Domanda:
Gli attacchi "man in the middle" sono estremamente rari?
Jeff Atwood
2012-02-23 01:36:22 UTC
view on stackexchange narkive permalink

In "Alcune considerazioni sulla controversia sull'elenco dei contatti di iPhone e sulla sicurezza delle app", blog di cdixon

Chris Dixon fa una dichiarazione sulla sicurezza web

Molti commentatori hanno suggerito che un rischio per la sicurezza primario è il fatto che i dati vengono trasmessi in testo normale. La crittografia via cavo è sempre una buona idea, ma in realtà gli attacchi "man-in-the-middle" sono estremamente rari. Mi preoccuperei principalmente dei casi molto più comuni di 1) qualcuno (insider o estraneo) furto nel database dell'azienda, 2) una citazione del governo per il database dell'azienda. La migliore protezione contro questi rischi è crittografare i dati in modo tale che gli hacker e l'azienda stessa non possano decrittarli (o non inviare i dati ai server in primo luogo).

Mi chiedo se ci siano dati freddi, concreti, del mondo reale a sostegno di tale affermazione: gli attacchi "man in the middle" sono effettivamente rari nel mondo reale, in base ai dati raccolti da intrusioni effettive o incidenti di sicurezza?

Se tali dati esistono, non sarebbero probabilmente cifre oscure molto più alte? Posso immaginare che molte aziende non segnalerebbero tali attacchi.
Recentemente ho posto una domanda SO relativa a questo. http://stackoverflow.com/questions/8829507. Ho finito per impostare un certificato SSL per il sito Web in questione per essere al sicuro, ma avevo dei dubbi sul fatto che possa mai impedire un tentativo di attacco MIM.
L'Iran non ha usato il MITM in combinazione con certificati fraudolenti per osservare la sua gente?
@ordag - [Sì] (https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack). "Il [rapporto ufficiale sugli attacchi di Fox-IT] (http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version- 1.html) include dati di DigiNotar che suggeriscono che oltre 300.000 utenti Internet (principalmente iraniani) potrebbero aver subito intercettazioni nelle loro comunicazioni ".
Il commento originale di Chris Dixon è confuso. Il grosso problema sul web oggi è intercettare gli attacchi non man-in-the-middle. Detto in un altro modo, il problema è che qualcuno origlia e capisce il tuo Gmail / Hotmail / Yahoo! le credenziali lo utilizzano per inviare spam alle tue spalle, non che fingano di essere Gmail / Hotmail / Yahoo! e pensi di inviare un'e-mail ma in realtà stai digitando il tuo messaggio sul server dell'aggressore.
Vedi anche [Attacchi MITM: quanto sono probabili?] (Http://serverfault.com/q/152921) su [sf]
Per quel che vale, il mio datore di lavoro ci attacca con il MITM. Lo usano per monitorare la nostra posta elettronica e impedirci di inviare allegati.
È abbastanza comune essere la politica ufficiale del governo del paese più popoloso del mondo ...
La soluzione danese single sign-on NemID con autenticazione a due fattori per banche e home page pubbliche è stata recentemente compromessa da attacchi a due banche che hanno comportato una perdita finanziaria non banale. L'attacco era fondamentalmente un attacco MITM in cui la vittima ignara è stata indotta ad autenticarsi contro l'hacker tramite un sito di phishing o essendo infettata da malware. L'hacker utilizzerebbe in tempo reale le informazioni di autenticazione per accedere al conto bancario.
Ci vuole solo una volta se succede a te. Questi attacchi tendono a prendere di mira obiettivi specifici piuttosto che ciò che è mai sul server. Quindi i risultati tendono ad essere più dolorosi per il / i bersaglio / i poiché di solito è coinvolto un obiettivo e un piano di attacco. Questi piani sono generalmente più complessi e difficili da rilevare. E quindi più pericoloso.
E anche se fosse estremamente raro, ciò indicherebbe solo che è stato ben difeso, non che tu non debba preoccupartene. (Le rapine possono essere rare nel tuo quartiere, ma se attraversi la parte peggiore di notte sventolando una pila di banconote da $ 100, ci sarà quasi sicuramente una rapina in più del solito.)
Come percentuale della somma totale di tutte le interazioni, gli attacchi di * qualsiasi * tipo sono estremamente rari. Come percentuale di attacco contro un dato bersaglio ... beh, dipende dal tipo di bersaglio.
Otto risposte:
Jeff Ferland
2012-02-23 03:17:36 UTC
view on stackexchange narkive permalink

