Les attaques de MITM - quelle est leur probabilité?


35

Quelle est la probabilité des attaques de type "Homme du milieu" dans la sécurité Internet?

Quelles machines, à part les serveurs de FAI, vont être "au milieu" des communications Internet?

Quels sont les risques réels associés aux attaques MITM, par opposition aux risques théoriques?

EDIT: Cette question ne m'intéresse pas aux points d'accès sans fil. Ils doivent être sécurisés bien sûr, mais cela est évident. Les points d'accès sans fil sont uniques en ce que les communications sont diffusées pour que tout le monde entende. Les communications Internet câblées normales sont acheminées vers leur destination - seules les machines de l'itinéraire peuvent voir le trafic.


13
Les risques théoriques et les risques réels sont généralement la même chose lorsqu'il est question de sécurité informatique
Mark Henderson

3
Farseeker x2, c'est théorique aujourd'hui, demain c'est réel. C'est la différence.
Chris S

1
@Farseeker: la différence est que le risque théorique implique un scénario qui peut être hautement improbable dans le monde réel. S'il est possible qu'une machine du milieu puisse déchiffrer les paquets Internet, il faut se demander: quand y aura-t-il une machine au milieu qui ferait cela?
CJ7

1
@Zephyr: Même un petit nombre de pirates informatiques concentrés sur un petit nombre de cibles peut faire des dégâts importants. Je te regarde Chi ... euh ... "Fred". Ce ne sont pas nécessairement les chiffres qui font la différence, c'est la motivation.
pause jusqu'à nouvel ordre.

Réponses:


43

Commençons par le protocole Border Gateway . Internet est composé de milliers de points d'extrémité appelés AS (systèmes autonomes) et achemine les données avec un protocole appelé BGP (Border Gateway Protocol). Ces dernières années, la taille de la table de routage BGP a augmenté de façon exponentielle, dépassant largement les 100 000 entrées. Même avec l'augmentation de la puissance du matériel de routage, il est à peine capable de suivre le rythme de la taille sans cesse croissante de la table de routage BGP.

La partie délicate de notre scénario MITM est que BGP approuve implicitement les itinéraires fournis par d’autres systèmes autonomes, ce qui signifie qu’avec suffisamment de spams provenant d’un AS, tout itinéraire peut mener à tout système autonome. C’est le moyen le plus évident d’accéder au trafic MITM, et ce n’est pas que théorique: le site de la convention de sécurité Defcon a été redirigé vers le site Web d’un chercheur en sécurité en 2007 pour démontrer l’attaque. Youtube était en panne dans plusieurs pays asiatiques lorsque le Pakistan a censuré le site et déclaré à tort que sa propre voie (morte) était la meilleure pour plusieurs AS en dehors du Pakistan.

Une poignée de groupes académiques collectent des informations de routage BGP auprès d'AS coopérants pour surveiller les mises à jour BGP modifiant les chemins de trafic. Mais sans contexte, il peut être difficile de distinguer un changement légitime d'un détournement malveillant. Les voies de circulation changent constamment pour faire face aux catastrophes naturelles, aux fusions d’entreprises, etc.

Ensuite, la liste des "vecteurs d’attaque MITM globaux" est DNS ( Domain Name System ).

Bien que le serveur BIND d'ISDN de BSI ait résisté à l'épreuve du temps et soit resté relativement indemne (tout comme les offres DNS de Microsoft et de Cisco), quelques vulnérabilités remarquables ont été découvertes qui pourraient potentiellement compromettre tout le trafic utilisant des noms canonisés sur Internet (c'est-à-dire trafic).

Je ne me donnerai même pas la peine de parler des recherches de Dan Kaminsky sur l'attaque par empoisonnement par cache DNS, qui a été battu à mort ailleurs, mais s'est vu décerner le «bogue le plus surhypé de tous les temps» par Blackhat - Las Vegas. Cependant, il existe plusieurs autres bogues DNS qui ont gravement compromis la sécurité Internet.

Le bogue Dynamic Zone Zone plantait les serveurs DNS et risquait de compromettre à distance les machines et les caches DNS.

