Hallo!
Wenn Leute an Logindaten oder Ip Adressen einer Person gelangen, welche „man in the middle“ Szenarios sind dafür denkbar, welche Möglichkeiten haben solche Leute?

Mit IP-Adressen alleine kann man wenig anfangen, auch die Strafverfolger wollen zumindest Verkehrsdaten, also Tuppel (Zeit, Sender, Empfänger).
Du meinst vermutlich den Einsatz einer Man-in-the-Middle-Attacke um an Logindaten zu kommen?

Mir fallen drei Varianten ein:

• Aufsetzen einer zum verwechseln ähnlichen Domäne (das ist der Klassiker bei Phishing)
• Übernahme der Systeme der realen Domäne (weil die schlecht gehärtet, gepatcht ist, oder der Angreifer sich sehr gut auskennt)
• Umleiten der IP-Adresse der realen Domäne (plus dann vertrauenswürdiges Zertifikat) (kann m.W. eigentlich jedes autonome System im Internet, nur dass diese von Schurkenstaaten abgesehen davon selten Gebrauch machen)

Danke! Wenn die Leute aber die Ip irgendwie erkennen können, dann wissen die ja auch die Zeit wann sie sie erkannt haben. Können die sich denn irgendwie so dazwischen schalten, dass die erkennen können welche Ip eine Person hat die auf einer bestimmten Seite surft?
Und können die beides gleichzeitig zusammen herausfinden? Also Login und Ip?

wenn Angreifer einen MitM aufsetzen können Sie natürlich auch Zeit und IP erfassen. Die IP ist allerdings nur dann interessant, wenn die Anmeldung auf unerwartete IP-Adressen oder Netzte prüft. Die IP dann konsequent zu fälschen gelingt dann nur der dritten Kategorie, bei der zweiten ist ein Fälschen oft unnötigt, hängt davon ab, wie die übernommene Infrastruktur aufgebaut ist.

Hast Du ein spezielles Szenario im Auge? Willst Du verstehen was Dir passiert ist oder sein könnte oder willst Du selbst angreifen? Mehr Details helfen…

Ich würde nur gerne wissen wie plausibel es ist wenn Leute (zum Hacken Fähige) sagen, dass die es geschafft haben die Logindaten und die Ip-Adresse von Personen herauszufinden und würde die Plausibilität gerne durch das in Erfahrung bringen der Möglichkeiten bewerten.

ich halte das für sehr plausibel, denn wenn die Erfolgsquote 0 wäre würden Spammer aufhören Phishing-Mails zu verschicken. Die Frage ist, wie man den letzten Anwender erreicht und belehren kann, wenn unser Schulsystem das nicht vermittelt.

Zu den IP-Adressen:

IP-Adressen sind quasi öffentliche Informationen, die jeder Netzwerkadministrator auf dem Weg vom Sender zum Empfänger mitlesen kann. Also von Deinem Internet-Provider, über weitere Provider die den Internetverkehr vermitteln bis zum Internet-Provider des Ziels und den Server-Administrator.

Du kannst dieses Vergleichen mit einem Brief den Du in einen Briefkasten wirfst. Empfänger und Absenderadresse entsprechenden den IP-Adressen. Dieser Brief kann von jedem Post Mitarbeiter, der an der Auslieferung des Briefes vom Kasten über das Verteilzentrum, den Verteillaster bis hin zum Postboten der den Brief beim Empfänger einwirft eingesehen werden. Im Internet sind die Router und sonstigen Netzwerkkomponenten auf denen das Internet basiert zusagen die Post Mitarbeiter.

Damit Du die Antwort Deiner Anfrage zurück erhalten kannst, muss in jedem Kommunikationspaket immer Absender- und Empfänger-IP-Adresse enthalten.

Man-in-the-middle Angriffe:

Ein Man-in-the-middle Angriff würde versuchen, die Kommunikation zwischen Deinem Client und dem Serversystem über das Netzwerk über ein System unter seiner Kontrolle umzuleiten, sodass er quasi ein Teil der Kommunikationsstrecke wird.

Wenn dieses erfolgreich ist kann er damit die IP-Adressen der Kommunikationspartner und prinzipiell auch die Kommunikationsinhalte einsehen, da diese ja öffentlich und unverschlüsselt transportiert werden.

