Ataques MITM: ¿qué posibilidades hay?

Primero, hablemosProtocolo de puerta de enlace fronteriza. Internet se compone de miles de puntos finales conocidos como AS (sistemas autónomos) y enrutan datos con un protocolo conocido como BGP (protocolo de puerta de enlace fronteriza). En los últimos años, el tamaño de la tabla de enrutamiento BGP ha aumentado exponencialmente, superando las 100.000 entradas. Incluso con el aumento de potencia del hardware de enrutamiento, apenas puede mantener el ritmo del tamaño cada vez mayor de la tabla de enrutamiento BGP.

La parte complicada en nuestro escenario MITM es que BGP confía implícitamente en las rutas que le proporcionan otros sistemas autónomos, lo que significa que, con suficiente spam desde un AS, cualquier ruta puede conducir a cualquier sistema autónomo. Es la forma más obvia de acceder al tráfico MITM, y no es sólo teórica: el sitio de la convención de seguridad de Defcon fue redirigido al sitio web de un investigador de seguridad en 2007 para demostrar el ataque. Youtube estaba caído en varios países asiáticos cuando Pakistán censuró el sitio y declaró erróneamente que su propia ruta (muerta) era la mejor para varios AS fuera de Pakistán.

Un puñado degrupos academicosrecolectarInformación de enrutamiento BGPde los AS que cooperan para monitorear las actualizaciones de BGP que cambian las rutas del tráfico. Pero sin contexto, puede resultar difícil distinguir un cambio legítimo de un secuestro malicioso. Las rutas de tráfico cambian constantemente para hacer frente a desastres naturales, fusiones de empresas, etc.

Lo siguiente a discutir en la lista de 'Vectores de ataque MITM globales' essistema de nombres de dominio(DNS).

Aunque el servidor Fine DNS de ISCUNIRha resistido la prueba del tiempo y ha salido relativamente ileso (al igual que las ofertas de DNS de Microsoft y Cisco), se han encontrado algunas vulnerabilidades notables que podrían potencialmente poner en peligro todo el tráfico que utiliza nombres canonicalizados en Internet (es decir, prácticamente todo el tráfico).

Ni siquiera me molestaré en discutirLa investigación de Dan Kaminskyen el ataque de envenenamiento de la caché de DNS, ya que ha sido asesinado a golpes en otros lugares, solo para recibir el premio "el error más sobrevalorado jamás visto" por Blackhat - Las Vegas. Sin embargo, existen otros errores de DNS que han comprometido gravemente la seguridad de Internet.

El error de la zona de actualización dinámicacolapsó los servidores DNS y tenía el potencial de comprometer de forma remota las máquinas y los cachés de DNS.

El error de las firmas de transaccionespermitió el compromiso total de la raíz remota de cualquier servidor que ejecutara BIND en el momento en que se anunció la vulnerabilidad, lo que obviamente permitió que las entradas DNS se vieran comprometidas.

Finalmente, debemos discutirEnvenenamiento por ARP,802.11q retroceso,Secuestro de tronco STP,Inyección de información de enrutamiento RIPv1y la gran cantidad de ataques a redes OSPF.

Estos ataques son los "familiares" de un administrador de red de una empresa independiente (con razón, considerando que estos pueden ser los únicos sobre los que tiene control). Discutir los detalles técnicos de cada uno de estos ataques es un poco aburrido en esta etapa, ya que todos los que están familiarizados con la seguridad de la información básica o TCP han aprendido el envenenamiento ARP. Los otros ataques probablemente sean una cara familiar para muchos administradores de redes o aficionados a la seguridad de servidores. Si esto es lo que le preocupa, existen muchas utilidades de defensa de red muy buenas, que van desde utilidades gratuitas y de código abierto comoBufidoal software de nivel empresarial desdeciscoycaballos de fuerza. Alternativamente, muchos libros informativos cubren estos temas, demasiado numerosos para discutirlos, pero varios que he encontrado útiles en la búsqueda de la seguridad de la red incluyenEl Tao del monitoreo de la seguridad de la red,Arquitecturas de seguridad de red, y el clásicoGuerrero de la red

En cualquier caso, me parece algo inquietante que la gente asuma que este tipo de ataques requieren acceso a nivel de ISP o gobierno. No requieren más que el conocimiento promedio de CCIE en materia de redes y las herramientas adecuadas (es decir, HPING y Netcat, no son exactamente herramientas teóricas). Manténgase alerta si quiere mantenerse seguro.

Aquí hay un escenario MITM que me preocupa:

Digamos que hay una gran convención en un hotel. ACME Anvils y Terrific TNT son los principales competidores en la industria de los dibujos animados peligrosos. A alguien con un interés personal en sus productos, especialmente en los nuevos en desarrollo, le encantaría poner sus garras en sus planes. Lo llamaremos WC para proteger su privacidad.

