Was ist ein Man-in-the-Middle-Angriff?

10 Apr 2013

Das Ziel der meisten Cyberkriminellen – unabhängig davon, wie sie es erreichen wollen –, ist, die Daten der Anwender zu stehlen. Das kann in kleinen, diskreten Attacken auf individuelle Anwender passieren, oder in groß angelegten Kompromittierungen bekannter Webseiten oder von Finanzdatenbanken. Die Methoden wechseln, doch das Ziel ist immer das gleiche. In den meisten Fällen, versuchen die Angreifer zunächst,ein Schadprogramm auf dem Computer des Anwenders zu installieren, denn das ist die kürzeste Verbindung zwischen ihnen und Ihren Daten. Wenn das aus irgendeinem Grund aber nicht möglich ist, kommt die ebenfalls sehr beliebte Man-in-the-Middle-Attack zum Einsatz. Wie der Name schon andeutet, platziert bei diesem Angriff der Hacker sich selbst – oder sein schädliches Tool – zwischen dem Opfer und der aufgerufenen Ressource, etwa einer Bank-Webseite oder einem E-Mail-Konto. Diese Attacken können sehr effektiv sein und sind oft schwer zu entdecken, vor allem für Anwender, die das Gefahrenpotential dieser Angriffsart nicht kennen.

maninthemiddle_b2c_GERMAN

Man-in-the-Middle-Attacke: Definition

Das Konzept hinter der MITM-Attacke ist erstaunlich einfach und ist nicht auf die Computersicherheit oder Online-Bereiche beschränkt. In seiner einfachsten Form braucht sich der Angreifer nur zwischen zwei Parteien zu schalten, die miteinander kommunizieren, und muss dann nur die gesendeten Nachrichten abhören und sich zumindest als eine der beiden Parteien ausgeben. In der realen Welt kann so ein Angreifer zum Beispiel gefälschte Rechnungen an ein Opfer senden und dann einfach die von ihm zurückgeschickten Schecks abfangen. In der Online-Welt sind die Angriffe etwas komplexer, die Grundlagen sind aber die gleichen. Der Angreifer schaltet sich zwischen sein Opfer und eine Ressource ein, die das Opfer versucht zu erreichen. Um erfolgreich zu sein, muss dabei die Anwesenheit des Angreifers sowohl für das Opfer als auch für die andere Ressource unentdeckt bleiben.

MITM-Attacken: Varianten

Bei den üblichsten MITM-Attacken nutzt der Angreifer einen WLAN-Router, über den er sich in die Kommunikation des Opfers einschaltet. Das kann geschehen, indem der Angreifer einen schädlichen Router einrichtet, der sich als legitimer Router ausgibt, oder indem er eine Sicherheitslücke in einem bestehenden Router ausnutzt, um den Zugriff des Anwenders auf den Router zu kontrollieren. Beim ersten Szenario kann der Angreifer seinen Laptop oder ein anderes drahtloses Gerät so konfigurieren, dass es wie ein WLAN-Hotspot funktioniert, und dem Hotspot einen Namen geben, der in öffentlichen Bereichen, etwa auf Flughäfen oder in Cafés, häufig benutzt wird. Wenn sich dann Anwender mit dem „Router“ verbinden, um Webseiten – oft auch vertrauliche Seiten wie Online-Banking-Portale oder Online-Shops – aufzurufen, kann der Angreifer die Login-Daten stehlen. Beim zweiten Beispiel identifiziert ein Angreifer eine Schwachstelle in der Konfiguration oder der Verschlüsselung eines legitimen WLAN-Routers, und nutzt diese Sicherheitslücke, um die Kommunikation zwischen dem Anwender und dem Router abzuhören. Diese Technik ist die kompliziertere, kann aber auch effektiver sein, wenn der Angreifer es schafft, den Zugang zum kompromittierten Router für Stunden oder Tage aufrecht zu erhalten. Das gibt ihm die Möglichkeit, still und heimlich die Online-Sitzungen des Opfers abzuhören, obwohl der Anwender glaubt, er sei dabei gut gesichert – wie etwa bei der Kommunikation mit einem Firmen-Mail-Server. Damit kann der Angreifer eine große Menge vertraulicher Daten stehlen.

Eine aktuelle Variante der MITM-Attack ist als Man-in-the-Browser-Attacke bekannt. In diesem Szenario nutzt der Angreifer eine von verschiedenen Methoden, um Schadcode auf dem Opfercomputer zu installieren, die innerhalb des Browsers laufen. Diese Schadprogramme nehmen dann im Hintergrund die Daten auf, die zwischen dem Browser und verschiedenen Ziel-Webseiten – die der Angreifer direkt in der Malware festlgelegt hat – hin und her geschickt werden. Diese Variante wurde in den letzten Jahren immer populärer. Sie erlaubt es den Angreifern, eine große Gruppe von Opfern anzugreifen, ohne dafür in der Nähe der Opfercomputer sein zu müssen.

Verteidigung

Es gibt mehrere effektive Verteidigungsmöglichkeiten gegen MITM-Attacken, allerdings sind fast alle davon auf Seite von Router oder Server, und geben dem Anwender keine Möglichkeit, die Sicherheit einer Transaktion zu kontrollieren. Solch eine Verteidigungsmöglichkeit ist das Verwenden einer starken Verschlüsselung zwischen Client und Server. In diesem Fall kann der Server sich selbst durch ein digitales Zertifikat authentifizieren. Client und Server können anschließend einen verschlüsselten Kanal aufbauen, über den vertrauliche Daten gesendet werden. Dafür muss der Server aber eine Verschlüsselung ermöglichen. Auf der anderen Seite können Anwender sich selbst vor derartigen Cyberangriffen schützen, indem sie niemals eine Verbindung zu offenen WLAN-Routern aufbauen oder zumindest Browser-Plugins wie HTTPS Everywhere oder ForceTLS verwenden, die – wenn möglich – eine sichere Verbindung aufbauen. Allerdings hat auch jede dieser Verteidigungsmöglichkeiten ihre Grenzen: Es wurden bereits Angriffe wie SSLStrip oder SSLSniff demonstriert, die die Sicherheit von verschlüsselten SSL-Verbindungen aufheben können.