Các cuộc tấn công MITM - chúng có khả năng như thế nào?


35

Làm thế nào có khả năng các cuộc tấn công "Người ở giữa" trong bảo mật internet?

Những máy thực tế nào, ngoài các máy chủ ISP, sẽ là "ở giữa" của truyền thông internet?

Các rủi ro thực tế liên quan đến các cuộc tấn công MITM, trái ngược với các rủi ro lý thuyết là gì?

EDIT: Tôi không quan tâm đến các điểm truy cập không dây trong câu hỏi này. Tất nhiên họ cần được bảo mật nhưng điều này là hiển nhiên. Các điểm truy cập không dây là duy nhất trong đó thông tin liên lạc được phát cho mọi người nghe. Thông tin liên lạc internet có dây thông thường được chuyển đến đích của họ - chỉ các máy trong tuyến sẽ nhìn thấy lưu lượng.


13
Rủi ro lý thuyết và rủi ro thực tế nói chung là giống nhau khi bạn nói về bảo mật CNTT
Mark Henderson

3
Farseeker x2, hôm nay là lý thuyết, ngày mai là có thật. Đó là sự khác biệt.
Chris S

1
@Fudeeker: sự khác biệt là rủi ro lý thuyết liên quan đến một kịch bản có thể rất khó xảy ra trong thế giới thực. Mặc dù có thể một máy ở giữa có thể giải mã các gói internet, nhưng người ta phải hỏi: khi nào sẽ có một máy ở giữa sẽ làm điều này?
CJ7

1
@Zephyr: Ngay cả một số lượng nhỏ tin tặc tập trung vào số lượng nhỏ các mục tiêu có thể gây ra thiệt hại đáng kể. Tôi đang nhìn bạn Chi ... er ... "Fred". Đó không nhất thiết là những con số tạo nên sự khác biệt, đó là động lực.
Tạm dừng cho đến khi có thông báo mới.

Câu trả lời:


43

Đầu tiên, hãy nói về Giao thức cổng biên . Internet bao gồm hàng ngàn điểm cuối được gọi là ASes (Hệ thống tự trị) và chúng định tuyến dữ liệu với một giao thức được gọi là BGP (Border Gateway Protocol). Trong những năm gần đây, kích thước của bảng định tuyến BGP đã tăng theo cấp số nhân, phá vỡ hơn 100.000 mục. Ngay cả khi phần cứng định tuyến tăng sức mạnh, nó hầu như không thể theo kịp tốc độ với kích thước ngày càng mở rộng của bảng định tuyến BGP.

Phần khó khăn trong kịch bản MITM của chúng tôi là BGP hoàn toàn tin tưởng các tuyến đường mà các hệ thống tự trị khác cung cấp cho nó, điều đó có nghĩa là, với đủ thư rác từ AS, bất kỳ tuyến đường nào cũng có thể dẫn đến bất kỳ hệ thống tự trị nào. Đó là cách rõ ràng nhất đối với lưu lượng MITM và nó không chỉ là lý thuyết - trang web của hội nghị bảo mật Defcon đã được chuyển hướng đến trang web của nhà nghiên cứu bảo mật vào năm 2007 để chứng minh cuộc tấn công. Youtube đã ngừng hoạt động ở một số quốc gia châu Á khi Pakistan kiểm duyệt trang web và tuyên bố sai tuyến đường riêng (đã chết) là tốt nhất cho một số AS bên ngoài Pakistan.

Một số nhóm học thuật thu thập thông tin định tuyến BGP từ việc hợp tác AS để theo dõi các cập nhật BGP thay đổi đường dẫn lưu lượng. Nhưng không có ngữ cảnh, có thể khó phân biệt một sự thay đổi hợp pháp với một vụ cướp độc hại. Đường giao thông thay đổi tất cả thời gian để đối phó với thiên tai, sáp nhập công ty, vv

Tiếp theo để thảo luận về danh sách 'vectơ tấn công MITM toàn cầu' là Hệ thống tên miền (DNS).

