Frage MITM-Angriffe - wie wahrscheinlich sind sie?


Wie wahrscheinlich sind "Man in the Middle" -Angriffe in der Internetsicherheit?

Welche tatsächlichen Maschinen werden, abgesehen von den ISP-Servern, in der Mitte der Internetkommunikation stehen?

Was sind die tatsächlich Risiken im Zusammenhang mit MITM-Angriffen, im Gegensatz zu den theoretischen Risiken?

EDIT: Ich bin nicht interessiert an Wireless-Access-Points in dieser Frage. Sie müssen natürlich gesichert werden, aber das ist offensichtlich. Drahtlose Zugangspunkte sind insofern einzigartig, als die Kommunikation für jedermann zu hören ist. Normale kabelgebundene Internetkommunikation wird zu ihrem Ziel geroutet - nur Maschinen in der Route sehen den Verkehr.


32
2018-06-20 10:03


Ursprung


Theoretische Risiken und reale Risiken sind im Allgemeinen die gleichen, wenn Sie über IT-Sicherheit sprechen - Mark Henderson♦
Farseeker x2, es ist heute theoretisch, morgen ist es real. Das ist der Unterschied. - Chris S
@Farseeker: Der Unterschied besteht darin, dass das theoretische Risiko ein Szenario beinhaltet, das in der realen Welt höchst unwahrscheinlich ist. Während es möglich ist, dass eine Maschine in der Mitte Internet-Pakete entschlüsseln kann, muss man fragen: Wann wird es jemals eine Maschine in der Mitte geben, die das tun würde? - CJ7
@Zephyr: Selbst kleine Zahlen von Hackern, die sich auf eine kleine Anzahl von Zielen konzentriert haben, können erheblichen Schaden anrichten. Ich sehe dich an Chi ... äh ... "Fred". Es sind nicht unbedingt die Zahlen, die den Unterschied ausmachen, sondern die Motivation. - Dennis Williamson
Siehe auch Sind "Man in the Middle" -Angriffe extrem selten? auf Informationssicherheit - Gilles


Antworten:


Lass uns zuerst reden Border Gateway Protokoll. Das Internet besteht aus Tausenden von Endpunkten, die als ASes (Autonome Systeme) bekannt sind, und sie routen Daten mit einem Protokoll, das als BGP (Border Gateway Protocol) bekannt ist. In den letzten Jahren hat die Größe der BGP-Routingtabelle exponentiell an Größe zugenommen und bricht weit über ein 100.000 Einträge. Selbst wenn die Routing-Hardware an Leistung zunimmt, ist sie kaum in der Lage, mit der ständig wachsenden BGP-Routingtabelle Schritt zu halten.

Der schwierige Teil in unserem MITM-Szenario ist, dass BGP implizit Routen vertraut, die andere autonome Systeme bereitstellen, was bedeutet, dass jede Route mit genügend Spamming von einem AS zu jedem autonomen System führen kann. Es ist der offensichtlichste Weg zum MITM-Verkehr, und es ist nicht nur theoretisch - Defcon Sicherheitskonvention Website wurde 2007 auf die Website eines Sicherheitsforschers umgeleitet, um den Angriff zu demonstrieren. Youtube war in mehreren asiatischen Ländern unten, als Pakistan die Seite zensierte und fälschlicherweise seine eigene (tote) Route für mehrere AS außerhalb Pakistans als die beste bezeichnete.

Eine Handvoll akademische Gruppen sammeln BGP-Routing-Informationen von kooperierenden ASes, um BGP-Updates zu überwachen, die Verkehrswege ändern. Aber ohne Kontext kann es schwierig sein, eine legitime Änderung von einer böswilligen Entführung zu unterscheiden. Die Verkehrswege ändern sich ständig, um Naturkatastrophen, Unternehmenszusammenschlüsse usw. zu bewältigen.

Weiter zu diskutieren auf der "Global MITM Angriffsvektoren" -Liste ist Domain Name System (DNS).