Gegen das Einsehen der Kommunikationsinhalte werden heutzutage Kommunikationsverbindungen in großen Teilen verschlüsselt übertragen (z. B. über https, smpt mit starttls, imaps, …) und beim Aufbau der Zielserver über eine Zertifikat welches von sogenannten Zertifizierungsinstanzen für eine Internet-Namen ausgestellt wurde authentifiziert.

Die Verschlüsselung verhindert das Angreifer auf die Netzwerkebene die Kommunikation einfach so mitgelesen oder verändert werden kann.

Die Authentisierung des Servers über das Zertifikat wiederum verhindert, dass sich ein Angreifer so einfach als das gültige Ziel ausgeben kann um die verschlüsselte Kommunikation bei sich zu beenden, in diese hineinzuschauen und dann zum eigentlich gewünschten Serversystem weiterzuleiten.

Arten von „Man-in-the-middle“-Angriffen:

Auf Netzwerkebene:

Man-in-the-middle Angeriffe setzen daher verschiedene Angriffstechniken voraus, die sich je nach Position des Angreifers in der Netzwerk-Struktur unterscheiden:

Ein Angreifer im selben Netzwerk wie Deinem Client kann vortäuschen, dass er der nächste Router ist, der von Deinem Client angesprochen werden soll um in die Position zum kommen auf Deinen Netzwerkverkehr grundsätzlich zuzugreifen. Dieses könnte z. B. in öffentlichen WLANs passieren.

Auch wäre ein Angriff auf die Namensauflösung im Internet möglich, bei der ein angesprochener Server (z. B. https://www.kuketz-blog.de/) auf die IP-Adresse des Angreifers umgeleitet wird.

Administratoren von Teilbereichen des Internets selbst, könnten über das Protokoll BGP versuchen den Netzverkehr zum Ziel über eigenen Router laufen zu lassen.

Bei der Authentisierung eines Servers einer verschlüsselten Verbindung

Wenn der Netzwerkverkehr umgeleitet werden kann, müssten dann für verschlüsselte Verbindungen ergänzend:

Eine Zertifizierungsinstanz dazu gebracht werden, Zertifikate für den im Man-in-the-middle-Angriff angesprochen Ziel auszustellen. Dieses sollten Zertifizierungsinstanzen eigentlich nicht durchführen, ist aber schon häufiger vorgekommen.

Wenn kein Zertifikat einer Zertifizierungsinstanz zur Verfügung steht, kann man auf die Unachtsamkeit der Angegriffenen Person setzten, dass Sie ein nicht vertrauenswürdiges Zertifikat zu einem Dienst akzeptiert.

Nachdem Zugriff auf die Kommunikation besteht

Sollte es dann zu einer Akzeptanz des Zertifikats gekommen sein, kann der Angreifer mit entsprechenden Serverprogrammen (Proxies) die Kommunikationsinhalte

mitlesen = um z. B. Benutzernamen, Passwörter oder Inhalte zu erfahren

verändern = um z. B. eine Übertragung zu manipulieren

Die mit dem Man-in-the-middle-Angriff erreichbaren Vorteile für den Angreifer hängen immer vom angegriffenen Dienst ab.

Ich hoffe ich konnte verständlich den Ablauf eines Man-in-the-middle Angriff beschreiben, welche Schutzfunktionen hier normalerweise greifen und was theoretisch notwendig ist um einen Man-in-the-middle-Angriff in Gänze durchzuführen.

War es ungefähr das, was Du wissen wolltest?

Vielen Dank für die ausführliche Antwort! Wenn die Wahrscheinlichkeit dass der Angreifer im selben Natz aktiv ist und Administratoren von Teilbereichen des Internets solche Aktionen starten gegen Null geht, dann bleibt wohl nur die Zertifikatsmöglichkeit. Hast du da mehr Infos oder gute Links zu um sich darüber zu informieren? Wie häufig das ist, wie einfach/schwer sich das gestaltet u.s.w?

In oder über ein öffentliches WLAN ist es nicht ungewöhnlich solche Versuche eines Man-in-the-Middle-Angriffs zu erleben. Ich hatte so etwas mal in Potsdam in der Fußgängerzone, wo ich mich vermeintlich in das WLAN eines Cafés eingeklinkt hatte.

