Chris Dixon发表了有关Web安全性的声明
许多评论员建议说一个主要的安全风险是数据以纯文本格式传输。通过网络加密始终是一个好主意,但实际上“中间人”攻击极为罕见。我主要担心的是更常见的情况:1)某人(内部或外部)窃取公司数据库中的信息; 2)政府对公司数据库的传票。应对这些风险的最佳方法就是以一种方式对数据进行加密,从而使黑客和公司本身无法对其进行解密(或首先不将数据发送到服务器)。
我想知道是否有任何冷,硬,真实的数据来支持这种说法-根据来自实际入侵或安全事件的收集数据,“中间人”攻击在现实世界中实际上很少见吗?
#1 楼
我目前最喜欢的冷,硬,真实世界数据资源是《 Verizon 2011数据泄露调查报告》。该报告第69页的摘录:动作
前三个威胁动作类别是
黑客,恶意软件和社交。所使用的最常见的黑客行为类型是:使用
被盗的登录凭据,利用后门,
和中间人攻击。
来自读到这一点,我推断这是有人在系统中立足后才采取的第二种行动,但是荷兰高科技犯罪部门的数据表明,这值得关注。在构成统计数据的32个数据泄露中,有15个涉及MITM动作。
绝对不能止步于此。整个报告是阅读的金矿,也是我展示最佳威胁来源时遇到的最好的工作。
对于模糊地引用MiTM攻击和方法的信息,另请参阅对MITM攻击的出色回答-他们有多大可能?在Serverfault上。
我还要进一步说,任何SSL根证书咳嗽不良证书的实例都是攻击的迹象,否则它们将毫无用处。最后,因为我就是那个人,所以如果我要进行渗透测试,我一定会尝试将其拼接到建筑物外部的网络框中。即使是有线连接,也可以通过软件无线电完成出色的事情。
评论
有什么办法可以检测到这种攻击?我对此有理由担心,因此检测这种违规行为的半傻瓜方法将非常有用。
–TigerCoding
2012-2-23在11:52
@Javy远远超过我在评论中可以说的。我建议开始一个新问题:“我可以检测到MITM攻击吗?”简短的回答是“有时会很努力”。
– Jeff Ferland♦
2012年2月23日在12:01
链接回新问题,如果您这样做:)
– Dolan Antenucci
13年1月28日在19:29
@dolan security.stackexchange.com/q/12066/836
– Jeff Ferland♦
13年1月28日在19:46
#2 楼
简单的答案是没有-有各种各样的证据表明这种类型的攻击很常见。银行采取的某些控制措施(两因素认证等)在某种程度上需要与银行对抗。越来越多的MITM攻击客户。
虽然还有其他形式的攻击(以客户端为妥协是一种很好的攻击),但现在可以通过使用恶意软件在其上放置特洛伊木马来更容易地进行攻击。在大多数情况下,客户端PC MITM仍然相对容易。
要记住的核心事实是,犯罪分子倾向于以良好的投资回报率工作。攻击者的投资回报率非常好:
被捕获的风险低
物理风险低
编写漏洞利用代码的一些努力可以导致现实世界的金钱收益
然后该代码可以重新使用或出售给其他罪犯
正如@CanBerk所说,我们永远不会获得任何“完全安全”的协议,但是使罪犯的生活更加艰难部分解决方案。直到变得难以盈利为止,MITM才会消失。
#3 楼
证书颁发机构DigiNotar最近的妥协导致google.com,microsoft.com,cia.gov和其他数百个站点发行了500多个伪证书。这些证书以某种方式进入了40个不同的伊朗ISP,造成了大规模的中间人攻击,并证实在几个月的时间内影响了300,000伊朗用户。负责-被确认与先前对CA Comodo的攻击负责的人相同-声称可以完全访问其他五个CA,尽管他(他们)仅命名了其中一个。
所以是的,即使在今天,中间人攻击也是一个非常现实的威胁。
注意:为防止此类攻击发生在您身上,请考虑使用一个程序/附件,用于跟踪证书的可疑更改,例如“证书巡逻”,或尝试用大家喜欢谈论的证书授权模型的新奇替代品之一。
#4 楼
这个答案主要是关于克里斯·迪克森(Chris Dixon)的说法,而不是回答“有多少攻击来自MiTM”。如果我们断言可能成为MiTM的方式和给定的后果,我认为我们可以得出一些结论,即我们是否关心MiTM攻击的普遍程度。
如果我们看一下不同情况下的风险,我们可能会遇到以下情况:
有人通过利用Web应用程序本身来窃取数据库吗?
