Ursprung des Man-in-the-Middle-Angriffs

Der Begriff „Man-in-the-Middle“ stammt aus der analogen Welt der Kommunikation, wo die Idee des Abhörens und Manipulierens von Nachrichten seit jeher existiert. Mit der Digitalisierung und dem Wachstum des Internets adaptierten Cyberkriminelle diese Taktik, um Datenverkehr in digitalen Netzwerken zu kompromittieren.

Wie führt man einen Man-in-the-Middle-Angriff aus?

Ein Man-in-the-Middle-Angriff kann auf verschiedene Weisen stattfinden:

1. ARP-Spoofing: Hier sendet ein Angreifer gefälschte ARP-Nachrichten (Address Resolution Protocol) in ein lokales Netzwerk. Dies kann dazu führen, dass Netzwerkgeräte den Angreifer als legitimes Mitglied des Netzwerks ansehen, was ihm ermöglicht, den Datenverkehr abzufangen.
   
2. DNS-Spoofing: Bei diesem Angriff manipuliert der Hacker die DNS-Antworten und leitet das Opfer auf eine bösartige Webseite um.
   
3. Wi-Fi-Eavesdropping: Öffentliche Wi-Fi-Netzwerke bieten oft wenig Sicherheit. Angreifer können sich in solchen Netzwerken positionieren und den Datenverkehr unbemerkt abhören.
   
4. SSL-Stripping: Dabei entfernt der Angreifer das SSL-Zertifikat einer Webseite und macht sie unsicher. Das Opfer denkt, es kommuniziert sicher, während der Hacker die Daten im Klartext abfangen kann.

Schutzmaßnahmen gegen MITM-Angriffe

Sicherheit gegenüber MITM-Angriffen erfordert mehrere Schritte:

1. Verschlüsselung: Die Nutzung von HTTPS sorgt dafür, dass Daten verschlüsselt übertragen werden. Websites mit HTTPS verwenden SSL/TLS-Zertifikate, um eine sichere Verbindung zu gewährleisten.
   
2. VPN: Ein Virtual Private Network (VPN) verschlüsselt den gesamten Datenverkehr zwischen einem Gerät und dem Internet, was den Datenverkehr vor neugierigen Blicken schützt.
   
3. Authentifizierung: Zweifaktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene, da sie verlangt, dass Benutzer zwei unterschiedliche Identifizierungsmethoden verwenden.
   
4. Sichere Wi-Fi-Verbindungen: Vermeiden von öffentlichen Wi-Fi-Netzwerken oder die Nutzung eines VPNs, wenn man sich in solchen Netzwerken aufhält.
   
5. Überprüfung von Zertifikaten: Stellen Sie sicher, dass Websites ein gültiges SSL-Zertifikat haben und keine Warnmeldungen im Browser angezeigt werden.
   
6. SSH (Secure Shell) Bietet eine Möglichkeit, durch Fingerabdruck („fingerprint“) nach dem erstmaligen Anmelden („login“) zu prüfen, ob man tatsächlich den Zielrechner erreicht hat.
   
7. TLS (Transport Layer Security): Bei HTTPS eingesetztes TLS basiert auf Zertifikaten, bestehend aus einem Schlüsselpaar und weiteren Informationen. Vertrauenswürdige Zertifizierungsstellen signieren dieses Zertifikat, nachdem sie die Identität des Antragstellers überprüft haben. TLS verschlüsselt die Übertragung und sichert die Authentizität der beteiligten Parteien. Jedoch sind Manipulationen in den Systemen der Parteien, etwa durch Malware, nicht erkennbar. Ein Risiko besteht auch, wenn die Zertifizierungsstelle mit einem Angreifer zusammenarbeitet. Dies ermöglicht dem Angreifer, unbemerkt zu lauschen oder Inhalte vorzutäuschen. Eine manuelle Zertifikatsprüfung, beispielsweise durch Abgleich des Fingerabdrucks, verhindert solche Angriffe.
   
8. Integrity Protection im UMTS Radio Access Network Fügt jeder Nachricht einen Message Authentication Code (MAC) hinzu. Dieser Code basiert auf einer vorherigen Vereinbarung zwischen Netz und Nutzer. Nur wenn der empfangene MAC den Erwartungen des Empfängers entspricht, erkennt und verarbeitet das System die Nachricht als gültig.
   
9. Zwei-Kanal-Verifizierung: Mit der Mobile TAN (mTAN) wird dem Nutzer über einen zweiten Kanal, meistens das Mobiltelefon, eine spezifische TAN per SMS für die aktuelle Transaktion (z.B. Überweisung) zugesandt. Dies enthält oft auch Empfängerdaten, sodass der Nutzer beide Kanäle zur Bestätigung nutzen kann, um Betrugsversuche zu erkennen. Dennoch müssen Nutzer vorsichtig sein: Trojaner könnten Zugangskennungen und PINs ausspionieren, wodurch der Account für Man-in-the-Middle-Angriffe oder andere unberechtigte Zugriffe anfällig wird. Vor allem bei Smartphones besteht die Gefahr, dass unter dem Vorwand einer Software-Aktualisierung Malware installiert wird, die mTANs unbemerkt weiterleitet.
   
   Beim 2006 eingeführten eTAN-Verfahren, auch als TAN-Generator bekannt, gibt der Nutzer Empfängerdaten ein, woraufhin basierend auf verschiedenen Kriterien eine TAN generiert und angezeigt wird. Diese kurzzeitig gültige TAN wird dann eingegeben. Während Nutzer Übertragungsmanipulationen nicht bemerken können, kann die Bank die Gültigkeit der TAN in Bezug auf eingegebene Daten und Übermittlungszeitpunkt prüfen.
   
