Question:
Les attaques de type «homme du milieu» sont-elles extrêmement rares?
Jeff Atwood
2012-02-23 01:36:22 UTC
view on stackexchange narkive permalink

Dans "Quelques réflexions sur la controverse sur la liste de contacts iPhone et la sécurité des applications", blog cdixon

Chris Dixon fait une déclaration sur la sécurité Web

De nombreux commentateurs ont suggéré qu'un risque majeur pour la sécurité est le fait que les données sont transmises en texte brut. Le chiffrement par fil est toujours une bonne idée, mais en réalité les attaques de type "homme du milieu" sont extrêmement rares. Je m'inquiéterais principalement des cas beaucoup plus courants de 1) quelqu'un (initié ou outsider) voler dans la base de données de l'entreprise, 2) une assignation du gouvernement pour la base de données de l'entreprise. La meilleure protection contre ces risques est de crypter les données de manière à ce que les pirates et l'entreprise elle-même ne puissent pas les déchiffrer (ou ne pas envoyer les données aux serveurs en premier lieu).

Je me demande s'il existe des données du monde réel, froides et dures pour étayer cette affirmation - les attaques de type "homme du milieu" sont-elles réellement rares dans le monde réel, sur la base des données recueillies auprès de des intrusions ou des incidents de sécurité réels?

Si de telles données existent, ne serait-ce pas probablement des chiffres sombres beaucoup plus élevés? J'imagine que de nombreuses entreprises ne rapporteraient pas de telles attaques.
J'ai récemment posé une question SO à ce sujet. http://stackoverflow.com/questions/8829507. J'ai fini par mettre en place un certificat SSL pour que le site Web en question soit sûr, mais j'avais des doutes quant à savoir s'il empêchera jamais une tentative d'attaque MIM.
L'Iran n'a-t-il pas utilisé le MITM en combinaison avec des certificats frauduleux pour observer sa pauvreté?
@ordag - [Oui] (https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack). "Le [rapport officiel sur les attaques de Fox-IT] (http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version- 1.html) inclut des données de DigiNotar qui suggèrent que plus de 300 000 internautes (principalement iraniens) peuvent avoir vu leurs communications interceptées ".
Le commentaire original de Chris Dixon est confus. Le gros problème sur le Web aujourd'hui est l'écoute et non les attaques de type "man-in-the-middle". Autrement dit, le problème est que quelqu'un écoute et découvre votre Gmail / Hotmail / Yahoo! Les informations d'identification l'utilisent ensuite pour envoyer du spam dans votre dos, pas qu'ils prétendent être Gmail / Hotmail / Yahoo! et vous pensez que vous envoyez un e-mail mais en réalité vous tapez votre message sur le serveur de l'attaquant.
Voir aussi [Attaques MITM - quelle est leur probabilité?] (Http://serverfault.com/q/152921) sur [sf]
Pour ce que ça vaut, mon employeur nous attaque au MITM. Ils l'utilisent pour surveiller notre courrier électronique et nous empêcher d'envoyer des pièces jointes.
C'est assez courant pour être la politique officielle du gouvernement du pays le plus peuplé du monde ...
La solution danoise d'authentification unique NemID avec authentification à deux facteurs pour les banques et les pages d'accueil publiques a récemment été compromise par des attaques contre deux banques entraînant une perte financière non négligeable. L'attaque était essentiellement une attaque MITM où la victime sans surveillance a été amenée à s'authentifier contre le pirate informatique via un site de phishing ou en étant infectée par un malware. Le pirate informatique utiliserait en temps réel les informations d'authentification pour accéder au compte bancaire.
Cela ne prend qu'une seule fois si cela vous arrive. Ces attaques ont tendance à cibler des cibles spécifiques plutôt que ce qui se trouve sur le serveur. Les résultats ont donc tendance à être plus douloureux pour la ou les cibles, car il y a généralement un objectif en jeu et un plan d'attaque. Ces plans sont généralement plus complexes et plus difficiles à détecter. Et donc plus dangereux.
Et même si c'était extrêmement rare, cela indiquerait simplement qu'il était bien défendu, non pas que vous n'avez pas à vous en soucier. (Les vols qualifiés peuvent être rares dans votre quartier, mais si vous traversez la pire partie de la nuit en attisant une pile de billets de 100 $, il y aura presque certainement un vol de plus que d'habitude.)
En pourcentage de la somme totale de toutes les interactions, les attaques de type * quelconque * sont extrêmement rares. En pourcentage d'attaque contre une cible donnée ... eh bien cela dépend du type de cible.
Huit réponses:
Jeff Ferland
2012-02-23 03:17:36 UTC
view on stackexchange narkive permalink

Ma ressource actuelle préférée pour les données du monde réel, froides et concrètes est le rapport d'enquête sur les violations de données Verizon 2011. Un extrait de la page 69 du rapport:

Actions

Les trois principales catégories d'action contre les menaces étaient le piratage, les logiciels malveillants et les réseaux sociaux. Les types d'actions de piratage les plus couramment utilisés étaient l'utilisation d'identifiants de connexion volés, l'exploitation de portes dérobées et les attaques de type «man-in-the-middle».

À la lecture de cela, j'en déduis que c'est une action secondaire utilisée une fois que quelqu'un a pris pied dans le système, mais les données du Dutch High Tech Crime Unit indiquent qu'il est tout à fait crédible de s'inquiéter. Sur les 32 violations de données qui composent leurs statistiques, 15 impliquaient des actions MITM.

Ne vous arrêtez certainement pas là. L'ensemble de ce rapport est une mine d'or de lecture et le meilleur travail que j'ai rencontré pour montrer où se trouvent réellement les menaces.

Pour des références plus floues aux attaques MiTM et méthodes, voir aussi cette excellente réponse aux attaques MITM - quelle est leur probabilité? sur Serverfault.

J'irais plus loin en disant que toute instance d'une racine SSL crachant un mauvais certificat est le signe d'une attaque, sinon ce serait des compromis assez inutiles. Enfin, parce que je suis ce type , j'essaierais certainement de me connecter à votre boîtier réseau à l'extérieur du bâtiment si je faisais votre pentest. On peut faire des choses incroyables avec une radio logicielle, même sur une connexion filaire.

Existe-t-il un moyen de détecter cette attaque? J'ai des raisons de m'inquiéter à ce sujet, donc un moyen semi-infaillible pour détecter ce type de violation serait très utile.
@Javy C'est plus que ce que je peux dire dans un commentaire. Je suggère de commencer une nouvelle question: "Puis-je détecter une attaque MITM?" La réponse brève est «parfois avec effort».
Faites un lien avec / la nouvelle question si vous le faites :)
@dolan http: // security.stackexchange.com / q / 12066/836
Rory Alsop
2012-02-23 03:09:28 UTC
view on stackexchange narkive permalink

La réponse simple est non - il existe une grande variété de preuves que ce type d'attaque est courant.

Certains des contrôles apportés par les banques (authentification à deux facteurs, etc.) étaient en partie nécessaires pour combattre les attaques MITM de plus en plus courantes contre les clients.

Bien qu'il existe d'autres formes d'attaque (la compromission du client est une bonne chose) qui peuvent maintenant être plus faciles à réaliser grâce à l'utilisation de logiciels malveillants pour placer un cheval de Troie sur le PC client, MITM est encore relativement simple dans la plupart des cas.

Le fait essentiel à retenir est que les criminels ont tendance à travailler sur un bon retour sur investissement. Le retour sur investissement d'un attaquant est très bon:

  • faible risque d'être attrapé
  • faible risque physique
  • un effort de codage de l'exploit peut conduire à gain monétaire dans le monde réel
  • le code peut ensuite être réutilisé ou vendu à d'autres criminels

Comme @CanBerk l'a dit, nous n'obtiendrons jamais de 'complètement sécurisé '', mais rendre la vie plus difficile aux criminels est une solution partielle. Le MITM ne disparaîtra pas tant qu'il n'aura pas été trop difficile pour être rentable.

BlueRaja - Danny Pflughoeft
2012-02-23 04:32:43 UTC
view on stackexchange narkive permalink

Le récent compromis de l'autorité de certification DigiNotar a abouti à l'émission de plus de 500 faux certificats pour google.com, microsoft.com, cia.gov et des centaines d'autres des sites. Ces certificats ont en quelque sorte fait leur entrée dans 40 FAI iraniens différents, ce qui a entraîné une attaque massive de l'homme du milieu , a confirmé avoir affecté plus de 300 000 utilisateurs iraniens au cours du cours. plusieurs mois .

