- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Konzept eines MITM-Angriffs ist simpel


Was ein Man-in-the-Middle-Angriff ist und wie man ihn verhindert
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein

- Anzeigen -





2015 hat eine Gruppe von Cyberkriminellen in Belgien insgesamt 6 Millionen Euro erbeutet, indem sie sich durch mittelständische und große europäische Unternehmen hackten. Die Hacker verschafften sich Zugang zu den E-Mail-Konten der betroffenen Unternehmen und benutzten die Accounts dann um Zahlungsaufforderungen zu übernehmen. Laut der offiziellen Pressemitteilung von Europol waren Malware- und Social-Engineering-Techniken der Modus operandi. Mit dem Zugriff auf die Konten war es den Hackern gleichzeitig möglich, die Kommunikation zu überwachen, Zahlungsforderungen zu erkennen und zu übernehmen. Diese beeindruckende Demonstration ist ein Paradebeispiel für einen Man-in-the-Middle-Angriff. Tatsache ist, dass jedes Unternehmen leicht eines dieser europäischen Unternehmen hätte sein können.

Was ist ein Man-in-the-Middle (MITM) -Angriff?
Ein MITM-Angriff liegt vor, wenn die Kommunikation zwischen zwei Systemen von einer außen stehenden Partei abgefangen wird. Das kann bei jeder Form von Online-Kommunikation, egal ob über E-Mail, Social Media, Web etc., passieren. Dabei belauschen Hacker nicht nur private Konversationen. Vielmehr sind sämtliche auf dem betreffenden Gerät befindliche Informationen von Interesse.

Lässt man alle technischen Einzelheiten beiseite, kann man das Konzept eines MITM-Angriffs in einem simplen Szenario beschreiben. Versetzen wir uns wieder in vergangene Tage zurück, in eine Zeit als Snail Mail noch weit verbreitet war. Kevin schreibt einen Brief an Jacqueline, in dem er seine Liebe für sie ausdrückt, nachdem er jahrelang mit seinen Gefühlen hinter dem Berg gehalten hatte. Er schickt den Brief ab und dieser landet bei einem neugierigen Briefträger. Er öffnet ihn und entschließt sich, den Brief spaßeshalber umzuschreiben, bevor er ihn an Jacqueline ausliefert. Das führt dann leider dazu, dass Jacqueline Kevin für den Rest ihres Lebens hasst, nachdem "Kevin" sie nicht eben schmeichelhaft beschrieben hatte.

Ein aktuelles Beispiel wäre ein Hacker, der zwischen Ihnen (und Ihrem Browser) und der Website sitzt, die Sie gerade besuchen. Er fängt alle Daten ab, die Sie an die Website senden und speichert sie, das sind beispielsweise die Anmeldeinformationen oder finanzielle Transaktionsdaten.

Wie funktioniert ein Man-in-the-Middle-Angriff?
Im Laufe der Jahre haben Hacker verschiedene Möglichkeiten für MITM-Angriffe entwickelt. Dazu kommt, dass es inzwischen relativ billig geworden ist, Hacking Tools online zu kaufen. Das zeigt wie einfach es geworden ist, ein Unternehmen zu hacken, wenn man bereit ist ein wenig zu investieren. Hier stellen wir einige gängige Typen von MITM-Angriffen vor. Solche, denen man im Unternehmensumfeld am ehesten begegnet.

E-Mail Hijacking
Ähnlich wie im geschilderten Fall richtet sich diese Taktik primär gegen die E-Mail-Konten großer Unternehmen. Vor allem gegen solche aus der Finanzwirtschaft. Sobald der Hacker Zugang zu wichtigen Konten hat, überwacht er die Transaktionen sorgfältig, um seinen Angriff später möglichst überzeugend zu gestalten. Er wartet beispielsweise auf ein Szenario, in dem der Kunde Geld überweist. Dann antwortet der Hacker, indem er die E-Mail-Adresse des Unternehmens fälscht, und die Bankverbindung des Unternehmens gegen seine eigene austauscht. Der Kunde geht davon aus, dass er das Geld an das betreffende Unternehmen sendet, in Wirklichkeit landet es direkt beim Angreifer.

