การโจมตีของ MITM - มีโอกาสมากแค่ไหน?

มีแนวโน้มว่าการโจมตี "Man in the Middle" ในความปลอดภัยของอินเทอร์เน็ตเป็นอย่างไร?

สิ่งที่เครื่องจริงนอกเหนือจากเซิร์ฟเวอร์ ISP กำลังจะ "อยู่ตรงกลาง" ของการสื่อสารทางอินเทอร์เน็ต?

อะไรคือความเสี่ยงที่แท้จริงที่เกี่ยวข้องกับการโจมตีของ MITM เมื่อเทียบกับความเสี่ยงทางทฤษฎี

แก้ไข: ฉันไม่สนใจจุดเชื่อมต่อไร้สายในคำถามนี้ พวกเขาต้องได้รับความปลอดภัยแน่นอน แต่สิ่งนี้ชัดเจน จุดเชื่อมต่อไร้สายมีลักษณะเฉพาะในการสื่อสารที่มีการออกอากาศเพื่อให้ทุกคนได้ยิน การสื่อสารอินเทอร์เน็ตผ่านสายแบบปกติจะถูกส่งไปยังปลายทาง - เฉพาะเครื่องในเส้นทางเท่านั้นที่จะเห็นการจราจร

ก่อนอื่นมาคุยกับBorder Gateway Protocolก่อน อินเทอร์เน็ตประกอบด้วยจุดปลายทางนับพันที่รู้จักกันในชื่อ ASes (Autonomous Systems) และจะกำหนดเส้นทางข้อมูลด้วยโปรโตคอลที่รู้จักกันในชื่อ BGP (Border Gateway Protocol) ในช่วงไม่กี่ปีที่ผ่านมาขนาดของตารางเส้นทาง BGP มีขนาดเพิ่มขึ้นแบบทวีคูณมากกว่าหนึ่งแสนรายการ แม้ว่าฮาร์ดแวร์การกำหนดเส้นทางที่เพิ่มขึ้นในการใช้พลังงานก็แทบจะไม่สามารถที่จะก้าวตามขนาดของตารางเส้นทาง BGP

ส่วนที่ยุ่งยากในสถานการณ์ MITM ของเราคือ BGP เชื่อถือเส้นทางโดยปริยายที่ระบบปกครองตนเองอื่นให้ซึ่งหมายความว่าด้วยการส่งสแปมที่เพียงพอจาก AS เส้นทางใด ๆ สามารถนำไปสู่ระบบปกครองตนเอง มันเป็นวิธีที่ชัดเจนที่สุดในการรับส่งข้อมูลของ MITM และไม่ใช่แค่ทางทฤษฎี - ไซต์การประชุมความปลอดภัยของ Defcon ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ของนักวิจัยด้านความปลอดภัยในปี 2550 เพื่อแสดงการโจมตี Youtube ถูกปิดตัวลงในหลายประเทศในเอเชียเมื่อปากีสถานตรวจสอบเว็บไซต์และประกาศว่าเส้นทางของตัวเอง (ตายแล้ว) เป็นเส้นทางที่ดีที่สุดสำหรับ ASES หลายแห่งนอกปากีสถาน

กลุ่มวิชาการจำนวนหนึ่งรวบรวมข้อมูลการกำหนดเส้นทาง BGPจากการร่วมมือกับ ASes เพื่อตรวจสอบการอัปเดต BGP ที่เปลี่ยนเส้นทางการจราจร แต่ถ้าไม่มีบริบทมันอาจเป็นเรื่องยากที่จะแยกแยะการเปลี่ยนแปลงที่ถูกกฎหมายจากการจี้ที่เป็นอันตราย เส้นทางการจราจรเปลี่ยนตลอดเวลาเพื่อรับมือกับภัยธรรมชาติการควบรวมกิจการ ฯลฯ

ถัดไปเพื่อหารือเกี่ยวกับรายการ 'Global MITM โจมตีเวกเตอร์' คือระบบชื่อโดเมน (DNS)

