Man-in-the-middle: Angriff und Abwehr

Transkript

1 Man-in-the-middle: Angriff und Abwehr Felix Knapp Mat.Nr.: Seminar Auswahl Themen der Informatik Prof. Dr. Frank Dopatka Medien- und Kommunikationsinformatik Hochschule Reutlingen Lindengasse Wendlingen am Neckar Abstract: In der heutigen Welt sind Computer und ihre weltweite Vernetzung nicht mehr wegzudenken. Tag täglich werden Millionen von Daten über Computernetzwerke übertragen. Hierbei sind besonders die Aspekte der Sicherheit wichtig, welche Datenmanipulation und Datendiebstahl ausschließen sollten. In dieser Arbeit wird die spezielle Angriffsform man-in-the-middle dargestellt und verschiedene Angriff- und Abwehrmethoden diskutiert sowie gegenübergestellt. Am Ende soll die zentrale Frage beantwortet werden, ob ein man-in-the-middle- Angriff sicher abgewehrt werden kann.

2 1 Einleitung In dieser wissenschaftlichen Arbeit, geht es um die Angriffsform man in the middle abgekürzt MITM - um Daten, bei der Übertragung von A nach B, abzufangen oder zu manipulieren. Welche Angriffe und Abwehrmethoden gibt es und kann man sich wirkungsvoll vor MITM-Attacken schützen? Bei MITM Attacken auch bucket-bridge attack oder Janus attack (vgl. [STH10]) genannt, handelt es sich um eine Angriffsart bei der sich der Angreifer zwischen zwei kommunizierende Systeme schaltet und vorgibt jeweils das Zielsystem zu sein. Diese Angriffsart gibt es seit der Einführung der vernetzten Computer. Früher hatte sie allerdings nur eine geringe Bedeutung, weil ein Angreifer sich physikalisch zwischen die beiden Zielsysteme bringen musste. Er musste also die Kabelverbindung zwischen den beiden Teilnehmern unterbrechen und sich an dieser Stelle einklinken. Heute, im Zeitalter des Internet und W-Lan ist diese Angriffsform viel präsenter geworden. Meistens gibt es mehrere Wege zum Zielsystem und der Weg wird durch Wegweiser, sogenannte Protokolle, gefunden. Im Prinzip müssen hierbei nur die Wegweiser umgestellt werden, sodass die Informationen über den Angriffsrechner laufen und schon können die Daten gelesen oder manipuliert werden. Laut Chris Voice dem Chief Technology Officer von Entrust sind man-in-the-middle Attacken der Kryptographischen Gemeinschaft schon länger bekannt und gelten bei Sicherheitsexperten als potentielle Bedrohung für Web-Basierte Transaktionen (vgl. [Vo07]). Im Sommer 2006 wurde diese Angriffsart sehr viel stärker als Bedrohung wahrgenommen, als Kunden eines großen Finanzunternehmens zum Ziel von MITM Angriffen wurden (vgl. [Vo07]). Der Artikel beschreibt das 2004 die erste MITM Phishing 1.0 Welle ahnungslose Kunden austrickste und diese auf gefälschte Bankseiten geleitetet wurden (vgl. [BC06]), um dort sensible Daten einzugeben. Auch dieser Artikel berichtet von einem Großangriff auf ein Finanzunternehmen im Jahre 2006, wobei hier die Angriffsmethode mit MITM Phishing 2.0 [BC06] betitelt wurde. Der bedeutende Unterschied zwischen diesen beiden Methoden ist, dass bei MITM Phishing 2.0 auf keine gefälschte Seite verlinkt wird, sondern das Opfer wird über den Angreifer-PC auf die Originalseite umgeleitet (vgl. [BC06]). 2

3 2 Was ist ein MITM Angriff? Bei einem Man-in-the-middle-Angriff sitzt der Angreifer zwischen zwei kommunizierenden Parteien, und beide Parteien glauben, mit der jeweils anderen Partei einen Dialog zu führen, während sie in Wirklichkeit mit dem Angreifer kommunizieren. Will nun System A eine verschlüsselte Verbindung zu System B aufbauen, wird Tatsächlich eine Verbindung von System A zum Angreifer C aufgebaut und von Angreifer C zu System B. Der Angreifer kann mit Hilfe der öffentlichen Schlüssel die Leitung zu A und B mit seiner eigenen Verschlüsselung codieren und so den gesamten Datenverkehr zwischen A und B abhören oder manipulieren (vgl. [Er09] S.443). Es gibt mehrere Techniken um solche Angriffe durchzuführen. Angriffe über DHCP, DNS, ARP, Proxy und Man-in-the Browser laufen weitestgehend ohne menschliches Zutun ab. Dazu kommen sogenannte Human Assisted Angriffe bei denen der Angreifer in Echtzeit vor dem System sitzt und bestimmte Manipulationen ausführt. Diese Human Assisted Angriffe werden hauptsächlich in Länder mit Billig- Arbeitskräften ausgelagert. Wo werden MITM-Angriffe angewendet? Mit MITM-Angriffe wird nicht versucht sich zu einem PC Zugang zu verschaffen, sondern es wird die Kommunikation zwischen zwei oder mehreren Systemen abgehört bzw. manipuliert. Ziel ist die Informationsgewinnung über militärische oder terroristische Vorhaben, Ermittlung von sensiblen Kundendaten, sowie Zugriffsdaten für Onlinesysteme wie Mail Accounts, Onlinebanking, Onlineshopping und andere Daten die dem Angreifer nützen könnten. Vor allem im Online Banking Bereich wird dieser Angriff zunehmend häufiger. Immer mehr Kunden sparen sich den Weg zu ihrer Bankfiliale und überweisen das Geld bequem, über Online-Banking, von zu Hause. Ein MITM-Angreifer kann sich zwischen Kunde und Bank schalten und die Daten so verändern, dass er die Überweisung beliebig manipulieren kann. Meistens wird dann ein höherer Betrag auf ein Auslandskonto überwiesen, ohne dass der Kunde etwas davon merkt. Im folgenden Kapitel wird nun erklärt mit welchen Angriffstechniken sich eine dritte Person zwischen zwei Systeme hacken kann. 3

