Man in the Middle (MitM)

สวัสดีครับคุณผู้อ่านทุกท่าน ช่วงนี้คุณผู้อ่านคงได้เห็นข่าวของแก๊งมิจฉาชีพที่หลอกเอาข้อมูลเพื่อดูดเงินอยู่บ่อย ๆ ซึ่งเรียกได้ว่าจัดเป็นภัยใกล้ตัวที่ทุกคนมีโอกาสที่จะกลายเป็นผู้เสียหายได้ทั้งนั้น ดังนั้นในวันนี้ผมจะมาพูดถึงเรื่องการแอบดักฟังข้อมูล หรือ Man in the Middle (MitM) กันครับ ว่ามันคืออะไร มีกระบวนการอย่างไร?

ก่อนอื่นผมขออธิบายคร่าว ๆ ก่อนนะครับว่า Man in the Middle คืออะไร…

Man in the Middle หรือการแอบดักฟังข้อมูลระหว่างผู้ส่งสารและผู้รับสาร ซึ่งนี่เป็นการโจมตีอย่างหนึ่งทาง Network ที่มีเครื่องคอมพิวเตอร์หรือโทรศัพท์มือถือเป็นผู้ส่งสาร และมีผู้ให้บริการหรือเว็บไซต์ต่าง ๆ เป็นผู้รับสาร และในกระบวนการรับ-ส่งนี้ ก็จะมีบุคคลที่สามเข้ามาแทรกระหว่างกลาง เพื่อแอบดักฟังกระบวนการรับส่งนี้ โดยที่บุคคลที่สามสามารถเปิดดูข้อความหรือแก้ไขข้อความก่อนจะส่งไปยังผู้ให้บริการหรือเว็บไซต์ได้

ซึ่งโดยปกติแล้วการสื่อสารระหว่างผู้รับและผู้ส่งจะเป็นดังในภาพต่อไปนี้

แต่เมื่อมีบุคคลที่สามเข้ามาแทรกแซงจะออกมาเป็นในลักษณะดังต่อไปนี้

ref: https://threatcop.com/blog/wp-content/uploads/2019/10/CISO-Mag.webp

ตัวอย่างของ Man in the Middle

การโจมตีด้วย Man in the Middle ไม่ได้มีแค่การดังฟังข้อมูลเพียงอย่างเดียว แต่ผู้โจมตียังสามารถแก้ไขข้อมูลระหว่างการรับส่งได้อีกด้วย

Man in the Middle สามารถยกตัวอย่างได้ดังนี้

• การขโมยข้อมูลส่วนบุคคล เช่น ข้อมูลการ Login, ข้อมูลบัตรประชาชน และข้อมูลสุขภาพ
• การขโมยข้อมูลทางธุระกรรม เช่น ข้อมูลบัตรเครดิต เละข้อมูลการโอนเงิน
• ปลอมแปลงข้อมูล เช่น แก้ไขข้อมูลการโอนเงิน

และนี่คือสถิติการโจมตีที่เกิดขึ้นจาก Man in the Middle

• จากข้อมูลของ the SSL Store พบว่าในช่วงปี 2559, เว็บไซต์กว่า 95% ที่ใช้ HTTPS ถูกโจมตีด้วยเทคนิค Man in the Middle
• จากข้อมูลของ IBM พบว่า 35% ของช่องโหว่ทั้งหมดถูกนำไปใช้ในการโจมตีแบบ Man in the Middle
• จากข้อมูลของ DARK Reading, 43% พบว่าระบบรักษาความปลอดภัยบนอุปกรณ์พกพามีส่วนที่ทำให้เกิดการโจมตีแบบ Man in the Middle

จากสถิติข้างต้นทำให้เห็นแล้วว่า การโจมตีด้วยเทคนิค Man in the Middle นั้นถูกนำมาใช้กันอย่างแพร่หลาย

การโจมตี Man in the Middle สามารถทำได้อย่างไร

การโจมตีนี้เกิดขึ้นโดยการเข้ามาแทรกแซงเครือข่ายหรือสร้างเครือข่ายปลอมที่ผู้โจมตีสามารถควบคุมการรับส่งข้อมูลจากทั้งสองฝั่งได้ การโจมตีจาก Man in the Middle มีสองขั้นตอนคร่าว ๆ คือ

1. การดักจับข้อมูล

ref: https://miro.medium.com/max/1400/1*iu0VrKl5msVKaqEwJgi-Zw.gif

ผู้โจมตีจะทำการดักจับข้อมูลที่อยู่บนเครือข่ายของผู้ใช้ก่อนที่จะส่งออกไปปลายทาง หรือเว็บไซต์ต่าง ๆ ในการดำเนินขั้นตอนนี้ ผู้โจมตีจะทำการการติดตั้งตัวดักจับแพ็กเกจ ซึ่งสามารถทำให้ผู้โจมตีวิเคราะห์ทราฟฟิกของเครือข่ายเพื่อระบุตำแหน่งการของสื่อสารที่ไม่มีความปลอดภัย

เสร็จแล้วเมื่อมีเหยื่อทำการเข้าเว็บไซต์ต่าง ๆ ผู้โจมตีจะสามารถแอบดักฟังการรับส่งข้อมูลประเภทใดก็ได้ นอกจากนี้ผู้โจมตียังสามารถนำพาผู้ใช้ไปยังเว็บไซต์ปลอมเพื่อบันทึกข้อมูลผู้ใช้ จากนั้นผู้โจมตีจะใช้ข้อมูลนั้นเพื่อดึงข้อมูลจากเว็บไซต์จริงอีกที