แม้ว่าBINDเซิร์ฟเวอร์ Fine DNS ของ ISC ได้ทำการทดสอบเวลาและออกมาโดยไม่ได้รับบาดเจ็บ (เช่นเดียวกับข้อเสนอ DNS ของ Microsoft และ Cisco) พบว่ามีช่องโหว่ที่น่าสนใจบางประการที่อาจเป็นอันตรายต่อการรับส่งข้อมูลทั้งหมดโดยใช้ชื่อที่ยอมรับในอินเทอร์เน็ต จราจร)

ฉันจะไม่พูดคุยเกี่ยวกับการวิจัยของ Dan Kaminsky เกี่ยวกับการโจมตีพิษ DNS แคชเนื่องจากมันถูกโจมตีจนตายที่อื่นเท่านั้นที่จะได้รับรางวัล 'ข้อผิดพลาดที่ร้อนแรงที่สุด' โดย Blackhat - Las Vegas อย่างไรก็ตามมีข้อผิดพลาด DNS อื่น ๆ อีกหลายตัวที่ทำลายความปลอดภัยทางอินเทอร์เน็ตอย่างรุนแรง

Dynamic Update Zone Bugชนเซิร์ฟเวอร์ DNS และมีโอกาสที่จะประนีประนอมเครื่องและแคช DNS จากระยะไกล

Bug การทำธุรกรรมการทำธุรกรรมได้รับอนุญาตสำหรับการประนีประนอมรากระยะไกลเต็มรูปแบบของเซิร์ฟเวอร์ใด ๆ ที่เรียกใช้ BIND ในเวลาที่มีการประกาศช่องโหว่ทำให้เห็นได้ชัดว่ารายการ DNS ถูกบุกรุก

ในที่สุดเราจะต้องพูดคุยเกี่ยวกับ ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , RIPv1 การฉีดข้อมูลเส้นทางและการโจมตีเครือข่าย OSPF

การโจมตีเหล่านี้เป็น 'familiars' สำหรับผู้ดูแลระบบเครือข่ายสำหรับ บริษัท อิสระ (อย่างถูกต้องดังนั้นการพิจารณาว่าสิ่งเหล่านี้อาจเป็นสิ่งเดียวที่พวกเขาสามารถควบคุมได้) การพูดคุยรายละเอียดทางเทคนิคของการโจมตีแต่ละครั้งนั้นน่าเบื่อเล็กน้อยในระยะนี้เนื่องจากทุกคนที่คุ้นเคยกับการรักษาความปลอดภัยข้อมูลพื้นฐานหรือ TCP ได้เรียนรู้ ARP Poisoning การโจมตีอื่น ๆ มีแนวโน้มที่คุ้นเคยกับผู้ดูแลระบบเครือข่ายหรือผู้ที่หลงใหลในความปลอดภัยของเซิร์ฟเวอร์ หากสิ่งเหล่านี้เป็นปัญหาของคุณมียูทิลิตีการป้องกันเครือข่ายที่ดีมากมายที่มีอยู่ตั้งแต่ยูทิลิตี้ฟรีและโอเพนซอร์สเช่นSnortไปจนถึงซอฟต์แวร์ระดับองค์กรจากซิสโก้และHP. อีกวิธีหนึ่งคือหนังสือที่ให้ข้อมูลหลายครอบคลุมหัวข้อเหล่านี้มากเกินไปที่จะหารือ แต่ฉันได้พบหลายที่เป็นประโยชน์ในการแสวงหาการรักษาความปลอดภัยเครือข่ายรวมถึงเต่าของการรักษาความปลอดภัยตรวจสอบเครือข่าย , ความปลอดภัยเครือข่ายสถาปัตยกรรมและคลาสสิกนักรบเครือข่าย

ไม่ว่าในกรณีใดฉันพบว่าค่อนข้างน่ารำคาญที่ผู้คนคิดว่าการโจมตีประเภทนี้ต้องใช้ ISP หรือการเข้าถึงระดับรัฐบาล พวกเขาต้องการไม่เกิน CCIE เฉลี่ยที่มีในความรู้ด้านเครือข่ายและเครื่องมือที่เหมาะสม (เช่น HPING และ Netcat ไม่ใช่เครื่องมือเชิงทฤษฎี) ระวังตัวหากคุณต้องการความปลอดภัย

นี่คือสถานการณ์หนึ่งของ MITM ที่เกี่ยวกับฉัน:

สมมติว่ามีการประชุมใหญ่ที่โรงแรม ACME Anvils และ Terrific TNT เป็นคู่แข่งสำคัญในอุตสาหกรรมการ์ตูนอันตราย คนที่มีความสนใจในผลิตภัณฑ์ของตนโดยเฉพาะอย่างยิ่งคนใหม่ในการพัฒนาจะรักที่จะได้รับอุ้งมือของเขาในแผนของพวกเขา เราจะเรียกเขาว่า WC เพื่อปกป้องความเป็นส่วนตัวของเขา

สุขาเช็คอินที่โรงแรมที่มีชื่อเสียงก่อนเพื่อให้เวลาเขาในการตั้งค่า เขาค้นพบว่าโรงแรมมีจุดเชื่อมต่อ wifi ชื่อ FamousHotel-1 ผ่าน FamousHotel-5 ดังนั้นเขาจึงตั้งค่าจุดเชื่อมต่อและเรียกมันว่า FamousHotel-6 เพื่อให้มันกลมกลืนกับภูมิประเทศและเชื่อมต่อกับหนึ่งใน AP อื่น ๆ

ตอนนี้ผู้ประชุมเริ่มเช็คอินมันเกิดขึ้นที่หนึ่งในลูกค้าที่ใหญ่ที่สุดของทั้งสอง บริษัท เราจะเรียกเขาว่า RR เช็คอินและเข้าห้องใกล้ห้องสุขา เขาตั้งแล็ปท็อปของเขาและเริ่มแลกเปลี่ยนอีเมลกับซัพพลายเออร์ของเขา

สุขากำลังบ้าคลั่ง! "แผนการคดเคี้ยวของฉันทำงาน!" เขาอุทาน BOOM! ผิดพลาด! ในขณะเดียวกันเขาก็ถูกตีด้วยทั่งตีเหล็กและทีเอ็นที ดูเหมือนว่าทีมรักษาความปลอดภัยของ ACME Anvils, Terrific TNT, RR และโรงแรมชื่อดังกำลังทำงานร่วมกันเพื่อคาดการณ์การโจมตีครั้งนี้

เสียงเตือนปี๊บ!

แก้ไข:

วิธีการที่ทันเวลา^* : เคล็ดลับการเดินทาง: ระวังสนามบิน wi-fi "honeypots"

^{* มันเป็นเวลาที่มันเพิ่งปรากฏในฟีด RSS ของฉัน}

มันขึ้นอยู่กับสถานการณ์ทั้งหมด คุณเชื่อใจ ISP ของคุณเท่าใด คุณรู้เกี่ยวกับการกำหนดค่า ISP ของคุณเท่าใด การตั้งค่าของคุณเองมีความปลอดภัยแค่ไหน?

"การโจมตี" ส่วนใหญ่เช่นนี้ในตอนนี้มีโอกาสมากที่มัลแวร์โทรจันจะสกัดกั้นการกดแป้นและรหัสผ่านจากไฟล์ เกิดขึ้นตลอดเวลาเพียงว่ามันไม่ได้สังเกตหรือรายงานมาก

ข้อมูลรั่วไหลภายในระดับ ISP บ่อยแค่ไหน? เมื่อฉันทำงานกับ ISP ขนาดเล็กเรากำลังขายการเข้าถึงอีกระดับที่สูงขึ้น ดังนั้นคนที่โทรเข้ามาหาเราจึงเข้ามาในเครือข่ายของเราและหากคุณไม่ได้พูดคุยกับเว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์อีเมลของเราปริมาณการใช้งานจะไปยังผู้ให้บริการระดับสูงกว่าและเราไม่รู้ว่าใครทำอะไรกับข้อมูลของคุณในเครือข่าย หรือว่าผู้ดูแลระบบของพวกเขาเชื่อถือได้แค่ไหน

หากคุณต้องการทราบว่ามีใครสักคนที่สามารถ "เห็น" จำนวนผู้เยี่ยมชมของคุณทำการสำรวจเส้นทางและคุณจะเห็นว่าจะตอบสนองมากเท่าไรในแต่ละเส้นทาง นั่นคือสมมติว่าอุปกรณ์ที่ปิดบังไม่ได้อยู่ระหว่างอุปกรณ์เหล่านั้น และอุปกรณ์เหล่านั้นล้วน แต่เป็นเราเตอร์จริง ๆ และไม่ใช่สิ่งที่หลอกลวงเป็นเราเตอร์

