Ataki MITM - jakie są ich szanse?

35

Jak prawdopodobne są ataki „Man in the Middle” na bezpieczeństwo w Internecie?

Jakie maszyny, oprócz serwerów ISP, będą „w środku” komunikacji internetowej?

Jakie są rzeczywiste zagrożenia związane z atakami MITM, a nie teoretyczne?

EDYCJA: W tym pytaniu nie interesują mnie bezprzewodowe punkty dostępowe. Muszą być oczywiście zabezpieczone, ale to oczywiste. Bezprzewodowe punkty dostępowe są wyjątkowe, ponieważ komunikacja jest nadawana dla każdego, kto słyszy. Normalna przewodowa komunikacja internetowa jest kierowana do miejsca docelowego - tylko maszyny na trasie będą widzieć ruch.

CJ7
źródło
13
Teoretyczne ryzyko i realne ryzyko są zasadniczo takie same, gdy mówimy o bezpieczeństwie IT
Mark Henderson
3
Farseeker x2, dziś jest teoretyczny, jutro jest prawdziwy. To jest różnica.
Chris S,
1
@Farseeker: różnica polega na tym, że ryzyko teoretyczne wiąże się ze scenariuszem, który może być mało prawdopodobny w prawdziwym świecie. Chociaż możliwe jest, że maszyna pośrodku może odszyfrować pakiety internetowe, należy zapytać: kiedy będzie maszyna pośrodku, która by to zrobiła?
CJ7
1
@Zephyr: Nawet niewielka liczba hakerów skupiających się na niewielkiej liczbie celów może wyrządzić znaczne szkody. Patrzę na ciebie Chi ... er ... "Fred". To niekoniecznie liczby, które robią różnicę, to motywacja.
Wstrzymano do odwołania.
1
Zobacz także Czy ataki typu „człowiek w środku” są niezwykle rzadkie? w sprawie bezpieczeństwa informacji
Gilles „SO- przestań być zły”

Odpowiedzi:

43

Najpierw porozmawiajmy o Border Gateway Protocol . Internet składa się z tysięcy punktów końcowych znanych jako AS (Autonomous Systems) i kierują dane za pomocą protokołu znanego jako BGP (Border Gateway Protocol). W ostatnich latach rozmiar tabeli routingu BGP gwałtownie rośnie, przekraczając znacznie ponad 100 000 pozycji. Nawet przy zwiększającej się mocy sprzętu do routingu ledwo jest w stanie dotrzymać kroku stale powiększającemu się rozmiarowi tablicy routingu BGP.

Trudną częścią naszego scenariusza MITM jest to, że BGP domyślnie ufa trasom, które zapewniają inne systemy autonomiczne, co oznacza, że ​​przy wystarczającym spamowaniu z AS, każda trasa może prowadzić do dowolnego systemu autonomicznego. Jest to najbardziej oczywisty sposób na ruch MITM i nie jest tylko teoretyczny - strona konwencji bezpieczeństwa Defcon została przekierowana na stronę analityka bezpieczeństwa w 2007 r. W celu zademonstrowania ataku. YouTube był niedostępny w kilku krajach azjatyckich, kiedy Pakistan ocenzurował witrynę i błędnie ogłosił swoją (martwą) trasę najlepszą dla kilku AS poza Pakistanem.

Garstka grup akademickich zbiera informacje o routingu BGP od współpracujących AS w celu monitorowania aktualizacji BGP, które zmieniają ścieżki ruchu. Ale bez kontekstu odróżnienie legalnej zmiany od złośliwego porwania może być trudne. Ścieżki ruchu zmieniają się cały czas, aby poradzić sobie z klęskami żywiołowymi, fuzjami firm itp.

Następnie do omówienia na liście „Globalnych wektorów ataku MITM” jest system nazw domen (DNS).

Chociaż serwer BIND Fine DNS firmy ISC przetrwał próbę czasu i wyszedł stosunkowo bez szwanku (podobnie jak oferty DNS Microsoftu i Cisco), znaleziono kilka znaczących luk, które mogą potencjalnie zagrozić całemu ruchowi przy użyciu kanonizowanych nazw w Internecie (tj. Praktycznie wszystkie ruch drogowy).

Nie będę nawet zawracał sobie głowy omawianiem badań Dana Kamińskiego nad zatruciem pamięci podręcznej DNS, ponieważ został on pobity na śmierć gdzie indziej, ale tylko po to, by Blackhat - Las Vegas otrzymał „najbardziej przesadny błąd w historii”. Istnieje jednak kilka innych błędów DNS, które poważnie zagroziły bezpieczeństwu w Internecie.

Błąd strefy aktualizacji dynamicznej spowodował awarię serwerów DNS i mógł zdalnie narazić komputery i pamięci podręczne DNS.

Błąd podpisów transakcji pozwalał na pełne zdalne złamanie uprawnień administratora dowolnego serwera z systemem BIND w momencie ogłoszenia luki, co oczywiście umożliwiło złamanie wpisów DNS.

Wreszcie , musimy omówić ARP Zatrucie , 802.11q retracing , STP-Trunk porwania , RIPv1 zastrzyk informacji o routingu i mnóstwo ataków na sieci OSPF.

Te ataki są „chowańcami” dla administratora sieci dla niezależnej firmy (słusznie, biorąc pod uwagę, że mogą to być jedyni, nad którymi mają kontrolę). Omawianie szczegółów technicznych każdego z tych ataków jest nieco nudne na tym etapie, ponieważ każdy, kto zna podstawowe zabezpieczenia informacji lub TCP, nauczył się zatrucia ARP. Inne ataki są prawdopodobnie znaną twarzą wielu administratorów sieci lub miłośników bezpieczeństwa serwerów. Jeśli masz takie obawy, istnieje wiele bardzo dobrych narzędzi do ochrony sieci, od bezpłatnych i otwartych narzędzi, takich jak Snort, po oprogramowanie na poziomie korporacyjnym od Cisco i HP. Alternatywnie, wiele książek informacyjne pokrycie tych tematów, zbyt liczne, by dyskutować, ale kilka znalazłem pomocne w dążeniu do bezpieczeństwa sieci obejmują Tao of Network Security Monitoring , sieci bezpieczeństwa architektur , a klasyczny Network Wojownik

W każdym razie wydaje mi się nieco niepokojące, że ludzie zakładają, że tego rodzaju ataki wymagają dostępu do usługodawców internetowych lub rządowych. Nie wymagają one więcej niż przeciętna wiedza CCIE na temat sieci i odpowiednich narzędzi (tj. HPING i Netcat, nie do końca teoretyczne narzędzia). Zachowaj czujność, jeśli chcesz zachować bezpieczeństwo.

ŹV -
źródło
8
Jasne, że tak. Myślisz, że przejdziesz na stronę bank.example.com , a zamiast tego przejdziesz na inną stronę, która jest serwerem proxy lub podszywa się pod twoje miejsce docelowe. Jeśli nie uważasz, że to atak MITM, nie rozumiesz, czym jest MITM.
duffbeer703
1
Cóż, jeśli chodzi o DNS, to oczywiście można po prostu wysłać pakiety do RZECZYWISTEGO adresu IP witryny, do której próbujesz dotrzeć. Możliwe jest wykonywanie takich czynności, jak szybkie przełączanie między stanem połączenia a stanem aktywnym dla BGP, jednocześnie wysyłając PRAWDZIWE trasy BGP. Lub, podobnie jak większość Internetu, istnieje trasa alternatywna do twojego hosta oprócz trasy, którą zatrułeś, możesz określić to jako parametr routingu. Jednak to świetnie, że interesujesz się tym Craigiem, Bezpieczeństwo to dość dziedzina, gdy myślisz, że masz coś posortowanego, coś innego wyskakuje.
ŹV -
1
Aby odpowiedzieć na inne pytanie dotyczące problemów z DNS, myślę, że możesz nie wiedzieć, jak działają te kroki. Atakujący zna właściwe miejsce docelowe i działa jako serwer proxy. Myślisz, że rozmawiasz z C, kiedy w rzeczywistości ruch przepływa A <-> B <-> C, a nie A <-> C, jak myślisz. Twoje informacje o routingu są zagrożone. Atakujący ma prawidłowe dane lub korzysta z serwera DNS, który nie jest zagrożony.
Bart Silverstrim
2
@ Craig-Brakuje Ci obrazu. MITM polega na wstawieniu agenta między celem a jego celem. Niezależnie od tego, czy jest to routing, DNS, czy cokolwiek innego; te ataki nie są jak filmy, w których stukniesz przycisk oznaczony MITM i złamiesz kod. Jest to środek do celu i jest częścią mieszanego ataku.
Bart Silverstrim
3
Odpowiedziałem na twoje pytanie dotyczące pakietów docierających do właściwego miejsca docelowego. System atakującego zna właściwą trasę. Informuje system, że jest to „poprawna” strona, a następnie przesyła je jak serwer proxy, wysyła żądania w Twoim imieniu, a następnie odpowiada. To cała „środkowa” część. TWOJA maszyna została oszukana i nie wie, co się dzieje. To jak żart, że twój system jest wyłączony z pętli.
Bart Silverstrim
14

