Ataki MITM - jakie są ich szanse?

Jak prawdopodobne są ataki „Man in the Middle” na bezpieczeństwo w Internecie?

Jakie maszyny, oprócz serwerów ISP, będą „w środku” komunikacji internetowej?

Jakie są rzeczywiste zagrożenia związane z atakami MITM, a nie teoretyczne?

EDYCJA: W tym pytaniu nie interesują mnie bezprzewodowe punkty dostępowe. Muszą być oczywiście zabezpieczone, ale to oczywiste. Bezprzewodowe punkty dostępowe są wyjątkowe, ponieważ komunikacja jest nadawana dla każdego, kto słyszy. Normalna przewodowa komunikacja internetowa jest kierowana do miejsca docelowego - tylko maszyny na trasie będą widzieć ruch.

Najpierw porozmawiajmy o Border Gateway Protocol . Internet składa się z tysięcy punktów końcowych znanych jako AS (Autonomous Systems) i kierują dane za pomocą protokołu znanego jako BGP (Border Gateway Protocol). W ostatnich latach rozmiar tabeli routingu BGP gwałtownie rośnie, przekraczając znacznie ponad 100 000 pozycji. Nawet przy zwiększającej się mocy sprzętu do routingu ledwo jest w stanie dotrzymać kroku stale powiększającemu się rozmiarowi tablicy routingu BGP.

Trudną częścią naszego scenariusza MITM jest to, że BGP domyślnie ufa trasom, które zapewniają inne systemy autonomiczne, co oznacza, że ​​przy wystarczającym spamowaniu z AS, każda trasa może prowadzić do dowolnego systemu autonomicznego. Jest to najbardziej oczywisty sposób na ruch MITM i nie jest tylko teoretyczny - strona konwencji bezpieczeństwa Defcon została przekierowana na stronę analityka bezpieczeństwa w 2007 r. W celu zademonstrowania ataku. YouTube był niedostępny w kilku krajach azjatyckich, kiedy Pakistan ocenzurował witrynę i błędnie ogłosił swoją (martwą) trasę najlepszą dla kilku AS poza Pakistanem.

Garstka grup akademickich zbiera informacje o routingu BGP od współpracujących AS w celu monitorowania aktualizacji BGP, które zmieniają ścieżki ruchu. Ale bez kontekstu odróżnienie legalnej zmiany od złośliwego porwania może być trudne. Ścieżki ruchu zmieniają się cały czas, aby poradzić sobie z klęskami żywiołowymi, fuzjami firm itp.

Następnie do omówienia na liście „Globalnych wektorów ataku MITM” jest system nazw domen (DNS).

Chociaż serwer BIND Fine DNS firmy ISC przetrwał próbę czasu i wyszedł stosunkowo bez szwanku (podobnie jak oferty DNS Microsoftu i Cisco), znaleziono kilka znaczących luk, które mogą potencjalnie zagrozić całemu ruchowi przy użyciu kanonizowanych nazw w Internecie (tj. Praktycznie wszystkie ruch drogowy).

Nie będę nawet zawracał sobie głowy omawianiem badań Dana Kamińskiego nad zatruciem pamięci podręcznej DNS, ponieważ został on pobity na śmierć gdzie indziej, ale tylko po to, by Blackhat - Las Vegas otrzymał „najbardziej przesadny błąd w historii”. Istnieje jednak kilka innych błędów DNS, które poważnie zagroziły bezpieczeństwu w Internecie.

Błąd strefy aktualizacji dynamicznej spowodował awarię serwerów DNS i mógł zdalnie narazić komputery i pamięci podręczne DNS.

Błąd podpisów transakcji pozwalał na pełne zdalne złamanie uprawnień administratora dowolnego serwera z systemem BIND w momencie ogłoszenia luki, co oczywiście umożliwiło złamanie wpisów DNS.

Wreszcie , musimy omówić ARP Zatrucie , 802.11q retracing , STP-Trunk porwania , RIPv1 zastrzyk informacji o routingu i mnóstwo ataków na sieci OSPF.

Te ataki są „chowańcami” dla administratora sieci dla niezależnej firmy (słusznie, biorąc pod uwagę, że mogą to być jedyni, nad którymi mają kontrolę). Omawianie szczegółów technicznych każdego z tych ataków jest nieco nudne na tym etapie, ponieważ każdy, kto zna podstawowe zabezpieczenia informacji lub TCP, nauczył się zatrucia ARP. Inne ataki są prawdopodobnie znaną twarzą wielu administratorów sieci lub miłośników bezpieczeństwa serwerów. Jeśli masz takie obawy, istnieje wiele bardzo dobrych narzędzi do ochrony sieci, od bezpłatnych i otwartych narzędzi, takich jak Snort, po oprogramowanie na poziomie korporacyjnym od Cisco i HP. Alternatywnie, wiele książek informacyjne pokrycie tych tematów, zbyt liczne, by dyskutować, ale kilka znalazłem pomocne w dążeniu do bezpieczeństwa sieci obejmują Tao of Network Security Monitoring , sieci bezpieczeństwa architektur , a klasyczny Network Wojownik

W każdym razie wydaje mi się nieco niepokojące, że ludzie zakładają, że tego rodzaju ataki wymagają dostępu do usługodawców internetowych lub rządowych. Nie wymagają one więcej niż przeciętna wiedza CCIE na temat sieci i odpowiednich narzędzi (tj. HPING i Netcat, nie do końca teoretyczne narzędzia). Zachowaj czujność, jeśli chcesz zachować bezpieczeństwo.

