Man in the Middle

Beschreibung

Man in the Middle

Ein MITM-Angriff im Volksmund auch bekannt als Janusangriff, ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet.

Der Angreifer steht dabei entweder physikalisch (z. B. Nachrichtendienste) oder heute meistens logisch (z. B. Hacker) zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann auch die Informationen nach Belieben einsehen und sogar manipulieren. Das gefährliche daran ist, dass der Angreifer den Kommunikationspartnern das jeweilige Gegenüber vortäuschen kann, ohne dass man es merkt.

MITM-Angriff

Dieser Artikel soll keine Anleitung zum Hacken werden, somit wird folgendes Szenario bereits angenommen. Der Hacker hat bereits durch einen Trojaner Vollzugriff auf das Betriebssystem. Somit muss nur noch der Proxyserver vom Betriebssystem gesetzt werden und der gesamte Datentransfer wird umgeleitet (siehe Screenshot 1Man in the Middle
(Janusangriff)). Natürlich gibt es noch weitere Möglichkeiten den Datentransfer umzuleiten (z. B. DHCP-Server -> Standardgateway).

Somit ist es möglich den Datentransfer zu loggen und evtl. im Nachhinein auch zu entschlüsseln. Verbindungen wie z. B. HTTP oder FTP sollten aus Sicherheitsgründen nicht mehr verwendet werden, da diese Verbindungen nicht verschlüsselt sind und somit werden auch die Zugangsdaten wie Benutzername und Passwort in Textform gesendet.

Auf der sicheren Seite ist man, wenn HTTPS oder auch SFTP verwendet wird. Sollte auch dieser Datentransfer mitgeloggt werden, ist es immerhin ein großer Aufwand (z. B. Rechenleistung, Zeitaufwand, Stromverbrauch) um die Verschlüsselung im Nachhinein zu entschlüsseln. Aufgrund der dadurch entstehenden Zeitverzögerung sind ein großer Teil der Informationen bereits wertlos (z. B. Sessions, Transaktionen).

Für eine sichere Verbindung zu einem Server, sollte unbedingt eine SSH-Verbindung (Port 22) verwendet werden. Eine weitere Sicherheit bietet ein zusätzliches VPN (Virtual Private Network).

MITM-Angriff erkennen

In der Theorie ist es möglich einen MITM-Angriff zu erkennen, jedoch sieht dies in der Praxis etwas anders aus. Einen MITM-Angriff erkennt man dadurch, dass die Antwortzeiten der Server ansteigen (z. B. PING). Die Internetlinie wird somit langsamer, da der gesamte Datentransfer über einen Proxyserver geleitet wird. In der Praxis hängen jedoch die Antwortzeiten des Servers von verschiedene Faktoren ab (z. B. Serverlast, Linienlast).

Um einen MITM-Angriff zu erkennen, benötigt man z. B. den Mittelwert der Antwortzeiten eines Servers, jedoch bevor der MITM-Angriff erfolgt ist.

Mit dem Befehl "PING" ist ein MITM-Angriff schwer zu entdecken, da die Pakete die gesendet werden relativ klein sind (siehe Screenshot 2Screenshot 2
(Ping)). Eine bessere Möglichkeit ist die Internetlinie mit einem Speedtest zu kontrollieren (siehe Screenshot 3Screenshot 3
(ohne Proxy)). In diesem Beispiel sieht man, wie die eigene Internetlinie durch den Proxyserver langsamer wird (siehe Screenshot 4Screenshot 4
(mit Proxy)).

Wenn die Internetlinie eine statische IP-Adresse besitzt, so ist dies auch ein Anzeichen, dass mit deiner Verbindung etwas nicht stimmt, wenn die aktuelle IP-Adresse nicht mit der statischen IP-Adresse übereinstimmt. Da über einen Proxyserver die Verbindung zum Internet aufgebaut wird und dieser hat natürlich eine andere IP-Adresse.

Eine weitere Möglichkeit um einen MITM-Angriff zu entdecken, wäre wenn der Proxyserver fehlerhaft konfiguriert wurde. Somit könnte es sein, dass einige Ports oder Protokolle (z. B. SSH, SFTP, FTP usw.) nicht weitergeleitet werden. Jedoch wenn bereits eine MITM-Angriff gelungen ist, kann man davon ausgehen, dass der Proxyserver einwandfrei konfiguriert ist.

Fazit

Wie bereits erwähnt ist es für einen Internetbenutzer bzw. auch für Spezialisten nicht möglich bzw. sehr schwer eine solche Attacke zu erkennen. Ob ein Proxyserver dazwischengeschaltet wurde, kann man evtl. auch daran erkennen, dass deine IP-Adresse nicht übereinstimmt bzw. auch das Herkunftsland (siehe Tipps).

• Wie ist meine IP-Adresse

Seit einiger Zeit ist der Datentransfer standardmäßig bei den meisten Anbietern verschlüsselt und es ist auch nicht mehr möglich ohne Verschlüsselung auf die Dienste zuzugreifen (z. B. Online-Banking, Apps, Google, YouTube).

Fotos

• 

  Man in the Middle
  (Janusangriff)

• 

  Screenshot 1
  (Systemproxy)

• 

  Screenshot 2
  (Ping)

• 

  Screenshot 3
  (ohne Proxy)

• 

  Screenshot 4
  (mit Proxy)

Tipps

• Das Betriebssystem immer auf dem aktuellsten Stand halten, gilt natürlich auch für das Antivirenprogramm.
• Wenn möglich, immer eine verschlüsselte Verbindung verwenden.
• Keinen Benutzernamen und kein Passwort mehrmals verwenden.
• Darauf achten, dass immer eine sichere HTTPS-Verbindung (TLS) aufgebaut wurde.
• Nicht vergessen sich bei einer Anmeldung wieder abzumelden, somit wird die bestehende Session geschlossen (z. B. Online-Banking).
• Ein Virtual Private Network (VPN) verwenden.
• Jeder Anbieter eines WLANs kann theoretisch den Datentransfer mitloggen. Sollte dieser nicht verschlüsselt sein, kann er auch direkt in Echtzeit mitlesen.

Stromverbrauch

An diesem Beispiel kann man deutlich erkennen, an welchen zwei Monate versucht wurde, verschiedene Verschlüsselungen zu entschlüsseln. Der Stromverbrauch des Servers steigt rapide an (CPU-Auslastung).

Informationen

Autor

• Bacher Oliver

Artikeldatum

• Oktober 2016 (März 2011)

(*) Datum des Artikels im alten TechnikWiki.

Kommentare

Fehler:
Die Felder "Name" und "Kommentar" müssen ausgefüllt werden und bitte bestätige, dass du kein Roboter (siehe Hilfe: Captcha) bist.

Information:
Der Kommentar wurde erfolgreich abgesendet und wird demnächst freigeschaltet.

Name:		Webseite:
Kommentar: