Serangan MITM - seberapa besar kemungkinannya?

Seberapa besar kemungkinan serangan "Man in the Middle" dalam keamanan internet?

Apa mesin yang sebenarnya, selain dari server ISP, akan menjadi "di tengah" komunikasi internet?

Apa risiko aktual yang terkait dengan serangan MITM, yang bertentangan dengan risiko teoretis?

EDIT: Saya tidak tertarik pada titik akses nirkabel dalam pertanyaan ini. Mereka perlu diamankan tentu saja tetapi ini jelas. Titik akses nirkabel unik karena komunikasi disiarkan untuk didengar oleh semua orang. Komunikasi internet kabel normal diarahkan ke tujuan mereka - hanya mesin di rute yang akan melihat lalu lintas.

Pertama, mari kita bicara Border Gateway Protocol . Internet terdiri dari ribuan titik akhir yang dikenal sebagai AS (Sistem Otonomi), dan merutekan data dengan protokol yang dikenal sebagai BGP (Border Gateway Protocol). Dalam beberapa tahun terakhir ukuran tabel perutean BGP telah meningkat secara eksponensial, menembus lebih dari 100.000 entri. Bahkan dengan perutean perangkat keras yang meningkat dalam daya, ia hampir tidak dapat mengimbangi ukuran tabel perutean BGP yang terus meluas.

Bagian rumit dalam skenario MITM kami adalah bahwa BGP secara implisit mempercayai rute yang diberikan oleh sistem otonom lain, yang berarti bahwa, dengan cukup spam dari AS, rute apa pun dapat mengarah ke sistem otonom apa pun. Ini adalah cara paling jelas untuk lalu lintas MITM, dan itu bukan hanya teoretis - Situs konvensi keamanan Defcon dialihkan ke situs web peneliti keamanan pada 2007 untuk mendemonstrasikan serangan itu. Youtube turun di beberapa negara Asia ketika Pakistan menyensor situs tersebut dan secara keliru menyatakan rute (mati) terbaik bagi beberapa AS di luar Pakistan.

Sejumlah kelompok akademik mengumpulkan informasi perutean BGP dari ASE yang bekerja sama untuk memantau pembaruan BGP yang mengubah jalur lalu lintas. Tetapi tanpa konteks, akan sulit untuk membedakan perubahan yang sah dari pembajakan yang jahat. Jalur lalu lintas berubah setiap saat untuk mengatasi bencana alam, merger perusahaan, dll.

Berikutnya untuk membahas daftar 'Global MITM attack vektor' adalah Domain Name System (DNS).

Meskipun server DNS Baik ISC, BIND telah bertahan dalam ujian waktu dan keluar relatif tanpa cedera (seperti halnya penawaran DNS Microsoft dan Cisco), beberapa kerentanan terkenal telah ditemukan yang berpotensi membahayakan semua lalu lintas menggunakan nama kanonik di internet (yaitu hampir semua lalu lintas).

Saya bahkan tidak akan repot-repot mendiskusikan penelitian Dan Kaminsky tentang serangan keracunan DNS cache, karena telah dipukuli sampai mati di tempat lain, hanya untuk diberikan 'bug yang paling sering dikalahkan' oleh Blackhat - Las Vegas. Namun, ada beberapa bug DNS lain yang sangat membahayakan keamanan internet.

Dynamic Update Zone Bug menabrak server DNS dan berpotensi untuk mengkompromikan mesin dan cache DNS dari jarak jauh.

Bug Tanda Tangan Transaksi memungkinkan kompromi root jarak jauh penuh dari server mana pun yang menjalankan BIND pada saat kerentanan diumumkan, jelas memungkinkan entri DNS dikompromikan.

Akhirnya , kita harus mendiskusikan ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , injeksi informasi routing RIPv1 dan pembunuhan serangan untuk jaringan OSPF.

Serangan-serangan ini adalah 'familier' bagi admin jaringan untuk perusahaan independen (memang seharusnya demikian, mengingat ini mungkin satu-satunya yang mereka kendalikan). Membahas perincian teknis dari masing-masing serangan ini sedikit membosankan pada tahap ini, karena setiap orang yang akrab dengan keamanan informasi dasar atau TCP telah mempelajari ARP Poisoning. Serangan lain mungkin merupakan wajah yang biasa bagi banyak admin jaringan atau penggemar keamanan server. Jika ini yang menjadi perhatian Anda, ada banyak utilitas pertahanan jaringan yang sangat baik yang ada, mulai dari utilitas Free dan Open Source seperti Snort hingga perangkat lunak tingkat perusahaan dari Cisco dan HP. Atau, banyak buku informatif membahas topik-topik ini, terlalu banyak untuk dibahas, tetapi beberapa yang saya temukan membantu dalam pengejaran keamanan jaringan termasuk The Tao of Network Security Monitoring , Network Security Architecture , dan Network Warrior klasik

Bagaimanapun, saya merasa agak mengganggu bahwa orang menganggap bahwa serangan semacam ini memerlukan akses tingkat ISP atau Pemerintah. Mereka membutuhkan tidak lebih dari rata-rata CCIE dalam pengetahuan jaringan dan alat yang sesuai (yaitu HPING dan Netcat, bukan alat teoretis). Tetap waspada jika Anda ingin tetap aman.

