- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Konzept eines MITM-Angriffs ist simpel


Was ein Man-in-the-Middle-Angriff ist und wie man ihn verhindert
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein

- Anzeigen -





2015 hat eine Gruppe von Cyberkriminellen in Belgien insgesamt 6 Millionen Euro erbeutet, indem sie sich durch mittelständische und große europäische Unternehmen hackten. Die Hacker verschafften sich Zugang zu den E-Mail-Konten der betroffenen Unternehmen und benutzten die Accounts dann um Zahlungsaufforderungen zu übernehmen. Laut der offiziellen Pressemitteilung von Europol waren Malware- und Social-Engineering-Techniken der Modus operandi. Mit dem Zugriff auf die Konten war es den Hackern gleichzeitig möglich, die Kommunikation zu überwachen, Zahlungsforderungen zu erkennen und zu übernehmen. Diese beeindruckende Demonstration ist ein Paradebeispiel für einen Man-in-the-Middle-Angriff. Tatsache ist, dass jedes Unternehmen leicht eines dieser europäischen Unternehmen hätte sein können.

Was ist ein Man-in-the-Middle (MITM) -Angriff?
Ein MITM-Angriff liegt vor, wenn die Kommunikation zwischen zwei Systemen von einer außen stehenden Partei abgefangen wird. Das kann bei jeder Form von Online-Kommunikation, egal ob über E-Mail, Social Media, Web etc., passieren. Dabei belauschen Hacker nicht nur private Konversationen. Vielmehr sind sämtliche auf dem betreffenden Gerät befindliche Informationen von Interesse.

Lässt man alle technischen Einzelheiten beiseite, kann man das Konzept eines MITM-Angriffs in einem simplen Szenario beschreiben. Versetzen wir uns wieder in vergangene Tage zurück, in eine Zeit als Snail Mail noch weit verbreitet war. Kevin schreibt einen Brief an Jacqueline, in dem er seine Liebe für sie ausdrückt, nachdem er jahrelang mit seinen Gefühlen hinter dem Berg gehalten hatte. Er schickt den Brief ab und dieser landet bei einem neugierigen Briefträger. Er öffnet ihn und entschließt sich, den Brief spaßeshalber umzuschreiben, bevor er ihn an Jacqueline ausliefert. Das führt dann leider dazu, dass Jacqueline Kevin für den Rest ihres Lebens hasst, nachdem "Kevin" sie nicht eben schmeichelhaft beschrieben hatte.

Ein aktuelles Beispiel wäre ein Hacker, der zwischen Ihnen (und Ihrem Browser) und der Website sitzt, die Sie gerade besuchen. Er fängt alle Daten ab, die Sie an die Website senden und speichert sie, das sind beispielsweise die Anmeldeinformationen oder finanzielle Transaktionsdaten.

Wie funktioniert ein Man-in-the-Middle-Angriff?
Im Laufe der Jahre haben Hacker verschiedene Möglichkeiten für MITM-Angriffe entwickelt. Dazu kommt, dass es inzwischen relativ billig geworden ist, Hacking Tools online zu kaufen. Das zeigt wie einfach es geworden ist, ein Unternehmen zu hacken, wenn man bereit ist ein wenig zu investieren. Hier stellen wir einige gängige Typen von MITM-Angriffen vor. Solche, denen man im Unternehmensumfeld am ehesten begegnet.

E-Mail Hijacking
Ähnlich wie im geschilderten Fall richtet sich diese Taktik primär gegen die E-Mail-Konten großer Unternehmen. Vor allem gegen solche aus der Finanzwirtschaft. Sobald der Hacker Zugang zu wichtigen Konten hat, überwacht er die Transaktionen sorgfältig, um seinen Angriff später möglichst überzeugend zu gestalten. Er wartet beispielsweise auf ein Szenario, in dem der Kunde Geld überweist. Dann antwortet der Hacker, indem er die E-Mail-Adresse des Unternehmens fälscht, und die Bankverbindung des Unternehmens gegen seine eigene austauscht. Der Kunde geht davon aus, dass er das Geld an das betreffende Unternehmen sendet, in Wirklichkeit landet es direkt beim Angreifer.

