К вопросу о MITM-атаке как способе совершения преступлений в сфере компьютерной информации

Развитие киберпреступности в Российской Федерации. Способы совершения преступлений в сфере компьютерной информации и информационно-коммуникационных технологий. Иллюстрация методов MITM-атаки: evil twin, email hijacking, session hijacking, air spoofing.

Рубрика Государство и право
Вид статья
Язык русский
Дата добавления 15.12.2021
Размер файла 953,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.Allbest.Ru/

Барнаульский юридический институт МВД России

Кафедра криминалистики

К вопросу о MITM-атаке как способе совершения преступлений в сфере компьютерной информации

Анохин Ю.В., д.ю.н., профессор

Янгаева М.О., к.ю.н., ст. преподаватель

Аннотация

С опорой на статистические данные Министерства внутренних дел Российской Федерации за 2017-2020 гг. в данной статье сфера киберпреступности определена как активно развивающаяся в настоящее время. Авторами рассматривается способ совершения преступлений в сфере компьютерной информации и информационно-коммуникационных технологий - MITM-атака. Иллюстрируются методы MITM-атаки: evil twin, email hijacking, session hijacking, air spoofing.

Ключевые слова: криминалистика, способ совершения преступлений, компьютерная информация, киберпреступник, MITM-атака.

Annotation

To the question of the MITM attack as a modus operandi in the scope of computer information

Anokhin Yu.V., Doctor of Law, Professor; Yangaeva M.O., PhD in Law. Senior Lecturer, Department of Forensic Science, the Barnaul Law Institute of the Ministry of Internal Affairs of Russia

Basing on the statistics of the Ministry of Internal Affairs of the Russian Federation for 2017-2020 the authors define the scope of cybercrime as actively developing at present. The authors examine the modus operandi in the scope of computer information and information and communication technologies - «MITM attack». The article illustrates such MITM attack methods as: evil twin, email hijacking, session hijacking, air spoofing.

Key words: forensics, modus operandi, computer information, cybercriminal, MITM attack.

В современном мире большую роль в жизни людей играют информация и способы ее передачи. Все мы прямо или косвенно связаны с информационно-коммуникационными технологиями.

Проанализировав статистику Министерства внутренних дел Российской Федерации, приходим к выводу, что с каждым годом киберпреступлений становится все больше. В 2017 году было зарегистрировано 90 587 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации [7], в 2018 г. - 174 674 [8], в 2019 г. - 294 409 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, направлено в суд - 57 221 [9], а в 2020 г. - 510 396, направлено в суд - 82 977, остальные 87% так и остаются нераскрытыми [10].

В статье рассматривается один из самых старых, но не менее популярный в настоящее время, способ совершения преступлений в сфере компьютерной информации - MITM-атака (Man in the middle) или иначе «Атака посредника».

К сожалению, понятие «MITM-атаки» не рассматривается ни в одном нормативном правовом акте России, однако специалисты в области информационных технологий предлагают свои варианты определения данного термина.

А.Э. Арзуманян и А.А. Чумаков считают, что «MITM-атака - это такой вид воздействия, при котором злоумышленник вклинивается в информационную сеть, связывающую конечного пользователя с некоторым информационным ресурсом» [2, c. 38].

Считаем возможным рассматривать MITM-атаку, как деятельность киберпреступника, направленную на изменение (или ретрансляцию) данных между сторонами, осуществляющими передачу данных либо выдачу себя за одну из сторон. Традиционно в криминалистике под способом совершения преступления понимают «систему действий по подготовке, совершению и сокрытию общественно опасного деяния, детерминированных условиями внешней среды и свойствами личности, которые могут быть связаны с использованием соответствующих орудий, средств, условий места и времени» [3, с. 16-17].

Рис. 1. MITM-атака

Целью MITM-атаки является хищение личной информации (учетные данные для входа в личный кабинет, номера платежных карт), шпионаж, подрыв работы системы и др.

Пострадавшими от такой атаки становятся пользователи финансовых приложений, SaaS-предприятий, коммерческих сайтов и иных веб-сайтов, для входа в которые требуется авторизация.

