MITM हमले - वे कितने संभावित हैं?

इंटरनेट सुरक्षा में "मैन इन द मिडल" हमलों की कितनी संभावना है?

आईएसपी सर्वर के अलावा कौन सी वास्तविक मशीनें, इंटरनेट संचार के "बीच में" होने वाली हैं?

सैद्धांतिक जोखिमों के विपरीत MITM हमलों से जुड़े वास्तविक जोखिम क्या हैं ?

EDIT: मुझे इस प्रश्न में वायरलेस एक्सेस पॉइंट्स में कोई दिलचस्पी नहीं है। उन्हें निश्चित रूप से सुरक्षित करने की आवश्यकता है लेकिन यह स्पष्ट है। वायरलेस एक्सेस पॉइंट अद्वितीय हैं जिसमें सभी को सुनने के लिए संचार प्रसारित किए जाते हैं। सामान्य वायर्ड इंटरनेट संचार को उनके गंतव्य तक पहुंचाया जाता है - मार्ग में केवल मशीनों से यातायात दिखाई देगा।

सबसे पहले, सीमा बॉर्डर गेटवे प्रोटोकॉल पर बात करते हैं । इंटरनेट एज़ (स्वायत्त सिस्टम) के रूप में जाने वाले हजारों एंडपॉइंट्स से बना है, और वे बीजीपी (बॉर्डर गेटवे प्रोटोकॉल) नामक एक प्रोटोकॉल के साथ डेटा रूट करते हैं। हाल के वर्षों में बीजीपी राउटिंग टेबल का आकार तेजी से बढ़ रहा है, जो 100,000 से अधिक प्रविष्टियों को तोड़ रहा है। यहां तक ​​कि रूटिंग हार्डवेयर की शक्ति में वृद्धि के साथ, यह बीजीपी रूटिंग टेबल के कभी-विस्तार वाले आकार के साथ तालमेल रखने में सक्षम है।

हमारे MITM परिदृश्य में मुश्किल हिस्सा यह है कि बीजीपी अंतर्निहित मार्गों पर भरोसा करता है जो अन्य स्वायत्त प्रणाली इसे प्रदान करते हैं, जिसका अर्थ है कि एएस से पर्याप्त स्पैमिंग के साथ, कोई भी मार्ग किसी भी स्वायत्त प्रणाली को जन्म दे सकता है। यह MITM ट्रैफ़िक का सबसे स्पष्ट तरीका है, और यह सिर्फ सैद्धांतिक नहीं है - हमले को प्रदर्शित करने के लिए डेफ़कॉन सुरक्षा सम्मेलन की साइट को 2007 में एक सुरक्षा शोधकर्ता की वेबसाइट पर पुनः निर्देशित किया गया था। कई एशियाई देशों में यूट्यूब तब डाउन हो गया जब पाकिस्तान ने इस साइट को बंद कर दिया और गलती से पाकिस्तान के बाहर कई एशेज के लिए अपना (मृत) मार्ग घोषित कर दिया।

मुट्ठी भर अकादमिक समूह ट्रैफिक के रास्तों को बदलने वाले बीजीपी अपडेट पर नजर रखने के लिए एएसई को सहयोग करने से बीजीपी रूटिंग जानकारी एकत्र करते हैं। लेकिन संदर्भ के बिना, एक दुर्भावनापूर्ण अपहरण से एक वैध परिवर्तन को भेदना मुश्किल हो सकता है। प्राकृतिक आपदाओं, कंपनी विलय आदि से निपटने के लिए हर समय ट्रैफिक के रास्ते बदल जाते हैं।

'ग्लोबल MITM अटैक वैक्टर' सूची पर चर्चा करने के लिए अगला डोमेन नाम सिस्टम (DNS) है।