Obwohl ISC Fine DNS-Server BINDEN hat den Test der Zeit bestanden und relativ unversehrt herausgekommen (wie Microsoft und Ciscos DNS-Angebote), einige bemerkenswerte Verwundbarkeiten sind gefunden worden, die möglicherweise den gesamten Verkehr unter Verwendung kanonisierter Namen im Internet (d. h. praktisch aller Verkehr) gefährden könnten.

Ich werde nicht einmal diskutieren Dan Kaminskys Forschung in den DNS-Cache-Poisoning-Angriff, da es an anderer Stelle zu Tode geprügelt wurde, nur um von Blackhat - Las Vegas als "meist übertriebener Fehler überhaupt" ausgezeichnet zu werden. Es gibt jedoch einige andere DNS-Bugs, die die Internetsicherheit stark beeinträchtigt haben.

Der Fehler in der dynamischen Update-Zone abgestürzte DNS-Server und das Potenzial, Computer und DNS-Caches aus der Ferne zu kompromittieren.

Der Transaktionsunterschriften-Fehler erlaubt die vollständige Remote-Root-Kompromittierung eines Servers, auf dem BIND zum Zeitpunkt der Bekanntgabe der Sicherheitsanfälligkeit ausgeführt wurde, wodurch offensichtlich DNS-Einträge kompromittiert werden können.

EndlichWir müssen diskutieren ARP Vergiftung, 802.11q Nachverfolgung, STP-Trunk Hijacking, RIPv1 Routing Information Injection und die Vielzahl von Angriffen für OSPF-Netzwerke.

Diese Angriffe sind die "Vertrauten" eines Netzwerkadministrators für ein unabhängiges Unternehmen (zu Recht, wenn man bedenkt, dass diese die einzigen sind, auf die sie die Kontrolle haben). Die technischen Details jeder dieser Angriffe zu diskutieren, ist in diesem Stadium etwas langweilig, da jeder, der mit der grundlegenden Informationssicherheit oder TCP vertraut ist, ARP Poisoning gelernt hat. Die anderen Angriffe sind wahrscheinlich ein vertrautes Gesicht für viele Netzwerkadministratoren oder Server-Sicherheitskenner. Wenn diese Ihre Sorge sind, gibt es viele sehr gute Netzwerkverteidigung Dienstprogramme, die von freien und Open Source-Dienstprogrammen wie existieren Schnauben auf die Unternehmensebene Software von Cisco und HP. Alternativ decken viele informative Bücher diese Themen ab, zu zahlreich, um zu diskutieren, aber einige, die ich in der Verfolgung der Netzsicherheit hilfreich gefunden habe, schließen ein Das Tao der Netzwerksicherheitsüberwachung, Netzwerksicherheits-Architekturenund der Klassiker Netzwerkkrieger

Auf jeden Fall finde ich es etwas verstörend, dass Leute annehmen, dass diese Art von Angriffen ISP oder Zugang auf Regierungsebene erfordern. Sie erfordern nicht mehr als den Durchschnitt, den CCIE in Bezug auf Netzwerkwissen und die geeigneten Werkzeuge hat (d.h. HPING und Netcat, nicht gerade theoretische Werkzeuge). Bleiben Sie wachsam, wenn Sie sicher bleiben wollen.


