MITM 공격 - 가능성은 얼마나 됩니까?

Question 1

먼저 이야기를 나눠보자국경 게이트웨이 프로토콜. 인터넷은 ASes(자율 시스템)로 알려진 수천 개의 엔드포인트로 구성되며 BGP(Border Gateway Protocol)라는 프로토콜을 사용하여 데이터를 라우팅합니다. 최근 몇 년 동안 BGP 라우팅 테이블의 크기는 기하급수적으로 증가하여 항목이 100,000개가 훨씬 넘었습니다. 라우팅 하드웨어의 전력이 증가하더라도 계속해서 확장되는 BGP 라우팅 테이블의 크기를 거의 따라잡을 수 없습니다.

MITM 시나리오에서 까다로운 부분은 BGP가 다른 자율 시스템이 제공하는 경로를 암묵적으로 신뢰한다는 것입니다. 즉, AS에서 충분한 스팸이 전송되면 모든 경로가 모든 자율 시스템으로 이어질 수 있습니다. 이는 MITM 트래픽에 대한 가장 확실한 방법이며 단지 이론적인 것이 아닙니다. Defcon 보안 컨벤션 사이트는 공격을 시연하기 위해 2007년에 보안 연구원의 웹 사이트로 리디렉션되었습니다. 파키스탄이 사이트를 검열하고 자체(죽은) 경로를 파키스탄 외부의 여러 AS에 가장 적합한 경로로 잘못 선언했을 때 여러 아시아 국가에서 Youtube가 다운되었습니다.

소수의학술단체모으다BGP 라우팅 정보AS를 협력하여 트래픽 경로를 변경하는 BGP 업데이트를 모니터링합니다. 그러나 맥락 없이는 합법적인 변경과 악의적인 하이재킹을 구별하기 어려울 수 있습니다. 자연재해, 회사 합병 등에 대비해 교통 경로는 시시각각 변합니다.

다음으로 논의할 '글로벌 MITM 공격 벡터' 목록은 다음과 같습니다.도메인 명 시스템(DNS).

ISC의 Fine DNS 서버이지만묶다시간의 테스트를 견뎌냈고 상대적으로 손상되지 않은 상태로 나왔지만(Microsoft 및 Cisco의 DNS 제품과 마찬가지로) 인터넷에서 정규화된 이름을 사용하는 모든 트래픽(즉, 거의 모든 트래픽)을 잠재적으로 위험에 빠뜨릴 수 있는 몇 가지 주목할만한 취약점이 발견되었습니다.

굳이 논의할 생각도 안 할게댄 카민스키의 연구DNS 캐시 중독 공격에 참여하여 다른 곳에서는 사망했지만 Blackhat - Las Vegas에서 '역대 가장 과장된 버그'를 받았습니다. 그러나 인터넷 보안을 심각하게 손상시키는 몇 가지 다른 DNS 버그도 존재합니다.

동적 업데이트 영역 버그DNS 서버가 다운되고 시스템과 DNS 캐시가 원격으로 손상될 가능성이 있었습니다.

거래 서명 버그취약점이 발표된 당시 BIND를 실행하는 모든 서버의 전체 원격 루트 손상이 허용되어 DNS 항목이 손상될 수 있습니다.

마지막으로, 우리는 논의해야합니다ARP 중독,802.11q 역추적,STP-트렁크 하이재킹,RIPv1 라우팅 정보 주입그리고 OSPF 네트워크에 대한 수많은 공격이 있습니다.

이러한 공격은 독립 회사의 네트워크 관리자에게 '익숙한' 공격입니다(당연히, 이들이 제어할 수 있는 유일한 공격일 수 있다는 점을 고려하면). 기본 정보 보안이나 TCP에 익숙한 모든 사람이 ARP 중독을 배웠기 때문에 이 단계에서는 이러한 각 공격의 기술적 세부 사항을 논의하는 것이 약간 지루합니다. 다른 공격은 많은 네트워크 관리자나 서버 보안 애호가에게 친숙한 공격일 가능성이 높습니다. 이것이 우려된다면 다음과 같은 무료 및 오픈 소스 유틸리티에 이르기까지 매우 우수한 네트워크 방어 유틸리티가 많이 존재합니다.흡입엔터프라이즈급 소프트웨어로시스코그리고HP. 또는 많은 정보 서적에서 이러한 주제를 다루고 있어 논의하기에는 너무 많지만 네트워크 보안을 추구하는 데 도움이 되는 몇 가지 책은 다음과 같습니다.네트워크 보안 모니터링의 타오,네트워크 보안 아키텍처, 그리고 클래식네트워크 전사

어쨌든 사람들이 이러한 종류의 공격에는 ISP 또는 정부 수준의 액세스가 필요하다고 가정하는 것이 다소 혼란스럽습니다. 네트워킹 지식과 적절한 도구(정확히는 이론적인 도구가 아닌 HPING 및 Netcat)에 대한 평균 CCIE 수준 이상이 필요하지 않습니다. 보안을 유지하려면 경계를 늦추지 마세요.

Answer

먼저 이야기를 나눠보자국경 게이트웨이 프로토콜. 인터넷은 ASes(자율 시스템)로 알려진 수천 개의 엔드포인트로 구성되며 BGP(Border Gateway Protocol)라는 프로토콜을 사용하여 데이터를 라우팅합니다. 최근 몇 년 동안 BGP 라우팅 테이블의 크기는 기하급수적으로 증가하여 항목이 100,000개가 훨씬 넘었습니다. 라우팅 하드웨어의 전력이 증가하더라도 계속해서 확장되는 BGP 라우팅 테이블의 크기를 거의 따라잡을 수 없습니다.

MITM 시나리오에서 까다로운 부분은 BGP가 다른 자율 시스템이 제공하는 경로를 암묵적으로 신뢰한다는 것입니다. 즉, AS에서 충분한 스팸이 전송되면 모든 경로가 모든 자율 시스템으로 이어질 수 있습니다. 이는 MITM 트래픽에 대한 가장 확실한 방법이며 단지 이론적인 것이 아닙니다. Defcon 보안 컨벤션 사이트는 공격을 시연하기 위해 2007년에 보안 연구원의 웹 사이트로 리디렉션되었습니다. 파키스탄이 사이트를 검열하고 자체(죽은) 경로를 파키스탄 외부의 여러 AS에 가장 적합한 경로로 잘못 선언했을 때 여러 아시아 국가에서 Youtube가 다운되었습니다.

소수의학술단체모으다BGP 라우팅 정보AS를 협력하여 트래픽 경로를 변경하는 BGP 업데이트를 모니터링합니다. 그러나 맥락 없이는 합법적인 변경과 악의적인 하이재킹을 구별하기 어려울 수 있습니다. 자연재해, 회사 합병 등에 대비해 교통 경로는 시시각각 변합니다.

다음으로 논의할 '글로벌 MITM 공격 벡터' 목록은 다음과 같습니다.도메인 명 시스템(DNS).

ISC의 Fine DNS 서버이지만묶다시간의 테스트를 견뎌냈고 상대적으로 손상되지 않은 상태로 나왔지만(Microsoft 및 Cisco의 DNS 제품과 마찬가지로) 인터넷에서 정규화된 이름을 사용하는 모든 트래픽(즉, 거의 모든 트래픽)을 잠재적으로 위험에 빠뜨릴 수 있는 몇 가지 주목할만한 취약점이 발견되었습니다.

굳이 논의할 생각도 안 할게댄 카민스키의 연구DNS 캐시 중독 공격에 참여하여 다른 곳에서는 사망했지만 Blackhat - Las Vegas에서 '역대 가장 과장된 버그'를 받았습니다. 그러나 인터넷 보안을 심각하게 손상시키는 몇 가지 다른 DNS 버그도 존재합니다.

동적 업데이트 영역 버그DNS 서버가 다운되고 시스템과 DNS 캐시가 원격으로 손상될 가능성이 있었습니다.

거래 서명 버그취약점이 발표된 당시 BIND를 실행하는 모든 서버의 전체 원격 루트 손상이 허용되어 DNS 항목이 손상될 수 있습니다.

마지막으로, 우리는 논의해야합니다ARP 중독,802.11q 역추적,STP-트렁크 하이재킹,RIPv1 라우팅 정보 주입그리고 OSPF 네트워크에 대한 수많은 공격이 있습니다.

