it-swarm-id.com

Apakah serangan "manusia di tengah" sangat jarang?

Dalam "Beberapa pemikiran tentang kontroversi daftar kontak iPhone dan keamanan aplikasi" , cdixon blog

Chris Dixon membuat pernyataan tentang keamanan web

Banyak komentator menyatakan bahwa risiko keamanan utama adalah fakta bahwa data ditransmisikan dalam teks biasa. Mengenkripsi melalui kabel selalu merupakan ide yang bagus tetapi pada kenyataannya serangan "man-in-the-middle" sangat jarang. Saya akan khawatir terutama tentang kasus yang jauh lebih umum dari 1) seseorang (orang dalam atau orang luar) mencuri dalam database perusahaan, 2) panggilan pengadilan pemerintah untuk database perusahaan. Perlindungan terbaik terhadap risiko-risiko ini adalah mengenkripsi data sedemikian rupa sehingga peretas dan perusahaan itu sendiri tidak dapat meng-enkripsinya (atau untuk tidak mengirim data ke server sejak awal).

Saya bertanya-tanya apakah ada data dunia nyata yang dingin, keras, dan nyata untuk mendukung pernyataan itu - apakah serangan "manusia di tengah" sebenarnya jarang terjadi di dunia nyata, berdasarkan data yang dikumpulkan dari intrusi aktual atau insiden keamanan?

135
Jeff Atwood

Sumber daya favorit saya saat ini untuk data dunia nyata yang dingin, keras, dan nyata adalah Laporan Investigasi Pelanggaran Data Verizon 2011 . Kutipan dari halaman 69 laporan:

Tindakan

Tiga kategori tindakan ancaman teratas adalah Peretasan, Malware, dan Sosial. Jenis tindakan peretasan yang paling umum digunakan adalah penggunaan kredensial login curian, mengeksploitasi backdoors, dan serangan man-in-the-middle.

Dari membaca itu, saya menyimpulkan bahwa itu adalah tindakan sekunder yang digunakan setelah seseorang memiliki pijakan dalam sistem, tetapi data Unit Kejahatan Teknologi Tinggi Belanda mengatakan itu cukup kredibel untuk diperhatikan. Dari 32 pelanggaran data yang menyusun statistik mereka, 15 melibatkan tindakan MITM.

Pasti tidak berhenti di situ. Seluruh laporan itu adalah tambang emas bacaan dan karya terbaik yang saya temui untuk menunjukkan di mana ancaman sebenarnya berada.

Untuk referensi yang lebih kabur tentang serangan dan metode MiTM, lihat juga jawaban yang sangat baik untuk serangan MITM - seberapa besar kemungkinannya? Pada Serverfault.

Saya akan melangkah lebih jauh dengan mengatakan bahwa setiap instance dari root SSL batuk sertifikat buruk adalah tanda serangan, jika tidak mereka akan menjadi kompromi yang tidak berguna. Akhirnya, karena saya pria itu, saya pasti akan mencoba untuk menyambung ke kotak jaringan Anda di luar gedung jika saya melakukan pentest Anda. Seseorang dapat melakukan hal-hal menakjubkan dengan radio perangkat lunak bahkan pada koneksi kabel.

103
Jeff Ferland

Jawaban sederhananya adalah tidak - ada banyak bukti bahwa serangan seperti ini biasa terjadi.

Beberapa kontrol yang dibawa oleh bank (otentikasi dua faktor dll) sebagian diperlukan untuk memerangi serangan MITM yang semakin umum pada pelanggan.

Meskipun ada bentuk-bentuk serangan lain (kompromi klien adalah yang baik) yang sekarang mungkin lebih mudah dilakukan melalui penggunaan malware untuk menempatkan trojan pada PC klien, MITM masih relatif mudah dalam kebanyakan kasus.

Fakta inti yang perlu diingat adalah bahwa penjahat cenderung bekerja dengan pengembalian investasi yang baik. ROI untuk penyerang sangat bagus:

  • risiko rendah tertangkap
  • risiko fisik yang rendah
  • beberapa upaya dalam mengkode eksploitasi dapat menyebabkan keuntungan moneter dunia nyata
  • kode tersebut kemudian dapat digunakan kembali atau dijual kepada penjahat lain

Seperti yang dikatakan @CanBerk, kami tidak akan pernah mendapatkan protokol 'sepenuhnya aman', tetapi membuat hidup lebih sulit bagi penjahat adalah solusi parsial. MITM tidak akan hilang sampai dibuat terlalu sulit untuk menjadi menguntungkan.

