MITM-Angriffe - wie wahrscheinlich sind sie?

35

Wie wahrscheinlich sind "Man in the Middle" -Angriffe auf die Internetsicherheit?

Welche tatsächlichen Maschinen, abgesehen von ISP-Servern, werden "in der Mitte" der Internetkommunikation sein?

Welche tatsächlichen Risiken sind mit MITM-Angriffen im Gegensatz zu den theoretischen Risiken verbunden?

EDIT: Ich interessiere mich nicht für drahtlose Zugangspunkte in dieser Frage. Sie müssen natürlich gesichert werden, aber das ist offensichtlich. Drahtlose Zugangspunkte sind insofern einzigartig, als die Kommunikation für jeden hörbar ist. Normale kabelgebundene Internetkommunikation wird an ihr Ziel weitergeleitet - nur Maschinen auf der Route sehen den Verkehr.

security networking man-in-the-middle CJ7
quelle
13
Theoretische Risiken und reale Risiken sind im Allgemeinen dasselbe, wenn Sie über IT-Sicherheit sprechen
Mark Henderson
3
Farseeker x2, es ist heute theoretisch, morgen ist es real. Das ist der unterschied
Chris S
1
@Farseeker: Der Unterschied besteht darin, dass das theoretische Risiko ein Szenario beinhaltet, das in der realen Welt höchst unwahrscheinlich ist. Während es möglich ist, dass eine Maschine in der Mitte Internet-Pakete entschlüsseln kann, muss man sich fragen: Wann wird es jemals eine Maschine in der Mitte geben, die dies tun würde?
CJ7
1
@ Zephyr: Selbst eine geringe Anzahl von Hackern, die sich gezielt auf eine geringe Anzahl von Zielen konzentrieren, kann erheblichen Schaden anrichten. Ich sehe dich an, Chi ... äh ... "Fred". Es sind nicht unbedingt die Zahlen, die den Unterschied ausmachen, es ist die Motivation.
Bis auf weiteres angehalten.
1
Siehe auch Sind "Mann in der Mitte" -Angriffe extrem selten? über Informationssicherheit
Gilles 'SO - hör auf, böse zu sein'

Antworten:

43

Lassen Sie uns zunächst über das Border Gateway-Protokoll sprechen . Das Internet besteht aus Tausenden von Endpunkten, die als ASes (Autonomous Systems) bezeichnet werden, und sie leiten Daten mit einem Protokoll weiter, das als BGP (Border Gateway Protocol) bezeichnet wird. In den letzten Jahren hat die Größe der BGP-Routing-Tabelle exponentiell zugenommen und weit über 100.000 Einträge gebrochen. Selbst wenn die Leistung der Routing-Hardware zunimmt, kann sie kaum mit der ständig wachsenden Größe der BGP-Routing-Tabelle mithalten.

Der schwierige Teil unseres MITM-Szenarios besteht darin, dass BGP implizit Routen vertraut, die von anderen autonomen Systemen bereitgestellt werden. Dies bedeutet, dass jede Route bei ausreichendem Spam von einem AS zu jedem autonomen System führen kann. Dies ist der naheliegendste und nicht nur theoretische Weg zum MITM-Datenverkehr. Die Website der Defcon-Sicherheitskonvention wurde 2007 auf die Website eines Sicherheitsforschers umgeleitet, um den Angriff zu demonstrieren. Youtube war in mehreren asiatischen Ländern nicht verfügbar, als Pakistan die Website zensierte und fälschlicherweise seine eigene (tote) Route für mehrere AS außerhalb Pakistans als die beste erklärte.

Eine Handvoll akademischer Gruppen sammelt BGP-Routing-Informationen von kooperierenden ASes, um BGP-Aktualisierungen zu überwachen, die den Verkehrspfad ändern. Ohne Kontext kann es jedoch schwierig sein, eine legitime Änderung von einer böswilligen Entführung zu unterscheiden. Die Verkehrswege ändern sich ständig, um mit Naturkatastrophen, Unternehmenszusammenschlüssen usw. fertig zu werden.

