Les attaques MITM - quelle est leur probabilité ?

En ce qui concerne le DNS, il est semi-évident que vous pourriez simplement envoyer les paquets à l'adresse IP RÉELLE du site que vous essayez d'atteindre. Et il est possible de faire des choses comme basculer rapidement entre les états connecté et actif de BGP tout en envoyant les VRAIES routes BGP. Ou, si, comme sur la plupart des sites Internet, il existe une autre route vers votre hôte que celle que vous avez empoisonnée, vous pouvez la spécifier comme paramètre de routage. Cependant, c'est une bonne chose que vous vous intéressiez à ce Craig, la sécurité est un domaine assez vaste, quand vous pensez avoir résolu quelque chose, quelque chose d'autre surgit.

@zephyr : donc la réponse à l'empoisonnement du DNS est d'utiliser les adresses IP au lieu des noms de domaine ? Quant à la question du routage, comment les paquets peuvent-ils aller et venir si le routage a été modifié ? Bien sûr, vous pourriez rediriger le trafic, mais comment le trafic pourrait-il être envoyé vers la véritable destination, puis revenir si le routage de cette destination a été modifié ?

Je pense qu'il n'y a pas de réponse pratique à l'empoisonnement DNS autre que les méthodes de vérification que le site est bien celui qu'il prétend être (comme ces avertissements SSL que les gens ignorent) et le bon sens (pourquoi ce site me demande-t-il mes informations bancaires ?) et la prudence (C'est drôle, pourquoi cet email me demande-t-il de réinitialiser le mot de passe d'un compte que je ne me souviens pas avoir eu ?)

Pour répondre à votre autre question sur les problèmes de DNS, je pense que vous ne comprenez pas comment les étapes fonctionnent. L'attaquant connaît la bonne destination et agit comme un proxy pour vous. Vous pensez que vous parlez à C, alors qu'en réalité le trafic circule A<->B<->C, et non A<->C comme vous le pensez. VOS informations de routage sont compromises. L'attaquant possède les bonnes données ou utilise un serveur DNS qui n'est pas compromis.

Vous pouvez tester vous-même certains de ces principes avec un système Linux sur votre réseau. Configurez-le pour qu'il transmette les paquets comme une passerelle. Utilisez des outils d'empoisonnement ARP pour rediriger le trafic de manière invisible vers un hôte particulier (ou l'ensemble de votre réseau si vous le souhaitez). Commencez ensuite à renifler le flux de trafic. Nous l'avons utilisé pour récupérer des mots de passe de comptes de serveurs de messagerie pour des personnes.

Votre question initiale était de savoir quelle était la probabilité de ces choses. La vérité est que cela existe, que cela se produit par l'intermédiaire d'employés en colère, de personnes qui trafiquent les points d'accès, peut-être de fournisseurs d'accès mécontents, etc. Il y a de fortes chances que si cela se produit, vous ne le sachiez jamais ou que vous le découvriez par hasard sans savoir depuis combien de temps cela se produit.

Maintenant, vous demandez des détails sur la façon de le faire, ou les mécanismes de fonctionnement. Puisque vous vous éloignez du sujet, vous devriez probablement le réduire à des ensembles de questions spécifiques et les poser séparément, car la sécurité des réseaux est un sujet ENORME en soi. Il existe plusieurs tomes consacrés à ce sujet dans les librairies et sur Amazon si vous souhaitez faire des recherches. Les personnes présentes ici essaieront de vous aider mais les livres vous donneront plus de détails que les personnes présentes ici ne pourraient en donner.

En lisant quelques livres, vous comprendrez pourquoi c'est un domaine à part entière. Vous deviendrez peut-être un peu plus paranoïaque à propos de la sécurité, ou bien vous considérerez qu'il s'agit d'un tas de sornettes. En fin de compte, c'est une question de gestion des risques, de savoir combien vous êtes prêt à risquer d'exposer vos données par rapport à la quantité de problèmes que vous voulez résoudre en utilisant votre réseau pour vous et vos utilisateurs.

Si vous êtes ciblé par une attaque (travaillez-vous pour une banque ? Une entité gouvernementale ? Google ? Vous êtes en colère contre votre petit voisin script ?), il existe une myriade de façons de s'en prendre à vous et à votre réseau. Votre imprimante réseau pourrait même être infiltrée avec l'attaque appropriée pour espionner à son tour le trafic de votre réseau. C'est fou. Probable ? Non. Possible ? Disons-le ainsi... il existe un outil que vous pouvez utiliser avec un ordinateur portable linux pour vous brancher sur les voitures récentes sur l'autoroute et lire des clips sonores à travers les émetteurs-récepteurs Bluetooth des gens dans la voiture. Probable ? Non. Possible ? Cela a été fait et mis en ligne pour le plaisir.

