Атаки MITM — насколько они вероятны?

Сначала давайте поговоримПротокол пограничного шлюза. Интернет состоит из тысяч конечных точек, известных как AS (автономные системы), и они маршрутизируют данные с помощью протокола, известного как BGP (протокол пограничного шлюза). В последние годы размер таблицы маршрутизации BGP экспоненциально увеличивается, преодолев более 100 000 записей. Даже при увеличении мощности оборудования маршрутизации оно едва успевает за постоянно растущим размером таблицы маршрутизации BGP.

Сложность в нашем сценарии MITM заключается в том, что BGP неявно доверяет маршрутам, которые ему предоставляют другие автономные системы, что означает, что при достаточном спаме от AS любой маршрут может привести к любой автономной системе. Это самый очевидный путь к трафику MITM, и это не просто теория — сайт конференции по безопасности Defcon был перенаправлен на сайт исследователя безопасности в 2007 году для демонстрации атаки. YouTube был отключен в нескольких азиатских странах, когда Пакистан подверг сайт цензуре и ошибочно объявил свой собственный (мертвый) маршрут лучшим для нескольких AS за пределами Пакистана.

Горсткаакадемические группысобиратьИнформация о маршрутизации BGPот сотрудничающих ASes для мониторинга обновлений BGP, которые изменяют пути трафика. Но без контекста может быть сложно отличить законное изменение от злонамеренного захвата. Пути трафика постоянно меняются, чтобы справиться со стихийными бедствиями, слияниями компаний и т. д.

Следующим пунктом в списке «Глобальные векторы атак MITM» являетсясистема доменных имен(ДНС).

Хотя сервер ISC Fine DNSСВЯЗЫВАТЬвыдержал испытание временем и остался относительно невредимым (как и DNS-предложения Microsoft и Cisco), было обнаружено несколько заметных уязвимостей, которые потенциально могут поставить под угрозу весь трафик, использующий канонизированные имена в Интернете (т.е. практически весь трафик).

Я даже не буду обсуждатьИсследования Дэна Каминскив атаку отравления кэша DNS, поскольку она была забита до смерти в других местах, только чтобы быть награжденной «самой переоцененной ошибкой из когда-либо существовавших» Blackhat - Las Vegas. Однако существует несколько других ошибок DNS, которые серьезно подорвали безопасность Интернета.

Ошибка динамической зоны обновленияприводили к сбоям в работе DNS-серверов и могли удаленно взломать машины и кэши DNS.

Ошибка подписей транзакцийдопускал полную удаленную компрометацию root-доступа к любому серверу, работающему под управлением BIND на момент объявления об уязвимости, что, очевидно, позволяло скомпрометировать записи DNS.

Окончательно, мы должны обсудитьОтравление ARP,802.11q Повторная трассировка,STP-Trunk Hijacking,Вставка информации о маршрутизации RIPv1и множество атак на сети OSPF.

Эти атаки «знакомы» сетевому администратору независимой компании (и это справедливо, учитывая, что они могут быть единственными, которые он контролирует). Обсуждение технических деталей каждой из этих атак на данном этапе немного скучно, поскольку каждый, кто знаком с основами информационной безопасности или TCP, изучил ARP Poisoning. Другие атаки, вероятно, знакомы многим сетевым администраторам или поклонникам безопасности серверов. Если вас это беспокоит, существует множество очень хороших утилит сетевой защиты, начиная от бесплатных и утилит с открытым исходным кодом, таких какФырканьек программному обеспечению корпоративного уровня отЦискоил.с.. Кроме того, эти темы освещаются во многих информативных книгах, слишком многочисленных, чтобы обсуждать их все, но некоторые из них я нашел полезными в поисках сетевой безопасности, включаяДао мониторинга сетевой безопасности,Архитектуры сетевой безопасности, и классикаСетевой воин

В любом случае, я нахожу несколько тревожным, что люди предполагают, что для такого рода атак требуется доступ на уровне ISP или правительства. Они требуют не больше, чем средний CCIE имеет в области сетевых знаний и соответствующих инструментов (т. е. HPING и Netcat, а не совсем теоретические инструменты). Будьте бдительны, если хотите оставаться в безопасности.

Вот один из сценариев MITM, который меня беспокоит:

Допустим, в отеле проходит большой съезд. ACME Anvils и Terrific TNT — основные конкуренты в индустрии мультяшных опасностей. Кто-то, имеющий личный интерес к их продуктам, особенно к новым в разработке, был бы очень рад заполучить их планы. Назовем его WC, чтобы защитить его конфиденциальность.

WC заселяется в Famous Hotel пораньше, чтобы дать ему время на настройку. Он обнаруживает, что в отеле есть точки доступа Wi-Fi, которые называются FamousHotel-1 — FamousHotel-5. Поэтому он устанавливает точку доступа и называет ее FamousHotel-6, чтобы она вписывалась в ландшафт и соединяла ее с одной из других точек доступа.

