Serangan MITM - seberapa besar kemungkinannya?

35

Seberapa besar kemungkinan serangan "Man in the Middle" dalam keamanan internet?

Apa mesin yang sebenarnya, selain dari server ISP, akan menjadi "di tengah" komunikasi internet?

Apa risiko aktual yang terkait dengan serangan MITM, yang bertentangan dengan risiko teoretis?

EDIT: Saya tidak tertarik pada titik akses nirkabel dalam pertanyaan ini. Mereka perlu diamankan tentu saja tetapi ini jelas. Titik akses nirkabel unik karena komunikasi disiarkan untuk didengar oleh semua orang. Komunikasi internet kabel normal diarahkan ke tujuan mereka - hanya mesin di rute yang akan melihat lalu lintas.

CJ7
sumber
13
Risiko teoretis dan risiko nyata pada umumnya adalah hal yang sama ketika Anda berbicara tentang keamanan TI
Mark Henderson
3
Farseeker x2, ini teoretis hari ini, besok itu nyata. Itulah bedanya.
Chris S
1
@ Farseeker: perbedaannya adalah bahwa risiko teoritis melibatkan skenario yang mungkin sangat tidak mungkin terjadi di dunia nyata. Meskipun ada kemungkinan bahwa mesin di tengah dapat mendekripsi paket internet, orang harus bertanya: kapan akan ada mesin di tengah yang akan melakukan ini?
CJ7
1
@ Zephyr: Bahkan sejumlah kecil peretas yang berfokus pada sejumlah kecil target dapat melakukan kerusakan signifikan. Aku melihatmu Chi ... eh ... "Fred". Belum tentu angka yang membuat perbedaan, tetapi motivasi.
Dijeda sampai pemberitahuan lebih lanjut.
1
Lihat juga Apakah serangan "manusia di tengah" sangat jarang? pada Keamanan Informasi
Gilles 'SO berhenti makhluk jahat'

Jawaban:

43

Pertama, mari kita bicara Border Gateway Protocol . Internet terdiri dari ribuan titik akhir yang dikenal sebagai AS (Sistem Otonomi), dan merutekan data dengan protokol yang dikenal sebagai BGP (Border Gateway Protocol). Dalam beberapa tahun terakhir ukuran tabel perutean BGP telah meningkat secara eksponensial, menembus lebih dari 100.000 entri. Bahkan dengan perutean perangkat keras yang meningkat dalam daya, ia hampir tidak dapat mengimbangi ukuran tabel perutean BGP yang terus meluas.

Bagian rumit dalam skenario MITM kami adalah bahwa BGP secara implisit mempercayai rute yang diberikan oleh sistem otonom lain, yang berarti bahwa, dengan cukup spam dari AS, rute apa pun dapat mengarah ke sistem otonom apa pun. Ini adalah cara paling jelas untuk lalu lintas MITM, dan itu bukan hanya teoretis - Situs konvensi keamanan Defcon dialihkan ke situs web peneliti keamanan pada 2007 untuk mendemonstrasikan serangan itu. Youtube turun di beberapa negara Asia ketika Pakistan menyensor situs tersebut dan secara keliru menyatakan rute (mati) terbaik bagi beberapa AS di luar Pakistan.

Sejumlah kelompok akademik mengumpulkan informasi perutean BGP dari ASE yang bekerja sama untuk memantau pembaruan BGP yang mengubah jalur lalu lintas. Tetapi tanpa konteks, akan sulit untuk membedakan perubahan yang sah dari pembajakan yang jahat. Jalur lalu lintas berubah setiap saat untuk mengatasi bencana alam, merger perusahaan, dll.

Berikutnya untuk membahas daftar 'Global MITM attack vektor' adalah Domain Name System (DNS).

Meskipun server DNS Baik ISC, BIND telah bertahan dalam ujian waktu dan keluar relatif tanpa cedera (seperti halnya penawaran DNS Microsoft dan Cisco), beberapa kerentanan terkenal telah ditemukan yang berpotensi membahayakan semua lalu lintas menggunakan nama kanonik di internet (yaitu hampir semua lalu lintas).

Saya bahkan tidak akan repot-repot mendiskusikan penelitian Dan Kaminsky tentang serangan keracunan DNS cache, karena telah dipukuli sampai mati di tempat lain, hanya untuk diberikan 'bug yang paling sering dikalahkan' oleh Blackhat - Las Vegas. Namun, ada beberapa bug DNS lain yang sangat membahayakan keamanan internet.