Oto jeden scenariusz MITM, który mnie dotyczy:

Powiedzmy, że w hotelu jest duża konwencja. ACME Anvils i Terrific TNT to główni konkurenci w branży kreskówek. Ktoś, kto był bardzo zainteresowany ich produktami, szczególnie nowymi w rozwoju, bardzo chciałby zdobyć łapę na swoich planach. Nazwiemy go WC, aby chronić jego prywatność.

WC zamelduje się w Famous Hotel wcześniej, aby dać mu trochę czasu na ustawienie. Odkrywa, że ​​hotel ma punkty dostępu Wi-Fi o nazwie FamousHotel-1 za pośrednictwem FamousHotel-5. Więc ustanawia punkt dostępu i nazywa go FamousHotel-6, dzięki czemu wtapia się w krajobraz i łączy go z jednym z pozostałych punktów dostępowych.

Teraz konwenci zaczynają się zameldować. Tak się składa, że ​​jeden z największych klientów obu firm, nazwiemy go RR, zamelduje się i dostanie pokój w pobliżu toalet. Ustawia laptopa i zaczyna wymieniać e-maile ze swoimi dostawcami.

WC wariuje maniakalnie! „Mój przebiegły plan działa!”, Wykrzykuje. BUM! WYPADEK! Jednocześnie uderza go kowadło i pakiet TNT. Wygląda na to, że zespoły bezpieczeństwa ACME Anvils, Terrific TNT, RR i Famous Hotel pracowały razem, oczekując tego samego ataku.

Sygnał dźwiękowy!

Edytować:

Jak na czas ^* : Wskazówka: Uważaj na lotniskowe Wi-Fi „honeypots”

^{* Cóż, nadszedł czas, aby pojawił się w moim kanale RSS.}

To całkowicie zależy od sytuacji. Jak bardzo ufasz swojemu dostawcy usług internetowych? Ile wiesz o konfiguracji twojego dostawcy usług internetowych? A jak bezpieczne jest twoje własne ustawienie?

Większość takich „ataków” obecnie jest bardzo prawdopodobne, gdy złośliwe oprogramowanie trojan przechwytuje naciśnięcia klawiszy i hasła z plików. Zdarza się cały czas, tylko tyle, że nie jest tak zauważany ani zgłaszany.

A jak często informacje wyciekają na poziomie dostawcy usług internetowych? Kiedy pracowałem dla małego ISP, odsprzedawaliśmy kolejny wyższy poziom dostępu. Tak więc osoba, która do nas zadzwoniła, weszła do naszej sieci, a jeśli nie rozmawiałeś z naszym serwerem internetowym lub pocztowym, ruch trafił do dostawcy wyższego poziomu, a my nie mamy pojęcia, kto zrobił to z Twoimi danymi w ich sieci, lub jak wiarygodni byli ich administratorzy.

Jeśli chcesz wiedzieć, ile miejsc ktoś może „potencjalnie” zobaczyć w ruchu, wykonaj śledzenie trasy, a zobaczysz tyle, ile zareaguje w każdym punkcie trasy. Zakłada się, że ukryte urządzenia nie znajdują się pomiędzy niektórymi z nich. I że wszystkie te urządzenia są routerami, a nie czymś udającym routery.

Chodzi o to, że nie możesz wiedzieć, jak częste są ataki. Nie ma żadnych przepisów mówiących, że firmy muszą ujawniać ataki, które zostaną wykryte, chyba że dane osobowe zostaną naruszone. Większość firm tego nie robi, ponieważ jest to zawstydzające (lub zbyt dużo pracy). Biorąc pod uwagę ilość szkodliwego oprogramowania, prawdopodobnie jest ono o wiele bardziej rozpowszechnione niż mogłoby się wydawać, a nawet wtedy kluczem jest wykrycie ataku. Gdy złośliwe oprogramowanie działa poprawnie, większość użytkowników nie wie, kiedy to nastąpi. A rzeczywisty scenariusz „osoba, która się denerwuje” i „szpieguje ruch drogowy u dostawcy”, nie jest zgłaszany przez firmy, chyba że jest to konieczne.

