Man-in-the-Middle Angriffe auf Internetkommunikation

Man-in-the-Middle Angriffe auf
Internetkommunikation
Jan Harrie
[email protected]
21. Februar 2014
Technische Univerität Darmstadt
Zusammenfassung.
Diese Arbeit beschreibt was ein Man-in-the-Middle (MitM) Angriff ist, wie
er funktioniert und realisiert werden kann. Dazu wird zu Beginn das Grundprinzip des Angriffes beschrieben. Für die praktische Umsetzung des Angriffes
werden im Anschluss die technischen, sowie konzeptionelle Hintergründe beschrieben. Mit diesen Grundlagen wird der MitM-Angriff in seinen unterschiedlichen Fassetten beschrieben. Angefangen auf hardwarenaher Ebene, über Angriffe auf Applikations-Ebene bis hin zur gesetzlich verordneten Abhörstation
wird der Angriffs-Typ beschrieben. Abschließend werden die Angriffe in Hinblick auf die Anforderungen an den Angreifer verglichen. Hierzu gehört welchen Gefährdungspotential die Angriffe umfassen und welchen Aufwand der
Angreifer zur Durchführung aufbringen muss.
1
Einleitung
Aus den Medien hört man immer wieder, dass Angriffe auf die Internetkommunikation durchgeführt werden. Bei diesen Angriffen wird die Kommunikation
mitgeschnitten und der Angreifer hat die Möglichkeiten die Daten oder Teilinformationen zu extrahieren. Für den Nutzer, dessen Verbindung abgehört wird, ist
dieses ein Eingriff in dessen Privatsphäre. Angreifer können Kriminelle sein, die
an persönlichen Informationen, Zugangsdaten oder Zahlungsinformationen der
Nutzer interessiert sind. Ebenso sind es staatliche Institutionen die versuchen auf
diesem Weg terroristische Aktivitäten oder das organisierte Verbrechen zu identifizieren. Das Interesse an diesem Thema ist aufgrund dem in Mitte des Jahres
durch Edward Snowden bekannt gewordenen Abhörskandals der amerikanischen
National Security Agency (NSA) und des britischen Government Communications Headquarter (GCHQ) verstärkt angestiegen. Der Whistleblower Edward
Snowden hat in diesem Skandal bekannt gegeben, dass die NSA und das GCHQ
einen Großteil jeglicher Internetkommunikation abhören, diese Daten speichert
und anschließend auswertet [1].
In dieser Arbeit wird das Thema „Man-in-the-Middle Angriffe auf Internetkommunikation“ behandelt. Es sollen die technischen Anforderungen zur Durchführung der unterschiedlichen Angriffe erklärt, ihre Auswirkungen begutachtet
und zum Abschluss einander gegenüber gestellt werden. In den nachfolgenden
Kapiteln wird das Grundprinzip eines MitM Angriffes erklärt. Dafür werden
die benötigten technischen Grundlagen über Ethernet/TCP/IP, Namensvergabe und Auflösung im Internet, Autonome Systeme (AS) und Public Key Infrastrukturen (PKI) aufgearbeitet. Mit diesen Grundlagen werden unterschiedliche
Angriffstechniken auf unverschlüsselte und verschlüsselte Verbindungen beschrieben. Die Durchführung dieser Techniken wird abschließend gegenüber gestellt
und nach Aufwand, Gefährdungspotential und Anforderungen an den Angreifer
bewertet.
2
Hintergrundwissen
Um einen Einstig in die Thematik zu bekommen wird im Folgenden das Grundprinzip eines MitM-Angriffes erklärt. Ergänzend werden Grundlagen aufgegriffen
und deren Bezug zum Thema beschrieben.
2.1
Grundprinzip eines Man-in-the-Middle Angriffes
In einem MitM Angriff wird die Kommunikation zweier Parteien infiltriert. Der
Infiltrator versucht sich zwischen die beiden Kommunikationspartner zu schalten um deren Kommunikation abzuhören und gegebenenfalls zu manipulieren.
Um dieses zu erreichen existieren unterschiedliche Techniken die einzeln oder
in Kombination verwendet werden. Beim Abhören der Verbindung hat ein Angreifer zum Beispiel die Möglichkeit ausgetauschte Anmeldedaten, die beim Verbindungsaufbau an ein Webportal geschickt werden, aufzuzeichnen. Diese Daten
kann dieser anschließend dazu nutzen um sich als diese Person in dem Webportal
auszugeben. Im Falle einer Manipulation könnte der Infiltrator die Inhalte, die
ursprünglich übertragen werden sollten, manipulieren. Dies könnten die Preise eines Webshops sein, sodass das Angebot wesentlich günstiger oder teurer
erscheint, als vom Anbieter definiert [2, p.868 ff.].
2.2
Das Internet und die Bedeutung von Autonomen Systemen
Der Fokus dieser Arbeit ist Man-in-the-Middle Angriffe auf Internetkommunikation. Damit verständlich ist, wie sich das Internet aufbaut und aus welchen
Strukturen es besteht, wird dieses zunächst erklärt.
Das Internet wird oft als Netz von Netzen bezeichnet. Dies sind die Netze der Internet Service Provider (ISP)s. Jeder ISP wird als Autonomes System
(AS) bezeichnet und bekommt eine eindeutige Nummer zugewiesen. Die Nummer wird als Autonomus System Number (ASN) bezeichnet und von der Internet
Assigned Numbers Authority (IANA) an die Regional Internet Registries (RIR)
verteilt, die die ASN an die ISP heraus gibt. In Europa ist hierfür die Reseaux IP
Europeens (RIPE) zuständig. Jedem AS wird ein bestimmter Zuständigkeitsbereich an Adressräumen zugeordnet. Der ISP entscheidet selbst wie dieser Bereich
verwaltet wird.
