Ataques MITM: ¿qué tan probables son?

35

¿Qué posibilidades hay de que los ataques de "Hombre en el medio" en la seguridad de Internet?

¿Qué máquinas reales, aparte de los servidores ISP, estarán "en el medio" de las comunicaciones de Internet?

¿Cuáles son los riesgos reales asociados con los ataques MITM, en oposición a los riesgos teóricos?

EDITAR: No estoy interesado en los puntos de acceso inalámbrico en esta pregunta. Necesitan ser asegurados, por supuesto, pero esto es obvio. Los puntos de acceso inalámbrico son únicos ya que las comunicaciones se transmiten para que todos las escuchen. Las comunicaciones por cable de Internet normales se enrutan a su destino; solo las máquinas en la ruta verán el tráfico.

CJ7
fuente
13
Los riesgos teóricos y los riesgos reales son generalmente lo mismo cuando se habla de seguridad de TI
Mark Henderson
3
Farseeker x2, hoy es teórico, mañana es real. Esa es la diferencia.
Chris S
1
@Farseeker: la diferencia es que el riesgo teórico implica un escenario que puede ser altamente improbable en el mundo real. Si bien es posible que una máquina en el medio pueda descifrar paquetes de Internet, uno debe preguntarse: ¿cuándo habrá una máquina en el medio que haga esto?
CJ7
1
@Zephyr: incluso un pequeño número de piratas informáticos centrados intensamente en un pequeño número de objetivos puede causar un daño significativo. Te estoy mirando Chi ... er ... "Fred". No son necesariamente los números los que marcan la diferencia, es la motivación.
Pausado hasta nuevo aviso.

Respuestas:

43

Primero, hablemos del Protocolo Border Gateway . Internet está compuesto por miles de puntos finales conocidos como ASes (Sistemas Autónomos), y enrutan datos con un protocolo conocido como BGP (Border Gateway Protocol). En los últimos años, el tamaño de la tabla de enrutamiento BGP ha aumentado exponencialmente, superando las 100.000 entradas. Incluso con el hardware de enrutamiento aumentando en potencia, apenas puede mantener el ritmo con el tamaño cada vez mayor de la tabla de enrutamiento BGP.

La parte difícil de nuestro escenario MITM es que BGP confía implícitamente en las rutas que otros sistemas autónomos le proporcionan, lo que significa que, con suficiente spam de un AS, cualquier ruta puede conducir a cualquier sistema autónomo. Es la forma más obvia de tráfico MITM, y no es solo teórica: el sitio de la convención de seguridad Defcon fue redirigido al sitio web de un investigador de seguridad en 2007 para demostrar el ataque. Youtube no funcionaba en varios países asiáticos cuando Pakistán censuró el sitio y declaró erróneamente que su propia ruta (muerta) era la mejor para varios AS fuera de Pakistán.

Un puñado de grupos académicos recolectan información de enrutamiento BGP de los AS cooperantes para monitorear las actualizaciones BGP que cambian las rutas de tráfico. Pero sin contexto, puede ser difícil distinguir un cambio legítimo de un secuestro malicioso. Las rutas de tráfico cambian todo el tiempo para hacer frente a desastres naturales, fusiones de empresas, etc.

Siguiente para discutir sobre la lista de 'Vectores de ataque MITM Global' es el Sistema de nombres de dominio (DNS).

Aunque el servidor DNS de ISC BIND ha resistido la prueba del tiempo y ha salido relativamente indemne (al igual que las ofertas DNS de Microsoft y Cisco), se han encontrado algunas vulnerabilidades notables que podrían poner en peligro todo el tráfico utilizando nombres canonicalizados en Internet (es decir, prácticamente todos tráfico).

Ni siquiera me molestaré en discutir la investigación de Dan Kaminsky sobre el ataque de envenenamiento de caché de DNS, ya que ha sido golpeado hasta la muerte en otro lugar, solo para que Blackhat - Las Vegas le otorgue el 'error más sobrevalorado'. Sin embargo, existen varios otros errores de DNS que han comprometido gravemente la seguridad de Internet.

El error de la zona de actualización dinámica bloqueó los servidores DNS y tenía el potencial de comprometer de forma remota las máquinas y los cachés DNS.

El Error de Firmas de Transacción permitió el compromiso total de la raíz remota de cualquier servidor que ejecuta BIND en el momento en que se anunció la vulnerabilidad, lo que obviamente permitió comprometer las entradas de DNS.

Finalmente , debemos analizar el envenenamiento ARP , el retroceso 802.11q , el secuestro de troncales STP , la inyección de información de enrutamiento RIPv1 y la gran cantidad de ataques para las redes OSPF.

