Les attaques de MITM - quelle est leur probabilité?

Quelle est la probabilité des attaques de type "Homme du milieu" dans la sécurité Internet?

Quelles machines, à part les serveurs de FAI, vont être "au milieu" des communications Internet?

Quels sont les risques réels associés aux attaques MITM, par opposition aux risques théoriques?

EDIT: Cette question ne m'intéresse pas aux points d'accès sans fil. Ils doivent être sécurisés bien sûr, mais cela est évident. Les points d'accès sans fil sont uniques en ce que les communications sont diffusées pour que tout le monde entende. Les communications Internet câblées normales sont acheminées vers leur destination - seules les machines de l'itinéraire peuvent voir le trafic.

Commençons par le protocole Border Gateway . Internet est composé de milliers de points d'extrémité appelés AS (systèmes autonomes) et achemine les données avec un protocole appelé BGP (Border Gateway Protocol). Ces dernières années, la taille de la table de routage BGP a augmenté de façon exponentielle, dépassant largement les 100 000 entrées. Même avec l'augmentation de la puissance du matériel de routage, il est à peine capable de suivre le rythme de la taille sans cesse croissante de la table de routage BGP.

La partie délicate de notre scénario MITM est que BGP approuve implicitement les itinéraires fournis par d’autres systèmes autonomes, ce qui signifie qu’avec suffisamment de spams provenant d’un AS, tout itinéraire peut mener à tout système autonome. C’est le moyen le plus évident d’accéder au trafic MITM, et ce n’est pas que théorique: le site de la convention de sécurité Defcon a été redirigé vers le site Web d’un chercheur en sécurité en 2007 pour démontrer l’attaque. Youtube était en panne dans plusieurs pays asiatiques lorsque le Pakistan a censuré le site et déclaré à tort que sa propre voie (morte) était la meilleure pour plusieurs AS en dehors du Pakistan.

Une poignée de groupes académiques collectent des informations de routage BGP auprès d'AS coopérants pour surveiller les mises à jour BGP modifiant les chemins de trafic. Mais sans contexte, il peut être difficile de distinguer un changement légitime d'un détournement malveillant. Les voies de circulation changent constamment pour faire face aux catastrophes naturelles, aux fusions d’entreprises, etc.

Ensuite, la liste des "vecteurs d’attaque MITM globaux" est DNS ( Domain Name System ).

Bien que le serveur BIND d'ISDN de BSI ait résisté à l'épreuve du temps et soit resté relativement indemne (tout comme les offres DNS de Microsoft et de Cisco), quelques vulnérabilités remarquables ont été découvertes qui pourraient potentiellement compromettre tout le trafic utilisant des noms canonisés sur Internet (c'est-à-dire trafic).

Je ne me donnerai même pas la peine de parler des recherches de Dan Kaminsky sur l'attaque par empoisonnement par cache DNS, qui a été battu à mort ailleurs, mais s'est vu décerner le «bogue le plus surhypé de tous les temps» par Blackhat - Las Vegas. Cependant, il existe plusieurs autres bogues DNS qui ont gravement compromis la sécurité Internet.

Le bogue Dynamic Zone Zone plantait les serveurs DNS et risquait de compromettre à distance les machines et les caches DNS.

Le bogue Transaction Signatures permettait la compromission de la racine distante complète de tout serveur exécutant BIND au moment de l'annonce de la vulnérabilité, permettant bien évidemment de compromettre les entrées DNS.

Enfin , nous devons discuter ARP Poisoning , 802.11q retracing , STP-Trunk Détournement , injection d'informations de routage RIPv1 et la flopée d'attaques pourréseaux OSPF.

Ces attaques sont les "familiers" d'un administrateur réseau pour une entreprise indépendante (à juste titre, considérant qu'il peut s'agir des seules sur lesquelles ils ont le contrôle). Discuter des détails techniques de chacune de ces attaques est légèrement ennuyeux à ce stade, car tous ceux qui sont familiarisés avec la sécurité de base des informations ou TCP ont appris l’empoisonnement ARP. Les autres attaques sont probablement un visage familier pour de nombreux administrateurs de réseau ou aficionados de la sécurité des serveurs. Si cela vous concerne, il existe de nombreux très bons utilitaires de défense du réseau, allant des utilitaires gratuits et Open Source comme Snort aux logiciels d'entreprise de Cisco et HP.. Vous pouvez également, de nombreux livres d' information portent sur ces sujets, trop nombreux pour discuter, mais plusieurs ont trouvé I utiles dans la poursuite de la sécurité du réseau comprennent le Tao du réseau de surveillance de la sécurité , du réseau Architectures de sécurité , et le classique réseau Guerrier

En tout cas, je trouve quelque peu troublant que les gens supposent que ce type d’attaque nécessite un accès au niveau des FAI ou du gouvernement. Ils n'ont pas besoin de plus que la moyenne des connaissances en réseau de CCIE et des outils appropriés (HPING et Netcat, pas exactement des outils théoriques). Restez vigilant si vous voulez rester en sécurité.

