it-swarm-eu.dev

Sind "Mann in der Mitte" -Angriffe äußerst selten?

In "Einige Gedanken zur Kontroverse um die iPhone-Kontaktliste und zur Sicherheit der App" , cdixon blog

Chris Dixon gibt eine Erklärung zur Web-Sicherheit ab

Viele Kommentatoren haben vorgeschlagen, dass ein primäres Sicherheitsrisiko darin besteht, dass die Daten im Klartext übertragen werden. Das Verschlüsseln über das Kabel ist immer eine gute Idee, aber in Wirklichkeit sind "Man-in-the-Middle" -Angriffe äußerst selten. Ich würde mich hauptsächlich um das kümmern weitaus häufigere Fälle von 1) Diebstahl von Personen (Insidern oder Außenseitern) in der Unternehmensdatenbank, 2) Vorladung der Regierung für die Unternehmensdatenbank. Der beste Schutz gegen diese Risiken besteht darin, die Daten so zu verschlüsseln, dass Hacker und das Unternehmen sie nicht entschlüsseln können (oder die Daten überhaupt nicht an die Server senden).

Ich frage mich, ob es irgendwelche kalten, harten, realen Daten gibt, um diese Behauptung zu stützen - sind "Mann in der Mitte" -Angriffe tatsächlich selten in die reale Welt, basierend auf gesammelten Daten von tatsächlichen Eingriffen oder Sicherheitsvorfällen?

135
Jeff Atwood

Meine derzeitige Lieblingsressource für kalte, harte, reale Daten ist der Verizon 2011 Data Breach Investigations Report . Ein Auszug aus Seite 69 des Berichts:

Aktionen

Die drei wichtigsten Kategorien für Bedrohungsaktionen waren Hacking, Malware und Social. Die am häufigsten verwendeten Arten von Hacking-Aktionen waren die Verwendung gestohlener Anmeldeinformationen, das Ausnutzen von Hintertüren und Man-in-the-Middle-Angriffe.

Wenn ich das lese, schließe ich, dass es sich um eine sekundäre Aktion handelt, die angewendet wird, wenn jemand im System Fuß gefasst hat, aber die Daten der niederländischen High Tech Crime Unit besagen, dass dies durchaus besorgniserregend ist. Von den 32 Datenschutzverletzungen, aus denen sich ihre Statistiken zusammensetzten, betrafen 15 MITM-Aktionen.

Aber hören Sie auf keinen Fall hier auf. Dieser gesamte Bericht ist eine Goldmine des Lesens und die beste Arbeit, die mir begegnet ist, um zu demonstrieren, wo Bedrohungen wirklich sind.

Weitere Informationen zu MiTM-Angriffen und -Methoden finden Sie unter diese hervorragende Antwort auf MITM-Angriffe - wie wahrscheinlich sind sie? Bei Serverfault.

Ich würde noch weiter gehen und sagen, dass jede Instanz eines SSL-Root, der ein schlechtes Zertifikat abhustet, ein Zeichen für einen Angriff ist, sonst wären sie ziemlich nutzlose Kompromisse. Schließlich, weil ich dieser Typ bin, würde ich definitiv versuchen, in Ihre Netzwerkbox außerhalb des Gebäudes zu spleißen, wenn ich Ihren Pentest machen würde. Mit einem Software-Radio kann man sogar über eine Kabelverbindung erstaunliche Dinge tun.

103
Jeff Ferland

Die einfache Antwort lautet Nein - es gibt eine Vielzahl von Beweisen dafür, dass diese Art von Angriff häufig ist.

Einige der von Banken eingeführten Kontrollen (Zwei-Faktor-Authentifizierung usw.) waren teilweise erforderlich, um die immer häufiger auftretenden MITM-Angriffe auf Kunden zu bekämpfen.

Während es andere Formen von Angriffen gibt (ein Kompromiss zwischen dem Client ist gut), die jetzt möglicherweise einfacher durch die Verwendung von Malware zum Platzieren eines Trojaners auf dem Client-PC durchgeführt werden können, ist MITM in den meisten Fällen noch relativ einfach.

Die wichtigste Tatsache ist, dass Kriminelle dazu neigen, an einer guten Kapitalrendite zu arbeiten. Der ROI für einen Angreifer ist sehr gut:

  • geringes Risiko, erwischt zu werden
  • geringes körperliches Risiko
  • einige Anstrengungen bei der Kodierung des Exploits können zu einem realen Geldgewinn führen
  • der Code kann dann wiederverwendet oder an andere Kriminelle verkauft werden

Wie @CanBerk sagte, werden wir niemals "vollständig sichere" Protokolle bekommen, aber es ist eine Teillösung, Kriminellen das Leben schwerer zu machen. MITM wird nicht verschwinden, bis es zu schwierig ist, profitabel zu sein.

29
Rory Alsop

Der jüngste Kompromiss der Zertifizierungsstelle DigiNotar führte zur Ausstellung von über 500 gefälschten Zertifikaten für google.com, Microsoft.com, cia .gov und Hunderte anderer Websites. Diese Zertifikate haben irgendwie ihren Weg in 40 verschiedene iranische ISPs gefunden, was zu einem massiven Man-in-the-Middle-Angriff führte , Es wurde bestätigt, dass im Laufe von mehreren Monaten über 300.000 iranische Benutzer betroffen waren.