Сегодня с помощью MITM-атаки можно совершить следующие общественно опасные деяния: неправомерный доступ к компьютерной информации (ст.272 УК РФ); создание, использование и распространение вредоносных компьютерных программ (ст.273 УК РФ); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст.274 УК РФ); неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст.274.1 УК РФ); нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 38 УК РФ) [1].

Необходимо пояснить, что для преступлений, совершаемых в сфере компьютерной информации способом MITM-атаки, свойственна трехзвенная структура совершения преступления.

Такие преступления тщательно готовятся (собирается информация, подготавливается программное обеспечение, подыскиваются соучастники и т.д.), в момент подготовки также продумываются способы сокрытия преступления [4, с. 94].

MITM-атака имеет большой вариатив методов в зависимости от целей и задач. Рассмотрим наиболее распространенные методы манипулирования системами связи с помощью MITM-атаки.

1. Evil Twin - создание киберпреступником контролируемой копии беспроводной точки доступа пользователя, благодаря чему он может отслеживать, собирать, манипулировать любой информацией, которую отправляет пользователь.

При обычном Wi-Fi-соединении клиентское устройство связывается с точкой доступа (рис. 2).

Рис. 2. Wi-Fi-соединение

Киберпреступник сканирует эфир в поисках информации об атакуемой точке доступа: имени точки доступа SSID, номера канала, MAC-адреса. После получения необходимых данных он создает точку доступа с такими же характеристиками. Далее киберпреступник отключает пользователя от оригинальной точки доступа, вынуждая его подключится к ложной точке доступа. Как только пользователь подключится к фальшивой точке доступа, киберпреступник получит полный контроль над его сеансом Wi-Fi. После этого киберпреступник сможет перехватывать пакеты пользователя, внедрять вредоносное программное обеспечение и т.д.

Киберпреступник также может использовать инструменты для дублирования популярных форм входа на разные сайты или платформы хостинга электронной почты, при этом перехватывать учетные данные в виде обычного текста, пересылать их на реальные вебсайты и самостоятельно авторизовывать пользователя. Пользователь, в свою очередь, будет думать, что вошел в учетную запись своей электронной почты, но на самом деле все данные были перехвачены киберпреступником.

2. Email Hijacking (взлом электронной почты) - метод MITM-атаки, при которой киберпреступник получает доступ к учетной записи электронной почты пользователя. Далее киберпреступник незаметно отслеживает обмен данными пользователя и использует информацию в преступных целях.

Ярким примером описанного выше метода MITM-атаки послужит случай, произошедший в 2019 году, который позволил киберпреступнику похитить 1 млн долл. [5]. Он изменил электронную переписку и, написав в общем итоге 32 электронных письма в обе стороны, смог перенаправить крупный денежный перевод от китайского фонда израильскому стартапу на свои реквизиты.

Владелец израильского стартапа смог договориться с китайским фондом о перечислении на его банковский счет 1 млн долл. в качестве финансирования начального этапа разработки проекта.

Глава китайского фонда совершил перевод на счет израильского стартапа в своем личном кабинете онлайн-банка.

Через некоторое время после совершения платежа представители банка, обслуживающего китайский фонд, уведомили их, что возникла проблема с одной из транзакций. А владелец израильского стартапа так и не получил ожидаемого денежного перевода. После этого обе стороны связались между собой по телефону, а не как ранее через электронную почту, и поняли, что транзакция была совершена, но не по фактическому назначению, а значит, 1 млн долл. был каким-то образом похищен третьей стороной. информационный коммуникационный киберпреступность

Оказалось, что некоторые их электронные письма, отправленные из фонда в стартап, были изменены и не соответствовали тем, которые реально получили в стартапе. А некоторые письма какая-то из сторон вообще не писала, но на них отвечал кто-то еще.

После скрупулезного сбора оригинальных электронных писем между компаниями стало понятно, как киберпреступник смог осуществить эту атаку.

По-видимому, за несколько месяцев до совершения первой большой денежной транзакции преступник смог заметить в электронной почте одной из компаний письма, касающиеся предстоящего многомиллионного контракта, и решил использовать эту информацию в своих целях. Вероятно, что все началось именно с наличия у преступника данных о почтовом сервере или пользователе одной из компаний.

Киберпреступник зарегистрировал два новых домена в сети, первый домен был практически таким же, как домен израильского стартапа, но с дополнительными символами в конце имени домена. Второй домен так же был очень похож на домен китайского фонда.

Затем преступник отправил два электронных письма с теми же заголовками, что и в исходной ранее увиденной им переписке. Первое электронное письмо было отправлено китайской компании с поддельного израильского домена, письмо было якобы от генерального директора израильского стартапа.

Второе электронное письмо было отправлено уже в сторону израильского стартапа с поддельного домена китайского фонда, в письме была указана вся необходимая информация, которую ранее в переписке использовал один из менеджеров китайского фонда, занимающийся этим инвестиционным проектом.

Таким образом, киберпреступником была успешно создана сетевая инфраструктура для начала проведения атаки «Man In The Middle». И через некоторое время вся переписка между компаниями стала проходить через домены преступника. А каждое электронное письмо, отправленное одной из компаний, в действительности доставлялось преступнику, который затем просматривал информацию в этом электронном письме, решал, нужно ли редактировать какой-либо контент, а затем пересылал измененное по его усмотрению электронное письмо по нужному месту назначения.

На протяжении всей этой атаки киберпреступник смог успешно отправить (и не быть раскрытым) восемнадцать электронных писем китайской стороне и четырнадцать электронных писем - израильской стороне. Его беспредельное терпение, скрупулезное внимание к деталям и хорошая осведомленность в ситуации позволили сделать эту атаку успешной.

Однажды, уже во время проведения атаки, глава китайского фонда и владелец израильского стартапа запланировали очную встречу в Шанхае. В последний момент преступник смог отменить это мероприятие. Он отправил электронные письма в каждую из компаний об отмене встречи, предоставив разные правдоподобные причины каждому из руководителей компаний, из-за которых они действительно не смогли встретиться друг с другом. Ведь именно во время такой встречи возможно фактическое совершение транзакции на банковский счет израильского стартапа, для преступника это означало, что его преступный замысел не осуществится.

На данный момент нет информации о том, был ли киберпреступник идентифицирован, пойман или найдены его сообщники, если такие были.

3. Session Hijacking - захват сеанса, также известный как взлом cookie-файлов, еще один метод MITM-атаки, который дает полный доступ к учетной записи пользователя. Когда он входит в свою учетную запись, например, учетную запись в «Сбербанк Онлайн», приложение возвращает cookie-сеанс (фрагмент данных), который идентифицирует пользователя на сервере и дает ему доступ к его учетной записи. Пока пользователь использует токен сеанса, сервер разрешает пользоваться приложением. Как только пользователь покидает приложение или после определенного периода бездействия со стороны пользователя, сервер аннулирует сеанс, и данные уничтожаются из выделенного пространства памяти. Ранее каждый запрос выполнялся независимо без каких-либо сведений о ранее выполненных запросах. То есть пользователю приходилось повторно вводить логин и пароль для каждой просматриваемой страницы. Разработчики создали способ отслеживания состояния между несколькими подключениями одного и того же пользователя, чтобы не запрашивать повторную аутентификацию между каждым переходом в веб-приложении (рис. 3).

Идентификатор сеанса является ключевой частью работы сеанса. Данная строка случайная, буквенно-цифровая, она пересылается между пользователем и сервером. Если киберпреступник получает идентификатор сеанса, он может самостоятельно войти в учетную запись на веб-сайте вместо пользователя.

Рис. 3. Работа сеанса

После того как преступник захватил сеанс, он обладает всеми правами реального пользователя. Например, покупка товаров онлайн, доступ к личной информации, хищение конфиденциальных данных компании, в которой работает пользователь или хищение денежных средств со счета и т.д. Также преступник может запустить атаку социальной инженерии - «вымогатель», которая зашифрует все ценные данные пользователя.

Рассмотрим распространенные методы перехвата сеанса.

1. Session Fixation (фиксация сеанса) - преступник использует уязвимость системы, которая позволяет фиксировать (найти или установить) идентификатор сеанса другого пользователя. Этот тип атаки основан на фишинге. Например, киберпреступник отправляет по электронной почте ссылку, содержащую конкретный идентификатор сеанса. Пользователь кликает на ссылку и входит на веб-сайт. После этих действий пользователя, преступник будет знать, какой идентификатор сеанса им используется.

Приведем пример подобной атаки (рис. 4):

Преступник определяет, что принимает любой идентификатор сеанса и не имеет проверки безопасности.

Преступник отправляет пользователю фишинговое письмо со словами: «Привет, Марк!

Рис. 4. Атака фиксации сеанса

Оцени эту новую функцию учетной записи в нашем банке». Ссылка направляет пользователя. В этом случае преступник пытается зафиксировать идентификатор сеанса.

Пользователь кликает на ссылку, перед ним появляется привычный для него экран входа в систему. Пользователю кажется, что все в порядке, и он входит в систему как обычно, вводя свой логин с паролем.

Теперь преступник может посетить и получить полный доступ к учетной записи пользователя.

2. Session Sniffing - киберпреступник использует анализатор пакетов, такой как Wire-shark. Он предназначен для перехвата и регистрации пакетов по мере их прохождения через сетевое соединение. Сеансовые файлы cookie являются частью этого трафика, анализ сеанса позволяет преступнику найти их и похитить. Распространенная уязвимость, которая оставляет сайт открытым для прослушивания сеансов, - когда шифрование SSL/TLS используются только на страницах входа. Преступник может использовать анализ пакетов для отслеживания трафика всех пользователей этой сети, включая файлы cookie-сеанса.

ARP Spoofing (подмена протокола разрешения адресов (ARP)). Обычно протокол ARP используется LAN (локальными сетями), поэтому этот метод MITM-атаки происходит через LAN. Однако, когда пользователь отправляет ARP-запрос, киберпреступник отправляет ложный ответ. В этом случае преступник представляет себя устройством, например, маршрутизатором, что позволяет ему перехватывать весь интернет-трафик пользователя.

Приведенный перечень содержит лишь некоторые примеры методов MITM-атаки, используемые киберпреступниками в настоящее время.

По мере того, как изощренность MITM-атак из года в год растет, обнаружение этих преступных проявлений становится все труднее и пользователю, и правоохранительными органами. Так как киберпреступник способен модернизировать и подменять передаваемую информацию, а также ограничивать доступ пользователям к информационным ресурсам [2, с. 39].

Большинство преступников пытаются действовать анонимно. Но из-за человеческого фактора они все равно оставляют цифровые (материальные) следы: домены, IP-адреса, SSH-отпечатки, SSL-сертификаты, телефонные номера, скрытые идентификаторы, адреса электронной почты, log-файлы, MAC-адрес и др. [6].

Считаем, что образовательным организациям высшего и среднего профессионального образования необходимо ввести в курс «Криминалистика» информацию о MITM-атаках. Для сотрудников правоохранительных органов, раскрывающих и расследующих киберпреступления, рекомендуется своевременно проводить курсы повышения квалификации, обучающие семинары, лекции.

Литература

1. Уголовный кодекс Российской Федерации от 13 июня 1996 г. №63-ФЗ. СПС «КонсультантПлюс».

2. Арзуманян Э.А., Чумаков А.А. МИТМ-атака. Угроза информационной безопасности в РФ // Znanstvena misel journal. 2019. №33.

3. Зуйков Г.Г. Криминалистическое учение о способе совершения преступления: автореф. дис. ... д-ра юрид. наук. М., 1970.

4. Янгаева М.О. Методы (техники) социальной инженерии, используемые при совершении преступлений в сфере компьютерной информации // Вестник Дальневосточного юридического института МВД России. 2020. №4 (53).

5. Check Point обнародовала материалы по расследованию кражи $1 млн, которую успешно совершил хакер с помощью MITM-атаки.

6. Выйти на след хакера в несколько кликов.

7. Состояние преступности в России за январь-декабрь 2017 года // Официальный сайт МВД России.

8. Состояние преступности в России за январь-декабрь 2018 года // Официальный сайт МВД России.

9. Состояние преступности в России за январь-декабрь 2019 года // Официальный сайт МВД России.