Oto jeden scenariusz MITM, który mnie dotyczy:

Powiedzmy, że w hotelu jest duża konwencja. ACME Anvils i Terrific TNT to główni konkurenci w branży kreskówek. Ktoś, kto był bardzo zainteresowany ich produktami, szczególnie nowymi w rozwoju, bardzo chciałby zdobyć łapę na swoich planach. Nazwiemy go WC, aby chronić jego prywatność.

WC zamelduje się w Famous Hotel wcześniej, aby dać mu trochę czasu na ustawienie. Odkrywa, że ​​hotel ma punkty dostępu Wi-Fi o nazwie FamousHotel-1 za pośrednictwem FamousHotel-5. Więc ustanawia punkt dostępu i nazywa go FamousHotel-6, dzięki czemu wtapia się w krajobraz i łączy go z jednym z pozostałych punktów dostępowych.

Teraz konwenci zaczynają się zameldować. Tak się składa, że ​​jeden z największych klientów obu firm, nazwiemy go RR, zamelduje się i dostanie pokój w pobliżu toalet. Ustawia laptopa i zaczyna wymieniać e-maile ze swoimi dostawcami.

WC wariuje maniakalnie! „Mój przebiegły plan działa!”, Wykrzykuje. BUM! WYPADEK! Jednocześnie uderza go kowadło i pakiet TNT. Wygląda na to, że zespoły bezpieczeństwa ACME Anvils, Terrific TNT, RR i Famous Hotel pracowały razem, oczekując tego samego ataku.

Sygnał dźwiękowy!

Edytować:

Jak na czas * : Wskazówka: Uważaj na lotniskowe Wi-Fi „honeypots”

* Cóż, nadszedł czas, aby pojawił się w moim kanale RSS.

Wstrzymano do odwołania.
źródło
OK, ale czy bezprzewodowa gra to zupełnie inna gra w piłkę? Być może powinienem ograniczyć moje pytanie do połączeń przewodowych.
CJ7,
1
@Craig: Punkt jest taki sam. Najprawdopodobniej ktoś jest w Twojej sieci lokalnej, słucha, bezprzewodowo lub przewodowo. Znalezienie MitM w Internecie zasadniczo się nie wydarzy.
Chris S
5
+1 dla
kowadła
@Chris: Jak ktoś będzie w mojej sieci lokalnej, jeśli nie będzie punktu dostępu bezprzewodowego? Złośliwe oprogramowanie na jednym z komputerów? Jeśli tak, to w jaki sposób dane zostaną wysłane z sieci do hakera?
CJ7
2
@Craig: Masz całkowitą rację, ataki MITM nie istnieją. Nie martw się, jesteśmy tylko bandą paranoicznych kujonów ukrywających się przed NSA.
duffbeer703
5

To całkowicie zależy od sytuacji. Jak bardzo ufasz swojemu dostawcy usług internetowych? Ile wiesz o konfiguracji twojego dostawcy usług internetowych? A jak bezpieczne jest twoje własne ustawienie?

Większość takich „ataków” obecnie jest bardzo prawdopodobne, gdy złośliwe oprogramowanie trojan przechwytuje naciśnięcia klawiszy i hasła z plików. Zdarza się cały czas, tylko tyle, że nie jest tak zauważany ani zgłaszany.

A jak często informacje wyciekają na poziomie dostawcy usług internetowych? Kiedy pracowałem dla małego ISP, odsprzedawaliśmy kolejny wyższy poziom dostępu. Tak więc osoba, która do nas zadzwoniła, weszła do naszej sieci, a jeśli nie rozmawiałeś z naszym serwerem internetowym lub pocztowym, ruch trafił do dostawcy wyższego poziomu, a my nie mamy pojęcia, kto zrobił to z Twoimi danymi w ich sieci, lub jak wiarygodni byli ich administratorzy.

Jeśli chcesz wiedzieć, ile miejsc ktoś może „potencjalnie” zobaczyć w ruchu, wykonaj śledzenie trasy, a zobaczysz tyle, ile zareaguje w każdym punkcie trasy. Zakłada się, że ukryte urządzenia nie znajdują się pomiędzy niektórymi z nich. I że wszystkie te urządzenia są routerami, a nie czymś udającym routery.

