Атаки MITM - насколько они вероятны?

Сначала поговорим Протокол пограничного шлюза. Интернет состоит из тысяч конечных точек, известных как AS (автономные системы), и они маршрутизируют данные с помощью протокола, известного как BGP (протокол пограничного шлюза). В последние годы размер таблицы маршрутизации BGP экспоненциально увеличивался, превысив более 100 000 записей. Даже при увеличении мощности оборудования маршрутизации оно едва успевает за постоянно растущими размерами таблицы маршрутизации BGP.

Сложность в нашем сценарии MITM заключается в том, что BGP неявно доверяет маршрутам, которые предоставляют другие автономные системы, а это означает, что при достаточном количестве спама от AS любой маршрут может привести к любой автономной системе. Это наиболее очевидный способ передачи трафика MITM, и он не только теоретический - сайт соглашения по безопасности Defcon был перенаправлен на сайт исследователя безопасности в 2007 году, чтобы продемонстрировать атаку. Youtube не работал в нескольких азиатских странах, когда Пакистан подверг этот сайт цензуре и ошибочно объявил свой (мертвый) маршрут лучшим для нескольких автономных систем за пределами Пакистана.

Горсть академические группы собирать Информация о маршрутизации BGP от взаимодействующих AS для отслеживания обновлений BGP, которые изменяют пути трафика. Но без контекста может быть трудно отличить законное изменение от злонамеренного взлома. Маршруты движения постоянно меняются, чтобы справиться со стихийными бедствиями, слияниями компаний и т. Д.

Далее в списке «Глобальные векторы атак MITM» следует обсудить система доменных имен (DNS).

Хотя DNS-сервер ISC Fine BIND выдержал испытание временем и остался относительно невредимым (как и предложения DNS от Microsoft и Cisco), было обнаружено несколько заметных уязвимостей, которые потенциально могут поставить под угрозу весь трафик, использующий канонические имена в Интернете (то есть практически весь трафик).

Я даже не буду обсуждать Исследование Дэна Камински в атаку отравления DNS-кеша, поскольку она была забита до смерти в другом месте, только чтобы быть награжденной Blackhat - Las Vegas «самой раздуваемой ошибкой в ​​истории». Однако существует несколько других ошибок DNS, которые серьезно подрывают безопасность в Интернете.

Ошибка зоны динамического обновления сбой DNS-серверов и возможность удаленного взлома компьютеров и DNS-кешей.

Ошибка подписей транзакций допускал полную удаленную компрометацию корневого сервера любого сервера, на котором запущен BIND на момент объявления об уязвимости, что, очевидно, позволяло скомпрометировать записи DNS.

в заключение, мы должны обсудить Отравление ARP, 802.11q с повторением, Перехват STP-транка, Внедрение маршрутной информации RIPv1 и множество атак на сети OSPF.

Эти атаки являются «знакомыми» сетевого администратора независимой компании (это справедливо, учитывая, что они могут быть единственными, над которыми они могут контролировать). Обсуждение технических деталей каждой из этих атак на данном этапе немного скучно, так как каждый, кто знаком с основами информационной безопасности или TCP, изучил ARP Poisoning. Другие атаки, вероятно, знакомы многим сетевым администраторам или поклонникам безопасности серверов. Если это вас беспокоит, существует множество очень хороших утилит сетевой защиты, начиная от бесплатных утилит и утилит с открытым исходным кодом, таких как Фырканье к программному обеспечению корпоративного уровня от Cisco и HP. С другой стороны, многие информативные книги охватывают эти темы, их слишком много, чтобы их обсуждать, но некоторые из них, которые я нашел полезными для обеспечения сетевой безопасности, включают Дао мониторинга сетевой безопасности, Архитектуры сетевой безопасности, и классический Сетевой воин

В любом случае меня несколько беспокоит то, что люди считают, что для такого рода атак требуется доступ на уровне провайдера или правительства. Они требуют не больше, чем у CCIE в среднем в области сетевых знаний и соответствующих инструментов (например, HPING и Netcat, не совсем теоретические инструменты). Будьте бдительны, если хотите оставаться в безопасности.

