MITM-Angriffe - wie wahrscheinlich sind sie?

Wie wahrscheinlich sind "Man in the Middle" -Angriffe auf die Internetsicherheit?

Welche tatsächlichen Maschinen, abgesehen von ISP-Servern, werden "in der Mitte" der Internetkommunikation sein?

Welche tatsächlichen Risiken sind mit MITM-Angriffen im Gegensatz zu den theoretischen Risiken verbunden?

EDIT: Ich interessiere mich nicht für drahtlose Zugangspunkte in dieser Frage. Sie müssen natürlich gesichert werden, aber das ist offensichtlich. Drahtlose Zugangspunkte sind insofern einzigartig, als die Kommunikation für jeden hörbar ist. Normale kabelgebundene Internetkommunikation wird an ihr Ziel weitergeleitet - nur Maschinen auf der Route sehen den Verkehr.

Lassen Sie uns zunächst über das Border Gateway-Protokoll sprechen . Das Internet besteht aus Tausenden von Endpunkten, die als ASes (Autonomous Systems) bezeichnet werden, und sie leiten Daten mit einem Protokoll weiter, das als BGP (Border Gateway Protocol) bezeichnet wird. In den letzten Jahren hat die Größe der BGP-Routing-Tabelle exponentiell zugenommen und weit über 100.000 Einträge gebrochen. Selbst wenn die Leistung der Routing-Hardware zunimmt, kann sie kaum mit der ständig wachsenden Größe der BGP-Routing-Tabelle mithalten.

Der schwierige Teil unseres MITM-Szenarios besteht darin, dass BGP implizit Routen vertraut, die von anderen autonomen Systemen bereitgestellt werden. Dies bedeutet, dass jede Route bei ausreichendem Spam von einem AS zu jedem autonomen System führen kann. Dies ist der naheliegendste und nicht nur theoretische Weg zum MITM-Datenverkehr. Die Website der Defcon-Sicherheitskonvention wurde 2007 auf die Website eines Sicherheitsforschers umgeleitet, um den Angriff zu demonstrieren. Youtube war in mehreren asiatischen Ländern nicht verfügbar, als Pakistan die Website zensierte und fälschlicherweise seine eigene (tote) Route für mehrere AS außerhalb Pakistans als die beste erklärte.

Eine Handvoll akademischer Gruppen sammelt BGP-Routing-Informationen von kooperierenden ASes, um BGP-Aktualisierungen zu überwachen, die den Verkehrspfad ändern. Ohne Kontext kann es jedoch schwierig sein, eine legitime Änderung von einer böswilligen Entführung zu unterscheiden. Die Verkehrswege ändern sich ständig, um mit Naturkatastrophen, Unternehmenszusammenschlüssen usw. fertig zu werden.

Als Nächstes wird auf der Liste der globalen MITM-Angriffsvektoren Domain Name System (DNS) aufgeführt.

Obwohl sich der Fine DNS-Server BIND von ISC im Laufe der Zeit bewährt hat und relativ unversehrt herauskommt (wie auch die DNS-Angebote von Microsoft und Cisco), wurden einige bemerkenswerte Sicherheitslücken gefunden, die den gesamten Datenverkehr mit kanonisierten Namen im Internet (dh praktisch allen) gefährden könnten der Verkehr).

Ich werde mich nicht einmal mit Dan Kaminskys Forschungen über den DNS-Cache-Vergiftungsangriff befassen, da er an anderer Stelle zu Tode geprügelt wurde und von Blackhat - Las Vegas als der am meisten überhypte Bug aller Zeiten ausgezeichnet wurde. Es gibt jedoch mehrere andere DNS-Fehler, die die Internetsicherheit erheblich beeinträchtigen.

Der Dynamic Update Zone Bug hat DNS-Server zum Absturz gebracht und möglicherweise Computer und DNS-Caches aus der Ferne in Mitleidenschaft gezogen.