Chodzi o to, że nie możesz wiedzieć, jak częste są ataki. Nie ma żadnych przepisów mówiących, że firmy muszą ujawniać ataki, które zostaną wykryte, chyba że dane osobowe zostaną naruszone. Większość firm tego nie robi, ponieważ jest to zawstydzające (lub zbyt dużo pracy). Biorąc pod uwagę ilość szkodliwego oprogramowania, prawdopodobnie jest ono o wiele bardziej rozpowszechnione niż mogłoby się wydawać, a nawet wtedy kluczem jest wykrycie ataku. Gdy złośliwe oprogramowanie działa poprawnie, większość użytkowników nie wie, kiedy to nastąpi. A rzeczywisty scenariusz „osoba, która się denerwuje” i „szpieguje ruch drogowy u dostawcy”, nie jest zgłaszany przez firmy, chyba że jest to konieczne.

Oczywiście ignorują one scenariusze, w których firmy są zobowiązane do prowadzenia rejestrów ruchu i ujawniania ich agencjom rządowym bez uprzedzenia. Jeśli jesteś w USA, dzięki Patriot Act, biblioteki i dostawcy usług internetowych mogą być zmuszeni do rejestrowania twoich podróży danych i e-maili oraz historii przeglądania bez informowania cię, że zbierają informacje o tobie.

Innymi słowy, nie ma twardych danych na temat tego, jak powszechne są ataki MITM i przechwytywania na użytkowników, ale istnieją dowody, które sugerowałyby, że są wyższe niż byłyby wygodne, a większość użytkowników nie dba o to, aby uzyskać te informacje.

Bart Silverstrim
źródło
3

Prawdziwe pytanie brzmi: „ile z moich ograniczonych zasobów powinienem przeznaczyć na ataki MITM zamiast gdzie indziej?”

Zależy to w dużej mierze od charakteru zaangażowanej komunikacji i nie ma jednej odpowiedzi. Z mojego doświadczenia wynika, że ​​nie jest to duże ryzyko w porównaniu z innymi zagrożeniami bezpieczeństwa, ale zazwyczaj jest to tanie, aby zminimalizować (np. Certyfikat SSL i często używać HTTPS), więc naprawienie go jest tańsze niż poświęcenie czasu na ocenę może to być ryzyko.

DrStalker
źródło
https lub ssl nie chroni Cię przed MITM. Po prostu działam jako agent użytkownika dla zamierzonego celu, odbierając certyfikat i odszyfrowując, podczas gdy po prostu ponownie szyfruję z nowym certyfikatem, zakładając, że mogę znaleźć chętnego roota ok.
YoYo
2

Czy masz bezprzewodowy punkt dostępu w domu? Serwer proxy w pracy?

Każdy z tych punktów wejścia / wyjścia może zostać zagrożony bez jakiegoś rozległego spisku rządu / osy. Możliwe jest także, że zostaną naruszone komponenty infrastruktury ISP.

Czy korzystasz z przeglądarki internetowej? Konfigurowanie przeglądarki tak, aby kierowała ruch do mężczyzny pośrodku, jest dość proste. Pojawiło się złośliwe oprogramowanie przeglądarki, które przekierowywało niektóre transakcje bankowe i maklerskie przy użyciu tej metody, szczególnie dla małych firm z uprawnieniami przelewowymi.

Bezpieczeństwo polega na zarządzaniu ryzykiem ... istnieją dwa podstawowe atrybuty podejścia do ryzyka: prawdopodobieństwo wystąpienia i wpływ. Rzeczywiste prawdopodobieństwo poważnego wypadku samochodowego jest bardzo niskie, ale wpływ na bezpieczeństwo osobiste jest wysoki, więc zapnij pasy i umieść dziecko w foteliku samochodowym.

Kiedy ludzie stają się leniwi i / lub tani, katastrofa jest często rezultatem. W Zatoce Meksykańskiej BP zignorowało wszelkiego rodzaju czynniki ryzyka, ponieważ uważali, że przenoszą ryzyko na kontrahentów i doszli do wniosku, że wykonali wystarczającą liczbę otworów bez incydentu, więc prawdopodobieństwo incydentu było bardzo niskie.

duffbeer703
źródło
1
Chciałbym porozmawiać o tym> 1. Nie mam problemu z tym, że ludzie podejmują tego rodzaju obliczone ryzyko z własnymi danymi, ale pomijają takie rzeczy jak MITM, gdy dane innych są w Internecie - czy to klienci, pacjenci, czy cokolwiek innego - jest godne ubolewania (i zdecydowanie zbyt powszechne). Nie można oczekiwać, że przewidujesz każdy wektor ataku lub scenariusz ataku, ale niezbędne jest warstwowe, kompleksowe podejście do ograniczania ryzyka i zarządzania ryzykiem.
nedm
0

Ataki MitM występują prawie wyłącznie w sieci lokalnej. Połączenie z Internetem wymaga dostępu do usługodawcy internetowego lub na poziomie rządowym - i bardzo rzadko ktoś o takim poziomie zasobów poszukuje danych.

