MITM saldırıları - ne kadar muhtemel?

İnternet güvenliğinde "Ortadaki Adam" saldırıları ne kadar muhtemel?

ISS sunucuları dışında hangi gerçek makineler internet iletişiminin "ortasında" olacak?

Teorik risklerin aksine, MITM saldırılarıyla ilgili gerçek riskler nelerdir ?

EDIT: Bu sorudaki kablosuz erişim noktalarıyla ilgilenmiyorum. Elbette güvenceye alınması gerekiyor ama bu açık. Kablosuz erişim noktaları, iletişimin herkesin duyması için yayınlanması bakımından benzersizdir. Normal kablolu internet iletişimi hedeflerine yönlendirilir - yalnızca rotadaki makineler trafiği görür.

İlk önce, Sınır Ağ Geçidi Protokolü hakkında konuşalım . İnternet, ASes (Özerk Sistemler) olarak bilinen binlerce uç noktadan oluşur ve verileri BGP (Sınır Ağ Geçidi Protokolü) olarak bilinen bir protokolle yönlendirir. Son yıllarda, BGP yönlendirme tablasının büyüklüğü katlanarak artmıştır ve bir 100.000'den fazla girişi aşmıştır. Yönlendirme donanımının gücü arttıkça bile, BGP yönlendirme tablasının gittikçe genişleyen boyutuna ayak uyduramıyorum.

MITM senaryomuzdaki en zor kısım, BGP'nin, diğer özerk sistemlerin sağladığı rotalara güvendiği anlamına gelir. MITM trafiğine en açık yoldur ve sadece teorik değildir - Defcon güvenlik sözleşmesinin sitesi, saldırıyı göstermek için 2007 yılında bir güvenlik araştırmacısının web sitesine yönlendirildi. Pakistan, siteyi sansürlediğinde ve yanlışlıkla Pakistan dışındaki bazı AS'ler için en iyi şekilde kendi (ölü) rotasını ilan ettiğinde Youtube birçok Asya ülkesinde kaldı.

Bir grup akademik grup , trafik yollarını değiştiren BGP güncellemelerini izlemek için ASS işbirliğinden BGP yönlendirme bilgilerini toplar . Ancak bağlam olmadan, meşru bir değişikliği kötü niyetli bir hırsızlıktan ayırt etmek zor olabilir. Trafik yolları, doğal afetler, şirket birleşmeleri vb. İle başa çıkmak için her zaman değişmektedir.

'Küresel MITM saldırı vektörleri' listesinde görüşmek üzere, Alan Adı Sistemi (DNS) bulunur.

ISC’nin Fine DNS sunucusu BIND’in zamana dayanması ve göreceli olarak bozulmamış hale gelmesine rağmen (Microsoft ve Cisco’nun DNS teklifleri gibi), internetteki kurallı isimleri kullanarak tüm trafiği potansiyel olarak tehlikeye sokabilecek birkaç önemli güvenlik açığı tespit edildi trafik).

Dan Kaminsky'nin DNS önbellek zehirlenmesi saldırısı konusundaki araştırmalarını tartışmaya bile zahmet etmeyeceğim , çünkü başka yerlerde ölümle dövülmüş, sadece Blackhat - Las Vegas tarafından "şimdiye kadar en çok okunan böcek" olarak ödüllendirildi. Bununla birlikte, internet güvenliğini tehlikeye atan diğer bazı DNS hataları vardır.

Dinamik Güncelleme Bölgesi Hatası , DNS sunucularını çökertmiştir ve makineleri ve DNS önbelleklerini uzaktan tehlikeye atma potansiyeline sahiptir.

İşlem İmzaları Hata'sında , güvenlik açığının duyurulduğu sırada BIND çalıştıran herhangi bir sunucunun tam olarak kökten uzlaşmasına izin verildi ve bu, açık bir şekilde DNS girişlerinin tehlikeye girmesine izin verdi.

Son olarak , ARP Zehirlenmesi , 802.11q Geri Çekme , STP-Trunk Hijacking , RIPv1 yönlendirme bilgi enjeksiyonu ve OSPF ağları için saldırıların dönüşünü tartışmalıyız.

Bu saldırılar bağımsız bir şirket için bir ağ yöneticisine 'familiars'tır (haklı olarak, bunların üzerinde kontrol sahibi oldukları tek şey olabilir. Bu saldırıların her birinin teknik ayrıntılarını tartışmak, bu aşamada biraz sıkıcıdır, çünkü temel bilgi güvenliği veya TCP ile aşina olan herkes ARP Zehirlenmesini öğrenmiştir. Diğer saldırılar, çoğu ağ yöneticisine veya sunucu güvenliği meraklılarına tanıdık gelebilir. Bunlar sizin endişenizse, Snort gibi Ücretsiz ve Açık Kaynaklı yardımcı programlardan Cisco ve HP'den kurumsal düzeyde yazılıma kadar çok sayıda çok iyi ağ savunma aracı var.. Alternatif olarak, pek çok bilgilendirici kitap bu konuları kapsar, tartışmak için çok fazla sayıda, ancak ağ güvenliği arayışında yardımcı bulduğum birçok kişi arasında Ağ Güvenliği İzleme Tao , Ağ Güvenliği Mimarileri ve klasik Ağ Savaşçısı yer alıyor.

