Was ist MitM?

Damit Ihr Gerät mit anderen Geräten kommunizieren kann, muss es sich mit ihm verbinden. Wenn das andere Gerät physisch vorhanden ist, ist dies ziemlich einfach. Sie können einfach ein Kabel zwischen den beiden Geräten verlegen. Es ist notwendig, dass sie eine Art Kommunikationsstandard teilen, aber das Grundprinzip gilt. Natürlich sind die meisten Geräte, mit denen Sie kommunizieren möchten, nicht physisch vorhanden. Stattdessen müssen Sie sich über ein Computernetzwerk mit ihnen verbinden, normalerweise mit dem Internet.

Das Problem dabei ist, dass es jetzt potenziell viele Messenger gibt, die Ihre Kommunikation hin und her leiten müssen. Um richtig über zwischengeschaltete Parteien zu kommunizieren, müssen Sie ihnen vertrauen können. Alternativ müssen Sie sicherstellen können, dass Ihre Mitteilungen nicht gelesen oder geändert werden können. Dies ist die Grundlage der Verschlüsselung. Es ermöglicht Ihnen, sicher über einen unsicheren Kanal zu kommunizieren.

Die Sache ist die, selbst wenn Verschlüsselung im Spiel ist, gibt es immer noch einige schlechte Schauspieler da draußen, die versuchen, Zugang zu sensiblen Informationen zu erhalten. Eine Möglichkeit, dies zu tun, besteht darin, einen Man-in-the-Middle-Angriff oder MitM durchzuführen.

Die Einrichtung

Damit MitM funktioniert, muss der Angreifer eine der Parteien sein, die die Daten übertragen, auf die sie zugreifen möchten. Es gibt einige Möglichkeiten, dies zu erreichen. Die erste ist relativ einfach, betreiben Sie einen Internetzugangspunkt, genau aus diesem Grund sollten Sie sich vor zufälligen kostenlosen Wi-Fi-Hotspots in Acht nehmen. Dies ist einfach, das Problem ist, dass es möglicherweise nicht einfach ist, eine bestimmte Person dazu zu bringen, sich mit einem bestimmten Netzwerk zu verbinden.

Die alternativen Optionen bestehen darin, das Gerät des Opfers so zu konfigurieren, dass es Ihr Gerät als Proxyserver verwendet oder als ISP für das Opfer fungiert. Wenn ein Angreifer sein Gerät als Proxy einrichten kann, hat er realistischerweise mehr als genug Zugriff auf Ihren Computer, um die gewünschten Informationen zu erhalten. Theoretisch könnte jeder ISP auch auf sie abzielen, da ihr Datenverkehr über ihren ISP läuft. Ein VPN/Proxy-Anbieter befindet sich in genau der gleichen Position wie der ISP und kann genauso vertrauenswürdig sein oder auch nicht.

Hinweis: Wenn Sie darüber nachdenken, ein VPN zum Schutz vor Ihrem ISP zu erwerben, ist es wichtig zu verstehen, dass der VPN-Anbieter dann Ihr effektiver ISP wird. Daher sollten auch für sie dieselben Sicherheitsbedenken gelten.

Passiv MitM

Während sich viele Geräte möglicherweise in einer MitM-Position befinden, sind die meisten von ihnen nicht bösartig. Dennoch schützt die Verschlüsselung vor denen, die es sind, und hilft, Ihre Privatsphäre zu verbessern. Ein Angreifer in einer MitM-Position kann einfach seine Position verwenden, um den Verkehrsfluss zu „abhören“. Auf diese Weise können sie einige vage Details des verschlüsselten Datenverkehrs verfolgen und unverschlüsselten Datenverkehr lesen.

In einem solchen Szenario kann ein Angreifer in einer MitM-Position immer unverschlüsselten Datenverkehr lesen oder ändern. Nur die Verschlüsselung verhindert dies.

Aktiv MitM

Ein Angreifer, der sich die Mühe gemacht hat, an diese Position zu gelangen, ist möglicherweise nicht unbedingt glücklich darüber, nur unverschlüsselte Daten zu lesen/zu ändern. Daher können sie stattdessen versuchen, einen aktiven Angriff durchzuführen.

In diesem Szenario fügen sie sich vollständig in die Mitte der Verbindung ein und agieren als aktiver Mittelsmann. Sie handeln eine „sichere“ Verbindung mit dem Server aus und versuchen, dasselbe mit dem Endbenutzer zu tun. Hier fallen die Dinge normalerweise auseinander. So sehr sie all dies absolut können, wurde das Verschlüsselungs-Ökosystem entwickelt, um dieses Szenario zu bewältigen.

