MITM saldırıları - ne kadar muhtemel?


35

İnternet güvenliğinde "Ortadaki Adam" saldırıları ne kadar muhtemel?

ISS sunucuları dışında hangi gerçek makineler internet iletişiminin "ortasında" olacak?

Teorik risklerin aksine, MITM saldırılarıyla ilgili gerçek riskler nelerdir ?

EDIT: Bu sorudaki kablosuz erişim noktalarıyla ilgilenmiyorum. Elbette güvenceye alınması gerekiyor ama bu açık. Kablosuz erişim noktaları, iletişimin herkesin duyması için yayınlanması bakımından benzersizdir. Normal kablolu internet iletişimi hedeflerine yönlendirilir - yalnızca rotadaki makineler trafiği görür.


13
Teorik riskler ve gerçek riskler genellikle BT güvenliği hakkında konuşurken aynı şeydir
Mark Henderson

3
Farseeker x2, bugün teorik, yarın gerçek. Aradaki fark bu.
Chris S

1
@ Farseeker: fark, teorik riskin gerçek dünyada pek de muhtemel olmayan bir senaryo içermesidir. Ortadaki bir makinenin internet paketlerinin şifresini çözmesi mümkün olsa da, şunu sormak gerekir: Ne zaman ortada bunu yapacak bir makine olacak?
CJ7

1
@Zephyr: Az sayıda hedefe dikkatle odaklanan az sayıda bilgisayar korsanı bile ciddi hasar verebilir. Sana bakıyorum Chi ... er ... "Fred". Farkı yaratan rakamlar mutlaka değildir, motivasyondur.
sonraki duyuruya kadar duraklatıldı.

Yanıtlar:


43

İlk önce, Sınır Ağ Geçidi Protokolü hakkında konuşalım . İnternet, ASes (Özerk Sistemler) olarak bilinen binlerce uç noktadan oluşur ve verileri BGP (Sınır Ağ Geçidi Protokolü) olarak bilinen bir protokolle yönlendirir. Son yıllarda, BGP yönlendirme tablasının büyüklüğü katlanarak artmıştır ve bir 100.000'den fazla girişi aşmıştır. Yönlendirme donanımının gücü arttıkça bile, BGP yönlendirme tablasının gittikçe genişleyen boyutuna ayak uyduramıyorum.

MITM senaryomuzdaki en zor kısım, BGP'nin, diğer özerk sistemlerin sağladığı rotalara güvendiği anlamına gelir. MITM trafiğine en açık yoldur ve sadece teorik değildir - Defcon güvenlik sözleşmesinin sitesi, saldırıyı göstermek için 2007 yılında bir güvenlik araştırmacısının web sitesine yönlendirildi. Pakistan, siteyi sansürlediğinde ve yanlışlıkla Pakistan dışındaki bazı AS'ler için en iyi şekilde kendi (ölü) rotasını ilan ettiğinde Youtube birçok Asya ülkesinde kaldı.

Bir grup akademik grup , trafik yollarını değiştiren BGP güncellemelerini izlemek için ASS işbirliğinden BGP yönlendirme bilgilerini toplar . Ancak bağlam olmadan, meşru bir değişikliği kötü niyetli bir hırsızlıktan ayırt etmek zor olabilir. Trafik yolları, doğal afetler, şirket birleşmeleri vb. İle başa çıkmak için her zaman değişmektedir.

'Küresel MITM saldırı vektörleri' listesinde görüşmek üzere, Alan Adı Sistemi (DNS) bulunur.

ISC’nin Fine DNS sunucusu BIND’in zamana dayanması ve göreceli olarak bozulmamış hale gelmesine rağmen (Microsoft ve Cisco’nun DNS teklifleri gibi), internetteki kurallı isimleri kullanarak tüm trafiği potansiyel olarak tehlikeye sokabilecek birkaç önemli güvenlik açığı tespit edildi trafik).

Dan Kaminsky'nin DNS önbellek zehirlenmesi saldırısı konusundaki araştırmalarını tartışmaya bile zahmet etmeyeceğim , çünkü başka yerlerde ölümle dövülmüş, sadece Blackhat - Las Vegas tarafından "şimdiye kadar en çok okunan böcek" olarak ödüllendirildi. Bununla birlikte, internet güvenliğini tehlikeye atan diğer bazı DNS hataları vardır.

