Các cuộc tấn công MITM - chúng có khả năng như thế nào?

Làm thế nào có khả năng các cuộc tấn công "Người ở giữa" trong bảo mật internet?

Những máy thực tế nào, ngoài các máy chủ ISP, sẽ là "ở giữa" của truyền thông internet?

Các rủi ro thực tế liên quan đến các cuộc tấn công MITM, trái ngược với các rủi ro lý thuyết là gì?

EDIT: Tôi không quan tâm đến các điểm truy cập không dây trong câu hỏi này. Tất nhiên họ cần được bảo mật nhưng điều này là hiển nhiên. Các điểm truy cập không dây là duy nhất trong đó thông tin liên lạc được phát cho mọi người nghe. Thông tin liên lạc internet có dây thông thường được chuyển đến đích của họ - chỉ các máy trong tuyến sẽ nhìn thấy lưu lượng.

Đầu tiên, hãy nói về Giao thức cổng biên . Internet bao gồm hàng ngàn điểm cuối được gọi là ASes (Hệ thống tự trị) và chúng định tuyến dữ liệu với một giao thức được gọi là BGP (Border Gateway Protocol). Trong những năm gần đây, kích thước của bảng định tuyến BGP đã tăng theo cấp số nhân, phá vỡ hơn 100.000 mục. Ngay cả khi phần cứng định tuyến tăng sức mạnh, nó hầu như không thể theo kịp tốc độ với kích thước ngày càng mở rộng của bảng định tuyến BGP.

Phần khó khăn trong kịch bản MITM của chúng tôi là BGP hoàn toàn tin tưởng các tuyến đường mà các hệ thống tự trị khác cung cấp cho nó, điều đó có nghĩa là, với đủ thư rác từ AS, bất kỳ tuyến đường nào cũng có thể dẫn đến bất kỳ hệ thống tự trị nào. Đó là cách rõ ràng nhất đối với lưu lượng MITM và nó không chỉ là lý thuyết - trang web của hội nghị bảo mật Defcon đã được chuyển hướng đến trang web của nhà nghiên cứu bảo mật vào năm 2007 để chứng minh cuộc tấn công. Youtube đã ngừng hoạt động ở một số quốc gia châu Á khi Pakistan kiểm duyệt trang web và tuyên bố sai tuyến đường riêng (đã chết) là tốt nhất cho một số AS bên ngoài Pakistan.

Một số nhóm học thuật thu thập thông tin định tuyến BGP từ việc hợp tác AS để theo dõi các cập nhật BGP thay đổi đường dẫn lưu lượng. Nhưng không có ngữ cảnh, có thể khó phân biệt một sự thay đổi hợp pháp với một vụ cướp độc hại. Đường giao thông thay đổi tất cả thời gian để đối phó với thiên tai, sáp nhập công ty, vv

Tiếp theo để thảo luận về danh sách 'vectơ tấn công MITM toàn cầu' là Hệ thống tên miền (DNS).

Mặc dù BIND máy chủ DNS tốt của ISC đã vượt qua thử thách về thời gian và xuất hiện tương đối không bị ảnh hưởng (cũng như các dịch vụ DNS của Microsoft và Cisco), một số lỗ hổng đáng chú ý đã được tìm thấy có khả năng gây nguy hiểm cho tất cả lưu lượng truy cập bằng cách sử dụng tên được chuẩn hóa trên internet (thực tế là tất cả giao thông).

Tôi thậm chí sẽ không bận tâm thảo luận về nghiên cứu của Dan Kaminsky về cuộc tấn công ngộ độc bộ đệm DNS, vì nó đã bị đánh đến chết ở nơi khác, chỉ để được trao giải 'lỗi nhiều nhất từ ​​trước đến nay' bởi Blackhat - Las Vegas. Tuy nhiên, một số lỗi DNS khác tồn tại đã làm tổn hại nghiêm trọng đến bảo mật internet.

Lỗi Khu vực cập nhật động đã đánh sập các máy chủ DNS và có khả năng thỏa hiệp từ xa các máy và bộ đệm DNS.

