Was sind die Angriffsmethoden für Passwörter, die über http gesendet werden?

10

Ich versuche, einen Kunden davon zu überzeugen, für SSL für eine Website zu bezahlen, für die eine Anmeldung erforderlich ist. Ich möchte sicherstellen, dass ich die wichtigsten Szenarien, in denen jemand die gesendeten Passwörter sehen kann, richtig verstehe.

Mein Verständnis ist, dass bei jedem der Sprünge auf dem Weg ein Paketanalysator verwendet werden kann, um anzuzeigen, was gesendet wird. Dies scheint zu erfordern, dass sich jeder Hacker (oder seine Malware / sein Botnetz) im selben Subnetz befindet wie jeder Hop, den das Paket benötigt, um an seinem Ziel anzukommen. Ist das richtig?

Muss ich mich um alle Hopfen oder nur um die erste kümmern, vorausgesetzt, dass ein Teil dieser Subnetzanforderung zutrifft? Die erste, über die ich mir offensichtlich Sorgen machen kann, wenn sie sich in einem öffentlichen Wifi-Netzwerk befinden, da jeder mithören könnte. Sollte ich mir Sorgen machen, was in Subnetzen vor sich geht, über die Pakete außerhalb dieses Netzwerks übertragen werden ? Ich weiß nicht viel über den Netzwerkverkehr, aber ich würde annehmen, dass er durch Rechenzentren großer Netzbetreiber fließt und es dort nicht viele saftige Angriffsmethoden gibt, aber bitte korrigieren Sie mich, wenn ich falsch liege.

Gibt es andere Vektoren, um die man sich Sorgen machen muss, wenn jemand mit einem Paketanalysator zuhört?

Ich bin ein Netzwerk- und Sicherheits-Neuling. Wenn Sie in einem dieser Fälle die falsche Terminologie verwenden, können Sie mich gerne korrigieren.

security  ssl  https  hacking  packet-sniffer 
KevinM
quelle
Wenn die Website Bank- oder Finanzdaten sowie persönliche Informationen enthält, ist SSL eine Voraussetzung für den Anmeldeschritt. Wenn es leicht gehackt werden kann, wird es sein.
Mitch Wheat
2
Ich sehe keinen Grund, dies zu schließen. Es hängt mit der Programmierung zusammen.
Jeder, der diese Site von einem gemeinsam genutzten Zugangspunkt aus besucht, erhält seine Creds, auch wenn der AP die Verschlüsselung selbst verwendet (da jeder dort auch den Schlüssel hat). Wenn Leute ihre Creds auf anderen Websites wiederverwenden, ist das ein Problem.
Aaron

Antworten:

3

Beachten Sie, dass andere Browser Ihre Formulardaten zwischenspeichern. Das Standardverhalten auf SSL-Sites besteht normalerweise darin, nichts zwischenzuspeichern, es sei denn, Sie haben "Mein Passwort speichern" ausgewählt. Normalerweise werden Kennwortfelder sowieso nicht zwischengespeichert, aber ich habe einige Kuriositäten gesehen (normalerweise Kreditkarteninformationen, von denen ich weiß, dass sie nicht wirklich das Thema der Frage sind).

Die andere zu beachtende Sache ist, dass die SSL-Verschlüsselung beim TCP-Handshake beginnt. Unter SSL können Sie HTTP über SSL nicht von FTP über SSL unterscheiden (abgesehen von Annahmen, die über die Portnummer getroffen wurden).

Sie können eine Anmeldeanforderung auch nicht von einer Anforderung "Ich durchsuche nur" unterscheiden. Dies verschleiert den Seitenfluss von potenziellen Hackern und stellt außerdem sicher, dass nicht nur Ihre Kennwortdaten sicher sind, sondern auch Ihr Browserverlauf / Cookie-Daten / und alle anderen persönliche Informationen, die mit Ihrem Konto einhergehen.

Alles in allem, wenn Sie Man-in-the-Middle- Angriffe aus dem Spektrum eliminieren, das Sie bei vielen potenziellen Angriffen reduziert haben, heißt das nicht, dass Ihre Website "sicher" ist. Die Zoning-Richtlinie soll Sie auch vor XSS-Angriffen schützen, da Sie einen Zonenwechsel vornehmen, wenn Ihr Benutzer von Ihrer Site weggeleitet wird.

Aren B.
quelle
"Annahmen über Portnummer"? Wäre der Port für SSL normalerweise nicht 443 (entweder HTTP oder FTP)?
Brickner
4

Die Daten sind überall auf der Route anfällig, nicht nur in der ersten oder letzten Phase. Es ist durchaus denkbar, dass ein an der Übertragung beteiligtes System Benutzernamen, Passwörter und andere sensible Daten sucht. Daraus folgt, dass vertrauliche Daten nur über eine Verbindung übertragen werden sollten, die vollständig gesichert ist, und genau dafür ist SSL gedacht. Abhängig davon, um welche Daten es sich handelt, gibt es möglicherweise lokale Gesetze, die SSL vorschreiben.

John Gardeniers
quelle
Kann es durch Subnetze gehen, auf die Verbraucher Zugriff haben, oder geht es nur durch das Rückgrat der großen Carrier. In diesem Fall müssten wir davon ausgehen, dass der Hacker geknackt hat, sagen wir, das Level 3 (nur zum Beispiel) Ops Center?
KevinM
Normalerweise würde ich nicht erwarten, dass es über Verbrauchernetzwerke übertragen wird, aber bedenken Sie, dass jedes System kompromittiert werden kann. Wir sollten zwar erwarten können, dass ISP- und Carrier-Systeme sicherer sind, aber wir wissen auch, dass viele in der Vergangenheit kompromittiert wurden. Kein System oder Netzwerk ist immun gegen Hacking, daher sind Dinge wie SSL erforderlich. Es könnte sogar ein ISP-Mitarbeiter sein, der die über das Netzwerk übertragenen Informationen sammelt. Ein einfacher passiver Hahn ist alles, was benötigt wird.
John Gardeniers
1
Es kann auch Ihre Lieblingsregierungsbehörde sein, die die Wasserhähne mit Hilfe Ihres ISP installiert ... Wenn Sie der Meinung sind, dass ein Angriff bei Ihnen liegt oder nicht.
Pehrs
2

Es gibt Proxyserver, auf denen möglicherweise Daten gespeichert werden.