Gdy ktoś wejdzie do twojej sieci, masz poważne problemy, ale poza tym prawdopodobnie nic ci nie jest.

Dentrasi
źródło
Nie prawda. Spójrz na post zyphera.
duffbeer703
@duffbeer: patrz moje komentarze do posta zephyr
CJ7
MITM to wszystko wstawiane między źródłem a miejscem docelowym. Może to być sieć lokalna lub u dostawcy usług internetowych, gdziekolwiek pomiędzy. Skąd wiesz, że ktoś w miejscu docelowym lub w transporcie nie chce twoich informacji? Jest policja, która nadużyła swoich informacji, aby prześladować ludzi. Pospolity? Nie. Ale czy naprawdę wiesz, kto nadużył swojej mocy i nigdy nie został odkryty?
Bart Silverstrim
0

@Craig: W swojej edycji masz trochę dezinformacji. Sieć bezprzewodowa nie jest oparta na transmisji. Dane przesyłane w sesji komunikacji bezprzewodowej (między klientem bezprzewodowym a punktem dostępu bezprzewodowego) nie są „nadawane” dla wszystkich, aby usłyszeć. Klient bezprzewodowy łączy się z punktem dostępowym i następuje komunikacja między tym klientem a punktem dostępowym. Jeśli miałeś na myśli, że dane są nadawane, ponieważ są zamknięte w sygnale radiowym, który jest „nadawany”, to tak, można je obwąchać za pomocą bardzo specyficznego sprzętu bezprzewodowego (karty bezprzewodowe obsługujące RMON) i narzędzi programowych. Klienci bezprzewodowi, którzy nie skojarzyli się z tym samym punktem dostępu, nie mają mechanizmu przechwytywania lub „słyszenia” ruchu bezprzewodowego, z wyjątkiem wyżej wymienionego sprzętu. Komunikacja bezprzewodowa w sieciach TCP \ IP działa zasadniczo tak samo, jak w przypadku sieci przewodowych, z wyjątkiem mediów transmisyjnych: fal radiowych w przeciwieństwie do przewodów fizycznych. Gdyby ruch Wi-Fi był transmitowany, aby wszyscy mogli go podsłuchać, nigdy nie opuściłby deski kreślarskiej.

To powiedziawszy, uważam, że sieci bezprzewodowe stanowią większe ryzyko ataków MITM, ponieważ fizyczny dostęp nie jest wymagany do uzyskania dostępu do sieci bezprzewodowej w celu „wstrzyknięcia” nieuczciwego systemu w celu przechwycenia ruchu.

joeqwerty
źródło
powiedziałeś, że bezprzewodowe sygnały radiowe są nadawane i mogą być przechwycone przez sprzęt. W jaki sposób moje pytanie temu zaprzecza?
CJ7,
Powiedziałeś, że ruch bezprzewodowy był nadawany przez wszystkich, co nie jest poprawne technicznie. Sygnał radiowy jest nadawany w tym sensie, że opiera się na falach radiowych, ale komunikacja jest punkt-punkt między klientem bezprzewodowym a bezprzewodowym punktem dostępu. Klient bezprzewodowy nie rozgłasza ruchu, który wszyscy słyszą. Stwierdzenie, że ruch jest nadawany dla wszystkich, może usłyszeć, że sieć bezprzewodowa działa w sposób, w jaki nie działa.
joeqwerty
Problem rozgłaszania w odniesieniu do nowoczesnej łączności bezprzewodowej 802.11 jest nieco dyskusyjny, ponieważ warstwa transportowa jest w większości przypadków chroniona przez jakąś formę szyfrowania WPA. Twój ruch przewodowy jest chroniony przez jego fizyczną lokalizację i blokadę w szafie elektrycznej. W większości środowisk, w których pracowałem, sieci klientów, w których infrastruktura przełączników i okablowania są łatwo dostępne, są traktowane jako niezaufane sieci.
duffbeer703