it-swarm-tr.com

"Ortadaki adam" saldırıları çok nadir mi?

"iPhone kişi listesi tartışması ve uygulama güvenliği hakkında bazı düşünceler" , cdixon blog

Chris Dixon, web güvenliği hakkında açıklama yapıyor

Birçok yorumcu, birincil güvenlik riskinin verilerin düz metin olarak iletilmesi olduğunu öne sürmüştür. Tel üzerinden şifrelemek her zaman iyi bir fikirdir, ancak gerçekte “ortadaki adam” saldırıları son derece nadirdir. Öncelikle çok daha yaygın vakalar 1) birisinin (içeriden veya dışarıdan) şirketin veritabanını çalması, 2) şirketin veritabanı için bir devlet mahkemesi. Bu risklere karşı en iyi koruma, verileri bilgisayar korsanlarının ve şirketin kendisinin şifrelemesini kaldıramayacak (veya ilk etapta sunuculara gönderemeyecek) şekilde şifrelemektir.

Bu iddiayı yedeklemek için herhangi bir soğuk, zor, gerçek dünya verileri olup olmadığını merak ediyorum - "ortadaki adam" saldırıları aslında nadir saldırılardan veya güvenlik olaylarından toplanan verilere dayalı gerçek dünya?

135
Jeff Atwood

Soğuk, sert, gerçek dünya verileri için en sevdiğim kaynak Verizon 2011 Veri İhlali Araştırmaları Rapor . Raporun 69. sayfasından bir alıntı:

Eylemler

En büyük üç tehdit eylemi kategorisi Hacking, Malware ve Social idi. Kullanılan en yaygın saldırı eylemleri türleri, çalıntı oturum açma kimlik bilgilerinin kullanılması, arka planlardan yararlanma ve ortadaki adam saldırılarıdır.

Bunu okuduktan sonra, birisinin sistemde bir dayanağı olduğunda ikincil bir eylem olduğunu anlıyorum, ancak Hollanda Yüksek Teknoloji Suç Birimi'nin verileri endişe için oldukça güvenilir olduğunu söylüyor. İstatistiklerini oluşturan 32 veri ihlali arasında 15'i MITM eylemi içeriyordu.

Kesinlikle orada durma olsa. Bu raporun tamamı altın bir okuma madeni ve tehditlerin gerçekte nerede olduğunu göstermek için karşılaştığım en iyi iş.

MiTM saldırılarına ve yöntemlerine daha net referanslar için ayrıca --- MITM saldırılarına bu mükemmel cevap - Serverfault'ta ne kadar olasıdır?

Kötü bir sertifikayı öksüren SSL kökünün herhangi bir örneğinin bir saldırı işareti olduğunu söyleyerek daha da ileri gideceğim, aksi takdirde oldukça yararsız tavizler olurdu. Son olarak, ben o adam, ben senin pentest yapsaydım kesinlikle binanın dışındaki ağ kutusuna eklemek için çalışacağım. Kablolu bir bağlantıda bile bir yazılım radyosu ile inanılmaz şeyler yapabilirsiniz.

103
Jeff Ferland

Basit cevap hayır - bu tür bir saldırının yaygın olduğuna dair çok çeşitli kanıtlar var.

Bankalar tarafından getirilen bazı kontroller (iki faktörlü kimlik doğrulama vb.) Kısmen müşterilere daha yaygın olan MITM saldırılarıyla mücadele etmek için gerekliydi.

İstemci PC'ye bir truva atı yerleştirmek için kötü amaçlı yazılım kullanarak gerçekleştirilmesi daha kolay olabilecek başka saldırı biçimleri (müşterinin ödün vermesi iyi bir şey) olsa da, MITM çoğu durumda hala nispeten kolaydır.

Hatırlanması gereken temel gerçek, suçluların iyi bir yatırım getirisi üzerinde çalışma eğilimindedir. Bir saldırganın YG'si çok iyidir:

  • düşük yakalanma riski
  • düşük fiziksel risk
  • sömürüyü kodlamak için bazı çabalar gerçek parasal kazanca yol açabilir
  • kod daha sonra yeniden kullanılabilir veya diğer suçlulara satılabilir

@CanBerk'in dediği gibi, hiçbir zaman 'tamamen güvenli' protokoller almayacağız, ancak suçlular için hayatı zorlaştırmak kısmi bir çözümdür. MITM, kârlı olmak çok zor olana kadar kaybolmayacak.

29
Rory Alsop

Sertifika yetkilisi DigiNotar'ın yeni uzlaşma _ google.com, Microsoft.com, cia.gov ve diğer yüzlerce site için 500'den fazla sahte sertifika verilmesi ile sonuçlandı. Bu sertifikalar bir şekilde 40 farklı İran İSS'sine girdi ve bu da büyük bir ortadaki adam saldırısına , 00.000'den fazla İranlı kullanıcı birkaç ay.