Dinamik Güncelleme Bölgesi Hatası , DNS sunucularını çökertmiştir ve makineleri ve DNS önbelleklerini uzaktan tehlikeye atma potansiyeline sahiptir.

İşlem İmzaları Hata'sında , güvenlik açığının duyurulduğu sırada BIND çalıştıran herhangi bir sunucunun tam olarak kökten uzlaşmasına izin verildi ve bu, açık bir şekilde DNS girişlerinin tehlikeye girmesine izin verdi.

Son olarak , ARP Zehirlenmesi , 802.11q Geri Çekme , STP-Trunk Hijacking , RIPv1 yönlendirme bilgi enjeksiyonu ve OSPF ağları için saldırıların dönüşünü tartışmalıyız.

Bu saldırılar bağımsız bir şirket için bir ağ yöneticisine 'familiars'tır (haklı olarak, bunların üzerinde kontrol sahibi oldukları tek şey olabilir. Bu saldırıların her birinin teknik ayrıntılarını tartışmak, bu aşamada biraz sıkıcıdır, çünkü temel bilgi güvenliği veya TCP ile aşina olan herkes ARP Zehirlenmesini öğrenmiştir. Diğer saldırılar, çoğu ağ yöneticisine veya sunucu güvenliği meraklılarına tanıdık gelebilir. Bunlar sizin endişenizse, Snort gibi Ücretsiz ve Açık Kaynaklı yardımcı programlardan Cisco ve HP'den kurumsal düzeyde yazılıma kadar çok sayıda çok iyi ağ savunma aracı var.. Alternatif olarak, pek çok bilgilendirici kitap bu konuları kapsar, tartışmak için çok fazla sayıda, ancak ağ güvenliği arayışında yardımcı bulduğum birçok kişi arasında Ağ Güvenliği İzleme Tao , Ağ Güvenliği Mimarileri ve klasik Ağ Savaşçısı yer alıyor.

Her durumda, insanların bu tür saldırıların ISS veya Hükümet düzeyinde erişim gerektirdiğini varsaydıklarını rahatsız edici buluyorum. CCIE'nin ağ kurma bilgisi ve uygun araçlar konusunda sahip olduğu ortalamadan daha fazlasını gerektirmez (örn. Tam teorik araçlar değil HPING ve Netcat). Güvende kalmak istiyorsanız uyanık kalın.


8
Tabiki öyle. Bank.example.com adresine gideceğinizi düşünüyorsunuz , bunun yerine amaçlanan hedefiniz olarak proxy yapan veya gizleyen başka bir siteye gideceksiniz. Bunun bir MITM saldırısı olduğunu düşünmüyorsanız, MITM'nin ne olduğunu anlamazsınız.
duffbeer703

1
Eh, DNS söz konusu olduğunda, yarı açık bir şekilde paketleri sadece ulaşmaya çalıştığınız sitenin GERÇEK IP adresine gönderebilirsiniz. REAL BGP rotalarını gönderirken BGP için bağlantı ve aktif durumlar arasında hızlıca geçiş gibi şeyler yapmak da mümkündür. Veya, internetin çoğu gibi, zehirlendiğiniz yolun yanı sıra ana makinenize alternatif bir yol var ise, bunu bir yönlendirme parametresi olarak belirtebilirsiniz. Bununla birlikte, bu Craig ile ilgilenmeniz harika, Güvenlik oldukça bir alan, sıraladığınız bir şey olduğunu düşündüğünüzde başka bir şey ortaya çıkıyor.
ŹV -

1
DNS ile ilgili diğer sorunuza cevap vermek için adımların nasıl çalıştığını göremeyeceğinizi düşünüyorum. Saldırgan uygun hedefi biliyor ve sizin için vekil olarak davranıyor. C ile konuştuğunuzu düşünüyorsunuz, gerçekte trafik aktığında A <-> B <-> C değil, A <-> C değil. SİZİN yönlendirme bilgileriniz tehlikeye giriyor. Saldırganın doğru verileri var veya ödün vermeyen bir DNS sunucusu kullanıyor.
Bart Silverstrim

2
@ Craig-Resmi kaçırıyorsunuz. MITM, hedefiniz ile hedefleri arasına bir aracı eklemeyi içerir. Yönlendirme veya DNS veya istediğiniz başka bir şey olup olmadığı; Bu saldırılar MITM işaretli bir düğmeye dokunduğunuz ve kodu kırdığınız filmler gibi değil. Bu bir sona erme aracı ve harmanlanmış bir saldırının parçası.
Bart Silverstrim

