Konzept eines MITM-Angriffs ist simpel


Was ein Man-in-the-Middle-Angriff ist und wie man ihn verhindert
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein



2015 hat eine Gruppe von Cyberkriminellen in Belgien insgesamt 6 Millionen Euro erbeutet, indem sie sich durch mittelständische und große europäische Unternehmen hackten. Die Hacker verschafften sich Zugang zu den E-Mail-Konten der betroffenen Unternehmen und benutzten die Accounts dann um Zahlungsaufforderungen zu übernehmen. Laut der offiziellen Pressemitteilung von Europol waren Malware- und Social-Engineering-Techniken der Modus operandi. Mit dem Zugriff auf die Konten war es den Hackern gleichzeitig möglich, die Kommunikation zu überwachen, Zahlungsforderungen zu erkennen und zu übernehmen. Diese beeindruckende Demonstration ist ein Paradebeispiel für einen Man-in-the-Middle-Angriff. Tatsache ist, dass jedes Unternehmen leicht eines dieser europäischen Unternehmen hätte sein können.

Was ist ein Man-in-the-Middle (MITM) -Angriff?
Ein MITM-Angriff liegt vor, wenn die Kommunikation zwischen zwei Systemen von einer außen stehenden Partei abgefangen wird. Das kann bei jeder Form von Online-Kommunikation, egal ob über E-Mail, Social Media, Web etc., passieren. Dabei belauschen Hacker nicht nur private Konversationen. Vielmehr sind sämtliche auf dem betreffenden Gerät befindliche Informationen von Interesse.

Lässt man alle technischen Einzelheiten beiseite, kann man das Konzept eines MITM-Angriffs in einem simplen Szenario beschreiben. Versetzen wir uns wieder in vergangene Tage zurück, in eine Zeit als Snail Mail noch weit verbreitet war. Kevin schreibt einen Brief an Jacqueline, in dem er seine Liebe für sie ausdrückt, nachdem er jahrelang mit seinen Gefühlen hinter dem Berg gehalten hatte. Er schickt den Brief ab und dieser landet bei einem neugierigen Briefträger. Er öffnet ihn und entschließt sich, den Brief spaßeshalber umzuschreiben, bevor er ihn an Jacqueline ausliefert. Das führt dann leider dazu, dass Jacqueline Kevin für den Rest ihres Lebens hasst, nachdem "Kevin" sie nicht eben schmeichelhaft beschrieben hatte.

Ein aktuelles Beispiel wäre ein Hacker, der zwischen Ihnen (und Ihrem Browser) und der Website sitzt, die Sie gerade besuchen. Er fängt alle Daten ab, die Sie an die Website senden und speichert sie, das sind beispielsweise die Anmeldeinformationen oder finanzielle Transaktionsdaten.

Wie funktioniert ein Man-in-the-Middle-Angriff?
Im Laufe der Jahre haben Hacker verschiedene Möglichkeiten für MITM-Angriffe entwickelt. Dazu kommt, dass es inzwischen relativ billig geworden ist, Hacking Tools online zu kaufen. Das zeigt wie einfach es geworden ist, ein Unternehmen zu hacken, wenn man bereit ist ein wenig zu investieren. Hier stellen wir einige gängige Typen von MITM-Angriffen vor. Solche, denen man im Unternehmensumfeld am ehesten begegnet.

E-Mail Hijacking
Ähnlich wie im geschilderten Fall richtet sich diese Taktik primär gegen die E-Mail-Konten großer Unternehmen. Vor allem gegen solche aus der Finanzwirtschaft. Sobald der Hacker Zugang zu wichtigen Konten hat, überwacht er die Transaktionen sorgfältig, um seinen Angriff später möglichst überzeugend zu gestalten. Er wartet beispielsweise auf ein Szenario, in dem der Kunde Geld überweist. Dann antwortet der Hacker, indem er die E-Mail-Adresse des Unternehmens fälscht, und die Bankverbindung des Unternehmens gegen seine eigene austauscht. Der Kunde geht davon aus, dass er das Geld an das betreffende Unternehmen sendet, in Wirklichkeit landet es direkt beim Angreifer.

Es werden aber nicht nur große Unternehmen Opfer dieser Art von Angriffen. In eine ganz ähnliche Situation geriet der Londoner Paul Lupton. Nachdem er sein Haus verkauft hatte, schickte er seine Kontodaten an seinen Anwalt, um den Erlös von über 333.000 Euro zu beanspruchen. Was er nicht wusste war, dass Hacker sich Zugang zu seinen E-Mails verschafft hatten und die Kommunikation bereits überwachten. Diese Gelegenheit ließen sie natürlich nicht ungenutzt verstreichen und schickten im Namen von Lupton schnell eine weitere E-Mail an den Anwalt. Darin wurde der Anwalt gebeten die erste E-Mail zu ignorieren und das Geld auf ein anderes Konto (im Besitz der Hacker) zu überweisen. Der Transfer ging auch tatsächlich auf dem Konto der Hacker ein, aber glücklicherweise erkannte Lupton schnell, was passiert war und konnte den Großteil der Gelder retten. Die meisten Angriffe nehmen leider kein so glückliches Ende.