2
Abb. 1. Die Struktur im Internet der unterschiedlichen Tiere 1, Tier 2 und Tier 3
ISPs [17]
Alle ASs sind über ein Backbone miteinander verbunden. Das Backbone
bildet sich aus gebündelten Glasfaser-Leitungen, die einen hohen Datendurchsatz ermöglichen und Routern, die die Netze logisch miteinander verbinden. Die
Router tauschen ihre Routing-Informationen mittels des Border Gateway Protocol (BGP) aus [7]. Nicht alle ISPs haben die gleiche Größe, sodass diese in
Tier 1, Tier 2 und Tier 3 ISPs unterteilt werden. Abbildung 1 veranschaulicht
den Aufbau dieser Struktur. Ein Tier 1 ISP ist direkt an das Backbone angeschlossen und ist im Besitz der physikalischen Infrastruktur. Kleine ISPs, die nur
die Infrastruktur bei den Tier 1 ISPs mieten, werden als Tier 3 ISPs bezeichnet. Alle weiteren ISPs die damit nicht erfasst werden, werden als Tier 2 ISPs
bezeichnet. Für eine ausführlichere Auflistung wird auf [7] verwiesen.
Ein Tier 1 ISP ist zum Beispiel die Deutsche Telekom AG, die auch als International Carrier Sales & Solutions (ICSS) bekannt ist. Wie zuvor beschrieben
werden den ASs Adressbereiche zugewiesen, die von ihnen verwaltet werden. Alle Kunden, die einen Vertrag mit einem ISP geschlossen haben, bekommen bei
der Einwahl in das Internet, eine der Adressen zugewiesen. Der ISP kümmert
sich darum, dass alle Kunden mit einander verbunden werden und auch eine
Verbindung zu Kunden anderer ASs aufbauen können.
2.3
Domain Name Service
Ein zentraler Dienst des Internets ist der Domain Name Service (DNS). Er wird
dazu verwendet Namen zu Adressen aufzulösen. Diesen Dienst gibt es seit Anbeginn des Internets (1987) [4] und er wurde zu einer Zeit entwickelt, in der die Si3
cherheit von Diensten nicht im Vordergrund stand. Er verwendet das User Datagram Protocol (UDP) zum Transport der Informationen, welches verbindungslos
ist [5]. Die DNS-Infrastruktur ist hierarchisch angeordnet. An der Spitze stehen
die Root-DNS-Server gefolgt von den Top-Level-Domain (TLD) DNS-Servern.
Diesen sind die DNS-Server der ISPs untergeordnet. Die DNS-Server der ISP
führen große Tabellen über Ressource Record (RR), in denen Namen Adressen zugeordnet sind. Außerdem führen sie Einträge darüber, welche Domains
ein Mail-Gateway führen oder andere DNS-Server, an die die korrespondierende
Anfrage weiter geleitet werden.
Wenn ein Client die Website www.example.com aufruft, stellt dieser eine
Anfrage an seinen lokalen DNS-Server. Wenn die Adresse nicht in dem persistenten Speicher und auch nicht in dem Cache geführt wird, stellt der lokale
DNS-Server eine rekursive Anfrage an einen übergeordneten DNS-Server. Dieser wird die Anfrage entweder beantworten oder weiterleiten. Da DNS UDP als
Transport-Protokoll verwendet, werden die Anfragen um Request-Ids ergänzt,
um die Antworten den Anfragen zuordnen zu können [3]. Nachdem der DNSServer die IP-Adresse der angefragten Domain ermittelt hat schickt er sie zurück.
Die ermittelte Adresse wird bis ein Timeout abläuft im Cache des DNS-Servers
gehalten, um erneute Anfragen an diese Adresse beim nächsten Mal schneller
beantworten zu können.
Wenn ein Angreifer Zugriff auf einen DNS-Server erlangt oder definieren
kann welche Adresse an einen Client zurück geschickt werden, hat dieser die
Möglichkeit die Verbindung umzuleiten. Dieses wird im Abschnitt 3.2 ausführlich
beschrieben.
2.4
Ethernet/IP/TCP
Das Internet besteht aus unterschiedlichen Netzen und Adressen. Ein solches
Netz wird dadurch aufgebaut, dass unterschiedliche Endgeräte mittels Kabel
oder per Funk verbunden sind. Die unterschiedlichen Endgeräte sind Computer, Notebooks, Netzwerk-Drucker oder Handys. Durch die Verbindung mittels
Routern, Switches, Hubs und Access Points wird ein physikalisches Netzwerk
aufgebaut. Damit die Geräte kommunizieren können wurden verschiedene Layer
definiert [12, p. 67 ff.]. Auf der unter untersten Schicht, dem Physical Layer,
werden die einzelnen Bits und Bytes mittels der zuvor genannten Geräte übertragen.
Auf der zweiten Schicht, dem Data Link Layer, wird sichergestellt, das die
Nachrichten, die verschickt werden sollen, über das richtige Netzwerk-Interface
verschickt werden. Um die einzelnen Netzwerk-Interfaces zu adressieren werden
MAC-Adressen verwendet. Jede MAC-Adresse besteht aus 48 Bit und wird einmalig an Netzwerkgeräte vergeben. Auf dieser Schicht wird mittels des Address
Resolution Protocol (ARP) kommuniziert. Das ARP-Protokoll dient der Auflösung der physikalischen Adressen der Netzwerkkarten zu IP-Adressen. Jedes
Gerät führt dafür eine eigene ARP-Tabelle die es während der Interaktion im
Netzwerk aktuell hält.
4
Für eine logische Einteilung werden auf dem nächsten Layer, dem Network
Layer, IP-Adressen verwendet. Der Begriff Adresse wird häufig zu der IP-Adresse
synonym behandelt. Sie besteht aus 32 Bit (IPv4) und wird in Kombination mit
einer Subnetz-Maske, ebenfalls 32 Bit, vergeben. Durch diese Kombination ist
es möglich unterschiedliche Netze einzuteilen. Für die private Verwendung sind
die Netze 10.0.0.0/8 bis 10.255.255.255/8, 172.16.0.0/12 bis 172.31.255.255/12
und 192.168.0.0/16 bis 192.168.255.255/16 vorgesehen. Sie können außerhalb
dieser Netze nicht Adressiert werden. Die Zahl nach der IP-Adresse, durch ein
Slash getrennt, bestimmt wie viele Bits, von links gesehen, in der Subnetzmaske
auf 1 gesetzt sind. Durch die Verwendung von Subnetzmasken können große
Netze in kleinere unterteilt werden. Die Anzahl der Endgeräte errechnet sich
aus folgender Formel: Hosts = 232−x − 2, x ist die Anzahl der 1er Bits in der
Subnetzmaske. Jedes Netz ist durch die erste IP-Adresse, die im Netz existiert,
adressierbar. Beispielsweise: 192.168.0.0/24. Die höchste Adresse wird für den
Broadcast1 verwendet. Beispielsweise: 192.168.0.255/24. Diese beiden Adressen
sind in jedem Subnetz für den angegebenen Zweck reserviert, weshalb in der
angegebenen Formel −2 gerechnet wird.