Voici un scénario MITM qui me concerne:

Disons qu'il y a une grande convention dans un hôtel. ACME Anvils et Terrific TNT sont des concurrents majeurs dans l’industrie du danger des caricatures. Quelqu'un qui a un intérêt direct dans leurs produits, en particulier les nouveaux en développement, aimerait sérieusement avoir ses pattes sur leurs plans. Nous l'appellerons WC pour protéger sa vie privée.

Les WC arrivent tôt au Famous Hotel afin de lui donner un peu de temps pour s'installer. Il découvre que l'hôtel dispose de points d'accès wifi appelés FamousHotel-1 à FamousHotel-5. Alors il établit un point d'accès et l'appelle FamousHotel-6 pour qu'il se fond dans le paysage et le relie à l'un des autres points d'accès.

Maintenant, les congressistes commencent à s’enregistrer. Il se trouve que l’un des plus gros clients des deux sociétés, nous l’appellerons RR, s’enregistrera et obtiendra une chambre à proximité de WC. Il installe son ordinateur portable et commence à échanger des courriels avec ses fournisseurs.

WC rit capricieusement! "Mon plan sournois fonctionne!", S'exclame-t-il. BOOM! CRASH! Simultanément, il est touché par une enclume et un paquet de TNT. Il semble que les équipes de sécurité d'ACME Anvils, de Terrific TNT, de RR et de Famous Hotel travaillaient ensemble pour anticiper cette attaque.

Bip Bip!

Modifier:

Comment opportun ^* : Conseil de voyage: Méfiez-vous des «pots de miel» de l'aéroport wi-fi

^{* Eh bien, il était opportun que cela apparaisse dans mon flux RSS.}

Cela dépend entièrement de la situation. À quel point faites-vous confiance à votre FAI? Que savez-vous de la configuration de votre fournisseur d'accès? Et quelle est la sécurité de votre propre configuration?

La plupart des "attaques" comme celle-ci sont très probablement dues à des programmes malveillants de Troie qui interceptent des frappes au clavier et des mots de passe à partir de fichiers. Ça arrive tout le temps, juste que ça ne soit pas remarqué ou rapporté autant.

Et à quelle fréquence les informations sont-elles divulguées au niveau des fournisseurs de services Internet? Lorsque je travaillais pour un petit fournisseur de services Internet, nous revendions un autre niveau d'accès supérieur. Ainsi, une personne qui nous a appelé est entrée dans notre réseau et, si vous ne parliez pas à notre serveur Web ou à notre serveur de messagerie, le trafic était transféré à un fournisseur de niveau supérieur et nous ne savons absolument pas qui a fait quoi avec vos données sur leur réseau, ou à quel point leurs administrateurs étaient dignes de confiance.

Si vous voulez savoir combien de points une personne peut "potentiellement" voir votre trafic faire un traceroute et vous verrez autant de réponses à chaque point de routage. Cela suppose que les appareils masqués ne sont pas entre certains d'entre eux. Et que ces périphériques sont en réalité des routeurs et non quelque chose qui se fait passer pour des routeurs.

Le fait est que vous ne pouvez pas savoir quelle est la fréquence des attaques. Il n'y a pas de réglementation disant aux entreprises doivent divulguer les attaques découvertes, à moins que vos informations de crédit ne soient compromises. La plupart des entreprises ne le font pas parce que c'est embarrassant (ou trop de travail). Avec la quantité de malwares qui circulent, elle est probablement beaucoup plus répandue que vous ne le pensez, et même dans ce cas, la clé est d'avoir découvert l'attaque. Lorsque le logiciel malveillant fonctionne correctement, la plupart des utilisateurs ne savent pas quand cela se produit. Et le scénario réel de personne-qui-se-miffed-and-snoops-trafic-chez-un-fournisseur sont ceux que les entreprises ne signalent pas à moins qu'elles ne soient obligées.

