Vad är en man-in-the-middle-attack?

Precis som det låter så är det en man ”i mitten” som utgör hotet: någon som tagit sig in mellan två parter som genomför en inloggning, utbyter information, avslutar ett köp eller kanske byter lösenord. Allt som part A sänder till part B, och alla svar från B tillbaks till part A, går förbi eller via mannen i mitten. Informationen kan avlyssnas, och kanske till och med förändras, och ofta utan att någon av parterna är medvetna om vad som händer.

För att ta ett exempel, en kund köper en produkt av en leverantör. Leverantören skickar ett e-postmeddelande med en bekräftelse och länk för betalning. Kunden klickar på länken och gör sin betalning.

Men med en man i mitten som kan påverka informationen som skickas, så kan beloppet som dras från banken vara högre än vad leverantören satt, och mottagaren av betalningen är inte leverantören utan har hamnat hos mannen i mitten eller hos hans bulvan.

”DNS spoofing” är en vanlig metod

En metod är så kallad ”DNS spoofing”. Detta innebär att det system som används för att översätta ett domännamn (http://min.leverantör.se) till den IP-adress som behövs påverkas eller ersätts med falsk information. Om kunden i exemplet ovan vill göra en beställning från min.leverantör.se, som borde vara IP-adress 1.2.3.4, men som ersätts med mannen i mittens IP-adress 6.7.8.9, så kommer kunden att koppla upp sig till fel webbshop.

”DNS spoofing” kan åstadkommas genom att utnyttja sårbarheter i DNS-programvaran, eller förfalska information från DHCP-servrar på främmande nätverk eller på datorer på t.ex. bibliotek. Eller så kanske kundens egen dator har en sårbarhet som tillåter mannen i mitten att lägga in felaktig DNS-information.

När personen bakom attacken lurat kunden till en annan webbplats än den avsedda handlar det om att lura kunden att allt är som det skall vara. Om inloggningsformuläret ser likadant ut som det riktiga, så kommer kunden att avslöja sina kontouppgifter när han/hon försöker att logga in. Om webbsidorna ser ut som de brukar, så märker kunden inte att han eller hon kopplat upp sig mot en falsk webbplats. Och eftersom adressfältet i webbläsaren fortfarande säger ”min.leverantör.se” så syns förfalskningen inte.

Mannen i mitten kan sedan exempelvis ändra kontaktadress för epost innan den riktiga beställningen körs så att bekräftelsen går till honom själv istället. Därefter kan mannen i mitten vänta till han får bekräftelsebrevet, ändra betalningsinformation, och sedan skicka den till kunden. Efter att beställningen är gjord, ändras allting tillbaka igen.

En mycket vanlig metod att genomföra denna sorts attack är genom att sätta upp en falsk accesspunkt för WiFi-förbindelse. Om användarens dator väljer att använda denna accesspunkt, så har mannen i mitten mycket goda möjligheter att kontrollera all trafik som sänds och tas emot, så länge som användaren inte vidtar ytterligare skyddsåtgärder.

Det bör noteras att ändringar i information ofta leder till att det blir lättare att upptäcka en ”man-i-mitten” om en betalningsorder ändras så att den slår i en uttagsgräns, t.ex. Den svåraste typen att upptäcka är den som endast lyssnar på informationen som snappas upp.

Hur kan man skydda sig mot en man-in-the-middle attack?

Ofta kan man inte skydda sig helt och hållet på egen hand. En perfekt attack från mannen i mitten märks varken av slutanvändaren eller leverantören. En lyckad attack märks, men ignoreras. Webbläsarvarningar av typen ”denna webbplats kan inte verifieras vara korrekt” kan vara ett tecken på en attack, men de allra flesta användare väljer att ignorera varningen av ett eller annat skäl.

En ”DNS-spoofing”-attack riktar sig primärt mot en DNS-leverantör, och bara sekundärt mot slutkunden, och det är inte så mycket en slutkund kan göra för att förhindra att sådana attacker lyckas. Ifall leverantören använder säker DNS (DNSSEC) för sina domännamn, så minskar risken. Samtidigt är detta sällan något som en vanlig slutanvändare kan upptäcka.

För webbplatser kan HTTPS användas för att säkra att webbplatsen man kopplar upp sig till inte är falsk. Det kräver att https-certifikatet valideras korrekt av webbläsaren eller av mobilappen. Det sker dock relativt sällan.

Om leverantören använder krypterad webbanslutning (https), med egna certifikat, och webbläsaren eller mobilappen verifierar att just dessa certifikat används och inga andra, så minskar risken betydligt, för avlyssning och förändring såväl som förfalskning av webbplats.

Ändringar av kontaktadress eller liknande bör stämmas av mot den tidigare adressen, eller mot postadress just för möjligheten att ändring sker av obehörig.

Metoder som inloggningsdosor eller BankID kan bidra till att en webbplats kan vara mer säker på att en användare verkligen är legitim och inte en man i mitten.

En slutanvändare kan skydda sig genom att inte använda främmande utrustning för känsliga affärer eller information. Trådlösa nätverk, t.ex., bör endast användas om man direkt kan gå över till en säker VPN-lösning. Alla varningar om att ”den här webbplatsen inte kan verifieras” måste tas på fullt allvar. Men eftersom slutanvändaren ofta ges stora möjligheter att ignorera sådana varningar så kan det vara mycket svårt att säkra att alla nödvändiga säkerhetsåtgärder sker.