Ein Man-in-the-Middle-Angriff (MITM) tritt auf, wenn sich jemand zwischen zwei Computern (z. B. einem Laptop und einem Remote-Server) befindet und den Datenverkehr abfängt. Diese Person kann die Kommunikation zwischen den beiden Maschinen belauschen oder sogar abfangen und Informationen stehlen.
Man-in-the-Middle-Angriffe sind ein ernstes Sicherheitsrisiko. Hier erfahren Sie, was Sie wissen müssen und wie Sie sich schützen können.
Inhaltsverzeichnis
Two’s Company, Three’s a Crowd
Das Schöne an MITM-Angriffen (weil es kein besseres Wort gibt) besteht darin, dass der Angreifer nicht unbedingt auf Ihren Computer zugreifen muss, weder physisch noch aus der Ferne. Er oder sie kann einfach im selben Netzwerk wie Sie sitzen und leise Daten schlürfen. Ein MITM kann sogar sein eigenes Netzwerk aufbauen und Sie dazu verleiten, es zu benutzen.
Der offensichtlichste Weg, dies zu tun, besteht darin, in einem unverschlüsselten, öffentlichen Wi-Fi-Netzwerk zu sitzen, wie es an Flughäfen oder Cafés der Fall ist. Ein Angreifer kann sich anmelden und mit einem kostenlosen Tool wie Wireshark alle zwischen einem Netzwerk gesendeten Pakete erfassen. Er oder sie könnte dann potenziell nützliche Informationen analysieren und identifizieren.
Dieser Ansatz trägt nicht mehr so viel Früchte wie früher, dank der Verbreitung von HTTPS, das verschlüsselte Verbindungen zu Websites und Diensten bereitstellt. Ein Angreifer kann die verschlüsselten Daten, die zwischen zwei Computern gesendet werden, die über eine verschlüsselte HTTPS-Verbindung kommunizieren, nicht entschlüsseln.
HTTPS allein ist jedoch kein Allheilmittel. Es gibt Problemumgehungen, die ein Angreifer verwenden kann, um es zu annullieren.
Mit einem MITM kann ein Angreifer versuchen, einen Computer dazu zu bringen, seine Verbindung von verschlüsselt auf unverschlüsselt „herunterzustufen“. Er oder sie kann dann den Verkehr zwischen den beiden Computern überprüfen.
Auch ein „SSL-Stripping“-Angriff kann vorkommen, bei dem die Person zwischen einer verschlüsselten Verbindung sitzt. Er oder sie erfasst und modifiziert dann möglicherweise den Verkehr und leitet ihn dann an eine ahnungslose Person weiter.
Netzwerkbasierte Angriffe und Rogue Wireless Router
MITM-Angriffe finden auch auf Netzwerkebene statt. Ein Ansatz heißt ARP Cache Poisoning, bei dem ein Angreifer versucht, seine MAC-(Hardware-)Adresse mit der IP-Adresse eines anderen zu verknüpfen. Im Erfolgsfall werden alle für das Opfer bestimmten Daten an den Angreifer weitergeleitet.
DNS-Spoofing ist eine ähnliche Art von Angriff. DNS ist das „Telefonbuch“ des Internets. Es verknüpft für Menschen lesbare Domainnamen wie google.com mit numerischen IP-Adressen. Mithilfe dieser Technik kann ein Angreifer legitime Anfragen an eine von ihm kontrollierte gefälschte Website weiterleiten und dann Daten erfassen oder Malware bereitstellen.
Ein anderer Ansatz besteht darin, einen nicht autorisierten Zugangspunkt zu erstellen oder einen Computer zwischen dem Endbenutzer und dem Router oder Remote-Server zu platzieren.