Die verantwortlichen Hacker - haben bestätigt, dass dieselben sind, die für den vorherigen Angriff auf den CA Comodo verantwortlich sind. behauptet, vollen Zugriff auf fünf andere Zertifizierungsstellen zu haben, obwohl er (sie) nur eine von ihnen genannt hat.

Also ja, Man-in-the-Middle-Angriffe sind auch heute noch eine sehr reale Bedrohung .


Hinweis: Um zu verhindern, dass Ihnen diese Art von Angriffen widerfahren, sollten Sie ein Programm/Addon verwenden, um Zertifikate auf verdächtige Änderungen wie Certificate Patrol zu verfolgen, oder versuchen Sie es mit einem die ausgefallenen neuen Ersetzungen für das Zertifizierungsstellenmodell , von dem alle sprechen.

Bei dieser Antwort geht es hauptsächlich um Chris Dixons Aussage, mehr als um die Antwort "Wie viele Angriffe kommen von MiTM?".

Wenn wir die unterschiedliche Art und Weise, wie man möglicherweise MiTM werden könnte, und die gegebenen Konsequenzen behaupten, können wir meiner Meinung nach einige Schlussfolgerungen ziehen, ob es uns wichtig ist, wie häufig MiTM-Angriffe sind oder nicht.

Wenn wir uns einige Risiken für die verschiedenen Situationen ansehen, könnten wir so etwas haben wie:

  • Jemand, der die Datenbank stiehlt, indem er die Webanwendung selbst ausnutzt?
  • Jemand, der Benutzer/Administrator über MiTM-Angriff angreift

Ich würde sagen, das erste hat (im Allgemeinen) eine viel größere Wirkung und sollte in vielerlei Hinsicht am meisten gemildert und das erste behandelt werden.

Damit Punkt 2 Punkt 1 überwiegt, müsste MiTM wirklich verrückt sein, damit wir es als Sicherheitshindernis wie Punkt 1 bewerten können (wie Chris im Zitat angibt)!

Nun sehen wir uns die verschiedenen Angriffsvektoren an. Zuerst für MiTM. Um MiTM zu werden, könnte man zum Beispiel:

  • Besitzen Sie einen betrügerischen drahtlosen Zugangspunkt. Dies ist trivial, aber für einen gezielten Angriff müssten Sie sich mit Ihrer Webanwendung am selben physischen Ort des Opfers befinden.
  • Schnüffeln Sie unverschlüsselte drahtlose Daten oder Daten, die über einen HUB eingehen (existieren sie überhaupt noch?)
  • Verwenden Sie ARP Poisoning, um die Benutzer anzugreifen. Nicht trivial, es sei denn, Sie befinden sich im selben Netzwerk wie die Zielbenutzer, die Ihre Webanwendung verwenden.
  • DNS-Cache-Vergiftung. Damit dies funktioniert, müssen Sie das DNS vergiften, das von den Zielbenutzern verwendet wird. Wenn der DNS nicht richtig eingerichtet ist, ist dieser Angriff etwas trivial durchzuführen, es gibt jedoch eine Menge, auf die man sich verlassen kann, damit dies funktioniert.
  • Phishing-Angriffe. Diese täuschen immer noch die ahnungslosen und naiven Benutzer, jedoch liegt ein Großteil der Verantwortung beim Benutzer.

All dies, um nur einen oder eine kleine Teilmenge von Benutzern anzugreifen. Selbst dann, wenn diese Benutzer angegriffen werden, erhalten sie in ihren Browsern eine Warnung (es gibt auch Möglichkeiten, dies anzugreifen, aber ich greife das hier nicht auf). Nur wenn Sie eine Stammzertifizierungsstelle kompromittieren oder einen Fehler im Algorithmus zum Generieren der Zertifikate finden, dürfen Sie sich als vertrauenswürdiger Zertifikatsaussteller ausgeben.

Wenn wir uns andererseits all die potenziellen bösen Dinge ansehen, die wir sehen können, wenn wir nicht in genügend Sicherheit der Webapp selbst investieren, sehen wir Angriffsmethoden wie:

  • SQL Injection - trivial und einfach zu nutzen und zu entdecken. Sehr hohe Schadenswirkung.
  • XSS (Cross Site Scripting) - leicht zu entdecken, schwerer auszunutzen. Ich denke, wir werden in Zukunft immer höhere Auswirkungen auf die Benutzer sehen. Ich gehe davon aus, dass dies der "neue SQL Injection" -Trend wird, den wir in den Tagen gesehen haben.
  • CSRF (Cross Site Request Forgery) - Moderat zu entdecken, moderat zu nutzen. Dies würde erfordern, dass Benutzer zu einer bereits im Besitz befindlichen Site navigieren und eine Anforderung an Ihre Webanwendung auslösen, die eine Transaktion im Namen des Benutzers ausführt.