10. Состояние преступности в России за январь-декабрь 2020 года // Официальный сайт МВД России.

Bibliography

1. Criminal Code of the Russian Federation №63-FZ of June 13, 1996 // LRS «Consultant- Plus».

2. Arzumanyan E.A., Chumakov A.A. MITM-attack. The threat of information security in the Russian Federation // Znanstvena misel journal. 2019. №33.

3. Zuikov G.G. Criminalistic teaching about the method of committing a crime: abstract of the dis. ... Doctor of Law. Moscow, 1970

4. Yangaeva M.O. Methods (techniques) of social engineering used in committing crimes in the field of computer information // Bulletin of the Far Eastern Law Institute of the Ministry of Internal Affairs of Russia. 2020. №4 (53).

11. Check Point has published materials on the investigation of the theft of $1 million, which was successfully committed by a hacker using a MITM attack.

12. Get on the hacker's trail in a few clicks.

13. The state of crime in Russia for January- December 2017 // Official Website of the Ministry of Internal Affairs of Russia.

14. The state of crime in Russia for January- December 2018 // Official Website of the Ministry of Internal Affairs of Russia.

15. The state of crime in Russia for January- December 2019 // Official Website of the Ministry of Internal Affairs of Russia.

16. The state of crime in Russia for January- December 2020 // Official Website of the Ministry of Internal Affairs of Russia.

Размещено на allbest.ru


Подобные документы

  • Виды преступлений в сфере компьютерной информации, их криминалистические особенности, суть конфиденциальности. Типичные орудия подготовки, совершения и сокрытия преступлений, организация расследования, назначение компьютерно-технической экспертизы.

    реферат [39,7 K], добавлен 22.05.2010

  • Сущность и разновидности способов совершения преступления. Виды компьютерных преступлений и определение ответственности за них. Способы и основные инструменты доступа к компьютерной информации, исследование конкретных примеров из отечественной практики.

    реферат [16,9 K], добавлен 12.10.2010

  • Понятие компьютерной информации, развитие информационных отношений, последствия информатизации общества. Сущность и общая характеристика преступлений в сфере компьютерной информации. Способы защиты компьютерной информации от преступных посягательств.

    реферат [35,3 K], добавлен 15.11.2011

  • История компьютерной преступности. Общая характеристика преступлений в сфере компьютерной информации. Пробелы уголовно-правового регулирования неправомерного доступа к компьютерной информации. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

    курсовая работа [45,4 K], добавлен 04.07.2010

  • Характеристика преступлений в сфере компьютерной информации и основные способы их совершения. Законодательные акты и уголовно-правовые нормы, регулирующие информационные отношения. Опыт борьбы с компьютерными преступлениями в республике Азербайджан.

    курсовая работа [50,6 K], добавлен 07.12.2010

  • Правовое регулирование отношений в области компьютерной информации. Создание, использование и распространение вредоносных программ. Понятие несанкционированного доступа к информации, хищения. Способы совершения данных преступлений, их предупреждение.

    дипломная работа [91,0 K], добавлен 02.07.2015

  • Общая характеристика преступлений в сфере компьютерной информации. Изучение конкретных видов компьютерных преступлений: неправомерный доступ к информации, создание, использование и распространение вредоносных программ для ЭВМ. Способы защиты информации.

    контрольная работа [59,2 K], добавлен 06.01.2011

  • Понятие и тенденции преступлений в сфере компьютерной информации. Объективная и субъективная сторона неправомерного доступа к компьютерной информации. Анализ состояния уголовно-правовой борьбы с данным видом преступлений, пути ее совершенствования.

    дипломная работа [109,4 K], добавлен 09.01.2013

  • Развитие и становление отечественного и зарубежного уголовного законодательства в сфере компьютерной информации. Нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. Меры уголовного-правовой борьбы с преступлениями в сфере компьютерной информации.

    дипломная работа [465,1 K], добавлен 28.07.2010

  • Понятие и криминалистическая характеристика преступлений в сфере компьютерной информации. Виды и судебная практика компьютерных преступлений, основные способы защиты и меры правового, технического, организационного характера с целью их предупреждения.

    дипломная работа [82,3 K], добавлен 13.11.2009

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.