http Verbindungen überwachen und manipulieren? Warum ist https so wichtig?

[Luk4s-320]

Moin,

mich würde mal interessieren,warum denn https so wichtig ist? Ja gut, es verschlüsselt den Datenverkehr, aber warum ist das so wichtig? Man liest ja öfters, dass der Datenverkehr hier und da mitgeschnitten oder manipuliert werden kann bei http, aber wie soll das funktionieren? Ich meine, wie kann sich jemand einfach zwischen diese Verbindung stellen und den Datenverkehr über seinen Rechner laufen lassen? Wenn sich der Angreifer jetzt im Netzwerk eines Verbindungsteilnehmers befindet, kann ich mir das ja gut verstehen. Da gibts doch genug Möglichkeiten, wie ARP Poisoning, aber darum geht's mir nicht. Was ermöglicht einem Angreifer, diese Verbindung überwachen oder manipulieren zu können, wenn er jetzt nicht im LAN der Verbindungsteilnehmer ist oder eine Schadsoftware auf einen der Rechner installiert hat?

Ich hab dann auch mal das hier gelesen bei Golem:http://www.golem.de/news/hacking-te...eber-code-injection-und-wlan-1411-110272.html

Dies hat mich nur noch mehr verwirrt. Über den Interprovider ist es möglich, an die Verbindung ranzukommen? Hä was?

Um die Geräte von Verdächtigen zu infizieren, nutzt Hacking Team Methoden, die auch von Kriminellen oder Geheimdiensten verwendet werden. Der sogenannte Network Injector erlaubt es den Ermittlern demnach, die "http-Verbindungen abzuhören und ein Programm auf dem Gerät einzuschleusen". Dazu gibt es zwei Methoden: Zum einen kann ein Server bei einem Netzwerkprovider den Traffic überwachen und manipulierten Code zurückgeben, zum anderen kann ein Laptop genutzt werden, um in der Nähe der Zielperson über LAN und WLAN den Code einzuschleusen.

 

[d2boxSteve]

Einfaches Beispiel ohne zu manipulieren: du meldest dich an einem Forum ohne Verschlüsselung an -> dein Benutzername und dein Passwort gehen im Klartext über die Leitung und jeder neben dir im z.B. public WLAN am Bahnhof kann das mit Wireshark einfach mitlesen ohne großen Aufwand.

 

[KillerCow]

Wo ist jetzt genau dein Problem? Natürlich kann man z.B. über einen Internetanbieter oder einen Carrier an die transportierten Daten herankommen. Alternativ kann man sich auch Zugriff auf Router verschaffen (nicht die Kisten beim Endanwender; sondern die bei ISPs, Carrieren etc) und dort über manipulierte Routen den Verkehr abgreifen (durch Umleitung über Systeme, die der Angreifer kontrolliert). Solche Angriffszenarien lassen sich auf vielfältige Art und Weise realisieren.

Die Nutzung von HTTPS hat neben der Verschlüsselung auch noch den Vorteil, dass du sicherstellen kannst, dass die Nutzdaten nicht (durch Dritte) verändert wurden (Stichwort Integrität) und von dem Server kommen, mit dem du reden willst (Stichwort Authentizität) und nicht von jemand Anderem, der nur so tut... vorausgesetzt, das Zertifikat ist nicht kompromittiert.

 

[xone92]

Und wenn du schon einmal bei golem.de warst hast du möglicherweise auch das hier gesehen: http://www.golem.de/news/netzverschluesselung-mythen-ueber-https-1412-111188.html

Darin ist eigentlich alles sehr gut und auch verständlich erklärt.

 

[Luk4s-320]

Natürlich kann man z.B. über einen Internetanbieter oder einen Carrier an die transportierten Daten herankommen. Alternativ kann man sich auch Zugriff auf Router verschaffen (nicht die Kisten beim Endanwender; sondern die bei ISPs, Carrieren etc) und dort über manipulierte Routen den Verkehr abgreifen (durch Umleitung über Systeme, die der Angreifer kontrolliert). Solche Angriffszenarien lassen sich auf vielfältige Art und Weise realisieren.

Ich finde, dass ein Internetprovider einem doch schon etwas Sicherheit gewähren sollte. Ich frag mich sowieso, wie Angreifer den Internetprovider direkt angreifen können. Könntest du mir erklären, was der Angreifer da für Möglichkeiten hat?

