Angriffsprinzip

Der Angriff beginnt normalerweise mit dem Abhören des Kommunikationskanals und endet damit, dass der Kryptoanalytiker versucht, die abgefangene Nachricht zu ersetzen und zu extrahieren nützliche Informationen, leiten Sie es an eine externe Ressource weiter.

Angenommen, Objekt A plant, einige Informationen an Objekt B zu übertragen. Objekt C verfügt über Kenntnisse über den Aufbau und die Eigenschaften des verwendeten Datenübertragungsverfahrens sowie über die Tatsache der geplanten Übermittlung der tatsächlichen Informationen, die C abzufangen beabsichtigt. Um einen Angriff durchzuführen, „erscheint“ C gegenüber Objekt A als B und gegenüber Objekt B als A. Objekt A, das fälschlicherweise glaubt, dass es Informationen an B sendet, sendet diese an Objekt C. Objekt C, nachdem es die Informationen erhalten hat, und führt damit einige Aktionen aus (z. B. Kopieren oder Ändern für eigene Zwecke) leitet die Daten an den Empfänger selbst weiter - B; Objekt B wiederum glaubt, dass die Informationen direkt von A erhalten wurden.

Beispielangriff

Einschleusung von Schadcode

Ein Man-in-the-Middle-Angriff ermöglicht es einem Kryptoanalytiker, seinen Code einzufügen E-Mails, SQL-Anweisungen und Webseiten (d. h. ermöglicht SQL-Injection, HTML/Script-Injection oder XSS-Angriffe) und modifizieren sogar vom Benutzer hochgeladene Binärdateien, um Zugriff darauf zu erhalten Konto Benutzer oder ändern Sie das Verhalten eines Programms, das der Benutzer aus dem Internet heruntergeladen hat.

Downgrade-Angriff

Der Begriff „Downgrade-Angriff“ bezieht sich auf einen Angriff, bei dem ein Kryptoanalytiker den Benutzer dazu zwingt, weniger sichere Funktionen zu verwenden, Protokolle, die aus Kompatibilitätsgründen weiterhin unterstützt werden. Diese Art von Angriff kann auf die Protokolle SSH, IPsec und PPTP ausgeführt werden.

SSH V1 statt SSH V2

Ein Angreifer könnte versuchen, die Verbindungsparameter zwischen dem Server und dem Client zu ändern, wenn eine Verbindung zwischen ihnen hergestellt wird. Laut einem Vortrag auf der Blackhat Conference Europe 2003 kann ein Kryptoanalytiker einen Client „zwingen“, eine SSH1-Sitzung anstelle von SSH2 zu starten, indem er die Versionsnummer „1.99“ für die SSH-Sitzung in „1.51“ ändert, was die Verwendung von SSH V1 bedeutet . Das SSH-1-Protokoll weist Schwachstellen auf, die von einem Kryptoanalytiker ausgenutzt werden können.

IPsec

In diesem Angriffsszenario täuscht der Kryptoanalytiker sein Opfer vor, dass die IPsec-Sitzung am anderen Ende (Server) nicht beginnen kann. Dies führt dazu, dass Nachrichten explizit weitergeleitet werden, wenn der Host-Rechner im Rollback-Modus läuft.

PPTP

In der Phase der Aushandlung der PPTP-Sitzungsparameter kann der Angreifer das Opfer dazu zwingen, die weniger sichere PAP-Authentifizierung, MSCHAP V1 (d. h. „Rollback“ von MSCHAP V2 auf Version 1) zu verwenden oder überhaupt keine Verschlüsselung zu verwenden.

Ein Angreifer kann sein Opfer dazu zwingen, die Phase der Aushandlung der PPTP-Sitzungsparameter zu wiederholen (ein Terminate-Ack-Paket senden), das Passwort aus einem bestehenden Tunnel zu stehlen und den Angriff zu wiederholen.

Hilft Verschlüsselung?

Betrachten wir den Fall einer Standard-HTTP-Transaktion. In diesem Fall kann ein Angreifer ganz einfach die ursprüngliche TCP-Verbindung in zwei neue aufteilen: eine zwischen ihm und dem Client, die andere zwischen ihm und dem Server. Dies ist recht einfach zu bewerkstelligen, da die Verbindung zwischen Client und Server sehr selten direkt ist und in den meisten Fällen über mehrere Zwischenserver verbunden ist. Auf jedem dieser Server kann ein MITM-Angriff durchgeführt werden.

Wenn Client und Server jedoch über HTTPS kommunizieren, ein Protokoll, das Verschlüsselung unterstützt, kann auch ein Man-in-the-Middle-Angriff durchgeführt werden. Diese Art von Verbindung verwendet TLS oder SSL zur Verschlüsselung von Anfragen, was den Kanal scheinbar vor Sniffing und MITM-Angriffen schützt. Ein Angreifer kann für jede TCP-Verbindung zwei unabhängige SSL-Sitzungen erstellen. Der Client baut eine SSL-Verbindung mit dem Angreifer auf, der wiederum eine Verbindung mit dem Server herstellt. In solchen Fällen warnt der Browser normalerweise, dass das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert ist, aber der durchschnittliche Benutzer ignoriert diese Warnung leicht. Darüber hinaus verfügt der Angreifer möglicherweise über ein von einer Zertifizierungsstelle signiertes Zertifikat. Daher kann das HTTPS-Protokoll nicht als sicher gegen MITM-Angriffe angesehen werden.