Als Nächstes wird auf der Liste der globalen MITM-Angriffsvektoren Domain Name System (DNS) aufgeführt.

Obwohl sich der Fine DNS-Server BIND von ISC im Laufe der Zeit bewährt hat und relativ unversehrt herauskommt (wie auch die DNS-Angebote von Microsoft und Cisco), wurden einige bemerkenswerte Sicherheitslücken gefunden, die den gesamten Datenverkehr mit kanonisierten Namen im Internet (dh praktisch allen) gefährden könnten der Verkehr).

Ich werde mich nicht einmal mit Dan Kaminskys Forschungen über den DNS-Cache-Vergiftungsangriff befassen, da er an anderer Stelle zu Tode geprügelt wurde und von Blackhat - Las Vegas als der am meisten überhypte Bug aller Zeiten ausgezeichnet wurde. Es gibt jedoch mehrere andere DNS-Fehler, die die Internetsicherheit erheblich beeinträchtigen.

Der Dynamic Update Zone Bug hat DNS-Server zum Absturz gebracht und möglicherweise Computer und DNS-Caches aus der Ferne in Mitleidenschaft gezogen.

Der Transaction Signatures Bug ermöglichte eine vollständige Remotestamm-Kompromittierung aller Server, auf denen BIND zum Zeitpunkt der Bekanntgabe der Sicherheitsanfälligkeit ausgeführt wurde, wodurch DNS-Einträge offensichtlich kompromittiert werden konnten.

Schließlich müssen wir über ARP-Poisoning , 802.11q-Retracing , STP-Trunk-Hijacking , RIPv1-Routing-Informationen und die Vielzahl von Angriffen für OSPF-Netzwerke sprechen .

Diese Angriffe sind die "Vertrauten" eines Netzwerkadministrators für ein unabhängiges Unternehmen (zu Recht, da dies möglicherweise die einzigen sind, über die sie die Kontrolle haben). Das Besprechen der technischen Details dieser Angriffe ist zu diesem Zeitpunkt etwas langweilig, da jeder, der mit grundlegender Informationssicherheit oder TCP vertraut ist, ARP-Vergiftung gelernt hat. Die anderen Angriffe sind für viele Netzwerkadministratoren oder Liebhaber der Serversicherheit wahrscheinlich ein vertrautes Gesicht. Wenn dies Ihr Anliegen ist, gibt es eine Vielzahl sehr guter Netzwerkschutz-Dienstprogramme, von kostenlosen und Open Source-Dienstprogrammen wie Snort bis hin zu Unternehmenssoftware von Cisco und HP. Alternativ behandeln viele informative Bücher diese Themen, zu zahlreich, um sie zu diskutieren, aber einige, die ich bei der Verfolgung der Netzwerksicherheit als hilfreich empfunden habe, umfassen das Tao der Netzwerksicherheitsüberwachung , Netzwerksicherheitsarchitekturen und den klassischen Network Warrior

Auf jeden Fall finde ich es etwas beunruhigend, dass die Leute davon ausgehen, dass diese Art von Angriffen Zugriff auf ISP- oder Regierungsebene erfordern. Sie erfordern nicht mehr als das durchschnittliche CCIE-Netzwerkwissen und die entsprechenden Tools (dh HPING und Netcat, nicht genau theoretische Tools). Seien Sie wachsam, wenn Sie sicher bleiben wollen.

