Сниффинг-атаки уходят в прошлое. Или нет?

Казалось бы, все цифровые каналы передачи информации уже шифруются, а некоторые даже дважды. Перехватывать чужой трафик почти нереально и очень трудозатратно. Но сниффинг-атаки все равно появляются в отчетах об инцидентах. Пусть и намного реже, чем десять лет назад.

Как и почему злоумышленники «прослушивают» чужой трафик? Будут ли сниффинг-атаки актуальными в будущем? Об этом и не только — в новой статье Cyber Media.

Теория с историей, или Что такое сниффинг

Напоминаем, что чаще всего сниффингом в информационной безопасности называют несанкционированный перехват и анализ сетевых пакетов. Преступление совершается с помощью особого класса приложений – снифферов. Если такие инструменты используют в пентестах и других благих целях, то их называют «анализаторами трафика». Классическими решениями такого типа считаются tcpdump и tshark.

Сниффинг-атака – это инцидент, при котором злоумышленники «прослушивают» передаваемую информацию в сети (как в случае с телефонными переговорами). Главная цель хакеров – получить данные о пользователе или компании, которые затем можно использовать в преступных целях.

Федор Музалевский

Директор технического департамента RTM Group

Если ограничиться ситуациями со взломом (тестирование на проникновение отнесем сюда же), то снифферы чаще всего используют для анализа трафика с целью поиска учетных данных, а также конфиденциальной информации.

Реже эти инструменты применяются для перехвата и подделки запросов – для этого взломщик должен оказаться в определенных условиях. Между жертвой и сервером, например (так называемая атака man-in-the-middle). Помимо этого, средства захвата и анализа трафика применяются для отслеживания потоков трафика и посещаемых жертвой ресурсов.

Максимальное количество сниффинг-атак пришлось на 1990-е годы. Однако случаются они и в наше время. Так, например, в январе 2020-го стало известно о преступниках из Индонезии, которые заразили JS-сниффером GetBilling почти две сотни сайтов. В списке жертв оказались онлайн-магазины США, Бразилии, Австралии и других государств.

Второй громкий пример – сниффинг-атака на British Airways. В 2018 году с помощью опять же JS-сниффера преступникам удалось перехватить финансовые и личные данные 380 тыс. пользователей сайта и мобильного приложения компании.

А что сегодня?

Снифферы по-прежнему входят в базовый инструментарий хакера. Однако их используют редко и в особых случаях – отмечают эксперты. Все дело в том, что текущие протоколы передачи информации, как правило, хорошо защищены от подобного вредоносного ПО.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Нужно понимать, что времена нешифрованных протоколов передачи данных очень давно ушли в прошлое. Сейчас в корпоративных средах уже не встретишь telnet, imap, irc и подобных протоколов коммуникации, которые раньше и не предполагали какого-либо шифрования. Их давно заменили более надежные аналоги, и даже простой HTTP сейчас почти никогда не используется.

В то же время злоумышленники не отчаиваются и находят эффективные способы обхода шифрования. Если им это удается, то они перехватывают трафик. Особенно если уже получилось добраться до внутренней сети компании, поясняет Сергей Полунин.

Андрей Шабалин

Аналитик отдела анализа данных NGR Softlab

Область основного применения снифферов постепенно смещается в сторону промышленного шпионажа: в связи с этим развиваются дорогостоящие аппаратно-программные комплексы, позволяющие получить доступ к зашифрованной информации с высоким показателем стойкости.

Иногда злоумышленники даже не пытаются обойти шифрование и довольствуются пассивным сбором зашифрованных данных. Он помогает определить файловые, почтовые сервера, с которым общается клиент, контроллеры домена и DNS сервера без дополнительного сканирования сети и срабатывания средств защиты.

Кроме того, в последние годы развитие получили снифферы нового типа. В их числе решения для перехвата сетевого трафика, распространяемого по радиоканалам, Wi-Fi и GSM.

Алексей Семенычев

Руководитель направления экспертизы и аналитики компании «Гарда Технологии» (входит в группу компаний «Гарда»)

Wi-Fi-трафик активно используется в организациях даже для доступа к доверенным сегментам сети. Зачастую гостевые сегменты Wi-Fi-сетей в организациях либо не имеют паролей, либо используют очень простые пароли, что упрощает злоумышленникам доступ к трафику таких сетей и используемым ключам шифрования. Это позволяет дешифровать чужой трафик и получить из него необходимые данные об учетных записях, используемых сервисах, а, возможно, и паролях.

Еще один фактор риска – стандарт GSM. Мобильные устройства продолжают использовать его для связи, когда недоступны более современные протоколы. Прослушивание такого трафика не требует значительных вычислительных ресурсов, но при этом оно может предоставить хакерам немало конфиденциальной информации, передаваемой в разговорах и SMS – утверждают эксперты.

Алексей Семенычев

Руководитель направления экспертизы и аналитики компании «Гарда Технологии» (входит в группу компаний «Гарда»)

Отдельным вектором для радиоканалов является перехват данных, вводимых с радио- и Bluetooth-клавиатур. Производители компьютерной периферии второго эшелона зачастую пренебрегают стойким шифрованием в радиомодулях своих клавиатур и используют устаревшие версии Bluetooth, что позволяет получить из перехваченного трафика идентификаторы нажимаемых клавиш, в том числе восстановить логины и пароли учетных записей.