Estos ataques son los 'familiares' de un administrador de red para una empresa independiente (con razón, teniendo en cuenta que estos pueden ser los únicos sobre los que tienen control). Discutir los detalles técnicos de cada uno de estos ataques es un poco aburrido en esta etapa, ya que todos los que están familiarizados con la seguridad básica de la información o TCP han aprendido el envenenamiento por ARP. Los otros ataques son probablemente una cara familiar para muchos administradores de red o aficionados a la seguridad del servidor. Si esto le preocupa, existen muchas utilidades de defensa de red muy buenas, que van desde utilidades gratuitas y de código abierto como Snort hasta el software de nivel empresarial de Cisco y HP. Alternativamente, muchos libros informativos cubren estos temas, demasiado numerosos para discutirlos, pero varios que he encontrado útiles en la búsqueda de la seguridad de la red incluyen The Tao of Network Security Monitoring , Network Security Architectures y el clásico Network Warrior

En cualquier caso, me resulta un tanto inquietante que las personas asuman que este tipo de ataques requieren acceso de nivel ISP o gubernamental. No requieren más de lo que el CCIE promedio tiene en conocimiento de redes y las herramientas apropiadas (es decir, HPING y Netcat, no exactamente herramientas teóricas). Mantente alerta si quieres mantenerte seguro.

ŹV -
fuente
8
Claro que lo es. Cree que va a ir a bank.example.com y, en cambio, va a otro sitio que está representando o haciéndose pasar por su destino previsto. Si no crees que es un ataque MITM, no entiendes qué es MITM.
duffbeer703
1
Bueno, en lo que respecta al DNS, es obvio que podría enviar los paquetes a la IP ACTUAL del sitio al que está intentando acceder. Y es posible hacer cosas como cambiar rápidamente entre los estados de conexión y activo para BGP mientras se envían las rutas reales de BGP. O, si como la mayoría de Internet, existe una ruta alternativa a su host además de la ruta que envenenó, puede especificar eso como un parámetro de enrutamiento. Sin embargo, es genial que estés interesado en este Craig, la seguridad es un campo bastante amplio, cuando crees que tienes algo ordenado, aparece algo más.
ŹV -
1
Para responder a su otra pregunta sobre problemas de DNS, creo que podría estar perdiendo cómo funcionan los pasos. El atacante conoce el destino adecuado y actúa como un proxy para usted. Crees que estás hablando con C, cuando en realidad el tráfico fluye A <-> B <-> C, no el A <-> C que crees que es. SU información de enrutamiento está comprometida. El atacante tiene los datos correctos o está utilizando un servidor DNS que no está comprometido.
Bart Silverstrim
2
@ Craig: te estás perdiendo la imagen. MITM implica insertar un agente entre su objetivo y su destino. Ya sea enrutamiento o DNS o lo que quieras; Estos ataques no son como películas donde tocas un botón marcado como MITM y descifras el código. Es un medio para un fin, y es parte de un ataque combinado.
Bart Silverstrim
3
Y respondí tu pregunta sobre los paquetes que llegan al destino apropiado. El sistema atacante conoce la ruta correcta. Le dice a su sistema que es el sitio "correcto", luego los reenvía como un proxy, envía sus solicitudes en su nombre y luego responde. Esa es toda la parte "en el medio". Su máquina está engañada y no sabe lo que está pasando. Es como una broma en la que su sistema queda fuera del ciclo.
Bart Silverstrim
14

Aquí hay un escenario MITM que me preocupa:

Digamos que hay una gran convención en un hotel. ACME Anvils y Terrific TNT son importantes competidores en la industria del peligro de los dibujos animados. A alguien con un interés personal en sus productos, especialmente los nuevos en desarrollo, le encantaría poner sus patas en sus planes. Lo llamaremos WC para proteger su privacidad.

WC se registra temprano en el famoso Hotel para darle tiempo para instalarse. Él descubre que el hotel tiene puntos de acceso wifi llamados FamousHotel-1 a ​​través de FamousHotel-5. Entonces, establece un punto de acceso y lo llama FamousHotel-6 para que se mezcle con el paisaje y lo conecte con uno de los otros AP.

Ahora, los congresistas comienzan a registrarse. Sucede que uno de los mayores clientes de ambas compañías, lo llamaremos RR, se registra y obtiene una habitación cerca de WC. Configura su computadora portátil y comienza a intercambiar correos electrónicos con sus proveedores.

WC está riendo maniáticamente! "¡Mi plan tortuoso está funcionando!", Exclama. ¡AUGE! ¡CHOQUE! Simultáneamente, es golpeado por un yunque y un paquete de TNT. Parece que los equipos de seguridad de ACME Anvils, Terrific TNT, RR y Famous Hotel estaban trabajando juntos anticipando este mismo ataque.

Beep beep!

Editar:

Qué tan oportuno * : Consejo de viaje: Cuidado con los "honeypots" de wi-fi del aeropuerto

* Bueno, fue oportuno que apareciera en mi fuente RSS.