10. Firewall: Eine Firewall kann in bestimmten Szenarien zur Abwehr von Man-in-the-Middle (MITM) Angriffen beitragen, aber sie ist nicht das primäre Mittel zur Verhinderung solcher Angriffe.
    
    Wie eine Firewall helfen kann und ihre Grenzen:
    Netzwerksegmentierung: Firewalls überwachen durch Netzwerksegmentierung den Datenverkehr und blockieren potenziellen MITM-Verkehr.
    IDPS-Funktionen: Moderne Firewalls besitzen IDPS, die ungewöhnlichen Verkehr erkennen und bei erkennbaren Mustern MITM-Angriffe abwehren können.
    Blockieren unsicherer Verbindungen: Firewalls verhindern unsichere, nicht verschlüsselte Verbindungen und verringern so das MITM-Risiko.
    
    Grenzen der Firewall:
    Verschlüsselter Datenverkehr: Standard-Firewalls können manipulierten verschlüsselten Verkehr ohne DPI nicht erkennen.
    TLS-Zertifikatsausspähungen: Trotz Inspektion des verschlüsselten Verkehrs bleiben bestimmte MITM-Techniken schwer identifizierbar.
    Außerhalb des Netzwerks: Bei Angriffen außerhalb des von der Firewall geschützten Netzwerks fehlt der Schutz.

Fazit

Der Man-in-the-Middle-Angriff gehört zu den gefährlichsten Cyber-Bedrohungen. Ein bewusster Umgang mit digitalen Kommunikationsmitteln, die Kenntnis der Risiken und die Anwendung grundlegender Sicherheitspraktiken können jedoch dazu beitragen, das Risiko solcher Angriffe erheblich zu reduzieren. Es bleibt essentiell, stets auf dem Laufenden zu bleiben und Sicherheitsprotokolle regelmäßig zu überprüfen.

Der Beitrag Man-in-the-Middle-Angriff – Angriffen einen Schritt voraus erschien zuerst auf CEOsBay.

Geschichte und Entstehung

Die steigende Anzahl von Phishing-Angriffen und E-Mail-Spoofing führte zur Notwendigkeit, E-Mail-Authentifizierungssysteme zu entwickeln, die diese Bedrohungen bekämpfen können. DMARC entstand 2012 als Initiative führender E-Mail-Provider und Technologieunternehmen, darunter Google, Yahoo, Microsoft und Facebook. Diese Akteure erkannten die Notwendigkeit eines standardisierten Verfahrens zur E-Mail-Authentifizierung und arbeiteten gemeinsam an der Entwicklung. Mehr Informationen erhält man auf der offiziellen Seite.

Wie funktioniert es?

Es baut auf den bereits bestehenden Authentifizierungsstandards SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf. Es ermöglicht Domaininhabern, eine Richtlinie für den Umgang mit E-Mails zu veröffentlichen, die nicht die Authentifizierungstests von SPF oder DKIM bestehen.

Ein Beispiel: Ein Cyberkrimineller versucht, eine gefälschte E-Mail von einer vertrauenswürdigen Domain zu senden. Wenn diese Domain DMARC implementiert hat, wird die E-Mail entweder in den Spam-Ordner verschoben oder komplett abgelehnt, je nach der festgelegten DMARC-Richtlinie.

Einen besseren Überblick über die Funktionsweise finden man auf dieser Seite.

DMARC richtig implementieren

1. SPF und DKIM einrichten: Bevor man es implementieren kann, muss man SPF und DKIM für die spezifischen Domains aufgesetzt werden.
2. DMARC-Datensatz erstellen: Man muss einen Datensatz im DNS der Domain erstellen. Dieser Datensatz beginnt in der Regel mit „v=DMARC1“.
3. DMARC-Richtlinie festlegen: Man muss entschieden, was mit nicht authentifizierten E-Mails geschehen soll: Abweisung (p=reject), Quarantäne (p=quarantine) oder keine Aktion (p=none).
4. Berichterstattung aktivieren: Durch das Aktivieren der Berichterstattung erhalten Domaininhaber regelmäßige Updates über den Status ihrer E-Mail-Authentifizierung.

Wichtige Hinweise bei der Implementierung

• Langsam starten: Zu Beginn wird die DMARC-Richtlinie p=none verwendet, um Einblick in die Berichterstattung zu bekommen, bevor strengere Maßnahmen ergriffen werden.
• Konsistenz ist entscheidend: Alle ausgehenden E-Mail-Quellen sollten SPF, DKIM und DMARC korrekt implementieren.
• Regelmäßige Überprüfung: Man sollte die Berichte kontinuierlich überwachen, um potenzielle Probleme oder Auffälligkeiten frühzeitig zu erkennen und Gegenmaßnahmen bzw. Präventivmaßnahmen einzuleiten.

Fazit

DMARC bietet einen wirksamen Schutz gegen E-Mail-basierte Bedrohungen und stellt sicher, dass Kommunikation authentisch bleibt. Die Implementierung erfordert eine sorgfältige Planung und Überwachung, aber die Vorteile in Bezug auf Sicherheit und Vertrauenswürdigkeit überwiegen deutlich. Mit den in diesem Artikel genannten Tipps und Hinweisen lässt es sich verhältnismäßig einfach bzw. effizient umsetzen und ein verbessertes E-Mail-Schutzniveau erreichen.

Der Beitrag DMARC – Bullet Proof E-Mails erschien zuerst auf CEOsBay.