2. การถอดรหัสข้อมูล

หลังจากกระบวนการดักจับการรับส่งข้อมูล ข้อมูลก็จะถูกถอดรหัสโดยไม่มีการแจ้งเตือนผู้ใช้หรือแอปพลิเคชันใดเลย ซึ่งในกระบวนการนี้จะทำให้ผู้โจมตีสามารถอ่านข้อมูลทุกอย่างของเหยื่อได้

ref: https://threatcop.com/blog/wp-content/uploads/2019/10/man-in-the-middle-attack.png

ประเภทของการโจมตี Man in the Middle

ประเภทการโจมตีมีอยู่หลากหลายรูปแบบ ผมจึงขอยกตัวอย่างมา 3 ประเภท ดังนี้

1. Wi-Fi Eavesdropping

เมื่อทำการเชื่อมต่อ Wi-Fi คุณอาจเห็นการแจ้งเตือนว่า “การเชื่อมต่อนี้ไม่ปลอดภัย” หากคุณใช้อุปกรณ์ในร้านกาแฟ โดยทั่วไป Wi-Fi สาธารณะจะให้บริการโดยไม่มีรับประกันใด ๆ เกี่ยวกับคุณภาพการให้บริการ

เครือข่าย Wi-Fi ที่ไม่ได้เข้ารหัสนั้นง่ายต่อการแอบดักฟังการสื่อสาร คุณสามารถจำกัดการเข้าถึงได้โดยตั้งค่าคอมพิวเตอร์เป็น “สาธารณะ” ซึ่งจะปิดใช้งานการค้นพบอุปกรณ์ของคุณบนเครือข่าย วิธีนี้จะป้องกันไม่ให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จาก Wi-Fi นี้

และมีอีกหนึ่งตัวอย่างสำหรับประเภทการโจมตีผ่านไวไฟ คือการปล่อยสัญญาณไวไฟขึ้นมาเองแล้วตั้งชื่อ เช่น Cafe_Free_WiFi เพื่อหลอกให้ผู้ใช้งานทำการเชื่อมต่อมายังเครื่องผู้ไม่ประสงค์ดีโดยตรง

2. DNS Spoofing

หลักการของเว็บไซต์จะทำงานด้วยที่อยู่ IP ที่เป็นตัวเลข เช่น 192.156.65.118 โดยที่อยู่หมายเลขนี้อาจใช้จับคู่กับชื่อ Domain name เช่น google.com โดย DNS Server จะทำหน้าที่ในการแปลงหมายเลขที่อยู่ IP ให้กลายมาเป็นชื่อเว็บไซต์หรือ Domain name

ผู้โจมตีสามารถสร้าง DNS Server ขึ้นมาเพื่อเปลี่ยนเส้นทางได้ โดย Server ดังกล่าวจะส่งที่อยู่ IP ของเว็บไซต์ปลอมให้กับผู้ใช้แทน

ref: https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/01/DNS-spoofing.jpg.webp

3. IP Spoofing

เป็นการปลอมแปลงที่อยู่ IP เพื่อเลียนแบบระบบคอมพิวเตอร์อื่น การปลอมแปลง IP ทำให้ผู้โจมตีสามารถทำอะไรก็ได้ โดยไม่มีการตรวจจับ ซึ่งอาจรวมถึงการขโมยข้อมูลของคุณ การติดมัลแวร์ในอุปกรณ์ของคุณ หรือทำการขัดขวางการเข้าใช้งานเว็บไซต์ของคุณ

ref: https://www.cloudflare.com/img/learning/ddos/glossary/ip-spoofing/ip-spoofing.png

การป้องกันการโจมตี Man in the Middle

หลายคนอยากรู้ว่า แล้วเราจะสามารถป้องกันการโจมตี Man in the Middle ได้อย่างไร?

การตรวจสอบและการป้องกันการโจมตีจาก Man in the Middle ค่อนข้างเป็นไปได้ยาก เหตุผลก็คือโดยส่วนใหญ่แล้วจะไม่มีใครสังเกตเห็น มีวิธีการบางอย่างที่พนักงานหรือผู้ใช้ทั่วไปสามารถปฏิบัติตามได้ เพื่อระบุและป้องกันการโจมตี โดยมีหัวข้อดังต่อไปนี้

• หลีกเลี่ยงการใช้เว็บไซต์ธนาคารหรืออีคอมเมิร์ซผ่านการเชื่อมต่อที่ไม่ปลอดภัยหรือ Wi-Fi สาธารณะ
• ผู้ใช้ควรกดออกจากระบบในแอปพลิเคชันหรือเว็บไซต์ต่าง ๆ หลังจากเสร็จสิ้นการทำงานแล้ว
• ผู้ใช้ควรใช้งานเว็บไซต์ที่มีการเข้ารหัส HTTPS หรือ TLS เพื่อให้การโจมตีมีโอกาสสำเร็จได้ยากขึ้น
• ผู้ใช้ควรตรวจสอบความถูกต้องของเบราว์เซอร์หรือเว็บไซต์ก่อนที่จะเข้าใช้งาน

ในบทความนี้จะเป็นเพียงเนื้อหาเบื้องต้นเกี่ยวกับการโจมตี Man in the Middle เพื่อจะให้เห็นถึงความร้ายแรงและกระบวนการทำงานมากยิ่งขึ้น ซึ่งผมได้นำบทความนี้มาเพื่อให้ตระหนักถึงความอันตรายเมื่อกำลังให้งานอินเทอร์เน็ตครับ สุดท้ายนี้กระผมขอให้ทุกท่านสนุกกับการอ่านและเจอกันใหม่ในหัวข้อถัดไปครับ

References

• https://threatcop.com/blog/man-in-the-middle-attack/
• https://www.imperva.com/learn/application-security/dns-spoofing/
• https://www.cloudflare.com/learning/ddos/glossary/ip-spoofing/