Inilah satu skenario MITM yang menjadi perhatian saya:

Katakanlah ada konvensi besar di sebuah hotel. ACME Anvils dan Terrific TNT adalah pesaing utama dalam industri kartun bahaya. Seseorang dengan minat khusus pada produk mereka, terutama yang baru dalam pengembangan, akan sangat senang mendapatkan cakarnya pada rencana mereka. Kami akan memanggilnya WC untuk melindungi privasinya.

WC check in di Famous Hotel lebih awal untuk memberinya waktu untuk mengatur. Dia menemukan bahwa hotel ini memiliki titik akses wifi yang disebut FamousHotel-1 melalui FamousHotel-5. Jadi dia mengatur jalur akses dan menyebutnya FamousHotel-6 sehingga menyatu dengan lanskap dan menjembatani ke salah satu AP lainnya.

Sekarang, para konvensi mulai check-in. Kebetulan salah satu pelanggan terbesar kedua perusahaan, kami akan memanggilnya RR, check-in dan mendapat kamar di dekat WC. Dia menyiapkan laptopnya dan mulai bertukar email dengan pemasoknya.

WC terkekeh dengan gila! "Rencana licikku berhasil!", Serunya. LEDAKAN! JATUH! Secara bersamaan, dia ditabrak landasan dan bundel TNT. Tampaknya tim keamanan ACME Anvils, Terrific TNT, RR dan Famous Hotel bekerja bersama mengantisipasi serangan ini.

Bip bip!

Edit:

Bagaimana tepat waktu ^* : Tip perjalanan: Waspadai bandara dengan wi-fi "honeypots"

^{* Ya, sudah waktunya ia muncul di RSS feed saya.}

Itu sepenuhnya tergantung pada situasi. Seberapa besar Anda mempercayai ISP Anda? Seberapa banyak yang Anda ketahui tentang konfigurasi ISP Anda? Dan seberapa aman pengaturan Anda sendiri?

Sebagian besar "serangan" seperti ini sekarang sangat mungkin terjadi dengan trojan malware mencegat penekanan tombol dan kata sandi dari file. Terjadi sepanjang waktu, hanya saja tidak diperhatikan atau dilaporkan begitu banyak.

Dan seberapa sering informasi bocor di dalam tingkat ISP? Ketika saya bekerja untuk ISP kecil, kami menjual kembali tingkat akses yang lebih tinggi. Jadi seseorang yang menghubungi kami masuk ke jaringan kami, dan jika Anda tidak berbicara dengan server web kami atau server surat, lalu lintas pergi ke penyedia tingkat yang lebih tinggi, dan kami tidak tahu siapa yang melakukan apa dengan data Anda di jaringan mereka, atau seberapa tepercaya admin mereka.

Jika Anda ingin tahu berapa banyak tempat yang "berpotensi" melihat lalu lintas Anda melakukan traceroute dan Anda akan melihat sebanyak apa yang akan merespon pada setiap titik rute. Itu dengan asumsi perangkat berjubah tidak di antara beberapa dari mereka. Dan masing-masing perangkat itu sebenarnya adalah router dan bukan sesuatu yang menyamar sebagai router.

Masalahnya adalah Anda tidak bisa tahu seberapa lazim serangan itu. Tidak ada peraturan yang mengatakan perusahaan harus mengungkapkan serangan yang ditemukan kecuali informasi kredit Anda dikompromikan. Sebagian besar perusahaan tidak melakukannya karena itu memalukan (atau terlalu banyak pekerjaan). Dengan jumlah malware yang mengambang di sana, itu mungkin jauh lebih lazim daripada yang Anda pikirkan, dan kuncinya adalah menemukan serangan itu. Ketika malware bekerja dengan benar, sebagian besar pengguna tidak akan tahu kapan itu terjadi. Dan skenario orang-yang-mendapat-jengkel-dan-mengintai-lalu-lalu-di-penyedia adalah mereka yang tidak dilaporkan oleh perusahaan kecuali mereka harus melaporkannya.