有人通过MiTM攻击攻击用户/管理员
我想说(通常)前者的影响要大得多,应该从很多方面减轻最大并对待第一个。
因此,要使第2点胜过第1点,我认为MiTM真的要疯狂地疯狂,要让我们将其视作与第1点一样高的安全障碍(正如克里斯在引文中所言)!
现在,如果我们看到不同的攻击媒介。 MiTM的第一个。要成为MiTM,例如:
拥有一个恶意无线接入点。这是微不足道的,但是对于有针对性的攻击,您必须使用您的Web应用程序将其置于受害者的同一物理位置。
嗅探未加密的无线数据或通过HUB传输的数据(它们甚至已经存在了吗?)
使用ARP中毒攻击用户。除非您与使用您的Web应用程序的目标用户位于同一网络上,否则这并非易事。
DNS缓存中毒。为此,您需要对目标用户正在使用的DNS进行毒害。如果DNS设置不正确,则执行此攻击将变得微不足道,但是,要使此方法起作用,有很多依赖。
网络钓鱼攻击。这些仍然愚弄了毫无戒心和天真的用户,但是用户要承担很多责任。
所有这些仅攻击一个或一小部分用户。即使那样,攻击这些用户也会在他们的浏览器中向他们发出警告(也有攻击的方法,但是我在这里不做说明)。只有通过破坏根CA或发现用于生成证书的算法中的缺陷,您才可以成为受信任的证书颁发者。
另一方面,如果我们查看所有潜在的讨厌的东西,如果我们不对Webapp本身的安全性进行投资,我们会看到攻击向量,例如:
SQL注入-简单且易于利用和发现。极高的伤害影响。
XSS(跨站点脚本)-易于发现,更难以利用。我认为将来我们会看到越来越多的用户影响。我可以预见,这将成为我们过去一直看到的“新SQL注入”趋势。
CSRF(跨站点请求伪造)-中等发现,中等开发。这将要求用户导航到已经拥有的站点,从而触发对您的webapp的请求,该请求将代表用户进行交易。
因此,只需提及攻击Webapp并成为MiTM的少数几个但很流行的方法,我就可以将其留给您要保护的特定组织的特定风险/后果分析,无论是您不应该通过实施SSL或整体保护Web应用程序(其中还包括知识产权,用户数据,敏感数据,可能破坏其他应用程序的潜在数据等)直接保护用户。
所以,以我的拙见,我非常同意克里斯·迪克森的说法。在开始考虑保护传输层之前,请尽可能优先考虑保护Web应用程序的安全。
编辑:
附带一提:Firesheep唤醒后,Facebook,Gmail等页面受到严重的MiTM攻击。这只能通过SSL和认知来缓解。
但是,如果您考虑一下,使用Firesheep嗅探无线流量并劫持会话将要求您所连接的无线局域网没有任何加密。
今天我开车去开车时,它大大减少了开放无线AP的数量,也大大减少了启用WEP的AP的数量。我们一直看到越来越多的WPA2加密AP在大多数情况下为我们提供了足够的安全性。
现在,有人创建用于侦听和劫持用户会话的简便工具的风险是什么?对这些用户有什么影响?也可以通过不同的方式来缓解这种情况(当来自不同足迹的用户同时进行身份验证,出现问题时通知用户(gmail是一个很好的例子)。)
评论
是的,集线器存在,尽管我还没有在典型的网络上看到它们。想象一下一个测试实验室,其中大多数用户都对安全性不屑一顾,管理员对Web应用程序不屑一顾,因为Web应用程序要求将密码或cookie发送到清晰的集线器中(用于在测试过程中嗅探电话,比带镜子的交换机更容易设置)端口),一半的计算机有两个NIC,有一个公共可访问的配线架,实验室位于共享的建筑物中,入口处的访问控制很少。真实的故事。我以为其他地方也会有类似的环境。
– pilona
13-10-16在23:31
#5 楼
它找不到包含您想要的真实世界数据的任何静态或白皮书。但是,我想补充一点,公司内部的MitM攻击每天都发生并且不止一次。一些安全厂商提供了扫描加密流量的解决方案(例如,Palo Alto Networks),至少我目前工作的公司已激活了此功能。
为此,只需从内部证书颁发机构(CA)授予防火墙/代理设备一个证书,该证书已被所有客户端信任。当应用程序请求安全连接时,防火墙/代理设备会为目标服务器动态生成一个新证书,并将其发送给客户端。由于客户端信任内部CA,因此它也信任设备证书,并会愉快地启动“安全”连接。
评论
虽然那是男人在中间-称它为攻击只是一小段时间...
