Come funziona l'attacco "QuantumInsert"?

1

Recentemente sono incappato in descrizioni dell'attacco "QuantumInsert" (usato principalmente dal gruppo TAO della NSA). Questa tecnica sembra essere utilizzata in modo massiccio per eseguire attacchi man-in-the-middle o man-on-the-side per inserire virus su sistemi informatici specificamente mirati.

Bruce Schneier ha diverse note su di esso (vedi qui e e probabilmente di più ...). È anche citato in articoli pubblicati da Spiegel (in inglese) (vedi qui ).

Se capisco bene, questa tecnica può essere utilizzata per inserire piccoli payload che vengono inseriti in una pagina HTML attualmente caricata da un sito Web legittimo. Probabilmente si potrebbe inserire una piccola applicazione JavaScript fatta per penetrare nel browser web del target (se ho capito bene).

Ora vorrei sapere di più sui limiti di questa tecnica. Ho letto che solo la NSA poteva ottenere l'accesso a questo tipo di attacchi, ma altri governi o grandi aziende potrebbero padroneggiare anche questa tecnica?

E, infine, vorrei sapere se ci sono alcuni modi per proteggere il tuo accesso web da questo attacco (a livello individuale)?

Modifica : solo una buona spiegazione dalla 30C3 (dic 2013) in questo talk .

    
posta perror 30.12.2013 - 15:36
fonte

2 risposte

2

"E, infine, vorrei sapere se ci sono alcuni modi per proteggere il tuo accesso web da questo attacco (a livello individuale)?" La risposta a questa domanda è no. Alcuni attacchi non toccherebbero mai il tuo server. Ecco un semplice disegno ASCII per spiegare tutto.

Visitor (me) --> my ISP (1) --> another provider (2) --> another provider (3) --> your server (4)

In qualsiasi punto tra 1-3 ci saranno molti router e switch. Qualsiasi utente malintenzionato può modificare i dati PRIMA  torna da me. Considera quanto segue. Hai un sito web che visualizza solo l'ora, niente di più. Non esiste un codice HTML, ma viene visualizzato solo il tempo. A QUALSIASI punto nel tempo lungo il filo, è possibile posizionare un TAP per modificare i dati:

Me --> go get the time --> your server
Your server --> here is the time --> network (this is beyond your control now)

L'attacco?

Your server --> here is the time --> network --> TAP (modify this page) --> me

Vedi il dilemma? Puoi urlare: "ma SSL! E TLS!" e non farà nulla contro l'iniezione di un certificato firmato. Puoi urlare: "Farò il checksum MD5 alla pagina!" Ma ti manca il punto sottostante, puoi solo controllare, ciò che controlli. La dura realtà è che c'è poco che puoi fare alla fine della giornata.

Sintesi di esso? SSL / TLS farà poco quando si tratta di "web" tramite la navigazione pubblica.

    
risposta data 30.12.2013 - 19:45
fonte
2

Bene, la difesa più efficace funzionerebbe probabilmente in condizioni non standard per complicare l'uso di attacchi noti. Ad esempio, se esegui il VM del tuo browser, un compromesso non importa a meno che non possano anche uscire dalla VM, ma quando si tratta di un utente malintenzionato che si rivolge direttamente a te e dispone di enormi risorse, probabilmente non è sicuro presumere che non avere un modo per uscire dalla VM, ma se si può limitare esternamente ciò che può connettersi al proprio sistema (attraverso un firewall esterno) e si può essere sicuri che solo i siti con cui si vuole andare siano autorizzati per essere visitato, questo teoricamente fornirebbe una protezione decente.

In alternativa, se hai caricato solo il contenuto HTTPS, impedirebbe l'inserimento di contenuti di terze parti purché tu verificassi il certificato (e il sito con cui stai interagendo non ha permesso di compromettere la chiave privata). Altrimenti, è ragionevole presumere che qualsiasi parte in grado di controllare un gran numero di nodi di routing su Internet potrebbe potenzialmente modificare il traffico se lo desidera e iniettare un uomo nell'attacco intermedio.

In realtà si tratta di best practice generali per la navigazione non sicura e l'utilizzo di un tipico uomo nelle protezioni intermedie. Non è davvero una nuova minaccia, solo la conferma di una minaccia che tutti abbiamo conosciuto è stata una possibilità per molto tempo.

    
risposta data 30.12.2013 - 16:06
fonte

Leggi altre domande sui tag