- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Konzept eines MITM-Angriffs ist simpel


Was ein Man-in-the-Middle-Angriff ist und wie man ihn verhindert
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein

- Anzeigen -





2015 hat eine Gruppe von Cyberkriminellen in Belgien insgesamt 6 Millionen Euro erbeutet, indem sie sich durch mittelständische und große europäische Unternehmen hackten. Die Hacker verschafften sich Zugang zu den E-Mail-Konten der betroffenen Unternehmen und benutzten die Accounts dann um Zahlungsaufforderungen zu übernehmen. Laut der offiziellen Pressemitteilung von Europol waren Malware- und Social-Engineering-Techniken der Modus operandi. Mit dem Zugriff auf die Konten war es den Hackern gleichzeitig möglich, die Kommunikation zu überwachen, Zahlungsforderungen zu erkennen und zu übernehmen. Diese beeindruckende Demonstration ist ein Paradebeispiel für einen Man-in-the-Middle-Angriff. Tatsache ist, dass jedes Unternehmen leicht eines dieser europäischen Unternehmen hätte sein können.

Was ist ein Man-in-the-Middle (MITM) -Angriff?
Ein MITM-Angriff liegt vor, wenn die Kommunikation zwischen zwei Systemen von einer außen stehenden Partei abgefangen wird. Das kann bei jeder Form von Online-Kommunikation, egal ob über E-Mail, Social Media, Web etc., passieren. Dabei belauschen Hacker nicht nur private Konversationen. Vielmehr sind sämtliche auf dem betreffenden Gerät befindliche Informationen von Interesse.

Lässt man alle technischen Einzelheiten beiseite, kann man das Konzept eines MITM-Angriffs in einem simplen Szenario beschreiben. Versetzen wir uns wieder in vergangene Tage zurück, in eine Zeit als Snail Mail noch weit verbreitet war. Kevin schreibt einen Brief an Jacqueline, in dem er seine Liebe für sie ausdrückt, nachdem er jahrelang mit seinen Gefühlen hinter dem Berg gehalten hatte. Er schickt den Brief ab und dieser landet bei einem neugierigen Briefträger. Er öffnet ihn und entschließt sich, den Brief spaßeshalber umzuschreiben, bevor er ihn an Jacqueline ausliefert. Das führt dann leider dazu, dass Jacqueline Kevin für den Rest ihres Lebens hasst, nachdem "Kevin" sie nicht eben schmeichelhaft beschrieben hatte.

Ein aktuelles Beispiel wäre ein Hacker, der zwischen Ihnen (und Ihrem Browser) und der Website sitzt, die Sie gerade besuchen. Er fängt alle Daten ab, die Sie an die Website senden und speichert sie, das sind beispielsweise die Anmeldeinformationen oder finanzielle Transaktionsdaten.

Wie funktioniert ein Man-in-the-Middle-Angriff?
Im Laufe der Jahre haben Hacker verschiedene Möglichkeiten für MITM-Angriffe entwickelt. Dazu kommt, dass es inzwischen relativ billig geworden ist, Hacking Tools online zu kaufen. Das zeigt wie einfach es geworden ist, ein Unternehmen zu hacken, wenn man bereit ist ein wenig zu investieren. Hier stellen wir einige gängige Typen von MITM-Angriffen vor. Solche, denen man im Unternehmensumfeld am ehesten begegnet.

E-Mail Hijacking
Ähnlich wie im geschilderten Fall richtet sich diese Taktik primär gegen die E-Mail-Konten großer Unternehmen. Vor allem gegen solche aus der Finanzwirtschaft. Sobald der Hacker Zugang zu wichtigen Konten hat, überwacht er die Transaktionen sorgfältig, um seinen Angriff später möglichst überzeugend zu gestalten. Er wartet beispielsweise auf ein Szenario, in dem der Kunde Geld überweist. Dann antwortet der Hacker, indem er die E-Mail-Adresse des Unternehmens fälscht, und die Bankverbindung des Unternehmens gegen seine eigene austauscht. Der Kunde geht davon aus, dass er das Geld an das betreffende Unternehmen sendet, in Wirklichkeit landet es direkt beim Angreifer.

