Ataques MITM: ¿qué tan probables son?

¿Qué posibilidades hay de que los ataques de "Hombre en el medio" en la seguridad de Internet?

¿Qué máquinas reales, aparte de los servidores ISP, estarán "en el medio" de las comunicaciones de Internet?

¿Cuáles son los riesgos reales asociados con los ataques MITM, en oposición a los riesgos teóricos?

EDITAR: No estoy interesado en los puntos de acceso inalámbrico en esta pregunta. Necesitan ser asegurados, por supuesto, pero esto es obvio. Los puntos de acceso inalámbrico son únicos ya que las comunicaciones se transmiten para que todos las escuchen. Las comunicaciones por cable de Internet normales se enrutan a su destino; solo las máquinas en la ruta verán el tráfico.

Primero, hablemos del Protocolo Border Gateway . Internet está compuesto por miles de puntos finales conocidos como ASes (Sistemas Autónomos), y enrutan datos con un protocolo conocido como BGP (Border Gateway Protocol). En los últimos años, el tamaño de la tabla de enrutamiento BGP ha aumentado exponencialmente, superando las 100.000 entradas. Incluso con el hardware de enrutamiento aumentando en potencia, apenas puede mantener el ritmo con el tamaño cada vez mayor de la tabla de enrutamiento BGP.

La parte difícil de nuestro escenario MITM es que BGP confía implícitamente en las rutas que otros sistemas autónomos le proporcionan, lo que significa que, con suficiente spam de un AS, cualquier ruta puede conducir a cualquier sistema autónomo. Es la forma más obvia de tráfico MITM, y no es solo teórica: el sitio de la convención de seguridad Defcon fue redirigido al sitio web de un investigador de seguridad en 2007 para demostrar el ataque. Youtube no funcionaba en varios países asiáticos cuando Pakistán censuró el sitio y declaró erróneamente que su propia ruta (muerta) era la mejor para varios AS fuera de Pakistán.

Un puñado de grupos académicos recolectan información de enrutamiento BGP de los AS cooperantes para monitorear las actualizaciones BGP que cambian las rutas de tráfico. Pero sin contexto, puede ser difícil distinguir un cambio legítimo de un secuestro malicioso. Las rutas de tráfico cambian todo el tiempo para hacer frente a desastres naturales, fusiones de empresas, etc.

Siguiente para discutir sobre la lista de 'Vectores de ataque MITM Global' es el Sistema de nombres de dominio (DNS).

Aunque el servidor DNS de ISC BIND ha resistido la prueba del tiempo y ha salido relativamente indemne (al igual que las ofertas DNS de Microsoft y Cisco), se han encontrado algunas vulnerabilidades notables que podrían poner en peligro todo el tráfico utilizando nombres canonicalizados en Internet (es decir, prácticamente todos tráfico).

Ni siquiera me molestaré en discutir la investigación de Dan Kaminsky sobre el ataque de envenenamiento de caché de DNS, ya que ha sido golpeado hasta la muerte en otro lugar, solo para que Blackhat - Las Vegas le otorgue el 'error más sobrevalorado'. Sin embargo, existen varios otros errores de DNS que han comprometido gravemente la seguridad de Internet.

El error de la zona de actualización dinámica bloqueó los servidores DNS y tenía el potencial de comprometer de forma remota las máquinas y los cachés DNS.

El Error de Firmas de Transacción permitió el compromiso total de la raíz remota de cualquier servidor que ejecuta BIND en el momento en que se anunció la vulnerabilidad, lo que obviamente permitió comprometer las entradas de DNS.

Finalmente , debemos analizar el envenenamiento ARP , el retroceso 802.11q , el secuestro de troncales STP , la inyección de información de enrutamiento RIPv1 y la gran cantidad de ataques para las redes OSPF.