ŹV -
quelle
8
Sicher ist es das. Sie denken, dass Sie zu bank.example.com gehen und stattdessen zu einer anderen Site, die als Ihr beabsichtigtes Ziel Proxy-Funktionen oder Masquerading-Funktionen verwendet. Wenn Sie nicht glauben, dass dies eine MITM-Attacke ist, verstehen Sie nicht, was MITM ist.
Duffbeer703
1
Nun, was DNS angeht, könnten Sie die Pakete offensichtlich nur an die IST-IP der Site senden, die Sie erreichen möchten. Und es ist möglich, Dinge wie schnell zwischen dem Verbindungsstatus und dem aktiven Status für BGP zu wechseln, während die REAL-BGP-Routen gesendet werden. Oder, wenn, wie im Internet üblich, neben der von Ihnen vergifteten Route eine andere Route zu Ihrem Host existiert, können Sie dies als Routing-Parameter angeben. Es ist jedoch großartig, dass Sie sich für diesen Craig interessieren. Sicherheit ist ein ziemliches Feld, wenn Sie denken, Sie haben etwas in Ordnung gebracht, etwas anderes taucht auf.
ŹV -
1
Zur Beantwortung Ihrer anderen Frage zu DNS-Problemen fehlen möglicherweise die Schritte. Der Angreifer kennt das richtige Ziel und fungiert als Proxy für Sie. Sie denken, Sie sprechen mit C, wenn in Wirklichkeit der Verkehr A <-> B <-> C fließt, nicht das A <-> C, von dem Sie glauben, dass es es ist. IHRE Routing-Informationen sind kompromittiert. Der Angreifer hat die richtigen Daten oder verwendet einen DNS-Server, der nicht gefährdet ist.
Bart Silverstrim
2
@ Craig-Dir fehlt das Bild. MITM umfasst das Einfügen eines Agenten zwischen Ihrem Ziel und dessen Ziel. Ob Routing oder DNS oder was auch immer Sie wollen; Diese Angriffe sind nicht mit Filmen vergleichbar, in denen Sie auf eine mit MITM gekennzeichnete Schaltfläche tippen und den Code knacken. Es ist ein Mittel zum Zweck und Teil eines kombinierten Angriffs.
Bart Silverstrim
3
Und ich habe Ihre Frage beantwortet, ob Pakete das richtige Ziel erreichen. Das Angreifer-System kennt den richtigen Weg. Es teilt Ihrem System mit, dass es sich um die "richtige" Site handelt, leitet sie dann wie einen Proxy weiter, sendet Ihre Anfragen in Ihrem Namen und antwortet dann zurück. Das ist der ganze "in der Mitte" Teil. IHRE Maschine ist betrogen und weiß nicht, was los ist. Es ist wie ein Scherz, dass Ihr System nicht in Betrieb ist.
Bart Silverstrim
14

Hier ist ein MITM-Szenario, das mich betrifft:

Angenommen, in einem Hotel findet eine große Tagung statt. ACME Anvils und Terrific TNT sind wichtige Konkurrenten in der Trickfilmbranche. Jemand, der ein starkes Interesse an seinen Produkten hat, insbesondere an neuen Produkten in der Entwicklung, würde es ernsthaft lieben, seine Pfoten in ihre Pläne zu stecken. Wir werden ihn WC nennen, um seine Privatsphäre zu schützen.

WC checkt früh im Famous Hotel ein, um ihm etwas Zeit für die Einrichtung zu geben. Er entdeckt, dass das Hotel über WiFi-Zugangspunkte namens FamousHotel-1 bis FamousHotel-5 verfügt. Also richtet er einen Zugangspunkt ein und nennt ihn FamousHotel-6, damit er sich in die Landschaft einfügt und ihn mit einem der anderen APs verbindet.

Jetzt beginnen die Kongressteilnehmer einzuchecken. Es ist einfach so, dass einer der größten Kunden beider Unternehmen, wir nennen ihn RR, eincheckt und ein Zimmer in der Nähe der Toiletten bekommt. Er richtet seinen Laptop ein und beginnt, E-Mails mit seinen Lieferanten auszutauschen.

WC gackert wahnsinnig! "Mein hinterhältiger Plan geht auf!", Ruft er aus. BOOM! ABSTURZ! Gleichzeitig wird er von einem Amboss und einem Bündel TNT getroffen. Es scheint, dass die Sicherheitsteams von ACME Anvils, Terrific TNT, RR und Famous Hotel zusammengearbeitet haben, um genau diesen Angriff zu erwarten.

Piep Piep!

Bearbeiten:

Wie aktuell * : Reisetipp: Hüten Sie sich vor "Honeypots" über WLAN am Flughafen

* Nun, es war an der Zeit, dass es gerade in meinem RSS-Feed auftauchte.

