Mitm/Arp spoofing - enkelt å spore?

[Redshift]

Hei,

Vi har hatt litt om datasikkerhet på skolen, og ble oppmerksom på hvor enkelt det er å lese netttrafikk. Ikke det at jeg har trodd det var vanskelig, men at det krever så lite "kunnskap" overrasket meg..

 

Tenker på programmer som Cain og Wireshark.

 

Har sjekket ut cain litt, og har en del spørsmål som jeg håper dere kan svare på.

 

Hvis man gjør et Mitm angrep, i form av ARP spoofing; vil ikke administrator på nettverket enkelt finne fram til MAC adressen til personen som "lytter" til datatrafikken som beveger seg over nettverket?

 

For har forstått det slik at MAC adressen er en unik kode som ligger i nettverkskortet. Er det ikke da enkelt å spore denne personen, evnt anmelde ham? -For går ut ifra at det er ulovlig å snoke i datatrafikken som ikke tilhører deg selv.

 

Tenker på dette fordi jeg vet det er mange som bruker Cain og wireshark, men vil det ikke være en stor risiko for dem å bli tatt?

 

Prøvde ut Cain på hjemmenettverket mitt, og du får jo en sertvikatsadvarsel om du bruker Https protokollen... Det er da en advarsel i seg selv?

 

-

Predator

[Horrorbyte]

Det kommer litt an på situasjonen. Dersom man har kommet seg inn på noen andre sitt trådløse nettverk, og si at dette er kryptert med WPA, så kan man benytte ARP-spoofing ved å fortelle enhetene på nettverket at det er din maskin som er gateway. Da vil trafikken, i mange tilfeller, gå gjennom din maskin og du kan fint se det som ikke er kryptert. Og generelt er nettsider lite flinke til å implementere støtte for https, og brukerne er lite flinke til å benytte seg av muligheten der den finnes (f.eks. Facebook).

 

Ja, det vil være mulig å oppdage ARP-spoofing, men de fleste normale private brukere har lite eller ingenting som beskytter mot det utover selve krypteringen på det trådløse nettverket. Og selv om man oppdager det, så er det ingen automatikk i at man finner ut hvem det er som står bak angrepet. MAC-adresser er riktig nok "brent" fast i nettverkskortet, men hvordan skal du vite hvem som eier kortet? Du vil stort sett kunne se produsenten, og kanskje hva slags produkt kortet sitter i, men det hjelper jo ikke nødvendigvis. MAC-adressen kan dessuten spoofes.

 

Det er for øvrig slik at man ikke er avhengig av ARP-spoofing. For å utføre angrepet må man være på nettverket, og for WEP er trafikken til alle enheter beskyttet av kun den samme nøkkelen. Og den har du jo, så det er bare å logge trafikken og dekryptere det. Du trenger ikke engang være koblet til nettverket. WPA og WPA2 personal har et ekstra lag med sikkerhet, men det kan man komme seg rundt så lenge man får med seg alle fire deler av siste handshake. Nyere versjoner av Wireshark støtter dette.

 

Angående https, så er det mulig å forsøke MITM-angrep men det kommer som du sier en melding i forbindelse med sertifikatet. Dette er helt klart et varsel, men vanlige brukere har ikke peiling på dette og vil i 9/10 tilfeller bare ignorere advarselen og godta. Folk som har erfaring med nettverk og sikkerhet, vil nok sjekke nøyere.

Endret 1. september 2012 av Horrorbyte

[Redshift]

Takk for svar, ser uansett at Cain tar langt ifra de fleste HTTPS tilkoplinger. Virker i alle fall ikke som om det kan lese krypterte tilkoplinger som lages av antiviruset ditt. F.eks hvis du har "online bank/shop versjoner"..

 

Men likevel overasket over en del passord den fikk tak i, dog det var veldig mange passord den ikke så.

Må i alle fall passe på selv når jeg kopler på usikra nettverk!

 

Tror riktignok at du finner bedre "mitm" programmer enn Cain, og kanskje de er bedre på å spore passord.. Så tror nordmenn burde ta et kurs i nettsikkerhet!

 

-

Predator

[Horrorbyte]

Det verste er nok at mange kobler seg på åpne trådløse nettverk uten tanke for at andre kan lese trafikken deres og sniffe passord eller cookies som kan brukes til å ta over kontoer. Spesielt på kafeer og slikt, men det er fortsatt en del som har åpne trådløse nettverk hjemme. De som sikrer med WEP, eller WPA med dårlig passord eller WPS aktivert, lever også "farlig".

 

Sånn generelt holder jeg meg mest mulig unna andres nettverk som ikke brukes WPA Enterprise eller tilsvarende. Og må jeg bruke et nettverk som mangler tilstrekkelig sikring, eller om jeg ikke stoler på de som drifter nettverket, så bruker jeg VPN eller tilsvarende - også på mobiltelefonen.