Kako sprečiti MITM napade

Man-in-the-Middle (skraćeno MITM) predstavlja jedan od najopasnijih napada u oblasti online bezbednosti. Za razliku od drugih napada kao što su phishing ili ransomware, gde je obično jasno da zlonamerna strana pokušava da od vas iznudi poverljive podatke ili zaključa sistem, MITM se oslanja na neprimetno ubacivanje treće strane u komunikaciju između dve legitimne strane (na primer, između korisnika i servera). Ova treća strana – haker ili grupa hakera – ima za cilj da presretne, izmeni ili na neki drugi način zloupotrebi podatke koji se razmenjuju.

Upravo zbog činjenice da se MITM napadi odvijaju tiho i bez nekog vidljivog prisustva, mnogi korisnici i organizacije nisu ni svesni da su postali žrtve sve dok ne dođe do neke konkretne štete. Takva šteta može da bude krađa novca, otkrivanje poverljivih podataka, lažno predstavljanje u ime neke osobe ili organizacije i niz drugih negativnih posledica. 

Zato ćemo u ovom tekstu detaljno objasniti šta je to MITM napad i dati nekoliko načina za njihovo sprečavanje.

Ukoliko vas zanima da saznate više o phishing napadima, preporučujemo da pročitate naš tekst Kako da ne postanete žrtva phishing prevare.

Šta je MITM napad?

U najširem smislu MITM napad podrazumeva da se napadač ubacuje između dve strane koje međusobno komuniciraju. Na primer, između korisnika koji šalje lozinku ka serveru i samog servera koji tu lozinku očekuje.

Korisnik veruje da komunicira direktno sa serverom, a server veruje da prima podatke direktno od korisnika.

Zahvaljujući ovoj obmani napadač uspeva da presretne podatke koje dve strane razmenjuju tokom komunikacije. To mu otvara mogućnost da te podatke čita, menja ili iskoristi na neki drugi način.

Najčešći motivi za izvođenje MITM napada su krađa poverljivih podataka (korisničko ime, lozinka, detalji o platnoj kartici, finansijski dokumenti, poverljivi poslovni podaci itd.), finansijska prevara (preusmeravanje novčanih transakcija na račune kriminalaca), ubacivanje zlonamernog koda (malvera) i slično. 

U praksi, MITM napad može da izgleda ovako: zamislite da ste u kafiću i povezujete se na Wi-Fi mrežu koja nosi naziv kafića. Ne razmišljajući, kliknete na tu pristupnu tačku i surfujete internetom, proveravate stanje na računu ili šaljete važna dokumenta putem e-mail-a. 

Ispostavi se, međutim, da je ta Wi-Fi mreža lažna i da samo nosi naziv koji asocira na kafić, a da je zapravo u pitanju mreža koju je postavio zlonamerni korisnik sa laptopom u istom tom kafiću. Sav saobraćaj koji šaljete ka spolja ide kroz njegovu mrežu. Dakle, on može da vidi sve nešifrovane poruke, lozinke ili čak da modifikuje vaše zahteve.

Iako je Wi-Fi eavesdropping ili prisluškivanje putem lažnih bežičnih mreža jedan od najupečatljivijih primera, postoje i drugi primeri zloupotrebe i napada. 

Tu spadaju ARP spoofing (lažiranje ARP tabela na lokalnoj mreži), DNS spoofing (preusmeravanje DNS zahteva na lažni server), session hijacking (preuzimanje aktivnih sesija, najčešće putem krađe kolačića ili tokena), lažiranje HTTPS veza (SSL stripping), pa čak i napredne metode poput menjanja podataka u hodu ili ubacivanja malicioznog koda direktno u komunikaciju između klijenta i servera.

Kolika je učestalost i značaj MITM napada?

Istraživanja o online napadima širom sveta pokazuju da je veliki deo online krađe podataka realizovan upravo korišćenjem MITM tehnika ili njihovih varijacija. Jedan od razloga za to je relativna lakoća sprovođenja ovog napada u slučajevima kada nisu primenjene adekvatne bezbednosne mere. 

