Chi può effettuare attacchi Man-in-the-Middle (MITM)?

3

Sembra che passiamo molto tempo a difenderci dagli attacchi Man-In-The-Middle (MITM) senza discutere di chi in realtà ci sta difendendo.

Questo è importante perché se è improbabile che questi individui attaccino il nostro sito Web o il costo di farlo è minimo, allora possiamo permetterci di dedicare meno risorse alla protezione da tali attacchi. Ad esempio: link

La mia comprensione è che ci sono solo due modi per intercettare i pacchetti Internet:

  1. Tocca nel livello fisico (ad esempio le linee telefono / cavo fuori casa o la connessione WiFi).
  2. Tocca l'infrastruttura ISP (il luppolo tra il mio computer e il sito web di destinazione).

Ci sono solo 3 tipi di persone che possono eseguire questi tocchi:

  1. Chiunque abbia conoscenze tecniche per attingere al livello fisico o hackerare un ISP.
  2. Chiunque abbia il potere legale di costringere gli ISP a intercettare i pacchetti.

Questo porta a tre tipi di aggressori:

  1. Individui canaglia
  2. Spie aziendali.
  3. Il governo.

Il punto che sto cercando di fare è che se il tuo sito web non è finanziariamente o politicamente significativo (ad esempio StackOverflow), allora è improbabile che gli attacchi MITM siano così rilevanti. Il massimo che un aggressore può fare è vandalizzare il sito, la probabilità che qualcuno vorrebbe farlo è bassa e il costo del recupero è relativamente basso. Il tuo script kiddie medio potrebbe avere la motivazione, ma manca la capacità tecnica di farlo.

Mi manca qualcosa? :)

    
posta Gili 27.05.2014 - 17:49
fonte

1 risposta

5

Ci sono molti altri modi per eseguire un attacco MitM:

  • Dirottamento DNS diretto - spoofing di una risposta DNS alla richiesta DNS del client per il server di destinazione, per puntare a un IP controllato dall'hacker.
  • L'attacco "Dan Kaminsky DNS" (per mancanza di un nome migliore) - spoofing una risposta DNS a un client che cerca di trovare il server dei nomi per un host, consentendo all'aggressore di posare come server dei nomi reale.
  • Avvelenamento da ARP (Address Resolution Protocol) - inondando il target con false trasmissioni ARP, per indurlo a pensare che l'IP del server di destinazione indichi l'indirizzo MAC della macchina dell'attaccante sulla rete.
  • Instrada lo spoofing del protocollo e altri attacchi contro protocolli come BGP, RIP, OSPF, ecc.
  • MitM parziale tramite attacchi a pacchetti (ad esempio, sniffing della rete, quindi spoofing di un pacchetto in modo che il suo indirizzo di origine sia quello del server e i numeri di sequenza TCP corrispondano ai valori previsti)
  • Spoofing di una risposta a uno script di auto-configurazione del proxy (se il client ha un set) per indurlo a puntare a un proxy controllato da un aggressore sulla rete.
  • Compromettere l'account del server di destinazione con il proprio provider di dominio per reindirizzare a un IP controllato da un utente malintenzionato, che può quindi fungere da proxy trasparente.
  • AP WiFi Rogue con nomi comuni o popolari (ad esempio "Starbucks" o "BT-OpenZone")
  • Dirottamento WiFi con dispositivi come Hak5 WiFi Pineapple, per cui finge di essere qualsiasi AP che un dispositivo dell'utente cerca (cioè "ci sei?" "sicuro, connettiti!")
  • Compromettere i router domestici (la roba standard di SOHO è spazzatura) da inserire nella tabella di routing, aggiungere una voce DNS statica, ecc.
  • Utilizzo di funzionalità del router come UPnP per pasticciare con la tabella di routing.

E probabilmente altri cento altri a cui non riesco a pensare in questo momento ...

    
risposta data 27.05.2014 - 20:15
fonte

Leggi altre domande sui tag