Gli attacchi di "uomo nel mezzo" sono estremamente rari?

135

In "Alcuni pensieri sulla lista dei contatti dell'iPhone polemica e sicurezza delle app ", blog cdixon

Chris Dixon rilascia una dichiarazione sulla sicurezza Web

Many commentators have suggested that a primary security risk is the fact that the data is transmitted in plain text. Encrypting over the wire is always a good idea but in reality “man-in-the-middle” attacks are extremely rare. I would worry primarily about the far more common cases of 1) someone (insider or outsider) stealing in the company’s database, 2) a government subpoena for the company’s database. The best protection against these risks is encrypting the data in such a way that hackers and the company itself can’t unencrypt it (or to not send the data to the servers in the first place).

Mi chiedo se ci siano dati freddi, duri, reali per sostenere tale asserzione - sono attacchi "man in the middle" in realtà rari nel mondo reale, basati su dati raccolti da intrusioni effettive o incidenti di sicurezza?

    
posta Jeff Atwood 22.02.2012 - 20:36
fonte

8 risposte

102

La mia risorsa attuale preferita per dati freddi, duri, reali è Rapporto Verizon 2011 Breach Investigations Report . Un estratto dalla pagina 69 del rapporto:

Actions

The top three threat action categories were Hacking, Malware, and Social. The most common types of hacking actions used were the use of stolen login credentials, exploiting backdoors, and man-in-the-middle attacks.

Dalla lettura di ciò, deduco che si tratta di un'azione secondaria utilizzata una volta che qualcuno ha un punto d'appoggio nel sistema, ma i dati dell'Unità criminale olandese High Tech dicono che è abbastanza credibile da preoccuparsi. Delle 32 violazioni dei dati che hanno costituito le loro statistiche, 15 hanno coinvolto azioni MITM.

Sicuramente non fermarti qui, però. L'intero rapporto è una miniera d'oro di lettura e il miglior lavoro che ho trovato per dimostrare le reali minacce.

Per riferimenti più confusi agli attacchi e ai metodi MiTM, vedi anche questa eccellente risposta agli attacchi MITM - quanto sono probabili? su Serverfault.

Vorrei andare oltre nel dire che ogni istanza di una radice SSL che tossisce un cert cattivo è un segno di un attacco, altrimenti sarebbero dei compromessi piuttosto inutili. Infine, dato che sono quel ragazzo , sicuramente proverei a unire la tua casella di rete all'esterno dell'edificio se stessi facendo il tuo pentimento. Si può fare cose incredibili con una radio software anche su una connessione cablata.

    
risposta data 22.02.2012 - 22:17
fonte
28

La semplice risposta è no - c'è un'ampia varietà di prove che questo tipo di attacco è comune.

Alcuni dei controlli introdotti dalle banche (autenticazione a due fattori, ecc.) erano in parte necessari per combattere gli attacchi MITM sempre più comuni sui clienti.

Anche se ci sono altre forme di attacco (il compromesso del cliente è buono) che ora potrebbe essere più facile da usare attraverso l'uso di malware per posizionare un trojan sul PC client, il MITM è ancora relativamente facile nella maggior parte dei casi.

Il fatto fondamentale da ricordare è che i criminali tendono a lavorare su un buon ritorno sull'investimento. Il ROI per un utente malintenzionato è molto buono:

  • basso rischio di essere catturati
  • basso rischio fisico
  • alcuni sforzi nel codificare l'exploit possono portare a guadagni monetari nel mondo reale
  • il codice può quindi essere riutilizzato o venduto ad altri criminali

Come ha detto @CanBerk, non avremo mai protocolli "completamente sicuri", ma rendere la vita più difficile per i criminali è una soluzione parziale. Il MITM non andrà via finché non sarà reso troppo difficile essere redditizio.

    
risposta data 22.02.2012 - 22:09
fonte
17

Il recente compromesso dell'autorità di certificazione DigiNotar ha portato a il rilascio di oltre 500 certificati falsi per google.com, microsoft.com, cia.gov e centinaia di altri siti. Questi certificati in qualche modo si fecero strada in 40 diversi ISP iraniani, risultando in un massiccio attacco man-in-the-middle , ha confermato di aver colpito oltre 300.000 utenti iraniani nel corso di diversi mesi .

L'hacker (i) responsabile - ha confermato di essere lo stesso responsabile per precedente attacco su CA Comodo - afferma di avere pieno accesso a cinque altre CA, sebbene abbia solo named uno di loro .

Quindi sì, Gli attacchi Man-in-the-middle sono una minaccia molto reale , anche oggi.