이러한 공격은 독립 회사의 네트워크 관리자에게 '익숙한' 공격입니다(당연히, 이들이 제어할 수 있는 유일한 공격일 수 있다는 점을 고려하면). 기본 정보 보안이나 TCP에 익숙한 모든 사람이 ARP 중독을 배웠기 때문에 이 단계에서는 이러한 각 공격의 기술적 세부 사항을 논의하는 것이 약간 지루합니다. 다른 공격은 많은 네트워크 관리자나 서버 보안 애호가에게 친숙한 공격일 가능성이 높습니다. 이것이 우려된다면 다음과 같은 무료 및 오픈 소스 유틸리티에 이르기까지 매우 우수한 네트워크 방어 유틸리티가 많이 존재합니다.흡입엔터프라이즈급 소프트웨어로시스코그리고HP. 또는 많은 정보 서적에서 이러한 주제를 다루고 있어 논의하기에는 너무 많지만 네트워크 보안을 추구하는 데 도움이 되는 몇 가지 책은 다음과 같습니다.네트워크 보안 모니터링의 타오,네트워크 보안 아키텍처, 그리고 클래식네트워크 전사

어쨌든 사람들이 이러한 종류의 공격에는 ISP 또는 정부 수준의 액세스가 필요하다고 가정하는 것이 다소 혼란스럽습니다. 네트워킹 지식과 적절한 도구(정확히는 이론적인 도구가 아닌 HPING 및 Netcat)에 대한 평균 CCIE 수준 이상이 필요하지 않습니다. 보안을 유지하려면 경계를 늦추지 마세요.

Question 2

제가 우려하는 MITM 시나리오는 다음과 같습니다.

호텔에서 큰 컨벤션이 있다고 가정해 보겠습니다. ACME Anvils와 Terrific TNT는 만화 위험 산업의 주요 경쟁업체입니다. 자신의 제품, 특히 개발 중인 신제품에 대해 기득권을 갖고 있는 사람은 그들의 계획에 참여하고 싶어할 것입니다. 그의 개인 정보를 보호하기 위해 WC라고 부르겠습니다.

WC는 준비할 시간을 주기 위해 Famous Hotel에 일찍 체크인했습니다. 그는 호텔에 FamousHotel-1부터 FamousHotel-5라는 Wi-Fi 액세스 포인트가 있다는 사실을 발견했습니다. 그래서 그는 액세스 포인트를 설정하고 그것을 FamousHotel-6이라고 부르며, 풍경과 조화를 이루고 다른 AP 중 하나와 연결됩니다.

이제 컨벤션 참가자들이 체크인을 시작합니다. 우연히 두 회사의 가장 큰 고객 중 한 명인 그를 RR이라고 부르며 체크인하고 WC 근처에 방을 얻습니다. 그는 노트북을 설치하고 공급업체와 이메일을 교환하기 시작합니다.

화장실이 광적으로 낄낄거리고 있어요! "내 사악한 계획이 성공하고 있어요!"라고 그는 외친다. 팔! 충돌! 동시에 그는 모루와 TNT 묶음에 맞았습니다. ACME Anvils, Terrific TNT, RR 및 Famous Hotel의 보안 팀이 바로 이 공격을 예상하고 협력하고 있었던 것 같습니다.

삐삐!

편집하다:

얼마나 시기적절한가 ^* :여행 팁: 공항 Wi-Fi '허니팟'을 조심하세요

^{* 글쎄, 내 RSS 피드에 방금 나타난 것은 시기적절한 일이었습니다.}

Answer

제가 우려하는 MITM 시나리오는 다음과 같습니다.

호텔에서 큰 컨벤션이 있다고 가정해 보겠습니다. ACME Anvils와 Terrific TNT는 만화 위험 산업의 주요 경쟁업체입니다. 자신의 제품, 특히 개발 중인 신제품에 대해 기득권을 갖고 있는 사람은 그들의 계획에 참여하고 싶어할 것입니다. 그의 개인 정보를 보호하기 위해 WC라고 부르겠습니다.

WC는 준비할 시간을 주기 위해 Famous Hotel에 일찍 체크인했습니다. 그는 호텔에 FamousHotel-1부터 FamousHotel-5라는 Wi-Fi 액세스 포인트가 있다는 사실을 발견했습니다. 그래서 그는 액세스 포인트를 설정하고 그것을 FamousHotel-6이라고 부르며, 풍경과 조화를 이루고 다른 AP 중 하나와 연결됩니다.

