Attacchi MITM: quanto sono probabili?

Con quale probabilità sono gli attacchi "Man in the Middle" nella sicurezza di Internet?

Quali macchine reali, a parte i server ISP, saranno "nel mezzo" delle comunicazioni via Internet?

Quali sono i rischi effettivi associati agli attacchi MITM, a differenza dei rischi teorici?

EDIT: Non sono interessato ai punti di accesso wireless in questa domanda. Devono essere garantiti ovviamente, ma questo è ovvio. I punti di accesso wireless sono unici in quanto le comunicazioni vengono trasmesse per essere ascoltate da tutti. Le normali comunicazioni Internet via cavo vengono instradate verso la destinazione: solo le macchine nel percorso vedranno il traffico.

Innanzitutto, parliamo di Border Gateway Protocol . Internet è composto da migliaia di endpoint noti come AS (sistemi autonomi) e indirizzano i dati con un protocollo noto come BGP (Border Gateway Protocol). Negli ultimi anni le dimensioni della tabella di routing BGP sono aumentate esponenzialmente, superando di gran lunga oltre 100.000 voci. Anche con l'hardware di routing in aumento di potenza, è a malapena in grado di tenere il passo con la dimensione in continua espansione della tabella di routing BGP.

La parte difficile del nostro scenario MITM è che BGP si fida implicitamente delle rotte fornite da altri sistemi autonomi, il che significa che, con sufficiente spamming da un AS, qualsiasi rotta può portare a qualsiasi sistema autonomo. È il modo più ovvio per il traffico MITM, e non è solo teorico: il sito della convenzione di sicurezza Defcon è stato reindirizzato al sito Web di un ricercatore di sicurezza nel 2007 per dimostrare l'attacco. Youtube era inattivo in diversi paesi asiatici quando il Pakistan ha censurato il sito e ha erroneamente dichiarato la propria rotta (morta) la migliore per diversi AS fuori dal Pakistan.

Una manciata di gruppi accademici raccoglie informazioni sul routing BGP dagli AS cooperanti per monitorare gli aggiornamenti BGP che cambiano i percorsi del traffico. Ma senza contesto, può essere difficile distinguere un cambiamento legittimo da un dirottamento dannoso. I percorsi del traffico cambiano continuamente per far fronte a catastrofi naturali, fusioni di società, ecc.

Avanti per discutere sulla lista dei vettori di attacco MITM globali è Domain Name System (DNS).

Sebbene il server DNS fine di ISC BIND abbia superato la prova del tempo e ne sia uscito relativamente incolume (come le offerte DNS di Microsoft e Cisco), sono state rilevate alcune notevoli vulnerabilità che potrebbero potenzialmente mettere a rischio tutto il traffico utilizzando nomi canonizzati su Internet (ovvero praticamente tutti traffico).

Non mi prenderò nemmeno il disturbo di discutere della ricerca di Dan Kaminsky sull'attacco avvelenato dalla cache DNS, dato che è stato picchiato a morte altrove, solo per essere stato premiato come "bug più sovrastato di sempre" da Blackhat - Las Vegas. Tuttavia, esistono molti altri bug DNS che hanno gravemente compromesso la sicurezza di Internet.

Il bug della Dynamic Update Zone ha provocato l' arresto anomalo dei server DNS e ha avuto il potenziale per compromettere in remoto macchine e cache DNS.

Il bug relativo alle firme delle transazioni consentiva il completo compromesso root remoto di qualsiasi server che eseguiva BIND al momento in cui era stata annunciata la vulnerabilità, consentendo ovviamente di compromettere le voci DNS.

Infine , dobbiamo discutere di ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , iniezione di informazioni di routing RIPv1 e la serie di attacchi alle reti OSPF.