हालाँकि ISC का फाइन DNS सर्वर BIND समय की कसौटी पर खड़ा है और अपेक्षाकृत अनसुना हो गया है (जैसा कि Microsoft और सिस्को के DNS प्रसाद हैं), कुछ उल्लेखनीय कमजोरियां पाई गई हैं जो संभवतः इंटरनेट पर कैनोनिकल नामों के उपयोग से सभी ट्रैफ़िक को खतरे में डाल सकती हैं (अर्थात व्यावहारिक रूप से सभी यातायात)।

मैं डीएनएस कैम्स्की के डीएनएस कैश पॉइज़निंग हमले में शोध पर चर्चा करने से भी नहीं कतराऊंगा , क्योंकि इसे कहीं और मौत के घाट उतार दिया गया है, केवल ब्लैकहैट - लास वेगास द्वारा 'सबसे ज़्यादा बग़ीचे वाले बग' से सम्मानित किया जाना है। हालाँकि, कई अन्य DNS बग मौजूद हैं जिन्होंने इंटरनेट सुरक्षा से गंभीर समझौता किया है।

डायनामिक अपडेट ज़ोन बग डीएनएस सर्वरों को क्रैश कर गया और मशीनों और डीएनएस कैश को दूर से समझौता करने की क्षमता थी।

जिस समय भेद्यता की घोषणा की गई थी, उस समय BIND चलाने वाले किसी भी सर्वर के पूर्ण दूरस्थ रूट समझौता के लिए लेन-देन हस्ताक्षर बग की अनुमति थी, जाहिर है कि DNS प्रविष्टियों को समझौता करने की अनुमति थी।

अंत में , हमें ARP Poisoning , 802.11q Retracing , STP-Trunk Hijacking , RIPv1 रूटिंग इंफॉर्मेशन इंजेक्शन और OSPF नेटवर्क के लिए हमलों केबारे में चर्चा करनी चाहिए।

ये हमले एक स्वतंत्र कंपनी के नेटवर्क व्यवस्थापक के लिए 'पारिवारिक' हैं (ठीक है इसलिए, इन पर विचार करने वाले केवल वही हो सकते हैं जिनका उनके पास नियंत्रण है)। इन हमलों में से प्रत्येक के तकनीकी विवरण पर चर्चा करना इस स्तर पर थोड़ा उबाऊ है, क्योंकि हर कोई जो बुनियादी सूचना सुरक्षा या टीसीपी से परिचित है, ने एआरपी पॉइज़निंग सीखा है। अन्य हमलों की संभावना कई नेटवर्क व्यवस्थापक या सर्वर सुरक्षा aficionados के लिए एक परिचित चेहरा है। इन आपकी चिंता का विषय हैं, तो बहुत अच्छा नेटवर्क रक्षा उपयोगिताओं कि मौजूद हैं, से मुफ्त और खुले स्रोत उपयोगिताओं की तरह लेकर के बहुत सारे हैं थिरकने से उद्यम स्तर सॉफ्टवेयर के लिए सिस्को और हिमाचल प्रदेश। वैकल्पिक रूप से, कई जानकारीपूर्ण पुस्तकें इन विषयों को कवर करती हैं, चर्चा करने के लिए बहुत सारे, लेकिन कई मैंने नेटवर्क सुरक्षा की खोज में मददगार पाया है, जिसमें द ताओ ऑफ़ नेटवर्क सिक्योरिटी मॉनिटरिंग , नेटवर्क सिक्योरिटी आर्किटेक्चर और क्लासिक नेटवर्क वारियर शामिल हैं।

किसी भी मामले में, मुझे यह कुछ परेशान करने वाला लगता है कि लोग यह मानते हैं कि इन प्रकार के हमलों के लिए आईएसपी या सरकार के स्तर पर पहुंच की आवश्यकता होती है। उन्हें CCIE की औसत से अधिक ज्ञान की आवश्यकता नहीं है और उनके पास उचित उपकरण (यानी HPING और नेटकैट, बिल्कुल सैद्धांतिक उपकरण नहीं हैं)। यदि आप सुरक्षित रहना चाहते हैं तो सतर्क रहें।