Es besteht jedoch auch die Verpflichtung, die Passwörter der Benutzer zu schützen. Viele Benutzer verwenden nur eine begrenzte Anzahl von Kennwörtern, sodass eine unsichere Site beispielsweise das Kennwort ihrer Homebank gefährden kann.

Peter Tillemans
quelle
1
Ja, Ihr zweiter Punkt ist wichtig. Ich denke, es ist angemessen, dass Websites nicht so tun, als wären sie das Zentrum der Benutzerwelt.
1

Ihre Analyse ist vernünftig, IMHO.

Ich nehme an, Sie müssen beachten, dass sich möglicherweise Caches auf Ihrem Weg befinden. Es kann also sein, dass die Anfrage irgendwo protokolliert wird (insbesondere wenn die Anmeldung über GET erfolgt, was schrecklich wäre).

Wahrscheinlich ist zu berücksichtigen, dass der größte Teil des Netzwerkzugriffs in einem Bereich stattfindet, in dem sich viele andere Personen im selben Netzwerk befinden. Arbeit / Uni / Schule sind die Hauptbeispiele. Zu Hause könnte man argumentieren, dass es weniger riskant ist, weil es nur Wege nach oben sind, über die man sich Sorgen machen muss.

Aber hier gibt es wirklich keine Frage. Sie verwenden SSL, wenn Sie sich anmelden. Das wahrscheinlich überzeugendste Argument für den Typen ist, dass Ihre Website dadurch vertrauenswürdiger erscheint, da sich die breite Öffentlichkeit im Idealfall niemals bei einer Website anmelden würde, die keinen SSL-basierten Anmeldebildschirm hat .

Aber lassen Sie uns realistisch sein. Mit ziemlicher Sicherheit ist dieser Angriffsvektor nicht die Art und Weise, wie sein System oder seine Benutzer kompromittiert werden.

HTH.

1

Ich kann KevinMs Überlegungen zur Beantwortung seiner eigenen Fragen zustimmen, und John Gardeniers zeigt in die richtige Richtung. Ich muss auch dem zustimmen, was seidig gesagt hat: "Idealerweise würde sich die breite Öffentlichkeit niemals bei einer Site anmelden, die keinen SSL-basierten Anmeldebildschirm hat." Und darauf hinweisen, dass dies jedoch nicht der aktuelle Fall ist überhaupt.

Ich bin nicht einverstanden mit Seidens Ton (wahrscheinlich unbeabsichtigt), der zu der allgegenwärtigen Wahrnehmung führt, dass "die breite Öffentlichkeit" dumm ist. Der Kunde von KevinM hat eindeutig keine Vorstellung davon, dass SSL erforderlich ist, und das ist Ihre durchschnittliche Person auf den Punkt gebracht. Sie sind nicht dumm, sie wissen es einfach nicht. Zu sagen, "du brauchst das", wird die Antwort "Ich habe x Jahre ohne es gelebt, und ich werde x besser leben" oder vielleicht sogar eine schlechtere Antwort "Ich hasse es, wenn mir gesagt wird, was ich brauche . " Also sei vorsichtig!

Ihre Sorge ist berechtigt, Kevin. Ihr Kunde benötigt ein SSL-Zertifikat. Ich denke, Ihre eigentliche Sorge sollte sein, wie Sie ihnen eine verkaufen können. Es sind nicht nur die Benutzeranmeldungen, um die man sich Sorgen machen muss, sondern auch die Administrator- und Bedieneranmeldungen, die ebenfalls von einem SSL-Schutz profitieren würden.

Ja, es gibt andere Dinge, die in dieser Hinsicht zu befürchten sind, noch mehr als das Paket-Sniffing, wie z. B. XSS . Sie sind zahlreich und gut dokumentiert .

Daniel
quelle
Danke Daniel. Ich denke, es ist wichtig, nicht nur willkürliche Regeln zu haben, sondern zu verstehen, woraus die Prinzipien entstehen, die wir haben. Also wollte ich sicherstellen, dass ich dieses Recht artikulieren kann. Zum Glück konnte ich den Kunden davon überzeugen, SSL zu erhalten!
KevinM
0

auf der gesamten Route, gefolgt von einem Paket, wenn es über HTTP abgehört werden kann und Daten angezeigt werden können ... selbst wenn Sie HTTP in Proxy wie TOR verwenden ... mit Harvesting-Attack usw. Man kann den Proxy dazu bringen, die Datenpakete zu verlieren. Wenn also etwas in der Nähe von sensiblen Daten (Passwörter, persönliche Daten, private Bilder usw.) vorhanden ist, ist es nur geeignet, diese über HTTPS zu übertragen.

Auch das ist selbst HTTPS bei falscher Implementierung anfällig und es gibt mehrere SSL-Angriffe, die darauf angewendet werden können. Dennoch können diese durch sorgfältige Implementierung vermieden werden.

Die Verwendung von HTTP für Klartext ist jedoch so, als würde man selbst Neulinge einladen, die Passwörter wegzuschnüffeln.

AbhishekKr
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.