4 3 Angriffsmethoden In diesem Kapitel werden die meisten MITM-Angriffsmethoden beschrieben. Sie können auch in Kombination vorkommen um dem Angreifer noch mehr Möglichkeiten zu bieten. 3.1 DHCP basierende Angriffe Das Dynamik Host Configuration Protokoll (DHCP) ist ein Dienst, um in einem Netzwerk IP Adressen zu vergeben und diese zu verwalten. Dafür gibt es in jedem Netz einen DHCP-Server, der entscheidet welcher Client welche IP-Adresse bekommt. So werden doppelte Adressen vermieden und Adressen gespart, da in großen Netzen selten alle Clients auf einmal im Netzwerk sind. Beim Aufbau der Netzwerkverbindung fragt der DHCP-Client des Rechners in einer Broadcastnachricht nach einer eindeutigen IP-Adresse (vgl. [Ec08] S. 101). Alle DHCP- Server, die diese Nachrichten empfangen, antworten mit einem IP-Adressen-Angebot (vgl. [Ec08] S. 101). Der Client nimmt das erste Angebot das er empfängt und fordert über eine Request Nachricht diese IP-Adresse vom Anbieter an (vgl. [Ec08] S. 101). Genau in dieser ersten Antwort liegt die Schwachstelle für den Angreifer. Ist das ersteintreffende Angebot das, welches der Angreifer schickt, so kann der Angreifer dem Client eine beliebige Adresse zukommen lassen. Ebenso kann dieser einen beliebigen Standartgateway beim Client eintragen und somit laufen alle Anfragen des Netzes, über die eventuell falsche Standartgateway-Adresse. Somit kann der Angreifer sämtlichen Datenverkehr abhören und gegebenenfalls modifizieren. Ebenso kann auch eine falsche DNS-Server-Adresse an den User übermittelt werden, die auf einen Server verweist, den der Angreifer unter Kontrolle gebracht oder selbst aufgesetzt hat. Dadurch kann das Zielsystem auf jegliche Seite umgeleitet werden, selbst wenn die richtige Adresse eingegeben wurde. Da heutzutage das DHCP-Protokoll oft eingesetzt wird, kann der User sich nur sehr schlecht dagegen schützen. Zum Beispiel sollten öffentliche, unsichere und unbekannte Netze vermieden oder mit großer Sorgfalt verwendet werden. Sicherheitskritische Anwendungen wie Onlinebanking, Internetshopping, etc. sollten nur in einem bekannten und sicheren Netz benutzt werden. Die Gefahr, dass sich in einem öffentlichen Netz mit unübersichtlicher Architektur ein Angreifer versteckt, ist wesentlich höher als im privaten Heimnetzbereich. 3.2 DNS basierende Angriffe Der Domain Name Service (DNS) ist ein Dienst, der eine menschenlesbare Adresse in eine vom Computer interpretierbare IP auflöst. Dafür gibt es eine Zuweisungstabelle im DNS-Server. Jede Adresse bekommt genau eine IP-Adresse zugewiesen. Große Tabellen benötigen viel Zeit um durchsucht zu werden, daher kann ein DNS-Server nicht alle Adressen kennen. Wenn die angefragte Adresse nicht in der Tabelle vorhanden ist, wird die Anfrage an den nächst höheren DNS Server weitergeleitet. 4

5 Um diese Anfragen schnell bewältigen zu können, werden DNS-Server Caches verwendet (vgl. [Ec08] S.120). Ältere Versionen der DNS-Software akzeptieren auch Daten, die gar nicht von ihnen angefordert wurden, und tragen diese in ihren Cache ein. Auf diesem Weg ist es einem Angreifer möglich, einem DNS Server einen falschen Namen unterzuschieben ([Ec08] S.120). Es können aber auch mehrere Einträge oder ganze Top-Level-Domains manipuliert werden. Ebenso kann eine Umleitung auf einen eigenen DNS-Server eingerichtet werden, auf dem der Angreifer dann die völlige Kontrolle besitzt. Wenn nun der Benutzer eine Seite aufruft, werden die manipulierten Einträge als Antwort zurückgegeben und der Benutzer baut eine Verbindung auf, die auf eine manipulierte Webseite führen kann. Das Ziel hierbei ist der Gewinn sensibler Daten wie Kundendaten und Passwörter (vgl. [Ec08] S.121) die dann später weiterverwendet werden können. Um solch einem Angriff Abhilfe zu verschaffen, könnten zusätzliche Authentifizierungsmechanismen wie zum Beispiel signierte Antwortnachrichten eingesetzt werden (vgl. [Ec08] S.122). Ferner könnten die Server Informationen über die von ihnen gesendeten Anfragen speichern, d.h. Zustandsinformationen führen, um bei ankommenden Antworten zu prüfen, ob es sich nun um genau die Antwort auf eine aktuell gestellte Anfrage handelt ([Ec08] S.122). An derartigen Sicherheits- Erweiterungen wird bereits seit 1999 (vgl. [RFC2535]) unter dem Namen DNSSec (Domain Name System Security) gearbeitet ([Ec08] S.122). Mittlerweile ist der RFC 2535 durch eine Reihe weiterer RFCs aktualisiert und ersetzt worden (vgl. [Ec08] S.122). Zu den vorgeschlagenen Sicherheitsdiensten gehört die Verwendung digitaler Signaturen, die sichere Verwaltung authentifizierter öffentlicher Schlüssel, die Speicherung von Diffie-Hellmann Schlüssel im DNS System oder auch Authentifizierungs- und Integritäts-Protokolle auf der Basis von vorab zwischen DNS- Server und Client ausgetauschten geheimen Schlüsseln und unter Verwendung kryptografischer Hashfunktionen (vgl. [Ec08] S.122). Der Benutzer kann sich gegen diesen Angriff also kaum selber schützen, da der Angriff in der Infrastruktur des Internets stattfindet. Hier müssen die Betreiber der DNS-Server in die Pflicht genommen werden. Diese sollten ihre Server richtig schützen und auf dem neusten Stand halten. Leider passiert dies viel zu selten, wie im Buch der IT-Sicherheit beschrieben wird: Die Sicherheits-Erweiterungen von DNS haben aber noch nicht die Verbreitung gefunden, wie es wünschenswert wäre ([Ec08] S.122). 3.3 ARP Cache Vergiftung Jede netzwerkfähige Hardware besitzt eine sogenannte MAC-Adresse die vom Hersteller vorgegeben ist. Diese Adresse gibt es nur ein einziges Mal, wie bei einer Postanschrift. Dies ermöglicht einen gezielten Datenaustausch zwischen zwei Geräten. Das Address Resolution Protocol (ARP) speichert in einer Tabelle zu einer IP-Adresse die MAC-Adresse der Netzwerkhardware und kann somit eine IP Adresse in eine eindeutige Hardwareadresse auflösen. Anschließend können die Daten dann an die entsprechende Hardware weitergeleitet werden. 5

