Ataques MITM - qual a probabilidade deles?

Qual a probabilidade de ataques "Man in the Middle" na segurança da Internet?

Quais máquinas reais, além dos servidores ISP, estarão "no meio" das comunicações na Internet?

Quais são os riscos reais associados aos ataques MITM, em oposição aos riscos teóricos?

EDIT: Não estou interessado em pontos de acesso sem fio nesta pergunta. Eles precisam ser protegidos, é claro, mas isso é óbvio. Os pontos de acesso sem fio são únicos, pois as comunicações são transmitidas para que todos possam ouvir. As comunicações normais da Internet com fio são roteadas para seu destino - somente as máquinas na rota verão o tráfego.

Primeiro, vamos falar do Border Gateway Protocol . A internet é composta por milhares de pontos de extremidade conhecidos como ASes (Sistemas Autônomos) e eles roteiam dados com um protocolo conhecido como BGP (Border Gateway Protocol). Nos últimos anos, o tamanho da tabela de roteamento BGP aumentou exponencialmente em tamanho, quebrando bem mais de 100.000 entradas. Mesmo com o hardware de roteamento aumentando em potência, ele mal consegue acompanhar o tamanho cada vez maior da tabela de roteamento BGP.

A parte complicada de nosso cenário MITM é que o BGP confia implicitamente nas rotas fornecidas por outros sistemas autônomos, o que significa que, com spam suficiente de um AS, qualquer rota pode levar a qualquer sistema autônomo. É a maneira mais óbvia de tráfego do MITM, e não é apenas teórico - o site da convenção de segurança da Defcon foi redirecionado para o site de um pesquisador de segurança em 2007 para demonstrar o ataque. O YouTube caiu em vários países asiáticos quando o Paquistão censurou o site e, por engano, declarou sua própria rota (morta) a melhor para vários ASes fora do Paquistão.

Um punhado de grupos acadêmicos coleta informações de roteamento BGP de ASes cooperantes para monitorar atualizações de BGP que alteram os caminhos do tráfego. Mas sem contexto, pode ser difícil distinguir uma mudança legítima de um seqüestro malicioso. Os caminhos do tráfego mudam o tempo todo para lidar com desastres naturais, fusões de empresas etc.

O próximo a discutir na lista 'Vetores de ataque globais do MITM' é o DNS ( Sistema de Nomes de Domínio ).

Embora o servidor DNS fino do ISC, BIND, tenha resistido ao teste do tempo e tenha saído relativamente incólume (assim como as ofertas DNS da Microsoft e da Cisco), foram encontradas algumas vulnerabilidades notáveis ​​que potencialmente poderiam comprometer todo o tráfego usando nomes canônicos na Internet (ou seja, praticamente todos tráfego).

Eu nem vou me preocupar em discutir a pesquisa de Dan Kaminsky sobre o ataque de envenenamento de cache do DNS, já que foi espancada até a morte em outros lugares, apenas para receber o 'bug mais exagerado de todos os tempos' por Blackhat - Las Vegas. No entanto, existem vários outros erros de DNS que comprometeram seriamente a segurança da Internet.

O bug da Dynamic Update Zone travava servidores DNS e tinha o potencial de comprometer remotamente máquinas e caches DNS.

O bug de assinaturas de transação permitia o comprometimento total da raiz remota de qualquer servidor executando o BIND no momento em que a vulnerabilidade foi anunciada, obviamente permitindo que as entradas DNS fossem comprometidas.

Finalmente , devemos discutir o envenenamento por ARP , o retrocesso 802.11q , o seqüestro de tronco STP , a injeção de informações de roteamento RIPv1 e a série de ataques para redes OSPF.

