Ataques MITM – qual a probabilidade deles?

Primeiro, vamos conversarProtocolo de gateway de fronteira. A Internet é composta por milhares de endpoints conhecidos como ASes (Autonomous Systems), e eles roteiam dados com um protocolo conhecido como BGP (Border Gateway Protocol). Nos últimos anos, o tamanho da tabela de roteamento BGP tem aumentado exponencialmente, ultrapassando bem mais de 100.000 entradas. Mesmo com o hardware de roteamento aumentando em potência, ele mal consegue acompanhar o tamanho cada vez maior da tabela de roteamento BGP.

A parte complicada em nosso cenário MITM é que o BGP confia implicitamente nas rotas fornecidas por outros sistemas autônomos, o que significa que, com spam suficiente de um AS, qualquer rota pode levar a qualquer sistema autônomo. É a forma mais óbvia de tráfego MITM, e não é apenas teórica – o site da convenção de segurança Defcon foi redirecionado para o site de um pesquisador de segurança em 2007 para demonstrar o ataque. O YouTube caiu em vários países asiáticos quando o Paquistão censurou o site e declarou erroneamente que sua própria rota (morta) era a melhor para vários ASes fora do Paquistão.

Um punhado degrupos acadêmicoscoletarInformações de roteamento BGPde ASes cooperantes para monitorar atualizações de BGP que alteram os caminhos de tráfego. Mas sem contexto, pode ser difícil distinguir uma alteração legítima de um sequestro malicioso. As rotas de tráfego mudam o tempo todo para lidar com desastres naturais, fusões de empresas, etc.

O próximo item a ser discutido na lista de 'vetores de ataque Global MITM' éSistema de nomes de domínio(DNS).

Embora o servidor Fine DNS do ISCVINCULARresistiu ao teste do tempo e saiu relativamente ileso (assim como as ofertas de DNS da Microsoft e da Cisco), foram encontradas algumas vulnerabilidades notáveis ​​que poderiam comprometer todo o tráfego usando nomes canônicos na Internet (ou seja, praticamente todo o tráfego).

Eu nem vou me preocupar em discutirA pesquisa de Dan Kaminskyno ataque de envenenamento de cache DNS, já que foi espancado até a morte em outros lugares, apenas para ser premiado com o 'bug mais exagerado de todos os tempos' pela Blackhat - Las Vegas. No entanto, existem vários outros bugs de DNS que comprometeram gravemente a segurança da Internet.

O bug da zona de atualização dinâmicatravava servidores DNS e tinha o potencial de comprometer remotamente máquinas e caches DNS.

O bug das assinaturas de transaçãopermitiu o comprometimento total da raiz remota de qualquer servidor executando o BIND no momento em que a vulnerabilidade foi anunciada, obviamente permitindo que as entradas de DNS fossem comprometidas.

Finalmente, devemos discutirEnvenenamento por ARP,Retração 802.11q,Sequestro de tronco STP,Injeção de informações de roteamento RIPv1e a série de ataques a redes OSPF.

Esses ataques são os “familiares” de um administrador de rede de uma empresa independente (com razão, considerando que estes podem ser os únicos sobre os quais eles têm controle). Discutir os detalhes técnicos de cada um desses ataques é um pouco chato neste estágio, já que todos que estão familiarizados com segurança básica da informação ou TCP aprenderam o envenenamento por ARP. Os outros ataques são provavelmente um rosto familiar para muitos administradores de rede ou aficionados por segurança de servidores. Se esta é a sua preocupação, existem muitos utilitários de defesa de rede muito bons, desde utilitários gratuitos e de código aberto, comoBufarpara o software de nível empresarial deCiscoeHP. Alternativamente, muitos livros informativos cobrem esses tópicos, numerosos demais para serem discutidos, mas vários que considero úteis na busca pela segurança de rede incluemO Tao do monitoramento de segurança de rede,Arquiteturas de segurança de redee o clássicoGuerreiro da Rede

De qualquer forma, acho um tanto perturbador que as pessoas presumam que esse tipo de ataque exige acesso de ISP ou de nível governamental. Eles não exigem mais do que o CCIE médio possui em conhecimento de rede e nas ferramentas apropriadas (ou seja, HPING e Netcat, não exatamente ferramentas teóricas). Fique atento se quiser ficar seguro.

Aqui está um cenário MITM que me preocupa:

Digamos que haja uma grande convenção em um hotel. ACME Anvils e Terrific TNT são os principais concorrentes na indústria de perigos de desenhos animados. Alguém com interesse em seus produtos, especialmente os novos em desenvolvimento, adoraria colocar suas patas em seus planos. Vamos chamá-lo de WC para proteger sua privacidade.