MITM-Angriffserkennung

Um einen Man-in-the-Middle-Angriff zu erkennen, ist eine Analyse erforderlich Netzwerktraffic. Um beispielsweise einen SSL-Angriff zu erkennen, sollten Sie auf folgende Parameter achten:

• Server IP Adresse
• DNS Server
• X.509 – Serverzertifikat
  • Ist das Zertifikat selbstsigniert?
  • Ist das Zertifikat signiert?
  • Wurde das Zertifikat widerrufen?
  • Hat sich das Zertifikat kürzlich geändert?
  • Haben andere Clients im Internet das gleiche Zertifikat erhalten?

MITM-Angriffsimplementierungen

Mit den aufgeführten Programmen können Man-in-the-Middle-Angriffe durchgeführt, erkannt und das System auf Schwachstellen getestet werden.

Beispiel in der Literatur

Ein klares literarisches Beispiel ist „Das Märchen vom Zaren Saltan“ von A. S. Puschkin, wo drei „Menschen in der Mitte“ auftauchen: ein Weber, ein Koch und Babarikha. Sie ersetzen an den Zaren gerichtete Briefe und seine Antwortkorrespondenz.

siehe auch

• Aspidistra (Englisch) – Britischer Funksender, der während der „Invasion“ des Zweiten Weltkriegs, einer Variante des MITM-Angriffs, verwendet wurde.
• The Babington Plot (Englisch) – eine Verschwörung gegen Elisabeth I., bei der Walsingham die Korrespondenz abfing.

Andere Angriffe

• „Man in the Browser“ ist eine Angriffsart, bei der der Angreifer in der Lage ist, Transaktionsparameter sofort zu ändern und Seiten zu wechseln, die für das Opfer völlig transparent sind.
• Der Meet-in-the-Middle-Angriff ist ein kryptografischer Angriff, der wie der Geburtstagsangriff einen Kompromiss zwischen Zeit und Speicher ausnutzt.
• „Miss-in-the-Middle-Angriff“ – effektive Methode die sogenannte unmögliche differenzielle Kryptoanalyse.
• Der Relay-Angriff ist eine Variante eines MITM-Angriffs, der auf der Weiterleitung einer abgefangenen Nachricht an einen gültigen Empfänger basiert, jedoch nicht an den Empfänger, für den die Nachricht bestimmt war.
• Ein Rootkit ist ein Programm, das dazu dient, Spuren der Anwesenheit eines Angreifers zu verbergen.

Literatur

Links

Wikimedia-Stiftung. 2010.

Sehen Sie in anderen Wörterbüchern, was „Man in the Middle“ ist:

„Man in the middle“-Angriff (englisch: Man in the middle, MitM-Angriff) ist ein Begriff in der Kryptographie, der eine Situation bezeichnet, in der ein Angreifer in der Lage ist, die zwischen Korrespondenten ausgetauschten Nachrichten nach Belieben zu lesen und zu ändern, und keiner der... . ... Wikipedia

Es gibt fast immer mehrere Wege, um zum gewünschten Ergebnis zu gelangen. Dies gilt auch für den Bereich Informationssicherheit. Um ein Ziel zu erreichen, kann man manchmal rohe Gewalt anwenden, nach Lücken suchen und selbst Exploits entwickeln oder abhören, was über das Netzwerk übertragen wird. Darüber hinaus ist die letzte Option oft optimal. Aus diesem Grund werden wir heute über Tools sprechen, die uns dabei helfen, für uns wertvolle Informationen aus dem Netzwerkverkehr abzufangen, indem wir hierfür MITM-Angriffe verwenden.

MITMf

Beginnen wir mit einem der interessantesten Kandidaten. Dabei handelt es sich um ein komplettes Framework zur Durchführung von Man-in-the-Middle-Angriffen, das auf der Basis von Sergio-Proxy aufgebaut ist. Kürzlich aufgenommen in Kali Linux. Für Selbstinstallation Sie müssen lediglich das Repository klonen und einige Befehle ausführen:

# setup.sh # pip install -r Anforderungen.txt

Die Architektur ist durch Plugins erweiterbar. Zu den wichtigsten gehören die folgenden:

• Spoof – ermöglicht Ihnen die Umleitung des Datenverkehrs mithilfe von ARP/DHCP-Spoofing, ICMP-Weiterleitungen und die Änderung von DNS-Anfragen;
• Sniffer – dieses Plugin verfolgt Anmeldeversuche für verschiedene Protokolle;
• BeEFAutorun – ermöglicht das automatische Starten von BeEF-Modulen basierend auf der Art des Betriebssystems und des Client-Browsers;
• AppCachePoison – führt einen Cache-Poisoning-Angriff aus;
• SessionHijacking – entführt Sitzungen und speichert die resultierenden Cookies im Firefly-Profil;
• BrowserProfiler – versucht, eine Liste der vom Browser verwendeten Plugins abzurufen;
• FilePwn – ermöglicht das Ersetzen von über HTTP gesendeten Dateien mithilfe von Backdoor Factory und BDFProxy;
• Inject – fügt beliebigen Inhalt in eine HTML-Seite ein;
• jskeylogger – bettet einen JavaScript-Keylogger in Client-Seiten ein.

Wenn Ihnen diese Funktionalität nicht ausreicht, können Sie jederzeit Ihre eigene hinzufügen, indem Sie die entsprechende Erweiterung implementieren.