यहाँ एक MITM परिदृश्य है जो मुझे चिंतित करता है:

मान लीजिए कि एक होटल में एक बड़ा सम्मेलन है। कार्टून खतरे के उद्योग में एसीएमई एविल्स और टेरिटिव टीएनटी प्रमुख प्रतियोगी हैं। अपने उत्पादों में निहित स्वार्थ के साथ कोई, विशेष रूप से विकास में नए लोग, अपनी योजनाओं पर अपने पंजे पाने के लिए गंभीरता से प्यार करेंगे। हम उसकी गोपनीयता की रक्षा के लिए उसे WC कहेंगे।

WC ने प्रसिद्ध होटल में जल्द से जल्द जांच की ताकि उसे कुछ समय दिया जा सके। उन्हें पता चलता है कि होटल में फेयरीहोटल -5 के माध्यम से फेमसहोटल -1 नामक वाईफाई एक्सेस प्वाइंट हैं। इसलिए वह एक एक्सेस पॉइंट सेट करता है और इसे फेमसहोटल -6 कहता है, इसलिए यह लैंडस्केप को मिश्रित करता है और इसे अन्य एपी में से एक में ब्रिज करता है।

अब, conventioneers चेक इन करना शुरू करते हैं। बस इतना होता है कि दोनों कंपनियों के सबसे बड़े ग्राहकों में से एक, हम उसे RR बुलाएंगे, चेक इन करेंगे और WC के पास एक कमरा मिलेगा। वह अपना लैपटॉप सेट करता है और अपने आपूर्तिकर्ताओं के साथ ईमेल का आदान-प्रदान शुरू करता है।

WC उन्मत्त रूप से पीड़ित है! "मेरी कुटिल योजना काम कर रही है!", उन्होंने कहा। बूम! दुर्घटना! इसके साथ ही, वह एनविल और टीएनटी के बंडल से टकरा रहा है। ऐसा लगता है कि ACME Anvils, Terrific TNT, RR और Famous Hotel की सुरक्षा टीमें मिलकर इस हमले की आशंका जता रही थीं।

बीप बीप!

संपादित करें:

कैसे समय पर ^* : यात्रा टिप: हवाई अड्डा वाई-फाई "हनीपोट्स" से सावधान रहें

^{* खैर, यह समय पर था कि यह सिर्फ मेरे आरएसएस फ़ीड में दिखाई दिया।}

यह पूरी तरह से स्थिति पर निर्भर है। आप अपने आईएसपी पर कितना भरोसा करते हैं? आप अपने आईएसपी के विन्यास के बारे में कितना जानते हैं? और आपका अपना सेटअप कितना सुरक्षित है?

अब इस तरह के अधिकांश "हमलों" ट्रोजन मैलवेयर से कीस्ट्रोक्स और फाइलों से पासवर्ड इंटरसेप्ट करने की बहुत संभावना है। हर समय होता है, बस इतना है कि यह ध्यान नहीं दिया या इतना रिपोर्ट किया है।

और आईएसपी स्तर के अंदर सूचना कितनी बार लीक होती है? जब मैंने एक छोटे आईएसपी के लिए काम किया, तो हम पहुंच के एक और उच्च स्तर को फिर से बना रहे थे। तो एक व्यक्ति जो हमसे मिला था वह हमारे नेटवर्क में आया, और यदि आप हमारे वेब सर्वर या मेल सर्वर से बात नहीं कर रहे थे, तो ट्रैफ़िक एक उच्च स्तरीय प्रदाता के पास गया, और हमें नहीं पता कि उनके नेटवर्क में आपके डेटा के साथ क्या किया गया था, या उनके भरोसेमंद कैसे भरोसेमंद थे।

यदि आप यह जानना चाहते हैं कि कोई व्यक्ति आपके संभावित ट्रैसरूट को कितने संभावित रूप से "स्पॉट" कर सकता है और आप देखेंगे कि प्रत्येक राउटिंग पॉइंट पर आपको उतना ही जवाब मिलेगा। यह माना जाता है कि क्लॉक्ड डिवाइस उनमें से कुछ के बीच में नहीं हैं। और यह कि वे उपकरण वास्तव में राउटर हैं और राउटर के रूप में कुछ चीज़ों को नहीं बदलना चाहिए।

