MITM-атаки - насколько они вероятны?

Насколько вероятны атаки «Человек посередине» в сфере интернет-безопасности?

Какие реальные машины, кроме серверов ISP, будут «в центре» интернет-коммуникаций?

Каковы реальные риски, связанные с атаками MITM, в отличие от теоретических рисков?

РЕДАКТИРОВАТЬ: меня не интересуют точки беспроводного доступа в этом вопросе. Конечно, их нужно защищать, но это очевидно. Точки беспроводного доступа уникальны тем, что сообщения транслируются на всеобщее обозрение. Обычные проводные интернет-коммуникации направляются к месту назначения - трафик будут видеть только машины на маршруте.

Сначала поговорим о протоколе пограничного шлюза . Интернет состоит из тысяч конечных точек, известных как AS (автономные системы), и они направляют данные с помощью протокола, известного как BGP (Border Gateway Protocol). В последние годы размер таблицы маршрутизации BGP экспоненциально увеличивался, значительно превышая 100 000 записей. Даже при увеличении мощности оборудования маршрутизации он едва ли может идти в ногу с постоянно расширяющимся размером таблицы маршрутизации BGP.

Сложность в нашем сценарии MITM заключается в том, что BGP неявно доверяет маршрутам, которые ему предоставляют другие автономные системы, а это означает, что при достаточном количестве спама от AS любой маршрут может привести к любой автономной системе. Это наиболее очевидный способ трафика MITM, и он не просто теоретический - сайт конвенции по безопасности Defcon был перенаправлен на сайт исследователя безопасности в 2007 году, чтобы продемонстрировать атаку. Youtube был отключен в нескольких азиатских странах, когда Пакистан подверг цензуре сайт и по ошибке объявил, что его собственный (мертвый) маршрут является лучшим для нескольких AS за пределами Пакистана.

Несколько академических групп собирают информацию о маршрутизации BGP от сотрудничающих AS для мониторинга обновлений BGP, которые изменяют пути трафика. Но без контекста может быть трудно отличить законное изменение от злонамеренного угона. Трафик постоянно меняется, чтобы справиться со стихийными бедствиями, слияниями компаний и т. Д.

Далее в списке «Глобальные векторы атак MITM» обсуждается система доменных имен (DNS).

Хотя BIND- сервер ISC Fine DNS выдержал испытание временем и вышел относительно невредимым (как и предложения DNS от Microsoft и Cisco), было обнаружено несколько заметных уязвимостей, которые потенциально могут поставить под угрозу весь трафик, используя канонизированные имена в Интернете (то есть практически все трафик).

Я даже не стану обсуждать исследование Дэна Камински, посвященное атаке отравления кеша DNS, поскольку она была избита до смерти в других местах, но была удостоена награды «Самая страшная ошибка» за всю историю Blackhat - Лас-Вегас. Однако существует несколько других ошибок DNS, которые серьезно скомпрометировали интернет-безопасность.

Ошибка зоны динамического обновления приводила к сбою DNS-серверов и могла привести к удаленному взлому компьютеров и кешей DNS.

Ошибка сигнатур транзакций позволила полностью скомпрометировать удаленный корень любого сервера, работающего под управлением BIND, в момент объявления уязвимости, что, очевидно, позволило скомпрометировать записи DNS.

Наконец , мы должны обсудить ARP Poisoning , 802.11q Retracing , перехват STP-Trunk , внедрение информации о маршрутизации RIPv1 и количество атак для сетей OSPF.

