MITM攻撃-それらはどのくらいありそうですか？

インターネットセキュリティにおける「Man in the Middle」攻撃の可能性はどのくらいですか？

ISPサーバーを除いて、インターネット通信の「中間」にある実際のマシンは何ですか？

理論上のリスクとは対照的に、MITM攻撃に関連する実際のリスクは何ですか？

編集：私はこの質問のワイヤレスアクセスポイントには興味がありません。もちろん保護する必要がありますが、これは明らかです。ワイヤレスアクセスポイントは、誰でも聞くことができるように通信がブロードキャストされるという点で独特です。通常の有線インターネット通信は宛先にルーティングされます-ルート内のマシンのみがトラフィックを見ることができます。

まず、Border Gateway Protocolについて話しましょう。インターネットは、AS（自律システム）と呼ばれる数千のエンドポイントで構成され、BGP（ボーダーゲートウェイプロトコル）と呼ばれるプロトコルでデータをルーティングします。近年、BGPルーティングテーブルのサイズは指数関数的に増加しており、100,000エントリを大きく超えています。ルーティングハードウェアの性能が向上しても、拡大し続けるBGPルーティングテーブルのサイズに対応することはほとんどできません。

MITMシナリオで難しいのは、BGPが他の自律システムが提供するルートを暗黙的に信頼することです。つまり、ASからの十分なスパム送信により、どのルートも自律システムにつながる可能性があります。これはMITMトラフィックへの最も明白な方法であり、単なる理論ではありません-Defconセキュリティコンベンションのサイトは、攻撃を実証するために2007年にセキュリティ研究者のWebサイトにリダイレクトされました。Youtubeは、パキスタンがサイトを検閲し、パキスタン以外のいくつかのASに最適な（死んだ）ルートを誤って宣言したときに、いくつかのアジア諸国で停止しました。

少数の学術グループが、協力するASからBGPルーティング情報を収集して、トラフィックパスを変更するBGP更新を監視します。しかし、コンテキストがなければ、正当な変更と悪意のあるハイジャックを区別することは困難です。自然災害、企業合併などに対処するために、交通経路は常に変化します。

「グローバルMITM攻撃ベクトル」リストで議論する次は、ドメインネームシステム（DNS）です。

ISCのFine DNSサーバーBINDは時の試練に耐え、比較的無傷で出てきましたが（MicrosoftおよびCiscoのDNS製品と同様）、インターネット上の正規化された名前を使用してすべてのトラフィックを潜在的に危険にさらす可能性のあるいくつかの顕著な脆弱性が発見されました（つまり、実質的にすべてトラフィック）。

ダンカミンスキーのDNSキャッシュポイズニング攻撃に関する研究については、気にしません。ブラックハット-ラスベガスが「これまでで最も誇張されたバグ」を受賞しただけです。ただし、インターネットセキュリティを著しく損なう他のDNSバグがいくつか存在します。

Dynamic Update Zone BugはDNSサーバーをクラッシュさせ、マシンとDNSキャッシュをリモートで侵害する可能性がありました。

トランザクション署名バグにより、脆弱性が発表された時点でBINDを実行しているサーバーの完全なリモートルート侵害が許可され、明らかにDNSエントリが侵害されました。

最後に、 ARP Poisoning、 802.11q Retracingについて説明する必要があります、STP-Trunk Hijacking、RIPv1ルーティング情報のインジェクション、およびOSPFネットワークに対する多数の攻撃ます。

これらの攻撃は、独立企業のネットワーク管理者にとって「なじみのある」ものです（当然のことながら、これらを制御できるのはこれらだけであると考えられます）。基本的な情報セキュリティまたはTCPに精通しているすべての人がARPポイズニングを学習しているため、これらの各攻撃の技術的な詳細については、この段階では少し退屈です。他の攻撃は、多くのネットワーク管理者やサーバーセキュリティの愛好家によく知られた顔です。これらがあなたの懸念であれば、フリーやオープンソースのユーティリティなど、非常に優れたネットワーク防御ユーティリティがたくさんあります。あるいは、多くの有益な本がこれらのトピックをカバーしており、議論するには数が多すぎますが、ネットワークセキュリティの追跡に役立つとわかったものには、ネットワークセキュリティ監視のタオ、 Snortから、CiscoおよびHPのエンタープライズレベルのソフトウェアまでネットワークセキュリティアーキテクチャ、および古典的なネットワークウォリアーが含まれます