6 Diese Angriffsart wird auf der Layer 2 Schicht durchgeführt. Für den Angreifer befinden sich hier zwei interessante Details. Erstens überschreibt das empfangene System die alten Daten (wenn der ARP-Cache nicht explizit als permanent gekennzeichnet ist), wenn ein ARP-Reply mit einer IP-Adresse ankommt, die bereits im ARP-Cache existiert. Zweitens werden keine Zustandsinformationen über den ARP-Traffic festgehalten, weil das zusätzlichen Speicher verlangen würde und ein einfach zu haltendes Protokoll weiter verkomplizieren würde. Das bedeutet, dass Systeme einen ARP-Reply auch dann zu akzeptieren, wenn sie gar keinen Request gesendet haben ([Er09] S 262). Als ARP-Cache Vergiftung wird nun der Vorgang bezeichnet, bei dem der Angreifer über gefälschte ARP-Replies versendet und damit die Zuordnungstabelle so modifiziert, dass System A zur IP-Adresse von B, die MAC-Adresse des Angreifers zuordnet. Dieser Angriff muss natürlich auch auf System B gemacht werden um die Kommunikation zwischen beiden Systemen zu kontrollieren. Weil A und B ihre Ethernet-Header auf den entsprechenden ARP-Caches aufbauen, wird As IP-Traffic (der eigentlich für B bestimmt ist) in Wirklichkeit an die MAC-Adresse des Angreifers gesendet und umgekehrt. Der Switch filtert den Traffic nur anhand der MAC-Adresse aus, sodass er so funktioniert, wie er soll. Dabei sendet er As und Bs Traffic an die MAC-Adresse und den Port des Angreifers ([Er09] S ). Der Angreifer kann nun die Daten lesen manipulieren und mit dem richtigen Header versehen, an den Switch zurücksenden. Um den Angriff aufrecht zu erhalten müssen die gefälschten ARP-Replys in regelmäßigen Intervallen an A und B gesendet werden beispielsweise alle 10 Sekunden (vgl. [Er09]S.263) sonst werden aufgrund des Timeouts die gefälschten Einträge von den realen wieder überschrieben. ARP Redirection ist besonders interessant, wenn eine der angegriffenen Maschinen ein Standard-Gateway ist, da zwischen diesem Standard-Gateway und einem anderen System der Internet-Traffic des Systems stattfindet (vgl. [Er09] S.263). So kann der Angreifer den kompletten Internetzugriff auf jede Seite protokollieren, manipulieren und/oder speichern. Bei diesem Angriff zählt für den User das gleiche Prinzip wie beim Abwehren von DHCP Attacken. Generell unsichere und öffentliche Netze vermeiden. Falls dies nicht möglich ist, entsprechende Sorgfalt walten lassen, da solch eine ARP-Attacke in der Regel nicht bemerkt wird. 3.4 Vorspielen eines WLAN Access Points Immer mehr Leute verbinden sich über WLAN ins Internet. Egal ob zu Hause oder über öffentliche Hotspots. Dabei ist gerade diese WLAN Verbindung oft nicht richtig gesichert, wie aus einer Umfrage von 2010 aus der Communications oft he ACM hervorgeht. Hier heißt es, dass 60% aller WLANs keine Verschlüsselung verwenden und selbst wenn, ist es zu 75% die veraltete WEB-Verschlüsselung, die gut dokumentierte Defizite aufweist (vgl. [CMT10] S.134). Dies ist oft auf die offene Grundeinstellung eines Access Points zurückzuführen, die viele Administratoren einfach übernehmen (vgl. [Ec08] S.821). 6