สิ่งหนึ่งคือคุณไม่สามารถรู้ได้ว่าการโจมตีนั้นแพร่หลายไปเพียงใด ไม่มีกฎระเบียบใด ๆ ที่บอกว่า บริษัทจะต้องเปิดเผยการโจมตีที่ค้นพบเว้นแต่ว่าข้อมูลเครดิตของคุณจะถูกบุกรุก บริษัท ส่วนใหญ่ทำไม่ได้เพราะมันน่าอาย (หรือทำงานมากเกินไป) ด้วยจำนวนมัลแวร์ที่ลอยอยู่ที่นั่นก็อาจเป็นที่แพร่หลายมากกว่าที่คุณคิดและแม้กระทั่งกุญแจสำคัญคือการค้นพบการโจมตี เมื่อมัลแวร์ทำงานอย่างถูกต้องผู้ใช้ส่วนใหญ่จะไม่ทราบว่าเกิดขึ้นเมื่อใด และสถานการณ์บุคคลที่ได้รับ -miffed-and-snoops-traffic-at-a-provider คือคนที่ บริษัท ไม่ได้รายงานเว้นแต่พวกเขาจะต้อง

แน่นอนว่าสิ่งเหล่านี้เพิกเฉยต่อสถานการณ์ที่ บริษัท ถูกบังคับให้เก็บข้อมูลการจราจรของคุณและเปิดเผยให้หน่วยงานรัฐบาลทราบโดยไม่บอกคุณ หากคุณอยู่ในสหรัฐอเมริกาต้องขอบคุณพระราชบัญญัติ Patriot Act ห้องสมุดและ ISP สามารถถูกบังคับให้บันทึกข้อมูลการเดินทางและอีเมลและประวัติการเรียกดูโดยไม่บอกคุณว่าพวกเขากำลังรวบรวมข้อมูลของคุณ

กล่าวอีกอย่างคือไม่มีข้อมูลที่ยากนักเกี่ยวกับวิธีการที่ MITM และการสกัดกั้นการโจมตีที่เกิดขึ้นกับผู้ใช้ แต่มีหลักฐานที่แสดงว่ามันสูงกว่าที่จะสบายใจและผู้ใช้ส่วนใหญ่ไม่สนใจที่จะรับข้อมูลนั้น

คำถามที่แท้จริงคือ "ฉันควรอุทิศทรัพยากรให้กับการโจมตีของ MITM แทนที่จะ จำกัด ไว้ที่ใด?

ขึ้นอยู่กับลักษณะของการสื่อสารที่เกี่ยวข้องเป็นจำนวนมากและไม่มีคำตอบเดียว จากประสบการณ์ของฉันมันไม่ได้เป็นความเสี่ยงที่ยิ่งใหญ่เมื่อเทียบกับความเสี่ยงด้านความปลอดภัยอื่น ๆ แต่โดยทั่วไปแล้วจะมีความเสี่ยงน้อยกว่า (เช่น: ใบรับรอง SSL และการใช้ HTTPS มักจะเพียงพอ) ดังนั้นมันจึงถูกกว่า ความเสี่ยงมันอาจจะเป็น

คุณมีจุดเชื่อมต่อไร้สายที่บ้านหรือไม่? พร็อกซีเซิร์ฟเวอร์ในที่ทำงานหรือไม่

หนึ่งในจุดเข้า / ออกเหล่านั้นสามารถถูกบุกรุกได้โดยไม่ต้องมีการสมรู้ร่วมคิดกับรัฐบาล นอกจากนี้ยังเป็นไปได้ที่องค์ประกอบของโครงสร้างพื้นฐาน ISP จะถูกโจมตี

คุณใช้เว็บเบราว์เซอร์หรือไม่? มันค่อนข้างง่ายที่จะกำหนดค่าเบราว์เซอร์เพื่อนำทราฟฟิกไปยังคนที่อยู่ตรงกลาง มีมัลแวร์ของเบราว์เซอร์ที่กำหนดเส้นทางธุรกรรมธนาคารและนายหน้าซื้อขายหลักทรัพย์ใหม่โดยใช้วิธีนี้โดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดเล็กที่มีสิทธิ์ใช้สาย