3
Ve doğru hedefe ulaşmak için paketler hakkındaki sorunuzu cevapladım. Saldırgan sistem doğru rotayı biliyor . Sisteminize "doğru" bir site olduğunu söylüyor, ardından bir proxy gibi yönlendirir, isteklerinizi sizin adınıza gönderir ve ardından yanıtlar. Hepsi "ortada" bölümünde. Makineniz takıldı ve neler olduğunu bilmiyor. Şaka gibi, sisteminizin devre dışı kalması.
Bart Silverstrim

14

İşte beni ilgilendiren bir MITM senaryosu:

Diyelim ki otelde büyük bir kongre var. ACME Anvils ve Terrific TNT, karikatür tehlike endüstrisindeki en büyük rakiplerdir. Ürünlerine, özellikle de yeni geliştirmelere olan ilgileri olan biri, pençelerini planlarına atmayı çok ister. Gizliliğini korumak için ona WC diyeceğiz.

WC, biraz zaman ayırması için Famous Hotel'de kontrol eder. Otelin, FamousHotel-5 ile FamousHotel-5 arasındaki wifi erişim noktalarına sahip olduğunu keşfeder. Böylece bir erişim noktası kurar ve onu FamousHotel-6 olarak adlandırır, böylece manzaraya karışır ve onu diğer AP'lerden birine bağlar.

Şimdi, kongre üyeleri kontrol etmeye başladılar. Her iki şirketin de en büyük müşterilerinden biri olan RR olarak adlandıracağız, kontrol edip WC'lerin yanında bir oda bulacak. Dizüstü bilgisayarını kurdu ve tedarikçilerine e-posta göndermeye başladı.

WC manyak olarak bıkıyor! “Benim sapkın planım işe yarıyor!” Diye bağırıyor. BOOM! KAZA! Aynı zamanda, bir örs ve TNT demeti ile çarpıyor. Görünüşe göre ACME Anvils, Terrific TNT, RR ve Famous Hotel'in güvenlik ekipleri bu saldırıyı tahmin etmek için birlikte çalışıyorlardı.

Bip bip!

Düzenle:

Ne kadar sürede * : Seyahat ipucu: Havaalanı wi-fi "honeypots" dikkatli olun

* Tam, RSS beslememde ortaya çıktığı zamandı.


Tamam, ama kablosuz tamamen farklı bir top oyunu değil mi? Belki de sorumu kablolu bağlantılar ile sınırlandırmalıydım.
CJ7

1
@Craig: Mesele aynı. Yerel ağınızda birisinin dinleme, kablosuz veya kablolu olması muhtemeldir. İnternette bir MitM bulmak temelde gerçekleşmeyecek.
Chris S

5
ACME Anvils ve Terrific TNT için +1
Fahad

@Chris: Kablosuz erişim noktası yoksa biri yerel ağımda nasıl olacak? Makinelerden birinde kötü amaçlı yazılım mı var? Öyleyse, veriler ağdan hacker'a nasıl gönderilecek?
CJ7

2
@Craig: Kesinlikle haklısın, MITM saldırıları mevcut değil. Endişelenme, biz sadece NSA'dan saklanan bir avuç paranoyak inekleriz.
duffbeer703

5

Tamamen duruma bağlı. ISS'nize ne kadar güveniyorsunuz? ISS'nizin yapılandırması hakkında ne biliyorsunuz? Ve kendi kurulumunuz ne kadar güvenli?

Bunun gibi "saldırıların" çoğu, dosyalardan gelen tuş vuruşlarını ve şifreleri ele geçiren trojandaki kötü amaçlı yazılımlarla karşı karşıya kalmaktadır. Her zaman olur, fark edilmez veya çok fazla rapor edilmez.

ISS düzeyinde bilgi ne sıklıkta sızdırılır? Küçük bir ISS için çalıştığımda, daha yüksek bir erişim seviyesi yeniden satıyorduk. Böylece, bizi arayan kişi ağımıza geldi ve eğer web sunucumuzla ya da posta sunucumuzla konuşmadıysanız, trafik daha yüksek seviyeli bir sağlayıcıya gitti ve ağlarında verilerinizle kimin ne yaptığını bilmiyoruz. veya yöneticilerinin ne kadar güvenilir olduklarını.