PuttyRider

Ein weiteres nützliches Dienstprogramm, das Aufmerksamkeit verdient. Im Gegensatz zu allen anderen heute in Betracht gezogenen Tools ist es zwar sehr eng spezialisiert. Wie der Autor des Projekts selbst sagt, wurde er zu der Entwicklung eines solchen Dienstprogramms durch die Tatsache inspiriert, dass sich bei Penetrationstests die wichtigsten Daten auf Linux/UNIX-Servern befanden, zu denen sich Administratoren über SSH/Telnet/rlogin verbanden. Darüber hinaus war es in den meisten Fällen viel einfacher, auf den Computer des Administrators zuzugreifen als auf den Zielserver. Nach dem Eindringen in die Maschine des Systemadministrators müssen Sie nur noch sicherstellen, dass PuTTY ausgeführt wird, und mit diesem Tool eine Rückbrücke zum Angreifer bauen.

Mit dem Dienstprogramm können Sie nicht nur die „Kommunikation“ zwischen dem Administrator und anderen erfassen Remote-Server(einschließlich Passwörtern), sondern auch die Ausführung beliebiger Shell-Befehle innerhalb einer bestimmten Sitzung. Darüber hinaus geschieht dies alles absolut transparent für den Benutzer (Administrator). Wenn Sie an technischen Details interessiert sind, beispielsweise wie PuTTY in den Prozess implementiert wird, empfehle ich Ihnen, die Präsentation des Autors zu lesen.

Ein ziemlich altes Dienstprogramm, das vor mehr als acht Jahren geboren wurde. Gedacht zum Klonen von Sitzungen durch Stehlen von Cookies. Für das Session-Hijacking verfügt es über grundlegende Fähigkeiten zur Host-Erkennung (im Falle einer Verbindung zu einem offenen Host). drahtloses Netzwerk oder Hub) und Durchführung einer ARP-Vergiftung. Das einzige Problem ist, dass heute, anders als vor acht Jahren, fast alle großen Unternehmen wie Yahoo oder Facebook SSL-Verschlüsselung verwenden, was dieses Tool völlig nutzlos macht. Trotzdem gibt es im Internet immer noch genügend Ressourcen, die kein SSL verwenden, sodass es noch zu früh ist, das Dienstprogramm abzuschreiben. Zu den Vorteilen gehört, dass es sich automatisch in Firefox integriert und für jede abgefangene Sitzung ein eigenes Profil erstellt. Quelle ist im Repository verfügbar und Sie können es mit der folgenden Befehlsfolge selbst erstellen:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip Sitzungsdieb

ProxyFuzz

ProzyFuzz hat nichts direkt mit der Durchführung von MITM-Angriffen zu tun. Wie der Name schon vermuten lässt, ist das Tool für Fuzzing konzipiert. Dies ist ein kleiner, nicht deterministischer Netzwerk-Fuzzer, der in Python implementiert ist und den Inhalt von Netzwerkverkehrspaketen zufällig ändert. Unterstützt TCP-Protokolle und UDP. Sie können es so konfigurieren, dass nur eine Seite fusselt. Dies ist praktisch, wenn Sie schnell eine Netzwerkanwendung (oder ein Protokoll) testen und einen PoC entwickeln müssen. Anwendungsbeispiel:

Python-Proxyfuzz -l -R -P

Die Liste der Optionen umfasst:

• w – gibt die Anzahl der gesendeten Anfragen an, bevor das Fuzzing beginnt;
• c – Fuzz nur für den Client (ansonsten beide Seiten);
• s – Fuzz nur auf dem Server (ansonsten auf beiden Seiten);
• u - UDP-Protokoll (ansonsten wird TCP verwendet).

Der Mittelsmann

Ein Dienstprogramm zur Durchführung von MITM-Angriffen auf verschiedene Protokolle, vorgestellt auf der DEF CON-Konferenz. Die Alpha-Version unterstützte das HTTP-Protokoll und hatte drei coole Plugins im Arsenal:

• plug-in-beef.py – fügt das Browser Exploitation Framework (BeEF) in jede HTTP-Anfrage ein, die vom lokalen Netzwerk kommt;
• plug-in-metasploit.py – bettet einen IFRAME in unverschlüsselte (HTTP-)Anfragen ein, der Browser-Exploits von Metasploit lädt;
• plugin-keylogger.py – bettet einen JavaScript-onKeyPress-Ereignishandler für alle Textfelder ein, die über HTTPS übermittelt werden, wodurch der Browser das vom Benutzer eingegebene Passwort Zeichen für Zeichen an den Server des Angreifers sendet, bevor das gesamte Formular übermittelt wird.

Der Middler analysiert nicht nur automatisch den Netzwerkverkehr und findet darin Cookies, sondern fordert diese auch selbstständig vom Client an, d. h. der Prozess ist maximal automatisiert. Das Programm garantiert die Erfassung aller ungeschützten Konten in Computernetzwerk(oder öffentlicher Hotspot), auf dessen Datenverkehr er Zugriff hat. Damit das Programm ordnungsgemäß funktioniert, müssen die folgenden Pakete auf dem System installiert sein: Scapy, libpcap, readline, libdnet, python-netfilter. Leider wurde das Repository schon lange nicht mehr aktualisiert, sodass Sie neue Funktionen selbst hinzufügen müssen.

Ein Konsolendienstprogramm, mit dem Sie den HTTP-Verkehr interaktiv untersuchen und ändern können. Dank dieser Fähigkeiten wird das Dienstprogramm nicht nur von Pentestern/Hackern verwendet, sondern auch von normalen Entwicklern, die es beispielsweise zum Debuggen von Webanwendungen verwenden. Mit seiner Hilfe können Sie empfangen genaue Information darüber, welche Anfragen die Anwendung stellt und welche Antworten sie erhält. Außerdem kann mitmproxy dabei helfen, die Besonderheiten der Funktionsweise einiger REST-APIs zu untersuchen, insbesondere solcher, die schlecht dokumentiert sind.