42
2018-06-21 01:07



Sicher ist es das. Du denkst, dass du es tun wirst bank.beispiel.comund stattdessen gehen Sie zu einer anderen Site, die sich als Ihr beabsichtigtes Ziel verhält oder maskiert. Wenn Sie nicht glauben, dass es sich um einen MITM-Angriff handelt, verstehen Sie nicht, was MITM ist. - duffbeer703
Soweit es das DNS betrifft, könnten Sie halb offensichtlich die Pakete an die tatsächliche IP der Site senden, die Sie erreichen wollen. Und es ist möglich, Dinge zu tun, wie schnell zwischen den Verbindungs- und aktiven Zuständen für BGP umzuschalten, während die REAL BGP-Routen gesendet werden. Oder, wenn wie im Großteil des Internets neben der Route, die Sie vergiftet haben, eine alternative Route zu Ihrem Host existiert, könnten Sie dies als Routing-Parameter angeben. Wie auch immer, es ist großartig, dass Sie sich für diesen Craig interessieren, Sicherheit ist ein ziemlich großes Feld, wenn Sie denken, dass Sie etwas sortiert haben, erscheint etwas anderes. - ŹV -
Um deine andere Frage zu DNS-Problemen zu beantworten, denke ich, dass du vielleicht verpasst hast, wie die Schritte funktionieren. Der Angreifer kennt das richtige Ziel und agiert als Proxy für Sie. Du denkst, du sprichst mit C, wenn in Wirklichkeit der Verkehr A <-> B <-> C fließt, nicht das A <-> C, das du glaubst. Ihre Routing-Informationen sind kompromittiert. Der Angreifer verfügt über die richtigen Daten oder verwendet einen DNS-Server, der nicht kompromittiert ist. - Bart Silverstrim
@ Craig-Du verpasst das Bild. Mit MITM wird ein Agent zwischen Ziel und Ziel eingefügt. Ob es Routing oder DNS oder was auch immer Sie wollen; Diese Angriffe sind nicht wie Filme, bei denen Sie auf einen Knopf MITM tippen und den Code knacken. Es ist ein Mittel zum Zweck und Teil eines gemischten Angriffs. - Bart Silverstrim
Und ich habe deine Frage über Pakete, die zum richtigen Ziel kommen, beantwortet. Das Angreifer-System weiß es die richtige Route. Es teilt Ihrem System mit, dass es sich um die "richtige" Seite handelt, leitet sie dann wie ein Proxy weiter, sendet Ihre Anfragen in Ihrem Namen und antwortet dann zurück. Das ist der ganze "in der Mitte" Teil. Ihre Maschine ist betrogen und weiß nicht, was vor sich geht. Es ist wie ein In-Witz, dass Ihr System aus der Schleife ausgeschlossen ist. - Bart Silverstrim


Hier ist ein MITM-Szenario, das mich betrifft:

Sagen wir, es gibt eine große Convention in einem Hotel. ACME Ambosse und Terrific TNT sind Hauptkonkurrenten in der Karikaturgefahrindustrie. Jemand, der ein Interesse an ihren Produkten hat, besonders an neuen, die sich in der Entwicklung befinden, würde es lieben, seine Pfoten auf ihre Pläne zu bekommen. Wir werden ihn WC nennen, um seine Privatsphäre zu schützen.

Das WC checkt früh im Famous Hotel ein, um ihm Zeit zu geben, sich einzurichten. Er entdeckt, dass das Hotel Wifi Zugangspunkte hat, die FamousHotel-1 bis FamousHotel-5 heißen. Also richtet er einen Access Point ein und nennt ihn FamousHotel-6, damit er sich in die Landschaft einfügt und sie mit einem der anderen APs verbindet.

Jetzt beginnen die Konferenzteilnehmer einzuchecken. Es ist nur so, dass einer der größten Kunden beider Unternehmen, wir nennen ihn RR, einchecken und ein Zimmer in der Nähe von WCs bekommen. Er stellt seinen Laptop auf und beginnt mit seinen Lieferanten E-Mails auszutauschen.

WC kackt wahnsinnig! "Mein hinterhältiger Plan funktioniert!", Ruft er aus. BOOM! ABSTURZ! Gleichzeitig wird er von einem Amboss und einem Bündel TNT getroffen. Es scheint, dass die Sicherheitsteams von ACME Anvils, Terrific TNT, RR und Famous Hotel zusammenarbeiten, um diesen Angriff vorwegzunehmen.

Piep Piep!

Bearbeiten:

Wie zeitgerecht*: Reisetipp: Vorsicht vor Flughafen-WLAN "Honeypots"

* Nun, es war pünktlich, dass es gerade in meinem RSS-Feed auftauchte.


