различными киберпреступлениями и психологическим поведением. ^[6] Она пришла к выводу, что взлом веб-сайтов является обычным делом для хакеров, атакующих цели с целью вызвать вызов, поскольку он основан на том, что злоумышленники точно рассчитывают время, оставляя жертвам сообщения. Их легко поймать, если время выбрано неправильно, и они не смогут его наверстать. Таким образом, эта проблема имеет более серьезные последствия среди других типов атак. ^[6] Таким образом, атака «человек на стороне» также требует, чтобы злоумышленники полагались на преимущество во времени, чтобы получить и изменить информацию от жертв, при этом они не осознают и не определяют, что сделал хакер.

Примеры

Россия

В 2019 году сообщалось, что атака со стороны человека могла быть задумана Русской группой угроз путем установки вредоносного ПО . Когда жертва использовала Интернет и запросила загрузку файла на определенном веб-сайте, присутствовавшие злоумышленники знали, что жертвы пытались загрузить файл. Поскольку злоумышленники не могли запретить жертве загружать файл, они могли перехватить сервер и отправить сигнал жертве до того, как жертва получит законный ответ, который был запрошен. скачать файл. ^[7] Затем злоумышленник перехватил и отправил жертвам сообщение, которое направляло их на сайт с ошибкой 302, что заставило жертву подумать, что файл был удален или его просто невозможно загрузить. Однако даже несмотря на то, что жертва получит законный ответ от загрузки файла веб-сайта, поскольку ее серверы уже были заражены, она не сможет просмотреть законный веб-сайт и файл, поскольку они получили так называемый правильный ответ от атакующей команды. . ^[8] На сайте с ошибкой 302 атакующая группа направляла жертв на альтернативный веб-сайт для загрузки нужных файлов, который контролировала и запускала атакующая команда. Когда жертва подключалась к серверу атакующей команды, о чем ей неизвестно, она начинала загрузку файла, поскольку на экране жертвы было видно, что этот сайт работает и они наконец могут загрузить файл. ^[9] Однако атакующая группа уже нашла исходный файл на законном веб-сайте, изменила его, включив в него фрагменты вредоносного ПО, и отправила файл обратно жертве. Когда жертва щелкнула ссылку и начала загрузку файла, она уже загружала файл, содержащий вредоносное ПО.

Китай

В 2015 году два репозитория GitHub подверглись массовой атаке из-за атаки со стороны человека. Когда пользователь за пределами Китая пытается просмотреть китайский веб-сайт, ему необходимо пройти через китайскую интернет-инфраструктуру, прежде чем он будет автоматически перенаправлен на этот веб-сайт. Инфраструктура позволяла отправлять запрос на законный китайский веб-сайт, на который пользователь хотел перейти, без каких-либо изменений. Ответ пришел с веб-сайта, но, пройдя через китайскую интернет-инфраструктуру, прежде чем он смог вернуться к пользователю, ответ был изменен. Модификация включала вредоносное ПО, которое изменило сценарий аналитики Baidu с простого доступа к Baidu на запрос пользователя на доступ к двум репозиториям GitHub, когда они продолжали просматривать веб-сайт. ^[10] Пользователь, который смог продолжить просмотр китайской поисковой системы Baidu, был невиновен, поскольку он абсолютно не подозревал о том, что в его ответ был встроен вредоносный скрипт, который отправлял запрос на доступ к GitHub на стороне. ^[10] Это произошло со всеми пользователями за пределами Китая, которые пытались получить доступ к китайскому веб-сайту, что привело к чрезвычайно большому объему запросов к двум репозиториям GitHub. Огромная нагрузка, которую пришлось выдержать GitHub, привела к затоплению сервера и, таким образом, подверглась атаке.