Questi attacchi sono i "familiari" di un amministratore di rete per un'azienda indipendente (giustamente, considerando che questi possono essere gli unici su cui hanno il controllo). Discutere i dettagli tecnici di ciascuno di questi attacchi è leggermente noioso in questa fase, poiché tutti coloro che hanno familiarità con la sicurezza delle informazioni di base o TCP hanno imparato l'avvelenamento da ARP. Gli altri attacchi sono probabilmente un volto familiare a molti amministratori di rete o appassionati di sicurezza del server. Se questi sono i tuoi dubbi, esistono molte ottime utility di difesa della rete, che vanno dalle utility Free e Open Source come Snort ai software di livello aziendale di Cisco e HP. In alternativa, molti libri informativi trattano questi argomenti, troppo numerosi per essere discussi, ma molti che ho trovato utili nel perseguimento della sicurezza della rete includono The Tao of Network Security Monitoring , Network Security Architectures e il classico Network Warrior

In ogni caso, trovo un po 'inquietante il fatto che le persone credano che questo tipo di attacchi richieda l'accesso a livello di ISP o di governo. Richiedono nient'altro che il CCIE medio nella conoscenza della rete e gli strumenti appropriati (ad esempio HPING e Netcat, non esattamente strumenti teorici). Stai attento se vuoi rimanere sicuro.

Ecco uno scenario MITM che mi riguarda:

Diciamo che c'è una grande convention in un hotel. ACME Anvils e Terrific TNT sono i principali concorrenti nel settore del pericolo dei cartoni animati. Qualcuno con un interesse acquisito nei loro prodotti, in particolare quelli nuovi in ​​fase di sviluppo, vorrebbe seriamente avere le sue zampe nei loro piani. Lo chiameremo WC per proteggere la sua privacy.

Il WC fa il check-in al Famous Hotel in anticipo per dargli un po 'di tempo per l'allestimento. Scopre che l'hotel dispone di punti di accesso wifi chiamati FamousHotel-1 tramite FamousHotel-5. Quindi crea un punto di accesso e lo chiama FamousHotel-6 in modo che si fonda con il paesaggio e lo colleghi a uno degli altri AP.

Ora, i conventi iniziano a fare il check-in. Accade solo che uno dei più grandi clienti di entrambe le compagnie, lo chiameremo RR, effettui il check-in e ottenga una stanza vicino a WC. Installa il suo laptop e inizia a scambiare e-mail con i suoi fornitori.

WC ridacchia maniacalmente! "Il mio piano subdolo sta funzionando!", Esclama. BOOM! CRASH! Contemporaneamente, viene colpito da un'incudine e un fascio di TNT. Sembra che i team di sicurezza di ACME Anvils, Terrific TNT, RR e Famous Hotel stessero lavorando insieme anticipando proprio questo attacco.

Beep Beep!

Modificare:

Come tempestivo ^* : Consiglio di viaggio: attenzione agli "honeypots" wi-fi dell'aeroporto

^{* Beh, era puntuale che fosse appena apparso nel mio feed RSS.}

Dipende interamente dalla situazione. Quanto ti fidi del tuo ISP? Quanto sai della configurazione del tuo ISP? E quanto è sicura la tua configurazione?

La maggior parte degli "attacchi" come questo ora è molto probabile con il malware trojan che intercetta sequenze di tasti e password dai file. Succede sempre, solo che non viene notato o segnalato così tanto.

E con quale frequenza vengono divulgate informazioni all'interno del livello ISP? Quando lavoravo per un piccolo ISP, stavamo rivendendo un altro livello di accesso superiore. Quindi una persona che ci ha contattato è entrata nella nostra rete e, se non stavi parlando con il nostro server Web o server di posta, il traffico è andato a un provider di livello superiore e non abbiamo idea di chi abbia fatto cosa con i tuoi dati nella loro rete, o quanto fossero affidabili i loro amministratori.

Se vuoi sapere quanti punti qualcuno potrebbe "potenzialmente" vedere il tuo traffico fare un traceroute e vedrai quanto risponderà ad ogni punto di instradamento. Ciò presuppone che i dispositivi mascherati non siano tra alcuni di questi. E che quei dispositivi sono in realtà router e non qualcosa mascherato da router.

Il fatto è che non puoi sapere quanto siano prevalenti gli attacchi. Non ci sono regolamenti secondo i quali le aziende devono divulgare attacchi scoperti a meno che le informazioni sul credito non vengano compromesse. La maggior parte delle aziende non lo fa perché è imbarazzante (o troppo lavoro). Con la quantità di malware che galleggia là fuori, è probabilmente molto più diffusa di quanto si pensi, e anche in questo caso la chiave è scoprire l'attacco. Quando il malware funziona correttamente, la maggior parte degli utenti non sa quando succede. E lo scenario reale della persona che viene infastidito e ficcanaso nel traffico di un fornitore sono quelli che le aziende non segnalano a meno che non debbano farlo.