बात यह है कि आप यह नहीं जान सकते कि हमले कितने प्रचलित हैं। कोई कह कंपनियों नियमों नहीं हैं है हमलों की खोज कर रहे हैं कि जब तक आपके क्रेडिट जानकारी समझौता किया है खुलासा करने के लिए। ज्यादातर कंपनियां ऐसा नहीं करती हैं क्योंकि यह शर्मनाक है (या बहुत काम)। मालवेयर की मात्रा के साथ वहां से तैरते हुए, आप शायद जितना सोचते हैं, उससे कहीं अधिक प्रचलित है, और फिर भी कुंजी को हमले का पता चला है। जब मैलवेयर ठीक से काम करता है, तो अधिकांश उपयोगकर्ताओं को पता नहीं होता है कि ऐसा कब होता है। और वास्तविक व्यक्ति-जो-हो जाता है-miffed-and-snoops-traffic-at-a-प्रदाता परिदृश्य वे हैं जो कंपनियां रिपोर्ट नहीं करती हैं जब तक कि उनके पास नहीं है।

बेशक ये उन परिदृश्यों को नजरअंदाज करते हैं जहां कंपनियां आपके ट्रैफिक का रिकॉर्ड रखने के लिए मजबूर होती हैं और आपको बताए बिना सरकारी एजेंसियों को बताती हैं। यदि आप अमेरिका में हैं, पैट्रियट एक्ट के लिए धन्यवाद, पुस्तकालयों और आईएसपी को आपकी डेटा यात्रा और ईमेल और ब्राउज़िंग इतिहास को रिकॉर्ड करने के लिए मजबूर किया जा सकता है, बिना यह बताए कि वे आप पर जानकारी एकत्र कर रहे हैं।

दूसरे शब्दों में, उपयोगकर्ताओं पर प्रचलित MITM और अवरोधन के हमलों के बारे में कोई कठिन डेटा नहीं है, लेकिन ऐसे सबूत हैं जो यह सुझाव देते हैं कि यह अधिक से अधिक आरामदायक होगा, और अधिकांश उपयोगकर्ता उस जानकारी को प्राप्त करने के लिए पर्याप्त परवाह नहीं करते हैं।

असली सवाल यह है कि "मुझे अपने सीमित पुनर्वास में से कितने को MITM हमलों के लिए कहीं और समर्पित करना चाहिए?"

यह शामिल संचार की प्रकृति का एक बहुत कुछ निर्भर करता है, और इसका एक भी जवाब नहीं है। मेरे अनुभव में यह अन्य सुरक्षा जोखिमों के सापेक्ष एक बड़ा जोखिम नहीं है, लेकिन यह आमतौर पर कम से कम एक सस्ता है (उदाहरण के लिए: एक एसएसएल प्रमाण पत्र और एचटीटीपीएस का उपयोग अक्सर पर्याप्त होता है) इसलिए यह निर्धारित करने की तुलना में समय बिताने की तुलना में तय करना सस्ता है कि कितना यह एक जोखिम हो सकता है।

क्या आपके पास घर पर एक वायरलेस एक्सेस प्वाइंट है? काम पर एक प्रॉक्सी सर्वर?