Эти атаки являются «знакомыми» администратора сети для независимой компании (справедливо, учитывая, что они могут быть единственными, над которыми они контролируют). Обсуждать технические детали каждой из этих атак немного скучно на этом этапе, так как каждый, кто знаком с основами информационной безопасности или TCP, изучил ARP Poisoning. Другие атаки, вероятно, знакомы многим сетевым администраторам или поклонникам безопасности сервера. Если вас это беспокоит, существует множество очень хороших утилит сетевой защиты, начиная от бесплатных и открытых утилит, таких как Snort, и заканчивая программным обеспечением корпоративного уровня от Cisco и HP., Кроме того , многие информационные книги охватывают эти темы, слишком много , чтобы обсудить, но некоторые я нашел полезным в достижении безопасности сети включают в себя Дао безопасности сети мониторинга , сетевой безопасности архитектур , и классическая сеть Воин

В любом случае, меня несколько беспокоит то, что люди предполагают, что такого рода атаки требуют доступа к интернет-провайдеру или правительственному уровню. Они требуют не больше, чем средний CCIE в области сетевых знаний и соответствующих инструментов (например, HPING и Netcat, не совсем теоретические инструменты). Будьте бдительны, если хотите оставаться в безопасности.

Вот один сценарий MITM, который касается меня:

Допустим, в отеле есть большая конвенция. ACME Anvils и Terrific TNT являются основными конкурентами в индустрии мультфильмов. Кто-то, кто лично заинтересован в их продуктах, особенно в разработке, очень хотел бы услышать их планы. Мы будем называть его WC, чтобы защитить его конфиденциальность.

Туалет заезжает в отель Famous рано, чтобы дать ему время на установку. Он обнаруживает, что в отеле есть точки доступа Wi-Fi, которые называются FamousHotel-1 через FamousHotel-5. Поэтому он настраивает точку доступа и называет ее FamousHotel-6, чтобы она вписывалась в ландшафт и соединяла ее с одной из других точек доступа.

Теперь участники конференции начинают регистрироваться. Так уж сложилось, что один из крупнейших клиентов обеих компаний, назовем его RR, регистрируется и получает комнату рядом с туалетами. Он настраивает свой ноутбук и начинает обмениваться электронными письмами со своими поставщиками.

Туалет маниакально хихикает! «Мой коварный план работает!» - восклицает он. БУМ! CRASH! Одновременно он поражен наковальней и связкой тротила. Кажется, что команды безопасности ACME Anvils, Terrific TNT, RR и Famous Hotel работали вместе, предвидя эту самую атаку.

Beep Beep!

Редактировать:

Как своевременно ^* : Полезные советы: Остерегайтесь аэропорта Wi-Fi "Honeypots"

^{* Ну, это было своевременно, что это просто появилось в моей ленте RSS.}

Это полностью зависит от ситуации. Насколько вы доверяете своему провайдеру? Как много вы знаете о конфигурации вашего провайдера? И насколько безопасна ваша собственная установка?

Большинство таких «атак», как это происходит сейчас, очень вероятно, когда вредоносные программы перехватывают нажатия клавиш и пароли из файлов. Бывает все время, только то, что об этом не замечают и не сообщают так много.

И как часто информация просачивается на уровень интернет-провайдера? Когда я работал на небольшого интернет-провайдера, мы перепродали еще один более высокий уровень доступа. Таким образом, человек, набравший на нас номер, вошел в нашу сеть, и если вы не разговаривали с нашим веб-сервером или почтовым сервером, трафик направлялся к поставщику более высокого уровня, и мы понятия не имеем, кто что сделал с вашими данными в их сети, или как заслуживают доверия их администраторы.

Если вы хотите узнать, сколько точек кто-то может «потенциально» увидеть, как ваш трафик выполняет трассировку, вы увидите столько, сколько отреагирует в каждой точке маршрутизации. Это при условии, что скрытые устройства не находятся между некоторыми из них. И что эти устройства на самом деле являются маршрутизаторами, а не маскируются под маршрутизаторы.

Дело в том, что вы не можете знать, насколько распространены атаки. Нет никаких правил, согласно которым компании должны раскрывать атаки, которые обнаружены, если ваша кредитная информация не будет взломана. Большинство компаний не делают, потому что это стыдно (или слишком много работы). Учитывая количество вредоносного ПО, оно, вероятно, гораздо более распространено, чем вы думаете, и даже в этом случае ключ к обнаружению атаки. Когда вредоносная программа работает должным образом, большинство пользователей не знают, когда это произойдет. И фактический сценарий «человек, который получает рассмешенный и отслеживает трафик у провайдера» - это те, о которых компании не сообщают, если не обязаны это делать.