Теперь участники конференции начинают регистрироваться. Так уж получилось, что один из крупнейших клиентов обеих компаний, назовем его RR, регистрируется и получает комнату рядом с туалетами. Он устанавливает свой ноутбук и начинает обмениваться электронными письмами со своими поставщиками.

WC хохочет как маньяк! «Мой коварный план работает!» — восклицает он. БАБАХ! КРАХ! Одновременно в него попадает наковальня и связка тротила. Похоже, службы безопасности ACME Anvils, Terrific TNT, RR и Famous Hotel работали сообща, предвидя эту самую атаку.

Бип-бип!

Редактировать:

Насколько своевременно ^* :Совет путешественникам: остерегайтесь «приманок» Wi-Fi в аэропортах

^{* Что ж, это было очень вовремя, что появилось в моей RSS-ленте.}

Это полностью зависит от ситуации. Насколько вы доверяете своему интернет-провайдеру? Насколько вы знаете конфигурацию своего интернет-провайдера? И насколько безопасна ваша собственная настройка?

Большинство "атак" вроде этой сейчас весьма вероятны с троянским вредоносным ПО, перехватывающим нажатия клавиш и пароли из файлов. Происходит постоянно, просто это не замечается и не сообщается так часто.

И как часто происходит утечка информации на уровне провайдера? Когда я работал на небольшого провайдера, мы перепродавали другой более высокий уровень доступа. Так что человек, который дозванивался до нас, попадал в нашу сеть, и если вы не общались с нашим веб-сервером или почтовым сервером, трафик шел к провайдеру более высокого уровня, и мы понятия не имеем, кто и что делал с вашими данными в своей сети, или насколько надежными были их администраторы.

Если вы хотите узнать, сколько точек кто-то может "потенциально" увидеть ваш трафик, сделайте трассировку, и вы увидите столько, сколько ответит в каждой точке маршрутизации. Это при условии, что между некоторыми из них нет замаскированных устройств. И что эти устройства на самом деле являются маршрутизаторами, а не чем-то, маскирующимся под маршрутизаторы.

Дело в том, что вы не можете знать, насколько распространены атаки. Нет никаких правил, которые говорят компаниямиметьраскрывать атаки, которые обнаружены, если только ваша кредитная информация не скомпрометирована. Большинство компаний не делают этого, потому что это стыдно (или слишком много работы). С количеством вредоносного ПО, плавающего там, оно, вероятно, гораздо более распространено, чем вы думаете, и даже в этом случае ключ в том, чтобы иметьобнаруженныйатака. Когда вредоносное ПО работает правильно, большинство пользователей не знают, когда это происходит. А реальные сценарии «человек, который рассердился и шпионит за трафиком провайдера» — это те, о которых компании не сообщают, если только им это не нужно.

Конечно, они игнорируют сценарии, когда компании вынуждены вести учет вашего трафика и раскрывать его государственным органам, не сообщая вам об этом. Если вы находитесь в США, благодаря Patriot Act библиотеки и интернет-провайдеры могут быть вынуждены регистрировать ваши перемещения данных, электронные письма и историю просмотров, не сообщая вам, что они собирают информацию о вас.

Другими словами, нет точных данных о том, насколько распространены атаки MITM и перехваты на пользователей, но есть свидетельства, которые говорят о том, что этот показатель выше, чем было бы комфортно, и большинство пользователей не слишком заботятся о получении этой информации.

У вас дома есть точка беспроводного доступа? На работе прокси-сервер?

Любая из этих точек входа/выхода может быть скомпрометирована без какого-либо обширного заговора правительства/провайдера. Также возможно скомпрометировать компоненты инфраструктуры провайдеров.

Вы используете веб-браузер? Довольно просто настроить браузер так, чтобы он направлял трафик к человеку посередине. Были вредоносные программы для браузеров, которые перенаправляли определенные банковские и брокерские транзакции с помощью этого метода, особенно для малого бизнеса с привилегиями проводного доступа.

Безопасность — это управление рисками... есть два основных атрибута того, как вы подходите к решению проблемы риска: вероятность возникновения и воздействие. Фактическая вероятность того, что вы попадете в серьезную автомобильную аварию, очень мала, но воздействие на вашу личную безопасность велико, поэтому вы пристегиваете ремень безопасности и сажайте младенца в автокресло.

Когда люди становятся ленивыми и/или скупыми, результатом часто становится катастрофа. В Мексиканском заливе BP проигнорировала все виды факторов риска, поскольку считала, что перекладывает риск на подрядчиков, и считала, что пробурила достаточно скважин без происшествий, поэтому вероятность инцидента была очень низкой.