29
Rory Alsop

The kompromi terbar otoritas sertifikat DigiNotar menghasilkan penerbitan lebih dari 500 sertifikat pals untuk google.com, Microsoft.com, cia.gov, dan ratusan situs lainnya. Sertifikat ini entah bagaimana berhasil masuk ke 40 ISP Iran yang berbeda, menghasilkan serangan besar-besaran di tengah-tengah , dikonfirmasi untuk memiliki mempengaruhi lebih dari 300.000 pengguna Iran selama beberapa bulan.

Peretas yang bertanggung jawab - dikonfirmasi menjadi sama dengan yang bertanggung jawab atas serangan sebelumnya terhadap CA Comodo - mengklaim memiliki akses penuh ke lima CA lainnya, meskipun dia (mereka) hanya menyebutkan salah satu dari mereka .

Jadi ya, Serangan manusia di tengah adalah ancaman yang sangat nyata , bahkan hari ini.


Catatan: Untuk mencegah serangan semacam ini terjadi pada Anda, pertimbangkan untuk menggunakan program/addon untuk melacak sertifikat untuk perubahan yang mencurigakan, seperti Patroli Sertifikat , atau coba salah satu dari suka penggantian baru untuk model sertifikat-otoritas yang dibicarakan semua orang.

Jawaban ini sebagian besar tentang pernyataan Chris Dixon lebih dari menjawab "Berapa banyak serangan yang datang dari MiTM".

Jika kita menyatakan dengan cara yang berbeda kita bisa menjadi MiTM dan konsekuensi yang diberikan, saya pikir kita bisa membuat beberapa kesimpulan apakah kita peduli seberapa lazimnya serangan MiTM.

Jika kita melihat beberapa risiko untuk situasi yang berbeda kita dapat memiliki sesuatu seperti:

  • Seseorang mencuri database melalui eksploitasi aplikasi web itu sendiri?
  • Seseorang menyerang pengguna/admin melalui serangan MiTM

Saya akan mengatakan yang pertama memiliki dampak yang jauh lebih besar (secara umum) dan harus dalam banyak hal dimitigasi paling banyak dan diperlakukan yang pertama.

Jadi untuk poin 2 untuk menang atas poin 1 Saya pikir bahwa MiTM harus benar-benar gila bagi kita untuk menghargainya setinggi hambatan keamanan seperti poin 1 (Seperti ditunjukkan Chris dalam kutipan)!

Sekarang jika kita melihat vektor serangan yang berbeda. Pertama untuk MiTM. Untuk menjadi MiTM, misalnya:

  • Memiliki jalur akses nirkabel yang tidak benar. Ini sepele, tetapi untuk serangan bertarget Anda harus berada di lokasi fisik yang sama dengan korban menggunakan aplikasi web Anda.
  • Mengendus data nirkabel tidak terenkripsi atau data yang datang melalui HUB (mereka bahkan ada lagi?)
  • Gunakan ARP Poisoning untuk menyerang pengguna. Tidak sepele kecuali Anda berada di jaringan yang sama dengan pengguna yang ditargetkan menggunakan webapp Anda.
  • Keracunan Cache DNS. Agar ini berfungsi, Anda perlu meracuni DNS yang digunakan oleh pengguna yang ditargetkan. Jika DNS tidak diatur dengan benar, serangan ini menjadi agak sepele untuk dilakukan, namun ada banyak hal yang dapat diandalkan agar ini berfungsi.
  • Serangan phishing. Ini masih menipu pengguna yang tidak menaruh curiga dan naif, namun banyak tanggung jawab terletak pada pengguna.

Semua ini hanya untuk menyerang satu atau sebagian kecil pengguna. Meski begitu, menyerang pengguna ini akan memberi mereka peringatan di browser mereka (ada cara untuk menyerang ini juga, tapi saya tidak mengambilnya di sini). Hanya dengan mengkompromikan CA root atau dengan menemukan kekurangan dalam algoritma yang digunakan untuk menghasilkan sertifikat Anda akan diizinkan untuk berpose sebagai penerbit sertifikat tepercaya.

Jika kita di sisi lain melihat semua hal jahat potensial yang dapat kita lihat jika kita tidak berinvestasi dalam keamanan yang cukup dari webapp itu sendiri kita melihat vektor serangan seperti:

  • Injeksi SQL - sepele dan mudah untuk dieksploitasi dan ditemukan. Dampak kerusakan sangat tinggi.
  • XSS (Cross Site Scripting) - mudah ditemukan, lebih sulit untuk dieksploitasi. Saya pikir kita akan melihat dampak pengguna yang lebih tinggi dan lebih tinggi dari ini di masa depan. Saya melihat ini menjadi tren "Injeksi SQL baru" yang telah kita lihat di masa lalu.
  • CSRF (Pemalsuan Permintaan Lintas Situs) - Sedang untuk ditemukan, moderat untuk dieksploitasi. Ini akan mengharuskan pengguna menavigasi ke situs yang sudah dimiliki, memicu permintaan ke webapp Anda yang akan melakukan transaksi atas nama pengguna.