Si vous voulez vraiment être éduqué et avoir à reformater votre ordinateur portable après avoir reçu cette éducation, allez à Defcon un an. J'adorerais y aller mais je laisserais ma technologie à des kilomètres pendant que je serais là-bas. C'est @#% fou mais vous recevrez des leçons de première main sur la sécurité et à quel point vous n'êtes pas en sécurité sur un réseau.

Une fois de plus, la question de la vraisemblance a trouvé une réponse. Étant donné que la plupart des attaques, y compris les MITM, peuvent être automatisées à l'aide de logiciels malveillants et de vers, elles peuvent se produire sans que vous soyez spécifiquement visé. Il est peu probable que quelqu'un cible John P. Public, mais cela peut se produire à partir d'attaques automatisées, comme dans le cas de votre site Web de loisirs dont les vulnérabilités sont sondées pour devenir un zombie warez. Pour les spécificités et les scénarios, vous devez vraiment poser de nouvelles questions individuellement à partir de ceci, ou prendre quelques bons livres pour les étoffer et venir ici pour des clarifications.

@bart : avec tout le respect que je vous dois, vous semblez confondre DNS et routage. Si mon serveur DNS est compromis, je peux éviter ce risque en utilisant des adresses IP. J'accepte le fait que si je ne connais pas l'adresse IP, je n'ai plus d'options. Pour ce qui est du routage, ma question reste la suivante : si les tables de routage sont modifiées, comment les paquets parviendront-ils à leur véritable destination ?

@Craig - Vous ne comprenez pas bien. MITM implique l'insertion d'un agent entre votre cible et sa destination. Qu'il s'agisse de routage, de DNS ou de tout autre élément, ces attaques ne ressemblent pas aux films dans lesquels on appuie sur un bouton marqué MITM et on déchiffre le code. Il s'agit d'un moyen de parvenir à une fin, qui fait partie d'une attaque mixte.

Et j'ai répondu à votre question sur les paquets qui arrivent à la bonne destination. Le système de l'attaquant connaît le bon chemin. Il indique à votre système qu'il s'agit du "bon" site, puis le fait suivre comme un proxy, en envoyant vos requêtes en votre nom, puis en vous répondant. C'est toute la partie "au milieu". VOTRE machine est dupée et ne sait pas ce qui se passe. C'est comme une blague que votre système est laissé hors de la boucle.

C'est comme si vous vouliez envoyer une lettre à votre banque, et que je me présente comme représentant et vous donne l'adresse du siège social de la banque. Au lieu de cela, c'est mon adresse personnelle. Je reçois votre lettre, je l'ouvre, j'en supprime les parties inutiles, j'insère un texte expliquant que je dois transférer de l'argent à ma propre adresse, puis je referme l'enveloppe et je la transmets à la bonne adresse. Ils répondent, la lettre me parvient, j'enlève les parties concernant mon vol, je referme l'enveloppe et je vous l'envoie.

Vous parlez à un intermédiaire que je contrôle quand il y a une attaque MITM. L'intermédiaire gère le routage "correct" pour votre système sans jamais le dire à votre système. C'est le but de l'attaque. Votre système ne connaîtra jamais la bonne route, ils sont proxiés.

Même chose pour les DNS. Quelqu'un d'autre l'usurpe pour servir d'intermédiaire et s'interposer entre vous et votre destination. Je suppose que la réponse à votre question est que l'attaquant envoie les paquets à la bonne destination pour vous.

Là encore, il existe des livres qui illustrent ces concepts mieux qu'il n'est possible de le faire ici.

@Craig, Vous ne pouvez pas nécessairement éviter ce risque en utilisant uniquement les IPs. Considérez le fait que lorsque vous envoyez une trame sur le réseau, AUTRE De nombreux routeurs Cisco font référence aux hôtes situés en dehors de leur réseau local par leur FQDN (I.E router33.example.com). Un attaquant suffisamment avancé pourrait compromettre le DNS de cet hôte et vous compromettre vous-même.

@Zephyr : expliquez-moi comment un DNS compromis (pas le routage) peut m'affecter si j'utilise des adresses IP ? En ce qui concerne le routage, vous devez encore expliquer comment, si le routage est compromis, la destination authentique peut être atteinte.

Imaginons que vous, assis dans mon bloc réseau à 209.85.1.1 par exemple, envoyez un message à Google.com. Vous, voulant trouver les sauts entre vous et Google.com faites un tracert - Vous verriez que 9 sauts dans vous sont à ae-2-2.ebr2.Dallas1.Level3.net. Maintenant, à ce point (je suppose que plusieurs serveurs DNS ont été compromis à ce stade par l'attaquant). Quand ce routeur voit qu'il doit envoyer des informations de l'interface X à iy-in-f99.1e100.net afin d'être correctement routé, comment trouve-t-il l'adresse IP ? Vous l'avez deviné.