Birisinin "potansiyel olarak" ne kadar nokta alabileceğini bilmek istiyorsanız trafiğinizin traceroute yaptığını ve her bir rota noktasında ne kadar yanıt vereceğini göreceksiniz. Gizlenmiş cihazların bazıları arasında olmadığı varsayılıyor. Ve bu cihazların her birinin aslında yönlendiriciler olduğu ve yönlendiriciler olarak gizlenen bir şey olmadığı.

Mesele şu ki, saldırıların ne kadar yaygın olduğunu bilemezsiniz. Şirketlerin , kredi bilgilerinizden ödün vermediği sürece keşfedilen saldırıları ifşa etmesi gerektiğini söyleyen herhangi bir düzenleme yoktur . Çoğu şirket utanç verici olduğu için (ya da çok fazla iş) değil. Dışarıda bulunan kötü amaçlı yazılımların miktarı muhtemelen sizin düşündüğünüzden çok daha yaygındır ve o zaman da en önemlisi saldırıyı keşfetmiş olmaktır . Kötü amaçlı yazılım düzgün çalıştığında çoğu kullanıcı ne zaman olacağını bilemez. Ve gerçek anlamda, kimsenin dikkatini çeken ve snoops-a-trafikte bir trafikte çalışan senaryo, şirketlerin mecbur olmadıkça bildirmedikleri senaryolardır.

Elbette bunlar, şirketlerin trafiğinizin kaydını tutmaya ve size söylemeden devlet kurumlarına ifşa etmeye mecbur olduğu senaryoları görmezden geliyor. ABD’deyseniz, Vatanseverlik Yasası sayesinde, kütüphaneler ve İSS’ler veri seyahatlerinizi, e-postalarınızı ve tarama tarihçesini sizden bilgi aldıklarını söylemeden kaydetmeye zorlanabilir.

Başka bir deyişle, yaygın MITM ve müdahale saldırılarının kullanıcılar üzerinde ne kadar yaygın olduğuna dair kesin bir veri yoktur, ancak bunun rahat olacağından daha yüksek olduğunu gösteren kanıtlar vardır ve çoğu kullanıcı bu bilgiyi almak için yeterince önemsemez.


3

Asıl soru, "sınırlı kaynak kullanımımın ne kadarını başka bir yer yerine MITM saldırılarına adamalıyım?"

Bu, ilgili iletişimin doğasına bağlıdır ve tek bir cevabı yoktur. Tecrübelerime göre, diğer güvenlik risklerine göre büyük bir risk değil, ancak en aza indirmek genellikle ucuz bir risk (örneğin: bir SSL sertifikası ve HTTPS kullanmak genellikle yeterlidir); Olabilecek bir risk.


https veya ssl sizi MITM'e karşı korumaz. Basitçe istekli kök ca.
YoYo,

2

Evde kablosuz bir erişim noktanız var mı? İş yerinde bir proxy sunucusu?

Bu giriş / çıkış noktalarından herhangi biri, büyük bir hükümet / isp komploları olmadan tehlikeye girebilir. Bir ISS altyapısının bileşenlerinin tehlikeye atılması da mümkündür.

Bir web tarayıcısı kullanıyor musunuz? Trafiği ortadaki bir adama yönlendirmek için bir tarayıcı yapılandırmak oldukça önemsizdir. Bu yöntemi kullanarak, özellikle banka yetkilerine sahip küçük işletmeler için, belirli bankacılık işlemlerini ve aracılık işlemlerini yeniden yönlendiren tarayıcı kötü amaçlı yazılımları olmuştur.

Güvenlik risk yönetimi ile ilgilidir ... riskle başa çıkma şeklinize ilişkin iki temel özellik vardır: oluşma olasılığı ve etki. Ciddi bir trafik kazası geçirme ihtimaliniz çok düşük, ancak kişisel güvenliğinizin etkisi yüksek, bu nedenle emniyet kemerinizi bağlayıp bebeğinizi araba koltuğuna oturtuyorsunuz.

İnsanlar tembel ve / veya ucuz olduğunda, felaket genellikle sonuçtur. Meksika Körfezi'nde, BP her türlü risk faktörünü görmezden geldi, çünkü riski müteahhitlere aktardıklarına inandılar ve olaysız olarak yeterince kuyu açtıklarını düşündüler, bu yüzden bir olayın olasılığı çok düşüktü.