Конечно, они игнорируют сценарии, когда компании вынуждены вести учет вашего трафика и раскрывать их государственным органам, не сообщая вам об этом. Если вы находитесь в США, благодаря Закону о патриотизме библиотеки и интернет-провайдеры могут быть вынуждены записывать ваши данные, электронные письма и историю просмотров, не сообщая вам, что они собирают информацию о вас.

Другими словами, нет точных данных о том, насколько распространены атаки MITM и перехвата на пользователей, но есть свидетельства, свидетельствующие о том, что он выше, чем было бы удобно, и большинство пользователей не заботятся о том, чтобы получить эту информацию.

Реальный вопрос заключается в том, «сколько из моих ограниченных ресурсов я должен посвятить атакам MITM, а не где-то еще?»

Это во многом зависит от характера коммуникаций и не имеет однозначного ответа. По моему опыту, это не большой риск по сравнению с другими рисками безопасности, но обычно его можно минимизировать (например, SSL-сертификат и использование HTTPS часто достаточно), поэтому его дешевле исправить, чем тратить время на оценку того, сколько риск это может быть.

У вас дома есть точка беспроводного доступа? Прокси-сервер на работе?

Любая из этих точек входа / выхода может быть скомпрометирована без какого-либо обширного правительственного / испанского заговора. Также возможно скомпрометировать компоненты инфраструктуры интернет-провайдера.

Вы используете веб-браузер? Настроить браузер так, чтобы он направлял трафик на человека посередине, довольно тривиально. Существовали вредоносные программы для браузеров, которые перенаправляли определенные банковские и брокерские транзакции с использованием этого метода, особенно для малых предприятий с банковскими привилегиями.

Безопасность - это управление рисками ... есть два основных признака того, как вы подходите к риску: вероятность возникновения и влияние. Реальная вероятность того, что вы попадете в серьезную автомобильную аварию, очень мала, но влияние на вашу личную безопасность велико, поэтому вы пристегиваете ремень безопасности и сажаете младенца в автокресло.

Когда люди становятся ленивыми и / или дешевыми, часто результатом является катастрофа. В Мексиканском заливе BP игнорировала всевозможные факторы риска, поскольку считала, что переносит риск на подрядчиков, и полагает, что они пробурили достаточно скважин без происшествий, поэтому вероятность происшествия была очень низкой.

Атаки MitM встречаются исключительно в локальной сети. Для подключения к Интернету требуется доступ на уровне интернет-провайдера или на государственном уровне, и очень редко кто-либо с таким уровнем ресурсов использует ваши данные.

Когда кто-то входит в вашу сеть, у вас возникают серьезные проблемы, но, возможно, с вами все в порядке.

@Craig: В вашем редакторе есть некоторая дезинформация. Беспроводная сеть не основана на вещании. Данные, передаваемые в сеансе беспроводной связи (между беспроводным клиентом и точкой беспроводного доступа), не являются «широковещательными», чтобы их могли услышать все. Беспроводной клиент связывается с AP, и связь происходит между указанным клиентом и AP. Если вы имели в виду, что данные передаются из-за того, что они инкапсулированы в радиосигнал, который «транслируется», то да, его можно прослушивать с помощью очень специфического беспроводного оборудования (беспроводных адаптеров с поддержкой RMON) и программных средств. Беспроводные клиенты, которые не связаны с одной и той же точкой доступа, не имеют механизма для перехвата или «прослушивания» беспроводного трафика, за исключением вышеупомянутого оборудования. Беспроводная связь в сетях TCP \ IP работает по существу так же, как и для проводных сетей, за исключением среды передачи: радиоволны в отличие от физических проводов. Если бы трафик WiFi транслировался для всех, чтобы подслушать его, он никогда бы не покинул чертежную доску.

При этом, я думаю, что беспроводные сети представляют больший риск для атак MITM, потому что физический доступ не требуется для доступа к беспроводной сети, чтобы «внедрить» мошенническую систему для перехвата трафика.