Når du lærer mere om cyberangreb, vil du nogle gange høre om man-in-the-middle-angreb. Disse angreb påvirker data, når de bevæger sig mellem en computer og en anden computer. Eller fra en computer til et netværksapparat, f.eks. en trådløs router. Computerne kan være pc'er, mobile enheder, IoT-enheder, servere, videospilkonsoller som Xbox og Playstation osv.. Din computer tror, at den sender data til en autoriseret enhed.
Hvad er et man-in-the-middle-angreb (MITM)?
Når min pc f.eks. sender mine autentificeringsoplysninger til min netbank via MitID/nemID, går jeg naturligvis ud fra at dataen kun overføres til bankens server/hjemmeside. Men denne kommunikation kan blive opsnappet og du vil sandsynligvis ikke engang vide det. Den tiltænkte modtager kan endda modtage data fra computeren som planlagt – men uden at jeg eller min bank ved det, er der nogen, der lytter med. I grove træk, er det hvad et MITM-angreb (man-in-the-middle-angreb) er. Det er præcis, som det lyder: Der er en “mand” i midten, som observerer den data der overføres.
Baggrund for MITM-angreb
På nettet sendes alle mulige former for data mellem computerenheder. Indkomne data kommer ind enten via radiobølger, i form af WiFi, via koaksial- (COAX) eller fiberoptiske-kabler eller via Bluetooth. Der kan være hundredvis af TCP/IP-porte i et netværk med forbindelse til internettet. Til overførsel af data i et netværk, bruges terminologien “porte” ofte, hvor nogle af de mere almindelige netværksporte, som f.eks. port 80 og 443 til internettet eller port 25 til at sende e-mail, mens andre kan være “ukendte” og f.eks. kan hedde port 2913 til en “Dagens ordgåde”-tjeneste eller måske port 5917 til et pc-spil.
Et MITM-angreb kan påvirke enhver TCP/IP-port og kan være en ondsindet aflytning af enhver form for netværkskommunikation, herunder interne netværk. Men størstedelen af MITM-angreb finder dog sted på internettet.
Typer af MITM-angreb
WiFi-aflytning er en meget almindelig type MITM-angreb.
Lad mig opstille et scenarie for et WiFi-baseret MITM-angreb: En it-kriminel opretter et offentligt, ukrypteret WiFi-netværk.
Du sidder på togstationen, eller i lufthavnen, og tænker: “Jeg vil gerne lige et smut på Youtube eller Instagram, men har enten ikke nok data i mit mobilabonnement eller også er dækningen bare utrolig dårlig lige her.”
Du finder nu et trådløst netværk på listen (SSID) med navnet “Gratis WiFi”. Super praktisk, ikke?
Du opretter nu forbindelse til netværket. (Den person, der har oprettet WiFi-navnet har frie tøjler til at finde på et hvilket som helst navn. Så bare fordi netværksnavnet hedder “Offentlig WiFi Kalundborg Togstation”, er det ikke ens betydende med at det rent faktisk er hvad det udgiver sig for.
Du tapper nu på YouTube-appen på din telefon, og lige pludselig har du sendt dine Google- eller Instagram-oplysninger til en potentiel it-kriminel. Nu kan de virkelig rode med dit digitale liv og du kan i værste fald endda blive offer for identitetstyveri (mere om det her.)
Session hijacking
Session hijacking er en anden almindelig type MITM-angreb. Din webbrowser bruger ofte cookies, som er små tekstfiler. Webcookies er grunden til du helt automatisk kan være logget ind på de forskellige hjemmesider og apps, enten fra computeren eller på mobilen. De reducerer, hvor ofte du skal indtaste brugernavn og adgangskode for at logge ind på websteder og webtjenester. Men den slags bekvemmelighed er forbundet med risiko for cybersikkerhed. Ondsindede aktører kan potentielt få fat i dine autentifikationscookies på flere måder.
De kan f.eks. injicere skadelig kode i en andens webserver. Din webbrowser tror, at det er den legitime webtjeneste, der beder om din cookieaccept, mens det i virkeligheden er angriberen. Det kaldes XSS (cross site scripting). Malware på din pc kan også hente dine cookies fra harddisken og sende dem til angriberen. Eller angriberen kan også bruge såkaldt session side jacking. I dette scenarie kan de autentifikationsdata, jeg sender til en webtjeneste, være krypteret, men resten af kommunikationen kan være i klartekst. Angriberen kunne bruge packet sniffing til at få fat i dine cookies, der så sendes i klartekst (dvs. ukrypteret.)