Le bogue Transaction Signatures permettait la compromission de la racine distante complète de tout serveur exécutant BIND au moment de l'annonce de la vulnérabilité, permettant bien évidemment de compromettre les entrées DNS.

Enfin , nous devons discuter ARP Poisoning , 802.11q retracing , STP-Trunk Détournement , injection d'informations de routage RIPv1 et la flopée d'attaques pourréseaux OSPF.

Ces attaques sont les "familiers" d'un administrateur réseau pour une entreprise indépendante (à juste titre, considérant qu'il peut s'agir des seules sur lesquelles ils ont le contrôle). Discuter des détails techniques de chacune de ces attaques est légèrement ennuyeux à ce stade, car tous ceux qui sont familiarisés avec la sécurité de base des informations ou TCP ont appris l’empoisonnement ARP. Les autres attaques sont probablement un visage familier pour de nombreux administrateurs de réseau ou aficionados de la sécurité des serveurs. Si cela vous concerne, il existe de nombreux très bons utilitaires de défense du réseau, allant des utilitaires gratuits et Open Source comme Snort aux logiciels d'entreprise de Cisco et HP.. Vous pouvez également, de nombreux livres d' information portent sur ces sujets, trop nombreux pour discuter, mais plusieurs ont trouvé I utiles dans la poursuite de la sécurité du réseau comprennent le Tao du réseau de surveillance de la sécurité , du réseau Architectures de sécurité , et le classique réseau Guerrier

En tout cas, je trouve quelque peu troublant que les gens supposent que ce type d’attaque nécessite un accès au niveau des FAI ou du gouvernement. Ils n'ont pas besoin de plus que la moyenne des connaissances en réseau de CCIE et des outils appropriés (HPING et Netcat, pas exactement des outils théoriques). Restez vigilant si vous voulez rester en sécurité.


8
Bien sûr que ça l'est. Vous pensez que vous allez sur bank.example.com et que vous allez plutôt sur un autre site qui utilise le proxy ou se fait passer pour une destination. Si vous pensez que ce n'est pas une attaque MITM, vous ne comprenez pas ce que c'est.
duffbeer703

1
En ce qui concerne DNS, vous pouvez également envoyer les paquets à l’adresse IP réelle du site que vous essayez d’atteindre. Et il est possible de faire des choses comme basculer rapidement entre les états connecté et actif pour BGP tout en envoyant les routes REAL BGP. Ou, si, comme sur la plupart des sites Internet, il existe un autre itinéraire pour votre hôte que celui que vous avez empoisonné, vous pouvez le spécifier en tant que paramètre de routage. Cependant, c’est formidable que vous soyez intéressé par ce Craig, la sécurité est tout à fait un domaine, quand vous pensez avoir réglé quelque chose, quelque chose d’autre apparaît.
AV -

1
Pour répondre à votre autre question sur les problèmes de DNS, je pense que vous pourriez manquer le fonctionnement des étapes. L’attaquant connaît la destination appropriée et agit en tant que proxy pour vous. Vous pensez que vous parlez à C, alors qu'en réalité, les flux de trafic A <-> B <-> C ne sont pas les A <-> C que vous croyez. VOS informations de routage sont compromises. L'attaquant dispose des données correctes ou utilise un serveur DNS non compromis.
Bart Silverstrim

2
@ Craig-Vous manquez la photo. MITM implique l'insertion d'un agent entre votre cible et leur destination. Qu'il s'agisse de routage ou de DNS ou de ce que vous voulez; Ces attaques ne ressemblent pas à des films dans lesquels vous appuyez sur un bouton marqué MITM et déchiffrez le code. C'est un moyen d'atteindre un but et fait partie d'une attaque combinée.
Bart Silverstrim

3
Et j'ai répondu à votre question sur le fait que les paquets arrivent à la bonne destination. Le système attaquant connaît le bon chemin. Il indique à votre système qu'il s'agit du site "correct", puis les transfère comme un proxy, envoie vos demandes en votre nom, puis répond en retour. C'est l'ensemble "au milieu". VOTRE machine est dupée et ne sait pas ce qui se passe. C'est comme une blague en dedans que votre système est laissé en dehors de la boucle.
Bart Silverstrim