7 Wenn der Angreifer sich nun zu einem Netzwerk verbindet, hat er die Möglichkeit als zusätzlicher Access Point zu fungieren. Dabei verwendet er eine gefälschte ID und verspricht bessere Signalqualität. Da mobile Endgeräte meist auf das stärkste Signal reagieren und zu dem sendenden Access Point eine Verbindung aufzubauen versuchen, ist es einfach, einen gefälschten AP zu installieren. Ein solcher Access Point besitzt die vollständige Kontrolle über die Kommunikationsverbindungen und es ist ihm ein leichtes, Daten abzuhören, Daten einzuschleusen, zu modifizieren oder auch DNSbasierte Angriffe durchzuführen ([Ec08] S.824). 3.5 Man-in-the-Browser Der Internetbrowser ist bekanntlich die Schnittstelle zwischen PC und Internet. Mittels Browsers können WWW-Objekte von einem Server abgerufen, aber auch interaktive Benutzereingaben an den Server weitergeleitet werden ([Ec08] S.130). Der hier wichtigste Aspekt für den Angriff wird so beschrieben. Aufgrund der Zustandslosigkeit des http-protokolls muss bei jedem Zugriff auf ein WWW-Objekt eine TCP-Verbindung zwischen Client und Server aufgebaut werden [Ec08] S.130). Bei einem Man-in-the-Browser-Angriff wird der Browser selber so manipuliert, dass die Informationen anstatt dem richtigen Server, einfach an den Angreifer übermittelt werden. Dies geschieht noch bevor irgendeine Verschlüsselung den Inhalt schützen könnte. Allerdings setzt diese Angriffsart voraus, dass der Angreifer sich vorher schon Zugriff auf das System verschafft hat, um den Browser entsprechend zu manipulieren. Um diesem Angriff vorzubeugen, muss ein Benutzer, sein System von Anfang an gegen Angriffe von außen schützen. Hat der Angreifer es geschafft den Browser zu infizieren, wird die korrupte Verbindung als gewünscht angesehen und demnach von keinem Sicherheitssystem verhindert. 3.6 Human Assisted Angriffe Bei solch einem Angriff wird eine der vorherigen Angriffsmethoden genannten Techniken zugrunde gelegt und erweitert. Sobald sich das Opfer zum Beispiel auf einer Bankseite einloggt, wird ein Signal an den Angreifer gesendet. Dieser kann sich nun den Cookie mit der Session ID holen und den Zugang des Kunden unterbrechen. So führt der Angreifer die alte Session weiter und der Kunde bekommt eine neue. Der Angreifer kann jetzt über verschiedene Tricks mehrere Tans vom Kunden als Eingabe verlangen und diese anschließend selbst benutzen, um das Konto leerzuräumen. Natürlich kann diese Angriffsart auch bei sämtlichen anderen Online Anwendungen durchgeführt werden. Der Benutzer merkt dies meistens erst, wenn es zu spät ist. Als Abwehrstrategie muss der User hier die Voraussetzungen bekämpfen, da dieser Angriff den Man-in-the-middle-Angriff voraussetzt. Ebenso sollte der User bei der Eingabe von sensiblen Daten sich immer vergewissern, dass er auf der richtigen Seite ist und über den Sinn der Eingabe nachdenken. Zum Beispiel wird keine Bank die Eingabe von mehreren Tans verlangen. Im Zweifelsfall sollte der entsprechende Anbieter Kontaktiert werden. 7

8 4 Verschlüsselung als Schutz gegen MITM Attacken? 4.1 Was ist Verschlüsselung? Verschlüsselung ist die Kodierung einer Nachricht, sodass diese für dritte nicht lesbar ist. Die Verschlüsselung ist Teil der Kryptologie die schon auf eine lange Geschichte zurückblicken kann. Kryptologie ist als die Lehre der Kryptografie (Geheimcodes) oder Kryptanalyse definiert. Dabei ist Kryptografie einfach der Prozess der verschlüsselten Kommunikation über geheime Codes (Cipher), und unter Kryptanalyse versteht man den Prozess des Knackens oder Entschlüsselns einer auf diese Weise verschlüsselten Kommunikation. ([Er09] S.429) 4.2 Verschlüsselungsarten Es gibt verschiedene Arten von Verschlüsselungen. Im Groben kann man zwischen solchen Protokollen unterscheiden, die als reine Kommunikationsprotokolle dienen und einen Nachrichtenstrom zwischen Kommunikationspartnern absichern, und solchen, die auf der Anwendungsebene dezidiert Anwendungsdaten absichern ([Ec08] S.689). Da MITM-Angriffe auf die Verbindung zweier Systeme abzielen, konzentriert sich dieses Kapitel auf Kommunikationsprotokolle. Klassische Vertreter solcher Protokolle sind IPSec, SSL/TLS oder auch SSH (vgl. [Ec08] S.689). 4.3 Verschlüsselung auf Netzzugriffschicht (Schicht 1 und 2) Sichere Kommunikationsprotokolle sind dadurch charakterisiert, dass eine Interaktion zwischen den beteiligten Kommunikationspartnern stattfindet, während der sich die Partner authentifizieren und sich auf die zu verwendenden Verfahren einigen, sowie gemeinsame Kommunikations- und falls erforderlich auch MAC-Schlüssel austauschen. Gängige Protokolle zur Etablierung eines sicheren Kommunikationskanals zwischen Partnern gewährleisten in der Regel die Schutzziele der Authentizität, Integrität und Vertraulichkeit, wobei sich die Authentizität auf den Datenursprung und die Integrität sich auf einzelne Datenpakete und nicht auf eine ganze Transaktion bezieht. ([Ec08] S.689) Bei der Verbindungsverschlüsselung (engl. Link encryption) werden die Daten unmittelbar vor ihrer Übertragung, also auf den Schichten 1 oder 2, verschlüsselt ([Ec08] S.690). Da bei der Verbindungsverschlüsselung die Nutzdaten der Schicht 2 verschlüsselt werden, sind auch IP-Adressen ein Bestandteil des Kryptotextes. Somit müssen Router jedes Paket zunächst entschlüsseln, um an die für das Routing benötigten Informationen zu gelangen ([Ec08] S.691). Die Konsequenz daraus ist, dass die Daten nur bei der Übermittlung verschlüsselt sind, aber den jeweiligen Vermittlungsrechnern im Klartext vorliegen (vgl. [Ec08] S.691). Dies ist natürlich sehr problematisch da die Benutzer den Vermittlungsstellen vertrauen müssen. Nun können im Internet aber unzählige Wege zu einem Zielsystem genommen werden. Dabei kann der Benutzer die Vermittlungsstellen unmöglich kennen und sollte ihnen demnach nicht einfach vertrauen. Daher birgt die Verschlüsselung, auf dieser niedrigen Schicht, ein hohes Risiko bzw. für den Angreifer ein großes Angriffspotential. 8