Nota: per evitare questo tipo di attacchi, prendi in considerazione l'utilizzo di un programma / addon per tenere traccia dei certificati per modifiche sospette, come Certificate Patrol , o prova uno dei fantastici nuovi sostituti per il modello dell'autorità di certificazione di cui tutti parlano.

    
risposta data 22.02.2012 - 23:32
fonte
7

Questa risposta riguarda principalmente la dichiarazione di Chris Dixon più che la risposta a "Quanti attacchi provengono dal MiTM".

Se affermiamo il diverso modo in cui si potrebbe diventare MiTM e le conseguenze date, penso che possiamo trarre alcune conclusioni sul fatto se ci interessino o meno gli attacchi MiTM prevalenti.

Se consideriamo alcuni rischi per le diverse situazioni, potremmo avere qualcosa come:

  • Qualcuno ruba il database sfruttando l'applicazione web stessa?
  • Qualcuno che attacca utente / amministratore tramite attacco MiTM

Direi che il primo ha un impatto molto più grande (generalmente) e dovrebbe in molti modi essere mitigato di più e trattato il primo.

Quindi, per il punto 2 prevalere sul punto 1, penso che il MiTM debba essere davvero pazzo per noi per attribuirlo a un ostacolo di sicurezza come il punto 1 (come dice Chris nella citazione)!

Ora se vediamo i diversi vettori di attacco. Primo per MiTM. Per diventare MiTM si potrebbe ad esempio:

  • Possedere un access point wireless canaglia. Questo è banale, ma per un attacco mirato dovresti trovarti nella stessa posizione fisica della vittima usando la tua webapp.
  • Annota dati o dati wireless non crittografati provenienti da un HUB (esistono persino più?)
  • Usa l'avvelenamento ARP per attaccare gli utenti. Non banale, a meno che tu non sia sulla stessa rete degli utenti target che utilizzano la tua webapp.
  • Avvelenamento da cache DNS. Per far funzionare questo è necessario avvelenare il DNS utilizzato dagli utenti target. Se il DNS non è configurato correttamente, questo attacco diventa in qualche modo banale da eseguire, tuttavia c'è molto da fare perché questo funzioni.
  • Attacchi di phishing. Questi ancora ingannano gli utenti ignari e ingenui, tuttavia molta responsabilità ricade sull'utente.

Tutto questo per attaccare solo uno o un piccolo sottoinsieme di utenti. Anche in questo caso, attaccare questi utenti darà loro un avvertimento nei loro browser (ci sono modi per attaccare anche questo, ma non lo sopporto qui). Solo compromettendo una CA radice o individuando un difetto nell'algoritmo utilizzato per generare i certificati, ti sarà permesso di porsi come emittente di certificati attendibili.

Se d'altra parte guardiamo tutte le cose potenzialmente brutte che possiamo vedere se non investiamo abbastanza sicurezza nella webapp stessa vediamo i vettori di attacco come:

  • SQL Injection - banale e facile da sfruttare e scoprire. Impatto sui danni molto elevato.
  • XSS (Cross Site Scripting) - facile da scoprire, più difficile da sfruttare. Penso che vedremo un impatto sempre maggiore degli utenti da questo in futuro. Prevedo che stia diventando la tendenza "new SQL Injection" che abbiamo visto in quei giorni.
  • CSRF (Cross Site Request Forgery) - Moderato da scoprire, moderato da sfruttare. Ciò richiederebbe agli utenti di navigare verso un sito già di proprietà, attivando una richiesta per la tua webapp che effettuerebbe una transazione per conto dell'utente.

Quindi, menzionando solo questi pochi, ma popolari metodi per attaccare webapp e diventare MiTM, lascerei il caso a un'analisi di rischio / conseguenza specifica dell'organizzazione specifica che stai cercando di proteggere, indipendentemente dal fatto che dovresti o meno difendere il tuo gli utenti direttamente implementando SSL o difendendo la webapp nel suo complesso (che include anche proprietà intellettuale, dati dell'utente, dati sensibili, dati potenziali che potrebbero violare altre applicazioni e così via).

Quindi, a mio modesto parere, sono assolutamente d'accordo con la dichiarazione di Chris Dixon. Stabilisci la priorità di proteggere la webapp il più possibile prima di iniziare a pensare di proteggere il livello di trasporto.

Modifica : Una nota a margine: Pagine come Facebook, Gmail e altri erano sotto pesanti attacchi MiTM durante la scia di Firesheep. Questo potrebbe essere mitigato solo tramite SSL e consapevolezza.

