MITM-Angriffe – wie wahrscheinlich sind sie?

Lassen Sie uns zunächst sprechenBorder Gateway Protokoll. Das Internet besteht aus Tausenden von Endpunkten, die als ASes (Autonomous Systems) bezeichnet werden und Daten mit einem Protokoll namens BGP (Border Gateway Protocol) weiterleiten. In den letzten Jahren ist die Größe der BGP-Routingtabelle exponentiell angestiegen und liegt nun bei weit über 100.000 Einträgen. Selbst wenn die Routinghardware immer leistungsfähiger wird, kann sie mit der immer größer werdenden Größe der BGP-Routingtabelle kaum Schritt halten.

Der schwierige Teil unseres MITM-Szenarios ist, dass BGP Routen, die ihm von anderen autonomen Systemen bereitgestellt werden, implizit vertraut, was bedeutet, dass bei ausreichendem Spamming von einem AS jede Route zu jedem autonomen System führen kann. Dies ist der offensichtlichste Weg, um MITM-Verkehr zu verursachen, und es ist nicht nur theoretisch – die Website der Defcon-Sicherheitskonferenz wurde 2007 auf die Website eines Sicherheitsforschers umgeleitet, um den Angriff zu demonstrieren. Youtube war in mehreren asiatischen Ländern nicht erreichbar, als Pakistan die Website zensierte und fälschlicherweise seine eigene (tote) Route zur besten für mehrere ASes außerhalb Pakistans erklärte.

Eine HandvollAkademische GruppensammelnBGP-Routing-Informationenvon kooperierenden ASes, um BGP-Updates zu überwachen, die Verkehrspfade ändern. Aber ohne Kontext kann es schwierig sein, eine legitime Änderung von einer böswilligen Entführung zu unterscheiden. Verkehrspfade ändern sich ständig, um mit Naturkatastrophen, Unternehmensfusionen usw. fertig zu werden.

Als nächstes wird auf der Liste der globalen MITM-Angriffsvektoren diskutiert:DomänennamensystemSie können DNS-Server auch über DNS-Server verbinden.

Obwohl der Fine DNS-Server von ISCBINDENhat sich über die Jahre bewährt und ist relativ unbeschadet davongekommen (ebenso wie die DNS-Angebote von Microsoft und Cisco), es wurden jedoch einige nennenswerte Schwachstellen gefunden, die möglicherweise den gesamten Datenverkehr im Internet mit kanonisierten Namen (also praktisch den gesamten Datenverkehr) gefährden könnten.

Ich werde nicht einmal darüber diskutierenDan Kaminskys Forschungin den DNS-Cache-Poisoning-Angriff, der anderswo bereits zu Tode geprügelt wurde, nur um dann von Blackhat - Las Vegas als „überbewerteter Bug aller Zeiten“ ausgezeichnet zu werden. Es gibt jedoch noch mehrere andere DNS-Bugs, die die Internetsicherheit ernsthaft gefährdet haben.

Der Dynamic Update Zone-Bugführte zum Absturz von DNS-Servern und hatte das Potenzial, Rechner und DNS-Caches aus der Ferne zu kompromittieren.

Der Transaktionssignatur-Bugermöglichte die vollständige Remote-Root-Kompromittion aller Server, auf denen zum Zeitpunkt der Bekanntgabe der Sicherheitslücke BIND lief, und ermöglichte offensichtlich die Kompromittierung von DNS-Einträgen.

Endlichmüssen wir diskutierenARP-Vergiftung,802.11q Rückverfolgung,STP-Trunk Hijacking,RIPv1-Routing-Informationseinfügungund die Flut von Angriffen auf OSPF-Netzwerke.