La mia risorsa attuale preferita per dati freddi, concreti, reali è il rapporto Verizon 2011 sulle indagini sulla violazione dei dati. Un estratto dalla pagina 69 del rapporto:

Azioni

Le prime tre categorie di azioni contro le minacce erano Hacking, Malware e Social. I tipi più comuni di azioni di hacking utilizzati sono stati l'uso di credenziali di accesso rubate, lo sfruttamento di backdoor e gli attacchi man-in-the-middle.

Dalla lettura, deduco che si tratta di un'azione secondaria utilizzata una volta che qualcuno ha un punto d'appoggio nel sistema, ma i dati della Dutch High Tech Crime Unit dicono che è abbastanza credibile per la preoccupazione. Delle 32 violazioni dei dati che componevano le loro statistiche, 15 riguardavano azioni MITM.

Sicuramente non si ferma qui, però. L'intero rapporto è una miniera d'oro di lettura e il miglior lavoro che ho trovato per dimostrare dove si trovano realmente le minacce.

Per riferimenti più sfocati agli attacchi MiTM e metodi, vedi anche questa eccellente risposta agli attacchi MITM: quanto sono probabili? su Serverfault.

Vorrei andare oltre dicendo che qualsiasi istanza di una radice SSL che sputa un certificato cattivo è un segno di un attacco, altrimenti sarebbero compromessi piuttosto inutili. Infine, poiché sono quel tipo , proverei sicuramente a collegarmi alla tua scatola di rete fuori dall'edificio se stessi facendo il tuo pentest. Si possono fare cose incredibili con una radio software anche su una connessione cablata.

C'è un modo per rilevare questo attacco? Ho motivo di preoccuparmi per questo, quindi un modo semi-infallibile per rilevare questo tipo di violazione sarebbe molto utile.
@Javy Questo è più di quanto posso dire in un commento. Suggerisco di iniziare una nuova domanda: "Posso rilevare un attacco MITM?" La risposta breve è "a volte con sforzo".
Collega di nuovo con / la nuova domanda se lo fai :)
@dolan http: // security.stackexchange.com / q / 12066/836
Rory Alsop
2012-02-23 03:09:28 UTC
view on stackexchange narkive permalink

La semplice risposta è no: esiste un'ampia varietà di prove che questo tipo di attacco è comune.

Alcuni dei controlli introdotti dalle banche (autenticazione a due fattori ecc.) erano in parte richiesti per combattere i sempre più comuni attacchi MITM ai clienti.

Sebbene esistano altre forme di attacco (la compromissione del client è buona) che ora possono essere più facili da eseguire attraverso l'uso di malware per posizionare un trojan sul PC client, MITM è ancora relativamente facile nella maggior parte dei casi.

Il fatto principale da ricordare è che i criminali tendono a lavorare su un buon ritorno sull'investimento. Il ROI per un utente malintenzionato è molto buono:

  • basso rischio di essere scoperti
  • basso rischio fisico
  • un certo sforzo nella codifica dell'exploit può portare a guadagno monetario nel mondo reale
  • il codice può quindi essere riutilizzato o venduto ad altri criminali

Come ha detto @CanBerk, non riusciremo mai a ottenere alcun "completamente sicuro 'protocolli, ma rendere la vita più difficile ai criminali è una soluzione parziale. Il MITM non andrà via finché non sarà diventato troppo difficile per essere redditizio.

BlueRaja - Danny Pflughoeft
2012-02-23 04:32:43 UTC
view on stackexchange narkive permalink

La recente compromissione dell'autorità di certificazione DigiNotar ha portato al rilascio di oltre 500 certificati falsi per google.com, microsoft.com, cia.gov e centinaia di altri siti. Questi certificati in qualche modo si sono fatti strada in 40 diversi ISP iraniani, provocando un massiccio attacco man-in-the-middle , ha confermato di aver colpito oltre 300.000 utenti iraniani nel corso di diversi mesi .

