Mensen zonder enige kennis van hacking kunnen dankzij een gratis hackertool nu vrij eenvoudig zelf web-applicaties en hun gebruikers aanvallen. The Middler automatiseert aanvallen die voorheen de nodige tijd en vaardigheden vereisten. Zo kan de tool de sessie van een gebruiker klonen, ook al is die via HTTPS geauthenticeerd. Veel sites laten na het inloggen het verkeer gewoon via HTTP verlopen. Verder kan The Middler HTTPS links door HTTP links vervangen, voordat het slachtoffer die ontvangt, maar worden de gebruikersgegevens wel via SSL naar de server gestuurd. Op deze manier zijn online banking sessies aan te vallen.
Slachtoffers van de tool worden daarnaast automatisch doorgestuurd naar Metasploit client-side exploits en zijn de privégegevens van het slachtoffer in een webapplicatie automatisch, snel en zonder input van de aanvaller te veranderen. Doordat de tool overal tussen zit kan men ook software installaties en updates van een backdoor voorzien. Zo is het mogelijk om Javascript aan browser sessies toe te voegen en CSRF-aanvallen uit te voeren.
De opensource tool is het werk van Jay Beale. Volgens de ontwikkelaar beseffen veel bedrijven niet dat alleen het versleutelen van het wachtwoord gebruikers kwetsbaar voor man-in-the-middle aanvallen maakt. In het geval van LinkedIn logt de gebruiker in via HTTPS, maar daarna wordt men doorgestuurd naar een HTTP pagina. De aanvaller kan via de tool de contactgegevens en de inbox van het slachtoffer benaderen of zichzelf aan zijn of haar netwerk toevoegen.
Beale demonstreert vandaag de mogelijkheden van zijn tool tijdens de SecTor beveiligingsconferentie. "Onze nieuwe tool, The Middler, automatiseert deze aanvallen waardoor het aanvallen van actieve gebruikers op je netwerk zeer eenvoudig en schaalbaar is. Het heeft een interactieve mode, maar ook een 'fire-and-forget' mode die deze aanvallen automatisch, zonder enige interactie, uitvoert."
Deze posting is gelocked. Reageren is niet meer mogelijk.