Es werden aber nicht nur große Unternehmen Opfer dieser Art von Angriffen. In eine ganz ähnliche Situation geriet der Londoner Paul Lupton. Nachdem er sein Haus verkauft hatte, schickte er seine Kontodaten an seinen Anwalt, um den Erlös von über 333.000 Euro zu beanspruchen. Was er nicht wusste war, dass Hacker sich Zugang zu seinen E-Mails verschafft hatten und die Kommunikation bereits überwachten. Diese Gelegenheit ließen sie natürlich nicht ungenutzt verstreichen und schickten im Namen von Lupton schnell eine weitere E-Mail an den Anwalt. Darin wurde der Anwalt gebeten die erste E-Mail zu ignorieren und das Geld auf ein anderes Konto (im Besitz der Hacker) zu überweisen. Der Transfer ging auch tatsächlich auf dem Konto der Hacker ein, aber glücklicherweise erkannte Lupton schnell, was passiert war und konnte den Großteil der Gelder retten. Die meisten Angriffe nehmen leider kein so glückliches Ende.

Lauschangriff auf’s WLAN
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein. Alles, was der Angreifer tun muss, ist darauf zu warten, dass das Opfer sich verbindet. Dann kann er sofort auf das betreffende Gerät zugreifen. Alternativ kann der Angreifer einen gefälschten WLAN-Knoten erstellen, getarnt als legitimer WLAN-Zugangspunkt, um die persönlichen Daten von jedem, der eine Verbindung herstellt, zu stehlen.

Session Hijacking
Wenn Sie sich auf einer Website einloggen, wird eine Verbindung zwischen Ihrem Computer und der Website hergestellt. Hacker hijacken solche Sessions mit verschiedenen Methoden. Zum Beispiel indem sie Browser-Cookies stehlen. Cookies speichern kleine Datenmengen, die das Browsen grundsätzlich bequemer machen sollen. Das können Ihre Online-Aktivitäten, Anmeldeinformationen, vorausgefüllte Formulare und in einigen Fällen, der Standort sein. Gerät ein Hacker an die Log-in-Cookies, kann er sich problemlos selbst einloggen und die Identität übernehmen.

Wie lassen sich Netzwerke vor diesen Angriffen schützen?
MITM-Angriffe sind keine ganz triviale Angelegenheit. Das heißt aber nicht, dass man sie nicht verhindern kann. PKI ist eine der Technologien mit deren Hilfe man sich besser vor solchen Angriffen schützen kann.

S/MIME
Secure/Multipurpose Internet Mail Extensions oder kurz S/MIME verschlüsselt E-Mails im Speicher oder im Transit, um zu gewährleisten, dass nur die tatsächlich dafür vorgesehenen Empfänger sie lesen können und für Hacker kein Raum bleibt sich einzuschleichen und Nachrichten zu ändern.

S/MIME erlaubt zusätzlich E-Mails mit einem digitalen Zertifikat zu signieren, das für jede Person eindeutig ist. Es bindet die virtuelle Identität an die entsprechende E-Mail. Der Empfänger kann so sicher sein, dass die erhaltene E-Mail, tatsächlich von Ihnen stammt (im Gegensatz zu einem Hacker, der auf Ihren Mail-Server zugreift).

Es ist unmittelbar einsichtig, dass diese Methode beim obigen Europol-Beispiel hilfreich gewesen wäre. Obwohl die Hacker auf die Mail-Server des Unternehmens zugreifen konnten, hätten sie auch Zugang zu den privaten Schlüsseln der Mitarbeiter haben müssen. Und diese Schlüssel sind in aller Regel an einem anderen Ort sicher abgespeichert. Digitale Signaturen als Standard einzuführen und die Nutzer zu schulen nur signierten Nachrichten zu vertrauen, trägt dazu bei legitime E-Mails von gefälschten zu unterscheiden.

Zertifikatbasierte Authentifizierung
Hacker wird es immer geben. Aber eine Sache kann man tun. Zertifikatbasierte Authentifizierung macht es einem Hacker praktisch unmöglich in Systeme einzudringen (z. B. WLAN-Netzwerke, E-Mail-Systeme, interne Netzewerke), So können nur die Endpunkte auf Systeme und Netzwerke zugreifen, die über korrekt konfigurierte Zertifikate verfügen. Zertifikate sind benutzerfreundlich (es muss keine zusätzliche Hardware gemanagt werden oder es ist keine groß angelegte Benutzerschulung nötig). Die eigentliche Bereitstellung kann man automatisieren. Das unterstützt die IT-Abteilung und bremst Hacker an dieser Stelle erst Mal aus.