Estos ataques son los 'familiares' de un administrador de red para una empresa independiente (con razón, teniendo en cuenta que estos pueden ser los únicos sobre los que tienen control). Discutir los detalles técnicos de cada uno de estos ataques es un poco aburrido en esta etapa, ya que todos los que están familiarizados con la seguridad básica de la información o TCP han aprendido el envenenamiento por ARP. Los otros ataques son probablemente una cara familiar para muchos administradores de red o aficionados a la seguridad del servidor. Si esto le preocupa, existen muchas utilidades de defensa de red muy buenas, que van desde utilidades gratuitas y de código abierto como Snort hasta el software de nivel empresarial de Cisco y HP. Alternativamente, muchos libros informativos cubren estos temas, demasiado numerosos para discutirlos, pero varios que he encontrado útiles en la búsqueda de la seguridad de la red incluyen The Tao of Network Security Monitoring , Network Security Architectures y el clásico Network Warrior

En cualquier caso, me resulta un tanto inquietante que las personas asuman que este tipo de ataques requieren acceso de nivel ISP o gubernamental. No requieren más de lo que el CCIE promedio tiene en conocimiento de redes y las herramientas apropiadas (es decir, HPING y Netcat, no exactamente herramientas teóricas). Mantente alerta si quieres mantenerte seguro.

Aquí hay un escenario MITM que me preocupa:

Digamos que hay una gran convención en un hotel. ACME Anvils y Terrific TNT son importantes competidores en la industria del peligro de los dibujos animados. A alguien con un interés personal en sus productos, especialmente los nuevos en desarrollo, le encantaría poner sus patas en sus planes. Lo llamaremos WC para proteger su privacidad.

WC se registra temprano en el famoso Hotel para darle tiempo para instalarse. Él descubre que el hotel tiene puntos de acceso wifi llamados FamousHotel-1 a ​​través de FamousHotel-5. Entonces, establece un punto de acceso y lo llama FamousHotel-6 para que se mezcle con el paisaje y lo conecte con uno de los otros AP.

Ahora, los congresistas comienzan a registrarse. Sucede que uno de los mayores clientes de ambas compañías, lo llamaremos RR, se registra y obtiene una habitación cerca de WC. Configura su computadora portátil y comienza a intercambiar correos electrónicos con sus proveedores.

WC está riendo maniáticamente! "¡Mi plan tortuoso está funcionando!", Exclama. ¡AUGE! ¡CHOQUE! Simultáneamente, es golpeado por un yunque y un paquete de TNT. Parece que los equipos de seguridad de ACME Anvils, Terrific TNT, RR y Famous Hotel estaban trabajando juntos anticipando este mismo ataque.

Beep beep!

Editar:

Qué tan oportuno ^* : Consejo de viaje: Cuidado con los "honeypots" de wi-fi del aeropuerto

^{* Bueno, fue oportuno que apareciera en mi fuente RSS.}

Depende completamente de la situación. ¿Cuánto confías en tu ISP? ¿Cuánto sabe sobre la configuración de su ISP? ¿Y qué tan segura es su propia configuración?

La mayoría de los "ataques" como este ahora son muy probables cuando el malware troyano intercepta las pulsaciones de teclas y las contraseñas de los archivos. Sucede todo el tiempo, solo que no se nota ni se informa mucho.

¿Y con qué frecuencia se filtra información dentro del nivel de ISP? Cuando trabajaba para un pequeño ISP, estábamos revendiendo otro nivel de acceso más alto. Entonces, una persona que llamó a nosotros entró en nuestra red, y si no estaba hablando con nuestro servidor web o servidor de correo, el tráfico se dirigió a un proveedor de nivel superior, y no tenemos idea de quién hizo qué con sus datos en su red, o cuán confiables eran sus administradores.

Si desea saber cuántos puntos alguien podría "potencialmente" ver su tráfico hacer una ruta de seguimiento y verá tanto como responderá en cada punto de enrutamiento. Eso supone que los dispositivos ocultos no están entre algunos de esos. Y que esos dispositivos son en realidad enrutadores y no algo disfrazado de enrutadores.

La cuestión es que no puedes saber qué tan frecuentes son los ataques. No hay regulaciones que digan compañías tienen que revelar ataques descubiertos a menos que su información crediticia se vea comprometida. La mayoría de las empresas no lo hacen porque es vergonzoso (o demasiado trabajo). Con la cantidad de malware que flota por ahí, probablemente sea mucho más frecuente de lo que piensas, e incluso entonces la clave es haber descubierto el ataque. Cuando el malware funciona correctamente, la mayoría de los usuarios no sabrán cuándo sucede. Y el escenario real de persona que se molesta y snoops-tráfico-en-un-proveedor es el que las compañías no informan a menos que tengan que hacerlo.