Le (s) hacker (s) responsable (s) - confirmé être le (s) même (s) responsable (s) de l ' attaque antérieure contre le CA Comodo - prétend avoir un accès complet à cinq autres CA, bien qu'il (elles) n'en ait nommé qu'une.

Alors oui, Homme -les attaques au milieu sont une menace très réelle , même aujourd'hui.

Remarque: pour éviter que ce type d'attaques ne vous arrive, envisagez d'utiliser un programme / addon pour suivre les certificats pour les modifications suspectes, comme la Patrouille des certificats, ou essayez l'un des nouveaux remplacements sophistiqués pour le modèle d'autorité de certification dont tout le monde parle.

Chris Dale
2012-02-23 03:47:24 UTC
view on stackexchange narkive permalink

Cette réponse concerne plus la déclaration de Chris Dixon que la réponse "Combien d'attaques proviennent de MiTM".

Si nous affirmons la manière différente dont on pourrait devenir MiTM et les conséquences données, je pense que nous pouvons tirer des conclusions pour savoir si nous nous soucions ou non de la prévalence des attaques MiTM.

Si nous examinons certains risques pour les différentes situations, nous pourrions avoir quelque chose comme:

  • Quelqu'un vole la base de données en exploitant l'application Web elle-même?
  • Quelqu'un qui attaque un utilisateur / administrateur via une attaque MiTM

Je dirais que le premier a un impact beaucoup plus important (généralement) et devrait à bien des égards être atténué le plus et traité le premier.

Donc, pour que le point 2 l'emporte sur le point 1, je pense que MiTM devrait vraiment être fou pour que nous le valorisions aussi haut qu'un obstacle de sécurité que le point 1 (comme Chris l'indique dans la citation)!

Maintenant, si nous voyons les différents vecteurs d'attaque. D'abord pour MiTM. Pour devenir MiTM, on pourrait par exemple:

  • Posséder un point d'accès sans fil non autorisé. C'est trivial, mais pour une attaque ciblée, vous devez être au même emplacement physique que la victime en utilisant votre application Web.
  • Sniffer les données sans fil non chiffrées ou les données transitant par un HUB (elles existent même plus?)
  • Utilisez l'empoisonnement ARP pour attaquer les utilisateurs. Pas anodin, sauf si vous êtes sur le même réseau que les utilisateurs ciblés utilisant votre application Web.
  • Empoisonnement du cache DNS. Pour que cela fonctionne, vous devez empoisonner le DNS utilisé par les utilisateurs ciblés. Si le DNS n'est pas correctement configuré, cette attaque devient quelque peu triviale à effectuer, mais il y a beaucoup de choses sur lesquelles compter pour que cela fonctionne.
  • Attaques de phishing. Ceux-ci trompent toujours les utilisateurs naïfs et sans méfiance, mais une grande partie de la responsabilité incombe à l'utilisateur.

Tout cela pour attaquer juste un ou un petit sous-ensemble d'utilisateurs. Même dans ce cas, attaquer ces utilisateurs leur donnera un avertissement dans leurs navigateurs (il existe également des moyens d'attaquer cela, mais je ne parle pas ici). Ce n'est qu'en compromettant une autorité de certification racine ou en trouvant une faille dans l'algorithme utilisé pour générer les certificats que vous seriez autorisé à vous faire passer pour un émetteur de certificats de confiance.

Si, d'un autre côté, nous examinons tous les méchants potentiels des choses que nous pouvons voir si nous n'investissons pas suffisamment dans la sécurité de l'application Web elle-même, nous voyons des vecteurs d'attaque comme:

  • Injection SQL - triviale et facile à exploiter et à découvrir. Impact des dégâts très élevé.
  • XSS (Cross Site Scripting) - facile à découvrir, plus difficile à exploiter. Je pense que cela aura un impact de plus en plus important sur les utilisateurs à l'avenir. Je prévois que cela devient la "nouvelle tendance d'injection SQL" que nous avons vue dans le passé.
  • CSRF (Cross Site Request Forgery) - Modéré à découvrir, modéré à exploiter. Cela exigerait que les utilisateurs accèdent à un site déjà possédé, déclenchant une demande à votre application Web qui ferait une transaction au nom de l'utilisateur.