Esses ataques são os 'familiares' de um administrador de rede de uma empresa independente (com razão, considerando que esses podem ser os únicos sobre os quais eles têm controle). Discutir os detalhes técnicos de cada um desses ataques é um pouco chato nesse estágio, pois todos os que estão familiarizados com a segurança básica das informações ou o TCP aprenderam o ARP Envenenamento. Os outros ataques provavelmente são um rosto familiar para muitos administradores de rede ou aficionados à segurança de servidores. Se essa é a sua preocupação, existem muitos utilitários de defesa de rede muito bons, desde utilitários Free e Open Source como Snort até software de nível empresarial da Cisco e HP. Como alternativa, muitos livros informativos cobrem esses tópicos, muitos numerosos para discutir, mas vários que eu achei úteis na busca pela segurança de rede incluem O Tao do Monitoramento de Segurança de Rede , Arquiteturas de Segurança de Rede e o clássico Network Warrior

De qualquer forma, acho um pouco perturbador o fato de as pessoas presumirem que esse tipo de ataque requer acesso ao ISP ou ao governo. Eles exigem não mais do que o CCIE médio possui em conhecimento de rede e as ferramentas apropriadas (isto é, HPING e Netcat, não exatamente ferramentas teóricas). Mantenha-se vigilante se quiser permanecer seguro.

Aqui está um cenário do MITM que me preocupa:

Digamos que haja uma grande convenção em um hotel. As bigornas da ACME e a Terrific TNT são grandes concorrentes no setor de perigo de desenhos animados. Alguém com um interesse pessoal em seus produtos, especialmente novos em desenvolvimento, adoraria seriamente colocar as patas dele nos seus planos. Vamos chamá-lo de WC para proteger sua privacidade.

WC faz o check-in no Famous Hotel cedo, a fim de lhe dar algum tempo para se preparar. Ele descobre que o hotel possui pontos de acesso wifi chamados FamousHotel-1 a ​​FamousHotel-5. Então, ele cria um ponto de acesso e o chama de FamousHotel-6, para que ele se misture à paisagem e faça a ponte para um dos outros pontos de acesso.

Agora, os participantes da convenção começam a fazer o check-in. Acontece que um dos maiores clientes de ambas as empresas, nós o chamamos de RR, faz check-in e fica perto de banheiros. Ele configura seu laptop e começa a trocar e-mails com seus fornecedores.

WC está cacarejando maníaca! "Meu plano desonesto está funcionando!", Ele exclama. ESTRONDO! BATIDA! Simultaneamente, ele é atingido por uma bigorna e um pacote de TNT. Parece que as equipes de segurança da ACME Anvils, Terrific TNT, RR e Famous Hotel estavam trabalhando juntos, antecipando esse mesmo ataque.

Bip Bip!

Editar:

Que pontualidade ^* : Dica de viagem: Cuidado com os "honeypots" do wi-fi do aeroporto

^{* Bem, foi oportuno que apenas aparecesse no meu feed RSS.}

É totalmente dependente da situação. Quanto você confia no seu ISP? Quanto você sabe sobre a configuração do seu ISP? E quão segura é a sua própria configuração?

A maioria dos "ataques" como esse agora é muito provável com o malware de Trojan interceptando pressionamentos de teclas e senhas de arquivos. Acontece o tempo todo, só que não é notado ou relatado tanto.

E com que frequência as informações vazam dentro do nível do ISP? Quando eu trabalhava para um ISP pequeno, estávamos revendendo outro nível mais alto de acesso. Assim, uma pessoa que discou para nós entrou em nossa rede e, se você não estava conversando com nosso servidor Web ou servidor de correio, o tráfego foi para um provedor de nível superior e não temos ideia de quem fez o que com seus dados na rede, ou quão confiáveis ​​eram seus administradores.

Se você quiser saber quantos pontos alguém poderia "potencialmente" ver seu tráfego fazer um traceroute e você verá o quanto responderá em cada ponto de roteamento. Isso pressupõe que os dispositivos com capa não estejam entre alguns deles. E que esses dispositivos são, na verdade, roteadores e não algo disfarçado de roteadores.

O fato é que você não pode saber a prevalência dos ataques. Não existem regulamentos dizendo que as empresas precisam divulgar ataques descobertos, a menos que suas informações de crédito sejam comprometidas. A maioria das empresas não o faz porque é embaraçoso (ou muito trabalho). Com a quantidade de malware flutuando por aí, é provavelmente muito mais prevalente do que você imagina, e mesmo assim a chave é ter descoberto o ataque. Quando o malware funciona corretamente, a maioria dos usuários não sabe quando isso acontece. E o cenário real de quem fica ofendido e bisbilhota o tráfego em um provedor é o que as empresas não denunciam, a menos que tenham que fazê-lo.