Oczywiście ignorują one scenariusze, w których firmy są zobowiązane do prowadzenia rejestrów ruchu i ujawniania ich agencjom rządowym bez uprzedzenia. Jeśli jesteś w USA, dzięki Patriot Act, biblioteki i dostawcy usług internetowych mogą być zmuszeni do rejestrowania twoich podróży danych i e-maili oraz historii przeglądania bez informowania cię, że zbierają informacje o tobie.

Innymi słowy, nie ma twardych danych na temat tego, jak powszechne są ataki MITM i przechwytywania na użytkowników, ale istnieją dowody, które sugerowałyby, że są wyższe niż byłyby wygodne, a większość użytkowników nie dba o to, aby uzyskać te informacje.

Prawdziwe pytanie brzmi: „ile z moich ograniczonych zasobów powinienem przeznaczyć na ataki MITM zamiast gdzie indziej?”

Zależy to w dużej mierze od charakteru zaangażowanej komunikacji i nie ma jednej odpowiedzi. Z mojego doświadczenia wynika, że ​​nie jest to duże ryzyko w porównaniu z innymi zagrożeniami bezpieczeństwa, ale zazwyczaj jest to tanie, aby zminimalizować (np. Certyfikat SSL i często używać HTTPS), więc naprawienie go jest tańsze niż poświęcenie czasu na ocenę może to być ryzyko.

Czy masz bezprzewodowy punkt dostępu w domu? Serwer proxy w pracy?

Każdy z tych punktów wejścia / wyjścia może zostać zagrożony bez jakiegoś rozległego spisku rządu / osy. Możliwe jest także, że zostaną naruszone komponenty infrastruktury ISP.

Czy korzystasz z przeglądarki internetowej? Konfigurowanie przeglądarki tak, aby kierowała ruch do mężczyzny pośrodku, jest dość proste. Pojawiło się złośliwe oprogramowanie przeglądarki, które przekierowywało niektóre transakcje bankowe i maklerskie przy użyciu tej metody, szczególnie dla małych firm z uprawnieniami przelewowymi.

Bezpieczeństwo polega na zarządzaniu ryzykiem ... istnieją dwa podstawowe atrybuty podejścia do ryzyka: prawdopodobieństwo wystąpienia i wpływ. Rzeczywiste prawdopodobieństwo poważnego wypadku samochodowego jest bardzo niskie, ale wpływ na bezpieczeństwo osobiste jest wysoki, więc zapnij pasy i umieść dziecko w foteliku samochodowym.

Kiedy ludzie stają się leniwi i / lub tani, katastrofa jest często rezultatem. W Zatoce Meksykańskiej BP zignorowało wszelkiego rodzaju czynniki ryzyka, ponieważ uważali, że przenoszą ryzyko na kontrahentów i doszli do wniosku, że wykonali wystarczającą liczbę otworów bez incydentu, więc prawdopodobieństwo incydentu było bardzo niskie.

Ataki MitM występują prawie wyłącznie w sieci lokalnej. Połączenie z Internetem wymaga dostępu do usługodawcy internetowego lub na poziomie rządowym - i bardzo rzadko ktoś o takim poziomie zasobów poszukuje danych.

Gdy ktoś wejdzie do twojej sieci, masz poważne problemy, ale poza tym prawdopodobnie nic ci nie jest.

@Craig: W swojej edycji masz trochę dezinformacji. Sieć bezprzewodowa nie jest oparta na transmisji. Dane przesyłane w sesji komunikacji bezprzewodowej (między klientem bezprzewodowym a punktem dostępu bezprzewodowego) nie są „nadawane” dla wszystkich, aby usłyszeć. Klient bezprzewodowy łączy się z punktem dostępowym i następuje komunikacja między tym klientem a punktem dostępowym. Jeśli miałeś na myśli, że dane są nadawane, ponieważ są zamknięte w sygnale radiowym, który jest „nadawany”, to tak, można je obwąchać za pomocą bardzo specyficznego sprzętu bezprzewodowego (karty bezprzewodowe obsługujące RMON) i narzędzi programowych. Klienci bezprzewodowi, którzy nie skojarzyli się z tym samym punktem dostępu, nie mają mechanizmu przechwytywania lub „słyszenia” ruchu bezprzewodowego, z wyjątkiem wyżej wymienionego sprzętu. Komunikacja bezprzewodowa w sieciach TCP \ IP działa zasadniczo tak samo, jak w przypadku sieci przewodowych, z wyjątkiem mediów transmisyjnych: fal radiowych w przeciwieństwie do przewodów fizycznych. Gdyby ruch Wi-Fi był transmitowany, aby wszyscy mogli go podsłuchać, nigdy nie opuściłby deski kreślarskiej.

To powiedziawszy, uważam, że sieci bezprzewodowe stanowią większe ryzyko ataków MITM, ponieważ fizyczny dostęp nie jest wymagany do uzyskania dostępu do sieci bezprzewodowej w celu „wstrzyknięcia” nieuczciwego systemu w celu przechwycenia ruchu.