Was ist HTTP-Interception?
HTTP ist das gängigste Internetprotokoll. Die meisten der Dinge, die wir online tun, sind auf HTTP implementiert, vom üblichen Web-Browsing bis zum Instant Messaging. Leider ist die HTTP-Kommunikation ungeschützt und relativ leicht abzufangen. Das macht sie zu einem vorrangigen Ziel für MITM-Angriffe. Wie schon erwähnt, kann ein Angreifer sich zwischen Nutzer und Website schalten, und so die Kommunikation abhören. Das gilt zum Beispiel für alle Daten, die ein Nutzer an die Website schickt. Davon mitbekommen tut er nichts.

Wie verhindert man HTTP Interception?

SSL/TLS-Zertifikate
Wer auf seiner Website immer noch das anfälligere HTTP-Protokoll verwendet, sollte dringend über SSL/TLS-Zertifikate auf das sicherere HTTPS-Protokoll aufrüsten. Ein TLS-Zertifikat aktiviert das HTTPS-Protokoll. Es ermöglicht eine verschlüsselte, sichere Verbindung zwischen dem Server und den Rechnern bestehender und potenzieller Kunden.

Mit einem Organization Validated (OV) oder Extended Validation (EV) Zertifikat lassen sich auch Domain-Namen mit der Unternehmensidentität verbinden. EV-Zertifikate bringen Identitätsinformationen in eine prominente Position: Der Firmenname wird direkt in der URL-Leiste angezeigt. Eine Methode, die dazu beiträgt bei Kunden mehr Vertrauen zu schaffen, dass sie sich auf einer legitimen Unternehmenswebseite befinden.

System- und Serverkonfigurationen
Auf diesen Lorbeeren sollte man sich erwiesenermaßen aber nicht zu lange ausruhen. Wenn TLS funktioniert, sollte man es konfigurieren und dabei darauf achten, dass die Website keinen gemischten Inhalt oder ein Seitenelement enthält, das noch über ein HTTP-Protokoll lädt (z. B. Fotos, Scripts, Widgets). Sonst bleibt für potenzielle Hackerangriffe eine Hintertür offen. Ebenso hat es sich praktisch bewährt alle Links, die von anderen Seiten einbezogen werden, über HTTPS laufen zu lassen. Anmeldeformulare sollten ebenfalls mittels HTTPS-geschützt werden, um das Hijacken von Anmeldeinformationen zu vermeiden. Mozilla macht hier einen guten Job und verhindert, dass Benutzer Formulare unter HTTP ausfüllen: Der Browser zeigt den Warnhinweis "unsichere Verbindung" und ein durchgestrichenes Schlosssymbol. Alle in einer Website enthaltenen Hyperlinks sollten ebenfalls auf das HTTPS-Protokoll zurückgreifen.

Zusätzlich sollten Sie sicherstellen, dass die Server korrekt konfiguriert sind (z. B. gemäß aktuellen Best Practices für Protokolle, Algorithmen, etc.). SSL2-, SSL3- und TLS1-Protokolle sollten deaktiviert sein. Nur TLS 1.1 und 1.2 sollten aktiviert sein. Es gibt etliche weitere Konfigurationselemente zu berücksichtigen. Und nicht zuletzt ändern sich empfohlene Best Practices, wenn wieder neue Schwachstellen aufgedeckt werden. GlobalSigns SSL Server Test ist ein leicht zu bedienendes und gründliches Tool, um sicherzustellen, dass ein Server richtig konfiguriert ist.

HSTS gegenüber HTTPS
Wie oben diskutiert, haben Hacker Wege gefunden, TLS zu umgehen. Auch wenn man beispielsweise eine HTTPS-Verbindung anfordert (z. B. über die Eingabe https://www.example.com eingeben), können Hacker die Anforderung in HTTP ändern, sodass der Nutzer zu http://www.example.com geht und die verschlüsselte Verbindung verhindert wird. Die Implementierung von HTTP Strict Transport Security oder HSTS trägt dazu bei, diese Art von Angriffen zu verhindern. Diese Web-Server-Richtlinie zwingt jeden Webbrowser oder App, eine Verbindung zu HTTPS herzustellen und alle Inhalte zu blockieren, die HTTP verwenden. HSTS verhindert zusätzlich, dass Hacker Daten aus Browser-Cookies extrahieren und verhindert so Session Hijacking. (GlobalSign: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 26.04.17


CyberArk: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Woher kommt die Verschlüsselungsmüdigkeit?