Tentu saja ini mengabaikan skenario di mana perusahaan dipaksa untuk menyimpan catatan lalu lintas Anda dan mengungkapkannya kepada lembaga pemerintah tanpa memberi tahu Anda. Jika Anda berada di AS, berkat Undang-Undang Patriot, perpustakaan dan ISP dapat dipaksa untuk merekam perjalanan data dan email serta riwayat penelusuran Anda tanpa memberi tahu Anda bahwa mereka mengumpulkan informasi tentang Anda.

Dengan kata lain, tidak ada data keras tentang seberapa umum MITM dan serangan intersepsi pada pengguna, tetapi ada bukti yang menyarankan itu lebih tinggi daripada nyaman, dan sebagian besar pengguna tidak cukup peduli untuk mendapatkan informasi itu.

Pertanyaan sebenarnya adalah "berapa banyak sumber daya terbatas saya yang harus saya curahkan untuk serangan MITM daripada di tempat lain?"

Ini tergantung banyak sifat komunikasi yang terlibat, dan tidak memiliki jawaban tunggal. Dalam pengalaman saya itu bukan risiko besar relatif terhadap risiko keamanan lainnya, tetapi biasanya risiko yang murah untuk meminimalkan (misalnya: sertifikat SSL dan menggunakan HTTPS sering kali cukup) sehingga lebih murah untuk memperbaiki daripada menghabiskan waktu mengevaluasi berapa banyak risiko bisa jadi.

Apakah Anda memiliki titik akses nirkabel di rumah? Server proxy sedang bekerja?

Salah satu dari titik masuk / keluar dapat dikompromikan tanpa konspirasi pemerintah / ISP yang luas. Mungkin juga komponen infrastruktur ISP terganggu.

Apakah Anda menggunakan browser web? Cukup sepele untuk mengkonfigurasi browser untuk mengarahkan lalu lintas ke seorang pria di tengah. Ada malware browser yang merutekan kembali transaksi perbankan dan broker tertentu menggunakan metode ini, terutama untuk usaha kecil dengan hak istimewa kawat.

Keamanan adalah tentang manajemen risiko ... ada dua atribut dasar untuk pendekatan Anda dalam menghadapi risiko: probabilitas terjadinya dan dampak. Kemungkinan sebenarnya Anda mengalami kecelakaan mobil sangat rendah, tetapi pengaruhnya terhadap keselamatan pribadi Anda tinggi, sehingga Anda mengikat sabuk pengaman dan meletakkan bayi di kursi mobil.

Ketika orang menjadi malas dan / atau murah, bencana sering kali merupakan akibatnya. Di Teluk Meksiko, BP mengabaikan segala macam faktor risiko karena mereka percaya bahwa mereka mentransfer risiko ke kontraktor, dan memperkirakan bahwa mereka telah mengebor sumur yang cukup tanpa insiden, sehingga kemungkinan insiden sangat rendah.

Serangan mitM cukup banyak ditemukan secara eksklusif di jaringan lokal. Menyadap koneksi di internet membutuhkan ISP atau akses tingkat pemerintah - dan sangat jarang ada orang dengan level sumber daya yang mencari data Anda.

Setelah seseorang masuk ke jaringan Anda, maka Anda punya masalah serius, tetapi di luar itu, Anda mungkin baik-baik saja.

@Craig: Dalam pengeditan, Anda memiliki informasi yang salah. Jaringan nirkabel tidak berbasis siaran. Data yang dikirim dalam sesi komunikasi nirkabel (antara klien nirkabel dan titik akses nirkabel) tidak "disiarkan" untuk didengar semua orang. Klien nirkabel mengaitkan dengan AP dan komunikasi terjadi antara klien tersebut dan AP. Jika Anda bermaksud bahwa data sedang disiarkan karena dienkapsulasi dalam sinyal radio yang "disiarkan", maka ya itu dapat diendus dengan peralatan nirkabel yang sangat spesifik (adaptor nirkabel yang mampu RMON) dan alat perangkat lunak. Klien nirkabel yang belum dikaitkan dengan AP yang sama tidak memiliki mekanisme untuk menyadap atau "mendengar" lalu lintas nirkabel kecuali dengan peralatan yang disebutkan di atas. Komunikasi nirkabel dalam jaringan TCP \ IP pada dasarnya berfungsi sama seperti untuk jaringan kabel kecuali untuk media transmisi: gelombang radio sebagai lawan kabel fisik. Jika lalu lintas WiFi disiarkan untuk semua orang untuk menguping itu tidak akan pernah meninggalkan papan gambar.

Yang sedang berkata, saya pikir bahwa jaringan nirkabel menimbulkan risiko lebih besar untuk serangan MITM karena akses fisik tidak diperlukan untuk mengakses jaringan nirkabel untuk "menyuntikkan" sistem jahat untuk mencegat lalu lintas.