Der Transaction Signatures Bug ermöglichte eine vollständige Remotestamm-Kompromittierung aller Server, auf denen BIND zum Zeitpunkt der Bekanntgabe der Sicherheitsanfälligkeit ausgeführt wurde, wodurch DNS-Einträge offensichtlich kompromittiert werden konnten.

Schließlich müssen wir über ARP-Poisoning , 802.11q-Retracing , STP-Trunk-Hijacking , RIPv1-Routing-Informationen und die Vielzahl von Angriffen für OSPF-Netzwerke sprechen .

Diese Angriffe sind die "Vertrauten" eines Netzwerkadministrators für ein unabhängiges Unternehmen (zu Recht, da dies möglicherweise die einzigen sind, über die sie die Kontrolle haben). Das Besprechen der technischen Details dieser Angriffe ist zu diesem Zeitpunkt etwas langweilig, da jeder, der mit grundlegender Informationssicherheit oder TCP vertraut ist, ARP-Vergiftung gelernt hat. Die anderen Angriffe sind für viele Netzwerkadministratoren oder Liebhaber der Serversicherheit wahrscheinlich ein vertrautes Gesicht. Wenn dies Ihr Anliegen ist, gibt es eine Vielzahl sehr guter Netzwerkschutz-Dienstprogramme, von kostenlosen und Open Source-Dienstprogrammen wie Snort bis hin zu Unternehmenssoftware von Cisco und HP. Alternativ behandeln viele informative Bücher diese Themen, zu zahlreich, um sie zu diskutieren, aber einige, die ich bei der Verfolgung der Netzwerksicherheit als hilfreich empfunden habe, umfassen das Tao der Netzwerksicherheitsüberwachung , Netzwerksicherheitsarchitekturen und den klassischen Network Warrior

Auf jeden Fall finde ich es etwas beunruhigend, dass die Leute davon ausgehen, dass diese Art von Angriffen Zugriff auf ISP- oder Regierungsebene erfordern. Sie erfordern nicht mehr als das durchschnittliche CCIE-Netzwerkwissen und die entsprechenden Tools (dh HPING und Netcat, nicht genau theoretische Tools). Seien Sie wachsam, wenn Sie sicher bleiben wollen.

Hier ist ein MITM-Szenario, das mich betrifft:

Angenommen, in einem Hotel findet eine große Tagung statt. ACME Anvils und Terrific TNT sind wichtige Konkurrenten in der Trickfilmbranche. Jemand, der ein starkes Interesse an seinen Produkten hat, insbesondere an neuen Produkten in der Entwicklung, würde es ernsthaft lieben, seine Pfoten in ihre Pläne zu stecken. Wir werden ihn WC nennen, um seine Privatsphäre zu schützen.

WC checkt früh im Famous Hotel ein, um ihm etwas Zeit für die Einrichtung zu geben. Er entdeckt, dass das Hotel über WiFi-Zugangspunkte namens FamousHotel-1 bis FamousHotel-5 verfügt. Also richtet er einen Zugangspunkt ein und nennt ihn FamousHotel-6, damit er sich in die Landschaft einfügt und ihn mit einem der anderen APs verbindet.

Jetzt beginnen die Kongressteilnehmer einzuchecken. Es ist einfach so, dass einer der größten Kunden beider Unternehmen, wir nennen ihn RR, eincheckt und ein Zimmer in der Nähe der Toiletten bekommt. Er richtet seinen Laptop ein und beginnt, E-Mails mit seinen Lieferanten auszutauschen.

WC gackert wahnsinnig! "Mein hinterhältiger Plan geht auf!", Ruft er aus. BOOM! ABSTURZ! Gleichzeitig wird er von einem Amboss und einem Bündel TNT getroffen. Es scheint, dass die Sicherheitsteams von ACME Anvils, Terrific TNT, RR und Famous Hotel zusammengearbeitet haben, um genau diesen Angriff zu erwarten.

Piep Piep!