    Obwohl viele Unternehmen Verschlüsselung für wichtig halten, wird die Technologie nur von einem Bruchteil genutzt. Es gibt einige nachvollziehbare Hindernisse, aber auch eine Reihe sich hartnäckig haltender Mythen rund um die Usability und die Praxistauglichkeit. Anlässlich des Updates ihres Outlook-Verschlüsselungs-Add-Ins "gpg4o 5.1" hat der Lösungsanbieter Giegerich & Partner die gängigsten Argumente einem Plausibilitäts-Check unterzogen. Es ist keine Überraschung: Die Digitalisierung des Geschäftsalltags nimmt zu, wie der DsiN-Sicherheitsmonitor 2016 in seinen Statistiken zeigt. Gleichzeitig sagen rund 60 Prozent der befragten Unternehmen, dass ihnen Risiken und rechtliche Anforderungen bei der geschäftlichen Nutzung von Internet und E-Mails nicht bekannt sind. Diese Unsicherheit zeigt sich auch beim Einsatz entsprechender Schutzmaßnahmen, die - im Gegensatz zur steigenden Digitalisierung - unverändert bleiben. So setzen immer noch weniger als die Hälfte (48 Prozent) der befragten Unternehmen Maßnahmen zur E-Mailsicherheit ein.

  • App Fraud bei Kindern

    Welche Eltern erlauben es, dass ihr Kind mehrere hundert Euro selbstverantwortlich ausgeben darf? In der realen Welt sicherlich nicht, aber wie steht es um In-App-Käufe in Spielen für Smartphone und Tablet? Sogenannte Free-2-Play-Spiele (F2P) bieten gegen Echtgeld zeitliche Spielerleichterungen an oder kosmetische Gegenstände, wie beispielsweise neue Kleidungsfarben für den Avatar. Oft greifen Kinder dabei zum virtuellen Portemonnaie und gehen auf Shopping-Tour - ein böses Erwachen erfolgt dann für die Eltern am Monatsende. G Data gibt Eltern Tipps, wie sie sich und ihre Kinder vor teuren In-App-Käufen schützen können.

  • Durch Updates zur Datenkrake geworden

    Ob echtes Helferlein oder die Spaß-App fürs daddeln zwischendurch: Wer Apps auf seinem Smartphone nutzt, unterliegt der Gefahr, dass seine persönlichen Daten ausgelesen und an Werbetreibende verkauft werden - ohne davon selbst etwas mitzubekommen. "Je billiger eine App ist, umso schutzloser sind meist auch die eigenen Daten. Denn sichere Apps zu entwickeln, kostet Zeit und Geld. Wer also kein Geld für eine App zahlt, zahlt für gewöhnlich mit seinen Daten", warnt Christian Heutger, Geschäftsführer der PSW Group. Der IT-Sicherheitsexperte rät, insbesondere bei den Berechtigungen, die eine App verlangt, zur Vorsicht: "Sichere Apps verfügen über die Berechtigungen, die zum Ausführen der Funktionen relevant sind. Klar, dass eine Navigations-App dann auch auf den Standort zugreift. Würde dies eine Taschenlampen-App aber auch wollen, sollten die Alarmglocken schrillen."

  • Folgende Schutzmaßnahmen umzusetzen

    Aktuellen Erkenntnissen zu Folge ist die Bedrohungslage durch den Cyber-Angriff Ende Juni, der unter dem Namen Petya (auch: NotPetya, ExPetr, DiskCoder.C) bekannt wurde, auch für deutsche Unternehmen größer als bislang angenommen. Analysen von IT-Sicherheitsforschern legen nahe, dass bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurden. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekannt gewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden. Die unterschiedlichen Schadsoftwarevarianten ermöglichen das Ausspähen von Daten aus den betroffenen Firmennetzwerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Analysen als plausibel.

  • Nach Selbstversuchen oft Datenverlust

    Die Datenrettungs-Experten von Kroll Ontrack erhalten immer öfter Speichermedien, bei denen versucht worden ist, Daten mit Do-It-Yourself-Methoden wiederherzustellen. "DIY-Methoden und -Videos zur Datenwiederherstellung, die im Internet kursieren, veranlassen immer mehr Personen zu Selbstversuchen, wenn ein Datenverlust eingetreten ist", sagt Peter Böhret, Managing Director der Kroll Ontrack GmbH. "Wir erhalten immer öfter Laufwerke, bei denen versucht wurde, selbst die Daten wiederherzustellen. In vielen Fällen führen diese Versuche zu weiteren Schäden, die eine Datenrettung unmöglich machen." Um User vor solchen Methoden zu warnen, hat Kroll Ontrack eine Liste mit den zehn größten DIY-Datenrettungs-Fehlern erstellt.