Dynamic Update Zone Bug menabrak server DNS dan berpotensi untuk mengkompromikan mesin dan cache DNS dari jarak jauh.

Bug Tanda Tangan Transaksi memungkinkan kompromi root jarak jauh penuh dari server mana pun yang menjalankan BIND pada saat kerentanan diumumkan, jelas memungkinkan entri DNS dikompromikan.

Akhirnya , kita harus mendiskusikan ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , injeksi informasi routing RIPv1 dan pembunuhan serangan untuk jaringan OSPF.

Serangan-serangan ini adalah 'familier' bagi admin jaringan untuk perusahaan independen (memang seharusnya demikian, mengingat ini mungkin satu-satunya yang mereka kendalikan). Membahas perincian teknis dari masing-masing serangan ini sedikit membosankan pada tahap ini, karena setiap orang yang akrab dengan keamanan informasi dasar atau TCP telah mempelajari ARP Poisoning. Serangan lain mungkin merupakan wajah yang biasa bagi banyak admin jaringan atau penggemar keamanan server. Jika ini yang menjadi perhatian Anda, ada banyak utilitas pertahanan jaringan yang sangat baik yang ada, mulai dari utilitas Free dan Open Source seperti Snort hingga perangkat lunak tingkat perusahaan dari Cisco dan HP. Atau, banyak buku informatif membahas topik-topik ini, terlalu banyak untuk dibahas, tetapi beberapa yang saya temukan membantu dalam pengejaran keamanan jaringan termasuk The Tao of Network Security Monitoring , Network Security Architecture , dan Network Warrior klasik

Bagaimanapun, saya merasa agak mengganggu bahwa orang menganggap bahwa serangan semacam ini memerlukan akses tingkat ISP atau Pemerintah. Mereka membutuhkan tidak lebih dari rata-rata CCIE dalam pengetahuan jaringan dan alat yang sesuai (yaitu HPING dan Netcat, bukan alat teoretis). Tetap waspada jika Anda ingin tetap aman.

ŹV -
sumber
8
Tentu saja. Anda berpikir bahwa Anda akan pergi ke bank.example.com , dan sebagai gantinya Anda akan pergi ke beberapa situs lain yang mem-proxy atau menyamar sebagai tujuan yang Anda tuju. Jika Anda tidak berpikir itu adalah serangan MITM, Anda tidak mengerti apa itu MITM.
duffbeer703
1
Nah, Sejauh menyangkut DNS, semi-jelas Anda hanya bisa mengirim paket ke IP AKTUAL dari situs yang Anda coba jangkau. Dan dimungkinkan untuk melakukan hal-hal seperti dengan cepat beralih antara status terhubung dan aktif untuk BGP saat mengirim rute BGP NYATA. Atau, jika seperti sebagian besar internet, terdapat rute alternatif ke host Anda selain rute yang diracuni, Anda dapat menentukannya sebagai parameter perutean. Namun, Sangat menyenangkan bahwa Anda tertarik pada Craig ini, Keamanan cukup bidang, ketika Anda berpikir Anda memiliki sesuatu yang diurutkan, sesuatu yang lain muncul.
ŹV -
1
Untuk menjawab pertanyaan Anda yang lain tentang masalah DNS, saya pikir Anda mungkin kehilangan cara kerjanya. Penyerang tahu tujuan yang tepat dan bertindak sebagai proxy untuk Anda. Anda pikir Anda sedang berbicara dengan C, ketika kenyataannya arus lalu lintas A <-> B <-> C, bukan A <-> C yang Anda pikirkan. Informasi perutean ANDA terganggu. Penyerang memiliki data yang benar, atau menggunakan server DNS yang tidak dikompromikan.
Bart Silverstrim
2
@ Craig-Anda kehilangan fotonya. MITM melibatkan memasukkan agen antara target Anda dan tujuan mereka. Baik itu perutean atau DNS atau apa pun yang Anda inginkan; serangan ini tidak seperti film di mana Anda mengetuk tombol bertanda MITM dan memecahkan kode. Ini sarana untuk mencapai tujuan, dan merupakan bagian dari serangan campuran.
Bart Silverstrim
3
Dan saya menjawab pertanyaan Anda tentang paket sampai ke tujuan yang tepat. Sistem penyerang tahu rute yang tepat. Ia memberi tahu sistem Anda bahwa itu adalah situs yang "benar", lalu meneruskannya seperti proxy, mengirimkan permintaan Anda atas nama Anda, lalu membalas kembali. Itulah keseluruhan bagian "tengah". Mesin ANDA ditipu dan tidak tahu apa yang sedang terjadi. Ini seperti lelucon di mana sistem Anda dibiarkan tidak aktif.
Bart Silverstrim
14