Ссылки

^ Перейти обратно: ^а ^б Галлахер, Райан; Гринвальд, Гленн (12 марта 2014 г.). «Как АНБ планирует заразить «миллионы» компьютеров вредоносным ПО» . Перехват . Проверено 15 марта 2014 г.
^ Шнайер, Брюс (4 октября 2013 г.). «Атака на Tor: как АНБ борется с анонимностью пользователей в Интернете» . Хранитель . Проверено 15 марта 2014 г.
^ Мейнард, Питер; Маклафлин, Киран (1 мая 2020 г.). «К пониманию атак со стороны человека (MotS) в сетях SCADA». 17-я Международная конференция по безопасности и криптографии (SECRYPT 2020) . arXiv : 2004.14334 . Бибкод : 2020arXiv200414334M .
^ Хельмвик, Эрик (31 марта 2015 г.). «Китайская атака со стороны человека на GitHub» . netresec.com . НетрезеC . Проверено 16 апреля 2020 г.
^ Перейти обратно: ^а ^б Муштак, Мария и др. 2020. «WHISPER: инструмент для обнаружения атак по побочным каналам во время выполнения». Доступ IEEE 8:83871-83900.
^ Перейти обратно: ^а ^б Кьерланд, Мария. 2005. «Классификация инцидентов компьютерной безопасности на основе зарегистрированных данных об атаках». Журнал следственной психологии и профилирования правонарушителей 2 (2): 105–120.
^ «Российская группа угроз, возможно, разработала атаку «человек на стороне»» . Мрачное чтение . Проверено 14 ноября 2020 г.
^ «Следы DDoS-атаки GitHub в Китай» . www.bankinfosecurity.com . Проверено 6 декабря 2020 г.
^ Мозур, Пол (30 марта 2015 г.). «Похоже, что Китай атакует GitHub, перенаправляя веб-трафик (опубликовано в 2015 г.)» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 6 декабря 2020 г.
^ Перейти обратно: ^а ^б Альбахар, Марван. 2017. «Кибератаки и терроризм: загадка XXI века». Наука и инженерная этика 25(4):993-1008.

[interc-1] Перейти обратно: ^а ^б Галлахер, Райан; Гринвальд, Гленн (12 марта 2014 г.). «Как АНБ планирует заразить «миллионы» компьютеров вредоносным ПО» . Перехват . Проверено 15 марта 2014 г.

[guard-2] Шнайер, Брюс (4 октября 2013 г.). «Атака на Tor: как АНБ борется с анонимностью пользователей в Интернете» . Хранитель . Проверено 15 марта 2014 г.

[mots-ics-3] Мейнард, Питер; Маклафлин, Киран (1 мая 2020 г.). «К пониманию атак со стороны человека (MotS) в сетях SCADA». 17-я Международная конференция по безопасности и криптографии (SECRYPT 2020) . arXiv : 2004.14334 . Бибкод : 2020arXiv200414334M .

[netresec-4] Хельмвик, Эрик (31 марта 2015 г.). «Китайская атака со стороны человека на GitHub» . netresec.com . НетрезеC . Проверено 16 апреля 2020 г.

[:2-5] Перейти обратно: ^а ^б Муштак, Мария и др. 2020. «WHISPER: инструмент для обнаружения атак по побочным каналам во время выполнения». Доступ IEEE 8:83871-83900.

[:3-6] Перейти обратно: ^а ^б Кьерланд, Мария. 2005. «Классификация инцидентов компьютерной безопасности на основе зарегистрированных данных об атаках». Журнал следственной психологии и профилирования правонарушителей 2 (2): 105–120.

[:5-7] «Российская группа угроз, возможно, разработала атаку «человек на стороне»» . Мрачное чтение . Проверено 14 ноября 2020 г.

[8] «Следы DDoS-атаки GitHub в Китай» . www.bankinfosecurity.com . Проверено 6 декабря 2020 г.

[9] Мозур, Пол (30 марта 2015 г.). «Похоже, что Китай атакует GitHub, перенаправляя веб-трафик (опубликовано в 2015 г.)» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 6 декабря 2020 г.

[:42-10] Перейти обратно: ^а ^б Альбахар, Марван. 2017. «Кибератаки и терроризм: загадка XXI века». Наука и инженерная этика 25(4):993-1008.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]