Pausado hasta nuevo aviso.
fuente
Bien, pero ¿no es la conexión inalámbrica un juego de pelota completamente diferente? Quizás debería haber limitado mi pregunta a las conexiones por cable.
CJ7
1
@ Craig: El punto es el mismo. Es muy probable que alguien en su red local esté escuchando, inalámbrico o por cable. Encontrar un MitM en Internet básicamente no va a suceder.
Chris S
55
+1 para ACME Anvils y Terrific TNT
Fahad Sadah
@ Chris: ¿Cómo va a estar alguien en mi red local si no hay un punto de acceso inalámbrico? ¿Malware en una de las máquinas? Si es así, ¿cómo se enviarán los datos de la red al hacker?
CJ7
2
@ Craig: Tienes toda la razón, los ataques MITM no existen. No te preocupes por eso, solo somos un grupo de nerds paranoicos que se esconden de la NSA.
duffbeer703
5

Depende completamente de la situación. ¿Cuánto confías en tu ISP? ¿Cuánto sabe sobre la configuración de su ISP? ¿Y qué tan segura es su propia configuración?

La mayoría de los "ataques" como este ahora son muy probables cuando el malware troyano intercepta las pulsaciones de teclas y las contraseñas de los archivos. Sucede todo el tiempo, solo que no se nota ni se informa mucho.

¿Y con qué frecuencia se filtra información dentro del nivel de ISP? Cuando trabajaba para un pequeño ISP, estábamos revendiendo otro nivel de acceso más alto. Entonces, una persona que llamó a nosotros entró en nuestra red, y si no estaba hablando con nuestro servidor web o servidor de correo, el tráfico se dirigió a un proveedor de nivel superior, y no tenemos idea de quién hizo qué con sus datos en su red, o cuán confiables eran sus administradores.

Si desea saber cuántos puntos alguien podría "potencialmente" ver su tráfico hacer una ruta de seguimiento y verá tanto como responderá en cada punto de enrutamiento. Eso supone que los dispositivos ocultos no están entre algunos de esos. Y que esos dispositivos son en realidad enrutadores y no algo disfrazado de enrutadores.

La cuestión es que no puedes saber qué tan frecuentes son los ataques. No hay regulaciones que digan compañías tienen que revelar ataques descubiertos a menos que su información crediticia se vea comprometida. La mayoría de las empresas no lo hacen porque es vergonzoso (o demasiado trabajo). Con la cantidad de malware que flota por ahí, probablemente sea mucho más frecuente de lo que piensas, e incluso entonces la clave es haber descubierto el ataque. Cuando el malware funciona correctamente, la mayoría de los usuarios no sabrán cuándo sucede. Y el escenario real de persona que se molesta y snoops-tráfico-en-un-proveedor es el que las compañías no informan a menos que tengan que hacerlo.

Por supuesto, estos ignoran los escenarios en los que las empresas se ven obligadas a mantener registros de su tráfico y divulgarlos a las agencias gubernamentales sin avisarle. Si se encuentra en los EE. UU., Gracias a la Ley Patriota, las bibliotecas y los ISP pueden verse obligados a registrar sus viajes de datos, correos electrónicos e historial de navegación sin decirle que están recopilando información sobre usted.

En otras palabras, no hay datos concretos sobre cuán frecuentes son los ataques MITM y de intercepción en los usuarios, pero hay evidencia que sugiere que es más alto de lo que sería cómodo, y la mayoría de los usuarios no se preocupan lo suficiente como para obtener esa información.

Bart Silverstrim
fuente
3

La verdadera pregunta es "¿cuánto de mis recursos limitados debería dedicar a los ataques MITM en lugar de en otro lugar?"

Esto depende en gran medida de la naturaleza de las comunicaciones involucradas y no tiene una respuesta única. En mi experiencia, no es un gran riesgo en relación con otros riesgos de seguridad, pero generalmente es barato para minimizar (por ejemplo: un certificado SSL y usar HTTPS a menudo es suficiente), por lo que es más barato arreglarlo que pasar el tiempo evaluando cuánto Un riesgo que podría ser.

DrStalker
fuente
https o ssl no lo protege contra MITM. Simplemente actúo como el agente de usuario para el objetivo previsto, recibo el certificado y desencripto, mientras que simplemente me vuelvo a encriptar con un nuevo certificado suponiendo que pueda encontrar una raíz dispuesta.
YoYo
2

¿Tiene un punto de acceso inalámbrico en casa? ¿Un servidor proxy en el trabajo?

Cualquiera de esos puntos de entrada / salida puede verse comprometido sin una gran conspiración del gobierno / isp. También es posible que los componentes de la infraestructura de un ISP se vean comprometidos.