Während der Datenübertragung kann es durch Schäden und Störungen an
der Leitung zu fehlerhaften Datenübertragungen kommen. Damit dieses festgestellt werden kann, werden auf dem nächsten Layer, dem Transport Layer,
unterschiedliche Transportprotokolle definiert. Das Transmission Control Protocol (TCP) ist ein sehr verbreitetes Transport Protokoll. Es dient der Adressierung der Ports2 auf dem Quell, sowie dem Ziel-Gerät. Beim Aufbau der Verbindung wird ein 4-Way-Handshake durchgeführt. Dieser Handshake dient dem
Austausch der jeweiligen Sequenznummer. Die Sequenznummer wird in die Pakete integriert, damit die beim Empfänger eintreffenden Pakete in die korrekte
Reihenfolge gebracht werden können. Beim Versandt einer Antwort vom Empfänger wird eine Acknowledgement-Nummer im Paket integriert. Sie bestätigt
die zuletzt angekommene Sequenznummer. Wenn bei der Übertragung Pakete
verloren gehen, kann der Sender dadurch, dass eine versandte Sequenznummer
nicht bestätigt wird, feststellen, dass ein Paket nicht empfangen wurde und dieses erneut senden muss. Auf dem diesem Layer gibt es noch weitere Protokoll,
die nicht weiter aufgegriffen werden.
2.5
Zertifikate in Public Key Infrastrukturen
Ein weiterer wichtiger Bestandteil des Internets sind digitale Zertifikate. Digitale Zertifikate werden dazu eingesetzt die Authentizität einer Partei und die
Authentizität und Integrität, der übertragenen Daten, verifizierbar zu machen.
Das Zertifikat bildet sich aus dem Wert einer kryptographischen Hashfunktion, deren Ergebnis digital signiert wird. Es wird dafür der Hash-Wert über den
öffentlichen Schlüsseln für einen asymmetrischen Verschlüsselungsalgorithmus,
1
2
An die Broadcast-Adresse können Nachrichten verschickt werden, die alle Teilnehmer
im Subnetz erhalten.
Ein Port ist eine Nummer [0..65535] die einen Dienst auf einem Endgerät adressiert.
5
Abb. 2. Hierarchisches Vertrauen [8, p.52]
einer Identität und verschiedener anderer Informationen, die mit signiert werden sollen, gebildet. Diese Identität kann zum Beispiel ein Web-Dienst oder eine
Person sein. Die digitale Signatur wird von einer Certificate Authority (CA)
ausgestellt. Eine beispielhafte Hierarchie ist in Abbildung 2 dargestellt. An der
Spitze steht die RCA. RCA hat ein digitales Zertifikat über den öffentlichen
Schlüssel von CA1 und CA2 ausgestellt. CA2 eins über den öffentlichen Schlüssel von Diana und Emil. Wenn Vertrauen in das Zertifikat über den öffentlichen
Schlüssel von Emil erreicht werden soll, muss einer der übergeordneten Instanz
vertraut werden. Durch Vertrauen in RCA ist es möglich, die Korrektheit der
darunter eingegliederten Entitäten zu verifizieren. Nach diesem Prinzip werden
Public Key Infrastrukturen erzeugt. In diesem Beispiel handelt es sich um hierarchisches Vertrauen. Wie der Name schon aussagt, wird eine Hierarchie aufgebaut
an dessen Spitze der Vertrauensanker steht. Diese Vertrauensanker werden als
Root-Certificate Authority bezeichnet.
Durch den Einsatz einer solchen PKI kann, wenn der Root-CA vertraut wird,
die Zugehörigkeit eines öffentlichen Schlüssels zu einer Identität, bewiesen werden. Um weiträumig diese Vertrauenshierarchie zu verbreiten werden viele, von
Root-CAs, selbst signierte Zertifikate in die Browser integriert. Diese dienen als
Vertrauensanker für die Validierung von Zertifikaten, die herausgegeben wurden.
In Deutschland wird z.B. das Zertifikate für die Deutsche Telekom AG oder des
DFN Vereins mit ausgeliefert.
Wenn ein Client eine Verbindung zu einen Server aufbauen will, schickt der
Server zu Beginn seinen öffentlichen Schlüssel und Zertifikat zum Client. Damit der Client dem Schlüssel trauen kann, muss dieser der Root-CA, die das
Zertifikat ausgestellt hat und als Vertrauensanker dient, vertrauen. Unter der
Voraussetzung das die Korrektheit des empfangenen Zertifikates bestätigt werden kann, wird ein temporärer Sitzungsschlüssel erzeugt über den die weiter
Kommunikation verschlüsselt werden soll. Vor dem Schlüsselaustausch werden
unterstütze Algorithmen ausgetauscht und sich auf einen geeignet. Der erste Teil
6
der Kommunikation wird unverschlüsselt abgehandelt. Um die Integrität der ausgetauschten Nachrichten zu prüfen wird ein Hash Message Authentication Code
(HMAC) am Ende des Verbindungsaufbaues über den unverschlüsselten Teil generiert. Dieser HMAC wird von beiden Parteien verifiziert. Nach dem Einigen
auf einen Schlüssel findet die nachfolgende Kommunikation über eine symmetrische verschlüsselte Verbindung statt. Die genaue Spezifikation des Protokolls ist
in der RFC 5247 von Transport Layer Security (TLS) 1.2 [6] zu finden.
Das Vertrauens-Konzept das hinter einer PKI steht lässt vermuten, dass es
möglich ist vertraulich über das Internet zu kommunizieren. Da die mit dem
Browser ausgelieferte Liste an Zertifikaten sehr lang ist besteht ein Risiko des
Vertrauensbruchs. Wie sich dieses auswirkt und welchen Angriffs-Vektoren dadurch entstehen sind im Abschnitt 3.4 zu entnehmen.