Mặc dù BIND máy chủ DNS tốt của ISC đã vượt qua thử thách về thời gian và xuất hiện tương đối không bị ảnh hưởng (cũng như các dịch vụ DNS của Microsoft và Cisco), một số lỗ hổng đáng chú ý đã được tìm thấy có khả năng gây nguy hiểm cho tất cả lưu lượng truy cập bằng cách sử dụng tên được chuẩn hóa trên internet (thực tế là tất cả giao thông).

Tôi thậm chí sẽ không bận tâm thảo luận về nghiên cứu của Dan Kaminsky về cuộc tấn công ngộ độc bộ đệm DNS, vì nó đã bị đánh đến chết ở nơi khác, chỉ để được trao giải 'lỗi nhiều nhất từ ​​trước đến nay' bởi Blackhat - Las Vegas. Tuy nhiên, một số lỗi DNS khác tồn tại đã làm tổn hại nghiêm trọng đến bảo mật internet.

Lỗi Khu vực cập nhật động đã đánh sập các máy chủ DNS và có khả năng thỏa hiệp từ xa các máy và bộ đệm DNS.

Lỗi Chữ ký giao dịch cho phép thỏa hiệp gốc từ xa đầy đủ của bất kỳ máy chủ nào đang chạy BIND tại thời điểm lỗ hổng được công bố, rõ ràng cho phép các mục nhập DNS bị xâm phạm.

Cuối cùng , chúng ta phải thảo luận về ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , RIPv1 tiêm thông tin định tuyến và hàng loạt các cuộc tấn công cho các mạng OSPF.

Những cuộc tấn công này là 'gia đình' đối với một quản trị viên mạng cho một công ty độc lập (đúng như vậy, coi đây có thể là những người duy nhất họ có quyền kiểm soát). Thảo luận về các chi tiết kỹ thuật của từng cuộc tấn công này hơi nhàm chán ở giai đoạn này, vì mọi người quen thuộc với bảo mật thông tin cơ bản hoặc TCP đã học ARP Poisoning. Các cuộc tấn công khác có thể là một khuôn mặt quen thuộc với nhiều quản trị viên mạng hoặc người hâm mộ bảo mật máy chủ. Nếu đây là những mối quan tâm của bạn, có rất nhiều tiện ích phòng thủ mạng rất tốt tồn tại, từ các tiện ích Nguồn mở và Miễn phí như Snort đến phần mềm cấp doanh nghiệp của CiscoHP. Ngoài ra, nhiều sách nhiều thông tin bao gồm các chủ đề này, quá nhiều để thảo luận, nhưng một số tôi đã tìm thấy hữu ích trong việc theo đuổi an ninh mạng bao gồm The Tao của an ninh mạng giám sát , an ninh mạng Kiến trúc , và cổ điển Mạng chiến binh

Trong mọi trường hợp, tôi thấy hơi lo lắng khi mọi người cho rằng các loại tấn công này yêu cầu quyền truy cập của ISP hoặc cấp Chính phủ. Họ yêu cầu không nhiều hơn CCIE trung bình có kiến ​​thức về mạng và các công cụ thích hợp (ví dụ HPING và Netcat, không phải là công cụ lý thuyết chính xác). Hãy cảnh giác nếu bạn muốn giữ an toàn.


8
Chắc chắn đó là. Bạn nghĩ rằng bạn đang truy cập bank.example.com và thay vào đó, bạn sẽ truy cập một số trang web khác đang ủy quyền hoặc giả mạo như là đích đến của bạn. Nếu bạn không nghĩ đó là một cuộc tấn công MITM, bạn không hiểu MITM là gì.
duffbeer703

1
Chà, liên quan đến DNS, rõ ràng bạn chỉ có thể gửi các gói đến IP THỰC TẾ của trang web mà bạn đang cố truy cập. Và có thể thực hiện những việc như chuyển đổi nhanh giữa trạng thái kết nối và trạng thái hoạt động cho BGP trong khi gửi các tuyến BGP THỰC SỰ. Hoặc, nếu giống như hầu hết internet, Có một tuyến đường thay thế đến máy chủ của bạn bên cạnh tuyến đường bạn bị nhiễm độc, bạn có thể chỉ định đó là một tham số định tuyến. Tuy nhiên, thật tuyệt khi bạn quan tâm đến Craig này, Bảo mật là một lĩnh vực, khi bạn nghĩ rằng bạn đã sắp xếp thứ gì đó, một thứ khác sẽ bật lên.
ŹV -