이제 컨벤션 참가자들이 체크인을 시작합니다. 우연히 두 회사의 가장 큰 고객 중 한 명인 그를 RR이라고 부르며 체크인하고 WC 근처에 방을 얻습니다. 그는 노트북을 설치하고 공급업체와 이메일을 교환하기 시작합니다.

화장실이 광적으로 낄낄거리고 있어요! "내 사악한 계획이 성공하고 있어요!"라고 그는 외친다. 팔! 충돌! 동시에 그는 모루와 TNT 묶음에 맞았습니다. ACME Anvils, Terrific TNT, RR 및 Famous Hotel의 보안 팀이 바로 이 공격을 예상하고 협력하고 있었던 것 같습니다.

삐삐!

편집하다:

얼마나 시기적절한가 ^* :여행 팁: 공항 Wi-Fi '허니팟'을 조심하세요

^{* 글쎄, 내 RSS 피드에 방금 나타난 것은 시기적절한 일이었습니다.}

Question 3

전적으로 상황에 따라 다릅니다. 귀하의 ISP를 얼마나 신뢰하십니까? 귀하의 ISP 구성에 대해 얼마나 알고 계십니까? 그리고 귀하의 설정은 얼마나 안전합니까?

현재 이와 같은 대부분의 "공격"은 파일의 키 입력과 비밀번호를 가로채는 트로이 목마 악성 코드일 가능성이 매우 높습니다. 항상 일어나는 일이지만 그다지 주목을 받거나 보고되지는 않습니다.

그리고 ISP 수준 내부에서 정보가 얼마나 자주 유출됩니까? 제가 소규모 ISP에서 일했을 때 우리는 또 다른 상위 계층의 액세스를 재판매하고 있었습니다. 따라서 우리에게 전화를 건 사람이 우리 네트워크에 들어왔고, 귀하가 우리 웹 서버나 메일 서버와 통신하지 않는 경우 트래픽은 더 높은 계층의 제공업체로 이동했으며, 우리는 누가 그들의 네트워크에 있는 귀하의 데이터로 무엇을 했는지 알 수 없습니다. 또는 관리자가 얼마나 신뢰할 수 있는지.

누군가가 추적 경로를 통해 트래픽을 "잠재적으로" 볼 수 있는 지점 수를 알고 싶다면 각 라우팅 지점에서 응답할 만큼 많은 것을 볼 수 있습니다. 이는 클로킹된 장치가 이들 중 일부 사이에 있지 않다고 가정합니다. 그리고 이러한 장치는 각각 실제로 라우터이지 라우터로 가장하는 장치가 아닙니다.

문제는 공격이 얼마나 널리 퍼져 있는지 알 수 없다는 것입니다. 회사에 대한 규정은 없습니다.가지다귀하의 신용 정보가 손상되지 않는 한 발견된 공격을 공개합니다. 대부분의 회사에서는 당혹스럽기 때문에(또는 너무 많은 일을 하기 때문에) 그렇지 않습니다. 떠다니는 악성 코드의 양이 생각보다 훨씬 더 널리 퍼져 있을 수 있습니다.발견공격. 맬웨어가 제대로 작동하면 대부분의 사용자는 언제 그런 일이 발생하는지 알 수 없습니다. 그리고 실제 사람이 화가 나서 공급자의 트래픽을 스누핑하는 시나리오는 회사가 꼭 필요한 경우가 아니면 보고하지 않는 시나리오입니다.

물론 이는 회사가 귀하의 트래픽 기록을 보관하고 귀하에게 알리지 않고 이를 정부 기관에 공개하도록 강요받는 시나리오를 무시합니다. 귀하가 미국에 거주하는 경우 애국법 덕분에 도서관과 ISP는 귀하에 대한 정보를 수집하고 있다는 사실을 귀하에게 알리지 않고 귀하의 데이터 이동, 이메일 및 검색 기록을 기록하도록 강요받을 수 있습니다.

즉, MITM 및 차단 공격이 사용자에게 얼마나 널리 퍼져 있는지에 대한 확실한 데이터는 없지만 그것이 편안한 것보다 더 높다는 증거가 있으며 대부분의 사용자는 해당 정보를 얻을 만큼 신경 쓰지 않습니다.

Answer

전적으로 상황에 따라 다릅니다. 귀하의 ISP를 얼마나 신뢰하십니까? 귀하의 ISP 구성에 대해 얼마나 알고 계십니까? 그리고 귀하의 설정은 얼마나 안전합니까?