9 Nun besitzt die Schicht 2 keine Kenntnisse über die spezifischen Anforderungen höherer Schichten, so dass die Sicherheitsdienste auf alle Datenpakete in uniformer Weise angewandt werden (vgl. [Ec08] S. 692). Eine gezielte Verstärkung oder Abschwächung ist daher nicht möglich. Es wird im Prinzip alles identisch Verschlüsselt, egal wie Sicherheitskritisch die darüberlegende Anwendung auch sein mag. Diesen ganzen Einschränkungen steht als Hauptvorteil die einfache und vollständige transparente Handhabung der Sicherheitsprotokolle durch die Protokolle höherer Schichten gegenüber. Diese können auf den Schicht 2 Protokollen aufsetzten, wodurch sie zumindest deren einfache sicherheitssteigernde Eigenschaften übernehmen. ([Ec08] S.692) 4.4 Verschlüsselung auf Vermittlungsschicht (Schicht 3) Höhere Verschlüsselungsprotokolle die auf Schicht 3 oder höher arbeiten werden als Ende-zu-Ende-Verschlüsselung (engl. End-to-end encryption) bezeichnet (vgl. [Ec08] S693). Hier werden Die Daten vom Sender verschlüsselt aber erst beim Empfänger wieder entschlüsselt. Dabei werden aber nur die Nutzdaten verschlüsselt. Die Steuerdaten werden als Klartext übertragen. Dadurch können wieder aber bestimmte Verkehrsdaten über sogenannte Verkehrsflussanalysen ermittelt werden (vgl. [Ec08] S.693). Allerdings kann dieses Problem durch die zusätzliche Verschlüsselung auf Ebene 2 schnell behoben werden. Sicherheitsprotokolle auf der Netzwerkebene (Schicht 3) können zwar eine sichere Ende-zu-Ende-Verbindung zwischen verschiedenen, nicht notwendig physisch benachbarten Endsystemen realisieren, aber eine weitergehende Differenzierung ist nicht möglich. Dazu sind Informationen über Prozesse und/oder über die einzelnen Benutzer erforderlich. ([Ec08] S.694,695) 4.5 Verschlüsselung auf Transport- und Anwendungsschicht (Schicht 4,5 und 6) Sicherheitsprotokolle auf der Transportebene (Schicht 4) und auf Ebenen zwischen der Transport- und der Anwendungsebene (Schicht 5 und 6) bieten Ende-zu-Ende- Verschlüsselung zwischen Prozessen als Kommunikationspartnern ([Ec08] S.694). Diese Protokolle haben leider einen speziellen Nachteil der die Funktionen einer Firewall betrifft. Die Firewall kann den Inhalt des Datenstroms nicht lesen und dadurch schädliche Daten nicht erkennen. Das Problem ergibt sich daraus, dass die dedizierten Proxies der Applikationsfilter von den Protokollen der Schicht 4 als mögliche Mittelsmänner eines Man-in-the-Middle-Angriffs betrachtet werden. Zur Problemlösung sind entweder Tunnelungs-Techniken einzusetzen oder man muss sich mit Firewall- Konfigurationen mit geringeren Filterungsfähigkeiten, wie Paketfiltern, zufrieden geben ([Ec08] S.695). 9

10 Ein Proxy ist ein Vermittler bei der Kommunikation zweier Systeme. Ein Proxy benutzt seine eigene Adresse um die Anfrage eines Systems zu senden. Somit bleibt die Adresse des Quellsystems verborgen. Hinter einem Proxy kann sich auch ein ganzes Netz verbergen und jeder in diesem Netz hat die Möglichkeit Anfragen zu senden. Daher wird oftmals auch die Firewall auf dem Proxy installiert um möglichst einfach ganze Netze abzusichern. Beim Angefragten System sieht es jedoch so aus, als würden alle vom gleichen System kommen. Mit den Vorteilen kommen aber auch Nachteile. Laufen alle Anfragen über ein Proxy, so ist dieser Proxy ein beliebtes Ziel für Angreifer. 4.6 Verschlüsselung gegen MITM-Attacken? Wie sicher sind jetzt diese alltägliche Verschlüsselungen mit IPSec, SSL/TLS und SSH? John Erickson beschreibt es in seinem Buch wie folgt. Absolut sichere Kryptosysteme sind heutzutage für den praktischen Einsatz viel zu unhandlich. Anstelle eines mathematisch bewiesenen sicheren Systems werden daher Kryptosysteme verwendet, die praktisch gesehen sicher sind. Das bedeutet, dass es durchaus möglich sein kann, die Verschlüsslung zu knacken, dass es bisher aber niemanden gelungen ist. ([Er09] S.429). Zu diesen praktisch sicheren Verschlüsselungen gehören die oben genannten Verschlüsselungstechniken. Diese könnten zwar theoretisch Entschlüsselt werden, praktisch ist es aber noch niemand gelungen, dies durchzuführen. Das Problem liegt hier auch nicht nur bei der Verschlüsselung sondern vielmehr bei der Authentifizierung. Bei einem MITM-Angriff spielt der Angreifer dem Opfer den Kommunikationspartner vor. Das Opfer denkt nun das der Angreifer der gewünschte Zielpartner ist und möchte natürlich, dass dieser Zielpartner die Nachricht auch entschlüsseln kann. Der Angreifer braucht nichts weiter zu tun, als mit seinem eigenen Schlüssel eine sichere Verbindung zum Opfer aufzubauen und schon kann er als authentifizierte Gegenstelle alle Daten lesen und manipulieren. Danach baut er auch zum richtigen Empfänger eine sichere Verbindung auf und übersendet diesem die manipulierten Daten. Aus diesem einfachen Grund bietet jede noch so gute Verschlüsselung keinen wirksamen Schutz gegen MITM Angriffe. Es gibt aber auch Verschlüsselungssysteme die sowohl theoretisch als auch praktisch nur vom rechtmäßigen Empfänger entschlüsselt werden können. Diese werden als unbedingt sicher ([Er09] S.430) betrachtet. Ein kryptografisches System wird als unbedingt sicher betrachtet, wenn es (selbst mit unendlichen Rechnerkapazitäten) nicht zu knacken ist. Damit ist eine Kryptanalyse unmöglich, und selbst durch das Ausprobieren aller möglichen Schlüssel kann nicht festgestellt werden, welcher Schlüssel der richtige ist. ([Er09] S.430) 10