1
Để trả lời câu hỏi khác của bạn về các vấn đề DNS, tôi nghĩ rằng bạn có thể thiếu cách các bước hoạt động. Kẻ tấn công biết đích đến thích hợp và hoạt động như một proxy cho bạn. Bạn nghĩ rằng bạn đang nói chuyện với C, khi thực tế lưu lượng truy cập A <-> B <-> C, không phải là A <-> C mà bạn nghĩ là như vậy. Thông tin định tuyến của bạn bị xâm phạm. Kẻ tấn công có dữ liệu chính xác hoặc đang sử dụng máy chủ DNS không bị xâm phạm.
Bart Silverstrim

2
@ Craig-Bạn đang thiếu hình ảnh. MITM liên quan đến việc chèn một tác nhân giữa mục tiêu của bạn và đích đến của họ. Cho dù đó là định tuyến hoặc DNS hoặc bất cứ điều gì bạn muốn; các cuộc tấn công này không giống như những bộ phim mà bạn nhấn vào nút được đánh dấu MITM và bẻ khóa mã. Đó là một phương tiện để kết thúc, và là một phần của một cuộc tấn công hỗn hợp.
Bart Silverstrim

3
Và tôi đã trả lời câu hỏi của bạn về các gói đến đích thích hợp. Hệ thống tấn công biết lộ trình thích hợp. Nó nói với hệ thống của bạn rằng đó là trang web "chính xác", sau đó chuyển tiếp chúng như một proxy, gửi yêu cầu của bạn thay mặt bạn, sau đó trả lời lại. Đó là toàn bộ phần "ở giữa". Máy của bạn bị lừa và không biết chuyện gì đang xảy ra. Nó giống như một trò đùa rằng hệ thống của bạn bị bỏ qua khỏi vòng lặp trên.
Bart Silverstrim

14

Đây là một kịch bản MITM liên quan đến tôi:

Hãy nói rằng có một hội nghị lớn tại một khách sạn. ACME Anvils và Terrific TNT là những đối thủ cạnh tranh lớn trong ngành công nghiệp nguy hiểm. Một người có hứng thú với các sản phẩm của họ, đặc biệt là những sản phẩm mới trong quá trình phát triển, sẽ thực sự thích có được bàn chân của mình trong kế hoạch của họ. Chúng tôi sẽ gọi anh ấy là WC để bảo vệ sự riêng tư của anh ấy.

WC kiểm tra tại khách sạn nổi tiếng sớm để cho anh ta một chút thời gian để thiết lập. Anh ta phát hiện ra rằng khách sạn có các điểm truy cập wifi được gọi là famousHotel-1 thông qua famousHotel-5. Vì vậy, anh ta thiết lập một điểm truy cập và gọi nó là famousHotel-6 để nó hòa vào cảnh quan và kết nối nó với một trong những AP khác.

Bây giờ, các hội nghị viên bắt đầu đăng ký. Thật tình cờ là một trong những khách hàng lớn nhất của cả hai công ty, chúng tôi sẽ gọi anh ta là RR, đăng ký và nhận phòng gần WC. Anh ta thiết lập máy tính xách tay của mình và bắt đầu trao đổi email với các nhà cung cấp của mình.

WC đang lải nhải một cách điên cuồng! "Kế hoạch lệch lạc của tôi đang hoạt động!", Ông kêu lên. BÙM! TAI NẠN! Đồng thời, anh ta bị trúng một cái đe và một bó TNT. Có vẻ như các đội an ninh của ACME Anvils, Terrific TNT, RR và Khách sạn nổi tiếng đã làm việc cùng nhau để dự đoán chính cuộc tấn công này.

Bíp bíp!