Diese Angriffe sind für einen Netzwerkadministrator eines unabhängigen Unternehmens „vertraut“ (zu Recht, wenn man bedenkt, dass dies möglicherweise die einzigen Angriffe sind, über die er Kontrolle hat). Die technischen Details jedes dieser Angriffe zu diskutieren, ist an dieser Stelle etwas langweilig, da jeder, der mit grundlegender Informationssicherheit oder TCP vertraut ist, ARP-Poisoning gelernt hat. Die anderen Angriffe sind vielen Netzwerkadministratoren oder Serversicherheitsfans wahrscheinlich ein vertrautes Gesicht. Wenn dies Ihr Anliegen ist, gibt es viele sehr gute Netzwerkverteidigungsprogramme, von kostenlosen und Open Source-Programmen wieSchnaubenzur Enterprise-Level-Software vonCiscoUndHP. Alternativ behandeln viele informative Bücher diese Themen, zu zahlreich, um sie alle zu diskutieren, aber einige, die ich beim Streben nach Netzwerksicherheit hilfreich fand, sindDas Tao der Netzwerksicherheitsüberwachung,Netzwerksicherheitsarchitekturenund der klassischeNetzwerkkrieger

Auf jeden Fall finde ich es etwas beunruhigend, dass die Leute davon ausgehen, dass für diese Art von Angriffen ein Zugriff auf ISP- oder Regierungsebene erforderlich ist. Sie erfordern nicht mehr als das Netzwerkwissen eines durchschnittlichen CCIE und die entsprechenden Tools (z. B. HPING und Netcat, also nicht gerade theoretische Tools). Bleiben Sie wachsam, wenn Sie sicher bleiben möchten.

Hier ist ein MITM-Szenario, das mir Sorgen bereitet:

Nehmen wir an, es findet in einem Hotel eine große Tagung statt. ACME Anvils und Terrific TNT sind große Konkurrenten in der Cartoon-Gefahrenbranche. Jemand, der ein begründetes Interesse an ihren Produkten hat, insbesondere an neuen, in der Entwicklung befindlichen, würde ihre Pläne wirklich gern in die Finger bekommen. Wir nennen ihn WC, um seine Privatsphäre zu schützen.

WC checkt früh im Famous Hotel ein, um sich etwas Zeit für die Einrichtung zu lassen. Er entdeckt, dass das Hotel WLAN-Zugangspunkte mit den Namen FamousHotel-1 bis FamousHotel-5 hat. Also richtet er einen Zugangspunkt ein und nennt ihn FamousHotel-6, damit er sich in die Landschaft einfügt, und verbindet ihn mit einem der anderen APs.

Nun beginnen die Kongressteilnehmer mit dem Einchecken. Zufällig checkt einer der größten Kunden beider Unternehmen, nennen wir ihn RR, ein und bekommt ein Zimmer in der Nähe von WC's. Er richtet seinen Laptop ein und beginnt, E-Mails mit seinen Lieferanten auszutauschen.

WC lacht wie ein Verrückter! „Mein hinterhältiger Plan funktioniert!“, ruft er. BOOM! CRASH! Gleichzeitig wird er von einem Amboss und einem Bündel TNT getroffen. Es scheint, als hätten die Sicherheitsteams von ACME Anvils, Terrific TNT, RR und Famous Hotel zusammengearbeitet, um genau diesen Angriff zu erwarten.

Piep Piep!

Bearbeiten:

Wie aktuell ^* :Reisetipp: Vorsicht vor WLAN-Honeypots an Flughäfen

^{* Nun, es war passend, dass es gerade in meinem RSS-Feed angezeigt wurde.}

Das hängt ganz von der Situation ab. Wie sehr vertrauen Sie Ihrem ISP? Wie gut kennen Sie die Konfiguration Ihres ISPs? Und wie sicher ist Ihr eigenes Setup?

Die meisten dieser „Angriffe“ erfolgen heute sehr wahrscheinlich mit Trojaner-Malware, die Tastatureingaben und Passwörter aus Dateien abfängt. Das passiert ständig, wird aber nicht so oft bemerkt oder gemeldet.

Und wie oft gelangen Informationen innerhalb der ISP-Ebene nach außen? Als ich für einen kleinen ISP arbeitete, verkauften wir eine andere, höhere Zugangsebene weiter. Wenn sich also jemand bei uns einwählte, gelangte er in unser Netzwerk, und wenn er nicht mit unserem Webserver oder Mailserver sprach, ging der Datenverkehr an einen höherrangigen Anbieter, und wir haben keine Ahnung, wer was mit Ihren Daten in deren Netzwerk gemacht hat oder wie vertrauenswürdig deren Administratoren waren.