Bis auf weiteres angehalten.
quelle
OK, aber ist Wireless nicht ein ganz anderes Ballspiel? Vielleicht hätte ich meine Frage auf Kabelverbindungen beschränken sollen.
CJ7
1
@Craig: Der Punkt ist der gleiche. Es ist sehr wahrscheinlich, dass jemand in Ihrem lokalen Netzwerk drahtlos oder verkabelt zuhört. Ein MitM im Internet zu finden, wird im Grunde nicht passieren.
Chris S
5
+1 für ACME Anvils und Terrific TNT
Fahad Sadah
@ Chris: Wie wird jemand in meinem lokalen Netzwerk sein, wenn es keinen drahtlosen Zugangspunkt gibt? Malware auf einem der Rechner? Wenn ja, wie werden die Daten aus dem Netzwerk an den Hacker gesendet?
CJ7,
2
@Craig: Sie haben absolut Recht, MITM-Angriffe gibt es nicht. Mach dir keine Sorgen, wir sind nur ein Haufen paranoider Nerds, die sich vor der NSA verstecken.
Duffbeer703
5

Es ist völlig abhängig von der Situation. Wie sehr vertrauen Sie Ihrem ISP? Wie viel wissen Sie über die Konfiguration Ihres Internetdienstanbieters? Und wie sicher ist Ihr eigenes Setup?

Die meisten derartigen "Angriffe" werden wahrscheinlich von Trojaner-Malware ausgeführt, die Tastatureingaben und Kennwörter aus Dateien abfängt. Passiert die ganze Zeit, nur dass es nicht so oft bemerkt oder gemeldet wird.

Und wie oft werden Informationen innerhalb der ISP-Ebene durchgesickert? Als ich für einen kleinen ISP arbeitete, verkauften wir eine weitere höhere Zugriffsebene. Eine Person, die sich bei uns eingewählt hat, kam in unser Netzwerk. Wenn Sie nicht mit unserem Webserver oder Mailserver gesprochen haben, wurde der Datenverkehr an einen übergeordneten Anbieter weitergeleitet, und wir haben keine Ahnung, wer was mit Ihren Daten in seinem Netzwerk getan hat. oder wie vertrauenswürdig ihre Admins waren.

Wenn Sie wissen möchten, an wie vielen Stellen möglicherweise Ihr Datenverkehr eine Traceroute durchführt, wird an jedem Routing-Punkt so viel angezeigt, wie angezeigt wird. Dies setzt voraus, dass sich getarnte Geräte nicht zwischen einigen befinden. Und dass diese Geräte eigentlich jeweils Router sind und sich nicht als Router tarnen.

Die Sache ist, dass Sie nicht wissen können, wie häufig die Angriffe sind. Es gibt keine Vorschriften, die besagen, dass Unternehmen entdeckte Angriffe offenlegen müssen, sofern Ihre Kreditinformationen nicht kompromittiert werden. Die meisten Unternehmen nicht, weil es peinlich ist (oder zu viel Arbeit). Die Menge an Malware ist wahrscheinlich weitaus häufiger als man denkt, und selbst dann ist es der Schlüssel , den Angriff entdeckt zu haben . Wenn die Malware ordnungsgemäß funktioniert, wissen die meisten Benutzer nicht, wann dies geschieht. Und das tatsächliche Szenario, bei dem sich eine Person über den Datenverkehr eines Anbieters lustig macht, wird von Unternehmen nur gemeldet, wenn dies erforderlich ist.

Selbstverständlich ignorieren diese die Szenarien, in denen Unternehmen gezwungen sind, Aufzeichnungen über Ihren Datenverkehr zu führen und diese an Regierungsbehörden weiterzugeben, ohne es Ihnen mitzuteilen. Wenn Sie in den USA sind, können Bibliotheken und ISPs dank des Patriot Act gezwungen werden, Ihre Datenreisen und E-Mails sowie Ihren Browserverlauf aufzuzeichnen, ohne Ihnen mitzuteilen, dass sie Informationen über Sie sammeln.

