MITM-атаки - наскільки ймовірні вони?

Наскільки ймовірні напади "Людина в середині" на Інтернет-безпеку?

Які фактичні машини, окрім серверів провайдерів, будуть "посередині" інтернет-комунікацій?

Які реальні ризики, пов'язані з атаками MITM, на відміну від теоретичних ризиків?

EDIT: Мене не цікавлять точки бездротового доступу в цьому питанні. Їх, звичайно, потрібно забезпечити, але це очевидно. Точки доступу до бездротового зв'язку унікальні тим, що передаються комунікації для всіх, хто чує. Звичайний провідний інтернет-зв’язок направляється до місця призначення - трафік бачитимуть лише машини на маршруті.

По-перше, поговоримо про протокол прикордонного шлюзу . Інтернет складається з тисяч кінцевих точок, відомих як ASes (Автономні системи), і вони маршрутизують дані за допомогою протоколу, відомого як BGP (Border Gateway Protocol). В останні роки розмір таблиці маршрутизації BGP експоненціально збільшується в розмірах, розбиваючись на понад 100 000 записів. Навіть при збільшенні потужності апаратного забезпечення для маршрутизації він ледве може втримати темп з постійно зростаючим розміром таблиці маршрутизації BGP.

Складна частина нашого сценарію MITM полягає в тому, що BGP неявно довіряє маршрутам, які надають інші автономні системи, а це означає, що при достатній кількості спаму від AS будь-який маршрут може призвести до будь-якої автономної системи. Це найбільш очевидний спосіб руху трафіку MITM, і це не просто теоретично - сайт Конвенції про безпеку Defcon був перенаправлений на веб-сайт дослідника з безпеки в 2007 році для демонстрації нападу. Youtube був запущений у кількох азіатських країнах, коли Пакистан цензурував сайт і помилково оголосив власний (мертвий) маршрут найкращим для декількох АС за межами Пакистану.

Кілька академічних груп збирають інформацію про маршрутизацію BGP від співпрацюючих ASes для моніторингу оновлень BGP, які змінюють шляхи руху. Але без контексту важко відрізнити законну зміну від зловмисного викрадення. Шляхи руху постійно змінюються, щоб справлятися зі стихійними лихами, злиттями компаній тощо.

Наступним для обговорення у списку "Глобальних векторів атаки MITM" є система доменних імен (DNS).

Незважаючи на те, що BIND- сервер Fine DNS ISC витримав випробування часом і виявився відносно незахищеним (як це стосується пропозицій DNS Microsoft та Cisco), було знайдено кілька помітних уразливостей, які могли б загрожувати всім трафіку за допомогою канонізованих імен в Інтернеті (тобто практично всіх трафік).

Я навіть не буду заважати обговорювати дослідження Дана Камінського щодо нападу отруєння кешем DNS, оскільки його побили до смерти в інших місцях, тільки щоб він був нагороджений "найзапевненішою помилкою коли-небудь" від Blackhat - Лас-Вегасі. Однак існує кілька інших помилок DNS, які серйозно порушили безпеку Інтернету.

Помилка Dynamic Update Zone вийшла з ладу DNS-серверів і мала можливість віддалено компрометувати машини та кеші DNS.

Помилка підписів транзакцій дозволила отримати повний віддалений кореневий компроміс будь-якого сервера, на якому працює BIND, на момент оголошення вразливості, очевидно, дозволяючи порушити записи DNS.

Нарешті , ми повинні обговорити ARP Poisoning , 802.11q Retracing , STP- Trujan Hijacking , RIPv1 введення інформації про маршрутизацію та низку атак для OSPF-мереж.