Es werden aber nicht nur große Unternehmen Opfer dieser Art von Angriffen. In eine ganz ähnliche Situation geriet der Londoner Paul Lupton. Nachdem er sein Haus verkauft hatte, schickte er seine Kontodaten an seinen Anwalt, um den Erlös von über 333.000 Euro zu beanspruchen. Was er nicht wusste war, dass Hacker sich Zugang zu seinen E-Mails verschafft hatten und die Kommunikation bereits überwachten. Diese Gelegenheit ließen sie natürlich nicht ungenutzt verstreichen und schickten im Namen von Lupton schnell eine weitere E-Mail an den Anwalt. Darin wurde der Anwalt gebeten die erste E-Mail zu ignorieren und das Geld auf ein anderes Konto (im Besitz der Hacker) zu überweisen. Der Transfer ging auch tatsächlich auf dem Konto der Hacker ein, aber glücklicherweise erkannte Lupton schnell, was passiert war und konnte den Großteil der Gelder retten. Die meisten Angriffe nehmen leider kein so glückliches Ende.

Lauschangriff auf’s WLAN
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein. Alles, was der Angreifer tun muss, ist darauf zu warten, dass das Opfer sich verbindet. Dann kann er sofort auf das betreffende Gerät zugreifen. Alternativ kann der Angreifer einen gefälschten WLAN-Knoten erstellen, getarnt als legitimer WLAN-Zugangspunkt, um die persönlichen Daten von jedem, der eine Verbindung herstellt, zu stehlen.

Session Hijacking
Wenn Sie sich auf einer Website einloggen, wird eine Verbindung zwischen Ihrem Computer und der Website hergestellt. Hacker hijacken solche Sessions mit verschiedenen Methoden. Zum Beispiel indem sie Browser-Cookies stehlen. Cookies speichern kleine Datenmengen, die das Browsen grundsätzlich bequemer machen sollen. Das können Ihre Online-Aktivitäten, Anmeldeinformationen, vorausgefüllte Formulare und in einigen Fällen, der Standort sein. Gerät ein Hacker an die Log-in-Cookies, kann er sich problemlos selbst einloggen und die Identität übernehmen.

Wie lassen sich Netzwerke vor diesen Angriffen schützen?
MITM-Angriffe sind keine ganz triviale Angelegenheit. Das heißt aber nicht, dass man sie nicht verhindern kann. PKI ist eine der Technologien mit deren Hilfe man sich besser vor solchen Angriffen schützen kann.

S/MIME
Secure/Multipurpose Internet Mail Extensions oder kurz S/MIME verschlüsselt E-Mails im Speicher oder im Transit, um zu gewährleisten, dass nur die tatsächlich dafür vorgesehenen Empfänger sie lesen können und für Hacker kein Raum bleibt sich einzuschleichen und Nachrichten zu ändern.

S/MIME erlaubt zusätzlich E-Mails mit einem digitalen Zertifikat zu signieren, das für jede Person eindeutig ist. Es bindet die virtuelle Identität an die entsprechende E-Mail. Der Empfänger kann so sicher sein, dass die erhaltene E-Mail, tatsächlich von Ihnen stammt (im Gegensatz zu einem Hacker, der auf Ihren Mail-Server zugreift).

Es ist unmittelbar einsichtig, dass diese Methode beim obigen Europol-Beispiel hilfreich gewesen wäre. Obwohl die Hacker auf die Mail-Server des Unternehmens zugreifen konnten, hätten sie auch Zugang zu den privaten Schlüsseln der Mitarbeiter haben müssen. Und diese Schlüssel sind in aller Regel an einem anderen Ort sicher abgespeichert. Digitale Signaturen als Standard einzuführen und die Nutzer zu schulen nur signierten Nachrichten zu vertrauen, trägt dazu bei legitime E-Mails von gefälschten zu unterscheiden.