Chỉnh sửa:

Làm thế nào kịp thời * : Mẹo du lịch: Cẩn thận với "honeypots" sân bay

* Chà, đúng lúc nó vừa xuất hiện trong nguồn cấp dữ liệu RSS của tôi.


OK, nhưng không phải là một trò chơi bóng hoàn toàn khác? Có lẽ tôi nên giới hạn câu hỏi của mình với các kết nối có dây.
CJ7

1
@Craig: Điểm giống nhau. Rất có thể ai đó đang nghe trên mạng cục bộ của bạn, không dây hoặc có dây. Tìm kiếm một MitM trên Internet về cơ bản sẽ không xảy ra.
Chris S

5
1 cho ACME Bệ đỡ và Terrific TNT
Fahad Sadah

@Chris: Làm thế nào một người nào đó sẽ vào mạng cục bộ của tôi nếu không có điểm truy cập không dây? Phần mềm độc hại trên một trong các máy? Nếu vậy, làm thế nào dữ liệu sẽ được gửi ra khỏi mạng cho tin tặc?
CJ7

2
@Craig: Bạn hoàn toàn đúng, các cuộc tấn công MITM không tồn tại. Đừng lo lắng về điều đó, chúng tôi chỉ là một đám người hoang tưởng trốn tránh NSA.
duffbeer703

5

Nó hoàn toàn phụ thuộc vào tình hình. Bao nhiêu bạn tin tưởng ISP của bạn? Bạn biết bao nhiêu về cấu hình ISP của bạn? Và làm thế nào an toàn là thiết lập của riêng bạn?

Hầu hết các "cuộc tấn công" như thế này bây giờ rất có khả năng với phần mềm độc hại trojan chặn các tổ hợp phím và mật khẩu từ các tệp. Xảy ra mọi lúc, chỉ là nó không được chú ý hoặc báo cáo quá nhiều.

Và tần suất thông tin bị rò rỉ bên trong cấp độ ISP? Khi tôi làm việc cho một ISP nhỏ, chúng tôi đã bán lại một cấp truy cập cao hơn. Vì vậy, một người đã gọi vào chúng tôi đã vào mạng của chúng tôi và nếu bạn không nói chuyện với máy chủ web hoặc máy chủ thư của chúng tôi, lưu lượng truy cập đã đến nhà cung cấp cấp cao hơn và chúng tôi không biết ai đã làm gì với dữ liệu của bạn trong mạng của họ, hoặc làm thế nào đáng tin cậy quản trị viên của họ.

Nếu bạn muốn biết có bao nhiêu điểm mà ai đó có thể "có khả năng" thấy lưu lượng truy cập của bạn thực hiện theo dõi và bạn sẽ thấy nhiều như vậy sẽ phản hồi tại mỗi điểm định tuyến. Đó là giả sử các thiết bị che giấu không ở giữa một số trong số đó. Và các thiết bị đó là mỗi bộ định tuyến thực sự và không phải thứ gì đó giả mạo như bộ định tuyến.

Vấn đề là bạn không thể biết mức độ phổ biến của các cuộc tấn công. Không có bất kỳ quy định nào nói rằng các công ty phải tiết lộ các cuộc tấn công được phát hiện trừ khi thông tin tín dụng của bạn bị xâm phạm. Hầu hết các công ty không làm thế bởi vì nó xấu hổ (hoặc quá nhiều công việc). Với số lượng phần mềm độc hại trôi nổi ngoài kia, có lẽ nó phổ biến hơn nhiều so với bạn nghĩ, và thậm chí sau đó, điều quan trọng là đã phát hiện ra cuộc tấn công. Khi phần mềm độc hại hoạt động chính xác, hầu hết người dùng sẽ không biết khi nào nó xảy ra. Và kịch bản người-người-bị-đánh-lừa-giao thông-tại-nhà cung cấp thực tế là những người mà các công ty không báo cáo trừ khi họ phải báo cáo.

Tất nhiên những điều này bỏ qua các kịch bản mà các công ty bị buộc phải lưu giữ hồ sơ lưu lượng truy cập của bạn và tiết lộ chúng cho các cơ quan chính phủ mà không cho bạn biết. Nếu bạn ở Hoa Kỳ, nhờ Đạo luật Yêu nước, các thư viện và ISP có thể bị buộc phải ghi lại các chuyến đi dữ liệu và email và lịch sử duyệt web mà không cho bạn biết rằng họ đang thu thập thông tin về bạn.