Inilah satu skenario MITM yang menjadi perhatian saya:

Katakanlah ada konvensi besar di sebuah hotel. ACME Anvils dan Terrific TNT adalah pesaing utama dalam industri kartun bahaya. Seseorang dengan minat khusus pada produk mereka, terutama yang baru dalam pengembangan, akan sangat senang mendapatkan cakarnya pada rencana mereka. Kami akan memanggilnya WC untuk melindungi privasinya.

WC check in di Famous Hotel lebih awal untuk memberinya waktu untuk mengatur. Dia menemukan bahwa hotel ini memiliki titik akses wifi yang disebut FamousHotel-1 melalui FamousHotel-5. Jadi dia mengatur jalur akses dan menyebutnya FamousHotel-6 sehingga menyatu dengan lanskap dan menjembatani ke salah satu AP lainnya.

Sekarang, para konvensi mulai check-in. Kebetulan salah satu pelanggan terbesar kedua perusahaan, kami akan memanggilnya RR, check-in dan mendapat kamar di dekat WC. Dia menyiapkan laptopnya dan mulai bertukar email dengan pemasoknya.

WC terkekeh dengan gila! "Rencana licikku berhasil!", Serunya. LEDAKAN! JATUH! Secara bersamaan, dia ditabrak landasan dan bundel TNT. Tampaknya tim keamanan ACME Anvils, Terrific TNT, RR dan Famous Hotel bekerja bersama mengantisipasi serangan ini.

Bip bip!

Edit:

Bagaimana tepat waktu * : Tip perjalanan: Waspadai bandara dengan wi-fi "honeypots"

* Ya, sudah waktunya ia muncul di RSS feed saya.

Dijeda sampai pemberitahuan lebih lanjut.
sumber
OK, tapi bukankah nirkabel adalah permainan bola yang sepenuhnya berbeda? Mungkin saya seharusnya membatasi pertanyaan saya pada koneksi kabel.
CJ7
1
@Craig: Intinya sama. Kemungkinan besar seseorang berada di jaringan lokal Anda mendengarkan, nirkabel atau kabel. Menemukan MitM di Internet pada dasarnya tidak akan terjadi.
Chris S
5
+1 untuk Landasan ACME dan Terrific TNT
Fahad Sadah
@ Chris: Bagaimana seseorang akan berada di jaringan lokal saya jika tidak ada titik akses nirkabel? Malware di salah satu mesin? Jika demikian, bagaimana data akan dikirim dari jaringan ke peretas?
CJ7
2
@Craig: Anda memang benar, serangan MITM tidak ada. Jangan khawatir tentang itu, kami hanya sekelompok kutu buku paranoid bersembunyi dari NSA.
duffbeer703
5

Itu sepenuhnya tergantung pada situasi. Seberapa besar Anda mempercayai ISP Anda? Seberapa banyak yang Anda ketahui tentang konfigurasi ISP Anda? Dan seberapa aman pengaturan Anda sendiri?

Sebagian besar "serangan" seperti ini sekarang sangat mungkin terjadi dengan trojan malware mencegat penekanan tombol dan kata sandi dari file. Terjadi sepanjang waktu, hanya saja tidak diperhatikan atau dilaporkan begitu banyak.

Dan seberapa sering informasi bocor di dalam tingkat ISP? Ketika saya bekerja untuk ISP kecil, kami menjual kembali tingkat akses yang lebih tinggi. Jadi seseorang yang menghubungi kami masuk ke jaringan kami, dan jika Anda tidak berbicara dengan server web kami atau server surat, lalu lintas pergi ke penyedia tingkat yang lebih tinggi, dan kami tidak tahu siapa yang melakukan apa dengan data Anda di jaringan mereka, atau seberapa tepercaya admin mereka.

Jika Anda ingin tahu berapa banyak tempat yang "berpotensi" melihat lalu lintas Anda melakukan traceroute dan Anda akan melihat sebanyak apa yang akan merespon pada setiap titik rute. Itu dengan asumsi perangkat berjubah tidak di antara beberapa dari mereka. Dan masing-masing perangkat itu sebenarnya adalah router dan bukan sesuatu yang menyamar sebagai router.