Zertifikatbasierte Authentifizierung
Hacker wird es immer geben. Aber eine Sache kann man tun. Zertifikatbasierte Authentifizierung macht es einem Hacker praktisch unmöglich in Systeme einzudringen (z. B. WLAN-Netzwerke, E-Mail-Systeme, interne Netzewerke), So können nur die Endpunkte auf Systeme und Netzwerke zugreifen, die über korrekt konfigurierte Zertifikate verfügen. Zertifikate sind benutzerfreundlich (es muss keine zusätzliche Hardware gemanagt werden oder es ist keine groß angelegte Benutzerschulung nötig). Die eigentliche Bereitstellung kann man automatisieren. Das unterstützt die IT-Abteilung und bremst Hacker an dieser Stelle erst Mal aus.

Was ist HTTP-Interception?
HTTP ist das gängigste Internetprotokoll. Die meisten der Dinge, die wir online tun, sind auf HTTP implementiert, vom üblichen Web-Browsing bis zum Instant Messaging. Leider ist die HTTP-Kommunikation ungeschützt und relativ leicht abzufangen. Das macht sie zu einem vorrangigen Ziel für MITM-Angriffe. Wie schon erwähnt, kann ein Angreifer sich zwischen Nutzer und Website schalten, und so die Kommunikation abhören. Das gilt zum Beispiel für alle Daten, die ein Nutzer an die Website schickt. Davon mitbekommen tut er nichts.

Wie verhindert man HTTP Interception?

SSL/TLS-Zertifikate
Wer auf seiner Website immer noch das anfälligere HTTP-Protokoll verwendet, sollte dringend über SSL/TLS-Zertifikate auf das sicherere HTTPS-Protokoll aufrüsten. Ein TLS-Zertifikat aktiviert das HTTPS-Protokoll. Es ermöglicht eine verschlüsselte, sichere Verbindung zwischen dem Server und den Rechnern bestehender und potenzieller Kunden.

Mit einem Organization Validated (OV) oder Extended Validation (EV) Zertifikat lassen sich auch Domain-Namen mit der Unternehmensidentität verbinden. EV-Zertifikate bringen Identitätsinformationen in eine prominente Position: Der Firmenname wird direkt in der URL-Leiste angezeigt. Eine Methode, die dazu beiträgt bei Kunden mehr Vertrauen zu schaffen, dass sie sich auf einer legitimen Unternehmenswebseite befinden.

System- und Serverkonfigurationen
Auf diesen Lorbeeren sollte man sich erwiesenermaßen aber nicht zu lange ausruhen. Wenn TLS funktioniert, sollte man es konfigurieren und dabei darauf achten, dass die Website keinen gemischten Inhalt oder ein Seitenelement enthält, das noch über ein HTTP-Protokoll lädt (z. B. Fotos, Scripts, Widgets). Sonst bleibt für potenzielle Hackerangriffe eine Hintertür offen. Ebenso hat es sich praktisch bewährt alle Links, die von anderen Seiten einbezogen werden, über HTTPS laufen zu lassen. Anmeldeformulare sollten ebenfalls mittels HTTPS-geschützt werden, um das Hijacken von Anmeldeinformationen zu vermeiden. Mozilla macht hier einen guten Job und verhindert, dass Benutzer Formulare unter HTTP ausfüllen: Der Browser zeigt den Warnhinweis "unsichere Verbindung" und ein durchgestrichenes Schlosssymbol. Alle in einer Website enthaltenen Hyperlinks sollten ebenfalls auf das HTTPS-Protokoll zurückgreifen.

Zusätzlich sollten Sie sicherstellen, dass die Server korrekt konfiguriert sind (z. B. gemäß aktuellen Best Practices für Protokolle, Algorithmen, etc.). SSL2-, SSL3- und TLS1-Protokolle sollten deaktiviert sein. Nur TLS 1.1 und 1.2 sollten aktiviert sein. Es gibt etliche weitere Konfigurationselemente zu berücksichtigen. Und nicht zuletzt ändern sich empfohlene Best Practices, wenn wieder neue Schwachstellen aufgedeckt werden. GlobalSigns SSL Server Test ist ein leicht zu bedienendes und gründliches Tool, um sicherzustellen, dass ein Server richtig konfiguriert ist.