Lỗi Chữ ký giao dịch cho phép thỏa hiệp gốc từ xa đầy đủ của bất kỳ máy chủ nào đang chạy BIND tại thời điểm lỗ hổng được công bố, rõ ràng cho phép các mục nhập DNS bị xâm phạm.

Cuối cùng , chúng ta phải thảo luận về ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , RIPv1 tiêm thông tin định tuyến và hàng loạt các cuộc tấn công cho các mạng OSPF.

Những cuộc tấn công này là 'gia đình' đối với một quản trị viên mạng cho một công ty độc lập (đúng như vậy, coi đây có thể là những người duy nhất họ có quyền kiểm soát). Thảo luận về các chi tiết kỹ thuật của từng cuộc tấn công này hơi nhàm chán ở giai đoạn này, vì mọi người quen thuộc với bảo mật thông tin cơ bản hoặc TCP đã học ARP Poisoning. Các cuộc tấn công khác có thể là một khuôn mặt quen thuộc với nhiều quản trị viên mạng hoặc người hâm mộ bảo mật máy chủ. Nếu đây là những mối quan tâm của bạn, có rất nhiều tiện ích phòng thủ mạng rất tốt tồn tại, từ các tiện ích Nguồn mở và Miễn phí như Snort đến phần mềm cấp doanh nghiệp của Cisco và HP. Ngoài ra, nhiều sách nhiều thông tin bao gồm các chủ đề này, quá nhiều để thảo luận, nhưng một số tôi đã tìm thấy hữu ích trong việc theo đuổi an ninh mạng bao gồm The Tao của an ninh mạng giám sát , an ninh mạng Kiến trúc , và cổ điển Mạng chiến binh

Trong mọi trường hợp, tôi thấy hơi lo lắng khi mọi người cho rằng các loại tấn công này yêu cầu quyền truy cập của ISP hoặc cấp Chính phủ. Họ yêu cầu không nhiều hơn CCIE trung bình có kiến ​​thức về mạng và các công cụ thích hợp (ví dụ HPING và Netcat, không phải là công cụ lý thuyết chính xác). Hãy cảnh giác nếu bạn muốn giữ an toàn.

Đây là một kịch bản MITM liên quan đến tôi:

Hãy nói rằng có một hội nghị lớn tại một khách sạn. ACME Anvils và Terrific TNT là những đối thủ cạnh tranh lớn trong ngành công nghiệp nguy hiểm. Một người có hứng thú với các sản phẩm của họ, đặc biệt là những sản phẩm mới trong quá trình phát triển, sẽ thực sự thích có được bàn chân của mình trong kế hoạch của họ. Chúng tôi sẽ gọi anh ấy là WC để bảo vệ sự riêng tư của anh ấy.

WC kiểm tra tại khách sạn nổi tiếng sớm để cho anh ta một chút thời gian để thiết lập. Anh ta phát hiện ra rằng khách sạn có các điểm truy cập wifi được gọi là famousHotel-1 thông qua famousHotel-5. Vì vậy, anh ta thiết lập một điểm truy cập và gọi nó là famousHotel-6 để nó hòa vào cảnh quan và kết nối nó với một trong những AP khác.

Bây giờ, các hội nghị viên bắt đầu đăng ký. Thật tình cờ là một trong những khách hàng lớn nhất của cả hai công ty, chúng tôi sẽ gọi anh ta là RR, đăng ký và nhận phòng gần WC. Anh ta thiết lập máy tính xách tay của mình và bắt đầu trao đổi email với các nhà cung cấp của mình.

WC đang lải nhải một cách điên cuồng! "Kế hoạch lệch lạc của tôi đang hoạt động!", Ông kêu lên. BÙM! TAI NẠN! Đồng thời, anh ta bị trúng một cái đe và một bó TNT. Có vẻ như các đội an ninh của ACME Anvils, Terrific TNT, RR và Khách sạn nổi tiếng đã làm việc cùng nhau để dự đoán chính cuộc tấn công này.

Bíp bíp!