Die Installation ist denkbar einfach:

$ sudo aptitude install mitmproxy

Es ist erwähnenswert, dass Sie mitmproxy auch den HTTPS-Verkehr abfangen können, indem Sie dem Client ein selbstsigniertes Zertifikat ausstellen. Gutes Beispiel Sie erfahren, wie Sie das Abfangen und Ändern des Datenverkehrs konfigurieren.

Dsniff

Nun, dieses Dienstprogramm ist im Allgemeinen eines der ersten Dinge, die einem in den Sinn kommen sollten, sobald man es hört
„MITM-Angriff“. Das Tool ist ziemlich alt, wird aber weiterhin aktiv aktualisiert, was eine gute Nachricht ist. Es hat keinen Sinn, im Detail über seine Fähigkeiten zu sprechen; in den vierzehn Jahren seines Bestehens wurde es mehr als einmal im Internet behandelt. Zum Beispiel in einem Ratgeber wie diesem:

oder Anleitungen von unserer Website:

Zuletzt..

Wie üblich haben wir uns nicht alle Versorgungsunternehmen angesehen, sondern nur die beliebtesten; es gibt auch viele wenig bekannte Projekte, über die wir vielleicht eines Tages sprechen werden. Wie Sie sehen, mangelt es nicht an Tools zur Durchführung von MITM-Angriffen, und was nicht sehr oft vorkommt, ist eines der coolen Tools für Windows implementiert. Zu nix-Systemen gibt es nichts zu sagen – eine ganze Vielfalt. Ich denke also, dass man immer das richtige Werkzeug gegen Diebstahl finden kann
die Referenzen anderer Leute. Ups, also zum Testen.

In diesem Artikel werden wir versuchen, die Theorie von Man-in-the-Middle-Angriffen und einige praktische Punkte zu verstehen, die dabei helfen, diese Art von Angriffen zu verhindern. Dies wird uns helfen, das Risiko zu verstehen, das solche Eingriffe in unsere Privatsphäre darstellen, da MitM-Angriffe es uns ermöglichen, in die Kommunikation einzudringen und unsere Gespräche abzuhören.

Verstehen, wie das Internet funktioniert

Um das Prinzip eines Man-in-the-Middle-Angriffs zu verstehen, lohnt es sich zunächst zu verstehen, wie das Internet selbst funktioniert. Hauptinteraktionspunkte: Clients, Router, Server. Das gebräuchlichste Kommunikationsprotokoll zwischen Client und Server ist das Hypertext Transfer Protocol (HTTP). Surfen im Internet per Browser, E-Mail, Instant Messaging – all das erfolgt über HTTP.

Wenn Sie eintreten Adressleiste In Ihrem Browser sendet der Client (Sie) eine Anfrage an den Server, um die Webseite anzuzeigen. Das Paket (HTTP GET Request) wird über mehrere Router an den Server übertragen. Der Server antwortet dann mit einer Webseite, die an den Client gesendet und auf dessen Monitor angezeigt wird. HTTP-Nachrichten müssen an gesendet werden Sicherheitsmodus um Vertraulichkeit und Anonymität zu gewährleisten.

Abbildung 1. Client-Server-Interaktion

Sichern des Kommunikationsprotokolls

Ein sicheres Kommunikationsprotokoll muss über jede der folgenden Eigenschaften verfügen:

1. Privatsphäre- Nur der vorgesehene Empfänger kann die Nachricht lesen.
2. Authentizität- Die Identität der interagierenden Parteien wurde nachgewiesen.
3. Integrität- Bestätigung, dass die Nachricht während der Übertragung nicht geändert wurde.

Wenn eine dieser Regeln nicht befolgt wird, ist das gesamte Protokoll gefährdet.

Man-in-the-Middle-Angriff über HTTP-Protokoll

Ein Angreifer kann mithilfe einer Technik namens ARP-Spoofing leicht einen Man-in-the-Middle-Angriff durchführen. Jeder in Ihrem Wi-Fi-Netzwerke sendet Ihnen möglicherweise ein gefälschtes ARP-Paket, was dazu führt, dass Sie unwissentlich Ihren gesamten Datenverkehr über den Angreifer und nicht über Ihren Router leiten.

Danach hat der Angreifer die volle Kontrolle über den Datenverkehr und kann in beide Richtungen gesendete Anfragen überwachen.

Abbildung 2. Man-in-the-Middle-Angriffsmuster

Um solche Angriffe zu verhindern, wurde eine sichere Version des HTTP-Protokolls erstellt. Transport Layer Security (TLS) und sein Vorgänger Secure Socket Layer (SSL) sind kryptografische Protokolle, die Sicherheit für die Datenübertragung über ein Netzwerk bieten. Daher wird das sichere Protokoll HTTPS heißen. Sie können sehen, wie das sichere Protokoll funktioniert, indem Sie die Adresszeile Ihres Browsers eingeben (beachten Sie das S in https).

Man-in-the-Middle-Angriff auf schlecht implementiertes SSL

Moderne SSL-Anwendungen guter Algorithmus Verschlüsselung, aber es spielt keine Rolle, wenn sie falsch implementiert ist. Wenn ein Hacker die Anfrage abfangen kann, kann er sie ändern, indem er das „S“ aus der angeforderten URL entfernt und so SSL umgeht.

Ein solches Abfangen und Ändern der Anfrage kann bemerkt werden. Wenn Sie beispielsweise https://login.yahoo.com/ anfordern und die Antwort http://login.yahoo.com/ lautet, sollte dies Verdacht erregen. Zum Zeitpunkt des Verfassens dieses Artikels funktioniert dieser Angriff tatsächlich auf den Dienst Email Yahoo.