1
Keşke bunu düzeltebilseydim> 1. İnsanların bu tür hesaplanmış riskleri kendi verileriyle almalarıyla ilgili bir sorunum yok , ama başkalarının verileri hatta olduğunda MITM gibi şeyleri göz ardı ederek - müşteriler, hastalar veya her neyse - lamine edilebilir (ve çok yaygındır). Her saldırı vektörünü veya senaryosunu öngörmeniz beklenemez, ancak azaltma ve risk yönetimine yönelik katmanlı, derinlemesine bir savunma yaklaşımı gereklidir.
nedm,

0

MitM saldırılarına sadece yerel ağda rastlanmaktadır. İnternet üzerinden bir bağlantıya girmek, ISS veya Devlet düzeyinde erişim gerektirir - ve bu düzeyde kaynaklara sahip olan herkesin verilerinizden sonra gelmesi çok nadirdir.

Birisi ağınıza girdiğinde, ciddi sorunlarınız olur, ancak bunun dışında muhtemelen sorun değilsiniz.


Doğru değil. Zypher'ın gönderisine bak.
duffbeer703

@duffbeer: zephyr'ın gönderisine yorumlarıma bak
CJ7

MITM, kaynak ile hedef arasına eklenen herhangi bir şeydir. Yerel ağ veya ISS'de, aralarında herhangi bir yerde olabilir. Varış noktanızdaki veya ulaşımdaki bir kişinin bilgilerinizi istemediğini nereden biliyorsunuz? İnsanları takip etmek için bilgilerini kötüye kullanan bir polis var. Ortak? Hayır. Ancak, güçlerini kimlerin kullandığı ve kullanmadığını ve asla keşfedilmediğini gerçekten biliyor musunuz?
Bart Silverstrim

0

@Craig: Düzenlemenizde bazı yanlış bilgileriniz var. Kablosuz ağ yayın tabanlı değildir. Bir kablosuz iletişim oturumunda (kablosuz istemci ile kablosuz erişim noktası arasında) iletilen veriler herkesin duyması için "yayın" değildir. Kablosuz istemci AP ile ilişkilendirilir ve iletişim bahsedilen müşteri ile AP arasında gerçekleşir. Verilerin yayınlanmasını kastediyorsanız, “yayınlanmış” bir radyo sinyaline dahil edilmişse, o zaman evet çok özel kablosuz donanım (RMON özellikli kablosuz adaptörler) ve yazılım araçlarıyla koklanabilir. Aynı AP ile ilişkilendirilmemiş kablosuz istemciler, söz konusu donanım dışında kablosuz trafiği engelleme veya "duyma" mekanizmalarına sahip değildir. TCP \ IP ağlarındaki kablosuz iletişim, iletişim ortamı dışındaki kablolu ağlarda olduğu gibi aynı şekilde çalışır: fiziksel kabloların aksine radyo dalgaları. WiFi trafiği herkesin dinlenebilmesi için yayınlansaydı, çizim tahtasından asla ayrılmazdı.

Bununla birlikte, kablosuz ağların MITM saldırıları için daha büyük bir risk oluşturduğunu düşünüyorum, çünkü kablosuz ağa trafiğe müdahale etmek için hileli bir sistemi "enjekte etmek" için fiziksel erişim gerekli değildir.


kablosuz radyo sinyallerinin yayın olduğunu ve ekipman tarafından yakalanabileceğini söylemiştiniz. Sorumu nasıl çelişiyor?
CJ7

Kablosuz trafiğin herkesin duyması için yayın olduğunu söylediniz, bu teknik olarak doğru değildir. Radyo sinyali, radyo dalgası temelli olarak yayınlanır, ancak iletişim, kablosuz istemci ile kablosuz AP arasında bir noktaya işaret eder. Kablosuz istemci, herkesin duyması için trafiğini yayınlamaz. Trafiğin herkesin duyması için yayınlandığı ifadesi, birisine kablosuz ağın çalışmadığı şekilde çalıştığı izlenimini verebilir.
joeqwerty

Modern 802.11 kablosuz ile ilgili olarak yayın konusu, taşıma katmanının çoğu durumda bir çeşit WPA şifrelemesi tarafından korunmasından dolayı bir miktar etkilidir. Kablolu trafiğiniz, fiziksel konumu ve kablo dolabınızdaki kilidi ile korunmaktadır. Çalıştığım ortamların çoğunda, anahtarlama ve kablolama altyapısının kolayca bulunduğu istemci ağları güvenilmez ağlar olarak değerlendirilir.
duffbeer703
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.