현재 이와 같은 대부분의 "공격"은 파일의 키 입력과 비밀번호를 가로채는 트로이 목마 악성 코드일 가능성이 매우 높습니다. 항상 일어나는 일이지만 그다지 주목을 받거나 보고되지는 않습니다.

그리고 ISP 수준 내부에서 정보가 얼마나 자주 유출됩니까? 제가 소규모 ISP에서 일했을 때 우리는 또 다른 상위 계층의 액세스를 재판매하고 있었습니다. 따라서 우리에게 전화를 건 사람이 우리 네트워크에 들어왔고, 귀하가 우리 웹 서버나 메일 서버와 통신하지 않는 경우 트래픽은 더 높은 계층의 제공업체로 이동했으며, 우리는 누가 그들의 네트워크에 있는 귀하의 데이터로 무엇을 했는지 알 수 없습니다. 또는 관리자가 얼마나 신뢰할 수 있는지.

누군가가 추적 경로를 통해 트래픽을 "잠재적으로" 볼 수 있는 지점 수를 알고 싶다면 각 라우팅 지점에서 응답할 만큼 많은 것을 볼 수 있습니다. 이는 클로킹된 장치가 이들 중 일부 사이에 있지 않다고 가정합니다. 그리고 이러한 장치는 각각 실제로 라우터이지 라우터로 가장하는 장치가 아닙니다.

문제는 공격이 얼마나 널리 퍼져 있는지 알 수 없다는 것입니다. 회사에 대한 규정은 없습니다.가지다귀하의 신용 정보가 손상되지 않는 한 발견된 공격을 공개합니다. 대부분의 회사에서는 당혹스럽기 때문에(또는 너무 많은 일을 하기 때문에) 그렇지 않습니다. 떠다니는 악성 코드의 양이 생각보다 훨씬 더 널리 퍼져 있을 수 있습니다.발견공격. 맬웨어가 제대로 작동하면 대부분의 사용자는 언제 그런 일이 발생하는지 알 수 없습니다. 그리고 실제 사람이 화가 나서 공급자의 트래픽을 스누핑하는 시나리오는 회사가 꼭 필요한 경우가 아니면 보고하지 않는 시나리오입니다.

물론 이는 회사가 귀하의 트래픽 기록을 보관하고 귀하에게 알리지 않고 이를 정부 기관에 공개하도록 강요받는 시나리오를 무시합니다. 귀하가 미국에 거주하는 경우 애국법 덕분에 도서관과 ISP는 귀하에 대한 정보를 수집하고 있다는 사실을 귀하에게 알리지 않고 귀하의 데이터 이동, 이메일 및 검색 기록을 기록하도록 강요받을 수 있습니다.

즉, MITM 및 차단 공격이 사용자에게 얼마나 널리 퍼져 있는지에 대한 확실한 데이터는 없지만 그것이 편안한 것보다 더 높다는 증거가 있으며 대부분의 사용자는 해당 정보를 얻을 만큼 신경 쓰지 않습니다.

Question 4

집에 무선 액세스 포인트가 있나요? 직장에 프록시 서버가 있나요?

대규모 정부/ISP 음모 없이 이러한 수신/출구 지점 중 하나가 손상될 수 있습니다. ISP 인프라의 구성 요소가 손상될 수도 있습니다.

웹 브라우저를 사용하시나요? 중앙에 있는 사람에게 트래픽을 전달하도록 브라우저를 구성하는 것은 매우 간단합니다. 특히 송금 권한이 있는 소규모 기업의 경우 이 방법을 사용하여 특정 은행 및 중개 거래의 경로를 변경하는 브라우저 악성 코드가 있었습니다.

보안은 위험 관리에 관한 것입니다. 위험 처리 방법에는 발생 가능성과 영향이라는 두 가지 기본 속성이 있습니다. 실제로 심각한 교통사고를 당할 확률은 매우 낮지만 개인의 안전에 미치는 영향은 크기 때문에 안전벨트를 매고 유아를 카시트에 태웁니다.

사람들이 게으르거나 천박해지면 재난이 초래되는 경우가 많습니다. 멕시코만에서 BP는 위험을 계약자에게 전가한다고 믿고 온갖 위험 요소를 무시했으며, 사고 없이 충분한 유정을 시추했다고 판단했기 때문에 사고 확률이 매우 낮았습니다.

Answer