MITM Methoden, Erkennung und Best Practices zur Prävention
2023 Mid-Year Threat ReportMan-in-the-Middle-Angriffe (MITM) sind eine gängige Art eines Cyberangriffs, mit dem Angreifer sich in die Kommunikation zwischen zwei Zielpersonen einschalten. Der Angriff tritt zwischen zwei rechtmäßig kommunizierenden Hosts auf, was es dem Angreifer ermöglicht, eine Unterhaltung mitzuhören, die für ihn normalerweise nicht zugängig sein sollte, daher der Name „Man-in-the-Middle“.
Hier ein Vergleich: Alice und Robert unterhalten sich, und Eva möchte mithören, aber gleichzeitig transparent bleiben. Eva könnte Alice sagen, sie sei Robert, und sich bei Robert als Alice ausgeben. Das würde dazu führen, dass Alice der Meinung ist, sie spricht mit Robert, obwohl sie ihren Teil des Gesprächs für Eva freigibt. Eva könnte dann Informationen sammeln, die Antwort ändern und die Mitteilung an Robert weitergeben (der glaubt, mit Alice zu sprechen). Infolgedessen kann Eva die Unterhaltung transparent kontrollieren.
Mit WLAN-Karten ausgestattete Geräte versuchen häufig, sich automatisch mit dem Zugangspunkt (Access Points) zu verbinden, der das stärkste Signal sendet. Angreifer können ihren eigenen WLAN-Zugangspunkt einrichten und in der Umgebung befindliche Geräte dazu verleiten, ihrer Domäne beizutreten. Der gesamte Netzwerkverkehr des Opfers kann dann vom Angreifer manipuliert werden. Das ist gefährlich, weil der Angreifer nicht einmal in einem vertrauenswürdigen Netzwerk sein muss, um dies umzusetzen. Der Angreifer muss sich dazu nur in ungefährer physischer Nähe befinden.
ARP ist das Address Resolution Protocol. Es wird verwendet, um IP-Adressen auf physische MAC (Medienzugänge) in einem lokalen Netzwerk (LAN) aufzulösen. Wenn ein Host mit einer bestimmten IP-Adresse kommunizieren muss, greift er dabei auf den ARP-Cache zurück, um die IP-Adresse in eine MAC-Adresse aufzulösen. Ist die Adresse nicht bekannt, wird eine Anfrage nach der MAC-Adresse des Geräts mit dieser IP-Adresse angefordert.
Ein Angreifer, der sich als ein anderer Host ausgeben möchte, könnte mit seiner eigenen MAC-Adresse auf Anfragen reagieren, auf die er nicht reagieren sollte. Mit wenigen genau platzierten Paketen kann ein Angreifer den privaten Datenverkehr zwischen zwei Hosts aufspüren. Aus diesem Datenverkehr können wertvolle Daten extrahiert werden, z. B. der Austausch von Sitzungs-Tokens, die den vollständigen Zugriff auf Anwendungskonten gewährleisten, auf die ein Angreifer niemals Zugriff haben sollte.
Multicast DNS ist ähnlich wie DNS, aber findet in einem lokalen Netzwerk (LAN) über Broadcasts wie ARP statt. Das macht es zu einem perfekten Ziel für Spoofing-Angriffe. Das lokale Namensauflösungssystem soll die Konfiguration von Netzwerkgeräten so einfach wie möglich gestalten. Benutzer müssen nicht genau wissen, mit welchen Adressen ihre Geräte kommunizieren sollten, sondern überlassen es dem System, diese eigenständig aufzulösen.
Geräte wie Fernseher, Drucker und Unterhaltungssysteme nutzen dieses Protokoll, da sie sich in der Regel in vertrauenswürdigen Netzwerken befinden. Wenn eine App die Adresse eines bestimmten Geräts kennt, z. B. tv.local, kann ein Angreifer leicht mit gefälschten Daten auf diese Anfrage reagieren und sie anweisen, eine Adresse aufzulösen, die er kontrolliert. Da Geräte einen lokalen Cache von Adressen speichern, wird dem Opfer das Gerät des Angreifers für einen bestimmten Zeitraum als vertrauenswürdig angezeigt.
Ähnlich wie ARP in einem LAN IP-Adressen in MAC-Adressen auflöst, löst DNS Domänennamen in IP-Adressen auf. Bei Einsatz eines DNS-Spoofing-Angriffs versucht der Angreifer, korrupte DNS-Cachedaten in einen Host einzuführen, um mit dessen Domänennamen auf einen anderen Host zuzugreifen, z. B. www.onlinebanking.com. Dies führt dazu, dass das Opfer in der Annahme, Daten an eine vertrauenswürdige Quelle zu übertragen, sensible Informationen an einen bösartigen Host sendet. Ein Angreifer, der bereits eine IP-Adresse verschleiert hat, könnte DNS noch leichter täuschen, indem er die IP-Adresse eines DNS-Servers in seine eigene IP-Adresse auflöst.
Angreifer verwenden Paketerfassungs-Tools, um Pakete auf niedrigem Niveau zu inspizieren. Die Verwendung bestimmter WLAN-Geräte, die in einen Überwachungs- oder „Promiscuous“ Modus gesetzt werden können, geben dem Angreifer mitunter Gelegenheit, Pakete zu sehen, die nicht gesehen werden sollen, z. B. Pakete, die an andere Hosts gerichtet sind.