Nói cách khác, không có dữ liệu cứng về mức độ phổ biến của MITM và các cuộc tấn công đánh chặn đối với người dùng, nhưng có bằng chứng cho thấy nó cao hơn mức thoải mái và hầu hết người dùng không quan tâm đủ để có được thông tin đó.


3

Câu hỏi thực sự là "tôi nên dành bao nhiêu nguồn cung cấp hạn chế cho các cuộc tấn công MITM thay vì nơi khác?"

Điều này phụ thuộc rất nhiều vào bản chất của các giao tiếp liên quan và không có câu trả lời duy nhất. Theo kinh nghiệm của tôi, nó không phải là rủi ro lớn so với các rủi ro bảo mật khác, nhưng nó thường là một mức giá rẻ để giảm thiểu (ví dụ: chứng chỉ SSL và sử dụng HTTPS thường là đủ) vì vậy sẽ rẻ hơn khi sửa chữa hơn là dành thời gian để đánh giá một rủi ro nó có thể được.


https hoặc ssl không bảo vệ bạn trước MITM. Đơn giản là tôi đóng vai trò là tác nhân người dùng cho mục tiêu đã định, nhận chứng chỉ và không mã hóa, trong khi tôi chỉ cần mã hóa lại bằng một chứng chỉ mới giả sử tôi có thể tìm thấy một root sẵn sàng.
YoYo

2

Bạn có một điểm truy cập không dây ở nhà? Một máy chủ proxy tại nơi làm việc?

Một trong những điểm xâm nhập / đi ra đó có thể bị xâm phạm mà không có âm mưu lớn nào của chính phủ / isp. Cũng có thể các thành phần của cơ sở hạ tầng ISP bị xâm phạm.

Bạn có sử dụng trình duyệt web không? Thật là tầm thường khi cấu hình một trình duyệt để hướng lưu lượng truy cập đến một người đàn ông ở giữa. Đã có phần mềm độc hại trình duyệt định tuyến lại một số giao dịch ngân hàng và môi giới nhất định bằng phương pháp này, đặc biệt đối với các doanh nghiệp nhỏ có đặc quyền dây.

Bảo mật là về quản lý rủi ro ... có hai thuộc tính cơ bản để bạn tiếp cận xử lý rủi ro: xác suất xảy ra và tác động. Xác suất thực tế của bạn gặp tai nạn xe hơi nghiêm trọng là rất thấp, nhưng ảnh hưởng đến an toàn cá nhân của bạn rất cao, vì vậy bạn thắt dây an toàn và đặt trẻ sơ sinh vào ghế ô tô.

Khi mọi người trở nên lười biếng và / hoặc rẻ tiền, thảm họa thường là kết quả. Ở Vịnh Mexico, BP đã bỏ qua tất cả các yếu tố rủi ro vì họ tin rằng họ đã chuyển rủi ro cho các nhà thầu và hình dung rằng họ đã khoan đủ giếng mà không gặp sự cố, vì vậy khả năng xảy ra sự cố là rất thấp.


1
Ước gì tôi có thể nâng cao điều này> 1. Tôi không gặp vấn đề gì với những người chấp nhận những rủi ro được tính toán này bằng dữ liệu của riêng họ , nhưng bỏ qua những thứ như MITM khi dữ liệu của người khác nằm trên đường truyền - có thể là khách hàng, bệnh nhân hoặc bất cứ điều gì - là than thở (và quá phổ biến). Bạn không thể dự đoán trước mọi kịch bản hoặc kịch bản tấn công, nhưng cách tiếp cận chuyên sâu, phòng thủ theo chiều sâu để giảm thiểu và quản lý rủi ro là điều cần thiết.
nedm

0

Các cuộc tấn công MitM được thực hiện khá nhiều trong mạng cục bộ. Việc truy cập vào một kết nối trên internet đòi hỏi phải có quyền truy cập của ISP hoặc cấp Chính phủ - và rất hiếm khi có ai có mức tài nguyên đó theo đuổi dữ liệu của bạn.