Her durumda, insanların bu tür saldırıların ISS veya Hükümet düzeyinde erişim gerektirdiğini varsaydıklarını rahatsız edici buluyorum. CCIE'nin ağ kurma bilgisi ve uygun araçlar konusunda sahip olduğu ortalamadan daha fazlasını gerektirmez (örn. Tam teorik araçlar değil HPING ve Netcat). Güvende kalmak istiyorsanız uyanık kalın.

İşte beni ilgilendiren bir MITM senaryosu:

Diyelim ki otelde büyük bir kongre var. ACME Anvils ve Terrific TNT, karikatür tehlike endüstrisindeki en büyük rakiplerdir. Ürünlerine, özellikle de yeni geliştirmelere olan ilgileri olan biri, pençelerini planlarına atmayı çok ister. Gizliliğini korumak için ona WC diyeceğiz.

WC, biraz zaman ayırması için Famous Hotel'de kontrol eder. Otelin, FamousHotel-5 ile FamousHotel-5 arasındaki wifi erişim noktalarına sahip olduğunu keşfeder. Böylece bir erişim noktası kurar ve onu FamousHotel-6 olarak adlandırır, böylece manzaraya karışır ve onu diğer AP'lerden birine bağlar.

Şimdi, kongre üyeleri kontrol etmeye başladılar. Her iki şirketin de en büyük müşterilerinden biri olan RR olarak adlandıracağız, kontrol edip WC'lerin yanında bir oda bulacak. Dizüstü bilgisayarını kurdu ve tedarikçilerine e-posta göndermeye başladı.

WC manyak olarak bıkıyor! “Benim sapkın planım işe yarıyor!” Diye bağırıyor. BOOM! KAZA! Aynı zamanda, bir örs ve TNT demeti ile çarpıyor. Görünüşe göre ACME Anvils, Terrific TNT, RR ve Famous Hotel'in güvenlik ekipleri bu saldırıyı tahmin etmek için birlikte çalışıyorlardı.

Bip bip!

Düzenle:

Ne kadar sürede ^* : Seyahat ipucu: Havaalanı wi-fi "honeypots" dikkatli olun

^{* Tam, RSS beslememde ortaya çıktığı zamandı.}

Tamamen duruma bağlı. ISS'nize ne kadar güveniyorsunuz? ISS'nizin yapılandırması hakkında ne biliyorsunuz? Ve kendi kurulumunuz ne kadar güvenli?

Bunun gibi "saldırıların" çoğu, dosyalardan gelen tuş vuruşlarını ve şifreleri ele geçiren trojandaki kötü amaçlı yazılımlarla karşı karşıya kalmaktadır. Her zaman olur, fark edilmez veya çok fazla rapor edilmez.

ISS düzeyinde bilgi ne sıklıkta sızdırılır? Küçük bir ISS için çalıştığımda, daha yüksek bir erişim seviyesi yeniden satıyorduk. Böylece, bizi arayan kişi ağımıza geldi ve eğer web sunucumuzla ya da posta sunucumuzla konuşmadıysanız, trafik daha yüksek seviyeli bir sağlayıcıya gitti ve ağlarında verilerinizle kimin ne yaptığını bilmiyoruz. veya yöneticilerinin ne kadar güvenilir olduklarını.

Birisinin "potansiyel olarak" ne kadar nokta alabileceğini bilmek istiyorsanız trafiğinizin traceroute yaptığını ve her bir rota noktasında ne kadar yanıt vereceğini göreceksiniz. Gizlenmiş cihazların bazıları arasında olmadığı varsayılıyor. Ve bu cihazların her birinin aslında yönlendiriciler olduğu ve yönlendiriciler olarak gizlenen bir şey olmadığı.

Mesele şu ki, saldırıların ne kadar yaygın olduğunu bilemezsiniz. Şirketlerin , kredi bilgilerinizden ödün vermediği sürece keşfedilen saldırıları ifşa etmesi gerektiğini söyleyen herhangi bir düzenleme yoktur . Çoğu şirket utanç verici olduğu için (ya da çok fazla iş) değil. Dışarıda bulunan kötü amaçlı yazılımların miktarı muhtemelen sizin düşündüğünüzden çok daha yaygındır ve o zaman da en önemlisi saldırıyı keşfetmiş olmaktır . Kötü amaçlı yazılım düzgün çalıştığında çoğu kullanıcı ne zaman olacağını bilemez. Ve gerçek anlamda, kimsenin dikkatini çeken ve snoops-a-trafikte bir trafikte çalışan senaryo, şirketlerin mecbur olmadıkça bildirmedikleri senaryolardır.