14

Voici un scénario MITM qui me concerne:

Disons qu'il y a une grande convention dans un hôtel. ACME Anvils et Terrific TNT sont des concurrents majeurs dans l’industrie du danger des caricatures. Quelqu'un qui a un intérêt direct dans leurs produits, en particulier les nouveaux en développement, aimerait sérieusement avoir ses pattes sur leurs plans. Nous l'appellerons WC pour protéger sa vie privée.

Les WC arrivent tôt au Famous Hotel afin de lui donner un peu de temps pour s'installer. Il découvre que l'hôtel dispose de points d'accès wifi appelés FamousHotel-1 à FamousHotel-5. Alors il établit un point d'accès et l'appelle FamousHotel-6 pour qu'il se fond dans le paysage et le relie à l'un des autres points d'accès.

Maintenant, les congressistes commencent à s’enregistrer. Il se trouve que l’un des plus gros clients des deux sociétés, nous l’appellerons RR, s’enregistrera et obtiendra une chambre à proximité de WC. Il installe son ordinateur portable et commence à échanger des courriels avec ses fournisseurs.

WC rit capricieusement! "Mon plan sournois fonctionne!", S'exclame-t-il. BOOM! CRASH! Simultanément, il est touché par une enclume et un paquet de TNT. Il semble que les équipes de sécurité d'ACME Anvils, de Terrific TNT, de RR et de Famous Hotel travaillaient ensemble pour anticiper cette attaque.

Bip Bip!

Modifier:

Comment opportun * : Conseil de voyage: Méfiez-vous des «pots de miel» de l'aéroport wi-fi

* Eh bien, il était opportun que cela apparaisse dans mon flux RSS.


OK, mais la technologie sans fil n’est-elle pas un tout autre jeu de balle? J'aurais peut-être dû limiter ma question aux connexions filaires.
CJ7

1
@Craig: Le point est le même. Il est fort probable que quelqu'un soit sur votre réseau local en écoute, sans fil ou câblé. La recherche d'un MitM sur Internet ne se produira pas.
Chris S

5
+1 pour ACME Anvils et Terrific TNT
Fahad Sadah

@Chris: Comment quelqu'un va-t-il être sur mon réseau local s'il n'y a pas de point d'accès sans fil? Malware sur l'une des machines? Si tel est le cas, comment les données vont-elles être envoyées hors du réseau au pirate informatique?
CJ7

2
@Craig: Vous avez absolument raison, les attaques MITM n'existent pas. Ne vous inquiétez pas pour ça, nous sommes juste une bande de nerds paranoïaques cachés de la NSA.
duffbeer703

5

Cela dépend entièrement de la situation. À quel point faites-vous confiance à votre FAI? Que savez-vous de la configuration de votre fournisseur d'accès? Et quelle est la sécurité de votre propre configuration?

La plupart des "attaques" comme celle-ci sont très probablement dues à des programmes malveillants de Troie qui interceptent des frappes au clavier et des mots de passe à partir de fichiers. Ça arrive tout le temps, juste que ça ne soit pas remarqué ou rapporté autant.

Et à quelle fréquence les informations sont-elles divulguées au niveau des fournisseurs de services Internet? Lorsque je travaillais pour un petit fournisseur de services Internet, nous revendions un autre niveau d'accès supérieur. Ainsi, une personne qui nous a appelé est entrée dans notre réseau et, si vous ne parliez pas à notre serveur Web ou à notre serveur de messagerie, le trafic était transféré à un fournisseur de niveau supérieur et nous ne savons absolument pas qui a fait quoi avec vos données sur leur réseau, ou à quel point leurs administrateurs étaient dignes de confiance.

Si vous voulez savoir combien de points une personne peut "potentiellement" voir votre trafic faire un traceroute et vous verrez autant de réponses à chaque point de routage. Cela suppose que les appareils masqués ne sont pas entre certains d'entre eux. Et que ces périphériques sont en réalité des routeurs et non quelque chose qui se fait passer pour des routeurs.

