MITM ataques - qual a probabilidade deles serem?

Primeiro, vamos falar Border Gateway Protocol . A Internet é composta de milhares de terminais conhecidos como ASes (Sistemas Autônomos), e eles encaminham dados com um protocolo conhecido como BGP (Border Gateway Protocol). Nos últimos anos, o tamanho da tabela de roteamento BGP aumentou exponencialmente em tamanho, superando bem mais de 100.000 entradas. Mesmo com o aumento do poder de hardware de roteamento, ele mal consegue manter o ritmo com o tamanho cada vez maior da tabela de roteamento do BGP.

A parte complicada em nosso cenário MITM é que o BGP confia implicitamente nas rotas que outros sistemas autônomos fornecem, o que significa que, com spam suficiente de um AS, qualquer rota pode levar a qualquer sistema autônomo. É o caminho mais óbvio para o tráfego MITM, e não é apenas teórico - o site da convenção de segurança da Defcon foi redirecionado para o site de um pesquisador de segurança em 2007 para demonstrar o ataque. O Youtube caiu em vários países asiáticos quando o Paquistão censurou o site e erroneamente declarou sua própria rota (morta) como a melhor para vários ASs fora do Paquistão.

Um punhado de grupos acadêmicos coletam BGP informações de roteamento de cooperar ASes para monitorar as atualizações de BGP que alteram os caminhos de tráfego. Mas sem contexto, pode ser difícil distinguir uma mudança legítima de um seqüestro malicioso. Caminhos de tráfego mudam o tempo todo para lidar com desastres naturais, fusões de empresas, etc.

Próximo para discutir sobre a lista 'Vetores de ataque do MITM Global' está Sistema de Nomes de Domínio (DNS).

Embora o servidor de DNS do ISC BIND tenha resistido ao teste do tempo e sair relativamente ileso (assim como a Microsoft e a Cisco Ofertas de DNS), foram encontradas algumas vulnerabilidades notáveis que poderiam colocar em risco todo o tráfego usando nomes canonizados na Internet (ou seja, praticamente todo o tráfego).

Eu nem vou me incomodar em discutir a pesquisa de Dan Kaminsky sobre o ataque de envenenamento de cache do DNS, como tem sido espancado até a morte em outro lugar, apenas para ser premiado com o 'erro mais exagerado de todos os tempos' da Blackhat - Las Vegas. No entanto, existem vários outros bugs de DNS que comprometeram severamente a segurança da Internet.

O Bug de Assinaturas de Transações permitido para o comprometimento total da raiz remota de qualquer servidor que executa o BIND no momento em que a vulnerabilidade foi anunciado, obviamente permitindo que as entradas de DNS sejam comprometidas.

Finalmente , devemos discutir ARP Poisoning , 802.11q Refazendo , STP-Trunk Hijacking , injeção de informação de roteamento RIPv1 e a enorme quantidade de ataques para redes OSPF.

Esses ataques são os 'familiares' de um administrador de rede para uma empresa independente (com razão, considerando que esses podem ser os únicos que controlam). Discutir os detalhes técnicos de cada um desses ataques é um pouco entediante neste estágio, já que todos que estão familiarizados com a segurança básica da informação ou o TCP aprenderam o ARP Poisoning. Os outros ataques são provavelmente um rosto familiar para muitos administradores de rede ou aficionados por segurança de servidores. Se estas são sua preocupação, existem muitos utilitários de defesa de rede muito bons que existem, desde utilitários gratuitos e de código aberto, como Snort até o software de nível corporativo de Cisco e HP . Alternativamente, muitos livros informativos cobrem esses tópicos, muito numerosos para serem discutidos, mas vários que achei úteis na busca pela segurança da rede incluem O Tao do Network Security Monitoring , Arquiteturas de segurança de rede e o clássico Network Warrior

De qualquer forma, acho um pouco preocupante que as pessoas assumam que esse tipo de ataque requer acesso ao nível do provedor ou do governo. Eles não exigem mais que o CCIE médio em conhecimento de rede e as ferramentas apropriadas (ou seja, HPING e Netcat, não exatamente ferramentas teóricas). Fique atento se você quiser ficar seguro.

Aqui está um cenário do MITM que me preocupa:

Digamos que haja uma grande convenção em um hotel. A ACME Anvils e a Terrific TNT são grandes concorrentes na indústria de perigo de cartum. Alguém com interesse em seus produtos, especialmente os novos em desenvolvimento, adoraria seriamente colocar suas patas em seus planos. Vamos chamá-lo de banheiro para proteger sua privacidade.

O banheiro entra cedo no Hotel Famoso para dar a ele tempo para se preparar. Ele descobre que o hotel tem pontos de acesso wi-fi chamado FamousHotel-1 através do FamousHotel-5. Então, ele configura um ponto de acesso e o chama de FamousHotel-6, de modo que se integra à paisagem e o liga a um dos outros pontos de acesso.

Agora, os participantes da convenção começam a fazer o check-in. Acontece que um dos maiores clientes de ambas as empresas, nós o chamamos de RR, faz o check-in e recebe um quarto perto do WC's. Ele configura seu laptop e começa a trocar e-mails com seus fornecedores.

WC está gargalhando maniacamente! "Meu plano desonesto está funcionando!", Ele exclama. ESTRONDO! BATIDA! Simultaneamente, ele é atingido por uma bigorna e um pacote de TNT. Parece que as equipes de segurança da ACME Anvils, da Terrific TNT, da RR e da Famous Hotel estavam trabalhando juntas, antecipando esse mesmo ataque.