¿Usas un navegador web? Es bastante trivial configurar un navegador para dirigir el tráfico a un hombre en el medio. Ha habido malware de navegador que redirigió ciertas transacciones bancarias y de corretaje utilizando este método, particularmente para pequeñas empresas con privilegios de transferencia.

La seguridad se trata de la gestión de riesgos ... hay dos atributos básicos para abordar el riesgo: probabilidad de ocurrencia e impacto. La probabilidad real de que tenga un accidente automovilístico grave es muy baja, pero el impacto en su seguridad personal es alto, por lo que se abrocha el cinturón de seguridad y coloca a su bebé en el asiento del automóvil.

Cuando la gente se vuelve perezosa y / o barata, a menudo el resultado es un desastre. En el Golfo de México, BP ignoró todo tipo de factores de riesgo porque creían que transferían el riesgo a los contratistas y pensaron que habían perforado suficientes pozos sin incidentes, por lo que la probabilidad de un incidente era muy baja.

duffbeer703
fuente
1
Ojalá pudiera votar esto> 1. No tengo ningún problema con que las personas asuman este tipo de riesgos calculados con sus propios datos, pero que no tenga en cuenta cosas como MITM cuando los datos de otros están en juego, ya sean clientes, pacientes o lo que sea. es lamentable (y demasiado común). No se puede esperar que anticipe cada vector o escenario de ataque, pero es esencial un enfoque en capas y de defensa en profundidad para la mitigación y la gestión de riesgos.
nedm
0

Los ataques MitM se encuentran casi exclusivamente en la red local. Aprovechar una conexión a través de Internet requiere acceso a nivel de ISP o de gobierno, y es muy raro que alguien con ese nivel de recursos busque sus datos.

Una vez que alguien ingresa a su red, entonces tiene serios problemas, pero fuera de eso, probablemente esté bien.

Dentrasi
fuente
No es verdad. Mira la publicación de zypher.
duffbeer703
@duffbeer: mira mis comentarios en la publicación de
zephyr
MITM es cualquier cosa insertada entre el origen y el destino. Puede ser una red local, o en el ISP, en cualquier punto intermedio. ¿Cómo sabe que alguien en su destino o en el transporte no quiere su información? Hay policías que han abusado de su información para acechar a las personas. ¿Común? No. ¿Pero realmente sabes quién ha abusado o no de su poder y nunca fue descubierto?
Bart Silverstrim
0

@Craig: en tu edición tienes información errónea. La red inalámbrica no está basada en transmisión. Los datos que se transmiten en una sesión de comunicación inalámbrica (entre el cliente inalámbrico y el punto de acceso inalámbrico) no se "transmiten" para que todos los escuchen. El cliente inalámbrico se asocia con el AP y la comunicación se produce entre dicho cliente y AP. Si quisiste decir que los datos se transmiten porque están encapsulados en una señal de radio que se "transmite", entonces sí, se pueden detectar con equipos inalámbricos muy específicos (adaptadores inalámbricos compatibles con RMON) y herramientas de software. Los clientes inalámbricos que no se han asociado con el mismo AP no tienen ningún mecanismo para interceptar o "escuchar" el tráfico inalámbrico, excepto con el equipo mencionado anteriormente. Las comunicaciones inalámbricas en redes TCP \ IP funcionan esencialmente de la misma manera que las redes cableadas, excepto por los medios de transmisión: ondas de radio en lugar de cables físicos. Si el tráfico WiFi se transmitiera para que todos lo escucharan, nunca habría salido del tablero de dibujo.

Dicho esto, creo que las redes inalámbricas representan un mayor riesgo para los ataques MITM porque no se requiere acceso físico para acceder a la red inalámbrica para "inyectar" un sistema no autorizado para interceptar el tráfico.

joeqwerty
fuente
Usted dijo que las señales de radio inalámbricas se transmiten y pueden ser interceptadas por el equipo. ¿Cómo contradice esto mi pregunta?
CJ7
Usted dijo que el tráfico inalámbrico se transmitía para que todos lo escucharan, lo que no es técnicamente correcto. La señal de radio se transmite en el sentido de que se basa en ondas de radio, pero la comunicación es punto a punto entre el cliente inalámbrico y el AP inalámbrico. El cliente inalámbrico no transmite su tráfico para que todos lo escuchen. La declaración de que el tráfico se transmite para que todos lo escuchen puede dar a alguien la impresión de que las redes inalámbricas funcionan de una manera que no funciona.
joeqwerty
El problema de la transmisión con respecto a la tecnología inalámbrica 802.11 moderna es algo discutible porque la capa de transporte está protegida por algún tipo de encriptación WPA en la mayoría de los casos. Su tráfico cableado está protegido por su ubicación física y la cerradura de su armario de cableado. En la mayoría de los entornos en los que he trabajado, las redes de clientes donde la infraestructura de conmutación y cableado están fácilmente disponibles se tratan como redes no confiables.
duffbeer703