Beim Zugriffsversuch auf eine https:// Webseite kam dann eine Fehlermeldung hoch, dass das Zertifikat nicht vertrauenswürdig ist. Ich war also gewarnt, habe die Verbindung abgebrochen und das WLAN wieder verlassen.

Wenn der Anwender an dieser Stelle aber auf „Verbinde mich trotzdem“ tippt und danach seinen Benutzer und Passwort in einen Webdienst eingibt, dann sind diese bei einem Man-in-the-Middle-Angriff dem Angreifer bekannt und dieser kann in Deinem Namen den entsprechenden Dienst, oder bei der Nutzung von gleichem Anmeldenamen (E-Mail-Adresse) und identischem Passwort auch anderer Dienste nutzen.

Wie funktioniert die Authentisierend von Serversystemen mit den man verschlüsselt kommuniziert?

Standardmäßig werden eine Vielzahl an Kommunikation über von Zertfizierungsinstanzen ausgestellten Zertifikaten authentisiert. Die Zertifizierungsinstanzen haben hierbei die Aufgabe entsprechende Zertifikate zur Authentisieren nur nach Prüfung der Eigentümerschaft eines zertifizierten Servernamens, z. B. www.kuketz-forum.de auszustellen.

Es gibt allgemein verbindliche Regelwerke nach denen Zertifizierungsinstanzen / Certificat Authority (CA) die Prüfungen vornehmen müssen und dieses müssen sich regelmäßig, unabhängig und erfolgreich prüfen lassen, damit die entsprechende Regelwerke durch die Zertifizierungsinstanz auch eingehalten werden.

Wenn eine Zertifizierungsinstanz diese Regelwerke nicht erfolgreich umsetzt, wird diese von den Betriebssystem- und Browser-Herstellern aus der Liste der vertrauenswürdigen Zertifizierungsinstanzen entfernt und im Anschluss werden diese Betriebssystem / Browser und die darauf laufenden Anwendung keine Verbindung mehr zu über solche Zertifikate authentifizierten Diensten mehr aufbauen ohne Fehlerhinweise zu geben.

Wie kann ansonsten noch ein Man-in-the-Middle Angreifer authentisierte Verbindungen angreifen?

Benutzer können Betriebssysteme und Browser um zusätzliche Zertifizierungsinstanzen erweitert, damit Dienste mit von diesen ausgestellten Zertifikaten ohne Fehlermeldung geöffnet werden. Dieses ist vor allem für Firmen gedacht, die in ihren internen Netzen eigene Zertifizierungsinstanzen nutzen.

Wenn eine Angreifer nun den Benutzer dazu bekommt seine Zertifizierungsinstanz auf dem eigenen System zu installieren, dann kann dieser durch einen ergänzenden Angriff auf die Netzwerkstrecke die verschlüsselten und authentisierten Kommunikationsverbindungen abfangen, entschlüsseln und damit wieder an die Inhalte kommen.

Natürlich gibt es auch die Möglichkeit eine Zertifizierungsinstanz dazu zu bewegen, dass diese Zertifikate ohne die notwendige Authentisieren ausstellt. Dieses kann durch Innentäter, Angriffe oder theoretisch auch behördlichen Druck geschehen. Wenn solche Fehlausstellungen jedoch bekannt werden, wird typischerweise der Zertifizierungsinstanz das Vertrauen entzogen, da dieses ja ein Nicht-Erfüllen der verbindlichen Regelwerke für Zertifizierungsinstanzen entspricht. Trotzdem ist das Verfahren der Zertifizierungsinstanzen das aktuell genutzte für die Authentisierung von Diensten im Internet.

Ein solche nicht berechtigte Ausstellung von Zertifikaten ist denkbar und auch in der Vergangenheit schon vorgekommen. Für die Zertifizierungsinstanzen bedeutet dieses jedoch den vollständigen Verlust des Geschäftsmodells, sodass diese typischerweise schon recht gut gegen solche Bestrebungen abgesichert sind.

Ich hoffe ich konnte ein wenig Licht ins dunkel bringen.