Le fait est que vous ne pouvez pas savoir quelle est la fréquence des attaques. Il n'y a pas de réglementation disant aux entreprises doivent divulguer les attaques découvertes, à moins que vos informations de crédit ne soient compromises. La plupart des entreprises ne le font pas parce que c'est embarrassant (ou trop de travail). Avec la quantité de malwares qui circulent, elle est probablement beaucoup plus répandue que vous ne le pensez, et même dans ce cas, la clé est d'avoir découvert l'attaque. Lorsque le logiciel malveillant fonctionne correctement, la plupart des utilisateurs ne savent pas quand cela se produit. Et le scénario réel de personne-qui-se-miffed-and-snoops-trafic-chez-un-fournisseur sont ceux que les entreprises ne signalent pas à moins qu'elles ne soient obligées.

Bien entendu, ils ignorent les scénarios dans lesquels les entreprises sont obligées de conserver des enregistrements de votre trafic et de les divulguer aux agences gouvernementales sans vous en informer. Si vous vous trouvez aux États-Unis, grâce au Patriot Act, les bibliothèques et les fournisseurs de services Internet peuvent être obligés d'enregistrer vos voyages de données, vos e-mails et votre historique de navigation sans vous dire qu'ils collectent des informations vous concernant.

En d’autres termes, il n’existe aucune donnée fiable sur la fréquence des attaques par MITM et les attaques d’interception, mais il existe des preuves suggérant qu’il est supérieur à ce qui serait confortable et que la plupart des utilisateurs ne s’intéressent pas suffisamment à ces informations.


3

La vraie question est "combien de mes ressources limitées devrais-je consacrer aux attaques MITM plutôt qu'ailleurs?"

Cela dépend beaucoup de la nature des communications impliquées et n’a pas de réponse unique. D'après mon expérience, il ne s'agit pas d'un risque important par rapport aux autres risques de sécurité, mais il s'agit généralement d'un risque bon marché à minimiser (par exemple: un certificat SSL et l'utilisation de HTTPS est souvent suffisant). Il est donc moins coûteux de le réparer que de passer un risque cela pourrait être.


https ou ssl ne vous protège pas contre MITM. J'agis simplement en tant qu'agent utilisateur pour la cible visée, recevant le certificat et le déchiffrement, tandis que je le rechiffre simplement avec un nouveau certificat en supposant que je puisse trouver une racine volontaire.
YoYo

2

Avez-vous un point d'accès sans fil à la maison? Un serveur proxy au travail?

L'un ou l'autre de ces points d'entrée / sortie peut être compromis sans un vaste complot gouvernement / ISP. Il est également possible que des composants d'une infrastructure de fournisseur de services Internet soient compromis.

Utilisez-vous un navigateur Web? C'est assez simple de configurer un navigateur pour diriger le trafic vers un homme au milieu. Certains logiciels malveillants de navigateur ont redirigé certaines transactions bancaires et de courtage à l'aide de cette méthode, en particulier pour les petites entreprises disposant de privilèges de virement bancaire.

La sécurité concerne la gestion des risques… La façon dont vous abordez un risque repose sur deux attributs de base: la probabilité d'occurrence et l'impact. La probabilité réelle que vous tombiez dans un grave accident de voiture est très faible, mais l'impact sur votre sécurité personnelle est également élevé. Vous devez donc boucler votre ceinture de sécurité et mettre votre bébé dans un siège d'auto.

Lorsque les gens deviennent paresseux et / ou bon marché, il en résulte souvent un désastre. Dans le golfe du Mexique, BP a ignoré toutes sortes de facteurs de risque, estimant avoir transféré le risque à des sous-traitants et estimé avoir foré suffisamment de puits sans incident. La probabilité d'un incident était donc très faible.