Abbildung 3. Abfangen und Ändern anfordern

Um einen solchen Angriff zu verhindern, können Server HTTP Strict Transport Security (HSTS) implementieren, einen Mechanismus, der eine erzwungene sichere Verbindung über das HTTPS-Protokoll ermöglicht. Wenn in diesem Fall ein Angreifer die Anfrage ändert, indem er „S“ aus der URL entfernt, leitet der Server den Benutzer dennoch mit einer 302-Weiterleitung auf eine Seite mit einem sicheren Protokoll weiter.

Abbildung 4. HSTS-Betriebsdiagramm

Diese Art der SSL-Implementierung ist anfällig für eine andere Art von Angriff: Der Angreifer stellt eine SSL-Verbindung zum Server her, nutzt jedoch verschiedene Tricks, um den Benutzer zur Verwendung von HTTP zu zwingen.

Abbildung 5. HSTS-Angriffsmuster

Um solche Angriffe zu verhindern, überwachen moderne Browser wie Chrome, Firefox und Tor Websites, die HSTS verwenden, und erzwingen eine clientseitige Verbindung zu ihnen über SSL. In diesem Fall müsste der Angreifer, der einen Man-in-the-Middle-Angriff durchführt, eine SSL-Verbindung mit dem Opfer herstellen.

Abbildung 6. Angriffsmuster, bei dem der Angreifer eine SSL-Verbindung mit dem Opfer aufbaut

Um einem Benutzer eine SLL-Verbindung bereitzustellen, muss ein Angreifer wissen, wie er als Server agiert. Lassen Sie uns die technischen Aspekte von SSL verstehen.

SSL verstehen

Aus der Sicht eines Hackers kommt es bei der Kompromittierung eines Kommunikationsprotokolls darauf an, das schwache Glied zwischen den oben aufgeführten Komponenten (Privatsphäre, Authentizität und Integrität) zu finden.

SSL verwendet einen asymmetrischen Verschlüsselungsalgorithmus. Das Problem bei der symmetrischen Verschlüsselung besteht darin, dass zum Ver- und Entschlüsseln von Daten derselbe Schlüssel verwendet wird. Dieser Ansatz ist für Internetprotokolle nicht gültig, da ein Angreifer diesen Schlüssel zurückverfolgen kann.

Die asymmetrische Verschlüsselung umfasst 2 Schlüssel für jede Seite: Öffentlicher Schlüssel, der zur Verschlüsselung verwendet wird, und einen privaten Schlüssel, der zum Entschlüsseln der Daten verwendet wird.

Abbildung 7. Öffentliche und private Schlüssel funktionieren

Wie stellt SSL die drei Eigenschaften bereit, die für eine sichere Kommunikation erforderlich sind?

1. Da zur Verschlüsselung von Daten asymmetrische Kryptografie verwendet wird, stellt SSL eine private Verbindung bereit. Diese Verschlüsselung ist nicht so einfach zu knacken und bleibt unentdeckt.
2. Der Server bestätigt seine Legitimität, indem er dem Client ein SSL-Zertifikat sendet, das von einer Zertifizierungsstelle – einem vertrauenswürdigen Dritten – ausgestellt wurde.

Wenn es einem Angreifer irgendwie gelingt, an das Zertifikat zu gelangen, könnte er die Tür für einen Man-in-the-Middle-Angriff öffnen. Dadurch werden zwei Verbindungen hergestellt – mit dem Server und mit dem Opfer. In diesem Fall geht der Server davon aus, dass der Angreifer ein gewöhnlicher Client ist, und das Opfer hat keine Möglichkeit, den Angreifer zu identifizieren, da er ein Zertifikat vorgelegt hat, das beweist, dass er der Server ist.

Ihre Nachrichten kommen immer wieder in verschlüsselter Form an, folgen aber einer Kette durch den Computer des Cyberkriminellen, wo er die vollständige Kontrolle hat.

Abbildung 8. Angriffsmuster, wenn der Angreifer über ein Zertifikat verfügt

Das Zertifikat muss nicht gefälscht werden, wenn ein Angreifer die Möglichkeit hat, den Browser des Opfers zu manipulieren. In diesem Fall kann er ein selbstsigniertes Zertifikat einfügen, dem standardmäßig vertraut wird. Auf diese Weise werden die meisten Man-in-the-Middle-Angriffe durchgeführt. In komplexeren Fällen muss der Hacker einen anderen Weg einschlagen – das Zertifikat fälschen.

Probleme mit der Zertifizierungsstelle

Das vom Server gesendete Zertifikat wurde von einer Zertifizierungsstelle ausgestellt und signiert. Jeder Browser verfügt über eine Liste vertrauenswürdiger Zertifizierungsstellen, die Sie hinzufügen oder entfernen können. Das Problem dabei ist, dass Sie, wenn Sie sich entscheiden, große Autoritäten zu entfernen, keine Websites besuchen können, die von diesen Autoritäten signierte Zertifikate verwenden.

Zertifikate und Zertifizierungsstellen waren schon immer das schwächste Glied einer HTTPS-Verbindung. Selbst wenn alles korrekt umgesetzt wurde und jede Zertifizierungsstelle über eine solide Autorität verfügt, ist es immer noch schwierig, sich damit abzufinden, dass man vielen Dritten vertrauen muss.

Heute gibt es mehr als 650 Organisationen, die Zertifikate ausstellen können. Würde ein Angreifer eines davon hacken, bekäme er alle Zertifikate, die er wollte.