Na primer, nezvanične javne mreže, pa čak i neke zaštićene, često imaju slabo osigurane protokole ili zastarele rute prenosa podataka. Takođe, veliki problem predstavlja i to što korisnici ne proveravaju uvek da li su povezani na pravi web sajt ili pravu pristupnu tačku, već se oslanjaju na nazive mreže ili adrese koje deluju poznato.

S druge strane, čak i ljudi koji su svesni postojanja MITM napada i rizika mogu slučajno postati žrtve ukoliko se napadač posluži suptilnijim metodama, poput manipulacije DNS saobraćaja ili ubacivanja malicioznih ekstenzija u browser. Takozvani napadi „čovek u browseru“ (Man in the Browser) su posebno opasni, jer se dešavaju direktno u okruženju koje korisnik konstantno koristi i pritom uopšte ne sumnja da postoji neki napad.

Pored individualnih korisnika, na udaru su i kompanije svih veličina, državne institucije, kao i organizacije koje se bave kritičnom državnom infrastrukturom (energetika, saobraćaj, telekomunikacije). 

Posledice MITM napada na ove sisteme mogu biti izuzetno ozbiljne – od prekida rada usluga i gubitka poverenja korisnika, do ozbiljnih bezbednosnih rizika na nacionalnom nivou. 

Sve ovo jasno pokazuje koliko je važno da se na vreme primene preventivne mere i da se kontinuirano vrši monitoring sistema.

Osnovni principi MITM napada

Da bismo zaista razumeli kako da se odbranimo od MITM napada, treba da znamo na kojim osnovnim principima oni počivaju:

1. Presretanje saobraćaja: Ovo je prvi i ključni korak. Napadač mora da dođe do mesta u mreži gde može da vidi ili prima saobraćaj koji se inače šalje između dve legitimne strane. To može biti fizički – ako je napadač u istoj lokalnoj mreži kao i žrtva, ili logički – ako je uspeo da prevari DNS server, ARP tabele ili neki drugi element komunikacione infrastrukture.
   
2. Neprimetnost: Za uspešan MITM napad ključno je da legitimni akteri ne primete da postoji posrednik. U idealnom scenariju za napadača, korisnik i server nastavljaju komunikaciju u uverenju da su jedni drugima najbliži, bez ikakve sumnje da neko posreduje i menja tok saobraćaja.
   
3. Modifikacija ili snimanje podataka (ili oboje): Kada je napadač već u sredini, može samo da prisluškuje, što je poseban problem kada komunikacija nije šifrovana. Ali može i da menja sadržaj – recimo, da preusmeri novčanu transakciju ili doda zlonamerni kod u datoteku koja prolazi kroz mrežu. Takođe, može i da skuplja lozinke, sesijske identifikatore ili druge osetljive podatke za dalju zloupotrebu.
   
4. Izbegavanje detekcije: Iako je za napadača najvažnije da ostane neprimećen, prikrivanje prisustva tokom komunikacije zahteva izbegavanje bezbednosnih sistema, firewall-ova, sistema za detekciju upada (IDS) i sličnih rešenja. Zato se često koriste tehnike koje su veoma slične legitimnom saobraćaju, kako se ne bi aktivirali alarmi u bezbednosnim alatima.
   

Različite forme MITM napada

Prisluškivanje putem bežičnih mreža (Wi-Fi Eavesdropping)

Prisluškivanje putem bežičnih mreža (Wi-Fi Eavesdropping) jedna je od najčešćih i najlakše izvodljivih formi MITM napada. Napadač postavlja ili imitira bežičnu mrežu koja nosi naziv nalik legitimnoj mreži, na primer „Cafe_WiFi“ ili „FreeAirport“. Kada se korisnici nepažljivo povežu na tu mrežu, njihov celokupan saobraćaj prolazi kroz uređaj napadača.

U praksi to znači da svaki podatak koji žrtva šalje ili prima – e-mail poruke, lozinke, brojeve kreditnih kartica – može biti pročitan ili izmenjen.