Khi ai đó truy cập vào mạng của bạn, bạn sẽ gặp vấn đề nghiêm trọng, nhưng ngoài điều đó, có lẽ bạn vẫn ổn.


Không đúng. Nhìn vào bài viết của zypher.
duffbeer703

@duffbeer: xem bình luận của tôi cho bài đăng của zephyr
CJ7

MITM là bất cứ thứ gì được chèn giữa nguồn và đích. Nó có thể là mạng cục bộ hoặc tại ISP, bất cứ nơi nào ở giữa. Làm thế nào để bạn biết rằng ai đó ở nơi bạn đến hoặc tại phương tiện giao thông không muốn thông tin của bạn? Có những cảnh sát đã lạm dụng thông tin của họ để theo dõi mọi người. Chung? Không. Nhưng bạn có thực sự biết ai đã hoặc không lạm dụng quyền lực của họ và không bao giờ bị phát hiện?
Bart Silverstrim

0

@Craig: Trong chỉnh sửa của bạn, bạn có một số thông tin sai. Mạng không dây không được phát sóng dựa. Dữ liệu được truyền trong phiên giao tiếp không dây (giữa máy khách không dây và điểm truy cập không dây) không được "phát" cho mọi người nghe. Máy khách không dây liên kết với AP và giao tiếp xảy ra giữa máy khách và AP đã nói. Nếu bạn có nghĩa là dữ liệu đang được phát vì nó được gói gọn trong tín hiệu vô tuyến được "phát", thì có thể đánh hơi được bằng thiết bị không dây rất cụ thể (bộ điều hợp không dây có khả năng của RMON) và các công cụ phần mềm. Các máy khách không dây không liên kết với cùng một AP không có cơ chế chặn hoặc "nghe" lưu lượng không dây ngoại trừ các thiết bị đã nói ở trên. Truyền thông không dây trong các mạng TCP \ IP hoạt động về cơ bản giống như các mạng có dây ngoại trừ phương tiện truyền dẫn: sóng vô tuyến trái ngược với dây dẫn vật lý. Nếu lưu lượng WiFi được phát cho mọi người nghe lén thì nó sẽ không bao giờ rời khỏi bảng vẽ.

Điều đó đang được nói, tôi nghĩ rằng các mạng không dây có nguy cơ cao hơn đối với các cuộc tấn công MITM vì không cần truy cập vật lý để truy cập mạng không dây để "tiêm" một hệ thống lừa đảo để chặn lưu lượng.


bạn nói rằng tín hiệu vô tuyến không dây được phát và có thể bị chặn bởi thiết bị. Làm thế nào để câu hỏi của tôi mâu thuẫn với điều này?
CJ7

Bạn nói rằng lưu lượng không dây đã được phát cho mọi người nghe, điều này không đúng về mặt kỹ thuật. Tín hiệu vô tuyến được phát theo nghĩa là sóng vô tuyến dựa trên, nhưng giao tiếp là điểm tới điểm giữa máy khách không dây và AP không dây. Máy khách không dây không phát sóng lưu lượng cho tất cả mọi người nghe. Tuyên bố rằng lưu lượng được phát cho tất cả mọi người nghe có thể mang lại cho ai đó ấn tượng rằng mạng không dây hoạt động theo cách mà nó không hoạt động.
joeqwerty

Vấn đề phát sóng liên quan đến không dây 802.11 hiện đại phần nào được khắc phục ở chỗ lớp vận chuyển được bảo vệ bởi một số dạng mã hóa WPA trong hầu hết các trường hợp. Lưu lượng truy cập có dây của bạn được bảo vệ bởi vị trí thực của nó và khóa trên tủ dây của bạn. Trong hầu hết các môi trường mà tôi đã làm việc, các mạng máy khách nơi cơ sở hạ tầng chuyển mạch và hệ thống dây có sẵn dễ dàng được coi là mạng không tin cậy.
duffbeer703
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.