Jangan bingung dengan serangan Man-in-the-Mobile atau Meet-in-the-middle .
Dalam kriptografi dan keamanan komputer , man-in-the-middle , monster-in-the-middle , machine-in-the-middle , monkey-in-the-middle , meddler- serangan in-the-middle ( MITM ) atau person-in-the-middle ( PITM ) adalah serangan siber di mana penyerang secara diam-diam menyampaikan dan mungkin mengubah komunikasi antara dua pihak yang percaya bahwa mereka berkomunikasi secara langsung dengan satu sama lain, karena penyerang telah memasukkan diri mereka di antara kedua pihak. [6]Salah satu contoh serangan MITM adalah penyadapan aktif , di mana penyerang membuat koneksi independen dengan korban dan menyampaikan pesan di antara mereka untuk membuat mereka percaya bahwa mereka berbicara langsung satu sama lain melalui koneksi pribadi, padahal sebenarnya seluruh percakapan dikendalikan oleh penyerang. Penyerang harus dapat mencegat semua pesan relevan yang lewat di antara kedua korban dan menyuntikkan yang baru. Ini mudah dalam banyak keadaan; misalnya, penyerang dalam jangkauan penerimaan titik akses Wi-Fi yang tidak terenkripsi dapat memasukkan diri mereka sebagai man-in-the-middle. Karena bertujuan untuk menghindari otentikasi timbal balik, serangan MITM hanya dapat berhasil jika penyerang meniru setiap titik akhir dengan cukup baik untuk memenuhi harapan mereka. Kebanyakan protokol kriptografi menyertakan beberapa bentuk otentikasi titik akhir khusus untuk mencegah serangan MITM. Misalnya, TLS dapat mengautentikasi satu atau kedua pihak menggunakan otoritas sertifikat yang saling tepercaya .
Contoh
Misalkan Alice ingin berkomunikasi dengan Bob . Sementara itu, Mallory ingin mencegat percakapan untuk menguping dan secara opsional menyampaikan pesan palsu kepada Bob.
Pertama, Alice meminta kunci publik Bob . Jika Bob mengirimkan kunci publiknya ke Alice, tetapi Mallory dapat mencegatnya, serangan MITM dapat dimulai. Mallory mengirimi Alice pesan palsu yang tampaknya berasal dari Bob, tetapi menyertakan kunci publik Mallory.
Alice, percaya bahwa kunci publik ini adalah milik Bob, mengenkripsi pesannya dengan kunci Mallory dan mengirimkan pesan yang dienkripsi kembali ke Bob. Mallory kembali mencegat, menguraikan pesan menggunakan kunci pribadinya, mungkin mengubahnya jika dia mau, dan mengenkripsi ulang menggunakan kunci publik yang dia cegat dari Bob ketika dia awalnya mencoba mengirimnya ke Alice. Ketika Bob menerima pesan yang baru dienkripsi, dia yakin itu berasal dari Alice.
1.Alice mengirim pesan ke Bob, yang dicegat oleh Mallory:
Alice "Hai Bob, ini Alice. Berikan kuncimu." → Mallory Bob
2.Mallory menyampaikan pesan ini kepada Bob; Bob tidak tahu bahwa itu bukan benar-benar dari Alice:
Alice Mallory "Hai Bob, ini Alice. Berikan kuncimu." → Bob
3.Bob merespons dengan kunci enkripsinya:
Alice Mallory [ Kunci Bob ] Bob
4.Mallory mengganti kunci Bob dengan miliknya, dan menyampaikan ini ke Alice, mengklaim bahwa itu adalah kunci Bob:
Alice [Kunci Mallory ] Mallory Bob
5.Alice mengenkripsi pesan dengan apa yang dia yakini sebagai kunci Bob, berpikir bahwa hanya Bob yang dapat membacanya:
Alice "Temui aku di halte bus!" [dienkripsi dengan kunci Mallory] → Mallory Bob
6.Namun, karena sebenarnya dienkripsi dengan kunci Mallory, Mallory dapat mendekripsi, membacanya, memodifikasinya (jika diinginkan), mengenkripsi ulang dengan kunci Bob, dan meneruskannya ke Bob:
Alice Mallory "Temui aku di van di tepi sungai!" [dienkripsi dengan kunci Bob] → Bob
7.Bob berpikir bahwa pesan ini adalah komunikasi yang aman dari Alice.
Contoh ini menunjukkan perlunya Alice dan Bob untuk memiliki beberapa cara untuk memastikan bahwa mereka benar-benar menggunakan kunci publik masing-masing, bukan kunci publik penyerang. Jika tidak, serangan seperti itu umumnya mungkin, pada prinsipnya, terhadap pesan apa pun yang dikirim menggunakan teknologi kunci publik. Berbagai teknik dapat membantu bertahan dari serangan MITM.
Pencegahan
Serangan MITM dapat dicegah atau dideteksi dengan dua cara: otentikasi dan deteksi kerusakan. Otentikasi memberikan beberapa derajat kepastian bahwa pesan yang diberikan berasal dari sumber yang sah. Deteksi kerusakan hanya menunjukkan bukti bahwa pesan mungkin telah diubah.
Autentikasi
Semua sistem kriptografi yang aman terhadap serangan MITM menyediakan beberapa metode otentikasi untuk pesan. Sebagian besar memerlukan pertukaran informasi (seperti kunci publik) selain pesan melalui saluran aman . Protokol tersebut, sering menggunakan protokol perjanjian kunci , telah dikembangkan dengan persyaratan keamanan yang berbeda untuk saluran aman, meskipun beberapa telah berusaha untuk menghapus persyaratan untuk saluran aman sama sekali.
Deteksi kerusakan
Pemeriksaan latency berpotensi mendeteksi serangan dalam situasi tertentu, seperti dengan perhitungan panjang yang mengarah ke puluhan detik seperti fungsi hash . Untuk mendeteksi potensi serangan, pihak memeriksa perbedaan dalam waktu respons. Misalnya: Katakanlah bahwa dua pihak biasanya membutuhkan waktu tertentu untuk melakukan transaksi tertentu. Namun, jika satu transaksi membutuhkan waktu yang lama untuk mencapai pihak lain, ini bisa menjadi indikasi campur tangan pihak ketiga yang memasukkan latensi tambahan dalam transaksi.
Analisis forensik
Lalu lintas jaringan yang ditangkap dari apa yang diduga sebagai serangan dapat dianalisis untuk menentukan apakah ada serangan dan, jika demikian, menentukan sumber serangan. Bukti penting untuk dianalisis saat melakukan forensik jaringan pada serangan yang dicurigai meliputi:
Alamat IP server
Nama DNS server
Sertifikat server X.509
Apakah sertifikat telah ditandatangani sendiri
Apakah sertifikat telah ditandatangani oleh otoritas sertifikat tepercaya
Apakah sertifikat telah dicabut
Apakah sertifikat telah diubah baru-baru ini
Apakah klien lain, di tempat lain di Internet, menerima sertifikat yang sama.
Pada tahun 2017, Equifax menarik aplikasi ponselnya menyusul kekhawatiran tentang kerentanan MITM.
Implementasi kehidupan nyata penting lainnya termasuk yang berikut:
DSniff – the first public implementation of MITM attacks against SSL and SSHv1
Fiddler2 HTTP(S) diagnostic tool
NSA impersonation of Google
Qaznet Trust Certificate
Superfish malware
Forcepoint Content Gateway – used to perform inspection of SSL traffic at the proxy
Comcast uses MITM attacks to inject JavaScript code to 3rd party web pages, showing their own ads and messages on top of the pages.