Ovakav napad posebno je opasan na javnim Wi-Fi lokacijama, jer ljudi čak i neke osetljive aktivnosti, obično obavljaju bez dodatne zaštite. Napadač najčešće koristi specijalizovani softver ili tehnike za presretanje mrežnih paketa i njihovu analizu, dok žrtva uopšte ne sumnja da umesto direktnog pristupa internetu, prolazi kroz mrežu pod kontrolom hakera.

Da bi se postavila lažna pristupna tačka, često se koristi alat hostapd, dok se preusmeravanje HTTP/HTTPS saobraćaja i njegovo čitanje ili izmena mogu obaviti alatima kao što su sslstrip, MITMproxy ili ettercap.

Korisnici se priključe na „FreeAirport“ misleći da je to legitimna Wi-Fi mreža. Sav njihov saobraćaj nakon toga prolazi kroz uređaj napadača, gde može biti evidentiran, dešifrovan (ako se koristi slaba ili nikakva enkripcija) ili izmenjen.

ARP Spoofing

ARP Spoofing funkcioniše tako što se zloupotrebljava Address Resolution Protocol (ARP), koji u lokalnoj mreži prevodi IP adrese uređaja u njihove fizičke (MAC) adrese. U normalnim uslovima, kada računar želi da pošalje podatke nekom uređaju na istoj mreži, koristi ARP da otkrije MAC adresu tog odredišta.

Međutim, ako napadač pošalje lažne ARP odgovore, može da asocira svoju MAC adresu sa IP adresom rutera, pristupne tačke ili drugog kritičnog uređaja. To znači da sav saobraćaj umesto do legitimnog cilja stiže najpre do napadača, koji ga dalje prosleđuje stvarnom odredištu. Tako se napadač nevidljivo pozicionira u sredini i može prisluškivati ili prepravljati podatke.

DNS Spoofing

DNS Spoofing je tehnika manipulisanja sistemom domena (Domain Name System, DNS). Pošto DNS prevodi imena domena (npr. nekisajt.rs) u numeričke IP adrese koje računari razumeju, napadač koji uspe da prevari DNS servere ili keš na korisnikovom računaru, može da preusmeri korisnika na lažni sajt. Kada žrtva otkuca nekisajt.rs u browseru, umesto prave IP adrese dobija se IP adresa servera pod kontrolom napadača. Ishod je lažna stranica koja može vizuelno da imitira original, čime se omogućava krađa kredencijala ili ubacivanje zlonamernog koda.

Na taj način, DNS zahtevi mogu da budu preusmereni na lažni server, pa korisnik bude usmeren na lažni web sajt. Organizacije i korisnici koji ne koriste DNSSEC ili nemaju dovoljno jake bezbednosne mere mogu da postanu laka meta ove vrste napada.

Ukoliko želite da saznate više o DNS napadima, preporučujemo da pročitate naš tekst DNS napadi i kako ih sprečiti.

SSL Stripping

SSL Stripping predstavlja metodu kojom se šifrovana HTTPS veza snižava na nešifrovanu HTTP vezu, obično tokom inicijalnog zahteva. Korisnik veruje da komunicira preko HTTPS protokola, ali napadač, koji se ubacio izmedju korisnika i servera, blokira ili modifikuje komunikaciju tako da korisnik zapravo održava nešifrovan kanal.

Većina ljudi ne proverava da li je adresa zaista „https://“ ili „http://“, što napadaču daje dovoljno prostora da neprimećeno prikuplja lozinke, brojeve platnih kartica i druge poverljive podatke.

Kada korisnik pokuša da se poveže na HTTPS web sajt, alat zadržava TLS sesiju i umesto toga servira nešifrovanu verziju korisniku, koji često ne primeti nedostatak „https://“ u address bar-u.

Otmica sesije (Session Hijacking)

Otmica sesije (Session Hijacking) podrazumeva da napadač pribavi sesijski kolačić ili token koji identifikuje korisnika kao prijavljenog na nekom web sajtu ili servisu. Kada se korisnik uloguje, server kreira poseban token koji mu omogućava da ostane prijavljen bez ponovnog unošenja lozinke.