WC faz check-in no Famous Hotel mais cedo para ter algum tempo para se preparar. Ele descobre que o hotel possui pontos de acesso wi-fi chamados FamousHotel-1 até FamousHotel-5. Então ele configura um ponto de acesso e o chama de FamousHotel-6 para que ele se integre à paisagem e faça a ponte com um dos outros APs.

Agora, os congressistas começam a fazer o check-in. Acontece que um dos maiores clientes das duas empresas, que chamaremos de RR, faz o check-in e consegue um quarto próximo aos banheiros. Ele configura seu laptop e começa a trocar e-mails com seus fornecedores.

WC está gargalhando loucamente! “Meu plano tortuoso está funcionando!”, ele exclama. ESTRONDO! COLIDIR! Simultaneamente, ele é atingido por uma bigorna e um pacote de TNT. Parece que as equipes de segurança da ACME Anvils, Terrific TNT, RR e Famous Hotel estavam trabalhando juntas antecipando esse ataque.

Bip Bip!

Editar:

Quão oportuno ^* :Dica de viagem: Cuidado com os “honeypots” de wi-fi do aeroporto

^{* Bem, foi na hora certa que ele apareceu no meu feed RSS.}

Depende inteiramente da situação. Quanto você confia no seu ISP? Quanto você sabe sobre a configuração do seu ISP? E quão segura é a sua própria configuração?

A maioria dos “ataques” como esse agora são muito prováveis ​​com malware trojan interceptando pressionamentos de teclas e senhas de arquivos. Acontece o tempo todo, só que não é tão notado ou noticiado.

E com que frequência as informações vazam dentro do nível do ISP? Quando trabalhei para um pequeno ISP, estávamos revendendo outro nível superior de acesso. Então, uma pessoa que ligou para nós entrou em nossa rede, e se você não estava falando com nosso servidor web ou servidor de e-mail, o tráfego foi para um provedor de nível superior, e não temos ideia de quem fez o que com seus dados na rede deles, ou quão confiáveis ​​eram seus administradores.

Se você quiser saber quantos pontos alguém poderia "potencialmente" ver seu tráfego, faça um traceroute e você verá quantos responderão em cada ponto de roteamento. Isso presumindo que os dispositivos camuflados não estejam entre alguns deles. E que esses dispositivos são, na verdade, roteadores e não algo disfarçado de roteadores.

O problema é que você não pode saber quão prevalentes são os ataques. Não há nenhuma regulamentação dizendo que as empresasterpara divulgar ataques descobertos, a menos que suas informações de crédito sejam comprometidas. A maioria das empresas não o faz porque é constrangedor (ou dá muito trabalho). Com a quantidade de malware circulando por aí, ele provavelmente é muito mais prevalente do que você imagina e, mesmo assim, o segredo é terdescobertoo ataque. Quando o malware funciona corretamente, a maioria dos usuários não sabe quando isso acontece. E o cenário real da pessoa que fica irritada e bisbilhota o tráfego de um provedor é aquele que as empresas não relatam, a menos que seja necessário.

É claro que isso ignora os cenários em que as empresas são obrigadas a manter registros do seu tráfego e divulgá-los às agências governamentais sem avisar você. Se você estiver nos EUA, graças ao Patriot Act, bibliotecas e ISPs podem ser obrigados a registrar suas viagens de dados, e-mails e histórico de navegação sem informar que estão coletando informações sobre você.

Em outras palavras, não há dados concretos sobre a prevalência dos ataques MITM e de interceptação nos usuários, mas há evidências que sugerem que é maior do que seria confortável, e a maioria dos usuários não se importa o suficiente para obter essa informação.

Você tem um ponto de acesso sem fio em casa? Um servidor proxy em funcionamento?

Qualquer um desses pontos de entrada/saída pode ser comprometido sem alguma grande conspiração governamental/ISP. Também é possível que componentes da infraestrutura de um ISP sejam comprometidos.

Você usa um navegador da web? É bastante trivial configurar um navegador para direcionar o tráfego para um intermediário. Houve malware de navegador que redirecionou certas transações bancárias e de corretagem usando esse método, especialmente para pequenas empresas com privilégios de transferência bancária.

Segurança tem a ver com gerenciamento de riscos... há dois atributos básicos na forma como você aborda o tratamento de um risco: probabilidade de ocorrência e impacto. A probabilidade real de você sofrer um acidente de carro grave é muito baixa, mas o impacto na sua segurança pessoal é alto, então você afivela o cinto de segurança e coloca seu bebê na cadeirinha.

Quando as pessoas ficam preguiçosas e/ou mesquinhas, muitas vezes o resultado é o desastre. No Golfo do México, a BP ignorou todos os tipos de factores de risco porque acreditava que transferia o risco para os empreiteiros e concluiu que tinha perfurado poços suficientes sem incidentes, pelo que a probabilidade de um incidente era muito baixa.