Jede HTTPS-Website stellt ein HTTPS-Zertifikat bereit. Das Zertifikat wird von einer Kette anderer Zertifikate signiert, die zu einem von wenigen speziellen „Root-Zertifikaten“ zurückführt. Stammzertifikate sind etwas Besonderes, da sie im vertrauenswürdigen Zertifikatsspeicher jedes Geräts gespeichert sind. Jedes Gerät kann daher prüfen, ob das ihm präsentierte HTTPS-Zertifikat von einem der Stammzertifikate in seinem eigenen vertrauenswürdigen Zertifikatsspeicher signiert wurde.

Wenn der Prozess der Zertifikatsüberprüfung nicht ordnungsgemäß abgeschlossen wird, wirft der Browser eine Zertifikatsfehler-Warnseite aus, auf der die Grundlagen des Problems erläutert werden. Das Zertifikatausstellungssystem ist so eingerichtet, dass Sie nachweisen müssen, dass Sie der rechtmäßige Eigentümer einer Site sind, um eine Zertifizierungsstelle davon zu überzeugen, Ihr Zertifikat mit ihrem Stammzertifikat zu signieren. Daher kann ein Angreifer im Allgemeinen nur ungültige Zertifikate verwenden, was dazu führt, dass die Opfer Zertifikatsfehlermeldungen sehen.

Hinweis: Der Angreifer könnte das Opfer auch davon überzeugen, das Stammzertifikat des Angreifers im Speicher für vertrauenswürdige Zertifikate zu installieren, woraufhin alle Schutzmaßnahmen aufgehoben werden.

Wenn das Opfer „das Risiko akzeptiert“ und die Zertifikatswarnung ignoriert, kann der Angreifer die „verschlüsselte“ Verbindung lesen und ändern, da die Verbindung nur zum und vom Angreifer verschlüsselt ist, nicht bis zum Server.

Ein weniger digitales Beispiel

Wenn Sie Schwierigkeiten haben, sich mit dem Konzept eines Man-in-the-Middle-Angriffs zu befassen, ist es möglicherweise einfacher, mit dem Konzept der physischen „Schneckenpost“ zu arbeiten. Die Post und das System sind wie das Internet, aber zum Versenden von Briefen. Sie gehen davon aus, dass jeder Brief, den Sie versenden, das gesamte Postsystem durchläuft, ohne geöffnet, gelesen oder verändert zu werden.

Die Person, die Ihre Post zustellt, ist jedoch in einer perfekten Man-in-the-Middle-Position. Sie konnten sich dafür entscheiden, jeden Brief zu öffnen, bevor sie ihn zustellten. Sie könnten dann den Inhalt des Briefes nach Belieben lesen und ändern und ihn wieder in einem anderen Umschlag versiegeln. In diesem Szenario kommunizieren Sie eigentlich nie wirklich mit der Person, für die Sie sich halten. Stattdessen kommunizieren Sie beide mit der neugierigen Postperson.

Ein Dritter, der (kryptographisch sichere) Signaturen verifizieren kann, kann Ihnen zumindest mitteilen, dass jemand Ihre Mail öffnet. Sie können diese Warnung ignorieren, aber Sie sind gut beraten, nichts Geheimes zu senden.

Es gibt sehr wenig, was Sie an der Situation ändern können, außer das System zu ändern, über das Sie kommunizieren. Wenn Sie beginnen, per E-Mail zu kommunizieren, kann der Post-Mitarbeiter Ihre Nachrichten nicht mehr lesen oder ändern. Ebenso ist die Verbindung zu einem anderen und idealerweise vertrauenswürdigen Netzwerk die einzige Möglichkeit, dem Angreifer den Zugriff zu verweigern, während er weiterhin kommunizieren kann.

Abschluss

MitM steht für Man-in-the-Middle. Es stellt eine Situation dar, in der ein Bote in der Kommunikationskette die Kommunikation böswillig überwacht und möglicherweise bearbeitet. Normalerweise geht das größte Risiko vom ersten Hop aus, dh vom Router, mit dem Sie sich verbinden. Ein kostenloser WLAN-Hotspot ist das perfekte Beispiel dafür. Ein Angreifer in einer MitM-Position kann unverschlüsselte Kommunikation lesen und bearbeiten. Sie können dasselbe auch mit verschlüsselter Kommunikation versuchen, aber dies sollte zu Fehlermeldungen bei der Zertifikatsvalidierung führen. Diese Warnmeldungen zur Zertifikatsvalidierung sind das einzige, was einen Angreifer daran hindert, auch verschlüsselten Datenverkehr vorzubereiten und zu modifizieren. Das funktioniert, weil beide Parteien mit dem Angreifer und nicht wirklich miteinander kommunizieren. Der Angreifer gibt sich für beide Parteien als Gegenpartei aus.