Ako napadač preotme ovaj token, najčešće korišćenjem tehnika poput presretanja saobraćaja na nezaštićenim mrežama ili iskorišćavanjem XSS ranjivosti, može da se predstavi kao korisnik i da tako ostvari pristup svim privilegijama te sesije. Na taj način, napadač može da izvrši finansijske transakcije, preuzme osetljive podatke ili izmeni podatke na nalogu bez znanja pravog vlasnika.

Čovek u browseru (Man in the Browser)

Čovek u browseru (Man in the Browser) je vrsta napada kod kog se zlonamerni softver ili skripta ubacuju direktno u korisnikov browser. U većini slučajeva, ovaj kod se instalira kroz lažnu ekstenziju ili posetu inficiranom sajtu koji iskoristi ranjivost browsera. Kada se takav malver smesti unutar browsera, on ima mogućnost da manipuliše svim elementima komunikacije sa web aplikacijama.

Napadač može da menja iznose transakcija pri onlajn plaćanju, preusmeri sredstva na sopstvene račune ili prikupi osetljive podatke poput lozinki i brojeva računa, a da sam korisnik teško može da primeti bilo kakve znake neobičnog ponašanja.

Ekstenzija koja poseduje dovoljne dozvole mogla bi da presreće i menja HTTP/HTTPS zahteve, prikuplja kolačiće, ukrade lozinke ili modifikuje podatke pri transakcijama. U praksi, takve ekstenzije koriste složenije tehnike prikrivanja i često se predstavljaju kao legitimne ekstenzije za razne funkcionalnosti.

U svim navedenim slučajevima, cilj je isti. Napadač se umeće između dve strane, čineći da one veruju kako direktno komuniciraju jedna s drugom. Istovremeno, napadač koristi prednost te pozicije da prisluškuje, menja ili usmerava saobraćaj. Ove forme napada predstavljaju samo neke od najčešće zabeleženih, ali MITM napad može da ima i druge oblike koji se razvijaju zajedno sa novim tehnologijama i složenijim mrežnim arhitekturama.

Zašto je MITM tako opasan?

MITM napadi su opasni upravo jer se odvijaju potpuno nevidljivo za prosečnog korisnika. Gledano iz ugla prosečnog korisnika, sve izgleda normalno: web sajt se otvara, e-mail stiže i odlazi, aplikacija radi. Ništa ne ukazuje da postoji problem. Ali u pozadini, neko prikuplja podatke ili aktivno menja sadržaj poruka. Ukoliko je žrtva privatno lice, gubitak može biti finansijski (npr. krađa novca), gubitak naloga na društvenim mrežama, prodor u lične poruke i slično.

Kod kompanija, rizik je mnogo veći – napadač može da dobije pristup poverljivim informacijama, kontaktima klijenata, intelektualnoj svojini, da manipuliše ponudama i fakturama, u iste unosi svoje račune na koje treće lice plaća, verujući pritom da plaća ispravnom pravnom licu, što je dovoljno da ošteti reputaciju preduzeća.

Finansijske institucije, kompanije koje se bave elektronskom trgovinom, pa čak i zdravstvene ustanove, čuvaju veliki broj ličnih i osetljivih podataka o svojim korisnicima i pacijentima. Jedan dobro izveden MITM napad može u potpunosti da ugrozi njihov integritet i dovede do ogromnih gubitaka.

Dodatno, ako napadač izmeni komunikaciju na način koji narušava ugled kompanije ili ometa rad njenih usluga, gubici se više ne svode samo na krađu podataka, već i na dugoročno narušavanje poslovanja.

Tehnike zaštite od MITM napada

Srećom, postoje brojne mere i tehnologije koje možemo da primenimo da bismo se zaštitili od MITM napada, ili barem značajno umanjimo verovatnoću da se dogode. Ovo su neke od najpopularnijih i najpoznatijih mera:

Jaka enkripcija (HTTPS/TLS)

Jedan od najvažnijih elemenata zaštite je upotreba HTTPS protokola koji radi preko TLS (Transport Layer Security). Umesto običnog HTTP-a, gde se sve šalje u čistom tekstu, TLS formira šifrovani tunel između klijenta (browsera) i servera. Na taj način, čak i ako neko presretne saobraćaj, ne može lako da dešifruje sadržaj poruka.