14
2018-06-20 14:06



OK, aber ist das nicht ein ganz anderes Ballspiel? Vielleicht hätte ich meine Frage auf Kabelverbindungen beschränken sollen. - CJ7
@Craig: Der Punkt ist der gleiche. Es ist sehr wahrscheinlich, dass jemand in Ihrem lokalen Netzwerk zuhört, drahtlos oder drahtgebunden ist. Ein MitM im Internet zu finden wird im Grunde nicht passieren. - Chris S
+1 für ACME Ambosse und Terrific TNT - Fahad Sadah
@Chris: Wie wird jemand in meinem lokalen Netzwerk sein, wenn es keinen drahtlosen Zugangspunkt gibt? Malware auf einer der Maschinen? Wenn ja, wie werden die Daten aus dem Netzwerk an den Hacker geschickt? - CJ7
@Craig: Du hast absolut recht, MITM-Angriffe gibt es nicht. Mach dir keine Sorgen, wir sind nur ein Haufen paranoider Nerds, die sich vor der NSA verstecken. - duffbeer703


Es hängt völlig von der Situation ab. Wie sehr vertrauen Sie Ihrem ISP? Wie viel wissen Sie über die Konfiguration Ihres Internetdienstanbieters? Und wie sicher ist dein eigenes Setup?

Die meisten "Angriffe" wie diese sind jetzt sehr wahrscheinlich, da Trojaner Malware Tastenanschläge und Passwörter von Dateien abfangen. Es passiert die ganze Zeit, nur dass es nicht bemerkt oder gemeldet wird.

Und wie oft werden Informationen auf der ISP-Ebene durchgelassen? Als ich für einen kleinen ISP arbeitete, verkauften wir eine höhere Zugriffsebene. Eine Person, die uns anwählte, kam in unser Netzwerk und wenn Sie nicht mit unserem Webserver oder Mail-Server sprachen, wurde der Datenverkehr an einen Provider der höheren Ebene weitergeleitet, und wir haben keine Ahnung, wer was mit Ihren Daten in ihrem Netzwerk getan hat. oder wie vertrauenswürdig ihre Admins waren.

Wenn Sie wissen möchten, an wie vielen Stellen jemand Ihren Traffic "potenziell" sehen kann, führen Sie eine Traceroute durch und Sie werden sehen, dass an jedem Verteilungspunkt so viel reagiert. Das heißt, dass getarnte Geräte nicht zwischen einigen von ihnen liegen. Und diese Geräte sind eigentlich Router und nicht etwas, das sich als Router tarnt.

Die Sache ist, dass Sie nicht wissen können, wie weit die Angriffe gehen. Es gibt keine Vorschriften, die Unternehmen sagen haben Offenlegen von Angriffen, die entdeckt werden, sofern Ihre Kreditinformationen nicht kompromittiert sind. Die meisten Unternehmen tun das nicht, weil es peinlich ist (oder zu viel Arbeit). Mit der Menge an Malware, die da draußen herumschwappt, ist es wahrscheinlich weit verbreitet, als Sie denken würden, und selbst dann ist der Schlüssel das zu haben entdeckt der Angriff. Wenn die Malware ordnungsgemäß funktioniert, wissen die meisten Benutzer nicht, wann sie auftritt. Und das tatsächliche Szenario "Person-wer-bekommt-missbraucht-und-schnüffelt-Verkehr-bei-einem-Anbieter" sind diejenigen, die Unternehmen nicht melden, wenn sie es nicht müssen.

Natürlich ignorieren diese die Szenarien, in denen Unternehmen gezwungen sind, Aufzeichnungen über Ihren Datenverkehr zu führen und diese an Regierungsbehörden weiterzugeben, ohne Ihnen dies mitzuteilen. Wenn Sie in den USA sind, können Bibliotheken und ISPs dank des Patriot Acts gezwungen sein, Ihre Datenreisen und E-Mails sowie den Browserverlauf aufzuzeichnen, ohne Ihnen mitzuteilen, dass sie Informationen über Sie sammeln.