Chỉnh sửa:

Làm thế nào kịp thời ^* : Mẹo du lịch: Cẩn thận với "honeypots" sân bay

^{* Chà, đúng lúc nó vừa xuất hiện trong nguồn cấp dữ liệu RSS của tôi.}

Nó hoàn toàn phụ thuộc vào tình hình. Bao nhiêu bạn tin tưởng ISP của bạn? Bạn biết bao nhiêu về cấu hình ISP của bạn? Và làm thế nào an toàn là thiết lập của riêng bạn?

Hầu hết các "cuộc tấn công" như thế này bây giờ rất có khả năng với phần mềm độc hại trojan chặn các tổ hợp phím và mật khẩu từ các tệp. Xảy ra mọi lúc, chỉ là nó không được chú ý hoặc báo cáo quá nhiều.

Và tần suất thông tin bị rò rỉ bên trong cấp độ ISP? Khi tôi làm việc cho một ISP nhỏ, chúng tôi đã bán lại một cấp truy cập cao hơn. Vì vậy, một người đã gọi vào chúng tôi đã vào mạng của chúng tôi và nếu bạn không nói chuyện với máy chủ web hoặc máy chủ thư của chúng tôi, lưu lượng truy cập đã đến nhà cung cấp cấp cao hơn và chúng tôi không biết ai đã làm gì với dữ liệu của bạn trong mạng của họ, hoặc làm thế nào đáng tin cậy quản trị viên của họ.

Nếu bạn muốn biết có bao nhiêu điểm mà ai đó có thể "có khả năng" thấy lưu lượng truy cập của bạn thực hiện theo dõi và bạn sẽ thấy nhiều như vậy sẽ phản hồi tại mỗi điểm định tuyến. Đó là giả sử các thiết bị che giấu không ở giữa một số trong số đó. Và các thiết bị đó là mỗi bộ định tuyến thực sự và không phải thứ gì đó giả mạo như bộ định tuyến.

Vấn đề là bạn không thể biết mức độ phổ biến của các cuộc tấn công. Không có bất kỳ quy định nào nói rằng các công ty phải tiết lộ các cuộc tấn công được phát hiện trừ khi thông tin tín dụng của bạn bị xâm phạm. Hầu hết các công ty không làm thế bởi vì nó xấu hổ (hoặc quá nhiều công việc). Với số lượng phần mềm độc hại trôi nổi ngoài kia, có lẽ nó phổ biến hơn nhiều so với bạn nghĩ, và thậm chí sau đó, điều quan trọng là đã phát hiện ra cuộc tấn công. Khi phần mềm độc hại hoạt động chính xác, hầu hết người dùng sẽ không biết khi nào nó xảy ra. Và kịch bản người-người-bị-đánh-lừa-giao thông-tại-nhà cung cấp thực tế là những người mà các công ty không báo cáo trừ khi họ phải báo cáo.

Tất nhiên những điều này bỏ qua các kịch bản mà các công ty bị buộc phải lưu giữ hồ sơ lưu lượng truy cập của bạn và tiết lộ chúng cho các cơ quan chính phủ mà không cho bạn biết. Nếu bạn ở Hoa Kỳ, nhờ Đạo luật Yêu nước, các thư viện và ISP có thể bị buộc phải ghi lại các chuyến đi dữ liệu và email và lịch sử duyệt web mà không cho bạn biết rằng họ đang thu thập thông tin về bạn.

Nói cách khác, không có dữ liệu cứng về mức độ phổ biến của MITM và các cuộc tấn công đánh chặn đối với người dùng, nhưng có bằng chứng cho thấy nó cao hơn mức thoải mái và hầu hết người dùng không quan tâm đủ để có được thông tin đó.

Câu hỏi thực sự là "tôi nên dành bao nhiêu nguồn cung cấp hạn chế cho các cuộc tấn công MITM thay vì nơi khác?"

