Man in the middle attack

Wat is een man in the middle attack?

Een computer of mobiele telefoon die plots in een nieuw onbekend netwerk wordt geworpen gaat eerst op zoek naar een “kaart” van de omgeving. In eerste instantie gebeurt dat door een algemene vraag om hulp over het netwerk te schreeuwen in de hoop dat één van de andere machines in het netwerk reageert. In regel laat zo’n reactie niet snel op zich wachten en komt die van een daartoe speciaal ingerichte machine die men vaak de “router” van het netwerk noemt. De router verschaft daarop alle informatie over het lokale netwerk en zal verder ook als tolk fungeren voor de communicatie tussen het lokale netwerk en de rest van het internet (zie figuur 1). De router wordt als het ware een helpende vriend die de nieuwe klasgenoot zal begeleiden in de groep.

<figuur 1, normale netwerkconfiguratie>
Het internet werd ontwikkeld met flexibiliteit als basisgedachte. Dat heeft als voordeel dat netwerken snel kunnen uitgerold worden en falende machines snel vervangen. Het nadeel is dat er niet echt strikte regels zijn waaraan een machine dient te voldoen om als “router” door het leven te mogen gaan en daar loopt het wel eens mis. In de praktijk kan elke machine die in een netwerk hangt zo worden aangepast dat hij zich als router gaat gedragen en ook als dusdanig zal erkent worden door de andere machines in het netwerk. Het is daarbij voldoende dat de “valse” router wat sneller of harder schreeuwt dan de officiele om door nieuwe toestellen in het netwerk als de officiele router erkend te worden. Zoals je kan zien in figuur 2 plaatst zo’n “valse” router zich tussen jijzelf en de rest van het internet. Op die manier krijgt hij toegang tot alle informatie die je via het internet verstuurd, en dus ook tot je e-mails en paswoorden.

<figuur 2, valse router>

Komt het vaak voor?

Door de opkomst van publieke wifi netwerken en de smartphone is het eigenlijk heel gemakkelijk geworden om een man in the middle attack uit te voeren. Een inbreker begeeft zich naar een publieke plaats waar veel mensen op het internet gaan via een publieke wifi, lanceert een bepaald programmaatje op zijn smartphone of laptop, en wacht gewoon terwijl de paswoorden van de aanwezige bezoekers binnen stromen.

Wat kan je eraan doen?

In de eerste plaats, geen gebruik maken van publieke wifi netwerken, tenzij je echt niet anders kan. Het is in de praktijk bijna onmogelijk te weten of zo’n netwerk al dan niet veilig is, en je zal een mogelijke aanval ook niet opmerken tot de dieven er reeds met je persoonlijke informatie vandoor zijn.

Uiteraard zijn die wifi-netwerken best handig, en soms wil je gewoon het risico nemen. Om jezelf dan toch maximaal te beschermen, neem volgende richtlijnen in acht:

  • Maak gebruik van zogenaamde 2-factor authenticatie. Grote spelers als Google, Facebook en Dropbox bieden dit standaard aan. Het volstaat dan niet enkel je paswoord in te geven om toegang te krijgen tot hun diensten, maar je moet ook actief bewijzen dat jij het bent, bijvoorbeeld door het verschaffen van een code die per SMS naar je telefoon gestuurd wordt. Een aanvaller kan er dan nog steeds met je paswoord vandoor, maar die SMS heeft hij niet.
  • Wijzig af en toe je paswoorden en gebruik niet voor elke dienst en elke website hetzelfde paswoord. Overdrijf hier niet mee want onderzoek heeft aangetoond dat het jezelf al te moeilijk maken door elke maand paswoorden te wijzigen uiteindelijk tot minder veilige situaties leidt omdat mensen eenvoudige paswoorden gaan gebruiken of ze gewoon gaan opschrijven. Een zogenaamde password-wallet die al je paswoorden versleuteld bewaart kan antwoord bieden. Dan moet je slechts 1 paswoord onthouden van de wallet zelf (dit moet je dan wel nog regelmatig wijzigen) en kan je al je andere paswoorden lekker ingewikkeld maken.
  • Speel geen kredietkaart-gegevens door wanneer je bent aangelogd op een publiek netwerk tenzij je absoluut zeker bent dat de connectie goed beveiligd is, en je browser het zogenaamde SSL beveiligings-certificaat als “echt” herkend. Ben je hier niet zeker van, of klinkt dit als Chinees doe je het beter niet want ook beveiligde verbindingen zijn niet altijd veilig voor aanvallers.