Gli attacchi man-in-the-middle possono colpire chiunque non sia connesso alla rete degli attaccanti?

Gli attacchi man-in-the-middle possono essere fatti tramite il dirottamento del DNS in modo che non fornisca l'indirizzo IP reale di un host ma un IP controllato dall'attaccante. Un tipico caso di dirottamento del DNS è la modifica delle impostazioni DNS nel router. Un modo per farlo al di fuori della tua rete locale è un attacco CSRF . Questi tipi di attacchi man-in-the-middle sono fatti per anni e in massa, vedi il sequestro di massa dei router in brasile 2012 .

Naturalmente un altro modo per spiare il traffico consiste nell'utilizzare malware che può essere facilmente distribuito tramite mail di phishing o malvertite. Questo malware potrebbe quindi iniettarsi nel browser e fare un attacco man-in-the-browser per sniffare e modificare il traffico non crittografato e anche crittografato.

Il tuo ISP può effettuare attacchi MITM anche se stai utilizzando SSL!

Innanzitutto, l'ISP controlla il tuo accesso a Internet, quindi non è necessario effettuare un attacco DNS, anche se potrebbe. Piuttosto, potrebbe semplicemente instradare (come nel routing IP Layer 2 o Layer 3) tutto il traffico verso un server nel mezzo (pensa al server proxy senza le impostazioni del proxy nel tuo browser).

Successivamente, il tuo browser, come la maggior parte dei browser, è probabilmente abbastanza liberale quando si tratta di certificati root di CA. Cioè, potrebbe avere dozzine o centinaia di certificati di root. Una manciata di questi sono abbastanza affidabili, alcune dozzine sono per lo più affidabili e alcune sono decisamente disastrose. Se il tuo ISP (o qualsiasi aggressore MITM) può ottenere un certificato server da una di queste CA borderline (non molto difficile), può creare con te quella che sembra essere una sessione SSL protetta (il tuo browser ha l'icona di blocco fantasia). Tuttavia, nello stile classico man-in-the-middle, la sessione SSL termina sul server centrale. Quel server crea una seconda sessione SSL con il legittimo server di back-end. Nessuna delle parti finali è più saggia.

Che cosa significa? Tutto il traffico (nomi utente, password, conti bancari, ecc.) Passa attraverso il primo tubo sicuro, in chiaro a livello di applicazione del server centrale (da catturare e successivamente rivedere) e quindi tornare al secondo tubo sicuro.

Ops! Attacco MITM e non lo sapresti mai. Potrebbe succedere? Impiegato canaglia all'ISP. Oppure, forse un paese straniero (potrebbe essere un paese straniero amico) decide di curiosare sulla tua email aziendale tramite questo metodo.

La soluzione migliore è rimuovere la maggior parte dei certificati di root dal computer, sia che si tratti tramite il browser o qualche altro keystore o entrambi. Se non ne hai bisogno o lo sai, perché crederlo? L'intero punto dei certificati radice PKI è quello di utilizzare solo quelli di cui ti fidi.

In realtà penso che questo sia più realistico di un attacco DNS. Inoltre, l'attacco DNS deve ancora apparire come una sessione SSL legittima che significa ottenere un certificato server SSL valido. Tuttavia, non ho dati reali per entrambi gli scenari.

Come indica il nome, un avversario dovrebbe posizionarsi tra te e la tua destinazione (ad esempio Facebook) per curiosare nel traffico. Come può farlo dipende interamente dalla superficie di attacco. Per rispondere alla tua domanda, sì, è possibile che un utente malintenzionato intercetti il tuo traffico senza avere accesso alla tua rete. Considera il seguente scenario: sei connesso a Internet tramite la tua VPN. Un utente malintenzionato compromette la tua VPN tramite una vulnerabilità del software in esecuzione sul server. Il tuo traffico può ora essere sniffato e manipolato. E come sottolineato da Steffen, un utente malintenzionato può ottenere l'accesso alla rete attraverso una vulnerabilità nel punto di accesso o tramite attacchi client (ad es. Exploit browser o plug-in / social engineering).