Mit anderen Worten, es gibt keine belastbaren Daten darüber, wie häufig MITM- und Interception-Angriffe bei Benutzern stattfinden, aber es gibt Hinweise darauf, dass sie höher sind, als es sich angenehm anfühlen würde, und die meisten Benutzer interessieren sich nicht genug für diese Informationen.


5
2018-06-20 11:22





Die eigentliche Frage ist, "wie viel von meiner beschränkten Ressourcenausstattung sollte ich MITM-Angriffen widmen anstatt woanders?"

Dies hängt von der Art der Kommunikation ab und hat keine eindeutige Antwort. Meiner Erfahrung nach ist es kein großes Risiko im Vergleich zu anderen Sicherheitsrisiken, aber es ist normalerweise ein billiges zu minimieren (zB: ein SSL-Zertifikat und HTTPS ist oft genug), also ist es billiger zu beheben, als die Zeit auszuwerten, wie viel davon ein Risiko könnte es sein.


3
2018-06-21 03:03





Haben Sie einen drahtlosen Zugangspunkt zu Hause? Ein Proxy-Server bei der Arbeit?

Jeder dieser Ingress / Egress-Punkte kann kompromittiert werden ohne eine große Regierungs- / Isp-Verschwörung. Es ist auch möglich, dass Komponenten einer ISP-Infrastruktur kompromittiert werden.

Verwenden Sie einen Webbrowser? Es ist ziemlich trivial, einen Browser so zu konfigurieren, dass der Verkehr zu einem Mann in der Mitte geleitet wird. Es gab Browser-Malware, die bestimmte Banking- und Broker-Transaktionen mit dieser Methode umgeleitet hat, insbesondere für kleine Unternehmen mit drahtgebundenen Rechten.

Bei der Sicherheit geht es um das Risikomanagement ... Es gibt zwei grundlegende Eigenschaften, mit denen Sie sich mit dem Umgang mit einem Risiko auseinandersetzen: Eintrittswahrscheinlichkeit und Auswirkung. Die Wahrscheinlichkeit, einen schweren Autounfall zu bekommen, ist sehr gering, aber die Auswirkungen auf Ihre persönliche Sicherheit sind hoch. Deshalb schnallen Sie sich an und legen Ihr Kind in einen Autositz.

Wenn Menschen faul und / oder billig werden, ist oft eine Katastrophe die Folge. Im Golf von Mexiko ignorierte BP alle Arten von Risikofaktoren, weil sie der Meinung waren, dass sie Risiken auf die Kontraktoren abwälzten, und stellten fest, dass sie genügend Bohrungen ohne Zwischenfall durchgeführt hatten, so dass die Wahrscheinlichkeit eines Vorfalls sehr gering war.


1
2018-06-21 01:50



Ich wünschte, ich könnte das verbessern> 1. Ich habe kein Problem damit, dass Leute solche kalkulierten Risiken mitnehmen besitzen Daten, aber ignoriert Dinge wie MITM wenn Andere' Daten sind auf der Linie - sei es Kunden, Patienten oder was auch immer - ist beklagenswert (und viel zu häufig). Es kann nicht erwartet werden, dass Sie jeden Angriffsvektor oder jedes Szenario antizipieren, aber ein mehrschichtiger, tiefgreifender Ansatz zur Vermeidung und zum Risikomanagement ist unerlässlich. - nedm


MitM-Angriffe sind fast ausschließlich im lokalen Netzwerk anzutreffen. Um auf eine Verbindung über das Internet zugreifen zu können, ist entweder ein Zugriff durch den Internetdienstanbieter oder auf Regierungsebene erforderlich. Es ist sehr selten, dass jemand mit dieser Ressourcenmenge Ihre Daten abruft.

Sobald jemand in Ihr Netzwerk eindringt, haben Sie ernsthafte Probleme, aber außerhalb davon sind Sie wahrscheinlich in Ordnung.