Donc, en mentionnant simplement ces quelques méthodes, mais populaires, à la fois pour attaquer une application Web et devenir MiTM, je laisserais le soin à une analyse spécifique des risques / conséquences de l'organisation donnée que vous essayez de sécuriser , que vous deviez ou non défendre vos utilisateurs directement en implémentant SSL ou en défendant l'application Web dans son ensemble (qui comprend également la propriété intellectuelle, les données utilisateur, les données sensibles, les données potentielles qui pourraient violer d'autres applications, etc.).

Donc, à mon humble avis, je suis tout à fait d'accord avec la déclaration de Chris Dixon. Donnez la priorité à la sécurisation de l'application Web autant que vous le pouvez avant de commencer à penser à sécuriser la couche de transport.

Modifier : Sur une note latérale: des pages comme Facebook, Gmail et d'autres ont subi de lourdes attaques MiTM au lendemain de Firesheep. Cela ne pouvait être atténué que par SSL et la sensibilisation.

Cependant, si vous y réfléchissez, renifler le trafic sans fil avec Firesheep et détourner les sessions exigerait que le LAN sans fil auquel vous êtes connecté ne dispose d'aucun cryptage.

Quand je fais la guerre aujourd'hui, cela a considérablement réduit le nombre de points d'accès sans fil ouverts et également le nombre de points d'accès compatibles WEP. Nous voyons de plus en plus de points d'accès cryptés WPA2 qui, dans la plupart des cas, nous fournissent une sécurité suffisante.

Maintenant, quel est le risque que quelqu'un crée un outil simple et pratique pour renifler et détourner les sessions de vos utilisateurs? Quel est l'impact pour ces utilisateurs? Cela pourrait également être atténué de différentes manières (ré-authentifier l'utilisateur lorsqu'il provient de différentes empreintes en même temps, avertir l'utilisateur lorsque quelque chose ne va pas (gmail en est un bon exemple)).

Oui, les hubs existent, même si je ne les ai pas encore vus sur les réseaux classiques. Imaginez un laboratoire de test où la plupart des utilisateurs sont blasés sur la sécurité, les administrateurs sont blasés sur les applications Web nécessitant que les mots de passe ou les cookies soient envoyés en clair, les hubs abondent (pour renifler les téléphones pendant les tests - plus facile à configurer qu'un commutateur avec un miroir port), la moitié des ordinateurs ont deux NIC, il y a un panneau de brassage accessible au public, le laboratoire est situé dans un bâtiment partagé et il y a peu de contrôles d'accès à l'entrée. Histoire vraie. J'imagine qu'il y aurait des environnements similaires ailleurs.
Tex Hex
2012-02-23 03:10:51 UTC
view on stackexchange narkive permalink

Il n'a trouvé aucun livre statique ou blanc contenant les données du monde réel que vous vouliez avoir.

Cependant, je voudrais ajouter que les attaques MitM au sein des entreprises se produisent quotidiennement et plus d'une fois. Plusieurs fournisseurs de sécurité ont des solutions pour analyser le trafic chiffré (par exemple, Palo Alto Networks) et au moins l'entreprise pour laquelle je travaille actuellement a activé cette fonctionnalité.

Pour ce faire, le pare-feu / périphérique proxy reçoit simplement un certificat de l'autorité de certification interne (CA) qui est déjà approuvé par tous les clients. Lorsqu'une application demande une connexion sécurisée, le pare-feu / périphérique proxy génère un nouveau certificat pour le serveur cible à la volée et l'envoie au client. Étant donné que le client fait confiance à l'autorité de certification interne, il approuve également le certificat de l'appareil et démarrera avec plaisir une connexion "sécurisée".

alors que c'est l'homme au milieu - c'est un tout petit peu exagéré d'appeler cela une attaque ...
Je suppose que cela dépend de votre point de vue. Comme ils voient des données qu'ils ne sont pas censés voir, je qualifierais cela d'attaque. Mais vous avez raison, du point de vue des administrateurs, cela peut aider à assurer la sécurité du réseau et n'est donc pas qualifié d '"attaque".
Dare Obasanjo
2012-02-23 01:43:57 UTC
view on stackexchange narkive permalink

Je suis sûr que le reniflement des mots de passe sur les réseaux sans fil est extrêmement courant. Il suffit de regarder le nombre de didacticiels disponibles sur le Web à partir d'une simple recherche Google ou d'une recherche Bing.