いずれにせよ、この種の攻撃がISPまたは政府レベルのアクセスを必要とすることを人々が想定していることは、やや不安に感じます。ネットワークの知識と適切なツール（つまり、理論上のツールではなく、HPINGとNetcat）の平均的なCCIEを超えるものは必要ありません。安全を確保したい場合は警戒してください。

私に関係する1つのMITMシナリオは次のとおりです。

ホテルで大きな大会があるとしましょう。ACME AnvilsとTerrific TNTは、漫画の危険産業の主要な競争相手です。製品、特に開発中の新しい製品に強い関心を持っている人は、彼らの計画に足を踏み入れるのが大好きです。私たちは彼のプライバシーを保護するために彼をWCと呼びます。

WCは彼にセットアップの時間を与えるために、有名なホテルに早めにチェックインします。彼は、ホテルにFamousHotel-1からFamousHotel-5と呼ばれるwifiアクセスポイントがあることを発見しました。そのため、彼はアクセスポイントをセットアップし、FamousHotel-6と呼び、ランドスケープに溶け込み、他のAPの1つにブリッジします。

今、コンベンションの参加者はチェックインを開始します。両社の最大の顧客の1人である彼をRRと呼び、チェックインして、トイレの近くに部屋を作ることが起こります。彼はラップトップをセットアップし、サプライヤとの電子メールの交換を開始します。

WCはマニアックに取り組んでいます！「私の不正な計画は機能している！」と彼は叫ぶ。ブーム！クラッシュ！同時に、彼は金床とTNTの束に見舞われています。ACME Anvils、Terific TNT、RR、およびFamous Hotelのセキュリティチームは、このまさに攻撃を予想して協力していたようです。

ビープ音！

編集：

タイムリーな方法^*：旅行のヒント：空港のWi-Fi「ハニーポット」に注意

^{*まあ、それはちょうど私のRSSフィードに表示されたタイムリーでした。}

それは状況に完全に依存しています。ISPをどれだけ信頼していますか？ISPの構成についてどの程度知っていますか？また、独自のセットアップはどの程度安全ですか？

このようなほとんどの「攻撃」は、ファイルからキーストロークとパスワードを傍受するトロイの木馬マルウェアである可能性が非常に高いです。頻繁に発生しますが、気づかれたり報告されたりすることはほとんどありません。

また、ISPレベル内で情報が漏洩する頻度はどのくらいですか？私が小さなISPで働いていたとき、別の上位層のアクセスを再販していました。だから私たちに電話をかけた人が私たちのネットワークに入ってきて、もしあなたが私たちのウェブサーバーやメールサーバーと話していないなら、トラフィックはより高い層のプロバイダーに行きました。または管理者の信頼度。

誰かがあなたのトラフィックを「潜在的に」見ることができるスポットの数を知りたい場合は、tracerouteを実行すると、各ルーティングポイントで応答するだけの数が表示されます。これは、クローキングされたデバイスがそれらのいくつかの間にないことを前提としています。そして、これらのデバイスはそれぞれ実際にはルーターであり、ルーターを装ったものではありません。

問題は、攻撃がどれほど普及しているかわからないことです。信用情報が侵害されない限り、発見された攻撃を企業が開示しなければならないという規制はありません。ほとんどの企業は、それが恥ずかしい（または仕事が多すぎる）ためではありません。マルウェアの量がそこらじゅうにあるので、おそらくあなたが思っているよりもはるかに流行しており、それでも鍵は攻撃を発見したことです。マルウェアが適切に動作する場合、ほとんどのユーザーはいつ発生するかを知りません。そして、実際に人が物をいじり、スヌープし、トラフィックを提供するというシナリオは、企業が必要としない限り報告しないものです。