ความปลอดภัยเป็นเรื่องเกี่ยวกับการจัดการความเสี่ยง ... มีสองคุณลักษณะพื้นฐานที่คุณจัดการกับความเสี่ยงดังนี้: ความน่าจะเป็นของการเกิดขึ้นและผลกระทบ ความน่าจะเป็นที่เกิดขึ้นจริงของคุณในการเกิดอุบัติเหตุทางรถยนต์นั้นต่ำมาก แต่ผลกระทบต่อความปลอดภัยส่วนบุคคลของคุณนั้นสูงมากดังนั้นคุณจึงคาดเข็มขัดนิรภัยของคุณและวางทารกไว้ในเบาะรถยนต์

เมื่อคนขี้เกียจและ / หรือราคาถูกภัยพิบัติมักเกิดขึ้น ในอ่าวเม็กซิโกบีพีไม่สนใจปัจจัยเสี่ยงทุกประเภทเพราะพวกเขาเชื่อว่าพวกเขาโอนความเสี่ยงให้กับผู้รับเหมาและคิดว่าพวกเขาเจาะหลุมมากพอโดยไม่มีเหตุการณ์ดังนั้นความน่าจะเป็นของเหตุการณ์จึงต่ำมาก

การโจมตีของ MitM นั้นค่อนข้างพบได้เฉพาะในเครือข่ายท้องถิ่น การแตะที่การเชื่อมต่อผ่านอินเทอร์เน็ตต้องใช้การเข้าถึงระดับ ISP หรือหน่วยงานราชการและเป็นเรื่องยากมากที่ทุกคนที่มีทรัพยากรระดับนั้นจะไปตามข้อมูลของคุณ

เมื่อมีคนเข้ามาในเครือข่ายของคุณแล้วคุณมีปัญหาร้ายแรง แต่นอกเหนือจากนั้นคุณอาจจะไม่เป็นไร

@Craig: ในการแก้ไขของคุณคุณมีข้อมูลที่ผิด เครือข่ายไร้สายไม่ได้ออกอากาศ ข้อมูลที่ถูกส่งในเซสชันการสื่อสารไร้สาย (ระหว่างไคลเอนต์ไร้สายและจุดเชื่อมต่อไร้สาย) ไม่ได้ "ออกอากาศ" เพื่อให้ทุกคนได้ยิน ไคลเอนต์ไร้สายเชื่อมโยงกับ AP และการสื่อสารเกิดขึ้นระหว่างไคลเอนต์ดังกล่าวและ AP หากคุณหมายถึงว่าข้อมูลกำลังถูกเผยแพร่เพราะมันถูกห่อหุ้มในสัญญาณวิทยุที่ "ออกอากาศ" ดังนั้นคุณสามารถดมกลิ่นด้วยอุปกรณ์ไร้สายที่เฉพาะเจาะจงมาก (อะแดปเตอร์ไร้สายที่รองรับ RMON) และเครื่องมือซอฟต์แวร์ ไคลเอนต์ไร้สายที่ไม่ได้เชื่อมโยงกับ AP เดียวกันไม่มีกลไกในการดักจับหรือ "ได้ยิน" ทราฟฟิกไร้สายยกเว้นด้วยอุปกรณ์ดังกล่าว การสื่อสารไร้สายในเครือข่าย TCP \ IP นั้นทำงานเหมือนกับเครือข่ายแบบใช้สายยกเว้นสื่อการส่งสัญญาณ: คลื่นวิทยุเมื่อเทียบกับสายทางกายภาพ หากการรับส่งข้อมูล WiFi มีการออกอากาศเพื่อให้ทุกคนดักฟังมันจะไม่เคยออกจากกระดานวาดภาพ

ที่ถูกกล่าวว่าฉันคิดว่าเครือข่ายไร้สายมีความเสี่ยงมากขึ้นในการโจมตี MITM เพราะการเข้าถึงทางกายภาพไม่จำเป็นต้องเข้าถึงเครือข่ายไร้สายเพื่อ "ฉีด" ระบบอันธพาลเพื่อสกัดกั้นการรับส่งข้อมูล