11 Ein Beispiel für ist ein unbedingt sicheres Kryptosystem ist das One-Time-Pad. Ein One-Time-Pad ist ein sehr einfaches Kryptosystem, das mit Blöcken zufälliger Daten, sogenannten Pads, arbeitet. ([Er09] S.430). Es werden genau zwei identische Pads erzeugt, wobei diese mindestens die Länge des zu verschlüsselten Klartexts besitzen müssen. Ein Pad wird vom Sender für die Verschlüsselung genutzt, das andere vom Empfänger für die Entschlüsselung. Nachdem die Nachricht codiert ist, wird das Pad zerstört, um sicherzustellen, dass es nur einmal verwendet wird ([Er09] S ). Nun kann die verschlüsselte Nachricht nur vom Empfänger entschlüsselt werden. Obwohl es theoretisch unmöglich ist, das One-Time-Pad zu knacken, ist es in der Praxis nicht so einfach zu nutzen. Die Sicherheit des One-Time-Pads hängt von der Sicherheit des Pads ab. ([Er09] S.431). Das heißt die Sicherheit dieses System hängt davon ab wie das Pad ausgetauscht wird. Werden die Pads an Sender und Empfänger verteilt, wird davon ausgegangen, dass der Pad-Übertragungskanal sicher ist ([Er09] S.431). Ein persönlicher, direkter Austausch der Pads wäre die sicherste Variante, allerdings ist dies im Alltag nahezu unmöglich. Daher wird der bequemlichkeitshalber die Pad-Übertragung über einen weiteren Schlüssel durchgeführt (vgl. [Er09] S.431). Das Problem dabei ist, dass nun die ganze Übertragung von der Verschlüsselung des Pads abhängig ist. Daher lohnt sich meistens der Aufwand nicht solche Pads zu erzeugen, weil die Sicherheit letztendlich nicht höher ist, als wenn die Übertagung direkt Verschlüsselt wird. Da die Verschlüsselung alleine offensichtlich nicht ausreicht um Daten gegen einen MITM-Angriff zu schützen gibt es noch weitere Verfahren die eingesetzt werden können um die Angreifer abzuwehren. 5 Abwehrmechanismen 5.1 One time password Bei dem One time Password verfahren (OTP) darf jedes Passwort nur genau einmal verwendet werden (vgl. [Sc10] S.20). Dafür können Hardwaregeräte eingesetzt werden die beim Login einen Schlüssel erzeugen. Ebenso können Rubbelkarten, Zugangskarten oder einfach eine Liste mit Passwörter verwendet werden. Ein Hardwaregerät kann das Passwort auch alle Sekunden ändern (vgl. [BC06]). Diese One Time Password (OTP) -Verfahren werden z.b. beim Homebanking eingesetzt, wo für jeden Buchungsvorgang eine nur einmalig verwendbare Transaktionsnummer (TAN) eingegeben werden muss, oder z.b. auch beim Aufladen von Handys mit vorausbezahlten Karten. [BC06]. Bei Onlinebanking gab es früher diese sogenannten Tan-Listen die an die hundert TANs beinhalteten. Diese werden aktuell bei den meisten Banken auf Mobil-TAN oder Smart-Tan umgestellt. Für Smart Tan wird eine Hardware benötigt die aus optischen Signalen am Bildschirm eine Tan generiert. Bei Mobile-Tan kommt die Tan als SMS auf das Handy. 11

12 Wichtig hierbei ist, dass die OTP-Listen, Geräte oder Karten vom Partner und nicht vom Angreifer kommen. Schafft ein Angreifer selbst diese Informationen zu erzeugen oder die Vorhandenen Informationen zu kopieren, so wird das ganze OTP-Verfahren wirkungslos. Daher sollten diese Informationen über einen anderen Kommunikationskanal z.b. Post zugesendet, oder direkt beim Partner abgeholt werden. Laut TriCipher, Inc. kann aber auch diese Methode nicht wirkungsvoll gegen MITM- Attacken abwehren, da ein Angreifer sämtliche Eingaben entschlüsseln kann und somit auch das gerade eingegebene Passwort entziffern kann (vgl. [BC06] S.20). Allerdings wird der Aufwand deutlich größer wenn ein System alle 30 Sekunden das Passwort ändert. Zudem werden bei Mobile-Tan die Überweisungsdaten wie Betrag und Empfänger in der SMS mitgeteilt, sodass ein Benutzer diese nochmals kontrollieren kann ob das Geld auch wirklich an den richtigen Empfänger geht. 5.2 IP Standortbestimmung (IP Geolocation) Anhand einer IP-Adresse kann eine ungefähre geografische Zuordnung des Systems gemacht werden (vgl. [BC06] S.20). Diese Information kann ebenso als Absicherung dienen. Ist die Geografische Lage der Zieladresse weit von dem eigentlichen Kommunikationspartner entfernt, so kann davon ausgegangen werden das sich jemand in die Kommunikation eingeklinkt hat und diese abhört. Diese Abwehrtechnik sollte mit Vorsicht und nur als Zusatz eingesetzt werden, da sie nicht in jedem Fall schützt und leicht umgangen werden kann. Zuerst kann ein Angreifer sich zufällig auch in der Nähe des Zielsystem befinden, ebenso ist es heutzutage auch kein Problem mehr den Angreifer Proxy-Server zu einem lokalen Botnet-Computer zu routen, der sich dann in der Nähe des Zielsystems befindet (vgl. [BC06] S.20). Hinzu kommt das einem Benutzer der sich im Ausland aufhält, möglicherweise der Zugang verwehrt wird, weil er sich mit seinem Laptop in einem anderen Adressbereich findet. Daher wird durch diese Maßnahme auch die Benutzbarkeit eingeschränkt. 5.3 Eindeutiger Fingerabdruck (Device Fingerprint) In dieser Abwehrmethode steckt die Idee das bereits bekannte System von dem Angreifer aufgrund der im Browser verfügbaren Informationen, zu unterscheiden. Dazu erstellt die Gegenstelle einen sogenannten, digitalen Fingerabdruck des Systems wenn dieses sich verbindet (vgl. [BC06] S.20). Will nun der Angreifer mit der Gegenstelle kommunizieren, braucht er erst diesen entsprechenden Fingerabdruck. Doch auch diese Methode hat gewisse Schwachstellen. Die Browserinformationen werden unverändert vom Original-User übertragen und so kann der Angreifer leicht die gewünschten Informationen abfangen (vgl. [BC06] S.20). Ebenso ist ein Wechsel auf ein anderes Kundengerät nicht so einfach möglich, da dort die Informationen nicht vorhanden sind. 12