Ці атаки є "знайомими" мережевим адміністратором незалежної компанії (справедливо, вважаючи, що це єдині, над якими вони мають контроль). Обговорення технічних деталей кожної з цих атак на цьому етапі трохи нудне, оскільки всі, хто знайомий з базовою інформаційною безпекою або TCP, дізналися про отруєння ARP. Інші атаки, ймовірно, є знайомим обличчям багатьох адміністраторів мережі або прихильників безпеки сервера. Якщо це стосується вас, існує багато дуже хороших утилітів захисту мережі, починаючи від безкоштовних та відкритих утиліт, таких як Snort, до програмного забезпечення корпоративного рівня від Cisco та HP. Крім того , багато інформаційні книги охоплюють ці теми, занадто багато , щоб обговорити, але деякі я знайшов корисним в досягненні безпеки мережі включають в себе Дао безпеки мережі моніторингу , мережевої безпеки архітектур , і класична мережу Воїн

У будь-якому випадку, мені здається дещо тривожним, що люди припускають, що для подібних нападів потрібен доступ на Інтернет-провайдер або уряд. Вони вимагають не більше, ніж середній CCIE має знання мережі та відповідні інструменти (наприклад, HPING та Netcat, не зовсім теоретичні інструменти). Будьте пильні, якщо хочете бути в безпеці.

Ось один сценарій MITM, який стосується мене:

Скажімо, в готелі є велика конвенція. ACME Anvils і Strific TNT є основними конкурентами у галузі небезпеки мультфільмів. Хтось із зацікавленим зацікавленням їх продуктами, особливо новими в розробці, серйозно полюбить би його лапами в своїх планах. Ми будемо називати його туалетом, щоб захистити його конфіденційність.

Туалет заїжджає в готель "Відомий" рано, щоб дати йому час на влаштування. Він виявляє, що в готелі є точки доступу до Wi-Fi під назвою FamousHotel-1 через FamousHotel-5. Тож він встановлює точку доступу і називає її FamousHotel-6, щоб вона вписалася в ландшафт і з'єднала його з однією з інших точок доступу.

Тепер учасники конвенції починають приїжджати. Просто так трапляється, що один з найбільших клієнтів обох компаній, ми називаємо його RR, заїжджає та отримує номер біля туалету. Він встановлює свій ноутбук і починає обмінюватися електронними листами зі своїми постачальниками.

Туалет зграє маніакально! "Мій підступний план працює!", - вигукує він. БУМ! КРУШ! Одночасно його вдарили ковадлом і пучком тротилу. Схоже, команди безпеки ACME Anvils, Terrific TNT, RR та Famous Hotel працювали разом, очікуючи цієї атаки.

БІП біп!

Редагувати:

Як своєчасно ^* : Порада про подорожі: Остерігайтеся аеропорту wi-fi "медовий горщик"

^{* Ну, вчасно з’явилося це в моєму RSS-каналі.}

Це повністю залежить від ситуації. Наскільки ви довіряєте своєму провайдеру? Скільки ви знаєте про конфігурацію свого провайдера? І наскільки безпечна ваша власна установка?

Більшість "атак", як це зараз, дуже ймовірно, коли троянські зловмисні програми перехоплюють натискання клавіш і паролі з файлів. Відбувається весь час, тільки що його не помічають та не повідомляють так багато.

І як часто інформація просочується всередині рівня провайдера? Коли я працював над невеликим провайдером, ми перепродавали ще один вищий рівень доступу. Тож людина, яка зателефонувала до нас, зайшла в нашу мережу, і якщо ви не спілкувалися з нашим веб-сервером чи поштовим сервером, трафік перейшов до провайдера вищого рівня, і ми не маємо уявлення, хто робив, що з вашими даними у їхній мережі, або наскільки надійними були їх адміністратори.

Якщо ви хочете дізнатися, скільки місць може "потенційно" побачити ваш трафік, слід простежити, і ви побачите стільки, скільки відповість у кожній точці маршрутизації. Це припущення, що прикриті пристрої не знаходяться між деякими з них. І що ці пристрої є насправді маршрутизаторами, а не чимось маскуючими, як маршрутизатори.

Вся справа в тому, що ви не можете знати, наскільки поширені напади. Не існує жодних правил, які б стверджували, що компанії повинні розкривати напади, виявлені, якщо ваша кредитна інформація не порушена. Більшість компаній цього не роблять, бо це бентежить (або занадто багато працює). Коли кількість зловмисного програмного забезпечення, що випливає там, це, мабуть, набагато більше, ніж ви думаєте, і навіть тоді ключовим є виявлення нападу. Коли шкідливе програмне забезпечення працює належним чином, більшість користувачів не знають, коли це відбувається. І власне сценарій "людина, яка отримує посмішку-і-снупс-трафік-на-провайдер" - це те, про що компанії не звітують, якщо не повинні.