3
Angriffstechniken auf Kommunikationen im Internet
Die Reihenfolge in der die nachfolgenden Angriffe aufgeführt werden, sind an
den Bottom-Up Ansatz des TCP/IP Referenzmodells angelehnt. Anschließend
wird ein organisatorisch geprägter Angriff beschrieben. Zum Abschluss werden
Angriffe auf verschlüsselte Verbindungen und die Manipulation der übertragenen
Daten beschrieben.
3.1
Angriff des Lokalen Netzwerkes
Die Kommunikation mit dem Internet beginnt im lokalen Netzwerk. Sobald ein
Datenpaket das Netzwerkinterface, eines Endgerätes, verlässt wird mit anderen
Geräten kommuniziert. Ein Angreifer der sich in diesem Abschnitt der Kommunikation, dem lokalen Netzwerk, befindet, hat verschiedene Möglichkeiten ausgetauschte Daten aufzuzeichnen. Wie im Abschnitt 2.4 beschrieben wurde, wird
während der Interaktion im Netzwerk, von den Endgeräten, eine ARP-Tabelle
erstellt. Da in diesem Verfahren keine weiteren Sicherheitsmechanismen implementiert sind, kann ein Angreifer die Verbindung umleiten. Um dieses zu erreichen verschickt der Angreifer gespoofte3 ARP-Pakete an ein Zielsystem mit
der IP-Adresse, z.B. des Gateways, und seiner MAC-Adresse. Diese gefälschten
Pakete führen dazu, dass die ARP-Tabelle an dem Zielsystem aktualisiert wird.
Wenn das Zielsystem die nächste Nachricht in ein anderes Netz schicken will,
wird die korrekte IP-Adresse angegeben, aber die manipulierte MAC-Adresse.
Damit die Kommunikation funktioniert, wird das gleiche Verfahren angewandt
um einen falschen Eintrag beim Gateway zu erzeugen. Durch diese Abfolge ist
es einem Angreifer möglich, den Netzwerkverkehr, über sein Endgerät zu leiten.
Da jegliche Verkehr, der über das Gateway geschickt wird, über den Angreifer
geleitet wird, kann dieser sämtliche übertragene Daten einsehen.
Laut einer Studie des Sterns sind 77% der deutschen Haushalte mit einem Internetanschluss ausgestattet [18]. In einer gewöhnlichen Installation organisiert
3
Gespoofte Pakete sind Pakete die unter einem gefälschten Absender verschickt werden.
7
ein WLAN-Router die Anbindung an das Netz des ISPs. Der WLAN-Router bietet den Nutzer die Möglichkeit über WLAN mit dem Internet zu kommunizieren.
Wenn es einem Angreifer gelingt Zugriff auf das Funknetzwerk zu erlangen, wird
die Technik, die vorher beschrieben wurde, nicht benötigt. Durch den Einsatz
bestimmter Funknetzwerk-Karten ist es dem Angreifer möglich, seinen Adapter in den Monitor-Mode zu schalten [19]. Da WLAN über ein Shared-Medium
übertragen wird, kann der Angreifer problemlos die komplette Kommunikation
aufzuzeichnen.
3.2
DNS Cache Poisoning
Wie in Abschnitt 2.3 beschrieben wurde, ist der DNS-Dienst ein wichtiger Bestandteil des Internets. Aufgrund, dass der Dienst so eine Wichtigkeit besitzt,
wurden unterschiedliche Angriffe gegen bzw. auf ihn entwickelt. Einer dieser Angriffe ist der DNS Cache Poisoning Angriff. Das Grundprinzip eines DNS Cache
Poisoning Angriffes ist einen DNS-Server (DN S1 ) dazu zu bringen, dass dieser eine Anfrage an einen höher gestellten DNS-Server stellen muss, um einen
Namen zu einer Adresse aufzulösen. Dieses ist durch eine Anfrage an eine andere TLD, zum Beispiel durch eine Anfrage aus dem Namensraum .de an den
Namensraum .com, zu erreichen.
Wenn der DNS-Server (DN S1 ) eine Anfrage (REQ1 ) für die Domäne d1 an
einen übergeordneten DNS-Server (DN S2 ) sendet, kann ein Angreifer eine gespoofte Antwort senden. Diese Nachricht sollte vor der Antwort (RESP1 ) von
DN S2 zugestellt werden. Für den Fall, dass der DNS-Server DN S1 mehrere Antworten auf die gestellte Anfrage erhält, erstellt dieser einen Eintrag in seinem
Cache mit der Ersten passenden, erhaltenen Antwort. Bei einem erfolgreichen
Angriff wird ein Eintrag anhand von RESPspoof ed erstellt und alle weiteren
Nachrichten werden verworfen. Alle Anfragen an die Domäne d1 werden fortan
mit dem gespooften Eintrag beantwortet. Um diesen Angriff auszuführen muss
ein Angreifer die Request-ID, mit der die Anfrage identifiziert wird, vorhersagen können. Die Request-ID kann der Angreifer herausfinden indem er Kontrolle
über einen Server S1 (in diesem Beispiel attacker.com) führt. Auf diesem Server
muss ein DNS-Server (DN S3 ) installiert sein. Als ersten Schritt sorgt der Angreifer dafür, dass er die aktuelle Request-Id des anzugreifenden DNS-Servers
DN S1 ermittelt. Durch eine Anfrage an DN S1 über eine Sub-Domain auf dem
vom Angreifer kontrollierten Server S1 , zum Beispiel example.attacker.com, wird
eine rekursive Anfrage von DN S1 an den DNS-Server DN S3 gestellt. Mittels der
Request-Id, die am DNS-Server DN S3 eingegangen ist, kann der Angreifer die
Request-Id für die nächste rekursive Anfrage des DNS-Servers DN S1 erraten.