–Rory Alsop♦
2012年2月22日在21:32
我想这取决于您的观点。当他们看到不应有的数据时,我认为这是一次攻击。但是您是正确的,从管理员的角度来看,这可以帮助确保网络安全,因此不属于“攻击”。
– Tex Hex
2012-2-23在20:12
#6 楼
我同意daramarak的观点,很难找到有关MitM攻击的真实数据。原因之一是,MitM攻击本质上通常针对个人,而DDoS或SQL注入之类的攻击通常针对公司,组织等。因此,尽管我们看到了DDoS /注入/无论几乎每天报告什么,有关MitM攻击的信息通常都是学术性的(例如,“ Twitter被DDoS攻击!”与“ SSL易受MitM攻击”)。
但是,应注意的是,“罕见”并不一定意味着“困难”。可以说,大多数MitM攻击比大多数其他类型的攻击更容易受到攻击,而且我们每天使用的许多协议都可能以一种或另一种方式容易受到此类攻击,这仅仅是因为很难设计出一种能够完全抵御MitM的协议。实际上,对于大多数安全问题,大多数解决方案都是“尽力而为”,而不是“完全和绝对安全”。
因此,我认为MitM攻击不那么普遍的主要原因是通常不需要执行一项激励措施。
#7 楼
我敢肯定,在无线网络上嗅探密码非常普遍。只需通过简单的Google搜索或Bing搜索即可查看网络上有多少教程。评论
嗅探不一定需要MitM攻击。但是,拦截SSL流量确实可以。我认为杰夫更关心后期
– tz烯
2012-2-22在20:03
首先是编码恐怖的问题。通过SSL加密数据是防止窃听的好方法,这是一个问题。中间人攻击是一种过于复杂的攻击,而通过wi-fi嗅探您的电子邮件/ Facebook / Twitter密码的人则是可以由任何具有最低技术技能的人使用现成的软件来进行的攻击。
– Dare Obasanjo
2012年2月22日在20:19
我想我不认为这是他的问题,而是另一个问题。
– tz烯
2012年2月22日20:50
Dare Obasanjo在引述克里斯·迪克森(Chris Dixon)提出的问题,而不一定是杰夫(Jeff)提出的问题。克里斯·迪克森(Chris Dixon)暗示,能够在源和目的地之间移动的同时查看明文数据是MitM。我认为,MitM攻击的一般单词关联(无论如何对我来说还是这样)是某人在源和目的地之间拦截并更改数据时。他的暗示是,观看它就足以被视为攻击。因此,如果您的ISP执行任何形式的数据包检查。我想他会认为这是一种攻击。
– Safado
2012年2月22日在21:06
#8 楼
好吧,我想如果它们很少见,没有人会破坏CA,但是我们已经看到了许多尝试和成功(怀疑包括伊朗)。所以我想它已经并且将会做完了。否则,他们为什么要打扰CA呢?这不是世界上最简单的任务。为什么不直接攻击目标呢?
那也许很少见。破坏CA的任何人都可能足以掩盖他们的工作经历,因此我们不知道他们的工作范围。老实说,我不会在美国政府内部和国外都做过同样的事情。如果他们没有,我实际上会感到惊讶。支持这一点的经历让我想不起曾经读过HTTPS以美国政府的方式获得。我确实经常听到有关Skype加密,TrueCrypt或PGP磁盘加密的消息。
评论
有趣的是,OP如何要求提供冷,硬,真实的数据,而我想从头开始...
–科尼拉克
2012-2-22在20:52
评论
@ordag-是的。 “有关Fox-IT攻击的官方报告包括DigiNotar的数据,该数据表明可能已经截获了300,000(主要是伊朗)互联网用户的通信。”克里斯·迪克森(Chris Dixon)的原始评论令人困惑。当今网络上的最大问题是窃听而不是中间人攻击。换句话说,问题是有人窃听并弄清楚了您的Gmail / Hotmail / Yahoo!。然后,凭据将其用于发送垃圾邮件,而不是假装为Gmail / Hotmail / Yahoo!。并且您认为您正在发送电子邮件,但实际上您是在攻击者的服务器上键入消息。
另请参阅MITM攻击-它们发生的可能性有多大?服务器出现故障
无论值多少钱,我的雇主都会对我们进行一次MITM攻击。他们使用它来监视我们的电子邮件并阻止我们发送附件。
成为世界上人口最多的国家的官方政府政策已经足够普遍了...