Carrier waren doch diese Router, die auf einem Netzwerkknoten verwendet werden oder bin ich jetzt komplett daneben? Aber auch hier die Frage: wie kommen die Angreifer an die Teile ran?

 

[Daaron]

Provider sind genauso von Sicherheitslücken betroffen wie alle anderen Menschen auch. Die haben auch keine super-geheime Software, dei einfach keine Lücken hat. Am Ende nutzen die auch nur Standard-Hardware und -Software. Wenn dann z.B. deren Loadbalancer eben von Cisco ist, dann hat er eben ne POODLE-Lücke. Wenn irgendwo eine Maschine ne Bash verwendet, dann war da eben auch ne Shellshock-Lücke gegeben. Wenn die n NTP-Dienst laufen haben, dann hat auch der ne Lücke für Remote Code Execution.
Und dann haben Provider natürlich auch MITARBEITER... also gehst du einfach über Social Engineering an das Problem heran.

 

[Luk4s-320]

Die Frage ist für mich aber immernoch, wie denn ein Angreifer überhaupt einen Mitm-Angriff starten kann. Wie kriegt er es hin, diese Verbindung überhaupt abhören zu können? Schließen wir jetzt mal einen bösen Mitarbeiter beim Intetnetprovider oder einen infizierten Carrier Router aus. Die Sachen mit 'nem Trojaner auf'm PC oder MAC-Spoofing im lokalen Netz nehmen wir jetzt auch mal raus. Das kann doch normalerweise nicht so einfach sein, da mal eben in die Verbindung eingreifen zu können.


Frag mich sowieso, wie sie einen carrier Router angreifen können. Ja gut,du sagtest ja, dass die auch nur normale Hardware verwenden,aber so ein teil zu manipulieren? Wie? Da kannste doch auch nicht eben mal in das konfigurationsmenü reinspazieren und ne manipulierte Firmware flashen?

Mal 'ne andere Frage:wer ist eigentlich für einen carrier Router zuständig? Machen das die Internetprovider?

 

[Daaron]

Die Frage ist für mich aber immernoch, wie denn ein Angreifer überhaupt einen Mitm-Angriff starten kann.

So, wie er es in jedem Netzwerk macht. Identifiziere dein Ziel und leite es nach deinen Wünschen um.

Hätte ich z.B. Zugriff auf deinen ISP, dann hätte ich mit extremer Wahrscheinlichkeit auch Zugriff auf deinen DNS, da die wenigsten User sich selbst um DNS-Einstellungen kümmern. Ich kann also all deine Anfragen auf MEINEN Server umleiten, da wild dran herum manipulieren, und du merkst davon GAR NICHTS, weil du eben kein HTTPS verwendet hast und du somit nicht prüfst, ob die antwortende Maschine die Maschine ist, die antworten soll.

Ja gut,du sagtest ja, dass die auch nur normale Hardware verwenden,aber so ein teil zu manipulieren? Wie? Da kannste doch auch nicht eben mal in das konfigurationsmenü reinspazieren und ne manipulierte Firmware flashen?

Warum nicht? Was lässt dich glauben, dass die irgend welche magischen Tricks haben, die solche elementaren Angriffe verhindern?

Nehmen wir z.B. die POODLE-anfälligen High End Komponenten von CISCO....
Ich will in ein Firmennetz, und ich weiß, dass die CISCO verwenden. Diese Information habe ich über Social Engineering erlangt. Ich weiß, wer den Kram administriert, auch hier hat mir SE geholfen. Jetzt bringe ich, wieder per SE, diesen Admin dazu, dass er sich über eine vermeintlich sichere Leitung in die Kiste einklinkt, um irgend etwas nachzuprüfen. Diese Verbindung manipuliere ich, dank POODLE. Ich dekodiere seine Zugangsdaten (weil dank POODLE n verwundbarer Cipher verwendet wurde) und BÄM!. Plötzlich bin ich Admin bei nem Telekommunikationsanbieter.

Solche Angriffe sind SCHWER, aber alles andere als UNMÖGLICH. Mit genügend Fachwissen und krimineller Energie kommst du auch in solche Systeme herein, weil die eben am Ende dieselben Lücken wie alle anderen auch haben.