Điều này phụ thuộc rất nhiều vào bản chất của các giao tiếp liên quan và không có câu trả lời duy nhất. Theo kinh nghiệm của tôi, nó không phải là rủi ro lớn so với các rủi ro bảo mật khác, nhưng nó thường là một mức giá rẻ để giảm thiểu (ví dụ: chứng chỉ SSL và sử dụng HTTPS thường là đủ) vì vậy sẽ rẻ hơn khi sửa chữa hơn là dành thời gian để đánh giá một rủi ro nó có thể được.

Bạn có một điểm truy cập không dây ở nhà? Một máy chủ proxy tại nơi làm việc?

Một trong những điểm xâm nhập / đi ra đó có thể bị xâm phạm mà không có âm mưu lớn nào của chính phủ / isp. Cũng có thể các thành phần của cơ sở hạ tầng ISP bị xâm phạm.

Bạn có sử dụng trình duyệt web không? Thật là tầm thường khi cấu hình một trình duyệt để hướng lưu lượng truy cập đến một người đàn ông ở giữa. Đã có phần mềm độc hại trình duyệt định tuyến lại một số giao dịch ngân hàng và môi giới nhất định bằng phương pháp này, đặc biệt đối với các doanh nghiệp nhỏ có đặc quyền dây.

Bảo mật là về quản lý rủi ro ... có hai thuộc tính cơ bản để bạn tiếp cận xử lý rủi ro: xác suất xảy ra và tác động. Xác suất thực tế của bạn gặp tai nạn xe hơi nghiêm trọng là rất thấp, nhưng ảnh hưởng đến an toàn cá nhân của bạn rất cao, vì vậy bạn thắt dây an toàn và đặt trẻ sơ sinh vào ghế ô tô.

Khi mọi người trở nên lười biếng và / hoặc rẻ tiền, thảm họa thường là kết quả. Ở Vịnh Mexico, BP đã bỏ qua tất cả các yếu tố rủi ro vì họ tin rằng họ đã chuyển rủi ro cho các nhà thầu và hình dung rằng họ đã khoan đủ giếng mà không gặp sự cố, vì vậy khả năng xảy ra sự cố là rất thấp.

Các cuộc tấn công MitM được thực hiện khá nhiều trong mạng cục bộ. Việc truy cập vào một kết nối trên internet đòi hỏi phải có quyền truy cập của ISP hoặc cấp Chính phủ - và rất hiếm khi có ai có mức tài nguyên đó theo đuổi dữ liệu của bạn.

Khi ai đó truy cập vào mạng của bạn, bạn sẽ gặp vấn đề nghiêm trọng, nhưng ngoài điều đó, có lẽ bạn vẫn ổn.

@Craig: Trong chỉnh sửa của bạn, bạn có một số thông tin sai. Mạng không dây không được phát sóng dựa. Dữ liệu được truyền trong phiên giao tiếp không dây (giữa máy khách không dây và điểm truy cập không dây) không được "phát" cho mọi người nghe. Máy khách không dây liên kết với AP và giao tiếp xảy ra giữa máy khách và AP đã nói. Nếu bạn có nghĩa là dữ liệu đang được phát vì nó được gói gọn trong tín hiệu vô tuyến được "phát", thì có thể đánh hơi được bằng thiết bị không dây rất cụ thể (bộ điều hợp không dây có khả năng của RMON) và các công cụ phần mềm. Các máy khách không dây không liên kết với cùng một AP không có cơ chế chặn hoặc "nghe" lưu lượng không dây ngoại trừ các thiết bị đã nói ở trên. Truyền thông không dây trong các mạng TCP \ IP hoạt động về cơ bản giống như các mạng có dây ngoại trừ phương tiện truyền dẫn: sóng vô tuyến trái ngược với dây dẫn vật lý. Nếu lưu lượng WiFi được phát cho mọi người nghe lén thì nó sẽ không bao giờ rời khỏi bảng vẽ.

Điều đó đang được nói, tôi nghĩ rằng các mạng không dây có nguy cơ cao hơn đối với các cuộc tấn công MITM vì không cần truy cập vật lý để truy cập mạng không dây để "tiêm" một hệ thống lừa đảo để chặn lưu lượng.