Selbst als es nur eine Zertifizierungsstelle, VeriSign, gab, gab es ein Problem: Leute, die Man-in-the-Middle-Angriffe verhindern sollten, verkauften Abhördienste.

Außerdem wurden viele Zertifikate durch Hackerangriffe auf Zertifizierungsstellen erstellt. Es wurden verschiedene Techniken und Tricks eingesetzt, um den Zielbenutzer dazu zu verleiten, betrügerischen Zertifikaten zu vertrauen.

Forensik

Da der Angreifer gefälschte ARP-Pakete sendet, ist die IP-Adresse des Angreifers nicht sichtbar. Stattdessen müssen Sie auf die MAC-Adresse achten, die für jedes Gerät im Netzwerk spezifisch ist. Wenn Sie die MAC-Adresse Ihres Routers kennen, können Sie diese mit der MAC-Adresse des Standard-Gateways vergleichen, um herauszufinden, ob es sich wirklich um Ihren Router oder einen Angreifer handelt.

Unter Windows können Sie beispielsweise den Befehl ipconfig verwenden Befehlszeile(CMD), um Ihre Standard-Gateway-IP-Adresse anzuzeigen (letzte Zeile):

Abbildung 9. Verwendung des Befehls ipconfig

Verwenden Sie dann den Befehl arp –a, um die MAC-Adresse dieses Gateways herauszufinden:

Abbildung 10. Verwendung des Befehls arp –a

Es gibt jedoch noch eine andere Möglichkeit, den Angriff zu bemerken: Wenn Sie zum Zeitpunkt des Starts die Netzwerkaktivität und die ARP-Pakete überwachen. Zu diesem Zweck können Sie beispielsweise Wireshark verwenden. Dieses Programm benachrichtigt Sie, wenn sich die MAC-Adresse des Standard-Gateways geändert hat.

Hinweis: Wenn der Angreifer MAC-Adressen korrekt fälscht, wird seine Verfolgung zu einem großen Problem.

Abschluss

SSL ist ein Protokoll, das einen Angreifer dazu zwingt, viel Arbeit zu leisten, um einen Angriff durchzuführen. Es schützt Sie jedoch nicht vor staatlich geförderten Angriffen oder vor qualifizierten Hacker-Organisationen.

Die Aufgabe des Benutzers besteht darin, seinen Browser und Computer zu schützen, um zu verhindern, dass ein gefälschtes Zertifikat eingefügt wird (eine sehr verbreitete Technik). Es lohnt sich auch, auf die Liste der vertrauenswürdigen Zertifikate zu achten und diejenigen zu entfernen, denen Sie nicht vertrauen.

18.10.2016 | Wladimir Khazov

Die Pläne des FSB, des Ministeriums für Telekommunikation und Massenkommunikation und des Ministeriums für Industrie und Handel, die Bestimmungen des Jarowaja-Gesetzes über das Abfangen und Entschlüsseln der Korrespondenz von Russen umzusetzen, sind nicht mehr nur Pläne, sondern beginnen bereits mit der Umsetzung durch einen Auftrag zur Erstellung eines Gutachtens über die Möglichkeit einer Abhörmöglichkeit in die Tat umzusetzen WhatsApp-Nachrichten Viber Facebook Messenger, Telegram, Skype unter Verwendung von MITM-Angriffen und Demonstration eines Prototyps eines solchen Tools.

Wir haben in einem früheren Artikel über den Plan zur Organisation eines „legitimen“ MITM-Angriffs geschrieben. Heute werden wir näher auf das Prinzip eines solchen Angriffs und die Methoden seiner Umsetzung eingehen.

Was ist ein MITM-Angriff?

Man In The Middle (MITM) bedeutet übersetzt „Mann in der Mitte“. Dieser Begriff bedeutet Netzwerkangriff, wenn sich ein Angreifer zwischen dem Internetnutzer und der Anwendung befindet, auf die er zugreift. Natürlich nicht physisch, sondern mit Hilfe einer speziellen Software. Es präsentiert sich dem Benutzer als die gewünschte Anwendung (das kann eine Website oder ein Internetdienst sein), simuliert die Arbeit damit und tut dies so, dass der Eindruck eines normalen Betriebs und Informationsaustauschs entsteht.

Ziel des Angriffs sind persönliche Daten des Nutzers, beispielsweise Anmeldedaten verschiedene Systeme, Bankdaten und Kartennummern, persönliche Korrespondenz und anderes vertrauliche Informationen. In den meisten Fällen werden Finanzanwendungen (Bankkunden, Online-Banken, Zahlungs- und Geldtransferdienste), SaaS-Dienste von Unternehmen, E-Commerce-Seiten (Online-Shops) und andere Seiten angegriffen, bei denen eine Autorisierung für die Anmeldung am System erforderlich ist.

Die Informationen, die ein Angreifer erhält, können für verschiedene Zwecke verwendet werden, darunter illegale Geldtransfers, Kontowechsel, Abfangen persönlicher Korrespondenz, Einkäufe auf Kosten anderer, Kompromittierung und Erpressung.

Darüber hinaus können Kriminelle nach dem Diebstahl von Zugangsdaten und dem Hacken eines Systems eine Installation durchführen Firmennetzwerk bösartig Software den Diebstahl geistigen Eigentums (Patente, Projekte, Datenbanken) zu organisieren und durch die Löschung wichtiger Daten wirtschaftlichen Schaden anzurichten.