Es werden aber nicht nur große Unternehmen Opfer dieser Art von Angriffen. In eine ganz ähnliche Situation geriet der Londoner Paul Lupton. Nachdem er sein Haus verkauft hatte, schickte er seine Kontodaten an seinen Anwalt, um den Erlös von über 333.000 Euro zu beanspruchen. Was er nicht wusste war, dass Hacker sich Zugang zu seinen E-Mails verschafft hatten und die Kommunikation bereits überwachten. Diese Gelegenheit ließen sie natürlich nicht ungenutzt verstreichen und schickten im Namen von Lupton schnell eine weitere E-Mail an den Anwalt. Darin wurde der Anwalt gebeten die erste E-Mail zu ignorieren und das Geld auf ein anderes Konto (im Besitz der Hacker) zu überweisen. Der Transfer ging auch tatsächlich auf dem Konto der Hacker ein, aber glücklicherweise erkannte Lupton schnell, was passiert war und konnte den Großteil der Gelder retten. Die meisten Angriffe nehmen leider kein so glückliches Ende.

Lauschangriff auf’s WLAN
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein. Alles, was der Angreifer tun muss, ist darauf zu warten, dass das Opfer sich verbindet. Dann kann er sofort auf das betreffende Gerät zugreifen. Alternativ kann der Angreifer einen gefälschten WLAN-Knoten erstellen, getarnt als legitimer WLAN-Zugangspunkt, um die persönlichen Daten von jedem, der eine Verbindung herstellt, zu stehlen.

Session Hijacking
Wenn Sie sich auf einer Website einloggen, wird eine Verbindung zwischen Ihrem Computer und der Website hergestellt. Hacker hijacken solche Sessions mit verschiedenen Methoden. Zum Beispiel indem sie Browser-Cookies stehlen. Cookies speichern kleine Datenmengen, die das Browsen grundsätzlich bequemer machen sollen. Das können Ihre Online-Aktivitäten, Anmeldeinformationen, vorausgefüllte Formulare und in einigen Fällen, der Standort sein. Gerät ein Hacker an die Log-in-Cookies, kann er sich problemlos selbst einloggen und die Identität übernehmen.

Wie lassen sich Netzwerke vor diesen Angriffen schützen?
MITM-Angriffe sind keine ganz triviale Angelegenheit. Das heißt aber nicht, dass man sie nicht verhindern kann. PKI ist eine der Technologien mit deren Hilfe man sich besser vor solchen Angriffen schützen kann.

S/MIME
Secure/Multipurpose Internet Mail Extensions oder kurz S/MIME verschlüsselt E-Mails im Speicher oder im Transit, um zu gewährleisten, dass nur die tatsächlich dafür vorgesehenen Empfänger sie lesen können und für Hacker kein Raum bleibt sich einzuschleichen und Nachrichten zu ändern.

S/MIME erlaubt zusätzlich E-Mails mit einem digitalen Zertifikat zu signieren, das für jede Person eindeutig ist. Es bindet die virtuelle Identität an die entsprechende E-Mail. Der Empfänger kann so sicher sein, dass die erhaltene E-Mail, tatsächlich von Ihnen stammt (im Gegensatz zu einem Hacker, der auf Ihren Mail-Server zugreift).

Es ist unmittelbar einsichtig, dass diese Methode beim obigen Europol-Beispiel hilfreich gewesen wäre. Obwohl die Hacker auf die Mail-Server des Unternehmens zugreifen konnten, hätten sie auch Zugang zu den privaten Schlüsseln der Mitarbeiter haben müssen. Und diese Schlüssel sind in aller Regel an einem anderen Ort sicher abgespeichert. Digitale Signaturen als Standard einzuführen und die Nutzer zu schulen nur signierten Nachrichten zu vertrauen, trägt dazu bei legitime E-Mails von gefälschten zu unterscheiden.

Zertifikatbasierte Authentifizierung
Hacker wird es immer geben. Aber eine Sache kann man tun. Zertifikatbasierte Authentifizierung macht es einem Hacker praktisch unmöglich in Systeme einzudringen (z. B. WLAN-Netzwerke, E-Mail-Systeme, interne Netzewerke), So können nur die Endpunkte auf Systeme und Netzwerke zugreifen, die über korrekt konfigurierte Zertifikate verfügen. Zertifikate sind benutzerfreundlich (es muss keine zusätzliche Hardware gemanagt werden oder es ist keine groß angelegte Benutzerschulung nötig). Die eigentliche Bereitstellung kann man automatisieren. Das unterstützt die IT-Abteilung und bremst Hacker an dieser Stelle erst Mal aus.