もちろん、これらは企業があなたのトラフィックの記録を保持し、あなたに告げずに政府機関にそれらを開示することを強いられるシナリオを無視します。米国にいる場合、Patriot Actのおかげで、図書館やISPは、情報の収集を行っていることを告げることなく、データ旅行やメール、閲覧履歴を記録することができます。

言い換えれば、一般的なMITMおよびインターセプト攻撃がユーザーにどのように作用するかについての確固たるデータはありませんが、それが快適であるよりも高いことを示唆する証拠があり、ほとんどのユーザーはその情報を取得するのに十分気にしません。

本当の質問は、「他の場所ではなくMITM攻撃にどれだけの限られたリソースを費やすべきか」です。

これは、関与する通信の性質の多くに依存しており、単一の答えはありません。私の経験では、他のセキュリティリスクに比べて大きなリスクではありませんが、通常は最小化するのに安価なものです（例：SSL証明書とHTTPSの使用で十分な場合が多い）。リスクがあります。

自宅にワイヤレスアクセスポイントがありますか？仕事でプロキシサーバーですか？

これらのイングレス/エグレスポイントのいずれかは、政府/ ISPの大規模な陰謀なしに侵害される可能性があります。ISPインフラストラクチャのコンポーネントが侵害される可能性もあります。

Webブラウザーを使用していますか？ブラウザを設定して、トラフィックを中間の人に向けることは非常に簡単です。この方法を使用して特定の銀行取引および証券取引を再ルーティングするブラウザマルウェアがありました。特に、ワイヤ特権を持つ小規模企業向けです。

セキュリティはリスク管理に関するものです...リスクへの対処方法には、発生確率と影響の2つの基本的な属性があります。あなたが重大な自動車事故に巻き込まれる実際の確率は非常に低いですが、あなたの個人的な安全への影響は大きいので、シートベルトを締めて幼児を車の座席に乗せます。

人が怠けたり安上がりになったりすると、しばしば災害が発生します。メキシコ湾では、BPはあらゆる種類のリスク要因を無視しました。なぜなら、彼らはリスクを請負業者に移転し、事故なしで十分な井戸を掘削したと考えたため、事故の可能性は非常に低かったからです。

MitM攻撃は、ほとんどローカルネットワークでのみ発生します。インターネットを介した接続を利用するには、ISPまたは政府レベルのアクセスが必要です。そのレベルのリソースを持っている人がデータを追跡することは非常にまれです。

誰かがネットワークに侵入すると、深刻な問題が発生しますが、それ以外では大丈夫でしょう。

@クレイグ：あなたの編集にはいくつかの誤報があります。ワイヤレスネットワークはブロードキャストベースではありません。ワイヤレス通信セッション（ワイヤレスクライアントとワイヤレスアクセスポイント間）で送信されるデータは、誰もが聞くことができる「ブロードキャスト」ではありません。ワイヤレスクライアントはAPに関連付けられ、クライアントとAPの間で通信が行われます。「ブロードキャスト」された無線信号にカプセル化されているためにデータがブロードキャストされていることを意味する場合、非常に特定のワイヤレス機器（RMON対応ワイヤレスアダプター）およびソフトウェアツールでデータを盗聴できます。同じAPに関連付けられていないワイヤレスクライアントには、前述の機器を除き、ワイヤレストラフィックを傍受または「聞く」ためのメカニズムがありません。TCP \ IPネットワークでのワイヤレス通信は、伝送メディアを除いて、有線ネットワークと基本的に同じように機能します。物理的なワイヤではなく、電波です。誰もがWiFiトラフィックを傍受するためにブロードキャストされた場合、掲示板から離れることはありませんでした。

そうは言っても、ワイヤレスネットワークは、トラフィックを傍受するために不正なシステムを「注入」するためにワイヤレスネットワークにアクセスするために物理アクセスを必要としないため、MITM攻撃により大きなリスクをもたらすと思います。