@zephyr : la sortie de tracert résoudra les adresses IP en noms s'il le peut, mais cela n'indique pas que le DNS est utilisé dans le routage. Quand avez-vous déjà vu un paquet IP contenant des FQDMs à l'intérieur ?

Oui, en travaillant avec Cisco toute la journée, vous le voyez résoudre les noms DNS des autres routeurs en IP.

@Zephyr : les tables de routage incluent donc les FQDNs ?

@zephyr : comment savez-vous cela ? Regardez vous la sortie de tracert ? Parce que, comme je l'ai mentionné, tracert résout les adresses IP en noms lorsque cela est possible.

@zephyr : vous dites toujours que les tables de routage contiennent des FQDNs ?

@Chris : Comment quelqu'un va-t-il se trouver sur mon réseau local s'il n'y a pas de point d'accès sans fil ? Un logiciel malveillant sur l'une des machines ? Si oui, comment les données vont-elles être envoyées hors du réseau au pirate ?

@Craig : Les mauvais acteurs (employés malveillants, concurrents, etc), les employés qui installent des points d'accès malveillants, etc.

Comme l'a dit Duff, il y a beaucoup de possibilités sur votre réseau ; tout, des logiciels malveillants aux personnes que vous ne connaissez pas, travaille contre vous. Comment les faire sortir ? Je commencerais par le POSTing sur un serveur HTTP, la plupart des organisations le laisseraient sortir. Quoi qu'il en soit, si vous avez des données sensibles critiques que vous devez vous assurer que personne d'autre que le destinataire ne verra jamais, vous avez besoin d'un système qui ne soit pas sensible aux attaques MitM. Heureusement, la plupart des données ne sont pas aussi sensibles.

@chris : c'est donc un problème de logiciel malveillant, pas de MITM. Un malware signifie que quelqu'un est déjà sur votre réseau. Ils ne sont pas au milieu, ils ont déjà infiltré votre site ! Idem pour les employés malhonnêtes, etc.

@duffbeer : ok, le sans fil n'est pas ce dont je parle, comme je l'ai dit. Et dans tous les cas, si vous avez des " mauvais acteurs ", alors ils ont déjà infiltré votre site - ils ne sont pas au milieu.

Il ne faut pas oublier que les réseaux câblés sont également sans fil, si l'on veut absolument obtenir l'information. La fibre optique n'est qu'une amélioration. Voir TEMPEST mais ce n'est pas le sujet de MITM.

@Dennis : voulez-vous dire des satellites ? Vous avez peur que quelqu'un intercepte les signaux des satellites ?

@Craig : Non, lisez l'article dont j'ai donné le lien. Vous pouvez écouter les champs électromagnétiques qui émanent des circuits des ordinateurs, des claviers, des écrans, du câblage des réseaux, etc. S'il y a des fils, il est possible de les écouter sans fil si la motivation est suffisante.

@Dennis : sans vouloir vous manquer de respect, je pense que vous allez un peu loin ! Pour en revenir à votre réponse, votre scénario est le même que celui d'une personne qui se rendrait à une fausse adresse web, par exemple server_fault.com (notez le trait de soulignement). Ce n'est pas le risque de MITM qui préoccupe les gens. Il est clair que si vous vous rendez sur le mauvais site, vous risquez d'avoir des ennuis, mais que peut-on y faire ?

@Craig, je pense qu'il suffit de dire que la menace est réelle, mais avec un climat politique mondial relativement pacifique (je dis relativement par rapport à la Seconde Guerre mondiale, par exemple), il est peu probable que des acteurs profitent de ce scénario.

@Craig : Bien sûr, ma petite parabole est plutôt simpliste dans la mesure où l'attaquant pourrait simplement renifler le trafic wifi de manière passive en utilisant Wireshark. Mais en s'insérant comme intermédiaire dans le flux de trafic, il pourrait faire croire qu'il est un participant légitime et demander puis transmettre des informations d'authentification. Après avoir capturé ces informations, il pourrait alors accéder au système cible à volonté.

@Dennis : Oui, mais ce n'est toujours pas différent de quelqu'un qui va vers une adresse web incorrecte. Il n'y a aucun moyen d'empêcher cela. Pour ce qui est de renifler le trafic wifi, oui, c'est pourquoi le sans fil est un jeu de balle différent. Comment pouvez-vous faire ce type de reniflage sur Internet lorsque les paquets sont acheminés vers leur destination - seules les machines sur la route verront les paquets. Le sans fil, en revanche, permet à d'autres personnes de voir les paquets. C'est là toute la différence.

@Craig : Vous avez tout à fait raison, les attaques MITM n'existent pas. Ne vous inquiétez pas, nous sommes juste une bande d'intellos paranoïaques qui se cachent de la NSA.

@duffbeer : c'est un commentaire sans intérêt.

C'est pourquoi vous créez d'abord une connexion VPN lorsque vous vous connectez à un point d'accès public.