E-mail jacking
E-mail jacking er en anden form for MITM-angreb. Ikke al e-mail-kommunikation er krypteret. Men selv krypteret e-mail kan opsnappes, hvis en angriber på en eller anden måde får fat i de kryptografiske nøgler. E-mail kan blive kapret af malware på en e-mail-server. E-mail kan også kapres med en pakkesniffer eller en phishing-e-mail med et hyperlink til en ondsindet web-app, der kan udspionere din e-mail-klient.
En angriber ville så kunne læse de e-mails du sender og modtager i ro og mag. Så finder de måske en e-mail, som du har sendt til din arbejdsgiver eller en offentlig instans, som indeholder en vedhæftet e-mail med mine bankinfo eller anden privat information. Eller de ser dig foretage en e-mail-baseret pengeoverførsel, hvor du sender din bank en mail om en overførsel de skal lave på dine vegne. En angriber kunne erstatte bankoplysningerne for din tiltænkte pengemodtager med oplysninger om deres bankkonto. Og pludselig har du lige sendt 10.000 kr. til en it-kriminel.
MITM-angreb indebærer enhver form for netværksaflytning af kommunikation fra cyberangriberes side, og de kan udføres på mange, mange forskellige måder.
Sådan forhindrer du MITM-angreb
Der er mange forskellige ting, du kan gøre for at undgå at blive offer for et MITM-angreb. Det vigtigste for virksomheder er at kontrollere nøgler og certifikater nøje, så angribere ikke kan bruge dem til at kapre krypterede tunneler. Hvad angår dit privatliv, er her et par tips til at beskytte dig mod MITM-angreb.
Når du surfer på nettet, skal du så vidt muligt bruge HTTPS i stedet for HTTP. HTTPS er krypteret, og det er HTTP ikke. “S”‘et står for “secure” og du kan nemt kigge efter det lille hængelås-ikon. Hvis en angriber får fat i ciphertext-data i stedet for klartekst-data, er datapakkerne temmelig værdiløse for dem (da de så er krypteret), medmindre de på en eller anden måde kan knække eller omgå krypteringen (hvilket de ret sikkert ikke kan). Der findes et populært plugin (extension) til flere webbrowsere kaldet HTTPS Everywhere (f.eks. til Chrome her). Det ville være en god idé at installere det. Plugin'et vil insistere på, at websteder bruger HTTPS i stedet for HTTP til at kommunikere med dig. Nyere versioner af Google Chrome har også en lignende funktionalitet indbygget. HTTPS er ikke kun for e-handel eller netbank. HTTPS bør også bruges til websider, der ikke ser ud til at indeholde følsomme data. Det er trods alt bedre at være på den sikre side uanset hvad du foretager dig på nettet.
Skift alle brugernavne og adgangskoder på din router i hjemmet eller på kontoret med jævne mellemrum, OGSÅ selvom det er besværligt. Hvis en cyberkriminel på en eller anden måde eksempelvis får fat i din WPA2-adgangskode, vil adgangskoden være ubrugelig, hvis du allerede HAR ændret den.
Hvis du nogensinde bruger offentlige ukrypterede trådløse netværk, er det meget vigtigt at du bruger en VPN. En VPN vil kryptere al din internetkommunikation til og fra din computerenhed, hvilket vil give dig en vis sikkerhed i forhold til en usikker forbindelse. Nogle VPN-udbydere tilbyder endda brugervenlige apps, som du kan installere på din telefon, tablet eller bærbare computer til en række forskellige styresystemer.
Sommetider faciliteres MITM-angreb af malware. Sørg for, at alle de computerenheder, du bruger, har antivirusprogram, uanset hvilken type enhed eller hvilket operativsystem du bruger. Sørg for, at din AV-software regelmæssigt opdaterer sine signaturer og ofte scanner dit system. Vær desuden forsigtig, når du downloader nye programmer til din computer, og sørg for, at de programmer, du downloader, anvender kodesignering. Er du meget usikker på om et givent program er sikkert at hente og installere, kan du oprette en “Virtual Machine” (VM) og installere dér først, men det er en lidt mere teknisk løsning.
Pas også på phishing-e-mails. Cyberangriberne bliver stadig mere snedige og nogle af dem har endda været tæt på også at snyde mig. Hvis jeg får en e-mail, der ser ud som om den er fra min bank, Google eller en offentlig instans, og den indeholder et link jeg skal logge ind på, klikker jeg aldrig på den. Jeg sletter e-mailen og går manuelt ind på deres hjemmeside eller app. På den måde er du helt sikker på du selv er herre over hvor du færde på nettet. Phishing-e-mails er et meget almindeligt middel til MITM-angreb, så vær på vagt..