Jadi dengan hanya menyebutkan beberapa ini, tetapi metode populer untuk menyerang webapp dan menjadi MiTM, saya akan menyerahkannya pada analisis risiko/konsekuensi spesifik dari organisasi tertentu yang Anda coba amankan, apakah Anda harus membela pengguna Anda secara langsung atau tidak dengan menerapkan SSL atau dengan membela webapp secara keseluruhan (yang juga mencakup properti intelektual, data pengguna, data sensitif, data potensial yang dapat melanggar aplikasi lain, dan sebagainya).

Jadi menurut saya, saya sangat setuju dengan pernyataan Chris Dixon. Prioritaskan pengamanan webapp sebanyak yang Anda bisa sebelum Anda mulai berpikir untuk mengamankan lapisan transport.

Edit: Di samping catatan: Halaman-halaman seperti Facebook, Gmail dan lainnya sedang diserang MiTM berat selama Firesheep. Ini hanya bisa dikurangi melalui SSL dan kesadaran.

Namun jika Anda memikirkannya, mengendus lalu lintas nirkabel dengan Firesheep dan membajak sesi akan memerlukan LAN nirkabel yang Anda sambungkan agar tidak memiliki enkripsi apa pun.

Ketika saya pergi perang-mengemudi hari ini telah secara dramatis mengurangi jumlah AP nirkabel terbuka dan juga dalam jumlah AP diaktifkan WEP. Kami terus melihat semakin banyak AP terenkripsi WPA2 yang dalam kebanyakan kasus memberi kami keamanan yang cukup.

Sekarang, apa risiko seseorang menciptakan alat yang mudah dan nyaman untuk mengendus dan membajak sesi pengguna Anda? Apa dampaknya bagi para pengguna? Ini juga dapat dikurangi dengan cara yang berbeda (mengautentikasi ulang pengguna ketika datang dari jejak kaki yang berbeda pada saat yang sama, memberi tahu pengguna ketika ada sesuatu yang terlihat salah (gmail adalah contoh yang bagus untuk ini)).

7
Chris Dale

Tidak menemukan kertas statis atau putih yang menyertakan data dunia nyata yang Anda inginkan.

Namun, saya ingin menambahkan bahwa serangan MitM dalam perusahaan terjadi setiap hari dan lebih dari sekali. Beberapa vendor keamanan memiliki solusi untuk memindai lalu lintas terenkripsi (misalnya, Palo Alto Networks ) dan setidaknya perusahaan tempat saya bekerja saat ini telah mengaktifkan fitur ini.

Untuk melakukan ini, perangkat firewall/proxy hanya diberikan sertifikat dari Otoritas Sertifikat internal (CA) yang sudah dipercaya oleh semua klien. Ketika suatu aplikasi meminta koneksi yang aman, perangkat firewall/proxy menghasilkan sertifikat baru untuk server target dengan cepat dan mengirimkannya ke klien. Karena klien mempercayai CA internal, ia juga mempercayai sertifikat perangkat dan dengan senang hati akan memulai koneksi "aman".

2
Tex Hex

Saya cukup yakin mengendus kata sandi pada jaringan nirkabel sangat umum. Lihat saja berapa tutorial yang ada di web dari sederhana Google Search atau pencarian Bing .

0
Dare Obasanjo

Saya setuju dengan daramarak bahwa akan sangat sulit untuk menemukan data dunia nyata tentang serangan MitM. Salah satu alasannya adalah, serangan MitM pada dasarnya ditargetkan pada individu, sedangkan serangan seperti DDoS atau injeksi SQL biasanya ditargetkan pada perusahaan, organisasi, dll.

Karenanya, saat kami melihat laporan DDoS/injeksi/apa pun hampir setiap hari, informasi mengenai serangan MitM biasanya bersifat akademis (mis. "Twitter adalah DDoS!" Vs. vs. "SSL rentan terhadap MitM")

Namun, perlu dicatat bahwa "jarang" tidak selalu berarti "keras." Kebanyakan serangan MitM bisa dibilang jauh lebih mudah untuk ditarik daripada kebanyakan jenis serangan lainnya, dan banyak protokol yang kita gunakan sehari-hari rentan terhadap serangan semacam itu dalam satu atau lain cara, hanya karena cukup sulit untuk merancang protokol yang sepenuhnya aman terhadap MitM. Ini sebenarnya merupakan kasus untuk sebagian besar masalah keamanan, sebagian besar solusi adalah "upaya terbaik" sebagai lawan dari "sepenuhnya dan benar-benar aman."

Oleh karena itu, saya pikir alasan utama bahwa serangan MitM kurang umum adalah bahwa biasanya tidak perlu/insentif untuk melakukan serangan.

0
Can Berk Güder