Was ist HTTP-Interception?
HTTP ist das gängigste Internetprotokoll. Die meisten der Dinge, die wir online tun, sind auf HTTP implementiert, vom üblichen Web-Browsing bis zum Instant Messaging. Leider ist die HTTP-Kommunikation ungeschützt und relativ leicht abzufangen. Das macht sie zu einem vorrangigen Ziel für MITM-Angriffe. Wie schon erwähnt, kann ein Angreifer sich zwischen Nutzer und Website schalten, und so die Kommunikation abhören. Das gilt zum Beispiel für alle Daten, die ein Nutzer an die Website schickt. Davon mitbekommen tut er nichts.

Wie verhindert man HTTP Interception?

SSL/TLS-Zertifikate
Wer auf seiner Website immer noch das anfälligere HTTP-Protokoll verwendet, sollte dringend über SSL/TLS-Zertifikate auf das sicherere HTTPS-Protokoll aufrüsten. Ein TLS-Zertifikat aktiviert das HTTPS-Protokoll. Es ermöglicht eine verschlüsselte, sichere Verbindung zwischen dem Server und den Rechnern bestehender und potenzieller Kunden.

Mit einem Organization Validated (OV) oder Extended Validation (EV) Zertifikat lassen sich auch Domain-Namen mit der Unternehmensidentität verbinden. EV-Zertifikate bringen Identitätsinformationen in eine prominente Position: Der Firmenname wird direkt in der URL-Leiste angezeigt. Eine Methode, die dazu beiträgt bei Kunden mehr Vertrauen zu schaffen, dass sie sich auf einer legitimen Unternehmenswebseite befinden.

System- und Serverkonfigurationen
Auf diesen Lorbeeren sollte man sich erwiesenermaßen aber nicht zu lange ausruhen. Wenn TLS funktioniert, sollte man es konfigurieren und dabei darauf achten, dass die Website keinen gemischten Inhalt oder ein Seitenelement enthält, das noch über ein HTTP-Protokoll lädt (z. B. Fotos, Scripts, Widgets). Sonst bleibt für potenzielle Hackerangriffe eine Hintertür offen. Ebenso hat es sich praktisch bewährt alle Links, die von anderen Seiten einbezogen werden, über HTTPS laufen zu lassen. Anmeldeformulare sollten ebenfalls mittels HTTPS-geschützt werden, um das Hijacken von Anmeldeinformationen zu vermeiden. Mozilla macht hier einen guten Job und verhindert, dass Benutzer Formulare unter HTTP ausfüllen: Der Browser zeigt den Warnhinweis "unsichere Verbindung" und ein durchgestrichenes Schlosssymbol. Alle in einer Website enthaltenen Hyperlinks sollten ebenfalls auf das HTTPS-Protokoll zurückgreifen.

Zusätzlich sollten Sie sicherstellen, dass die Server korrekt konfiguriert sind (z. B. gemäß aktuellen Best Practices für Protokolle, Algorithmen, etc.). SSL2-, SSL3- und TLS1-Protokolle sollten deaktiviert sein. Nur TLS 1.1 und 1.2 sollten aktiviert sein. Es gibt etliche weitere Konfigurationselemente zu berücksichtigen. Und nicht zuletzt ändern sich empfohlene Best Practices, wenn wieder neue Schwachstellen aufgedeckt werden. GlobalSigns SSL Server Test ist ein leicht zu bedienendes und gründliches Tool, um sicherzustellen, dass ein Server richtig konfiguriert ist.

HSTS gegenüber HTTPS
Wie oben diskutiert, haben Hacker Wege gefunden, TLS zu umgehen. Auch wenn man beispielsweise eine HTTPS-Verbindung anfordert (z. B. über die Eingabe https://www.example.com eingeben), können Hacker die Anforderung in HTTP ändern, sodass der Nutzer zu http://www.example.com geht und die verschlüsselte Verbindung verhindert wird. Die Implementierung von HTTP Strict Transport Security oder HSTS trägt dazu bei, diese Art von Angriffen zu verhindern. Diese Web-Server-Richtlinie zwingt jeden Webbrowser oder App, eine Verbindung zu HTTPS herzustellen und alle Inhalte zu blockieren, die HTTP verwenden. HSTS verhindert zusätzlich, dass Hacker Daten aus Browser-Cookies extrahieren und verhindert so Session Hijacking. (GlobalSign: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 26.04.17


CyberArk: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorsicht vor Schwachstellen in Apps