HSTS gegenüber HTTPS
Wie oben diskutiert, haben Hacker Wege gefunden, TLS zu umgehen. Auch wenn man beispielsweise eine HTTPS-Verbindung anfordert (z. B. über die Eingabe https://www.example.com eingeben), können Hacker die Anforderung in HTTP ändern, sodass der Nutzer zu http://www.example.com geht und die verschlüsselte Verbindung verhindert wird. Die Implementierung von HTTP Strict Transport Security oder HSTS trägt dazu bei, diese Art von Angriffen zu verhindern. Diese Web-Server-Richtlinie zwingt jeden Webbrowser oder App, eine Verbindung zu HTTPS herzustellen und alle Inhalte zu blockieren, die HTTP verwenden. HSTS verhindert zusätzlich, dass Hacker Daten aus Browser-Cookies extrahieren und verhindert so Session Hijacking. (GlobalSign: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 26.04.17


CyberArk: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorhandene Sicherheitseinstellungen aktivieren

    Oft findet der Router erst dann Beachtung, wenn das WLAN nicht funktioniert. Beim Schutz ihrer Geräte vor Hackern und Malware wird das Gerät hingegen häufig vergessen. Denn was Sicherheitseinstellungen betrifft, bekommen Heimanwender nicht immer ein Rundum-Sorglos-Paket mitgeliefert. Ungeschützt kann ein Router Angreifern Tür und Tor öffnen. Dabei tragen schon einige Maßnahmen dazu bei, die Sicherheit des Heimnetzwerks enorm zu verbessern. Eset gibt Tipps, wie Nutzer ihren Router sichern und so ihre Geräte und persönliche Daten noch besser schützen können.

  • Ransomware & Sicherheit am Arbeitsplatz

    Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Stormshield informiert auf seinem Unternehmensblog über die perfiden Maschen der Angreifer und gibt nützliche Tipps zur Abwehr von betrügerischer Schadsoftware (Malware).

  • Fake-Profile und Schadsoftware

    Wer auf einen Treffer von Amors Pfeil wartet, sucht sein Glück inzwischen oft online, insbesondere bei Dating-Apps. Nicht umsonst gilt LOVOO als die aktuell erfolgreichste iPhone-App in Deutschland. Laut Bitkom nutzen rund 47 Prozent der Deutschen ihr Smartphone für den Onlineflirt, 42 Prozent ihr Tablet und immerhin noch 34 Prozent suchen mit dem Laptop nach einem potentiellen Partner. Doch beim heißen Online-Flirt gibt es einiges zu beachten, damit die Partnersuche so sicher wie möglich verläuft. Eset gibt Tipps, damit aus der vermeintlichen großen Liebe keine böse Überraschung wird.

  • Gezielte Lobbyarbeit der Elektrobranche?

    "Müssen wir Brandschutzschalter im RZ installieren und/oder nachrüsten? Wie viele und an welchen Stellen?" Diese Frage stellen sich mehr und mehr Rechenzentrumsbetreiber und -verantwortliche, die durch den zurzeit zu beobachtenden Hype rund um diese Sicherheitstechnik verunsichert sind. Die Antwort der von zur Mühlen'sche Sicherheitsberatung aus Bonn (kurz: VZM) lautet: in zwingender Weise KEINE.

  • Was macht Cybersecurity so kompliziert?

    Spätestens nach den jüngsten Schwachstellen Spectre und Meltdown weiß jeder, dass das Thema Cybersecurity nie an Präsenz verliert und jeden betrifft. Dies gilt nicht nur für Unternehmen, sondern auch für Privatanwender: Cyberkriminelle erfassen Passwörter noch während des Tippens, installieren Malware und fangen so sämtliche Daten unbemerkt ab. Oder sie spähen über Browserdaten Kreditkartendaten und Logins aus. Doch was macht Cybersecurity so kompliziert? Im Falle von Spectre und Meltdown handelt es sich zwar um Schwachstellen in Prozessoren. Doch in vielen anderen Fällen verstehen User die komplexen Methoden, die Kriminelle anwenden, um an geschäftskritische Daten zu gelangen. Sie tendieren jedoch dazu, das tatsächliche Risiko von Angriffen herunterzuspielen. Es ist ein ewiger Kreislauf: Der Endanwender fühlt sich durch die IT-Vorrichtungen geschützt und der IT-Verantwortliche schätzt den User als wachsamer und vorsichtiger ein, als er tatsächlich ist.