Mit anderen Worten, es gibt keine genauen Daten darüber, wie häufig MITM- und Interception-Angriffe auf Benutzer angewendet werden, aber es gibt Hinweise, die darauf hindeuten, dass diese höher sind als komfortabel, und die meisten Benutzer kümmern sich nicht genug darum, diese Informationen zu erhalten.

Bart Silverstrim
quelle
3

Die eigentliche Frage lautet: "Wie viel von meinen begrenzten Ressourcen sollte ich MITM-Angriffen widmen, anstatt woanders?"

Dies hängt stark von der Art der Kommunikation ab und hat keine einheitliche Antwort. Nach meiner Erfahrung ist es kein großes Risiko im Vergleich zu anderen Sicherheitsrisiken, aber es ist in der Regel ein billiges Risiko, das zu minimieren ist (z. B. ein SSL-Zertifikat und die Verwendung von HTTPS reichen häufig aus), sodass es billiger ist, es zu beheben, als die Zeit damit zu verbringen, zu bewerten, wie viel davon ein Risiko könnte es sein.

DrStalker
quelle
https oder ssl schützt Sie nicht vor MITM. Ich fungiere einfach als Benutzeragent für das beabsichtigte Ziel, erhalte das Zertifikat und entschlüssle es.
YoYo
2

Haben Sie zu Hause einen drahtlosen Zugangspunkt? Ein Proxy-Server bei der Arbeit?

Jeder dieser Ingress- / Egress-Punkte kann kompromittiert werden, ohne dass eine weitreichende Verschwörung zwischen Regierung und ISP vorliegt. Es ist auch möglich, dass Komponenten einer ISP-Infrastruktur kompromittiert werden.

Verwenden Sie einen Webbrowser? Es ist ziemlich trivial, einen Browser so zu konfigurieren, dass der Verkehr zu einem Mann in der Mitte geleitet wird. Es gab Browser-Malware, die bestimmte Bank- und Maklertransaktionen mithilfe dieser Methode umleitete, insbesondere für kleine Unternehmen mit Wire-Privilegien.

Bei Sicherheit geht es um Risikomanagement ... Es gibt zwei grundlegende Attribute für den Umgang mit Risiken: Eintrittswahrscheinlichkeit und Auswirkung. Die tatsächliche Wahrscheinlichkeit, dass Sie in einen schweren Autounfall geraten, ist sehr gering, aber die Auswirkungen auf Ihre persönliche Sicherheit sind hoch. Sie schnallen sich an und setzen Ihr Kind in einen Autositz.

Wenn die Leute faul und / oder billig sind, ist oft eine Katastrophe die Folge. Im Golf von Mexiko ignorierte BP alle möglichen Risikofaktoren, da sie glaubten, das Risiko auf Auftragnehmer übertragen zu haben, und vermutete, dass sie ohne Zwischenfall genug Bohrlöcher gebohrt hatten, sodass die Wahrscheinlichkeit eines Zwischenfalls sehr gering war.

duffbeer703
quelle
1
Ich wünschte, ich könnte das verbessern> 1. Ich habe kein Problem damit, dass Leute solche berechneten Risiken mit ihren eigenen Daten eingehen , aber Dinge wie MITM ignorieren, wenn die Daten anderer auf dem Spiel stehen - seien es Kunden, Patienten oder was auch immer - ist bedauerlich (und viel zu häufig). Es ist nicht zu erwarten, dass Sie jeden Angriffsvektor oder jedes Angriffsszenario antizipieren, aber ein mehrschichtiger, gründlicher Ansatz zur Schadensbegrenzung und zum Risikomanagement ist unerlässlich.
NEDM
0

MitM-Angriffe treten fast ausschließlich im lokalen Netzwerk auf. Wenn Sie eine Verbindung über das Internet herstellen möchten, benötigen Sie entweder Zugriff auf ISP- oder auf Regierungsebene - und es kommt sehr selten vor, dass jemand mit dieser Ressourcenebene Ihre Daten sucht.