Um den Eintrag im Cache des DNS-Servers DN S1 für bank.com einzuschleusen stellt der Angreifer eine Anfrage an diese Domain, die DN S1 dazu bringt,
eine rekursive Anfrage an DN S2 zu starten. Sobald die Anfrage für bank.com
vom Angreifer abgeschickt wird, sendet der Angreifer eine Reihe von gespooften Paketen mit der Absender-Adresse von DN S2 und der vermutlich nächsten
Response-Id zum DNS-Server DN S1 . Da in der Zwischenzeit weitere Anfragen
an DN S1 gesendet worden sein können, wird eine ganze Reihe von Paketen mit
8
Abb. 3. DNS-Poisoning-Attack
aufeinander folgenden Response-Ids an DN S1 gesendet. Wenn die gespooften
Pakete mit der richtigen Response-Id schnell genug eintrifft, wird ein manipulierter Eintrag (Espoof ed ) in den Cache von DN S1 geschrieben. Alle Anfragen
an DN S1 , für bank.com, werden mit dem Eintrag Espoof ed beantwortet. Der
Eintrag Espoof ed bleibt solange im Cache, bis der Timeout für diesen abgelaufen
ist [2, p. 869 ff.]. Der prinzipielle Vorgang des Versands der gespooften Pakete
ist in Abbildung 3 zu sehen.
Durch diese Art von Angriff kann ein Angreifer bestimmen, mit welchen Antworten DNS-Anfragen beantwortet werden. Der Eintrag Espoof ed könnte auf den
Server S1 referenzieren. Damit ein Nutzer nichts vom Angriff bemerkt, würde S1
die Anfragen an den korrekten Server weiterleiten und die Inhalte an den Nutzer
weiterreichen. Der Nutzer würde nichts von der Manipulation mitbekommen und
der Angreifer ist imstande die Kommunikation mit zu lesen und zu manipulieren.
3.3
Der Eingriff in die Verbindung beim Internet Service Provider
Laut dem deutschen Gesetz, dem Gesetz zur Beschränkung des Brief-, Post- und
Fernmeldegeheimnisses [9], sind ISPs dazu veranlasst dem Bundesnachrichtendienst und vergleichbaren Institutionen Anschlüsse zum Sammeln von übertragenen Daten zur Verfügung zu stellen. Es existieren unterschiedliche physikalische
Techniken [10, p. 39 ff.] die im Folgenden kurz beschrieben werden.
Ein Cable Splitter wird an eine Glasfaserleitung angelegt und dupliziert das
Signal. Das Signal kann mit einem entsprechenden technischen Equipment eingelesen und verarbeitet werden. Hierfür muss in die bestehende Verbindung nicht
eingegriffen werden, um die Kommunikation abzuhören.
Durch einen Mirror Port an einem Switch können alle Netzwerk-Pakete, die
über dieses Gerät geschickt werden, aufgezeichnet werden. Das Grundprinzip
des Switches ist nur die Pakete auf dem Port heraus zu schicken, an dem das
Adressierte Endgerät angeschlossen ist. Switche mit einem Mirror Port senden,
9
unabhängig der korrekten Weiterleitung, eine Kopie des empfangenen Paketes,
an diesen Port.
Ein Deep Package Inspection (DPI) Device, ähnlich wie eine Bridge, wird direkt zwischen die Leitung geschlossen. Alle Daten die über die Leitung versandt
werden, können eingesehen werden. Es ist ebenfalls möglich Daten zu Manipulieren oder durch Filter-Regeln komplette Datenströme zu verwerfen.
Alle Daten die über diesen Leitungsabschnitt geleitet werden, können aufgezeichnet werden. Ein entsprechender Angreifer würde anschließend alle AnmeldeDaten aus dem Mitschnitt extrahieren können, um die Identität des Nutzers
übernehmen zu können [10, p. 39 ff.]. Diese Annahme betrifft alle Datenströme
die unverschlüsselt übertragen werden. Wie in der Snowden-Veröffentlichung in
[1] bekannt geworden ist, sind nicht unbedingt die Daten selbst interessant. Die
NSA ist ebenso an den Meta-Informationen, wer wann mit wem wie lange und
in welcher Reihenfolge kommuniziert hat, interessiert. Beim aktiven Ansatz ist
es dem Angreifer möglich, die Verbindung zu manipulieren. Der Einzugsbereich
dieser Sammel-Station ist je nach Größe unterschiedlich. Eine Station die bei
einem ISP, der direkt an das Internet Backbone angeschlossen ist, kommen Datenrate von 2,6 Tbit/s auf [16]. Diese Stationen sind nur für zuvor beschriebene
Institutionen gedacht. Es ist theoretisch denkbar, dass eine unbefugte Person
den Zugriff auf eine solche Leitung erlangt. Dieses hätte fatale Folgen. Das Gefährdungspotential für den Nutzer wird im Kapitel 4 diskutiert.
3.4
Angriff auf die Verschlüsselung
Die Angriffe die Abschnitt 3.1 bis Abschnitt 3.3 beschrieben wurden, stellen eine
Gefahr für die Privacy der Nutzer dar. Um den Nutzer zu schützen, werden in vielen Kommunikationen, die über das Internet geführt werden, Verschlüsselungen
eingesetzt. Prinzipiell ist dieses sehr gut. Was trotz dieser Sicherheitsmaßnahme
für Probleme auftreten können wird im Folgenden zusammengefasst.
Wie im Abschnitt 2.5 beschrieben wurde, basiert ein Großteil des Vertrauensmodells im Internet auf der Zertifikats-Infrastruktur. Wenn es einem Angreifer
gelingt an den privaten Schlüssel einer CA zu gelangen, hat dieser die Möglichkeit Zertifikate, im Namen dieser CA, auszustellen. Somit ist es möglich über
eine Domäne zusätzlich, zu einem zuvor korrekt erzeugten Zertifikat, weitere
Zertifikate auszustellen. Bei der Erzeugung eines gefälschten Zertifikates wird
der öffentliche Schlüssel von einem Schlüsselpaar, welches im Besitz des Angreifers ist, signiert. Wenn ein Nutzer versucht eine verschlüsselte Verbindung
zu einer Website aufzubauen, sendet der Angreifer dem Nutzer das gefälschte
Zertifikat zu. Da das Zertifikat von einer gültigen CA ausgestellt ist, validiert
der Webbrowser des Nutzers dieses korrekt und baut zum Angreifer eine sichere
Verbindung auf. Der Angreifer baut zum ursprünglichen Ziel der Anfrage eine
Verbindung auf und liefert dem Nutzer die gewünschten Daten [14].