Wenn Sie wissen möchten, an wie vielen Stellen jemand Ihren Datenverkehr „potenziell“ sehen könnte, führen Sie ein Traceroute durch und Sie werden so viele sehen, wie an jedem Routing-Punkt antworten. Das setzt voraus, dass sich zwischen einigen dieser Punkte keine getarnten Geräte befinden. Und dass diese Geräte tatsächlich Router sind und nicht etwas, das sich als Router ausgibt.

Das Problem ist, dass man nicht wissen kann, wie häufig die Angriffe sind. Es gibt keine Vorschriften, die UnternehmenhabenAngriffe offenzulegen, die entdeckt werden, es sei denn, Ihre Kreditinformationen sind kompromittiert. Die meisten Unternehmen tun dies nicht, weil es peinlich ist (oder zu viel Arbeit). Angesichts der Menge an Malware, die im Umlauf ist, ist sie wahrscheinlich weitaus weiter verbreitet, als Sie denken, und selbst dann ist es wichtig,entdecktder Angriff. Wenn die Malware richtig funktioniert, würden die meisten Benutzer nichts davon mitbekommen. Und die tatsächlichen Fälle, in denen jemand verärgert ist und den Datenverkehr eines Anbieters ausspioniert, melden die Unternehmen nur, wenn sie dazu verpflichtet sind.

Dabei werden natürlich die Szenarien ignoriert, in denen Unternehmen gezwungen sind, Aufzeichnungen über Ihren Datenverkehr zu führen und diese Aufzeichnungen an Regierungsbehörden weiterzugeben, ohne Sie darüber zu informieren. In den USA können Bibliotheken und Internetdienstanbieter dank des Patriot Act gezwungen werden, Ihre Datenreisen, E-Mails und Ihren Browserverlauf aufzuzeichnen, ohne Ihnen mitzuteilen, dass sie Informationen über Sie sammeln.

Mit anderen Worten: Es gibt keine belastbaren Daten darüber, wie häufig MITM- und Abfangangriffe auf Benutzer vorkommen, es gibt jedoch Hinweise darauf, dass die Häufigkeit höher ist als lieb ist, und den meisten Benutzern ist das Thema nicht wichtig genug, um diese Informationen einzuholen.

Haben Sie zu Hause einen drahtlosen Zugangspunkt? Einen Proxyserver bei der Arbeit?

Jeder dieser Ein-/Ausgangspunkte kann kompromittiert werden, ohne dass eine große Verschwörung zwischen Regierung und ISP vorliegt. Es ist auch möglich, dass Komponenten der Infrastruktur eines ISPs kompromittiert werden.

Verwenden Sie einen Webbrowser? Es ist ziemlich einfach, einen Browser so zu konfigurieren, dass der Datenverkehr an einen Man-in-the-Middle weitergeleitet wird. Es gibt Browser-Malware, die bestimmte Bank- und Maklertransaktionen mithilfe dieser Methode umgeleitet hat, insbesondere für kleine Unternehmen mit Überweisungsprivilegien.

Bei Sicherheit geht es um Risikomanagement. Es gibt zwei grundlegende Aspekte, die den Umgang mit Risiken beeinflussen: die Wahrscheinlichkeit des Auftretens und die Auswirkung. Die tatsächliche Wahrscheinlichkeit, dass Sie in einen schweren Autounfall verwickelt werden, ist sehr gering, aber die Auswirkung auf Ihre persönliche Sicherheit ist hoch. Also schnallen Sie sich an und setzen Ihr Kind in einen Autositz.

Wenn Leute faul und/oder geizig werden, ist oft eine Katastrophe die Folge. Im Golf von Mexiko ignorierte BP alle möglichen Risikofaktoren, weil man glaubte, das Risiko auf die Auftragnehmer übertragen zu haben, und weil man davon ausging, dass man bereits genug Brunnen ohne Zwischenfälle gebohrt hatte, sodass die Wahrscheinlichkeit eines Zwischenfalls sehr gering war.