Gli hacker responsabili: ha confermato di essere gli stessi responsabili del precedente attacco a la CA Comodo - afferma di avere pieno accesso ad altre cinque CA, sebbene lui (loro) solo ne abbia nominata una.

Quindi sì, Man -in-the-middle gli attacchi sono una minaccia molto reale , anche oggi.

Nota: per evitare che questo tipo di attacchi si verifichino, considera l'utilizzo di un programma / addon per tenere traccia dei certificati per modifiche sospette, come Certificate Patrol, oppure prova una delle nuove fantasiose sostituzioni per il modello di autorità di certificazione di cui tutti parlano.

Chris Dale
2012-02-23 03:47:24 UTC
view on stackexchange narkive permalink

Questa risposta riguarda principalmente l'affermazione di Chris Dixon più che rispondere "Quanti attacchi provengono da MiTM".

Se affermiamo il modo diverso in cui uno potrebbe diventare MiTM e le conseguenze date, penso che possiamo trarre alcune conclusioni sul fatto che ci interessi o meno quanto siano prevalenti gli attacchi MiTM.

Se esaminiamo alcuni rischi per le diverse situazioni potremmo avere qualcosa come:

  • Qualcuno ruba il database sfruttando la stessa applicazione web?
  • Qualcuno che attacca l'utente / amministratore tramite un attacco MiTM

Direi che il primo ha un impatto molto maggiore (generalmente) e dovrebbe essere mitigato in molti modi al massimo e trattato il primo.

Quindi, affinché il punto 2 prevalga sul punto 1, penso che MiTM dovrebbe davvero essere pazzo per noi per valutarlo come un ostacolo di sicurezza come il punto 1 (come Chris indica nella citazione)!

Ora se vediamo i diversi vettori di attacco. Primo per MiTM. Per diventare MiTM si potrebbe ad esempio:

  • Possedere un access point wireless non autorizzato. Questo è banale, ma per un attacco mirato dovresti trovarti nella stessa posizione fisica della vittima utilizzando la tua webapp.
  • Annusa dati wireless non crittografati o dati provenienti da un HUB (esistono anche più?)
  • Usa l'avvelenamento ARP per attaccare gli utenti. Non banale a meno che tu non sia sulla stessa rete degli utenti target che utilizzano la tua webapp.
  • Avvelenamento della cache DNS. Affinché questo funzioni è necessario avvelenare il DNS utilizzato dagli utenti mirati. Se il DNS non è configurato correttamente, questo attacco diventa in qualche modo banale da eseguire, tuttavia c'è molto su cui fare affidamento affinché funzioni.
  • Attacchi di phishing. Questi ingannano ancora gli utenti ignari e ingenui, tuttavia gran parte della responsabilità ricade sull'utente.

Tutto questo per attaccare solo uno o un piccolo sottoinsieme di utenti. Anche in questo caso, attaccare questi utenti darà loro un avviso nei loro browser (ci sono modi per attaccare anche questo, ma non lo prendo qui). Solo compromettendo una CA radice o trovando un difetto nell'algoritmo utilizzato per generare i certificati ti sarà permesso di presentarti come un emittente di certificati affidabile.

Se invece esaminiamo tutti i potenziali cattivi cose che possiamo vedere se non investiamo in una sicurezza sufficiente della webapp stessa vediamo vettori di attacco come:

  • SQL Injection - banale e facile sia da sfruttare che da scoprire. Impatto del danno molto elevato.
  • XSS (Cross Site Scripting): facile da scoprire, più difficile da sfruttare. Penso che in futuro ne vedremo un impatto sempre maggiore sugli utenti. Prevedo che questo stia diventando il trend della "nuova SQL Injection" a cui abbiamo assistito in questi giorni.
  • CSRF (Cross Site Request Forgery) - Moderato da scoprire, moderato da sfruttare. Ciò richiederebbe agli utenti la navigazione su un sito già di proprietà, attivando una richiesta alla tua webapp che farebbe una transazione per conto dell'utente.