Lauschangriff auf"s WLAN
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein. Alles, was der Angreifer tun muss, ist darauf zu warten, dass das Opfer sich verbindet. Dann kann er sofort auf das betreffende Gerät zugreifen. Alternativ kann der Angreifer einen gefälschten WLAN-Knoten erstellen, getarnt als legitimer WLAN-Zugangspunkt, um die persönlichen Daten von jedem, der eine Verbindung herstellt, zu stehlen.

Session Hijacking
Wenn Sie sich auf einer Website einloggen, wird eine Verbindung zwischen Ihrem Computer und der Website hergestellt. Hacker hijacken solche Sessions mit verschiedenen Methoden. Zum Beispiel indem sie Browser-Cookies stehlen. Cookies speichern kleine Datenmengen, die das Browsen grundsätzlich bequemer machen sollen. Das können Ihre Online-Aktivitäten, Anmeldeinformationen, vorausgefüllte Formulare und in einigen Fällen, der Standort sein. Gerät ein Hacker an die Log-in-Cookies, kann er sich problemlos selbst einloggen und die Identität übernehmen.

Wie lassen sich Netzwerke vor diesen Angriffen schützen?
MITM-Angriffe sind keine ganz triviale Angelegenheit. Das heißt aber nicht, dass man sie nicht verhindern kann. PKI ist eine der Technologien mit deren Hilfe man sich besser vor solchen Angriffen schützen kann.

S/MIME
Secure/Multipurpose Internet Mail Extensions oder kurz S/MIME verschlüsselt E-Mails im Speicher oder im Transit, um zu gewährleisten, dass nur die tatsächlich dafür vorgesehenen Empfänger sie lesen können und für Hacker kein Raum bleibt sich einzuschleichen und Nachrichten zu ändern.

S/MIME erlaubt zusätzlich E-Mails mit einem digitalen Zertifikat zu signieren, das für jede Person eindeutig ist. Es bindet die virtuelle Identität an die entsprechende E-Mail. Der Empfänger kann so sicher sein, dass die erhaltene E-Mail, tatsächlich von Ihnen stammt (im Gegensatz zu einem Hacker, der auf Ihren Mail-Server zugreift).

Es ist unmittelbar einsichtig, dass diese Methode beim obigen Europol-Beispiel hilfreich gewesen wäre. Obwohl die Hacker auf die Mail-Server des Unternehmens zugreifen konnten, hätten sie auch Zugang zu den privaten Schlüsseln der Mitarbeiter haben müssen. Und diese Schlüssel sind in aller Regel an einem anderen Ort sicher abgespeichert. Digitale Signaturen als Standard einzuführen und die Nutzer zu schulen nur signierten Nachrichten zu vertrauen, trägt dazu bei legitime E-Mails von gefälschten zu unterscheiden.

Zertifikatbasierte Authentifizierung
Hacker wird es immer geben. Aber eine Sache kann man tun. Zertifikatbasierte Authentifizierung macht es einem Hacker praktisch unmöglich in Systeme einzudringen (z. B. WLAN-Netzwerke, E-Mail-Systeme, interne Netzewerke), So können nur die Endpunkte auf Systeme und Netzwerke zugreifen, die über korrekt konfigurierte Zertifikate verfügen. Zertifikate sind benutzerfreundlich (es muss keine zusätzliche Hardware gemanagt werden oder es ist keine groß angelegte Benutzerschulung nötig). Die eigentliche Bereitstellung kann man automatisieren. Das unterstützt die IT-Abteilung und bremst Hacker an dieser Stelle erst Mal aus.

Was ist HTTP-Interception?
HTTP ist das gängigste Internetprotokoll. Die meisten der Dinge, die wir online tun, sind auf HTTP implementiert, vom üblichen Web-Browsing bis zum Instant Messaging. Leider ist die HTTP-Kommunikation ungeschützt und relativ leicht abzufangen. Das macht sie zu einem vorrangigen Ziel für MITM-Angriffe. Wie schon erwähnt, kann ein Angreifer sich zwischen Nutzer und Website schalten, und so die Kommunikation abhören. Das gilt zum Beispiel für alle Daten, die ein Nutzer an die Website schickt. Davon mitbekommen tut er nichts.

Wie verhindert man HTTP Interception?

SSL/TLS-Zertifikate
Wer auf seiner Website immer noch das anfälligere HTTP-Protokoll verwendet, sollte dringend über SSL/TLS-Zertifikate auf das sicherere HTTPS-Protokoll aufrüsten. Ein TLS-Zertifikat aktiviert das HTTPS-Protokoll. Es ermöglicht eine verschlüsselte, sichere Verbindung zwischen dem Server und den Rechnern bestehender und potenzieller Kunden.