Bearbeiten:

Wie aktuell ^* : Reisetipp: Hüten Sie sich vor "Honeypots" über WLAN am Flughafen

^{* Nun, es war an der Zeit, dass es gerade in meinem RSS-Feed auftauchte.}

Es ist völlig abhängig von der Situation. Wie sehr vertrauen Sie Ihrem ISP? Wie viel wissen Sie über die Konfiguration Ihres Internetdienstanbieters? Und wie sicher ist Ihr eigenes Setup?

Die meisten derartigen "Angriffe" werden wahrscheinlich von Trojaner-Malware ausgeführt, die Tastatureingaben und Kennwörter aus Dateien abfängt. Passiert die ganze Zeit, nur dass es nicht so oft bemerkt oder gemeldet wird.

Und wie oft werden Informationen innerhalb der ISP-Ebene durchgesickert? Als ich für einen kleinen ISP arbeitete, verkauften wir eine weitere höhere Zugriffsebene. Eine Person, die sich bei uns eingewählt hat, kam in unser Netzwerk. Wenn Sie nicht mit unserem Webserver oder Mailserver gesprochen haben, wurde der Datenverkehr an einen übergeordneten Anbieter weitergeleitet, und wir haben keine Ahnung, wer was mit Ihren Daten in seinem Netzwerk getan hat. oder wie vertrauenswürdig ihre Admins waren.

Wenn Sie wissen möchten, an wie vielen Stellen möglicherweise Ihr Datenverkehr eine Traceroute durchführt, wird an jedem Routing-Punkt so viel angezeigt, wie angezeigt wird. Dies setzt voraus, dass sich getarnte Geräte nicht zwischen einigen befinden. Und dass diese Geräte eigentlich jeweils Router sind und sich nicht als Router tarnen.

Die Sache ist, dass Sie nicht wissen können, wie häufig die Angriffe sind. Es gibt keine Vorschriften, die besagen, dass Unternehmen entdeckte Angriffe offenlegen müssen, sofern Ihre Kreditinformationen nicht kompromittiert werden. Die meisten Unternehmen nicht, weil es peinlich ist (oder zu viel Arbeit). Die Menge an Malware ist wahrscheinlich weitaus häufiger als man denkt, und selbst dann ist es der Schlüssel , den Angriff entdeckt zu haben . Wenn die Malware ordnungsgemäß funktioniert, wissen die meisten Benutzer nicht, wann dies geschieht. Und das tatsächliche Szenario, bei dem sich eine Person über den Datenverkehr eines Anbieters lustig macht, wird von Unternehmen nur gemeldet, wenn dies erforderlich ist.

Selbstverständlich ignorieren diese die Szenarien, in denen Unternehmen gezwungen sind, Aufzeichnungen über Ihren Datenverkehr zu führen und diese an Regierungsbehörden weiterzugeben, ohne es Ihnen mitzuteilen. Wenn Sie in den USA sind, können Bibliotheken und ISPs dank des Patriot Act gezwungen werden, Ihre Datenreisen und E-Mails sowie Ihren Browserverlauf aufzuzeichnen, ohne Ihnen mitzuteilen, dass sie Informationen über Sie sammeln.

Mit anderen Worten, es gibt keine genauen Daten darüber, wie häufig MITM- und Interception-Angriffe auf Benutzer angewendet werden, aber es gibt Hinweise, die darauf hindeuten, dass diese höher sind als komfortabel, und die meisten Benutzer kümmern sich nicht genug darum, diese Informationen zu erhalten.

Die eigentliche Frage lautet: "Wie viel von meinen begrenzten Ressourcen sollte ich MITM-Angriffen widmen, anstatt woanders?"

Dies hängt stark von der Art der Kommunikation ab und hat keine einheitliche Antwort. Nach meiner Erfahrung ist es kein großes Risiko im Vergleich zu anderen Sicherheitsrisiken, aber es ist in der Regel ein billiges Risiko, das zu minimieren ist (z. B. ein SSL-Zertifikat und die Verwendung von HTTPS reichen häufig aus), sodass es billiger ist, es zu beheben, als die Zeit damit zu verbringen, zu bewerten, wie viel davon ein Risiko könnte es sein.