Quindi, menzionando solo questi pochi, ma popolari metodi sia per attaccare la webapp che per diventare MiTM, lascerei il compito a un'analisi specifica del rischio / conseguenza della specifica organizzazione data che stai cercando di proteggere , indipendentemente dal fatto che tu debba o meno difendere i tuoi utenti direttamente implementando SSL o difendendo la webapp nel suo complesso (che include anche proprietà intellettuale, dati utente, dati sensibili, dati potenziali che potrebbero violare altre applicazioni e così via).

Quindi, a mio modesto parere, sono molto d'accordo con l'affermazione di Chris Dixon. Dai la priorità alla protezione della webapp il più possibile prima di iniziare a pensare di proteggere il livello di trasporto.

Modifica : Nota a margine: pagine come Facebook, Gmail e altre erano sottoposte a pesanti attacchi MiTM durante la scia di Firesheep. Questo può essere mitigato solo tramite SSL e consapevolezza.

Tuttavia, se ci pensi, lo sniffing del traffico wireless con Firesheep e il dirottamento delle sessioni richiederebbe che la LAN wireless a cui sei connesso non abbia alcuna crittografia.

Oggi, quando vado alla guida della guerra, è diminuito drasticamente il numero di AP wireless aperti e anche il numero di AP abilitati WEP. Continuiamo a vedere sempre più AP crittografati WPA2 che nella maggior parte dei casi ci forniscono una sicurezza sufficiente.

Qual è il rischio che qualcuno crei uno strumento facile e conveniente per annusare e dirottare le sessioni degli utenti? Qual è l'impatto per questi utenti? Potrebbe anche essere mitigato in diversi modi (ri-autenticare l'utente quando proviene da impronte diverse allo stesso tempo, avvisando l'utente quando qualcosa sembra sbagliato (Gmail è un buon esempio di questo)).

Sì, gli hub esistono, anche se non li ho ancora visti sulle reti tipiche. Immagina un laboratorio di test in cui la maggior parte degli utenti è blasé sulla sicurezza, gli amministratori sono blasé sulle app web che richiedono che password o cookie vengano inviati in chiaro, gli hub abbondano (per lo sniffing dei telefoni durante i test, più facile da configurare rispetto a uno switch con un mirror porta), metà dei computer ha due NIC, c'è un patch panel accessibile pubblicamente, il laboratorio si trova in un edificio condiviso e ci sono pochi controlli di accesso all'ingresso. Storia vera. Immagino che ci sarebbero ambienti simili altrove.
Tex Hex
2012-02-23 03:10:51 UTC
view on stackexchange narkive permalink

Non ha trovato alcun white paper o statico che includa i dati del mondo reale che volevi avere.

Tuttavia, vorrei aggiungere che gli attacchi MitM all'interno delle aziende avvengono quotidianamente e più di una volta. Diversi fornitori di sicurezza hanno soluzioni per scansionare il traffico crittografato (ad esempio, Palo Alto Networks) e almeno la società per cui lavoro attualmente ha attivato questa funzione.

Per fare ciò, al dispositivo firewall / proxy viene semplicemente concesso un certificato dall'autorità di certificazione (CA) interna che è già considerata attendibile da tutti i client. Quando un'applicazione richiede una connessione sicura, il dispositivo firewall / proxy genera al volo un nuovo certificato per il server di destinazione e lo invia al client. Poiché il client si fida della CA interna, si fida anche del certificato del dispositivo e avvierà felicemente una connessione "sicura".

mentre quello è l'uomo nel mezzo - è un po 'esagerato chiamarlo un attacco ...
Immagino che questo dipenda dal tuo punto di vista. Poiché vedono dati che non dovrebbero, lo qualificherei come un attacco. Ma hai ragione, dal punto di vista degli amministratori questo può aiutare a garantire la sicurezza della rete e quindi non è qualificato come un "attacco".
Dare Obasanjo
2012-02-23 01:43:57 UTC
view on stackexchange narkive permalink

Sono abbastanza sicuro che lo sniffing delle password su reti wireless sia estremamente comune. Guarda quanti tutorial ci sono sul Web da una semplice Ricerca Google o ricerca Bing.