Naturalmente questi ignorano gli scenari in cui le aziende sono costrette a tenere registri del tuo traffico e divulgarli alle agenzie governative senza dirtelo. Se ti trovi negli Stati Uniti, grazie al Patriot Act, le biblioteche e gli ISP possono essere obbligati a registrare i tuoi viaggi di dati, e-mail e cronologia di navigazione senza dirti che stanno raccogliendo informazioni su di te.

In altre parole, non ci sono dati concreti su quanto siano prevalenti gli attacchi MITM e di intercettazione sugli utenti, ma ci sono prove che suggeriscono che è superiore a quanto sarebbe comodo e la maggior parte degli utenti non si preoccupa abbastanza di ottenere tali informazioni.

La vera domanda è "quanta parte della mia risorsa limitata dovrei dedicare agli attacchi MITM invece che altrove?"

Ciò dipende in gran parte dalla natura delle comunicazioni coinvolte e non ha una risposta unica. Nella mia esperienza non è un grosso rischio rispetto ad altri rischi per la sicurezza, ma di solito è un costo economico da minimizzare (ad esempio: un certificato SSL e l'uso di HTTPS è spesso sufficiente), quindi è più economico da risolvere che passare il tempo a valutare quanto un rischio potrebbe essere.

Hai un punto di accesso wireless a casa? Un server proxy al lavoro?

Entrambi questi punti di ingresso / uscita possono essere compromessi senza una vasta cospirazione governativa / isp. È anche possibile che i componenti di un'infrastruttura ISP vengano compromessi.

Usi un browser web? È piuttosto banale configurare un browser per indirizzare il traffico verso un uomo nel mezzo. Esistono malware del browser che hanno reindirizzato determinate transazioni bancarie e di intermediazione utilizzando questo metodo, in particolare per le piccole imprese con privilegi di bonifico.

La sicurezza riguarda la gestione del rischio ... ci sono due attributi di base nel modo in cui affrontate la gestione di un rischio: probabilità di occorrenza e impatto. La reale probabilità che tu abbia un incidente automobilistico grave è molto bassa, ma l'impatto sulla sicurezza personale è elevato, quindi allacci la cintura di sicurezza e metti il ​​tuo bambino in un seggiolino per auto.

Quando le persone diventano pigre e / o economiche, il risultato è spesso il disastro. Nel Golfo del Messico, la BP ha ignorato ogni sorta di fattori di rischio perché riteneva di aver trasferito il rischio agli appaltatori e ha immaginato di aver perforato abbastanza pozzi senza incidenti, quindi la probabilità di un incidente era molto bassa.

Gli attacchi MitM si incontrano praticamente esclusivamente nella rete locale. Per accedere a una connessione su Internet è necessario un accesso a livello di ISP o governativo, ed è molto raro che chiunque disponga di quel livello di risorse sta cercando i tuoi dati.

Una volta che qualcuno entra nella tua rete, allora hai seri problemi, ma al di fuori di questo, probabilmente stai bene.

@Craig: nella tua modifica hai qualche disinformazione. La rete wireless non è basata sulla trasmissione. I dati trasmessi in una sessione di comunicazione wireless (tra client wireless e punto di accesso wireless) non vengono "trasmessi" per essere ascoltati da tutti. Il client wireless si associa all'AP e la comunicazione avviene tra detto client e AP. Se intendevi dire che i dati vengono trasmessi perché incapsulati in un segnale radio che viene "trasmesso", allora sì, possono essere sniffati con apparecchiature wireless molto specifiche (adattatori wireless compatibili con RMON) e strumenti software. I client wireless che non sono associati allo stesso AP non hanno alcun meccanismo per intercettare o "ascoltare" il traffico wireless se non con le apparecchiature di cui sopra. Le comunicazioni wireless nelle reti TCP \ IP funzionano essenzialmente come per le reti cablate ad eccezione dei supporti di trasmissione: onde radio anziché fili fisici. Se il traffico WiFi fosse stato trasmesso a tutti per intercettarlo, non avrebbe mai lasciato il tavolo da disegno.

Detto questo, penso che le reti wireless rappresentino un rischio maggiore per gli attacchi MITM perché non è necessario l'accesso fisico per accedere alla rete wireless per "iniettare" un sistema non autorizzato al fine di intercettare il traffico.