Bipe sonoro!

Editar:

Qual a oportuna ^* : Dica de viagem: Cuidado com o aeroporto wi-fi "honeypots"

^{* Bem, foi oportuno que ele aparecesse no meu feed RSS.}

É totalmente dependente da situação. Quanto você confia no seu ISP? Quanto você sabe sobre a configuração do seu provedor? E quão segura é a sua própria configuração?

A maioria dos "ataques" como este agora são muito prováveis com o malware trojan que intercepta as teclas digitadas e as senhas dos arquivos. Acontece o tempo todo, só que não é notado ou reportado tanto.

E com que frequência as informações vazam dentro do nível do provedor? Quando trabalhei para um pequeno ISP, estávamos revendendo outro nível mais alto de acesso. Assim, uma pessoa que discou para nós entrou em nossa rede e, se você não estava falando com nosso servidor Web ou servidor de e-mail, o tráfego foi para um provedor de nível superior e não temos ideia de quem fez com seus dados em sua rede ou quão confiáveis eram seus administradores.

Se você quiser saber quantos pontos alguém pode "potencialmente" ver seu tráfego fazer um traceroute e você verá o quanto ele responderá em cada ponto de roteamento. Isso está supondo que os dispositivos encobertos não estão entre alguns deles. E que esses dispositivos são, na verdade, roteadores e não algo disfarçado de roteadores.

A coisa é que você não pode saber quão prevalentes são os ataques. Não existem regulamentos dizendo que as empresas têm para divulgar ataques que são descobertos, a menos que suas informações de crédito sejam comprometidas. A maioria das empresas não faz isso porque é embaraçoso (ou muito trabalho). Com a quantidade de malware flutuando por aí, provavelmente é muito mais prevalente do que você imagina, e mesmo assim a chave é ter descoberto o ataque. Quando o malware funciona corretamente, a maioria dos usuários não sabe quando isso acontece. E o cenário de pessoa-que-fica-irritada-e-bisbilhota-tráfego-em-provedor são aqueles que as empresas não reportam a menos que precisem.

É claro que eles ignoram os cenários em que as empresas são compelidas a manter registros de seu tráfego e divulgá-los a agências governamentais sem avisar você. Se você estiver nos EUA, graças ao Patriot Act, as bibliotecas e os ISPs podem ser obrigados a registrar suas viagens de dados, e-mails e histórico de navegação sem avisar que estão coletando informações sobre você.

A verdadeira questão é "quanto dos meus recursos limitados devo dedicar a ataques MITM em vez de outros lugares?"

Isso depende muito da natureza das comunicações envolvidas e não tem uma resposta única. Na minha experiência, não é um grande risco em relação a outros riscos de segurança, mas geralmente é um barato minimizar (por exemplo: um certificado SSL e usar HTTPS é suficiente) por isso é mais barato consertar do que gastar o tempo avaliando quanto de um risco que poderia ser.

Você tem um ponto de acesso sem fio em casa? Um servidor proxy no trabalho?

Qualquer um desses pontos de entrada / saída pode ser comprometido sem uma vasta conspiração de governo / isp. Também é possível que os componentes de uma infraestrutura de ISPs sejam comprometidos.

Você usa um navegador da web? É bem trivial configurar um navegador para direcionar o tráfego para um homem no meio. Houve malware de navegador que redirecionou determinadas transações bancárias e de corretagem usando esse método, especialmente para pequenas empresas com privilégios de transferência.

Segurança é sobre gerenciamento de riscos ... há dois atributos básicos de como você aborda o risco: probabilidade de ocorrência e impacto. A probabilidade real de você entrar em um grave acidente de carro é muito baixa, mas o impacto na sua segurança pessoal é alto, então você aperta o cinto de segurança e coloca seu bebê em uma cadeirinha.

Quando as pessoas ficam preguiçosas e / ou baratas, muitas vezes o desastre é o resultado. No Golfo do México, a BP ignorou todos os tipos de fatores de risco porque acreditava que eles transferiam risco para os empreiteiros, e imaginou que eles haviam perfurado poços suficientes sem incidentes, então a probabilidade de um incidente era muito baixa.

Os ataques de MitM são encontrados com muita exclusividade na rede local. Conectar-se a uma conexão pela Internet requer acesso a nível do provedor ou do governo - e é muito raro que qualquer pessoa com esse nível de recursos vá atrás de seus dados.

Uma vez que alguém entra na sua rede, você tem sérios problemas, mas fora isso, você provavelmente está bem.

@Craig: Na sua edição você tem algumas informações erradas. A rede sem fio não é baseada em transmissão. Os dados transmitidos em uma sessão de comunicação sem fio (entre o cliente sem fio e o ponto de acesso sem fio) não são "transmitidos" para todos ouvirem. O cliente sem fio se associa ao AP e a comunicação ocorre entre o dito cliente e o AP. Se você quis dizer que os dados estão sendo transmitidos porque estão encapsulados em um sinal de rádio que é "transmitido", então sim, ele pode ser detectado com equipamentos sem fio muito específicos (adaptadores sem fio compatíveis com RMON) e ferramentas de software. Os clientes sem fio que não se associaram ao mesmo AP não têm nenhum mecanismo para interceptar ou "ouvir" o tráfego sem fio, exceto com o equipamento mencionado anteriormente. As comunicações sem fio em redes TCP \ IP funcionam essencialmente da mesma maneira que para redes com fio, exceto para as mídias de transmissão: ondas de rádio em oposição a fios físicos. Se o tráfego WiFi fosse transmitido para todos escutarem, nunca teria saído do papel.