13 5.4 Bilder oder Text auf der Webseite Diese Methode versucht dem Benutzer, durch die Personalisierung der Webseite, eine Möglichkeit zu geben, diese eindeutig zu Identifizieren. Dies geschieht durch Signieren mit einem persönlichen Bild oder einer einzigartigen Textphrase die es nur einmal pro Benutzer gibt. Dieses Bild erscheint nun jedes Mal wenn dieser Benutzer sich einloggt. So können Benutzer sicher sein das es keine gefälschte Internetseite ist und sie gerade gefischt werden (vgl. [BC06] S.20). Kann der Angreifer über einen Lauschangriff die Anmeldedaten herausfinden und anschließend den Cookie zurücksetzen, so kennt auch er nun das geheime Bild oder den einzigartigen Text und kann diesen auch auf seiner Phishing-Seite implementieren (vgl. [BC06] S.20). Ein weiteres Problem ist bei dieser Methode, dass diese nur einen Schutz gegen Phishing-Seiten liefert. Hört der Angreifer aber nur die Kommunikation ab und leitet die Informationen zu und von der Originalseite weiter, so wird auch dieses personalisierte Bilder oder Text angezeigt, weil es sich um die originale Seite handelt. Der Angreifer kann die Daten trotzdem manipulieren und sich daraus einen Vorteil verschaffen. 5.5 Virtuelle Tastatur (Virtual Keyboard) Ein weiterer Versuch unautorisierten Zugriff zu verhindern ist die Eingabe des Passwortes über eine virtuelle Tastatur die auf dem Bildschirm eingegeben wird. Der Benutzer verwendet also eine Grafische Schnittstelle anstatt seiner Tastatur und glaubt dadurch vor Angriffen sicher zu sein. Das Problem dabei ist, dass der Angreifer zwischen den beiden Kommunikationspartnern sitzt und den Datenverkehr abhören kann. Das Passwort wird nach der Eingabe durch die Web-basierte virtuelle Tastatur gestohlen (vgl. [BC06] S.20). 5.6 Out of Band Authentication Bei der Out of Band Authentication wird die Authentifizierung über einen zweiten unabhängigen Kanal abgewickelt. Zum Beispiel wird bei einer Onlineüberweisung oft der letzte Schritt durch Mobile-Tan bestätigt, bei der die Tan als SMS auf das Handy geschickt wird. Kontrolliert der Angreifer nur einen Weg, so kann er die SMS, die an das Handy geschickt wird, nicht abfangen. Bei anderen Anwendungen kommen auch Post, und viele andere Wege als Authentifizierung zum Einsatz. 13

14 Das Problem ist, dass der Benutzer die empfangene Tan dann in das System eingibt und dort kann es vom Angreifer abgefangen werden. Der Angreifer lässt die Tan passieren ändert aber mit einem Skript die Transaktion, die mit der Tan freigegeben wurde, ohne das der Benutzer dieses merkt (vgl. [BC06] S.20). Immerhin ist das ändern per Skript nach der Eingabe der Tan in diesem Fall nicht so einfach, da diese aus denen vom Benutzer eingegebenen Daten wie Kontonummer, Betrag, etc. errechnet wird. Ändert nun der Angreifer die Transaktion vor der Bestätigung, so könnte er die Tan vom Kunden direkt verwenden. Allerdings würde der Kunde in der SMS sehen, dass die Überweisung manipuliert wurde und den Vorgang abbrechen. Übersieht dies der Kunde, wie es leider häufig der Fall ist, kann der Angreifer mit dem Tan die gewünschte Transaktion durchführen. 5.7 Knowledge-Based Authentication Das ist der Versuch den Benutzer, durch Beantwortung von mehreren persönlichen Fragen, zu identifizieren (vgl. [BC06] S.20). Diese Methode ist gegen einen MITM- Angriff eher ungeeignet, da der Angreifer die Fragen einfach an den User weitergibt und die Antworten, nachdem sie gestohlen sind, an den Server weiterleitet (vgl. [BC08] S.20). 6 Sicherheit gegen MITM-Angriffe? In den letzten Kapiteln wurde nun ausführlich über die Angriffsformen und die Abwehrmechanismen geschrieben. Nun bleibt dennoch die Frage ob man MITM- Attacken mit einem System unterbinden kann. Diese Frage kann theoretisch mit Ja beantwortet werden. Das One-Time-Pad ist in der Lage die Daten sicher vor einem Angreifer zu schützen, allerdings gibt es bei der Umsetzung Probleme, weil die Schlüssel getauscht werden müssen. Daher ist praktisch gesehen kein Mittel Vorhanden um einen MITM-Angriff komplett auszuschließen. Die Frage hierbei ist natürlich auch, wie sicher ein System sein muss. Es gibt genügend Abwehrmechanismen mit denen der Aufwand eines MITM-Angriffs so gesteigert werden kann, dass dieser kaum durchzuführen oder extrem Aufwendig ist. Dauert es zu lang einen Angriff durchzuführen oder ist der Aufwand zu hoch, wird der Angreifer sich eher ein neues, schlechter geschütztes System aussuchen. Leider kann sich der einzelne, egal ob Anbieter, Vermittler oder Kunde, alleine kaum dagegen schützen. Zuerst müssen die Benutzer ihrerseits ein Teil dazu beitragen. Oft werden Sicherheitshinweise ignoriert, sensible Daten ohne nachzudenken auf Webseiten eingetragen oder der eigene PC nicht richtig abgesichert. Ein aufmerksamer Benutzer hat daher viel mehr Chancen Attacken zu erkennen oder gar nicht erst solchen Angegriffen ausgesetzt zu werden. 14

