View Static Version
Loading

Man-in-the-Middle EEN VEILIG DIGITAAL SPECIAL

Via een Man-in-the-Middle-aanval kunnen kwaadwillenden heimelijk communicatie tussen een client en server aftappen om gegevens te stelen of aan te passen.

Het is lastig om ze te detecteren, maar ze kunnen relatief eenvoudig worden voorkomen.

Als een aanvaller de communicatie tussen twee partijen opvangt om het verkeer tussen de twee aan te passen ofwel af te luisteren, noemen we dat een man-in-the-middel-aanval (MitM). Ze gebruiken MiTM om inloggegevens of persoonlijke informatie te stelen, het slachtoffer te bespioneren of om informatie of communicatie te saboteren.

Hoewel MitM kan worden voorkomen met versleuteling, is het erg moeilijk om zo'n aanval op te merken, omdat aanvallers verkeer omleiden naar phishingsites die er uitzien als legitieme portals of eenmaal veroverd verkeer naar zijn gewenste doel te leiden, zodat een eindgebruiker er niets van merkt.

Zo werkt het

MitM-aanvallen zijn een van de oudste netwerkebaseerde aanvallen. Informaticadeskundigen kijken als sinds begin jaren 80 naar manieren om communicatie te beveiligen tegen kwaadwillenden die op deze manier aan het verkeer komen.

Het manipuleren van verkeer kan via legitieme netwerken of door een netwerk aan te maken dat stiekem van de aanvaller is. Versleuteld verkeer wordt gestript om gegevens te stelen of verkeer om te leiden. Omdat verkeer stilletjes wordt geobserveerd of opnieuw wordt voorzien van versleuteling, is het lastig op te merken dat er iets niet in de haak is.

Er zijn verschillende MitM-technieken en aanvallers kiezen deze op basis van het beoogde doel. Met bijvoorbeeld SSL-stripping maken aanvallers een HTTPS-verbinding aan tussen zichzelf en de server, maar een oversleutelde tussen zichzelf en de client. Dat betekent dat de eindgebruiker informatie in platte tekst verzendt. Een Evil Twin-aanval bootst een legitiem accesspoint na, maar wordt beheerd door iemand die alle verzonden informatie, zoals inloggegevens en andere sessiedata, kan monitoren en manipuleren.

Bij bijvoorbeeld bankverkeer kan een aanvaller zien wat een eindgebruiker doet en bijvoorbeeld aanpassen naar welke rekening geld wordt overgemaakt. Of aanvallers kunnen de MitM gebruiken om persoonlijke data of inloggegevens af te romen. Of ze kunnen applicaties die worden gedownload vervangen door hun eigen versie met malware. De exploitkit EvilGrade is specifiek ontworpen om misbruik te maken van slecht beveiligde updatekanalen. Om dat deze vaak verkeer niet versleutelen, zijn mobiele apparaten vooral vatbaar voor dit scenario.

"Dit soort aanval is makkelijk te automatiseren", vertelt Johannes Ullrich, hoofdonderzoeker bij het SANS Technology Institute. "Er zijn tools die dit automatiseren en op zoek gaan naar wachtwoorden om naar een bestand te schrijven zodra ze er eentje zien, of die wachten op specifieke requests, zoals voor een download, om malafide verkeer terug te sturen."

Hoewel dit soort aanvallen op Wi-Fi of een bedraad netwerk vereisen dat je je dicht bij het slachtoffer of doelnetwerk bevindt, zijn er ook manieren om op afstand routeringsprotocollen te misbruiken. "Dat is een moeilijkere en geavanceerdere aanval", legt Ullrich uit. "Aanvallers kunnen zich dan aan backbonerouters bekendmaken als beheerder van IP-adressen en het internet routeert dan dit verkeer naar de aanvaller, die een MitM-aanval kan uitvoeren."

"Ze kunnen ook de DNS-instellingen van een specifiek domein wijzigen, het zogenoemde DNS-spoofing", licht hij toe. "Dus als je naar een bepaalde website denkt te gaan, koppel je eigenlijk met het IP-adres dat de aanvaller heeft geleverd en op die manier kun je in een MitM-valstrik lopen."

Het is mogelijk om een MitM-aanval op te zetten met valse telefoonmasten om bellers om te leiden via eigen netwerken. Dit gebeurt bijvoorbeeld onder meer in het Verenigd Koninkrijk, Canada en de VS waar autoriteiten nepmasten inzetten - bekend als stingrays of in Nederland beter bekend als IMSI Catchers - om informatie te verzamelen van gebruikers. Stingrays zijn ook te koop op het darkweb en ze zijn relatief eenvoudig en goedkoop te bouwen door iemand met enig technisch inzicht.

Onderzoekers van de TU van Berlijn, ETH Zurich en SINTEF Digital in Noorwegen ontdekten zwakke plekken in de Authentication and Key Agreement (AKA) protocollen die worden gebruikt in 3G, 4G en gepland zijn voor 5G in de nabije toekomst (PDF). Aanvallers kunnen deze kwetsbaarheden misbruiken om MitM-aanvallen op mobiel verkeer uit te voeren.

Komen MitM-aanvallen vaak voor?

Hoewel het minder vaak voorkomt dan ransomware of phishing, zijn MitM-aanvallen wel degelijk een factor voor organisaties. Volgens IBM's X-Force Threat Intelligence Index 2018 wordt bij 35 procent van de exploits-aanvallen een MitM uitgevoerd, maar het is lastig om aan exacte cijfers te komen.