Wenn ich nur diese wenigen, aber beliebten Methoden erwähne, um sowohl Webapp anzugreifen als auch MiTM zu werden, überlasse ich es einer spezifischen Risiko-/Konsequenzanalyse der spezifischen Organisation, die Sie sichern möchten, ob Sie Ihre Benutzer direkt verteidigen sollten oder nicht Implementierung von SSL oder Verteidigung der gesamten Webanwendung (einschließlich geistigem Eigentum, Benutzerdaten, sensiblen Daten, potenziellen Daten, die andere Anwendungen verletzen könnten usw.).

Meiner bescheidenen Meinung nach stimme ich der Aussage von Chris Dixon sehr zu. Priorisieren Sie die Sicherung der Webanwendung so weit wie möglich, bevor Sie über die Sicherung der Transportschicht nachdenken.

Bearbeiten: Nebenbei bemerkt: Seiten wie Facebook, Google Mail und andere waren während Firesheep starken MiTM-Angriffen ausgesetzt. Dies konnte nur durch SSL und Sensibilisierung gemildert werden.

Wenn Sie jedoch darüber nachdenken, muss das WLAN, mit dem Sie verbunden sind, keine Verschlüsselung aufweisen, um den drahtlosen Datenverkehr mit Firesheep zu überwachen und die Sitzungen zu entführen.

Wenn ich heute in den Krieg fahre, hat sich die Anzahl der offenen drahtlosen APs und auch die Anzahl der WEP-fähigen APs drastisch verringert. Wir sehen immer mehr WPA2-verschlüsselte APs, die uns in den meisten Fällen genügend Sicherheit bieten.

Was ist nun das Risiko, dass jemand ein einfaches und bequemes Tool zum Aufspüren und Entführen der Sitzungen Ihrer Benutzer erstellt? Welche Auswirkungen haben diese Benutzer? Es kann auch auf verschiedene Weise gemildert werden (erneute Authentifizierung des Benutzers, wenn er gleichzeitig von verschiedenen Footprints stammt, Benachrichtigung des Benutzers, wenn etwas falsch aussieht (Google Mail ist ein gutes Beispiel dafür)).

7
Chris Dale

Es wurde kein statisches oder Whitepaper gefunden, das die Daten der realen Welt enthält, die Sie haben wollten.

Ich möchte jedoch hinzufügen, dass MitM-Angriffe in Unternehmen täglich und mehrmals auftreten. Mehrere Sicherheitsanbieter bieten Lösungen zum Scannen von verschlüsseltem Datenverkehr an (z. B. Palo Alto Networks ), und zumindest das Unternehmen, für das ich derzeit arbeite, hat diese Funktion aktiviert.

Zu diesem Zweck erhält das Firewall-/Proxy-Gerät lediglich ein Zertifikat der internen Zertifizierungsstelle (CA), dem bereits alle Clients vertrauen. Wenn eine Anwendung eine sichere Verbindung anfordert, generiert die Firewall/das Proxy-Gerät im laufenden Betrieb ein neues Zertifikat für den Zielserver und sendet es an den Client. Da der Client der internen Zertifizierungsstelle vertraut, vertraut er auch dem Gerätezertifikat und stellt gerne eine "sichere" Verbindung her.

2
Tex Hex

Ich bin mir ziemlich sicher, dass das Abhören von Passwörtern in drahtlosen Netzwerken äußerst verbreitet ist. Schauen Sie sich einfach an, wie viele Tutorials es im Web von einem einfachen Google Search oder Bing Search gibt.

0
Dare Obasanjo

Ich stimme Daramarak zu, dass es ziemlich schwierig sein würde, reale Daten zu MitM-Angriffen zu finden. Ein Grund dafür ist, dass MitM-Angriffe von Natur aus normalerweise auf Einzelpersonen gerichtet sind, während Angriffe wie DDoS oder SQL Injection normalerweise auf Unternehmen, Organisationen usw. gerichtet sind.

Während wir fast jeden Tag einen DDoS-/Injektions-/was auch immer-Bericht sehen, sind Informationen zu MitM-Angriffen normalerweise akademisch (z. B. "Twitter wurde DDoS-fähig!" Im Vergleich zu "SSL ist anfällig für MitM").

Es sollte jedoch beachtet werden, dass "selten" nicht unbedingt "schwer" bedeutet. Die meisten MitM-Angriffe sind wahrscheinlich viel einfacher auszuführen als die meisten anderen Arten von Angriffen, und viele Protokolle, die wir täglich verwenden, sind auf die eine oder andere Weise für solche Angriffe anfällig, einfach weil es ziemlich schwierig ist, ein Protokoll zu entwickeln, das vollständig sicher gegen MitM ist. Dies ist in der Tat bei den meisten Sicherheitsproblemen der Fall. Die meisten Lösungen sind "bester Aufwand" im Gegensatz zu "vollständig und absolut sicher".

Daher denke ich, dass der Hauptgrund dafür, dass MitM-Angriffe weniger häufig sind, darin besteht, dass normalerweise keine Notwendigkeit/kein Anreiz besteht, einen durchzuführen.

0
Can Berk Güder