15 Ebenso müssen die Betreiber der Vermittlungsserver wie DHCP oder DNS ihre Systeme wirkungsvoll absichern. Dazu gehört nicht nur das schützen gegen unautorisierten Zugriff, sondern auch das Updaten der Server. Manche Anbieter halten ihre Systeme nicht auf dem neuesten Stand, um Fehler zu vermeiden. Da das Internet aber dezentralisiert ist, reicht teilweise schon die Schwachstelle bei nur einem Server aus, um sich in das Netzt zu begeben. Aber auch die Anbieter müssen ihrer Pflicht nachkommen und ihre Dienste und Anwendungen gegen diese Angriffe schützen. Diese haben aber leider das zusätzliche Problem, dass bei vielen Sicherheitsmechanismen die Benutzbarkeit darunter leidet. Umso mehr Passwörter, Geräte und Sicherheitszertifikate beachtet werden müssen, desto weniger werden diese Systeme von den Benutzern akzeptiert. Daher müssen Anbieter, die sich gegen MITM-Angriffe schützen wollen, auf eine Gradwanderung zwischen Benutzbarkeit, Sicherheit, Kosten und Aufwand begeben. Ist das System weitestgehend sicher, so ist es teuer, aufwendig und leider wenig benutzerfreundlich. Nur wenn alle beteiligten sich der Gefahr bewusst sind und ihre Systeme entsprechend absichern, können Angriffe weitestgehend unterbunden werden. 7 Fazit Die Sicherheitssysteme sind entweder sicher, dann aber im Alltag unbrauchbar. Oder sie sind nur zum Teil sicher, werden eingesetzt und akzeptiert, aber vom User als komplett sicher angesehen. Den Anbietern bleibt also weiterhin nicht viel übrig als die Benutzbarkeit gegen die Sicherheit abzuwägen und ihre Server gegen einen direkten Angriff zu schützen. Auch die Vermittlungsserver haben zwar ihre Pflichten, aber da es Millionen von Netzknoten im Internet gibt, werden sich darunter auch immer wieder schwarze Schafe befinden, die entweder direkt vom Angreifer kontrolliert oder aber leicht gehackt werden können. Meiner Meinung nach, steht daher der Benutzer im Mittelpunkt. Es sind seine persönliche Daten und deshalb sollte sich der auch dieser Gedanken machen, wo er diese eingibt. Ist dieser Aufmerksam und entsprechend Vorsichtig können viele Angriffe nicht durchgeführt werden oder werden rechtzeitig bemerkt. Da aber viele Benutzer leichtsinnig mit ihren vertraulichen Daten umgehen und sich auch nicht so gut mit den Computersystemen auskennen, wird es weiterhin diese Angriffe geben. 15

16 Literaturverzeichnis [SPS11] Stephan Spitz, Michael Pramateftakis, Joachim Swoboda: Kryptographie und IT- Sicherheit Grundlagen und Anwendungen; 2. Auflage; Vieweg + Teubner Verlag, Springer Fachmedien Wiesbaden GmbH; Wiesbaden; 2011; ISBN [CMT10] Tim Chenoweth, Robert Minch, Sharon Tabor; Wireless Insecurity: Examing User Security Behavior on Public Networks; Communications of the ACM; Februar 2010; Vol. 53; No 2; Seite [STH10] Lambert M. Surhone, Mariam T. Tennoe, Susan F. Henssow: Man-in-the-middle Attack Browser Exploit, Clickjacking, Cookie Stuffing ; 1. Auflage; VDM Publishing House Ltd.; Mauritius; 2010; ISBN [Sc10] Jörg Schwenk: Sicherheit und Kryptographie im Internet Von sicherer bis zu IP-Verschlüsselung; 3.Auflage; Vieweg + Teubner Verlag, Springer Fachmedien Wiesbaden GmbH; Wiesbaden; 2010; ISBN [Er09] Jon Erickson: Hacking Die Kunst des Exploits; 2. Auflage; dpunkt.verlag GmbH; Heidelberg, 2009; ISBN [Ec08] Claudia Eckert: IT-Sicherheit Konzepte-Verfahren-Protokolle; 5.Auflage; Oldenburg Wissenschaftsverlag GmbH; München; 2008; ISBN [Vo07] Chris Voice; Man-in-the-Middle Attacks: Helping to eliminate the threat without impacting the business; ABA Banking Journal; Februar 2007; Vol. 99; Seite 67 [BC06] Man-In-The-Middle Phishing Attack Successful Against Citibank's Two-Factor Token Authentication. Business Credit; Oktober 2006; Vol. 108(9); Seite [Lo04] Andrew Lockhart: Netzwerk-Sicherheit Hacks 100 Insider-Tricks Tools; 1. Auflage; O Reilly Verlag; Köln; 2004; ISBN [Wä04] Dietmar Wätjen: Kryptographie Grundlagen, Algorithmen, Protokolle; 1. Auflage; Spektrum Akademischer Verlag GmbH Heidelberg; Berlin; 2004; ISBN [RFC2535] D. Eastlake; RFC 2535; IBM; März 1999; 16