Звичайно, вони ігнорують сценарії, коли компанії змушені вести облік вашого трафіку та розголошувати їх державним установам, не повідомляючи вам. Якщо ви перебуваєте в США, завдяки Закону про патріоти, бібліотеки та Інтернет-провайдери можуть бути змушені записувати ваші подорожі та електронну пошту та історію перегляду, не повідомляючи, що вони збирають інформацію про вас.

Іншими словами, немає важких даних про те, наскільки поширені атаки MITM та перехоплення на користувачів, але є дані, які дозволять припустити, що це вище, ніж було б зручно, і більшість користувачів не піклуються про те, щоб отримати цю інформацію.

Справжнє питання - "скільки мого обмеженого ресурсу я повинен присвятити атакам MITM, а не іншим чином?"

Це залежить від характеру комунікацій та не має єдиної відповіді. На мій досвід, це не великий ризик щодо інших ризиків для безпеки, але зазвичай це дешевий мінімізація (наприклад, SSL-сертифікат та використання HTTPS часто достатньо), тому виправити це дешевше, ніж витрачати час на оцінку кількості ризик це може бути.

У вас вдома є точка бездротового доступу? Проксі-сервер на роботі?

Будь-яка з цих точок вступу / виходу може бути поставлена ​​під загрозу без величезної змови уряду / іспа. Можливо також компрометовані компоненти інфраструктури провайдерів.

Ви використовуєте веб-браузер? Досить банально налаштувати браузер, щоб направляти трафік на людину посередині. Існує зловмисне програмне забезпечення веб-переглядача, яке здійснює перенаправлення певних банківських та брокерських операцій за допомогою цього методу, особливо для малого бізнесу з привілеями.

Безпека стосується управління ризиками ... Є два основні ознаки того, як ви підходите до боротьби з ризиком: ймовірність виникнення та вплив. Фактична ймовірність потрапляння у серйозну автомобільну катастрофу дуже низька, але вплив на вашу особисту безпеку високий, тому ви застебнете ремінь безпеки і помістите дитину на автокрісло.

Коли люди лінуються і / або дешево, наслідком цього є стихійне лихо. В Мексиканській затоці ВР ігнорувала всілякі фактори ризику, оскільки вважала, що вони передають ризик підрядникам, і вважала, що вони пробурили достатню кількість свердловин без інцидентів, тому ймовірність інциденту була дуже низькою.

Атаки MitM в основному зустрічаються виключно в локальній мережі. Для підключення до Інтернету потрібен доступ до ISP або на рівні уряду - і дуже рідко хтось із таким рівнем ресурсів піде за вашими даними.

Як тільки хтось потрапляє у вашу мережу, у вас виникають серйозні проблеми, але поза цим у вас, ймовірно, все добре.

@Craig: У вашій редакції у вас є дезінформація. Бездротова мережа не заснована на трансляції. Дані, що передаються під час сеансу бездротового зв'язку (між клієнтом бездротового зв’язку та бездротовою точкою доступу), не є "трансляцією" для того, щоб всі могли почути. Клієнт бездротового зв'язку асоціюється з AP та зв’язок відбувається між вказаним клієнтом та AP. Якщо ви мали на увазі, що дані транслюються, тому що вони інкапсульовані в радіосигнал, який "транслюється", то так, його можна понюхати дуже специфічним бездротовим обладнанням (бездротовими адаптерами, здатними RMON) та програмними засобами. Клієнти бездротового зв’язку, які не пов’язані з тим самим AP, не мають механізму перехоплення або «почуття» бездротового трафіку, за винятком вищезгаданого обладнання. Бездротова комунікація в мережах TCP \ IP працює по суті так само, як і в дротових мережах, крім засобів передачі: радіохвилі на відміну від фізичних проводів. Якби трафік Wi-Fi транслювався для кожного, хто підслуховував його, ніколи б не вийшов з дошки для малювання.

Зважаючи на це, я думаю, що бездротові мережі створюють більший ризик для MITM-атак, оскільки для доступу до бездротової мережі фізичний доступ не потрібен для "впорскування" в шахрайську систему, щоб перехопити трафік.