É claro que isso ignora os cenários em que as empresas são obrigadas a manter registros de seu tráfego e divulgá-los às agências governamentais sem informar. Se você estiver nos EUA, graças à Lei Patriota, as bibliotecas e os provedores de Internet podem ser obrigados a registrar suas viagens de dados, e-mails e histórico de navegação sem informar que estão coletando informações sobre você.

Em outras palavras, não há dados concretos sobre a prevalência de ataques MITM e interceptação nos usuários, mas há evidências que sugerem que é maior do que seria confortável, e a maioria dos usuários não se importa o suficiente para obter essas informações.

A verdadeira questão é "quanto do meu recurso limitado devo dedicar aos ataques do MITM em vez de em outro lugar?"

Isso depende muito da natureza das comunicações envolvidas e não tem uma resposta única. Na minha experiência, não é um grande risco em relação a outros riscos à segurança, mas geralmente é barato minimizá-lo (por exemplo: um certificado SSL e o uso de HTTPS costumam ser suficientes), por isso é mais barato corrigi-lo do que gastar o tempo avaliando quanto um risco que poderia ser.

Você tem um ponto de acesso sem fio em casa? Um servidor proxy no trabalho?

Qualquer um desses pontos de entrada / saída pode ser comprometido sem uma vasta conspiração do governo / ISP. Também é possível que os componentes de uma infraestrutura de ISPs sejam comprometidos.

Você usa um navegador da web? É bastante trivial configurar um navegador para direcionar tráfego para um homem no meio. Houve malware no navegador que redirecionou certas transações bancárias e de corretagem usando esse método, principalmente para pequenas empresas com privilégios de transferência.

Segurança é sobre gerenciamento de riscos ... existem dois atributos básicos na maneira como você lida com o risco: probabilidade de ocorrência e impacto. A probabilidade real de você entrar em um grave acidente de carro é muito baixa, mas o impacto na sua segurança pessoal é alto, de modo que você prende o cinto de segurança e coloca seu bebê em um assento de carro.

Quando as pessoas ficam preguiçosas e / ou baratas, muitas vezes o resultado é um desastre. No Golfo do México, a BP ignorou todos os tipos de fatores de risco porque acreditava ter transferido o risco para os contratados e calculou que havia perfurado poços suficientes sem incidentes, portanto a probabilidade de um incidente era muito baixa.

Os ataques do MitM são praticamente encontrados exclusivamente na rede local. Para acessar uma conexão pela Internet, é necessário acessar o ISP ou o governo - e é muito raro que alguém com esse nível de recursos esteja buscando seus dados.

Quando alguém entra na sua rede, você tem sérios problemas, mas fora disso, provavelmente está bem.

@ Craig: Na sua edição, você tem algumas informações erradas. A rede sem fio não é baseada em broadcast. Os dados transmitidos em uma sessão de comunicação sem fio (entre o cliente sem fio e o ponto de acesso sem fio) não são "transmitidos" para que todos possam ouvir. O cliente sem fio se associa ao AP e a comunicação ocorre entre o referido cliente e o AP. Se você quis dizer que os dados estão sendo transmitidos porque estão encapsulados em um sinal de rádio que é "transmitido", sim, pode ser detectado com equipamentos sem fio muito específicos (adaptadores sem fio compatíveis com RMON) e ferramentas de software. Os clientes sem fio que não se associaram ao mesmo ponto de acesso não têm mecanismo para interceptar ou "ouvir" o tráfego sem fio, exceto com o equipamento mencionado acima. As comunicações sem fio nas redes TCP \ IP funcionam essencialmente da mesma forma que nas redes com fio, exceto na mídia de transmissão: ondas de rádio em oposição aos fios físicos. Se o tráfego de WiFi fosse transmitido para que todos pudessem escutar, nunca sairia da prancheta.

Dito isto, acho que as redes sem fio representam um risco maior para ataques MITM porque o acesso físico não é necessário para acessar a rede sem fio para "injetar" um sistema não autorizado a fim de interceptar o tráfego.