• Adekvatna konfiguracija: Nije dovoljno samo imati TLS sertifikat; on treba da bude i važeći, potpisan od strane priznate sertifikacione kuće (CA), i da koristi jake kriptografske algoritme. U praksi, možete koristiti besplatne sertifikate poput Let’s Encrypt, a minimalni primer Nginx konfiguracije može da izgleda ovako:

server {

    listen 443 ssl;

    server_name nekisajt.rs;

    ssl_certificate     /etc/letsencrypt/live/nekisajt.rs/fullchain.pem;

    ssl_certificate_key /etc/letsencrypt/live/nekisajt.rs/privkey.pem;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    location / {

        # Ovde ide konfiguracija aplikacije

        try_files $uri $uri/ =404;

    }

}

• Stalni nadzor: Administratori sistema treba redovno da proveravaju da li su sertifikati ispravni, da li su istekli, i da li su iz nekog razloga kompromitovani.

VPN (Virtuelna privatna mreža)

Kada se nalazimo na javnim ili nebezbednim mrežama (kafići, aerodromi, hoteli), dobar način za zaštitu je korišćenje VPN-a. VPN uspostavlja šifrovan kanal ka serveru VPN provajdera ili ka sopstvenoj firmi (u slučaju korporativnih VPN-ova). Tako se sav vaš mrežni saobraćaj spakuje u šifrovani sloj, čineći ga nečitljivim za lokalne posrednike.

• Pouzdan provajder: Potrebno je koristiti VPN uslugu kojoj se veruje i koja ne beleži detaljne saobraćajne logove (ili bar ne one koji bi ugrožavali privatnost).
• Pravilno podešavanje: Često ljudi uključe VPN, ali ne provere da li je kompletan saobraćaj doista preusmeren, ili ostave DNS zahteve van VPN tunela, što i dalje ostavlja prostor za manipulaciju.

Minimalni primer OpenVPN server konfiguracije (server.conf):

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

keepalive 10 120

tls-auth ta.key 0

cipher AES-256-CBC

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

verb 3

Pokretanjem takvog servera i povezivanjem korisnika (uz odgovarajući klijent .ovpn fajl) stvara se šifrovani tunel koji štiti sav mrežni saobraćaj.

Ukoliko želite da saznate više o VPN protoklima, predlažemo da pročitate naš tekst Najpopularniji VPN protokoli.

Zaštita bežičnih mreža

Kada koristimo sopstvenu bežičnu mrežu (npr. kod kuće ili u kancelariji), ona treba da bude obezbeđena jakom lozinkom i modernim protokolima (poput WPA2 ili WPA3). Takođe, mreže treba da budu sakrivene (što nije konkretna zaštita, ali može da odbije usputne napadače). Redovno ažuriranje rutera i pristupnih tačaka je takođe ključno kako bi se ispravile bezbednosne slabosti.

Minimalni primer hostapd konfiguracije za WPA2 (hostapd.conf):

interface=wlan0

driver=nl80211

ssid=MrezaKuce

hw_mode=g

channel=6

wpa=2

wpa_passphrase=MojaJakaLozinka

wpa_key_mgmt=WPA-PSK

rsn_pairwise=CCMP

Sa ovakvom konfiguracijom, korisnici mogu da se povežu isključivo ako znaju WPA2 lozinku i ako su u dometu mreže.

DNSSEC

DNSSEC je skup bezbednosnih ekstenzija za DNS koje omogućavaju proveru autentičnosti DNS odgovora pomoću digitalnog potpisa. Kada je DNSSEC pravilno implementiran, mnogo je teže lažirati ili preusmeriti DNS zapis, što direktno smanjuje verovatnoću DNS spoofing napada.