Bien entendu, ils ignorent les scénarios dans lesquels les entreprises sont obligées de conserver des enregistrements de votre trafic et de les divulguer aux agences gouvernementales sans vous en informer. Si vous vous trouvez aux États-Unis, grâce au Patriot Act, les bibliothèques et les fournisseurs de services Internet peuvent être obligés d'enregistrer vos voyages de données, vos e-mails et votre historique de navigation sans vous dire qu'ils collectent des informations vous concernant.

En d’autres termes, il n’existe aucune donnée fiable sur la fréquence des attaques par MITM et les attaques d’interception, mais il existe des preuves suggérant qu’il est supérieur à ce qui serait confortable et que la plupart des utilisateurs ne s’intéressent pas suffisamment à ces informations.

La vraie question est "combien de mes ressources limitées devrais-je consacrer aux attaques MITM plutôt qu'ailleurs?"

Cela dépend beaucoup de la nature des communications impliquées et n’a pas de réponse unique. D'après mon expérience, il ne s'agit pas d'un risque important par rapport aux autres risques de sécurité, mais il s'agit généralement d'un risque bon marché à minimiser (par exemple: un certificat SSL et l'utilisation de HTTPS est souvent suffisant). Il est donc moins coûteux de le réparer que de passer un risque cela pourrait être.

Avez-vous un point d'accès sans fil à la maison? Un serveur proxy au travail?

L'un ou l'autre de ces points d'entrée / sortie peut être compromis sans un vaste complot gouvernement / ISP. Il est également possible que des composants d'une infrastructure de fournisseur de services Internet soient compromis.

Utilisez-vous un navigateur Web? C'est assez simple de configurer un navigateur pour diriger le trafic vers un homme au milieu. Certains logiciels malveillants de navigateur ont redirigé certaines transactions bancaires et de courtage à l'aide de cette méthode, en particulier pour les petites entreprises disposant de privilèges de virement bancaire.

La sécurité concerne la gestion des risques… La façon dont vous abordez un risque repose sur deux attributs de base: la probabilité d'occurrence et l'impact. La probabilité réelle que vous tombiez dans un grave accident de voiture est très faible, mais l'impact sur votre sécurité personnelle est également élevé. Vous devez donc boucler votre ceinture de sécurité et mettre votre bébé dans un siège d'auto.

Lorsque les gens deviennent paresseux et / ou bon marché, il en résulte souvent un désastre. Dans le golfe du Mexique, BP a ignoré toutes sortes de facteurs de risque, estimant avoir transféré le risque à des sous-traitants et estimé avoir foré suffisamment de puits sans incident. La probabilité d'un incident était donc très faible.

Les attaques MitM sont quasi exclusivement rencontrées sur le réseau local. Pour utiliser une connexion Internet, vous devez disposer d'un accès de niveau FAI ou gouvernemental. Il est très rare qu'une personne disposant de ce niveau de ressources s'attaque à vos données.

Une fois que quelqu'un entre dans votre réseau, alors vous avez de sérieux problèmes, mais en dehors de cela, vous allez probablement bien.

@Craig: Dans votre édition, vous avez des informations erronées. La mise en réseau sans fil n'est pas basée sur la diffusion. Les données transmises dans une session de communication sans fil (entre un client sans fil et un point d'accès sans fil) ne sont pas "diffusées" pour que tout le monde les entende. Le client sans fil s'associe à l'AP et une communication a lieu entre ledit client et l'AP. Si vous voulez dire que les données sont diffusées parce qu'elles sont encapsulées dans un signal radio "diffusé", alors oui, vous pouvez le détecter avec un équipement sans fil très spécifique (adaptateurs sans fil compatibles RMON) et des outils logiciels. Les clients sans fil qui ne sont pas associés au même AP ne disposent d'aucun mécanisme pour intercepter ou "entendre" le trafic sans fil, sauf avec l'équipement susmentionné. Les communications sans fil dans les réseaux TCP \ IP fonctionnent essentiellement de la même manière que pour les réseaux câblés, à l’exception des supports de transmission: ondes radio par opposition aux fils physiques. Si le trafic WiFi était diffusé pour que tout le monde puisse l'écouter, il n'aurait jamais quitté la table à dessin.

Cela étant dit, je pense que les réseaux sans fil posent un risque plus élevé d'attaques MITM car un accès physique n'est pas nécessaire pour accéder au réseau sans fil afin d'injecter un système non autorisé afin d'intercepter le trafic.