    F5 Networks ruft Unternehmen auf, sich intensiver mit der Sicherheit ihrer Web Apps zu befassen. Während sie sich hauptsächlich um die Geschwindigkeit der Entwicklung, Performance und Nutzungsraten kümmern, vergessen sie oft die Absicherung ihrer Anwendungen. "Die gleichen Apps, von denen die Geschäftstätigkeiten abhängen, enthalten häufig auch Schwachstellen, die das Business gefährden", sagt Ralf Sydekum, Technical Manager DACH bei F5 Networks. "Wir sprechen dabei nicht über kleine Fehler, die ausgeklügelte cyberkriminelle Techniken erfordern, sondern über alltägliche Lücken, die Hacker quasi automatisch ausnutzen können. Dieses Szenario ist viel häufiger als die schlagzeilenträchtigen, spektakulären Angriffe." Hacker untersuchen Webseiten in der Regel über automatische Tools auf mögliche Fehler. Die zehn häufigsten bekannten Schwachstellen sind dabei für 85 Prozent der erfolgreichen Angriffe verantwortlich. Daher kann jedes Unternehmen schnell zum Opfer werden. Letztlich gibt es drei mögliche Angriffswege.

  • Typische Stolpersteine in ISMS-Projekten

    In immer mehr Unternehmen steht der Aufbau eines Informationssicherheits-Managementsystems nach der internationalen Norm ISO 27001 ganz vorne auf der strategischen Agenda. Das IT-Sicherheitsgesetz und neue regulative Anforderungen in verschiedenen Branchen unterstützen diese Entwicklung zusätzlich. Allerdings gestalten sich viele ISMS-Projekte schwieriger als erwartet, was nach den Erkenntnissen der TÜV Trust IT häufig ähnliche Ursachen hat. Deshalb hat die TÜV Trust IT typische Stolpersteine zusammengestellt. Nur wenn sich das Top-Management als Befürworter eines ISMS bekennt, kann ein ISMS intern die notwendige und nachhaltige Bedeutung erlangen. Deshalb muss die Geschäftsleitung nicht nur von Beginn an in die Planung einbezogen werden, sondern das Projekt in seinen verschiedenen Etappen auch aktiv begleiten.

  • MongoDB-Ransomware wirkungsvoll abwehren

    In den letzten Jahren hat die Zahl der Ransomware-Angriffe stetig zugenommen. Während zunächst eher private Anwender im Fokus standen, konzentrieren sich Cyberkriminelle bei Ransomware-Angriffen zunehmend auf Unternehmensnetzwerke. Besonders auf MongoDB NoSQL-Datenbanken haben es Hacker in den letzten Monaten abgesehen. Das Sicherheitsunternehmen Trustwave verrät, mit welchen einfachen Handgriffen Unternehmen ihre MongoDB-Datenbanken vor Angriffen schützen können. Je einfacher ein Unternehmensnetzwerk oder eine Netzwerkanwendung zu hacken ist, desto leichter gerät es auch ins Visier von Cyberkriminellen. Und so wurde in den letzten Monaten immer wieder falsch konfigurierte oder unzureichend gesicherte MongoDB NoSQL-Datenbankinstallationen das Ziel von Hackerangriffen.

  • Microsoft-Support für Windows Vista endete

    Am 11. April 2017 endete der Support von Microsoft für das Betriebssystem Windows Vista. Anschließend werden für Windows Vista keine weiteren Updates mehr veröffentlicht, auch wenn noch Fehler oder Sicherheitslücken entdeckt werden sollten. Da öffentlich bekannte Schwachstellen somit nicht mehr geschlossen werden, birgt die weitere Nutzung von Vista hohe Risiken für die IT-Sicherheit, vor allem wenn das betroffene Gerät mit dem Internet verbunden ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Anwendern von Windows Vista, das Betriebssystem nach dem 11. April nicht mehr zu verwenden und möglichst schnell auf ein anderes aktuelles Betriebssystem umzusteigen.

  • Datenverarbeitung auf dem Prüfstand

    Die EU-Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, wird weit reichende Auswirkungen auf Unternehmen und Bürger in Europa und weltweit haben. Doch noch immer sind viele Unternehmen nicht ausreichend auf die neuen Richtlinien vorbereitet. Eset hat einige Tipps zusammengestellt, mit denen IT-Verantwortliche ihr Unternehmen fit für die neuen Vorgaben machen können: Alle wichtigen Entscheidungsträger im Unternehmen sollten sich der Auswirkungen der DSGVO bewusst sein und wissen, was sie für den alltäglichen Betrieb bedeutet. Informieren Sie deshalb auch die Geschäftsführung über die Bedeutung des Themas.