Minimalni primer (BIND9) zone sa DNSSEC potpisivanjem:

zone "nekisajt.rs" {

    type master;

    file "/etc/bind/db.nekisajt.rs";

    inline-signing yes;

    auto-dnssec maintain;

    key-directory "/etc/bind/keys";

};

Ovaj primer podrazumeva da su ključevi (KSK i ZSK) već generisani i da se nalaze u zadatom folderu. Kada je pravilno podešen, BIND automatski potpisuje zapise i održava DNSSEC.

Ukoliko želite da saznate više o DNSSEC-u, predlažemo da pročitate naš tekst Zašto nam je potreban DNSSEC?

SPF, DKIM i DMARC za e-mail zaštitu

E-mail komunikacija je često meta MITM napada, bilo da se radi o presretanju ili lažiranju (spoofing). Korišćenjem mehanizama kao što su SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) i DMARC (Domain-based Message Authentication, Reporting & Conformance), organizacije mogu da smanje mogućnost da njihove e-mail adrese budu zloupotrebljene i da omoguće proveru porekla pošte.

Primer SPF zapisa (u DNS zoni):

@  IN  TXT  "v=spf1 include:_spf.google.com -all"

Primer DKIM konfiguracije (Postfix + OpenDKIM):

# /etc/opendkim.conf

AutoRestart             Yes

AutoRestartRate         10/1h

Syslog                  Yes

SyslogSuccess           Yes

Mode                    sv

Canonicalization        relaxed/simple

KeyFile                 /etc/opendkim/keys/nekisajt.rs/default.private

Selector                default

Socket                  inet:8891@localhost

## Postfix main.cf

smtpd_milters = inet:localhost:8891

non_smtpd_milters = inet:localhost:8891

Primer DMARC zapisa (u DNS zoni):

_dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@nekisajt.rs"

Sa ovakvim podešavanjima, serveri koji primaju poštu sa vašeg domena mogu potvrditi da je e-mail zaista potekao od ovlašćenog pošiljaoca.

Napominjemo da SoftFail  "~all" treba da ostavite u SPF zapisu samo ako su svi ostali ispravno konfigurisani, odnosno ako je DMARC policy reject, a ne quarantine (p=reject). Na taj način, za sve mailove koji ne prolaze neophodne provere prijemnom serveru, biće rečeno da ih odbije, ali će na mail nalog (naveden u rua tag-u DMARC zapisa) stići izveštaj o mailovima koji su poslati i predstavljali se kao da su sa vašeg domena.

Ukoliko nemate puno iskustva sa navedenim podešavanjima, predlažemo da pročitate kako se radi Dodavanje novog SPF zapisa, Kreiranje SPF zapisa i Kreiranje DMARC zapisa.

Alati za otkrivanje i nadzor (IDS/IPS)

Sistemi za otkrivanje upada (Intrusion Detection Systems, IDS) i sistemi za sprečavanje upada (Intrusion Prevention Systems, IPS) mogu da prate mrežni saobraćaj i prepoznaju obrasce koji ukazuju na MITM aktivnosti, poput ARP spoofing-a ili neuobičajenih SSL/TLS transakcija. Moderni IDS/IPS sistemi često koriste veštačku inteligenciju ili učvršćene bezbednosne politike za rano upozorenje.

Minimalni primer Snort konfiguracije (snort.conf):

var HOME_NET 192.168.1.0/24

var EXTERNAL_NET any

include /etc/snort/rules/icmp.rules

include /etc/snort/rules/tcp.rules

include /etc/snort/rules/arp_spoof.rules

# Primer ARP spoof rule

alert arp any any -> any any (msg:"ARP Spoofing Attempt"; detection_filter:track by_src, count 5, seconds 60; sid:1000001;)

Pokretanjem Snort-a sa ovakvom konfiguracijom (nakon pravilne instalacije i dodavanja pravila), moguće je detektovati osnovne ARP spoofing napade i druge sumnjive aktivnosti.