Ein Angreifer kann auch den Überwachungsmodus seines Geräts nutzen, um bösartige Pakete in den Datenkommunikationsfluss einfließen zu lassen. Die Pakete mischen sich unter den gültigen Datenkommunikationsfluss und scheinen Teil der Kommunikation zu sein, sind aber in Wirklichkeit bösartig. Paketinjektion setzt in der Regel ein Aufspüren („Sniffing“) voraus, um zu bestimmen, wann Pakete wie zusammengestellt und versandt werden können.
Die meisten Webanwendungen verwenden einen Anmeldemechanismus, der ein temporäres Sitzungs-Token für künftige Anfragen generiert, um zu vermeiden, dass der Benutzer auf jeder Seite erneut ein Passwort eingeben muss. Ein Angreifer kann sensiblen Datenverkehr aufspüren, um das Sitzungs-Token für einen Benutzer zu bestimmen und sich für Anfragen als der Benutzer auszugeben. Sobald er ein Sitzungs-Token hat, muss sich der Angreifer nicht mehr tarnen.
Da die Verwendung von HTTPS eine geläufige Schutzvorkehrung vor ARP- oder DNS-Spoofing ist, verwenden Angreifer SSL-Stripping, um Pakete abzufangen und die HTTPS-basierenden Adressenanfragen zu ändern, um sie auf ihren vergleichbaren HTTP-Endpunkt zu leiten, was den Host zwingt, unverschlüsselte Anfragen an den Server zu senden. Sensible Informationen können im Klartext freigegeben werden.
Ohne die richtigen Schritte kann es kann schwierig sein, einen Man-in-the-Middle-Angriff zu erkennen. Wenn Sie noch nicht aktiv untersuchen, ob Ihre Kommunikation abgefangen wurde, wird ein Man-in-the-Middle-Angriff möglicherweise erst bemerkt, wenn es zu spät ist. Die Überprüfung auf sachgemäße Seitenauthentifizierung und die Implementierung irgendeiner Form von Manipulationserkennung sind in der Regel die wichtigsten Methoden, um einen möglichen Angriff zu erkennen, aber diese Verfahren erfordern gegebenenfalls eine forensische Analyse nach einem Vorfall.
Es ist wichtig, Vorsichtsmaßnahmen zu ergreifen, um MITM-Angriffe von vornherein zu verhindern, statt sie erkennen zu wollen, während sie aktiv auftreten. Für ein sicheres Netzwerk kann es unumgänglich sein, sich Ihres Browsing-Verhaltens bewusst zu sein und potenziell schädliche Bereiche zu erkennen. Unten haben wir fünf der Best Practices aufgenommen, die verhindern, dass MITM-Angriffe Ihre Kommunikation kompromittieren.
Ein starker Verschlüsselungsmechanismus für WLAN-Zugangspunkte verhindert, dass unerwünschte Benutzer Ihrem Netzwerk beitreten, wenn sie sich in der Nähe aufhalten. Ein schwacher Verschlüsselungsmechanismus ermöglicht es dem Angreifer, zum Zwecke eines Man-in-the-Middle-Angriffs ein Netzwerk mit Brute Force zu infiltrieren. Je stärker die implementierte Verschlüsselung, desto sicherer ist sie.
Es ist wichtig, sicherzustellen, dass Sie Ihre standardmäßige Anmeldung beim Router ändern. Das heißt, nicht nur Ihr WLAN-Passwort, sondern Ihre Router-Zugangsdaten. Wenn ein Angreifer die Anmeldeinformationen für Ihren Router erkennt, kann er Ihre DNS-Server auf seine bösartigen Server umleiten. Oder schlimmstenfalls Ihren Router mit bösartiger Software infizieren.
VPNs können verwendet werden, um innerhalb eines lokalen Netzwerkes eine sichere Umgebung für sensible Informationen zu schaffen. Dazu wird eine auf Schlüsseln basierende Verschlüsselung eingesetzt, um zur sicheren Kommunikation ein Subnetz einzurichten. Auf diese Weise kann ein Angreifer, selbst wenn er in ein geteiltes Netzwerk eingedrungen ist, den Verkehr im VPN nicht entziffern.
Mithilfe eines öffentlich-privaten Schlüsselaustauschs kann HTTPS zur sicheren Kommunikation über HTTP verwendet werden. So wird verhindert, dass der Angreifer mit den aufgespürten Daten irgendetwas anfangen kann. Websites sollten nur HTTPS verwenden und keine HTTP-Alternativen zulassen. Benutzer können Browser-Plugins installieren, um für Anfragen immer HTTPS zu erzwingen.
Man-in-the-Middle-Angriffe setzen in der Regel eine Vortäuschung jeglicher Art ein. Auf den verschiedenen Ebenen des Stacks kann Authentifizierung über Schlüsselpaare wie RSA erfolgen, um zu gewährleisten, dass Sie mit genau den Geräten oder Personen kommunizieren, mit denen Sie auch kommunizieren wollen.