Hoe MitM-aanvallen en hun risico’s te begrijpen

📅
🕑 4 minuten lezen

Uitzoeken hoe je apparaat via netwerken met anderen communiceert, kan nogal verwarrend zijn – vooral wanneer er iets misgaat of wanneer je zeker wilt weten dat je spullen daadwerkelijk veilig zijn. De basis is simpel: maak verbinding via een kabel als het dichtbij is, of gebruik wifi of een bekabelde ethernetverbinding. Maar zodra je te maken hebt met internet en alle tussenpersonen (zoals proxyservers, VPN’s of zelfs malafide hotspots), wordt het een heel ander verhaal. Het gaat niet alleen om het aansluiten; het gaat erom te weten wie er meeluistert en hoe je kunt voorkomen dat ze meeluisteren.

Encryptie zou hier de superheld moeten zijn – een soort geheime code die je berichten beschermt tegen nieuwsgierige blikken. Maar de slechteriken zitten niet stil; sommigen proberen zelf in het gesprek te springen en doen zich voor als jou of de server. Dit is waar Man-in-the-Middle-aanvallen, of kortweg MitM, in het spel komen. Ze kunnen meeluisteren, de verzonden berichten aanpassen of zelfs je browser laten denken dat alles in orde is, terwijl dat niet zo is. Het lastige? Deze aanvallen kunnen passief zijn – gewoon meeluisteren – of actief, waarbij ze zich actief in je verbinding mengen en het laten lijken alsof alles in orde is, terwijl ze stiekem gegevens onderscheppen.

De opstelling

Om een ​​MitM te laten werken, moet de aanvaller zich in het midden van je communicatiepad begeven. Een veelvoorkomende manier, ook al lijkt het misschien voor de hand liggend, is verbinding maken met een willekeurige gratis wifi-hotspot – je weet wel, die cafés of luchthavens die gewoon “gratis wifi” aanbieden. Ik weet niet zeker waarom het zo vaak werkt, maar deze netwerken zijn vaak niet goed beveiligd, waardoor het een hotspot is voor aanvallers om een ​​nep-toegangspunt op te zetten en te wachten tot iemand verbinding maakt. Het is heel eenvoudig voor hen om te doen, maar je zou verbaasd zijn hoeveel mensen er zomaar onnadenkend op afstappen.

Een andere manier om dit te doen is door je apparaat te misleiden om een ​​proxy te gebruiken of door het te configureren om een ​​specifieke kwaadaardige server te accepteren. Als ze je apparaat bijvoorbeeld kunnen overhalen om hun machine als proxy te gebruiken, kunnen ze al je verkeer zien – vergelijkbaar met het afluisteren van een gesprek door naast je te zitten. En natuurlijk zou je internetprovider er theoretisch bij betrokken kunnen zijn, vooral als ze kwaadaardig of gehackt zijn. Het gebruik van een VPN zou je verkeer moeten verbergen, maar vergeet niet: je VPN-provider wordt je nieuwe internetprovider en daarmee degene met toegang tot je gegevens. Het kiezen van een betrouwbare provider is essentieel, anders wissel je het ene probleem misschien wel in voor het andere.

Passieve MitM

Dit is de meest sluwe. De aanvaller ‘luistert’ gewoon mee met je versleutelde verkeer zonder te manipuleren, informatie te verzamelen of patronen te proberen te herkennen. Versleuteling helpt hierbij enorm, want zonder versleuteling zouden ze alles glashelder zien. Maar zelfs met versleuteling kunnen ze, als ze er middenin zitten, nog steeds metadata of, als je niet oppast, ongecodeerde gegevens bemachtigen. Onthoud: passief betekent niet onschadelijk, maar het is minder kwaadaardig dan actief met je gegevens knoeien.

Actieve MitM

Dit is het agressievere scenario. Hierbij grijpt de aanvaller actief in en treedt hij op als tussenpersoon om ‘veilige’ verbindingen met u en de website te bedingen. Op papier zou SSL/TLS het grootste deel van deze chaos moeten oplossen, omdat websites HTTPS gebruiken en certificaten die zijn ondertekend door vertrouwde root-autoriteiten, opgeslagen in de vertrouwde certificaatopslag van uw apparaat. Wanneer alles goed is ingesteld, waarschuwt uw browser u als er iets niet klopt – dat is de pop-up met een waarschuwing over ongeldige of niet-vertrouwde certificaten.

Als het certificaat niet klopt – bijvoorbeeld omdat het verlopen is of niet correct is ondertekend – waarschuwt de browser u. Maar pas op: sommige aanvallers proberen gebruikers te misleiden zodat ze hun ongeldige certificaten accepteren, vaak door u ervan te overtuigen een schadelijk rootcertificaat in uw vertrouwde winkel te installeren. Zodra dat gebeurt, is uw verdediging vrijwel gebroken, omdat de aanvaller zich kan voordoen als elke site die u bezoekt, zonder vragen te stellen.

En hier komt het vreemde: soms klikken mensen, ondanks die waarschuwingen, gewoon op “risico accepteren” en gaan ze verder. Zo krijgen ze volledige toegang tot je zogenaamd “veilige” verbinding. De encryptie beschermt dan alleen het gedeelte tussen de aanvaller en je apparaat – niet de hele weg naar de echte server. Het is dus een beetje alsof je iemand vertrouwt die zich voordoet als iemand anders, wat het hele doel van HTTPS tenietdoet.

Het minder digitale voorbeeld

Om het makkelijker te maken, kun je je voorstellen om een ​​brief per post te versturen. De post is net als internet: je bericht wordt gewoon doorgestuurd. Maar de postbode? Dat is de MitM: die kan je brief openen, lezen of zelfs ruilen als hij dat wil. Je gaat ervan uit dat alles veilig is omdat de brief verzegeld is, maar als de postbode kwaadaardig is of gecompromitteerd, is het einde verhaal. Cryptografie helpt hierbij, zoals het ondertekenen van je brief om te bewijzen dat hij daadwerkelijk van jou afkomstig is, zodat je weet of iemand ermee geknoeid heeft.

Veranderen hoe je communiceert – zoals de overstap van e-mail naar versleutelde berichtenapps – kan een wereld van verschil maken. En niet alleen de overstap, maar ook kiezen voor vertrouwde netwerken en diensten. Want uiteindelijk is de beste verdediging om een ​​aanvaller geen gemakkelijke toegang te geven.

Afronding

MitM-aanvallen zijn reëel en kunnen in een oogwenk gebeuren, vooral op onbeveiligde wifi of als je certificaatwaarschuwingen negeert. Versleuteling houdt de meeste kwaadwillenden buiten de deur, maar alleen als de installatie correct is uitgevoerd en gebruikers letten op waarschuwingssignalen. Bovendien is het altijd verstandig om voorzichtig te zijn met de netwerken en services die je gebruikt. Soms gaat het erom te weten waar de zwakke plekken zitten en hoe je ze kunt vermijden.