WC se registra temprano en el Famous Hotel para darle algo de tiempo para prepararse. Descubre que el hotel tiene puntos de acceso wifi llamados FamousHotel-1 a ​​través de FamousHotel-5. Así que establece un punto de acceso y lo llama FamousHotel-6 para que se mezcle con el paisaje y lo conecte con uno de los otros AP.

Ahora, los asistentes a la convención comienzan a registrarse. Sucede que uno de los clientes más importantes de ambas compañías, lo llamaremos RR, se registra y consigue una habitación cerca de los baños. Configura su computadora portátil y comienza a intercambiar correos electrónicos con sus proveedores.

¡WC se ríe como un maníaco! "¡Mi tortuoso plan está funcionando!", exclama. ¡AUGE! ¡CHOCAR! Al mismo tiempo, es alcanzado por un yunque y un haz de TNT. Parece que los equipos de seguridad de ACME Anvils, Terrific TNT, RR y Famous Hotel estaban trabajando juntos anticipando este ataque.

¡Bip bip!

Editar:

Qué oportuno ^* :Consejo de viaje: tenga cuidado con los "honeypots" de wifi en los aeropuertos

^{* Bueno, fue oportuno que apareciera en mi feed RSS.}

Depende completamente de la situación. ¿Cuánto confías en tu ISP? ¿Cuánto sabes sobre la configuración de tu ISP? ¿Y qué tan segura es su propia configuración?

Es muy probable que la mayoría de los "ataques" como este ahora se realicen con malware troyano que intercepta pulsaciones de teclas y contraseñas de archivos. Sucede todo el tiempo, solo que no se nota ni se informa tanto.

¿Y con qué frecuencia se filtra información dentro del nivel de ISP? Cuando trabajaba para un ISP pequeño, revendíamos otro nivel superior de acceso. Entonces, una persona que llamó a nosotros entró en nuestra red, y si no estaba hablando con nuestro servidor web o servidor de correo, el tráfico fue a un proveedor de nivel superior, y no tenemos idea de quién hizo qué con sus datos en su red. o cuán confiables eran sus administradores.

Si desea saber en cuántos puntos alguien podría "potencialmente" ver su tráfico, realice un rastreo de ruta y verá todos los que responderán en cada punto de enrutamiento. Eso supone que no haya dispositivos encubiertos entre algunos de ellos. Y que esos dispositivos son en realidad enrutadores y no algo disfrazado de enrutadores.

La cuestión es que no se puede saber qué tan frecuentes son los ataques. No hay ninguna regulación que diga que las empresastenerpara revelar ataques que se descubran a menos que su información crediticia esté comprometida. La mayoría de las empresas no lo hacen porque les resulta embarazoso (o supone demasiado trabajo). Con la cantidad de malware que existe, probablemente sea mucho más frecuente de lo que piensas, e incluso entonces la clave es tenerdescubiertoel ataque. Cuando el malware funciona correctamente, la mayoría de los usuarios no saben cuándo sucede. Y el escenario real de la persona que se molesta y espía el tráfico de un proveedor son aquellos que las empresas no informan a menos que sea necesario.

Por supuesto, estos ignoran los escenarios en los que las empresas se ven obligadas a mantener registros de su tráfico y revelarlos a agencias gubernamentales sin decírselo. Si se encuentra en los EE. UU., gracias a la Ley Patriota, las bibliotecas y los ISP pueden verse obligados a registrar sus datos de viajes, correos electrónicos e historial de navegación sin decirle que están recopilando información sobre usted.

En otras palabras, no hay datos concretos sobre la prevalencia de los ataques MITM y de interceptación entre los usuarios, pero hay evidencia que sugeriría que es mayor de lo que sería cómodo, y a la mayoría de los usuarios no les importa lo suficiente como para obtener esa información.

¿Tienes un punto de acceso inalámbrico en casa? ¿Un servidor proxy en el trabajo?

Cualquiera de esos puntos de entrada/salida puede verse comprometido sin una gran conspiración del gobierno/ISP. También es posible que los componentes de la infraestructura de un ISP se vean comprometidos.

¿Utiliza un navegador web? Es bastante trivial configurar un navegador para dirigir el tráfico a un intermediario. Ha habido malware de navegador que redirigió ciertas transacciones bancarias y de corretaje utilizando este método, particularmente para pequeñas empresas con privilegios de transferencia bancaria.

La seguridad se trata de gestión de riesgos... hay dos atributos básicos en la forma de abordar un riesgo: probabilidad de ocurrencia e impacto. La probabilidad real de sufrir un accidente automovilístico grave es muy baja, pero el impacto en su seguridad personal es alto, por lo que debe abrocharse el cinturón de seguridad y colocar a su bebé en un asiento para el automóvil.

Cuando la gente se vuelve perezosa y/o tacaña, el resultado suele ser el desastre. En el Golfo de México, BP ignoró todo tipo de factores de riesgo porque creía que transfería el riesgo a los contratistas y pensó que había perforado suficientes pozos sin incidentes, por lo que la probabilidad de que ocurriera un incidente era muy baja.