Gli attacchi man-in-the-middle possono colpire chiunque non sia connesso alla rete degli attaccanti?

1

Sto cercando di capire a cosa sono limitati questi attacchi. Sono consapevole che gli attacchi man-in-the-middle possono essere fatti se l'attaccante si trova sulla stessa rete (usando qualcosa come Wire Shark), ma è possibile che qualcuno curiosisca nel traffico quando non siamo connessi alla stessa rete? per esempio. Connessione a Facebook, da una rete domestica, solo me stesso sulla rete, utilizzando SSL.

Sul mio sito web, avevamo un modulo di accesso che non aveva SSL. Sarebbe stato possibile, senza che nessuno abbia accesso al server su cui è ospitato il sito, affinché qualcuno possa ottenere i miei dati di accesso?

Se qualcuno potesse farmi riferimento ad alcuni buoni libri o spiegazioni approfondite che sarebbero molto apprezzate.

Grazie!

    
posta Toby Mellor 04.11.2015 - 21:54
fonte

3 risposte

2

Gli attacchi man-in-the-middle possono essere fatti tramite il dirottamento del DNS in modo che non fornisca l'indirizzo IP reale di un host ma un IP controllato dall'attaccante. Un tipico caso di dirottamento del DNS è la modifica delle impostazioni DNS nel router. Un modo per farlo al di fuori della tua rete locale è un attacco CSRF . Questi tipi di attacchi man-in-the-middle sono fatti per anni e in massa, vedi il sequestro di massa dei router in brasile 2012 .

Naturalmente un altro modo per spiare il traffico consiste nell'utilizzare malware che può essere facilmente distribuito tramite mail di phishing o malvertite. Questo malware potrebbe quindi iniettarsi nel browser e fare un attacco man-in-the-browser per sniffare e modificare il traffico non crittografato e anche crittografato.

    
risposta data 04.11.2015 - 22:14
fonte
2

Il tuo ISP può effettuare attacchi MITM anche se stai utilizzando SSL!

Innanzitutto, l'ISP controlla il tuo accesso a Internet, quindi non è necessario effettuare un attacco DNS, anche se potrebbe. Piuttosto, potrebbe semplicemente instradare (come nel routing IP Layer 2 o Layer 3) tutto il traffico verso un server nel mezzo (pensa al server proxy senza le impostazioni del proxy nel tuo browser).

Successivamente, il tuo browser, come la maggior parte dei browser, è probabilmente abbastanza liberale quando si tratta di certificati root di CA. Cioè, potrebbe avere dozzine o centinaia di certificati di root. Una manciata di questi sono abbastanza affidabili, alcune dozzine sono per lo più affidabili e alcune sono decisamente disastrose. Se il tuo ISP (o qualsiasi aggressore MITM) può ottenere un certificato server da una di queste CA borderline (non molto difficile), può creare con te quella che sembra essere una sessione SSL protetta (il tuo browser ha l'icona di blocco fantasia). Tuttavia, nello stile classico man-in-the-middle, la sessione SSL termina sul server centrale. Quel server crea una seconda sessione SSL con il legittimo server di back-end. Nessuna delle parti finali è più saggia.

Che cosa significa? Tutto il traffico (nomi utente, password, conti bancari, ecc.) Passa attraverso il primo tubo sicuro, in chiaro a livello di applicazione del server centrale (da catturare e successivamente rivedere) e quindi tornare al secondo tubo sicuro.

Ops! Attacco MITM e non lo sapresti mai. Potrebbe succedere? Impiegato canaglia all'ISP. Oppure, forse un paese straniero (potrebbe essere un paese straniero amico) decide di curiosare sulla tua email aziendale tramite questo metodo.

La soluzione migliore è rimuovere la maggior parte dei certificati di root dal computer, sia che si tratti tramite il browser o qualche altro keystore o entrambi. Se non ne hai bisogno o lo sai, perché crederlo? L'intero punto dei certificati radice PKI è quello di utilizzare solo quelli di cui ti fidi.

In realtà penso che questo sia più realistico di un attacco DNS. Inoltre, l'attacco DNS deve ancora apparire come una sessione SSL legittima che significa ottenere un certificato server SSL valido. Tuttavia, non ho dati reali per entrambi gli scenari.

    
risposta data 05.11.2015 - 09:12
fonte
1

Come indica il nome, un avversario dovrebbe posizionarsi tra te e la tua destinazione (ad esempio Facebook) per curiosare nel traffico. Come può farlo dipende interamente dalla superficie di attacco. Per rispondere alla tua domanda, sì, è possibile che un utente malintenzionato intercetti il tuo traffico senza avere accesso alla tua rete. Considera il seguente scenario: sei connesso a Internet tramite la tua VPN. Un utente malintenzionato compromette la tua VPN tramite una vulnerabilità del software in esecuzione sul server. Il tuo traffico può ora essere sniffato e manipolato. E come sottolineato da Steffen, un utente malintenzionato può ottenere l'accesso alla rete attraverso una vulnerabilità nel punto di accesso o tramite attacchi client (ad es. Exploit browser o plug-in / social engineering).

    
risposta data 04.11.2015 - 23:01
fonte

Leggi altre domande sui tag