La maggior parte degli attacchi MiTM viene eseguita per impersonare siti Web o semplicemente decrittografare il traffico?

Naviga le tue risposte
0

Più leggo sulla rappresentazione di siti Web più mi confondo. Un utente malintenzionato ha bisogno della chiave privata del server per impersonare un sito Web o se la chiave privata gli consente semplicemente di decodificare le comunicazioni?

Quando penso di impersonare un sito web, penso a un attacco di collisione, in cui un hash MD5 è stato rotto e un falso certificato può quindi essere utilizzato per impersonare in modo efficace un sito Web utilizzando una nuova coppia di chiavi.

Quando penso a un attacco MiTM, penso a un attacco in cui la persona nel mezzo ottiene la chiave privata del server e inoltra il traffico avanti e indietro tra il client e il server, consentendo all'autore dell'attacco di decrittografare e visualizzare tutte le comunicazioni . Questo per me, non è "impersonare un sito web". Qualcuno può chiarire la mia confusione qui?

    
posta user53029 02.10.2014 - 23:02
fonte

5 risposte

2

Generalmente l'uso principale di MitM al momento è che l'autore dell'attacco impersoni il sito Web alla vittima.

L'obiettivo è, di solito, ottenere le credenziali della vittima per impersonarle, autenticarsi correttamente sul sito web e utilizzare i contenuti del proprio conto bancario, archivio dati, proprietà intellettuale ecc.

Questo è, in genere, il modo in cui viene indicato nel paragrafo finale. Per quanto riguarda la vittima, vedono il loro sito web. Questa è la rappresentazione.

Non sono sicuro che il tuo attacco di collisione sia uno scenario probabile per la rappresentazione, tuttavia i falsi certificati sono certamente una via d'accesso.

    
risposta data 02.10.2014 - 23:10
fonte
1

Dipende.

Con alcuni codici, è possibile origliare passivamente la comunicazione una volta che hai la chiave privata. Potrebbe essere fatto anche per le connessioni intercettate prima di ottenere una copia della chiave privata utilizzata.

Tuttavia, per un'altra classe di cifrari, quelli che forniscono inoltro segreto (PFS), il client e server generano una nuova chiave effimera per la sessione. Pertanto, l'utente malintenzionato dovrebbe eseguire un attacco man-in-the-middle per poterlo decrittografare.

Dovresti avere il tuo client / server che preferisce i cifrari PFS quando disponibili, in quanto previene questo tipo di attacchi (la maggior parte dei valori predefiniti lo fa, ma hai bisogno del software recente per supportare PFS).

L'utilizzo di PFS è stato discusso molto nel contesto dell'NSA che registrava il traffico completo, in quanto sarebbero stati in grado di decrittografare le comunicazioni non usando PFS se avessero ottenuto la chiave privata.

    
risposta data 02.10.2014 - 23:32
fonte
1

Un attacco man-in-the-middle, per definizione, implica la rappresentazione.

L'idea di base è qualcosa del genere:

  1. Alice vuole avere una conversazione con Bob.
  2. Mallory inganna Alice per inviare il primo messaggio a lui anziché a Bob (esattamente come può variare notevolmente).
  3. Mallory contatta Bob, fingendo di essere Alice, e trasmette il messaggio di Alice.
  4. Bob risponde a Mallory, pensando di essere Alice, e Mallory inoltra la risposta ad Alice (fingendo di essere Bob).
  5. La conversazione può andare avanti e avanti, con Mallory come l'uomo in mezzo.

A volte, lo scopo di questa rappresentazione è esclusivamente il monitoraggio delle comunicazioni. Mallory potrebbe voler solo leggere i messaggi, prima di passarli sopra. Altre volte, Mallory può modificare i messaggi al fine di manipolare Alice e / o Bob nel fare ciò che vuole.