Napredne metode i strategije zaštite

Iako su navedene osnovne mere (poput upotrebe jake enkripcije, VPN-a i redovnih ažuriranja) odlična polazna tačka, postoje i složeniji izazovi koji zahtevaju dodatne pristupe:

1. HSTS (HTTP Strict Transport Security):
   Ovo je mehanizam koji govori browser-ima da je sajt dostupan isključivo preko HTTPS-a i da ne treba nikada uspostavljati komunikaciju preko običnog HTTP-a. Na taj način se sprečava SSL stripping, jer browser automatski odbija da se poveže na bilo šta osim na šifrovanu vezu.
   
2. Sigurnosni tokeni i dvofaktorska autentikacija (2FA):
   Čak i ako napadač presretne lozinku, dvofaktorska autentikacija (npr. preko koda dobijenog putem SMS-a ili aplikacije za verifikaciju) značajno otežava zloupotrebu. Sigurnosni tokeni (poput USB ključeva koji generišu jednokratne lozinke) takođe pomažu, jer zahtevaju fizičku prisutnost i verifikaciju korisnika.
   
3. DNS-over-HTTPS (DoH) ili DNS-over-TLS (DoT):
   Ovo su protokoli koji šifruju DNS saobraćaj kako bi se onemogućilo prisluškivanje i preusmeravanje. Na taj način, čak i ako je napadač u lokalnoj mreži, ne može lako da manipuliše DNS upitima.
   
4. Sigurnosne politike u browser-ima (Content Security Policy – CSP):
   CSP može da ograniči izvore skripti, stilova i drugih resursa koje web sajt može da učita, što otežava napadačima da ubace zlonamerni kod. Naravno, ovo ne pomaže direktno kod ARP spoofing-a, ali smanjuje šanse uspešnog izvođenja man in the browser napada.
   
5. Praćenje sertifikata (Certificate Transparency i Pinning):
   Kako bi se sprečilo lažiranje SSL/TLS sertifikata, koriste se mehanizmi poput Certificate Transparency, gde su svi sertifikati javno evidentirani. Pinning je proces gde se u browser ili aplikaciju ugrađuje informacija o tačno kojem sertifikatu verovati (tj. čiji javni ključ je validan), pa čak i ako se dobije neki drugi sertifikat od CA, klijent neće prihvatiti tu izmenu.
   
6. Razdvajanje mreža i segmentacija:
   U poslovnom okruženju, mrežna segmentacija ograničava kretanje napadača ukoliko uspe da probije neki deo infrastrukture. Ako je Wi-Fi za goste odvojen od korporativne mreže, napadač neće moći lako da preuzme kontrolu nad glavnim sistemima čak i ako uspe u MITM napadu na mreži za goste.
   
7. Redovna obuka korisnika i svest o bezbednosti:
   I pored svih tehnoloških mera, ljudi ostaju najslabija ili najjača karika – zavisno od toga koliko su obučeni. Edukacijom i redovnim treninzima, korisnici mogu da postanu svesniji mogućnosti napada i oprezniji u obavljanju svakodnevnih poslova.
   

Zaključak

Kao što ste videli, MITM napadi predstavljaju ozbiljnu pretnju u oblasti cyber bezbednosti, jer omogućavaju neovlašćeno prisluškivanje i manipulaciju podacima u komunikaciji između korisnika i servera. Ovi napadi su posebno opasni jer često ostaju neprimećeni sve dok ne dođe do značajne štete, uključujući krađu identiteta, finansijske gubitke i narušavanje poverljivosti podataka.

Zbog širokog spektra metoda napada – od Wi-Fi prisluškivanja i ARP spoofing-a do otmice sesija i manipulacije DNS saobraćaja – neophodno je da na vreme i pravilno primenite odgovarajuće zaštitne mere.

Korišćenjem jakih enkripcijskih protokola (HTTPS/TLS), VPN rešenja, DNSSEC-a, HSTS-a, dvofaktorske autentifikacije i drugih naprednih sigurnosnih mehanizama, možete u velikoj meri da smanjite rizik od ove vrste napada.

Na kraju, ne manje važna je i edukacija korisnika, kao i stalni nadzor mrežnog saobraćaja.

Sve ovo dodatno doprinosi zaštiti vašeg sistema od MITM napada.