Haben Sie zu Hause einen drahtlosen Zugangspunkt? Ein Proxy-Server bei der Arbeit?

Jeder dieser Ingress- / Egress-Punkte kann kompromittiert werden, ohne dass eine weitreichende Verschwörung zwischen Regierung und ISP vorliegt. Es ist auch möglich, dass Komponenten einer ISP-Infrastruktur kompromittiert werden.

Verwenden Sie einen Webbrowser? Es ist ziemlich trivial, einen Browser so zu konfigurieren, dass der Verkehr zu einem Mann in der Mitte geleitet wird. Es gab Browser-Malware, die bestimmte Bank- und Maklertransaktionen mithilfe dieser Methode umleitete, insbesondere für kleine Unternehmen mit Wire-Privilegien.

Bei Sicherheit geht es um Risikomanagement ... Es gibt zwei grundlegende Attribute für den Umgang mit Risiken: Eintrittswahrscheinlichkeit und Auswirkung. Die tatsächliche Wahrscheinlichkeit, dass Sie in einen schweren Autounfall geraten, ist sehr gering, aber die Auswirkungen auf Ihre persönliche Sicherheit sind hoch. Sie schnallen sich an und setzen Ihr Kind in einen Autositz.

Wenn die Leute faul und / oder billig sind, ist oft eine Katastrophe die Folge. Im Golf von Mexiko ignorierte BP alle möglichen Risikofaktoren, da sie glaubten, das Risiko auf Auftragnehmer übertragen zu haben, und vermutete, dass sie ohne Zwischenfall genug Bohrlöcher gebohrt hatten, sodass die Wahrscheinlichkeit eines Zwischenfalls sehr gering war.

MitM-Angriffe treten fast ausschließlich im lokalen Netzwerk auf. Wenn Sie eine Verbindung über das Internet herstellen möchten, benötigen Sie entweder Zugriff auf ISP- oder auf Regierungsebene - und es kommt sehr selten vor, dass jemand mit dieser Ressourcenebene Ihre Daten sucht.

Sobald jemand in Ihr Netzwerk gelangt ist, haben Sie ernsthafte Probleme, aber sonst geht es Ihnen wahrscheinlich gut.

@Craig: In deinem Edit hast du einige Fehlinformationen. Drahtlose Netzwerke basieren nicht auf Broadcasts. Die Daten, die in einer drahtlosen Kommunikationssitzung (zwischen drahtlosem Client und drahtlosem Zugriffspunkt) übertragen werden, werden nicht für jedermann "rundgesendet". Der drahtlose Client ist mit dem AP verbunden und die Kommunikation findet zwischen dem Client und dem AP statt. Wenn Sie damit gemeint haben, dass die Daten gesendet werden, weil sie in ein Funksignal eingekapselt sind, das "gesendet" wird, können Sie sie mit sehr speziellen drahtlosen Geräten (RMON-fähigen drahtlosen Adaptern) und Softwaretools abhören. Drahtlose Clients, die nicht mit demselben AP verbunden sind, haben keinen Mechanismus zum Abfangen oder "Hören" des drahtlosen Verkehrs, außer mit den oben genannten Geräten. Die drahtlose Kommunikation in TCP / IP-Netzwerken funktioniert im Wesentlichen genauso wie in kabelgebundenen Netzwerken, mit Ausnahme der Übertragungsmedien: Funkwellen im Gegensatz zu physischen Kabeln. Wenn WiFi-Verkehr für alle zum Abhören ausgestrahlt worden wäre, hätte er niemals das Zeichenbrett verlassen.

Abgesehen davon denke ich, dass drahtlose Netzwerke ein größeres Risiko für MITM-Angriffe darstellen, da kein physischer Zugriff erforderlich ist, um auf das drahtlose Netzwerk zuzugreifen und ein unerwünschtes System zu "injizieren", um den Datenverkehr abzufangen.