Sorumlu bilgisayar korsanları - onaylandı , CA Comodo'ya daha önce yapılan saldırı) için sorumlu olan aynı (lar - diğer beş CA'ya tam erişime sahip olduğunu iddia ediyor, ancak (onlar) sadece bunlardan biri olarak adlandırılır .

Evet, Ortadaki adam saldırıları bugün bile çok gerçek bir tehdit .


Not: Bu tür saldırıların başınıza gelmesini önlemek için Sertifika Devriyesi gibi şüpheli değişikliklere ilişkin sertifikaları izlemek için bir program/eklenti kullanmayı düşünün veya yeni fantezi) sertifika yetkilisi modelinin yerine geçer herkesin bahsettiği.

Bu cevap çoğunlukla Chris Dixon'un "MiTM'den kaç saldırı geldiğini" yanıtlamaktan daha çok söz konusu.

Farklı bir şekilde MiTM olabileceğini ve verilen sonuçların ortaya çıktığını iddia edersek, MiTM saldırılarının ne kadar yaygın olduğunu umursamadığımız konusunda bazı sonuçlar çıkarabileceğimizi düşünüyorum.

Farklı durumlar için bazı risklere bakarsak, şöyle bir şeyimiz olabilir:

  • Birisi web uygulamasının kendisini kullanarak veritabanını çalmak?
  • MiTM saldırısı yoluyla kullanıcıya/yöneticiye saldıran biri

Birincisinin çok daha büyük bir etkiye sahip olduğunu söyleyebilirim (genellikle) ve birçok yönden en çok hafifletilmeli ve ilki tedavi edilmelidir.

Bu yüzden nokta 2'nin nokta 1'e hakim olması için MiTM'nin nokta 1'e kadar bir güvenlik engeli kadar yüksek değer vermesi için gerçekten çılgınca vahşi olması gerektiğini düşünüyorum (Chris alıntıda belirtildiği gibi)!

Şimdi farklı saldırı vektörlerine bakarsak. MiTM için ilk. MiTM olmak için örneğin:

  • Sahte bir kablosuz erişim noktasına sahip olun. Bu önemsizdir, ancak hedefli bir saldırı için, web uygulamanızı kullanarak kurbanın aynı fiziksel yerinde olmanız gerekir.
  • Şifrelenmemiş kablosuz verileri veya bir HUB'dan gelen verileri koklayın (artık var mı?)
  • Kullanıcılara saldırmak için ARP Zehirlenmesi kullanın. Web uygulamanızı kullanan hedef kullanıcılarla aynı ağda olmadığınız sürece önemsiz değildir.
  • DNS Önbellek Zehirlenmesi. Bunun çalışması için, hedef kullanıcılar tarafından kullanılan DNS'yi zehirlemeniz gerekir. DNS doğru şekilde kurulmazsa, bu saldırı biraz daha önemsiz hale gelir, ancak bunun çalışması için güvenilmesi gereken çok şey vardır.
  • Kimlik avı saldırıları. Bunlar hala şüpheli olmayan ve naif kullanıcıları kandırır, ancak sorumluluğun çoğu kullanıcıya aittir.

Tüm bunlar sadece bir veya küçük bir kullanıcı alt kümesine saldırır. O zaman bile, bu kullanıcılara saldırmak tarayıcılarında bir uyarı verecektir (buna da saldırmanın yolları var, ama bunu buraya almıyorum). Yalnızca kök CA'dan ödün vererek veya sertifikaları oluşturmak için kullanılan algoritmada bir kusur bularak güvenilir bir sertifika sağlayıcısı olarak görünmenize izin verilir.

Öte yandan, web uygulamasının kendisinin yeterince güvenliğine yatırım yapmadığımızı görebildiğimiz tüm potansiyel kötü şeylere bakarsak, aşağıdaki saldırı vektörlerini görürüz:

  • SQL Enjeksiyon - önemsiz ve kullanımı kolay hem keşfetmek. Çok yüksek hasar etkisi.
  • XSS (Siteler Arası Komut Dosyası) - keşfedilmesi kolay, kullanımı daha zor. Gelecekte bundan daha yüksek ve daha yüksek kullanıcı etkisi göreceğimizi düşünüyorum. Bunun, günlerde gördüğümüz "yeni SQL Enjeksiyonu" trendi haline geldiğini öngörüyorum.
  • CSRF (Siteler Arası İstek Sahteciliği) - Keşfetmek için ılımlı, sömürmek için ılımlı. Bu, kullanıcıların zaten sahip olunan bir siteye gitmesini ve web uygulamanız için kullanıcı adına işlem yapacak bir isteği tetiklemesini gerektirir.