Ecco un esempio SSL / TLS di un attacco MITM:

  1. Un cliente prova a connettersi al suo sito web delle banche.
  2. Un utente malintenzionato riesce comunque a dirottare la connessione (come non importa) e presenta il suo certificato SSL falsificato impersonare il sito web della banca.
  3. L'autore dell'attacco si connette al sito web effettivo e invia le richieste HTTP dei clienti.
  4. L'utente malintenzionato inoltra le risposte HTTP al cliente.
  5. Da quando vede il sito web delle banche, e in modo inaspettato fornisce il suo nome utente e la sua password.
  6. La banca invia una password unica al cellulare del cliente.
  7. Il cliente invia questa password una sola volta all'attaccante (pensando di parlare con la banca)
  8. L'attaccante può fare quello che vuole con l'account del cliente.

Se l'attaccante solo ha impersonato la banca, senza entrare effettivamente nel mezzo, non sarebbe riuscito a superare la password unica.

    
risposta data 03.10.2014 - 02:00
fonte
1

La risposta alla tua domanda è: no. MiTM è fatto per rubare le informazioni che l'utente PENSA stanno inviando a un sito legittimo. Il modo in cui questo comporta solitamente "impersonare" qualsiasi parte si stia tentando di inviare i propri dati, e talvolta implica la decodifica del traffico (sebbene la maggior parte delle volte la decrittografia non sia fattibile senza una sorta di attacco downgrade), ma l'intento di l'attacco è rubare informazioni.

    
risposta data 03.10.2014 - 01:41
fonte
1

Penso che stai mettendo insieme due moduli di crittografia e che ti confondi. Innanzitutto è necessario esaminare la crittografia in due modi per crittografare i dati e crittografare un tunnel.

La crittografia dei dati viene eseguita sull'endpoint prima che le informazioni vengano inviate sul filo. Questo può essere fatto usando la crittografia simmetrica o asimmetrica. La crittografia simmetrica è uno scambio delle stesse chiavi per crittografare e decrittografare i dati. La crittografia asimmetrica utilizza una coppia di chiavi privata / pubblica per crittografare e decrittografare i dati.

La crittografia di un tunnel non viene crittografata a livello di dati. Fornisce un tunnel sicuro per il trasferimento dei dati. Il testo normale può essere inviato tramite un tunnel crittografato (come SSL) e ad un utente malintenzionato non può vedere i dati a causa del tunnel crittografato. Questo è ciò che chiamiamo PKI o più comunemente certificati SSL.

Entrambe queste forme possono essere utilizzate separatamente o insieme.

Se si utilizzano entrambi i metodi e l'attaccante deve prima interrompere il tunnel. Esistono vari metodi come discusso dai tuoi post, ma più al tuo punto di attacco MITM, il posizionamento di un host malevolo tra l'utente e il server può consentire a un utente malintenzionato di acquisire dati.

Se questi dati non sono crittografati e solo in testo normale, un utente malintenzionato ha tutto ciò di cui ha bisogno e può visualizzare password / nome utente / etc inviati tramite testo normale.

Se tuttavia i dati vengono crittografati autonomamente, l'utente malintenzionato può acquisire i dati crittografati, ma affinché anche loro possano accedere alle informazioni, avranno bisogno delle chiavi per tale crittografia.

Infine torna la tua domanda sugli attacchi MITM usati per impersonare i siti - No, il MITM di lì design è per intercettazioni senza rilevamento sugli utenti. Gli attacchi di furto d'identità sono normalmente sotto forma di un attaccante che impersona un utente o un utente malintenzionato che si presenta come un sito legittimo.

Le tecniche come XSS o CSRF non sono attacchi MITM per dire, e sono più uno sfruttamento della fiducia tra un sito e gli utenti. In questi casi, vengono presentati all'utente sotto forma di script lato client che provengono da siti legittimi che un utente malintenzionato ha compromesso o presentati a server in cui un utente malintenzionato ha compromesso un utente legittimo.

    
risposta data 03.10.2014 - 17:52
fonte

Leggi altre domande sui tag

Come rintracciare il proprietario di un computer tramite l'indirizzo mac "Shell shock" - sfruttabile quando 'system ()' syscall o 'exec (bash)', giusto?