Lo sniffing non richiede necessariamente attacchi MitM. Tuttavia intercetta il traffico SSL. Penso che jeff sia più interessato al dopo
Il problema è in primo luogo con la domanda di codinghorror. La crittografia dei dati tramite SSL è un buon modo per prevenire le intercettazioni, il che è un problema. Un attacco man-in-the-middle è un attacco eccessivamente sofisticato, mentre qualcuno che annusa la tua email / password Facebook / Twitter tramite Wi-Fi è un attacco che può essere eseguito da chiunque abbia competenze tecniche minime con un software standard.
Immagino di non vederlo come un problema con la sua domanda quanto una domanda diversa.
Dare Obasanjo sta affrontando un problema sollevato da Chris Dixon nella citazione e non necessariamente la domanda che Jeff sta ponendo. Chris Dixon sta insinuando che essere in grado di visualizzare dati di testo in chiaro mentre si spostano tra l'origine e la destinazione è un MitM. Penso che un'associazione di parole generiche (beh ... per me comunque) di un attacco MitM sia quando qualcuno intercetta e `alter` i dati tra origine e destinazione. La sua implicazione è che vederlo è sufficiente per essere considerato un attacco. Quindi, se il tuo ISP esegue qualsiasi tipo di ispezione dei pacchetti .. Immagino che lo considererebbe un attacco.
Can Berk Güder
2012-02-23 02:06:44 UTC
view on stackexchange narkive permalink

Sono d'accordo con daramarak sul fatto che sarebbe abbastanza difficile trovare dati del mondo reale sugli attacchi MitM. Uno dei motivi è che gli attacchi MitM sono per natura solitamente mirati a individui, mentre attacchi come DDoS o SQL injection sono solitamente mirati ad aziende, organizzazioni, ecc.

Pertanto, mentre vediamo un DDoS / injection / qualunque sia il rapporto quasi ogni giorno, le informazioni sugli attacchi MitM sono generalmente accademiche (ad esempio "Twitter è stato DDoS'd!" vs. "SSL è vulnerabile a MitM")

Tuttavia, va notato che "raro" non significa necessariamente "difficile". La maggior parte degli attacchi MitM è probabilmente molto più facile da eseguire rispetto alla maggior parte degli altri tipi di attacchi e molti protocolli che utilizziamo ogni giorno sono vulnerabili a tali attacchi in un modo o nell'altro, semplicemente perché è piuttosto difficile ideare un protocollo completamente sicuro contro MitM. Questo è in effetti il ​​caso della maggior parte dei problemi di sicurezza, la maggior parte delle soluzioni è "il massimo sforzo" anziché "completamente e assolutamente sicuro".

Pertanto, penso che il motivo principale per cui gli attacchi MitM sono meno comuni è che di solito non c'è bisogno / incentivo per eseguirne uno.

Robert Accettura
2012-02-23 01:43:48 UTC
view on stackexchange narkive permalink

Beh, immagino che se fossero rari, nessuno comprometterebbe una CA, tuttavia abbiamo visto una serie di tentativi e alcuni successi in questo (sospetti incluso l'Iran).

Quindi presumo che abbia e sarà fatto. Altrimenti, perché dovrebbero preoccuparsi di compromettere una CA? Non è il compito più semplice del mondo. Perché non attaccare direttamente il tuo obiettivo?

Detto questo, potrebbero essere rari. Chiunque comprometta una CA è probabilmente abbastanza bravo da coprire abbastanza delle sue tracce in modo che non conosciamo l'entità del loro lavoro. Sinceramente non metterei oltre il governo degli Stati Uniti per aver fatto la stessa cosa a livello nazionale così come all'estero. Sarei davvero sorpreso se non lo facessero. A sostegno di ciò, non ricordo di aver mai letto che HTTPS sia entrato nel modo dei governi degli Stati Uniti. Lo sento periodicamente in merito alla crittografia Skype, TrueCrypt o crittografia del disco PGP.

Divertente come l'OP richiede ** dati freddi, duri, del mondo reale ** e inizi con * Beh, immagino * ...


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...