Вот один из сценариев MITM, который меня беспокоит:

Допустим, в отеле проходит большой конгресс. ACME Anvils и Terrific TNT - главные конкуренты в индустрии мультипликационных опасностей. Кто-то, кто заинтересован в их продуктах, особенно в новых, находящихся в разработке, серьезно хотел бы вмешаться в их планы. Мы назовем его WC, чтобы защитить его конфиденциальность.

WC заселяется в Famous Hotel пораньше, чтобы дать ему немного времени на то, чтобы собраться. Он обнаруживает, что в отеле есть точки доступа Wi-Fi, которые называются от FamousHotel-1 до FamousHotel-5. Поэтому он настраивает точку доступа и называет ее FamousHotel-6, чтобы она вписывалась в ландшафт и соединяла ее с одной из других точек доступа.

Теперь участники собрания начинают регистрироваться. Так уж получилось, что один из крупнейших клиентов обеих компаний, назовем его Р.Р., регистрируется и получает комнату рядом с туалетом. Он настраивает свой ноутбук и начинает обмениваться электронными письмами со своими поставщиками.

УК маниакально кудахтает! «Мой коварный план работает!» - восклицает он. БУМ! АВАРИЯ! Одновременно в него попадает наковальня и связка тротила. Похоже, службы безопасности ACME Anvils, Terrific TNT, RR и Famous Hotel работали вместе, ожидая этой атаки.

Бип бей!

Редактировать:

Как своевременно^*: Совет: остерегайтесь "приманок" Wi-Fi в аэропорту

^{* Что ж, это было своевременно, что это только что появилось в моем RSS-канале.}

Это полностью зависит от ситуации. Насколько вы доверяете своему интернет-провайдеру? Что вы знаете о конфигурации вашего интернет-провайдера? И насколько безопасна ваша собственная установка?

Большинство «атак», подобных этой, очень вероятно, когда троянские программы перехватывают нажатия клавиш и пароли из файлов. Происходит постоянно, просто об этом не так много замечают и не сообщают.

И как часто происходит утечка информации на уровне провайдера? Когда я работал у небольшого интернет-провайдера, мы перепродавали другой более высокий уровень доступа. Итак, человек, который подключился к нам, вошел в нашу сеть, и если вы не разговаривали с нашим веб-сервером или почтовым сервером, трафик перешел к провайдеру более высокого уровня, и мы понятия не имеем, кто что сделал с вашими данными в своей сети, или насколько надежны были их админы.

Если вы хотите знать, сколько точек кто-то может «потенциально» увидеть ваш трафик, выполните трассировку, и вы увидите столько же, сколько ответит в каждой точке маршрутизации. Это при условии, что замаскированные устройства не находятся среди них. И каждое из этих устройств на самом деле является маршрутизатором, а не чем-то, маскирующимся под маршрутизаторы.

Дело в том, что вы не можете знать, насколько распространены атаки. Нет никаких правил, говорящих, что компании иметь для раскрытия атак, которые были обнаружены, если ваша кредитная информация не была скомпрометирована. Большинство компаний не делают этого, потому что это неудобно (или слишком много работы). Учитывая количество распространяемых вредоносных программ, они, вероятно, гораздо более распространены, чем вы думаете, и даже в этом случае главное - иметь обнаружил атака. Когда вредоносное ПО работает правильно, большинство пользователей не знают, когда это произойдет. И реальный сценарий «человек, который обижается и отслеживает трафик у поставщика» - это те события, о которых компании не сообщают, если они не обязаны это делать.