Ein weiterer Angriff auf eine verschlüsselte Verbindung ist das brechen der
verwendeten Chiffre. Dieses tritt auf, wenn Fehler bei der Auswahl des Schlüssels
gemacht werden oder generell in die Hände von Angreifer kommen. Die Fehler
sind abhängig von den verwendeten Algorithmen.
10
3.5
Manipulation der übertragenen Daten
Nachdem unterschiedliche Techniken zum abhören der Verbindung erklärt wurden, wird auf die Manipulation der übertragenen Daten eingegangen.
Hijacking von TCP/IP-Sessions Wie im Abschnitt 2.4 beschrieben wird,
werden in TCP/IP-Verbindungen aufeinanderfolgende Pakete mittels der SequenzNummer beim Empfänger zusammengesetzt. Beim TCP/IP hijacking wird dieses
dazu genutzt eine Verbindung zu manipulieren. Um diesen Angriff durchführen
zu können muss der Angreifer in der Lage sein, eine bestehende Kommunikation
aufzuzeichnen. Eine offene TCP-Verbindung kann daran erkannt werden, dass
mindestens das Header-Flag für ACK gesetzt ist. Diesen Paketen kann die aktuelle Sequenz- und Acknowledgment-Nummer entnommen werden. Ebenso sind in
den Paketen die IP-Adressen und Ports des Senders (A) und Empfängers (B) entnehmbar. Mittels dieser Informationen ist ein Angreifer in der Lage gespoofte Pakete zu verschicken. Ein gespooftes Paket bekommt dafür die Empfänger-Adresse
(B) des Paketes als Absender und anders herum. Die richtige AcknowledgmentNummer errechnet sich aus der aktuellen Sequenz-Nummer des übertragenen
Paketes und der Länge des mitgeschnittenen Paketes. Dadurch, dass der Angreifer die aktuelle Acknowledgment-Nummer errechnen kann, werden die Pakete
die an A gesendet werden als authentisch angenommen. Der Versandt von gespooften Paketen, die das Header-Flag für RST gesetzt haben, führt dazu, dass
bestehende, gültige Verbindung beendet werden [11, p. 461 ff.]. Im Falle einer
Verbindung zu einem Web-Portal, an dem sich mittels eines Session-Cookies angemeldet wurde, müssen zum Wiederaufbau der Verbindung diese vertraulichen
Informationen erneut versandt werden. Statt die Verbindung zu beenden kann
diese aufrecht gehalten werden um aktiv Änderungen an den übertragenen Daten vorzunehmen. Dieser Angriff wird als Continued Hijacking bezeichnet [11,
p. 462 ff.]. Wie zuvor beschrieben ist es möglich gespoofte Pakete zum Absender
(A) zu schicken. Wenn der Empfänger (B) das nächste Paket zu dem Absender
(A) schickt hat dieser bereits ein Paket mit der erwarteten AcknowledgmentNummer erhalten und wird das Paket von B verwerfen. Die Pakete die fortan
von A und B versandt werden haben asynchrone Acknowledgment-Nummern,
sodass die Pakete nur noch vom Angreifer richtig geordnet versandt werden können. Wenn es dem Angreifer gelingt sich zwischen die Verbindung zu schalten,
sodass nur noch die Kommunikation über ihn stattfinden kann, steht es ihm frei
welche Daten er an den jeweiligen Empfänger sendet.
SSL-Strip-Attack Im Jahr 2009 wurde auf der Black Hat DC von Moxie Marlinspike eine neue Angriffstechnik auf SSL verschlüsselte HTTP-Verbindungen
vorgestellt [13]. Es wird voraus gesetzt, dass die übertragenen Daten manipuliert werden können. Dieser Angriff beruht auf den Gewohnheiten der Nutzer.
Webseiten werden äußerst selten explizit mit vorangestelltem https:// aufgerufen. Nur durch Weiterleitungen oder Hyperlinks werden Nutzer dazu gebracht
über eine verschlüsselte Verbindung zu kommunizieren. Es gibt verschiedene
11
Webseite
login.yahoo.com
Gmail
ticketmaster.com
rapidshare.com
Hotmail
paypal.com
linkedin.com
facebook.com
Anzahl
114
50
42
14
13
9
9
3
Tabelle 1. Die Anzahl der durch eine SSL-Strip-Attack in 24 Stunden gesammelten
Login-Daten auf einer Tor-Exit-Node [13].
Webseiten die bevorzugt mittels einer verschlüsselten Kommunikation besucht
werden sollten.4 Damit der Nutzer diese verschlüsselte Verbindung aufbaut wird
ein Redirect5 von dem unverschlüsselten Dienst zu dem verschlüsselten Dienst
durchgeführt. An diesem Punkt setzt die SSL-Strip-Attack ein. Da der Angreifer die Kommunikation durch ein von ihm kontrollierten Computer leitet, gehen
alle Webseitenaufrufe über ihn. Somit ist der Angreifer in der Lage den Redirect
zu verhindern. Anstatt der eigentlichen Verbindung, die Aufgebaut werden soll,
verbindet sich er Angreifer mit der Ziel-Seite und lädt die Inhalte herunter. Alle
Hyperlinks auf der Webseite werden analysiert. Wenn ein Link auf eine Webseite
mittels https:// referenziert, wird dieser durch einen http:// -Link ersetzt. Dieses
soll verhindern, dass verschlüsselte Verbindungen aufgebaut werden. Nach der
Aufbereitung werden die angepassten Daten an das Opfer weitergesendet. Das
Opfer bekommt von der Manipulation nichts mit. Moxie Marlinspike testete diesen Angriff über 24 Stunden indem er auf seinem Computer eine Tor-Exit-Node
und ein entsprechendes Programm bei ausführte. Tabelle 1 Listet die LoginDaten die er in diesem Zeitraum sammeln konnte.
Durch diesen Angriff konnte der Autor zeigen, wie er durch den Einsatz
seines Werkzeuges auf relativ einfache Weise die Kommunikation abhören und
die Anmelde-Daten extrahieren konnte.