Elbette bunlar, şirketlerin trafiğinizin kaydını tutmaya ve size söylemeden devlet kurumlarına ifşa etmeye mecbur olduğu senaryoları görmezden geliyor. ABD’deyseniz, Vatanseverlik Yasası sayesinde, kütüphaneler ve İSS’ler veri seyahatlerinizi, e-postalarınızı ve tarama tarihçesini sizden bilgi aldıklarını söylemeden kaydetmeye zorlanabilir.

Başka bir deyişle, yaygın MITM ve müdahale saldırılarının kullanıcılar üzerinde ne kadar yaygın olduğuna dair kesin bir veri yoktur, ancak bunun rahat olacağından daha yüksek olduğunu gösteren kanıtlar vardır ve çoğu kullanıcı bu bilgiyi almak için yeterince önemsemez.

Asıl soru, "sınırlı kaynak kullanımımın ne kadarını başka bir yer yerine MITM saldırılarına adamalıyım?"

Bu, ilgili iletişimin doğasına bağlıdır ve tek bir cevabı yoktur. Tecrübelerime göre, diğer güvenlik risklerine göre büyük bir risk değil, ancak en aza indirmek genellikle ucuz bir risk (örneğin: bir SSL sertifikası ve HTTPS kullanmak genellikle yeterlidir); Olabilecek bir risk.

Evde kablosuz bir erişim noktanız var mı? İş yerinde bir proxy sunucusu?

Bu giriş / çıkış noktalarından herhangi biri, büyük bir hükümet / isp komploları olmadan tehlikeye girebilir. Bir ISS altyapısının bileşenlerinin tehlikeye atılması da mümkündür.

Bir web tarayıcısı kullanıyor musunuz? Trafiği ortadaki bir adama yönlendirmek için bir tarayıcı yapılandırmak oldukça önemsizdir. Bu yöntemi kullanarak, özellikle banka yetkilerine sahip küçük işletmeler için, belirli bankacılık işlemlerini ve aracılık işlemlerini yeniden yönlendiren tarayıcı kötü amaçlı yazılımları olmuştur.

Güvenlik risk yönetimi ile ilgilidir ... riskle başa çıkma şeklinize ilişkin iki temel özellik vardır: oluşma olasılığı ve etki. Ciddi bir trafik kazası geçirme ihtimaliniz çok düşük, ancak kişisel güvenliğinizin etkisi yüksek, bu nedenle emniyet kemerinizi bağlayıp bebeğinizi araba koltuğuna oturtuyorsunuz.

İnsanlar tembel ve / veya ucuz olduğunda, felaket genellikle sonuçtur. Meksika Körfezi'nde, BP her türlü risk faktörünü görmezden geldi, çünkü riski müteahhitlere aktardıklarına inandılar ve olaysız olarak yeterince kuyu açtıklarını düşündüler, bu yüzden bir olayın olasılığı çok düşüktü.

MitM saldırılarına sadece yerel ağda rastlanmaktadır. İnternet üzerinden bir bağlantıya girmek, ISS veya Devlet düzeyinde erişim gerektirir - ve bu düzeyde kaynaklara sahip olan herkesin verilerinizden sonra gelmesi çok nadirdir.

Birisi ağınıza girdiğinde, ciddi sorunlarınız olur, ancak bunun dışında muhtemelen sorun değilsiniz.

@Craig: Düzenlemenizde bazı yanlış bilgileriniz var. Kablosuz ağ yayın tabanlı değildir. Bir kablosuz iletişim oturumunda (kablosuz istemci ile kablosuz erişim noktası arasında) iletilen veriler herkesin duyması için "yayın" değildir. Kablosuz istemci AP ile ilişkilendirilir ve iletişim bahsedilen müşteri ile AP arasında gerçekleşir. Verilerin yayınlanmasını kastediyorsanız, “yayınlanmış” bir radyo sinyaline dahil edilmişse, o zaman evet çok özel kablosuz donanım (RMON özellikli kablosuz adaptörler) ve yazılım araçlarıyla koklanabilir. Aynı AP ile ilişkilendirilmemiş kablosuz istemciler, söz konusu donanım dışında kablosuz trafiği engelleme veya "duyma" mekanizmalarına sahip değildir. TCP \ IP ağlarındaki kablosuz iletişim, iletişim ortamı dışındaki kablolu ağlarda olduğu gibi aynı şekilde çalışır: fiziksel kabloların aksine radyo dalgaları. WiFi trafiği herkesin dinlenebilmesi için yayınlansaydı, çizim tahtasından asla ayrılmazdı.

Bununla birlikte, kablosuz ağların MITM saldırıları için daha büyük bir risk oluşturduğunu düşünüyorum, çünkü kablosuz ağa trafiğe müdahale etmek için hileli bir sistemi "enjekte etmek" için fiziksel erişim gerekli değildir.