किसी भी विशाल सरकार / आईएसपी साजिश के बिना उन में से किसी को भी शामिल किया जा सकता है। ISPs अवसंरचना के घटकों के साथ समझौता किया जाना संभव है।

क्या आप एक वेब ब्राउज़र का उपयोग करते हैं? यह बीच में एक आदमी को सीधे यातायात के लिए एक ब्राउज़र को कॉन्फ़िगर करने के लिए बहुत तुच्छ है। ब्राउज़र मैलवेयर है कि इस पद्धति का उपयोग करके कुछ बैंकिंग और ब्रोकरेज लेनदेन को फिर से रूट किया गया है, विशेष रूप से वायर विशेषाधिकार वाले छोटे व्यवसायों के लिए।

सुरक्षा जोखिम प्रबंधन के बारे में है ... आप जोखिम से निपटने के तरीके के बारे में दो बुनियादी विशेषताएं हैं: घटना और प्रभाव की संभावना। आपके लिए एक गंभीर कार दुर्घटना में होने की वास्तविक संभावना बहुत कम है, लेकिन आपकी व्यक्तिगत सुरक्षा पर प्रभाव अधिक है, इसलिए आप अपने सीटबेल्ट को बांध लें और अपने शिशु को कार की सीट पर रख दें।

जब लोग आलसी और / या सस्ते हो जाते हैं, तो आपदा अक्सर परिणाम होती है। मैक्सिको की खाड़ी में, बीपी ने सभी प्रकार के जोखिम कारकों को नजरअंदाज कर दिया क्योंकि उनका मानना ​​था कि उन्होंने ठेकेदारों को जोखिम हस्तांतरित किया, और यह सोचा कि उन्होंने बिना घटना के पर्याप्त कुएं खोदे हैं, इसलिए एक घटना की संभावना बहुत कम थी।

मिटम के हमले स्थानीय नेटवर्क में विशेष रूप से सामने आते हैं। इंटरनेट पर एक कनेक्शन में टैप करने के लिए या तो आईएसपी या सरकार के स्तर तक पहुंच की आवश्यकता होती है - और यह बहुत ही कम है कि उस स्तर के संसाधनों वाला कोई भी व्यक्ति अपने डेटा के बाद जा रहा है।

एक बार जब कोई आपके नेटवर्क में आ जाता है, तो आपको गंभीर समस्याएं हो जाती हैं, लेकिन उसके बाहर, आप शायद ठीक हैं।

@ क्रेग: आपके संपादन में आपको कुछ गलत जानकारी है। वायरलेस नेटवर्किंग आधारित आधारित नहीं है। वायरलेस संचार सत्र (वायरलेस क्लाइंट और वायरलेस एक्सेस प्वाइंट के बीच) में प्रसारित किया जा रहा डेटा सभी के लिए "प्रसारण" नहीं है। वायरलेस क्लाइंट एपी के साथ जुड़ता है और संचार क्लाइंट और एपी के बीच होता है। यदि आपका मतलब है कि डेटा प्रसारित किया जा रहा है, क्योंकि यह एक रेडियो सिग्नल में है जो "प्रसारित" है, तो हाँ यह बहुत विशिष्ट वायरलेस उपकरण (आरएमओएन सक्षम वायरलेस एडेप्टर) और सॉफ्टवेयर टूल के साथ सूँघा जा सकता है। उसी एपी के साथ जुड़े वायरलेस क्लाइंट्स के पास उपरोक्त उपकरणों के अलावा वायरलेस ट्रैफिक को बाधित करने या "सुनने" की कोई व्यवस्था नहीं है। टीसीपी \ आईपी नेटवर्क में वायरलेस संचार आवश्यक रूप से ट्रांसमिशन नेटवर्क को छोड़कर वायर्ड नेटवर्क के लिए समान रूप से काम करता है: भौतिक तरंगों के विपरीत रेडियो तरंगें। यदि सभी के लिए वाईफाई ट्रैफ़िक प्रसारित किया गया था तो उस पर ड्राइंग बोर्ड कभी नहीं छोड़ा गया था।

यह कहा जा रहा है, मुझे लगता है कि वायरलेस नेटवर्क MITM हमलों के लिए एक बड़ा खतरा पैदा करते हैं क्योंकि यातायात को बाधित करने के लिए एक दुष्ट प्रणाली को "इंजेक्ट" करने के लिए वायरलेस नेटवर्क का उपयोग करने की आवश्यकता नहीं है।