Конечно, они игнорируют сценарии, когда компании вынуждены вести учет вашего трафика и раскрывать их государственным органам, не сообщая вам об этом. Если вы находитесь в США, благодаря Патриотическому акту, библиотеки и интернет-провайдеры могут быть вынуждены записывать ваши данные о поездках и электронных письмах, а также историю просмотров, не сообщая вам, что они собирают информацию о вас.

Другими словами, нет точных данных о том, насколько распространены атаки MITM и перехвата на пользователей, но есть свидетельства, свидетельствующие о том, что это выше, чем было бы удобно, и большинство пользователей не заботятся о том, чтобы получить эту информацию.

Настоящий вопрос заключается в том, «сколько из моих ограниченных ресурсов я должен посвятить атакам MITM, а не где-то еще?»

Это во многом зависит от характера используемых коммуникаций и не имеет однозначного ответа. По моему опыту, это не большой риск по сравнению с другими рисками безопасности, но его обычно дешево минимизировать (например, часто бывает достаточно SSL-сертификата и использования HTTPS), поэтому его дешевле исправить, чем тратить время на оценку того, сколько из это может быть риск.

У вас есть дома точка беспроводного доступа? Прокси-сервер в работе?

Любая из этих точек входа / выхода может быть взломана без какого-либо обширного заговора правительства / ISP. Также возможна компрометация компонентов инфраструктуры интернет-провайдеров.

Вы пользуетесь веб-браузером? Довольно просто настроить браузер так, чтобы он направлял трафик на человека посередине. Существовало вредоносное ПО для браузеров, которое перенаправляло определенные банковские и брокерские транзакции с использованием этого метода, особенно для малых предприятий с привилегиями проводов.

Безопасность - это управление рисками ... есть два основных атрибута вашего подхода к управлению рисками: вероятность возникновения и воздействия. Фактическая вероятность того, что вы попадете в серьезную автомобильную аварию, очень низка, но влияние на вашу личную безопасность велико, поэтому вы пристегиваете ремень безопасности и кладете ребенка в автокресло.

Когда люди становятся ленивыми и / или дешевыми, результатом часто становится катастрофа. В Мексиканском заливе BP игнорировала всевозможные факторы риска, поскольку считала, что они передают риск подрядчикам, и полагала, что они пробурили достаточно скважин без происшествий, поэтому вероятность происшествия была очень низкой.

Атаки MitM в основном встречаются исключительно в локальной сети. Для подключения к Интернету требуется доступ на уровне провайдера или правительства - и очень редко кто-либо с таким уровнем ресурсов обращается к вашим данным.

Как только кто-то попадает в вашу сеть, у вас возникают серьезные проблемы, но в остальном все в порядке.

@Craig: В твоей редакции есть некоторая дезинформация. Беспроводные сети не основаны на широковещании. Данные, передаваемые в сеансе беспроводной связи (между беспроводным клиентом и точкой беспроводного доступа), не «транслируются» для всеобщего обозрения. Беспроводной клиент связывается с AP, и связь происходит между упомянутым клиентом и AP. Если вы имели в виду, что данные транслируются, потому что они инкапсулированы в радиосигнал, который «транслируется», то да, их можно перехватить с помощью очень специфического беспроводного оборудования (беспроводных адаптеров с поддержкой RMON) и программных инструментов. Беспроводные клиенты, которые не связаны с одной и той же точкой доступа, не имеют механизма для перехвата или «прослушивания» беспроводного трафика, за исключением вышеупомянутого оборудования. Беспроводная связь в сетях TCP \ IP работает по существу так же, как и в проводных сетях, за исключением среды передачи: радиоволны в отличие от физических проводов. Если бы трафик Wi-Fi транслировался для всех, чтобы его можно было подслушивать, он бы никогда не покинул чертежную доску.

При этом я думаю, что беспроводные сети представляют больший риск для атак MITM, потому что физический доступ не требуется для доступа к беспроводной сети, чтобы «внедрить» мошенническую систему для перехвата трафика.