Bu nedenle, sadece bu birkaç, ancak hem webapp'a saldırmak hem de MiTM olmak için popüler yöntemlerden bahsederek, kullanıcılarınızı doğrudan SSL uygulamak veya web uygulamasını bir bütün olarak savunmak (fikri mülkiyeti, kullanıcı verilerini, hassas verileri, diğer uygulamaları ihlal edebilecek potansiyel verileri vb. içerir).

Benim düşünceme göre Chris Dixon'un ifadesine çok katılıyorum. Aktarım katmanını korumayı düşünmeye başlamadan önce web uygulamasını mümkün olduğunca güvenli hale getirmeye öncelik verin.

Düzenle: Yan bir not: Facebook, Gmail ve diğerleri gibi sayfalar, Firesheep'in ardından ağır MiTM saldırıları geçiriyordu. Bu ancak SSL ve farkındalık yoluyla azaltılabilir.

Bununla birlikte, bunu düşünürseniz, Firesheep ile kablosuz trafiği koklamak ve oturumları ele geçirmek, bağlı olduğunuz kablosuz LAN'ın herhangi bir şifrelemeye sahip olmamasını gerektirir.

Bugün savaş sürüşüne gittiğimde, açık kablosuz AP'lerin sayısını ve ayrıca WEP etkin AP'lerin sayısını önemli ölçüde azalttı. Çoğu durumda bize yeterli güvenlik sağlayan WPA2 şifreli AP'leri görmeye devam ediyoruz.

Şimdi birisinin kullanıcı oturumlarınızı koklamak ve ele geçirmek için kolay ve kullanışlı bir araç oluşturma riski nedir? Bu kullanıcılar için etkisi nedir? Ayrıca farklı şekillerde de azaltılabilir (aynı anda farklı ayak izlerinden geldiğinde kullanıcının yeniden doğrulanması, bir şey yanlış göründüğünde kullanıcıyı bilgilendirmek (gmail bunun iyi bir örneğidir)).

7
Chris Dale

Sahip olmak istediğiniz gerçek dünya verilerini içeren statik veya beyaz bir kağıt bulamadı.

Bununla birlikte, şirketlerdeki MitM saldırılarının günlük olarak ve birden fazla kez gerçekleştiğini eklemek isterim. Birçok güvenlik satıcısının şifreli trafiği taramak için çözümleri vardır (örneğin, Palo Alto Networks ) ve en azından şu anda çalıştığım şirket bu özelliği etkinleştirdi.

Bunu yapmak için, güvenlik duvarı/proxy aygıtına tüm sertifikalar tarafından zaten güvenilen dahili Sertifika Yetkilisi'nden (CA) bir sertifika verilir. Bir uygulama güvenli bir bağlantı istediğinde, güvenlik duvarı/proxy cihazı hedef sunucu için anında yeni bir sertifika oluşturur ve istemciye gönderir. İstemci dahili CA'ya güvendiğinden, aygıt sertifikasına da güvenir ve mutlu bir şekilde "güvenli" bir bağlantı başlatır.

2
Tex Hex

Kablosuz ağlarda şifreleri koklamanın son derece yaygın olduğundan eminim. Basit bir Google Arama veya Bing arama adresinden web'de bunun için kaç öğretici olduğuna bakın.

0
Dare Obasanjo

Dramarak ile MitM saldırılarında gerçek dünya verilerini bulmanın oldukça zor olacağına katılıyorum. Bunun bir nedeni, MitM saldırılarının doğası gereği genellikle bireyleri hedef alması, DDoS veya SQL enjeksiyonu gibi saldırıların ise genellikle şirketleri, kuruluşları vb. Hedef almasıdır.

Bu nedenle, neredeyse her gün bir DDoS/enjeksiyon/ne olursa olsun rapor görüyor olsak da, MitM saldırılarına ilişkin bilgiler genellikle akademiktir (örn. "Twitter DDoS'd!" Ve "SSL MitM'ye karşı savunmasızdır")

Bununla birlikte, "nadir" in mutlaka "zor" anlamına gelmediğine dikkat edilmelidir. Çoğu MitM saldırısının alınması diğer saldırı türlerinin çoğundan daha kolaydır ve her gün kullandığımız birçok protokol bu tür saldırılara karşı bir şekilde savunmasızdır, çünkü sadece MitM'e karşı tamamen güvenli bir protokol tasarlamak oldukça zordur. Bu aslında çoğu güvenlik sorunu için geçerli, çoğu çözüm "tamamen ve kesinlikle güvenli" olmanın aksine "en iyi çaba".

Bu nedenle, MitM saldırılarının daha az yaygın olmasının temel nedeni, genellikle bir tane yapmak için gerekli/teşvikin olmamasıdır.

0
Can Berk Güder