Quanto è facile eseguire effettivamente l'attacco MITM in questi giorni

7

Il sito web che sto utilizzando utilizza HTTP per il recupero della pagina. Nella pagina ti chiedono di inserire i dati della carta di credito che poi passano tramite HTTPS (a un altro server). Affermano che questo è abbastanza sicuro (dato che sembra che nessuna informazione sensibile sia mai stata decifrata) e potrebbe sembrare così a prima vista.

Utilizzando un semplice attacco MITM, l'attaccante può modificare la pagina web JS aggiungendo un listener di eventi che registra i dettagli della carta sul server degli attaccanti al momento dell'invio del modulo (che contiene tutti i dettagli della carta). L'utente e il server non noterebbero nulla di strano e la transazione potrebbe essere completata correttamente. La mia comprensione è corretta della situazione? È davvero pericoloso?

E inoltre, il MITM attacca qualcosa che è molto difficile da eseguire, o è fattibile con un hacking minimo? Come si fa confrontando Public WiFi, Home Wifi e Internet via cavo?

Ci scusiamo per un po 'di ampiezza, apprezzerei alcuni suggerimenti o link

    
posta eddyP23 06.03.2017 - 22:24
fonte

2 risposte

7

Farò del mio meglio per rispondere a ogni aspetto della tua domanda, ma tieni presente che questo è un argomento ampio con molti dettagli intricati.

prima cosa:

They claim that this is secure enough (as it seems that no sensitive info ever travels unencoded)

Correzione semantica: la parola che vuoi è non criptata, non codificata. La codifica implica che i dati sono facilmente reversibili e che la crittografia è in atto per impedire a un utente malintenzionato di invertire i dati crittografati al valore originale.

Using a simple MITM attack, attacker can modify webpage JS by adding an event listener that posts card details to the attackers server on submit of the form (that have all the card details). The user and the server wouldn't notice anything strange and the transaction could complete successfully. Is my understanding correct of the situation? Is it really unsafe?

La tua comprensione non è del tutto corretta per i siti HTTPS. Poiché i dati sono crittografati, il tuo MITM non sarebbe in grado di apportare modifiche al traffico. Ricorda, la crittografia avviene tra la vittima e il sito Web: il tuo proxy MITM non ha alcun controllo sulla crittografia. Pertanto, tutto ciò che vede sono dati crittografati - questo rende impossibile modificare al volo e inserire codice dannoso. La tua comprensione è corretta per i siti HTTP, comunque. Gli aggressori MITM sono in grado di manipolare il traffico, inclusa l'iniezione di script dannosi.

Esiste un attacco chiamato SSLstrip in cui un MITM attaccante esegue la crittografia HTTPS effettuando il downgrade dell'utente su HTTP (cambiando https: // a http: //). Funziona perché il browser vittima pensa che l'autore dell'attacco sia il sito Web e il sito Web ritiene che l'autore dell'attacco sia la vittima. Ciò è impedito nella maggior parte dei siti web al giorno d'oggi dall'inclusione dell'intestazione HSTS che indica al browser di accedere al sito solo tramite HTTPS. C'è un articolo più robusto e abbastanza non tecnico su questo attacco qui: link

And also, is MITM attack something that is very hard to perform, or is it doable with minimal hacking? How is it when comparing Public Wifi, Home Wifi and Cable internet?

MITM è incredibilmente facile da eseguire. Viene trasmesso tutto il traffico wifi - questo significa che qualsiasi dispositivo di sniffing nelle vicinanze può leggere il tuo traffico. Se ti stai collegando a una pagina tramite HTTP tramite Wi-Fi pubblico / non crittografato, puoi supporre che qualsiasi informazione che stai inviando e ricevendo sia pubblica - basta un attaccante con un'antenna per leggere tutto ciò in chiaro. Per eseguire un vero MITM attraverso il flusso di traffico che li attraversa, gli hacker possono utilizzare tecnologie come WiFi ananas o aircrack-ng per forzare gli utenti a connettersi alla loro rete wifi.

Potresti aver sentito parlare della crittografia Wi-Fi WPA / WPA2. Questo è lo standard corrente per la crittografia wifi: se ti connetti al router di casa con WPA2 puoi essere ragionevolmente sicuro che un utente malintenzionato esterno non possa intercettare i tuoi dati. Il WEP è obsoleto da molto tempo: non fidarsi della crittografia WEP per mantenere la connessione sicura. Tieni questo a mente ogni volta che ti connetti a una rete aperta (non crittografata): il tuo laptop / telefono ti avviserà generalmente di questo prima di connetterti.

Connettersi via cavo internet è molto più difficile da intercettare / mitm perché non stai trasmettendo il tuo traffico per l'intero quartiere. Per compromettere questa rete, un utente malintenzionato dovrà accedervi in qualche modo, tramite l'accesso fisico a una porta di rete, il malware installato su una macchina host o un router, ecc. Quando un utente malintenzionato ha accesso a una rete, deve quindi sfruttare che l'accesso attraverso attacchi come avvelenamento ARP o spoofing HSRP. Questi attacchi si limitano al traffico MITM: chiunque sulla rete può ancora rilevare (leggere, ma non modificare) il traffico, ma tenere presente che il traffico HTTPS è ancora crittografato e non può essere letto.

    
risposta data 06.03.2017 - 22:50
fonte
-1

Un attacco MITM è possibile anche su una connessione "https" sicura. Se un intercettatore intercetta la chiave pubblica nello scambio iniziale, può decifrare i messaggi successivi dal proprietario di quella chiave e inoltrare tali messaggi a qualsiasi altro destinatario inconsapevole utilizzando la propria chiave pubblica. Questo è vero sia per l'iniziatore della comunicazione sia per ogni destinatario che risponde. Finché l'attaccante si trova nel mezzo, intercettando i messaggi, può utilizzare la propria chiave pubblica per inoltrare il messaggio del mittente al destinatario dopo aver monitorato il contenuto del messaggio. Per mitigare questo problema, i moderni browser Web contengono un elenco di terze parti attendibili che possono verificare che una determinata chiave pubblica sia di proprietà di una particolare entità. Questo è vero per i server Web, ma di solito non è vero per gli utenti umani dei browser Web, che generalmente non vogliono essere gravati dal costo e dalla responsabilità di inserire una chiave pubblica nella propria identità online.

    
risposta data 06.03.2017 - 23:53
fonte

Leggi altre domande sui tag