Man-in-the-Middle
Bei einem Man-in-the-Middle-Angriff klinkt sich der Angreifer in die Kommunikation zwischen zwei Stationen ein, die sich einander vertrauen. Dabei täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Aufgrund einer falschen Identität kann der Angreifer das Ziel dazu bringen alle Datenpakete zu ihm zu schicken. Der Angreifer kann dabei die Pakete auswerten und gegebenenfalls manipulieren.
Grundsätzlich kann jeder Router, jedes Gateway oder jeder WLAN-Access-Point ein Man-in-the-Middle sein. Einfach überall, wo alle Netzwerkpakete vorbei kommen oder durchgeleitet werden. Das kann an einem zentralen Internet-Knoten sein, an dem Geheimdienste und Ermittlungsbehörden lauschen. Aber auch die gut aussehende junge Frau mit Ihrem Notebook am Tisch nebenan, die im gleichen WLAN eingebucht ist.
Wenn es darum geht, den Datenverkehr einer bestimmten Zielperson abzugreifen, dann gelingt das dem Angreifer am einfachsten in einem offenen WLAN eines Cafes, Hotels oder andere öffentliche Einrichtungen.
Als Man-in-the-Middle ergeben sich für einen Angreifer viele weitere Angriffspunkte. Meist ist der Vorgang sehr komplex und funktioniert deshalb in der Regel nur bei einer vorhersehbaren Kommunikation. Für aktive Man-in-the-Middle-Angriffe muss der Lauscher zum richtigen Zeitpunkt am richtigen Ort sein, um die Kommunikation zu übernehmen und den Datenverkehr abgreifen zu können. Das allein reicht schon für weiteres Gefahrenpotential aus und kann ein erhebliches Sicherheitsproblem sein.
Manche Angriffe, die auf Man-in-the-Middle basieren sehen vor, dass auf dem Gerät des Ziels ein JavaScript ausgeführt wird, dass ein Angreifer als Man-in-the-Middle in eine unverschlüsselte Webseite einbauen kann. Er ist allerdings darauf angewiesen, dass der Code auch tatsächlich ausgeführt wird. Bei den meisten Browsern dürfte das der Fall sein. Bei einem Mail-Programm oder einem Twitter-Client, zum Beispiel auf einem Smartphone, eher nicht.
Weiterhin bieten vom Benutzer gewählte unsichere Passwörter und öffentlich bekannte Sicherheitslücken in verschiedenerlei Software zusätzliche Angriffspunkte.
Ablauf eines Man-in-the-Middle-Angriffs
Der Man-in-the-Middle muss zwei Verbindungen führen. Die exakte Reihenfolge kann von der hier dargestellten Reihenfolge je nach Implementierung abweichen.
Man-in-the-Middle durch IP-Spoofing
IP-Spoofing zählt zu den typischen Angriffen, die einen Angreifer in die Position eines Man-in-the-Middle bringen kann. IP-Spoofing ist wegen einer systembedingten Schwäche von TCP/IP möglich. Im Prinzip geht es dabei um das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse.
Man-in-the-Middle durch ARP-Spoofing
ARP-Spoofing ist eine Variante von IP-Spoofing, womit sich ein Angreifer in die Position eines Man-in-the-Middle bringen kann. Nur das hier die systembedingten Schwächen von Ethernet ausgenutzt werden. Beim ARP-Spoofing werden ARP-Abfrage vorgetäuscht und die MAC-Adresse gefälscht, um den Datenverkehr umzuleiten und abzuhören.
Man-in-the-Middle durch DNS-Spoofing
Es gibt verschiedene Varianten von DNS-Spoofing. Im Prinzip geht es immer darum, dass der Angreifer die DNS-Konfiguration des Opfer so verändert, dass alle oder bestimmte Verbindungen über den Server des Angreifers umgeleitet werden.
Maßnahmen gegen Man-in-the-Middle
Gegen Man-in-the-Middle-Angriffe hilft nur konsequentes Verschlüsseln aller Verbindungen, der Einsatz aktueller Software und Netzwerk-Monitoring, um Spoofing innerhalb des lokalen Netzwerks zu erkennen und zu melden.