Por supuesto, estos ignoran los escenarios en los que las empresas se ven obligadas a mantener registros de su tráfico y divulgarlos a las agencias gubernamentales sin avisarle. Si se encuentra en los EE. UU., Gracias a la Ley Patriota, las bibliotecas y los ISP pueden verse obligados a registrar sus viajes de datos, correos electrónicos e historial de navegación sin decirle que están recopilando información sobre usted.

En otras palabras, no hay datos concretos sobre cuán frecuentes son los ataques MITM y de intercepción en los usuarios, pero hay evidencia que sugiere que es más alto de lo que sería cómodo, y la mayoría de los usuarios no se preocupan lo suficiente como para obtener esa información.

La verdadera pregunta es "¿cuánto de mis recursos limitados debería dedicar a los ataques MITM en lugar de en otro lugar?"

Esto depende en gran medida de la naturaleza de las comunicaciones involucradas y no tiene una respuesta única. En mi experiencia, no es un gran riesgo en relación con otros riesgos de seguridad, pero generalmente es barato para minimizar (por ejemplo: un certificado SSL y usar HTTPS a menudo es suficiente), por lo que es más barato arreglarlo que pasar el tiempo evaluando cuánto Un riesgo que podría ser.

¿Tiene un punto de acceso inalámbrico en casa? ¿Un servidor proxy en el trabajo?

Cualquiera de esos puntos de entrada / salida puede verse comprometido sin una gran conspiración del gobierno / isp. También es posible que los componentes de la infraestructura de un ISP se vean comprometidos.

¿Usas un navegador web? Es bastante trivial configurar un navegador para dirigir el tráfico a un hombre en el medio. Ha habido malware de navegador que redirigió ciertas transacciones bancarias y de corretaje utilizando este método, particularmente para pequeñas empresas con privilegios de transferencia.

La seguridad se trata de la gestión de riesgos ... hay dos atributos básicos para abordar el riesgo: probabilidad de ocurrencia e impacto. La probabilidad real de que tenga un accidente automovilístico grave es muy baja, pero el impacto en su seguridad personal es alto, por lo que se abrocha el cinturón de seguridad y coloca a su bebé en el asiento del automóvil.

Cuando la gente se vuelve perezosa y / o barata, a menudo el resultado es un desastre. En el Golfo de México, BP ignoró todo tipo de factores de riesgo porque creían que transferían el riesgo a los contratistas y pensaron que habían perforado suficientes pozos sin incidentes, por lo que la probabilidad de un incidente era muy baja.

Los ataques MitM se encuentran casi exclusivamente en la red local. Aprovechar una conexión a través de Internet requiere acceso a nivel de ISP o de gobierno, y es muy raro que alguien con ese nivel de recursos busque sus datos.

Una vez que alguien ingresa a su red, entonces tiene serios problemas, pero fuera de eso, probablemente esté bien.

@Craig: en tu edición tienes información errónea. La red inalámbrica no está basada en transmisión. Los datos que se transmiten en una sesión de comunicación inalámbrica (entre el cliente inalámbrico y el punto de acceso inalámbrico) no se "transmiten" para que todos los escuchen. El cliente inalámbrico se asocia con el AP y la comunicación se produce entre dicho cliente y AP. Si quisiste decir que los datos se transmiten porque están encapsulados en una señal de radio que se "transmite", entonces sí, se pueden detectar con equipos inalámbricos muy específicos (adaptadores inalámbricos compatibles con RMON) y herramientas de software. Los clientes inalámbricos que no se han asociado con el mismo AP no tienen ningún mecanismo para interceptar o "escuchar" el tráfico inalámbrico, excepto con el equipo mencionado anteriormente. Las comunicaciones inalámbricas en redes TCP \ IP funcionan esencialmente de la misma manera que las redes cableadas, excepto por los medios de transmisión: ondas de radio en lugar de cables físicos. Si el tráfico WiFi se transmitiera para que todos lo escucharan, nunca habría salido del tablero de dibujo.

Dicho esto, creo que las redes inalámbricas representan un mayor riesgo para los ataques MITM porque no se requiere acceso físico para acceder a la red inalámbrica para "inyectar" un sistema no autorizado para interceptar el tráfico.