1
Je souhaiterais pouvoir upvoter ceci> 1. Je n'ai aucun problème avec les personnes prenant ce type de risques calculés avec leurs propres données, mais en négligeant des choses comme MITM lorsque les données d' autres personnes sont en ligne - que ce soit des clients, des patients ou autre - est lamentable (et beaucoup trop commun). Vous ne pouvez pas vous attendre à anticiper tous les vecteurs d'attaque ou scénarios, mais une approche de défense en profondeur, en couches, de l'atténuation et de la gestion des risques est essentielle.
Nedm

0

Les attaques MitM sont quasi exclusivement rencontrées sur le réseau local. Pour utiliser une connexion Internet, vous devez disposer d'un accès de niveau FAI ou gouvernemental. Il est très rare qu'une personne disposant de ce niveau de ressources s'attaque à vos données.

Une fois que quelqu'un entre dans votre réseau, alors vous avez de sérieux problèmes, mais en dehors de cela, vous allez probablement bien.


Pas vrai. Regardez le post de zypher.
duffbeer703

@duffbeer: voir mes commentaires sur le post de
zephyr

MITM est tout ce qui est inséré entre la source et la destination. Il peut s’agir d’un réseau local ou du fournisseur d’accès. Comment savez-vous qu'une personne à votre destination ou au transporteur ne veut pas de vos informations? Il y a des policiers qui ont abusé de leurs informations pour traquer les gens. Commun? Non. Mais savez-vous vraiment qui a ou n’a pas abusé de son pouvoir et qui n’a jamais été découvert?
Bart Silverstrim

0

@Craig: Dans votre édition, vous avez des informations erronées. La mise en réseau sans fil n'est pas basée sur la diffusion. Les données transmises dans une session de communication sans fil (entre un client sans fil et un point d'accès sans fil) ne sont pas "diffusées" pour que tout le monde les entende. Le client sans fil s'associe à l'AP et une communication a lieu entre ledit client et l'AP. Si vous voulez dire que les données sont diffusées parce qu'elles sont encapsulées dans un signal radio "diffusé", alors oui, vous pouvez le détecter avec un équipement sans fil très spécifique (adaptateurs sans fil compatibles RMON) et des outils logiciels. Les clients sans fil qui ne sont pas associés au même AP ne disposent d'aucun mécanisme pour intercepter ou "entendre" le trafic sans fil, sauf avec l'équipement susmentionné. Les communications sans fil dans les réseaux TCP \ IP fonctionnent essentiellement de la même manière que pour les réseaux câblés, à l’exception des supports de transmission: ondes radio par opposition aux fils physiques. Si le trafic WiFi était diffusé pour que tout le monde puisse l'écouter, il n'aurait jamais quitté la table à dessin.

Cela étant dit, je pense que les réseaux sans fil posent un risque plus élevé d'attaques MITM car un accès physique n'est pas nécessaire pour accéder au réseau sans fil afin d'injecter un système non autorisé afin d'intercepter le trafic.


vous avez dit que les signaux radio sans fil sont diffusés et peuvent être interceptés par l'équipement. Comment ma question contredit-elle cela?
CJ7

Vous avez dit que le trafic sans fil était diffusé pour que tout le monde l'entende, ce qui n'est pas techniquement correct. Le signal radio est diffusé dans le sens où il est basé sur les ondes radio, mais la communication est point à point entre le client sans fil et le point d'accès sans fil. Le client sans fil ne diffuse pas son trafic pour que tous puissent l'entendre. L'affirmation selon laquelle le trafic est diffusé pour que tous puissent l'entendre peut donner à quelqu'un l'impression que les réseaux sans fil fonctionnent d'une manière qui ne fonctionne pas.
joeqwerty

Le problème de diffusion concernant le sans fil 802.11 moderne est quelque peu discutable en ce sens que la couche de transport est protégée par une forme de cryptage WPA dans la plupart des cas. Votre trafic filaire est protégé par son emplacement physique et le verrou de votre armoire de câblage. Dans la plupart des environnements dans lesquels j'ai travaillé, les réseaux clients où une infrastructure de commutation et de câblage sont facilement disponibles sont traités comme des réseaux non fiables.
duffbeer703
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.