"Ik denk dat, gebaseerd vooral op empirisch bewijs, dat MitM-aanvallen niet zo wijdverspreid voorkomen", denkt Alex Hinchliffe, risico-analist bij beveiligingstak Unit 42 van Palo Alto Networks. "Veel van de doelen - afluisteren van communicatie, redirecten van verkeer - kun je ook doen met geïnstalleerde malware. Als er een eenvoudigere manier is om een aanval uit te voeren, zal de kwaadwillende daar meestal voor kiezen."

Een vrij recent notoir voorbeeld is de Russische geheime dienst die de OPCW, de organisatie die het verbod op chemische oorlogsvoering handhaaft, in Den Haag probeerde te hacken met een apparaat in de achterbak van een Citroën dat een Wi-Fi-netwerk spoofte. De Nederlandse militaire geheime dienst MIVD kon deze aanval verijdelen omdat de dienst de buitenlandse spionnen in de gaten hield.

De potentie voor MitM-aanvallen is afgenomen door de grotere adoptie van HTTPS en meer browserwaarschuwingen. Twee jaar geleden meldde de EFF dat meer dan de helft van al het internetverkeer nu is versleuteld en Google stelt dat dit voor sommige landen inmiddels op meer dan 90 procent staat. Dat is logisch, omdat websites en masse HTTPS zijn gaan ondersteunen, nu Google HTTP-sites straft en de razendpopulaire browser Chrome meldingen geeft als een site onversleuteld is.

Ook waarschuwen grote browsers als Chrome en Firefox dat gebruikers het risico lopen dat ze slachtoffer kunnen worden van MitM. "Door de hogere adoptie van SSL en de komst van moderne browsers als Google Chrome zijn MitM-aanvallen op publieke Wi-Fi-hotspots afgenomen", aldus Crowdstrike's Turedi.

"Vandaag de dag zien we MitM-methodes vooral nog in zeer geavanceerde aanvallen", voegt hij daaraan toe. "Een recent gezien voorbeeld was malware die zich richtte op het SWIFT-netwerk van een grote financiële organisatie. Daarbij werd een MitM-techniek gebruikt om een vals saldo bij een nepaccount werd weergegeven zodat de criminelen die geld afroomden niet opgemerkt zouden worden."

Het risico bestaat nog steeds. De Refete-bankingtrojan bijvoorbeeld leidt verkeer van bankdomeinen om via servers die worden beheerd door de aanvaller, zodat requests onversleuteld worden ontvangen voor er encryptie wordt toegepast om het door te sturen naar de bank. Een pas ontdekte kwetsbaarheid (PDF) in het TLS-protocol - inclusief de nieuwste versie 1.3 - zorgt ervoor dat aanvallers de RSA key-exchange kunnen breken om data te onderscheppen.

MitM-aanvalspreventie

Hoewel er soms gaten in blijken te zitten, zijn encryptieprotocollen als TLS de beste manier om te beschermen tegen MitM-aanvallen. De jongste versie van TLS werd vorig jaar augustus de officiële standaard. Er zijn ook anderen zoals SSH en nieuwere protocollen zoals QUIC van Google.

Wat betreft het aanleren van eindgebruikers is het advies om publieke Wi-Fi te negeren om MitM-aanvallen zoveel mogelijk te voorkomen, daar het ontzettend makkelijk is om een openbare hotspot te spoofen dan een mobiele zendmast. Let ook op wat de browser zegt over de betrouwbaarheid of veiligheid van de verbinding. En gebruik VPN's om netwerkverbindingen te beveiligen. "De beste methodes zijn onder meer multifactor-authenticatie, het maximaliseren van netwerkcontrole en visibility op verkeer, en het segmenteren van het netwerk", aldus Palo Alto's Hinchcliffe. Voorkomen is beter dan herstellen van een aanval, vooral eentje die moeilijk op te merken is. "dit zijn fundamenteel geniepige aanvallen die de meeste traditionele beveiligingsppliances met moeite detecteren", zegt Turedi.

Wanneer het commercieel vatbaar wordt, biedt kwantumversleuteling robuuste bescherming tegen MitM-aanvallen, gebaseerd op de theorie dat kwantumgegevens niet kunnen worden gekopieerd en niet kunnen worden geobserveerd zonder de staat te wijzigen, waarmee het zichtbaar is als er gesjoemeld is met het verkeer tussen de bron en de bestemming.

Is IoT het volgende MitM-grondgebied?

Analisten voorspellen dat het aantal internetverbonden apparaten kan uitdraaien op tientallen miljarden apparaten in de komende vijf jaar.

Helaas betekent het gebrek aan beveiliging in veel van deze apparaten dat diezelfde groei zorgt voor een opleving van MitM-aanvallen. "IoT-apparaten zijn kwetsbaarder omdat veelal standaardmethodes om MitM-aanvallen te voorkomen ontbreken", zegt Ullrich. "Veel apparaten implementeren TLS nog niet of gebruiken oudere versies die minder stevig zijn dan de huidige standaard."

Recent onderzoek van het Ponemon Institute en OpenSky bevond dat 61 procent van de informatiebeveiligers in de VS zegt dat ze niets kunnen beginnen tegen de groei van IoT- en IIoT-apparaten in hun bedrijven. En 60 procent geeft aan dat ze exploits en data-inbraken die gerelateerd zijn aan IoT en IIoT niet kunnen voorkomen. "Met mobiele applicaties en IoT is er niemand in de buurt en dat is een probleem: sommige toepassingen negeren TLS-fouten en verbinden toch en dat verslaat het doel", aldus de SANS-onderzoeker.

© 2020 Veilig Digitaal

Created By
Veilig Digitaal
Appreciate
Terms of ServicePrivacy PolicyReport Abuse
NextPrevious

Anchor link copied.

Report Abuse

If you feel that the content of this page violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a copyright violation, please follow the DMCA section in the Terms of Use.