Ein MITM-Angriff kann mit einem Postboten verglichen werden, der bei der Zustellung Ihrer Korrespondenz einen Brief öffnet, seinen Inhalt für den persönlichen Gebrauch umschreibt oder sogar die Handschrift verfälscht, etwas Eigenes hinzufügt, dann den Umschlag versiegelt und ihn dem Adressaten zustellt als ob nichts passiert wäre. . Wenn Sie außerdem den Text des Briefes verschlüsselt haben und den Entschlüsselungscode dem Adressaten persönlich mitteilen möchten, stellt sich der Postbote so als Adressat vor, dass Sie die Ersetzung nicht einmal bemerken.

Wie ein MITM-Angriff durchgeführt wird

Die Ausführung eines MITM-Angriffs besteht aus zwei Phasen: Abfangen und Entschlüsseln.

• Abfangen

Die erste Stufe des Angriffs besteht darin, den Datenverkehr vom Benutzer zum beabsichtigten Ziel abzufangen und ihn in das Netzwerk des Angreifers zu leiten.

Der häufigste und einfachste Weg zum Abfangen ist ein passiver Angriff, bei dem ein Angreifer WLAN-Punkte mit freiem Zugang (ohne Passwort oder Autorisierung) erstellt. Sobald sich ein Benutzer mit einem solchen Punkt verbindet, erhält der Angreifer Zugriff auf den gesamten Datenverkehr, der über diesen Punkt läuft, und kann daraus beliebige Daten zum Abfangen extrahieren.

Die zweite Methode ist das aktive Abfangen, das auf eine der folgenden Arten durchgeführt werden kann:

IP-Spoofing– Ersetzen der IP-Adresse des Ziels im Paket-Header durch die Adresse des Angreifers. Dies führt dazu, dass Benutzer, anstatt die angeforderte URL aufzurufen, auf der Website des Angreifers landen.

ARP-Spoofing– Ersetzen der Adresse des Angreifers in der ARP-Tabelle des Opfers durch die tatsächliche MAC-Adresse des Hosts. Dadurch landen Daten, die der Benutzer an die IP-Adresse des gewünschten Knotens sendet, an der Adresse des Angreifers.

DNS-Spoofing DNS-Cache-Infektion, Eindringen in DNS Server und Ersetzen eines Website-Adressübereinstimmungsdatensatzes. Infolgedessen versucht der Benutzer, auf die angeforderte Site zuzugreifen, erhält jedoch vom DNS-Server die Adresse der Site des Angreifers.

• Entschlüsselung

Nach dem Abfangen muss der bidirektionale SSL-Verkehr so ​​entschlüsselt werden, dass der Benutzer und die von ihm angeforderte Ressource die Störung nicht bemerken.

Hierfür gibt es mehrere Methoden:

HTTPS-Spoofing– Beim Aufbau einer Verbindung zur Website über das HTTPS-Protokoll wird ein gefälschtes Zertifikat an den Browser des Opfers gesendet. Dieses Zertifikat enthält eine digitale Signatur der kompromittierten Anwendung, aufgrund derer der Browser die Verbindung mit dem Angreifer als zuverlässig akzeptiert. Sobald eine solche Verbindung hergestellt ist, erhält der Angreifer Zugriff auf alle vom Opfer eingegebenen Daten, bevor diese an die Anwendung übermittelt werden.

SSL-BIEST(Browser-Exploit gegen SSL/TLS) – Der Angriff nutzt die SSL-Schwachstelle in den TLS-Versionen 1.0 und 1.2 aus. Der Computer des Opfers ist mit bösartigem JavaScript infiziert, das verschlüsselte Cookies abfängt, die an die Webanwendung gesendet werden. Dadurch wird der Verschlüsselungsmodus „Ciphertext Block Chaining“ beeinträchtigt, sodass der Angreifer an die entschlüsselten Cookies und Authentifizierungsschlüssel gelangt.

SSL-Hijacking– Übertragung gefälschter Authentifizierungsschlüssel an den Benutzer und die Anwendung zu Beginn einer TCP-Sitzung. Dies erweckt den Anschein einer sicheren Verbindung, obwohl die Sitzung tatsächlich von einem „Mann in der Mitte“ gesteuert wird.

SSL-Stripping– Stuft die Verbindung von sicherem HTTPS auf einfaches HTTP herab, indem die von der Anwendung an den Benutzer gesendete TLS-Authentifizierung abgefangen wird. Der Angreifer gewährt dem Benutzer unverschlüsselten Zugriff auf die Website, während er eine sichere Sitzung mit der Anwendung aufrechterhält und so die Möglichkeit erhält, die übertragenen Daten des Opfers einzusehen.\

Schutz vor MITM-Angriffen

Ein zuverlässiger Schutz vor MITM-Angriffen ist möglich, wenn der Benutzer mehrere vorbeugende Maßnahmen ergreift und eine Kombination aus Verschlüsselungs- und Authentifizierungsmethoden von Webanwendungsentwicklern verwendet.

Benutzeraktionen:

• Vermeiden Sie die Verbindung zu WLAN-Hotspots, die nicht über WLAN verfügen Passwortschutz. Deaktivieren Sie die Funktion Automatische Verbindung zu bekannten Zugangspunkten – ein Angreifer kann sein WLAN als legal tarnen.
• Achten Sie auf die Browserbenachrichtigung über den Besuch einer unsicheren Website. Eine solche Nachricht kann auf den Übergang zu einer gefälschten Website eines Angreifers oder auf Probleme beim Schutz einer legitimen Website hinweisen.
• Beenden Sie die Sitzung mit der Anwendung (Abmelden), wenn diese nicht verwendet wird.
• Verwende nicht öffentliche Netzwerke(Café, Park, Hotel und andere) zur Durchführung vertraulicher Transaktionen (Geschäftskorrespondenz, Finanztransaktionen, Einkäufe in Online-Shops usw.).
• Verwenden Sie ein Antivirenprogramm mit aktuellen Datenbanken auf Ihrem Computer oder Laptop; es schützt Sie vor Angriffen mit Schadsoftware.