Mit einem Organization Validated (OV) oder Extended Validation (EV) Zertifikat lassen sich auch Domain-Namen mit der Unternehmensidentität verbinden. EV-Zertifikate bringen Identitätsinformationen in eine prominente Position: Der Firmenname wird direkt in der URL-Leiste angezeigt. Eine Methode, die dazu beiträgt bei Kunden mehr Vertrauen zu schaffen, dass sie sich auf einer legitimen Unternehmenswebseite befinden.

System- und Serverkonfigurationen
Auf diesen Lorbeeren sollte man sich erwiesenermaßen aber nicht zu lange ausruhen. Wenn TLS funktioniert, sollte man es konfigurieren und dabei darauf achten, dass die Website keinen gemischten Inhalt oder ein Seitenelement enthält, das noch über ein HTTP-Protokoll lädt (z. B. Fotos, Scripts, Widgets). Sonst bleibt für potenzielle Hackerangriffe eine Hintertür offen. Ebenso hat es sich praktisch bewährt alle Links, die von anderen Seiten einbezogen werden, über HTTPS laufen zu lassen. Anmeldeformulare sollten ebenfalls mittels HTTPS-geschützt werden, um das Hijacken von Anmeldeinformationen zu vermeiden. Mozilla macht hier einen guten Job und verhindert, dass Benutzer Formulare unter HTTP ausfüllen: Der Browser zeigt den Warnhinweis "unsichere Verbindung" und ein durchgestrichenes Schlosssymbol. Alle in einer Website enthaltenen Hyperlinks sollten ebenfalls auf das HTTPS-Protokoll zurückgreifen.

Zusätzlich sollten Sie sicherstellen, dass die Server korrekt konfiguriert sind (z. B. gemäß aktuellen Best Practices für Protokolle, Algorithmen, etc.). SSL2-, SSL3- und TLS1-Protokolle sollten deaktiviert sein. Nur TLS 1.1 und 1.2 sollten aktiviert sein. Es gibt etliche weitere Konfigurationselemente zu berücksichtigen. Und nicht zuletzt ändern sich empfohlene Best Practices, wenn wieder neue Schwachstellen aufgedeckt werden. GlobalSigns SSL Server Test ist ein leicht zu bedienendes und gründliches Tool, um sicherzustellen, dass ein Server richtig konfiguriert ist.

HSTS gegenüber HTTPS
Wie oben diskutiert, haben Hacker Wege gefunden, TLS zu umgehen. Auch wenn man beispielsweise eine HTTPS-Verbindung anfordert (z. B. über die Eingabe https://www.example.com eingeben), können Hacker die Anforderung in HTTP ändern, sodass der Nutzer zu http://www.example.com geht und die verschlüsselte Verbindung verhindert wird. Die Implementierung von HTTP Strict Transport Security oder HSTS trägt dazu bei, diese Art von Angriffen zu verhindern. Diese Web-Server-Richtlinie zwingt jeden Webbrowser oder App, eine Verbindung zu HTTPS herzustellen und alle Inhalte zu blockieren, die HTTP verwenden. HSTS verhindert zusätzlich, dass Hacker Daten aus Browser-Cookies extrahieren und verhindert so Session Hijacking. (GlobalSign: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 26.04.17


CyberArk: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in den Betrieb wichtiger Dienste ein. Leider haben viele der teilnehmenden Länder diese Schutzmaßnahmen auf unterschiedliche Weise oder in unterschiedlichem Maße umgesetzt. Angesichts der sich rasch verändernden Cybersicherheitslandschaft wurde deutlich, dass mehr nötig war.

Durchsetzung von Datenzugriffsrichtlinien

Der erste rechtsverbindliche internationale Vertrag über den Schutz der Privatsphäre und den Datenschutz wurde vor 43 Jahren unterzeichnet. Die Autoren konnten sich damals kaum vorstellen, wie groß die Datenflut und auch das Potenzial für Datenmissbrauch in den folgenden Jahrzehnten sein würden.

Schutz zu guten Versicherungskonditionen

Sophos hat einen neuen Leitfaden zu Cyberversicherungen veröffentlicht, der dem Management und IT-Verantwortlichen in Unternehmen hilft, den Markt der Cyberversicherungen besser zu verstehen und die Voraussetzungen für eine möglichst wirtschaftliche Versicherung zu erfüllen.

Markt wird sich tiefgreifend ändern

Seit Ende 2023 herrscht Gewissheit: Der fast 70 Milliarden US-Dollar schwere Deal zwischen Broadcom und VMware ist perfekt. Nach Ansicht der IT-Experten der Datis IT-Services GmbH ist es spätestens nach der Übernahme Zeit, sich nach einer leistungsfähigen Alternative für die Virtualisierung von IT-Landschaften umzuschauen.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.