Masalahnya adalah Anda tidak bisa tahu seberapa lazim serangan itu. Tidak ada peraturan yang mengatakan perusahaan harus mengungkapkan serangan yang ditemukan kecuali informasi kredit Anda dikompromikan. Sebagian besar perusahaan tidak melakukannya karena itu memalukan (atau terlalu banyak pekerjaan). Dengan jumlah malware yang mengambang di sana, itu mungkin jauh lebih lazim daripada yang Anda pikirkan, dan kuncinya adalah menemukan serangan itu. Ketika malware bekerja dengan benar, sebagian besar pengguna tidak akan tahu kapan itu terjadi. Dan skenario orang-yang-mendapat-jengkel-dan-mengintai-lalu-lalu-di-penyedia adalah mereka yang tidak dilaporkan oleh perusahaan kecuali mereka harus melaporkannya.

Tentu saja ini mengabaikan skenario di mana perusahaan dipaksa untuk menyimpan catatan lalu lintas Anda dan mengungkapkannya kepada lembaga pemerintah tanpa memberi tahu Anda. Jika Anda berada di AS, berkat Undang-Undang Patriot, perpustakaan dan ISP dapat dipaksa untuk merekam perjalanan data dan email serta riwayat penelusuran Anda tanpa memberi tahu Anda bahwa mereka mengumpulkan informasi tentang Anda.

Dengan kata lain, tidak ada data keras tentang seberapa umum MITM dan serangan intersepsi pada pengguna, tetapi ada bukti yang menyarankan itu lebih tinggi daripada nyaman, dan sebagian besar pengguna tidak cukup peduli untuk mendapatkan informasi itu.

Bart Silverstrim
sumber
3

Pertanyaan sebenarnya adalah "berapa banyak sumber daya terbatas saya yang harus saya curahkan untuk serangan MITM daripada di tempat lain?"

Ini tergantung banyak sifat komunikasi yang terlibat, dan tidak memiliki jawaban tunggal. Dalam pengalaman saya itu bukan risiko besar relatif terhadap risiko keamanan lainnya, tetapi biasanya risiko yang murah untuk meminimalkan (misalnya: sertifikat SSL dan menggunakan HTTPS sering kali cukup) sehingga lebih murah untuk memperbaiki daripada menghabiskan waktu mengevaluasi berapa banyak risiko bisa jadi.

DrStalker
sumber
https atau ssl tidak melindungi Anda dari MITM. Sederhananya saya bertindak sebagai agen pengguna ke target yang dituju, menerima sertifikat dan tidak meng-enkripsi, sementara saya hanya melakukan enkripsi ulang dengan sertifikat baru dengan asumsi saya dapat menemukan root yang bersedia ca.
YoYo
2

Apakah Anda memiliki titik akses nirkabel di rumah? Server proxy sedang bekerja?

Salah satu dari titik masuk / keluar dapat dikompromikan tanpa konspirasi pemerintah / ISP yang luas. Mungkin juga komponen infrastruktur ISP terganggu.

Apakah Anda menggunakan browser web? Cukup sepele untuk mengkonfigurasi browser untuk mengarahkan lalu lintas ke seorang pria di tengah. Ada malware browser yang merutekan kembali transaksi perbankan dan broker tertentu menggunakan metode ini, terutama untuk usaha kecil dengan hak istimewa kawat.

Keamanan adalah tentang manajemen risiko ... ada dua atribut dasar untuk pendekatan Anda dalam menghadapi risiko: probabilitas terjadinya dan dampak. Kemungkinan sebenarnya Anda mengalami kecelakaan mobil sangat rendah, tetapi pengaruhnya terhadap keselamatan pribadi Anda tinggi, sehingga Anda mengikat sabuk pengaman dan meletakkan bayi di kursi mobil.