Sobald jemand in Ihr Netzwerk gelangt ist, haben Sie ernsthafte Probleme, aber sonst geht es Ihnen wahrscheinlich gut.

Dentrasi
quelle
Nicht wahr. Schau dir Zyphers Beitrag an.
Duffbeer703
@ Duffbeer: Siehe meine Kommentare zu Zephyrs Post
CJ7
MITM ist alles, was zwischen Quelle und Ziel eingefügt wird. Dies kann ein lokales Netzwerk oder ein Internetdienstanbieter sein, der sich irgendwo dazwischen befindet. Woher wissen Sie, dass jemand an Ihrem Zielort oder beim Transport Ihre Informationen nicht haben möchte? Es gibt Polizisten, die ihre Informationen missbraucht haben, um Menschen zu verfolgen. Verbreitet? Aber wissen Sie wirklich, wer seine Macht missbraucht hat oder nicht und nie entdeckt wurde?
Bart Silverstrim
0

@Craig: In deinem Edit hast du einige Fehlinformationen. Drahtlose Netzwerke basieren nicht auf Broadcasts. Die Daten, die in einer drahtlosen Kommunikationssitzung (zwischen drahtlosem Client und drahtlosem Zugriffspunkt) übertragen werden, werden nicht für jedermann "rundgesendet". Der drahtlose Client ist mit dem AP verbunden und die Kommunikation findet zwischen dem Client und dem AP statt. Wenn Sie damit gemeint haben, dass die Daten gesendet werden, weil sie in ein Funksignal eingekapselt sind, das "gesendet" wird, können Sie sie mit sehr speziellen drahtlosen Geräten (RMON-fähigen drahtlosen Adaptern) und Softwaretools abhören. Drahtlose Clients, die nicht mit demselben AP verbunden sind, haben keinen Mechanismus zum Abfangen oder "Hören" des drahtlosen Verkehrs, außer mit den oben genannten Geräten. Die drahtlose Kommunikation in TCP / IP-Netzwerken funktioniert im Wesentlichen genauso wie in kabelgebundenen Netzwerken, mit Ausnahme der Übertragungsmedien: Funkwellen im Gegensatz zu physischen Kabeln. Wenn WiFi-Verkehr für alle zum Abhören ausgestrahlt worden wäre, hätte er niemals das Zeichenbrett verlassen.

Abgesehen davon denke ich, dass drahtlose Netzwerke ein größeres Risiko für MITM-Angriffe darstellen, da kein physischer Zugriff erforderlich ist, um auf das drahtlose Netzwerk zuzugreifen und ein unerwünschtes System zu "injizieren", um den Datenverkehr abzufangen.

Joeqwerty
quelle
Sie sagten, dass drahtlose Funksignale ausgestrahlt werden und von Geräten abgefangen werden können. Wie widerspricht meine Frage dem?
CJ7
Sie sagten, dass der drahtlose Datenverkehr für alle hörbar ist, was technisch nicht korrekt ist. Das Funksignal wird in dem Sinne gesendet, dass es auf Funkwellen basiert, aber die Kommunikation erfolgt Punkt-zu-Punkt zwischen dem drahtlosen Client und dem drahtlosen AP. Der drahtlose Client sendet seinen Datenverkehr nicht für alle hörbar. Die Aussage, dass der Datenverkehr für alle hörbar ist, kann den Eindruck erwecken, dass drahtlose Netzwerke auf eine Weise funktionieren, wie dies nicht der Fall ist.
Joeqwerty
Das Broadcast-Problem in Bezug auf moderne 802.11-Funknetze ist insofern problematisch, als die Transportschicht in den meisten Fällen durch irgendeine Form von WPA-Verschlüsselung geschützt ist. Ihr kabelgebundener Datenverkehr wird durch seinen physischen Standort und das Schloss Ihres Kabelschranks geschützt. In den meisten Umgebungen, in denen ich gearbeitet habe, werden die Client-Netzwerke, in denen Switches und Verkabelungsinfrastrukturen leicht verfügbar sind, als nicht vertrauenswürdige Netzwerke behandelt.
Duffbeer703