Le reniflement ne nécessite pas nécessairement d'attaques MitM. Cependant, l'interception du trafic SSL le fait. Je pense que Jeff est plus préoccupé par le plus tard
Le problème est lié à la question de codinghorror en premier lieu. Le cryptage des données via SSL est un bon moyen d'éviter les écoutes clandestines, ce qui pose problème. Une attaque de type `` man-in-the-middle '' est une attaque trop sophistiquée, tandis qu'une personne qui renifle votre mot de passe e-mail / Facebook / Twitter via Wi-Fi est une attaque qui peut être effectuée par toute personne ayant des compétences techniques minimales avec un logiciel standard.
Je suppose que je ne vois pas cela comme un problème avec sa question autant qu'une question différente.
Dare Obasanjo aborde un problème soulevé par Chris Dixon dans la citation et pas nécessairement la question que pose Jeff. Chris Dixon laisse entendre que la possibilité d'afficher des données en texte clair lorsqu'elles passent entre la source et la destination est un MitM. Je pense qu'une association de mots généraux (enfin ... pour moi en tout cas) d'une attaque MitM est quand quelqu'un intercepte et «modifie» les données entre la source et la destination. Son implication est que le visionner suffit pour être considéré comme une attaque. Donc, si votre FAI effectue une sorte d'inspection des paquets ... Je suppose qu'il considérerait cela comme une attaque.
Can Berk Güder
2012-02-23 02:06:44 UTC
view on stackexchange narkive permalink

Je suis d'accord avec Daramarak pour dire qu'il serait assez difficile de trouver des données réelles sur les attaques MitM. Une raison à cela est que les attaques MitM sont par nature généralement ciblées sur des individus, alors que les attaques comme DDoS ou injection SQL sont généralement ciblées sur des entreprises, des organisations, etc.

Par conséquent, alors que nous voyons un DDoS / injection / quel que soit le rapport presque tous les jours, les informations concernant les attaques MitM sont généralement académiques (par exemple "Twitter a été DDoS'd!" contre "SSL est vulnérable à MitM")

Cependant, il convient de noter que "rare" ne signifie pas nécessairement «dur». La plupart des attaques MitM sont sans doute beaucoup plus faciles à tirer que la plupart des autres types d'attaques, et de nombreux protocoles que nous utilisons quotidiennement sont vulnérables à de telles attaques d'une manière ou d'une autre, simplement parce qu'il est assez difficile de concevoir un protocole totalement sécurisé contre MitM. C'est en fait le cas pour la plupart des problèmes de sécurité, la plupart des solutions sont «au mieux» plutôt que «complètement et absolument sécurisées».

Par conséquent, je pense que la principale raison pour laquelle les attaques MitM sont moins courantes est que il n'y a généralement pas besoin / incitation à en réaliser un.

Robert Accettura
2012-02-23 01:43:48 UTC
view on stackexchange narkive permalink

Eh bien, je suppose que s'ils étaient rares, personne ne compromettrait une autorité de certification, mais nous avons vu un certain nombre de tentatives et quelques succès dans ce domaine (suspects, y compris l'Iran).

Je suppose donc que c'est le cas et sera fait. Sinon, pourquoi se donneraient-ils la peine de compromettre un CA. Ce n'est pas la tâche la plus facile au monde. Pourquoi ne pas attaquer directement votre cible?

Cela dit, ils peuvent être rares. Quiconque compromet un CA est probablement assez bon pour couvrir suffisamment de ses pistes pour que nous ne connaissions pas l'étendue de son travail. Honnêtement, je ne laisserais pas passer le gouvernement américain pour avoir fait la même chose au pays et à l'étranger. Je serais en fait surpris si ce n'est pas le cas. Soutenir cela, c'est que je ne me souviens pas avoir jamais lu que HTTPS a gêné les gouvernements américains. Je l'entends périodiquement concernant le cryptage Skype, TrueCrypt ou le cryptage de disque PGP.

C'est drôle comment l'OP demande ** des données du monde réel, froides et difficiles ** et vous commencez par * Eh bien, je suppose * ...


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...