Entwickler von Webanwendungen und Websites müssen sichere TLS- und HTTPS-Protokolle verwenden, die Spoofing-Angriffe durch die Verschlüsselung übertragener Daten erheblich erschweren. Ihre Verwendung verhindert auch das Abfangen des Datenverkehrs, um Autorisierungsparameter und Zugangsschlüssel zu erhalten.

Es gilt als bewährte Vorgehensweise, TLS und HTTPS nicht nur für Autorisierungsseiten, sondern auch für alle anderen Bereiche der Website zu schützen. Dies verringert die Wahrscheinlichkeit, dass ein Angreifer die Cookies des Benutzers stiehlt, wenn er nach der Autorisierung durch ungeschützte Seiten navigiert.

Der Schutz vor MITM-Angriffen liegt in der Verantwortung des Benutzers und des Telekommunikationsbetreibers. Das Wichtigste für den Benutzer ist, die Wachsamkeit nicht zu verlieren, nur bewährte Methoden für den Zugriff auf das Internet zu verwenden und bei der Übertragung personenbezogener Daten Websites mit HTTPS-Verschlüsselung zu wählen. Telekommunikationsbetreibern kann der Einsatz von Deep Packet Inspection (DPI)-Systemen empfohlen werden, um Anomalien in Datennetzwerken zu erkennen und Spoofing-Angriffe zu verhindern.

Regierungsbehörden planen, den MITM-Angriff im Gegensatz zu Angreifern zum Schutz der Bürger zu nutzen und nicht, um Schaden anzurichten. Das Abfangen von persönlichen Nachrichten und anderem Benutzerverkehr erfolgt im Rahmen der geltenden Gesetzgebung, die auf Beschluss der Justizbehörden zur Bekämpfung von Terrorismus, Drogenhandel und anderen verbotenen Aktivitäten erfolgt. Für normale Benutzer stellen „legitime“ MITM-Angriffe keine Bedrohung dar.

Der Prozess des Startens einer TCP-Sitzung, bestehend aus drei Schritte. Der Client sendet ein Paket mit dem SYN-Flag an den Server. Nachdem der Server vom Client ein Paket mit dem SYN-Flag erhalten hat, antwortet er, indem er ein Paket mit den SYN+ACK-Flags sendet und in den Status ESTABLISHED wechselt. Nachdem der Client eine korrekte Antwort vom Server erhalten hat, sendet er ein Paket mit dem ACK-Flag und wechselt in den Status ESTABLISHED

Verbotsliste

Eine Liste von Clients, die keine Rechte für bestimmte Aktionen haben. Mithilfe einer Sperrliste schränken Sie in der Regel die Fähigkeiten von Bots ein, wenn ein DDoS-Angriff erkannt wird. Auch in der Realität von Spielservern sind Spieler mit einem schlechten Ruf, die Cheat-Codes verwenden oder illegale Handlungen begehen, in dieser Liste enthalten.

Bot

Der Computer führte einen DDoS-Angriff mit „echtem“ Datenverkehr durch. In den meisten Fällen handelt es sich dabei um einen Computer regelmäßiger Benutzer, mit einem Virus infiziert. Oftmals bemerkt der Benutzer nicht, dass sein Computer infiziert ist und für illegale Zwecke genutzt wird

Webserver

Ein Computer in einem Netzwerk, der HTTP-Anfragen von Clients, normalerweise Webbrowsern, akzeptiert und ihnen HTTP-Antworten bereitstellt. Normalerweise antwortet der Webserver zusammen mit einer HTTP-Antwort mit einer HTML-Seite, einem Bild, einem Medienstream oder anderen Daten

Internetservice

Webdienste sind Dienste, die im Internet bereitgestellt werden. Wenn wir diesen Begriff verwenden, können wir über Suche, Webmail, das Speichern von Dokumenten, Dateien, Lesezeichen usw. sprechen. Typischerweise können Webdienste unabhängig vom Computer, Browser oder Ort verwendet werden, an dem Sie auf das Internet zugreifen.

Domain

Der Begriff „Domäne“ kann in verschiedenen Zusammenhängen verwendet werden, wenn es um Netzwerktechnologien geht. Am häufigsten meinen sie Domäne Domainname Website. Domänen sind in verschiedene Ebenen unterteilt, zum Beispiel ist bei der Domäne example.com com die Domäne der ersten Ebene und example die Domäne der zweiten Ebene. Um die Kommunikation zu erleichtern, wird auch der Begriff „Subdomain“ verwendet, womit eine Domain gemeint ist, die mehr als zwei Ebenen tief ist. In der Domäne mail.example.com ist Mail beispielsweise eine Unterdomäne.

Suchroboter

Service Suchmaschine um neue Seiten im Internet zu entdecken und bestehende zu verändern. Das Funktionsprinzip ähnelt einem Browser. Es analysiert den Inhalt der Seite, speichert ihn in einer speziellen Form auf dem Server der Suchmaschine, zu der er gehört, und sendet Links zu nachfolgenden Seiten.

Bandbreite

Die maximal mögliche Datenmenge, die pro Zeiteinheit übertragen wird. Oftmals halten Internetanbieter, die höhere Geschwindigkeiten beim Internetzugang versprechen, ihre Versprechen nicht ein. In den meisten Fällen ist dies auf eine vollständige Auslastung der Bandbreite zurückzuführen.