Überwältigenderweise sind die Leute viel zu vertrauensselig, wenn es darum geht, sich mit öffentlichen WLAN-Hotspots zu verbinden. Sie sehen die Worte „kostenloses WLAN“ und überlegen nicht, ob dahinter vielleicht ein ruchloser Hacker steckt. Das hat sich immer wieder mit komischer Wirkung bewiesen, wenn man an manchen Hot Spots die AGB nicht liest. Manche verlangen zum Beispiel, dass die Leute saubere dreckige Festival-Latrinen oder geben ihr erstgeborenes Kind auf.
Das Erstellen eines Rogue Access Points ist einfacher, als es sich anhört. Es gibt sogar physische Hardwareprodukte, die dies unglaublich einfach machen. Diese sind jedoch für legitime Informationssicherheitsexperten gedacht, die für ihren Lebensunterhalt Penetrationstests durchführen.
Vergessen wir auch nicht, dass Router Computer sind, die dazu neigen, erbärmliche Sicherheit zu bieten. Dieselben Standardpasswörter werden in der Regel über ganze Zeilen hinweg verwendet und wiederverwendet, und sie haben auch fleckigen Zugriff auf Updates. Ein weiterer möglicher Angriffsweg ist ein Router, in den Schadcode eingeschleust wird, der es einem Dritten ermöglicht, einen MITM-Angriff aus der Ferne durchzuführen.
Malware und Man-in-the-Middle-Angriffe
Wie bereits erwähnt, ist es für einen Gegner durchaus möglich, einen MITM-Angriff durchzuführen, ohne sich im selben Raum oder sogar auf demselben Kontinent zu befinden. Eine Möglichkeit, dies zu tun, ist mit bösartiger Software.
Ein Man-in-the-Browser-Angriff (MITB) tritt auf, wenn ein Webbrowser mit schädlicher Sicherheit infiziert ist. Dies geschieht manchmal über eine gefälschte Nebenstelle, die dem Angreifer einen nahezu uneingeschränkten Zugriff ermöglicht.
Beispielsweise könnte jemand eine Webseite manipulieren, um etwas anderes als die echte Site anzuzeigen. Er oder sie könnte auch aktive Sitzungen auf Websites wie Banking- oder Social-Media-Seiten kapern und Spam verbreiten oder Gelder stehlen.
Ein Beispiel dafür war der SpyEye-Trojaner, das als Keylogger verwendet wurde, um Anmeldeinformationen für Websites zu stehlen. Es könnte auch Formulare mit neuen Feldern füllen, sodass der Angreifer noch mehr persönliche Informationen erfassen kann.
So schützen Sie sich
Glücklicherweise gibt es Möglichkeiten, sich vor diesen Angriffen zu schützen. Wie bei jeder Online-Sicherheit kommt es auf ständige Wachsamkeit an. Versuchen Sie, keine öffentlichen WLAN-Hotspots zu verwenden. Versuchen Sie, nur ein Netzwerk zu verwenden, das Sie selbst steuern, z. B. einen mobilen Hotspot oder Mi-Fi.
Andernfalls verschlüsselt ein VPN den gesamten Datenverkehr zwischen Ihrem Computer und der Außenwelt und schützt Sie so vor MITM-Angriffen. Natürlich ist Ihre Sicherheit hier nur so gut wie der VPN-Anbieter, den Sie verwenden, also wählen Sie sorgfältig aus. Manchmal lohnt es sich, für einen Service, dem Sie vertrauen können, etwas mehr zu bezahlen. Wenn Ihr Arbeitgeber Ihnen auf Reisen ein VPN anbietet, sollten Sie es unbedingt nutzen.
Um sich vor Malware-basierten MITM-Angriffen (wie der Man-in-the-Browser-Variante) zu schützen, praktizieren Sie eine gute Sicherheitshygiene. Installieren Sie keine Anwendungen oder Browsererweiterungen von skizzenhaften Orten. Melden Sie sich von Website-Sitzungen ab, wenn Sie mit Ihrer Arbeit fertig sind, und installieren Sie ein solides Antivirenprogramm.