К атакам по Bluetooth чувствительны не только клавиатуры, добавляет Алексей Семенычев. Такому типу атак могут быть подвержены IoT и мобильные устройства. И это подтверждается последними новостями. Так, в сентябре состоялась презентация прибора на базе устройства Raspberry Pi Zero 2 W, который умеет взламывать любой гаджет от Apple.

При всем этом хакеры в процессе сниффинга все чаще используют современные инструменты, которые позволяют автоматизировать многие операции. Пример – BetterCap, который проводит первоначальный сбор информации для проведения атаки MITM (Man-in-The-Middle) и с последующим автоматическим поиском учетных данных в трафике. 

Евгений Грязнов

Руководитель продукта R-Vision TDP в компании R-Vision

При этом, если не используется SSL Pinning, то даже HTTPS-трафик все еще может прослушиваться. Некоторые разработчики мобильных приложений до сих пор считают, что если завернуть трафик в HTTPS, то шифровать учетные или банковские данные при передаче дополнительно не нужно, но это серьезная ошибка.

По словам эксперта, BetterCap также могут использовать совместно с инструментами для создания ложных точек доступа. Например, к самой популярной в столице бесплатной Wi-Fi сети – MT_FREE. Если на смартфоне не отключено автоматическое подключение к Wi-Fi точкам, то можно легко стать жертвой MITM-атаки.

Снифферы в будущем

Сниффинг как средство перехвата трафика уйдет в прошлое. Так считают некоторые собеседники Cyber Media.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Повсеместное внедрение протоколов шифрования не оставляет шанса просто подслушать трафик. Злоумышленникам останется только надеяться на ошибки в реализации этого самого шифрования или халатность администраторов, которые его не сумеют грамотно настроить.

Другие эксперты считают, что злоумышленники будут и далее находить уязвимости в существующих способах передачи данных и протоколах шифрования. Но сам сниффинг существенно изменится – в ответ на новые технологии и средства защиты.

Евгений   Грязнов

Руководитель продукта R-Vision TDP в компании R-Vision

По мере того как будут внедряться шифрование и идеология безопасной разработки SDLC на самых ранних этапах, злоумышленники могут переключиться на другие протоколы. Например, на WPA 3.0, который почти полностью исключает ряд атак на Wi-Fi сети.

Реверс реализаций популярных протоколов вроде Bluetooth у Apple, позволяющий любому отправлять ложные данные на телефон и тем самым практически блокировать его работу, показал, что даже в популярных протоколах все еще есть интересные и новые векторы атаки. 

Пока целью таких атак, как поясняют эксперты, остается поиск конфиденциальных данных. Но со временем на первый план может выйти анализ ресурсов, который посещает человек.

Федор Музалевский

Директор технического департамента RTM Group

Поиск ресурсов, которыми пользуется жертва, все более популярен. Ведь именно эту информацию удобно использовать в столь распространенной сейчас социальной инженерии. Скорее всего, в этом направлении преступники будут развиваться в ближайшем будущем.

И действительно, перехват трафика может стать точечным оружием, которое используют для сбора информации о сотрудниках или компании в целом. Однако успех таких атак в будущем для экспертов все равно пока остается сомнительным.

Илья Самсонов

Операционный директор компании MediaPro

Влияние также окажет рост общественного сознания в части вопросов безопасности. С повышением осведомленности о кибербезопасности и обучением персонала организаций количество успешных атак может сократиться. В том числе с использованием сниффинга.

В любом случае шифрование трафика и безопасность в сетях будут усиливаться, а доступная для перехвата информация – сокращаться. Однако злоумышленников это не остановит – они начнут искать новые способы обхода защиты, предостерегают эксперты.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Например, использование социальной инженерии для сбора доступов через фишинговые атаки или применение вредоносных программ для подмены цифровых сертификатов.

Кроме того, с развитием умных устройств и интернета вещей, сниффинг может получить доступ к конфиденциальной информации, передаваемой между устройствами, такими как умные дома и медицинские приборы.

Эволюция перехвата трафика – логичный ответ на изменения в технологиях и среде информационной безопасности. Именно поэтому в будущем сниффинг может стать более интеллектуальным и масштабным.

Дженнет Магомедова

Старший преподаватель кафедры ИБ МТУСИ

К ожидаемым тенденциям можно отнести ориентированность на множество платформ (мобильные устройства, облачные сервисы, сети IoT), а также использование искусственного интеллекта и машинного обучения для анализа и обработки перехваченных данных.

Выводы

Забывать о сниффинге как потенциальной угрозе не стоит, считают собеседники Cyber Media. Хотя инструменты перехвата трафика перестали быть массовым оружием в руках хакера, они до сих пор способны нанести непоправимый урон компании.

Более того, снифферы точно будут развиваться, пусть и на новом поле – в беспроводных технологиях передачи данных. Насколько мощной окажется эта эволюция, покажет время. И новые публичные кейсы успешных сниффинг-атак, конечно же.