0
2018-06-20 11:01



Nicht wahr. Sieh dir zyphers Beitrag an. - duffbeer703
@duffbeer: Siehe meine Kommentare zu Zephyrs Beitrag - CJ7
MITM ist alles, was zwischen Quelle und Ziel eingefügt wird. Es kann sich um ein lokales Netzwerk oder um einen ISP irgendwo dazwischen handeln. Woher weißt du, dass jemand am Zielort oder am Transport deine Informationen nicht will? Es gibt Polizisten, die ihre Informationen missbraucht haben, um Menschen zu verfolgen. Verbreitet? Nein. Aber wissen Sie wirklich, wer ihre Macht missbraucht hat oder nicht und nie entdeckt wurde? - Bart Silverstrim


@Craig: In deiner Bearbeitung hast du einige Fehlinformationen. Drahtloses Netzwerk ist nicht broadcastbasiert. Die Daten, die in einer drahtlosen Kommunikationssitzung (zwischen drahtlosem Client und drahtlosem Zugangspunkt) übertragen werden, werden nicht "gesendet", damit jeder sie hören kann. Der drahtlose Client verbindet sich mit dem AP und die Kommunikation findet zwischen dem Client und dem AP statt. Wenn Sie meinen, dass die Daten gesendet werden, weil sie in ein Funksignal eingekapselt sind, das "gesendet" wird, dann kann ja mit sehr spezifischen drahtlosen Geräten (RMON-fähigen drahtlosen Adaptern) und Software-Tools gechannelt werden. Drahtlose Clients, die nicht mit demselben AP verbunden sind, haben keinen Mechanismus, um den drahtlosen Datenverkehr abzufangen oder zu "hören", außer mit den oben erwähnten Geräten. Die drahtlose Kommunikation in TCP / IP-Netzwerken funktioniert im Wesentlichen genauso wie bei kabelgebundenen Netzwerken mit Ausnahme der Übertragungsmedien: Radiowellen im Gegensatz zu physischen Leitungen. Wenn WiFi-Verkehr gesendet wurde, damit alle ihn belauschen konnten, hätte er das Reißbrett nie verlassen.

Davon abgesehen denke ich, dass drahtlose Netzwerke ein größeres Risiko für MITM-Angriffe darstellen, da für den Zugriff auf das drahtlose Netzwerk kein physischer Zugriff erforderlich ist, um ein bösartiges System zu "injizieren", um den Datenverkehr abzufangen.


0
2018-06-21 03:40



Sie sagten, dass drahtlose Funksignale gesendet werden und von Geräten abgefangen werden können. Wie steht meine Frage dazu? - CJ7
Du hast gesagt, dass drahtloser Verkehr für jedermann zu hören ist, was technisch nicht korrekt ist. Das Funksignal wird in dem Sinne gesendet, dass es auf Funkwellen basiert, aber die Kommunikation ist Punkt-zu-Punkt zwischen dem drahtlosen Client und dem drahtlosen AP. Der drahtlose Client sendet seinen Datenverkehr nicht an alle, um ihn zu hören. Die Aussage, dass der Verkehr für alle zu übertragen ist, kann jemandem den Eindruck vermitteln, dass die drahtlose Vernetzung in einer Weise funktioniert, in der dies nicht der Fall ist. - joeqwerty
Das Broadcast-Problem in Bezug auf moderne 802.11-Wireless ist insofern problematisch, als die Transportschicht in den meisten Fällen durch irgendeine Form der WPA-Verschlüsselung geschützt ist. Ihr drahtgebundener Verkehr ist durch seinen physischen Standort und das Schloss an Ihrem Kabelschrank geschützt. In den meisten Umgebungen, in denen ich gearbeitet habe, werden die Client-Netzwerke, in denen Switch- und Verkabelungsinfrastruktur leicht verfügbar sind, als nicht vertrauenswürdige Netzwerke behandelt. - duffbeer703