Ketika orang menjadi malas dan / atau murah, bencana sering kali merupakan akibatnya. Di Teluk Meksiko, BP mengabaikan segala macam faktor risiko karena mereka percaya bahwa mereka mentransfer risiko ke kontraktor, dan memperkirakan bahwa mereka telah mengebor sumur yang cukup tanpa insiden, sehingga kemungkinan insiden sangat rendah.

duffbeer703
sumber
1
Seandainya saya bisa mengungguli ini> 1. Saya tidak punya masalah dengan orang yang mengambil risiko yang diperhitungkan dengan data mereka sendiri , tetapi mengabaikan hal-hal seperti MITM ketika data orang lain ada di telepon - baik itu pelanggan, pasien, atau apa pun - disesalkan (dan terlalu umum). Anda tidak dapat diharapkan mengantisipasi setiap vektor serangan atau skenario, tetapi pendekatan berlapis yang mendalam untuk mitigasi dan manajemen risiko sangat penting.
nedm
0

Serangan mitM cukup banyak ditemukan secara eksklusif di jaringan lokal. Menyadap koneksi di internet membutuhkan ISP atau akses tingkat pemerintah - dan sangat jarang ada orang dengan level sumber daya yang mencari data Anda.

Setelah seseorang masuk ke jaringan Anda, maka Anda punya masalah serius, tetapi di luar itu, Anda mungkin baik-baik saja.

Dentrasi
sumber
Tidak benar. Lihatlah pos zypher.
duffbeer703
@duffbeer: lihat komentar saya ke posting
Zephyr
MITM adalah segala sesuatu yang disisipkan di antara sumber dan tujuan. Ini bisa berupa jaringan lokal, atau di ISP, di mana saja di antaranya. Bagaimana Anda tahu bahwa seseorang di tujuan Anda atau di transportasi tidak menginginkan informasi Anda? Ada polisi yang menyalahgunakan informasi mereka untuk menguntit orang. Umum? Tidak. Tapi apakah Anda benar-benar tahu siapa yang telah atau belum menyalahgunakan kekuasaan mereka dan tidak pernah ditemukan?
Bart Silverstrim
0

@Craig: Dalam pengeditan, Anda memiliki informasi yang salah. Jaringan nirkabel tidak berbasis siaran. Data yang dikirim dalam sesi komunikasi nirkabel (antara klien nirkabel dan titik akses nirkabel) tidak "disiarkan" untuk didengar semua orang. Klien nirkabel mengaitkan dengan AP dan komunikasi terjadi antara klien tersebut dan AP. Jika Anda bermaksud bahwa data sedang disiarkan karena dienkapsulasi dalam sinyal radio yang "disiarkan", maka ya itu dapat diendus dengan peralatan nirkabel yang sangat spesifik (adaptor nirkabel yang mampu RMON) dan alat perangkat lunak. Klien nirkabel yang belum dikaitkan dengan AP yang sama tidak memiliki mekanisme untuk menyadap atau "mendengar" lalu lintas nirkabel kecuali dengan peralatan yang disebutkan di atas. Komunikasi nirkabel dalam jaringan TCP \ IP pada dasarnya berfungsi sama seperti untuk jaringan kabel kecuali untuk media transmisi: gelombang radio sebagai lawan kabel fisik. Jika lalu lintas WiFi disiarkan untuk semua orang untuk menguping itu tidak akan pernah meninggalkan papan gambar.

Yang sedang berkata, saya pikir bahwa jaringan nirkabel menimbulkan risiko lebih besar untuk serangan MITM karena akses fisik tidak diperlukan untuk mengakses jaringan nirkabel untuk "menyuntikkan" sistem jahat untuk mencegat lalu lintas.

joeqwerty
sumber
Anda mengatakan bahwa sinyal radio nirkabel disiarkan dan dapat disadap oleh peralatan. Bagaimana pertanyaan saya bertentangan dengan ini?
CJ7
Anda mengatakan bahwa lalu lintas nirkabel disiarkan untuk didengar oleh semua orang, yang secara teknis tidak benar. Sinyal radio disiarkan dalam arti bahwa itu berbasis gelombang radio, tetapi komunikasinya adalah point to point antara klien nirkabel dan AP nirkabel. Klien nirkabel tidak menyiarkan lalu lintas untuk didengar semua orang. Pernyataan bahwa lalu lintas disiarkan untuk didengar semua orang mungkin memberi kesan pada seseorang bahwa jaringan nirkabel berfungsi dengan cara yang tidak.
joeqwerty
Masalah siaran sehubungan dengan nirkabel 802.11 modern agak diperdebatkan bahwa lapisan transport dilindungi oleh beberapa bentuk enkripsi WPA dalam banyak kasus. Lalu lintas kabel Anda dilindungi oleh lokasi fisiknya dan kunci pada lemari kabel Anda. Di sebagian besar lingkungan tempat saya bekerja, jaringan klien di mana switch dan infrastruktur kabel mudah tersedia diperlakukan sebagai jaringan yang tidak terpercaya.
duffbeer703