Tuttavia, se ci pensate, sniffare il traffico wireless con Firesheep e dirottare le sessioni richiederebbe la LAN wireless a cui siete connessi per non avere alcuna crittografia.

Quando guido oggi la guida di guerra ha ridotto drasticamente il numero di AP wireless aperti e anche il numero di AP AP abilitati al WEP. Continuiamo a vedere sempre più AP AP crittografati, che nella maggior parte dei casi ci forniscono abbastanza sicurezza.

Ora, qual è il rischio che qualcuno crei uno strumento facile e conveniente per sniffare e dirottare le sessioni degli utenti? Qual è l'impatto per quegli utenti? Potrebbe anche essere mitigato in diversi modi (re-autenticare l'utente quando proviene da impronte diverse allo stesso tempo, notificando l'utente quando qualcosa sembra sbagliato (gmail ne è un buon esempio)).

    
risposta data 22.02.2012 - 22:47
fonte
2

Non ha trovato alcun documento statico o bianco che includa i dati del mondo reale che si desidera avere.

Tuttavia, vorrei aggiungere che gli attacchi MitM all'interno delle aziende avvengono quotidianamente e più di una volta. Diversi fornitori di soluzioni di sicurezza dispongono di soluzioni per la scansione del traffico crittografato (ad esempio, Palo Alto Networks ) e almeno l'azienda Attualmente lavoro per ha attivato questa funzione.

Per fare ciò, al dispositivo firewall / proxy viene semplicemente concesso un certificato dall'autorità di certificazione (CA) interna, che è già considerato affidabile da tutti i client. Quando un'applicazione richiede una connessione protetta, il dispositivo firewall / proxy genera immediatamente un nuovo certificato per il server di destinazione e lo invia al client. Poiché il client si fida della CA interna, si fida anche del certificato della periferica e inizierà felicemente una connessione "sicura".

    
risposta data 22.02.2012 - 22:10
fonte
0

Sono d'accordo con daramarak che sarebbe piuttosto difficile trovare dati reali sugli attacchi MitM. Una ragione per questo è che gli attacchi MitM sono di solito indirizzati alle persone, mentre gli attacchi come DDoS o SQL injection sono solitamente rivolti a società, organizzazioni, ecc.

Pertanto, mentre vediamo un DDoS / injection / qualunque report quasi ogni giorno, le informazioni relative agli attacchi MitM sono generalmente accademiche (ad esempio "Twitter è stato DDoS!" vs. "SSL è vulnerabile a MitM")

Tuttavia, va notato che "raro" non significa necessariamente "difficile". La maggior parte degli attacchi MitM sono probabilmente molto più facili da eseguire rispetto alla maggior parte degli altri tipi di attacchi e molti protocolli che usiamo ogni giorno sono vulnerabili a tali attacchi in un modo o nell'altro, semplicemente perché è piuttosto difficile definire un protocollo completamente sicuro contro MitM. Questo è il caso per la maggior parte dei problemi di sicurezza, la maggior parte delle soluzioni è "lo sforzo migliore" rispetto a "completamente e assolutamente sicuro".

Pertanto, penso che la ragione principale per cui gli attacchi MitM sono meno comuni è che di solito non è necessario / incentivo per eseguirne uno.

    
risposta data 22.02.2012 - 21:06
fonte
0

Sono abbastanza sicuro che sniffare le password su reti wireless è estremamente comune. Dai un'occhiata a quanti tutorial ci sono per il web da un semplice Ricerca Google o ricerca Bing .

    
risposta data 22.02.2012 - 20:43
fonte
-1

Credo che se fossero rari, nessuno avrebbe compromesso un CA, tuttavia abbiamo visto un certo numero di tentativi e alcuni successi (sospetti inclusi l'Iran).

Quindi presumo che sia stato fatto e sarà fatto. Altrimenti perché dovrebbero preoccuparsi di compromettere una CA. Non è il compito più facile del mondo. Perché non attaccare direttamente il tuo obiettivo?

Detto questo, potrebbero essere rari. Chiunque comprometta un CA è abbastanza bravo da coprire abbastanza tracce per non conoscere la portata del proprio lavoro. Sinceramente non avrei passato il governo degli Stati Uniti per aver fatto la stessa cosa sia in patria che all'estero. Sarei davvero sorpreso se non lo facessero. A sostegno di ciò, non ricordo di aver mai letto che l'HTTPS è entrato nel governo degli Stati Uniti. Lo sento periodicamente riguardo alla crittografia Skype, alla crittografia del disco TrueCrypt o PGP.

    
risposta data 22.02.2012 - 20:43
fonte

Leggi altre domande sui tag