4
Vergleich
Nachdem unterschiedliche Angriffe auf die Kommunikation vorgestellt wurden,
sollen diese einander gegenüber gestellt werden. Für die Gegenüberstellung ist
eine eigene Metrik definiert die Anhand von Aufwand, Gefährdungspotential und
den Anforderungen an den Angreifer die Angriffe miteinander vergleicht. Es werden bei der Gegenüberstellung nur die Angriffe verglichen die, bei erfolgreichen
4
5
Es sollten zum Beispiel alle Webseiten die mit der Übertragung von Zahlungsdaten
nur über eine HTTPS-Verbindung kontaktiert werden.
In dem HTTP-Protokoll ist der Code 302 für einen Redirect definiert, der dafür
sorgt, dass der Webseiten-Besucher/Browser umgeleitet wird zu einer anderen Seite.
12
Angriff
Aufwand
Gefährdungspotential
hoch
mittelmäßig
hoch
Lokales Netzwerk
gering
DNS Cache Poisoning
mittelmäßig
Eingriff beim Internet hoch
Service Provider
Anforderungen
gering
mittelmäßig
hoch
Tabelle 2. Gegenüberstellung von unterschiedlichen Angriffen auf die Kommunikation.
Durchführung, den Datenverkehr umleiten. Die Manipulation, der übertragenen
Daten, wird in der Gegenüberstellung nicht aufgenommen, da sie die Umleitung
der Verbindung voraussetzen.
In Tabelle 2 sind drei verschiedene Angriffe aufgelistet. Die Spalte „Aufwand“
soll den Aufwand beschreiben, den der Angreifer aufwenden muss, um den Angriff durchzuführen. Die Spalte „Gefährdungspotential“ beschreibt den Umfang
des Angriffes, welche Folgen für die Betroffenen daraus resultieren. In der Spalte „Anforderungen“ sind die Anforderungen an den Angreifer gewichtet. Diese
Spalte beschreibt welches technische Wissen der Angreifer besitzen muss, um
diesen Angriff durchführen zu können. Im Folgenden werden die Werte aus der
Tabelle aufgegriffen und erläutert wie diese sich ergeben.
Lokales Netzwerk Diese Zeile bezieht sich auf den Angriff aus dem Abschnitt
3.1. Für die Aufwandsabschätzung wurde angenommen, dass der Angreifer
bereits Zugriff auf das lokale Netzwerk besitzt. Unter dieser Annahme ist
der Aufwand zum Durchführen eines Angriffes gering, da der Angreifer bereits Zugriff hat und keine weiteren Schutzmechanismen, zum Durchführen
des Angriffes, überwinden muss. Dadurch, dass der Angreifer die komplette
Kommunikation aufzeichnen und manipulieren kann, ergibt sich für die Betroffenen einen hohe Gefährdungspotential. Es existiert kein direkter Schutz
für die Opfer, sodass diese nicht auf den Angriff aufmerksam werden. Die
Anforderungen an den Angreifer, diesen Angriff durchzuführen, sind gering.
Es existieren viele Programme im Internet die es einem Angreifer, ohne technisches Hintergrundwissen, per Mausklick, durchführen zu lassen [20].
DNS Cache Poisoning Diese Zeile bezieht sich auf den Angriff aus dem Abschnitt 3.2. Der Aufwand zum Durchführen dieses Angriffes ist mittelmäßig,
da zum Durchführen vorausgesetzt wurde, dass der Angreifer vollen Zugriff
auf einen Server besitzt. An diesen Server wird ebenfalls die Anforderung
gestellt, dass bestimmte Software installiert und konfiguriert ist, wodurch
sich dieser Wert ergibt. Das Gefährdungspotential wurde nur auf mittelmäßig eingestuft, da ein Angreifer die Kommunikation nur begrenzt umleiten
kann. Der Angreifer ist in der Lage gefälschte DNS-Einträge an Nutzer zu
liefern, jedoch kann dieser nicht für alle Domänen im Internet gefälschte
Einträge erzeugen. Außerdem sind nur die Nutzer betroffen, die den attackierten DNS-Server zur Namensauflösung kontaktieren. Die Durchführung
des Angriffes wird als mittelmäßig eingestuft. Dieser Wert ergibt sich daraus, dass der Angreifer zum einen die technischen Hintergründe des Angriffes
13
verstanden haben muss und zum anderen in der Lage sein muss diese praktisch umzusetzen. Außer der Anforderungen, an die technische Umsetzung
des Angriffes, muss der Angreifer gegebenenfalls Sicherheitsmechanismen,
die beim DNS-Server implementiert worden, umgehen.
Eingriff beim Internet Service Provider Diese Zeile bezieht sich auf den
Angriff aus dem Abschnitt 3.3. Für die Aufwandsabschätzung wurde angenommen, dass ein Angreifer nicht dem Bundesnachrichtendienst oder vergleichbaren Institutionen angehört. Bevor ein Angreifer auf zentrale Knotenpunkte Zugriff bekommt, muss dieser zunächst physikalischen Zugriff erlangen. Aufgrund der Tatsache, dass die Knotenpunkte einer der wichtigsten
Punkte des Internets sind, dürfte ein Angreifer nur sehr schwer Zugriff erlangen. Wenn an dieser Stelle sich zwischen die Kommunikation geschaltet
wird, sind die Risiken dennoch sehr hoch. Ähnlich wie beim Angriff auf das
lokale Netzwerk hätte ein Angreifer alle Möglichkeiten zum Aufzeichnen und
Manipulieren. Die Anforderungen an den Angreifer sind ebenfalls sehr hoch.
Zusätzlich zu Spezialequipment, welches der Angreifer zwischen de Leitung
schalten müsst, muss dieser in der Lage sein Datenraten von 2,6 Tbit/s zu
verarbeiten. Für eine Privatperson ist dieser Angriff nicht realisierbar.
5
Zusammenfassung & Ausblick
In dieser Arbeit wurde ausführlich das Thema „Man-in-the-Middle Angriffe auf
Internetkommunikation“ zusammen gefasst. Anhand der Grundlagen wurden die
Techniken beschrieben wie passiv abgehört werden kann und die übertragenen
Daten verändert werden können. Die Gegenüberstellung im Kapitel 4 verdeutlicht, wie groß der Einfluss der vorgestellten Techniken in Relation zu den Anforderungen, um die Angriffe durchzuführen, ist. Um trotz der zuvor genannten Risiken das Schutzziel Vertraulichkeit zu erreichen wird empfohlen, dass die
Kommunikation durch sichere Verschlüsselungsalgorithmen geschützt wird. Bei
den verwendeten Algorithmen sollten die Sicherheitskriterien des BSI Grundschutzkataloges [21] eingehalten werden. Zum Erreichen des Schutzziels Authentizität wird empfohlen für die Sicherstellung seines Gegenübers eine Zwei-WegeAuthentifizierung zu vollziehen. Das Schutzziel Integrität kann durch den Einsatz von digitalen Signaturen erreicht werden. Diese Mechanismen bieten eine
Möglichkeit Nutzer vor Angriffen zu schützen. Für die Zukunft lässt sich prognostizieren, dass neue Angriffe auf die Verbindungen entwickelt werden. Durch
die Etablierung von IPv6 und die Einführung neuer Protokolle ist zu erwarten,
dass neue Angriffe entwickelt werden.
Literatur
1. Heise Online,
„NSA-Überwachungsskandal: Von NSA, GCHQ, BND, PRISM, Tempora,
XKeyScore und dem Supergrundrecht - was bisher geschah“,
14
2.
3.
4.
5.
6.
7.
http://www.heise.de/newsticker/ meldung/NSA-Ueberwachungsskandal-VonNSA-GCHQ-BND-PRISM-Tempora-XKeyScore-und-dem-Supergrundrechtwas-bisher-geschah-1958399.html,
19.09.2013,
Letzter Zugriff: 15.12.2013
Andrew S. Tanenbaum, Prof. David J. Wetherall,
„Computernetzwerke (Pearson Studium - IT)“,
4. überarbeitet Auflage,
Erscheinungs-Datum: 7/2003
P. Mockapetris,
„RFC 1035“,
https://www.ietf.org/rfc/rfc1035.txt,
Erscheinungs-Datum: November 1987
Letzter Zugriff: 15.12.2013
P. Mockapetris,
„RFC 1034“,
https://www.ietf.org/rfc/rfc1034.txt,
Erscheinungs-Datum: November 1987
Letzter Zugriff: 15.12.2013
J. Postel,
„RFC 768“,
https://www.ietf.org/rfc/rfc768.txt,
Erscheinungs-Datum: 28 August 1980
Letzter Zugriff: 15.12.2013
T. Dierks,
„RFC 5246“,
https://www.ietf.org/rfc/rfc5246.txt,
Erscheinungs-Datum: August 2008
Letzter Zugriff: 15.12.2013
Stefan Dierichs, Prof. Dr. Norbert Pohlmann,
„Internet Deutschland - Struktur und Aufbau“,
Institut für Internet-Sicherheit, Fachhochschule Gelsenkirchen,
Erscheinungs-Datum: Oktober 2005
8. Johannes A. Buchmann, Evangelos Karatsiolis, Alexander Wiesmaier,
„Introduction to Public Key Infrastructures“,
April 17, 2013 Springer
9. „Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel
10-Gesetz - G 10)“,
http://www.buzer.de/s1.htm?g=G%2B10&a=10,
Geltung ab 29.06.2001,
Letzter Zugriff: 15.12.2013
10. Callado et al., „A Survey on Internet Traffic Identification", IEEE Communications Surveys & Tutorials, vol. 11, no. 3,
Drittes Quartal 2009
11. Jon Erickson,
„Hacking: The Art of Exploitation, 2nd Edition“,
Oktober 2007
12. James F. Kurso, Keith W. Ross,
„Computernetze: Ein Top-Down-Ansatz mit Schwerpunkt Internet“,
Pearson Studium, 2002
15
13. Moxie Marlinspike,
„New Techniques for Defeating SSL/TLS“,
https://www.blackhat.com/html/bh-dc-09/bh-dc-09speakers.html#Marlinspike,
Letzter Zugriff: 09.02.2014
14. heise Security,
„Der Diginotar-SSL-Gau und seine Folgen“,
http://www.heise.de/security/mel dung/Der-Diginotar-SSL-Gau-und-seineFolgen-1423893.html,
27.01.2012
Letzter Zugriff: 04.01.2014
15. Max Moseret al.,
„HTC’s E-Mail Client Fails to verify Server Certificates“,
http://www.modzero.ch/modlog/archives/2013/05/28/htcs_e-mail_client
_fails_to_verify_server_certificates/index.html?utm_source=buffer&utm
_medium=twitter&utm_campaign=Buffer&utm_content=buffer01b49,
Published: 2013-05-28,
Letzter Zugriff: 04.01.2014
16. DE-CIX,
„New DE-CIX all-time peak detected: 2.6 tbps“,
http://www.de-cix.net/news-events/latest-news/news/article/new-de-cix-alltime-peak-detected-26-tbps/,
Letzter Zugriff: 08.01.2014
17. „Wikipedia - Tier 1 network, Definition“,
http://en.wikipedia.org/wiki/Tier_1 _network#Definition,
Letzter Zugriff: 31.01.2014
18. Stern online,
„Jeder vierte Haushalt ist noch offline“,
19. Dezember 2011,
http://www.stern.de/digital/online/internetanschluesse-in-deutschland-jedervierte-haushalt-ist-noch-offline-1764498.html,
Letzter Zugriff: 02.02.2014
19. Aircrack-ng,
„Determine the chipset“,
http://www.aircrack-ng.org/doku.php?id=compatibility_drivers
&s[]=devices#determine_the_chipset,
Letzter Zugriff: 02.02.2014
20. Kali Linux,
„The most advanced penetration testing distribution“,
http://www.kali.org/,
Letzter Zugriff: 09.02.2014
21. Bundesamt für Sicherheit in der Informationstechnik,
IT-Grundschutz-Kataloge“,
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutz Kataloge/itgrundschutzkataloge_node.html,
Letzter Zugriff: 21.02.2014
16