Schlagwort-Archive: man-in-the-middle

Ist Siri zu trauen?

Originalartikel von Ben April, Senior Threat Researcher

Forscher der Apple-Design- und Entwicklungsfirma Applidium haben herausgefunden, dass bei jeder Anfrage, die ein Nutzer an Siri (Apple-Software für Erkennung und Verarbeitung von natürlich gesprochener Sprache) stellt, das iPhone 4S zuerst eine komprimierte Audio-Datei mit der Anfrage an Server bei Apple schickt, wo sie in Text umgewandelt wird. Dann wird die Anfrage in Befehle umgesetzt, die das iPhone verstehen kann, und ans Gerät zurückgeschickt.

Das von Siri genutzte Protokoll ist über HTTPS angesiedelt, und beim Spoofing oder Abfangen der Kommunikation ist entweder ein gültiges SSL-Zertifikat für guzzoni.apple.com erforderlich, oder es bedarf einer Möglichkeit, das Gerät davon zu überzeugen, das Zertifikat als gültig anzunehmen. Auch muss der „Nutzer“ DNS kapern, damit das Gerät davon ausgeht, guzzoni.apple.com liegt auf einer IP-Adresse, die er unter Kontrolle hat.

Damit kann man mit Siri die verschiedensten Dinge tun – positive, kreative aber auch negative. Theoretisch sollte es einfach sein, Siri auf jedes Gerät zu portieren, sobald der Anwender eine gültige iPhone 4S ID hat. Dafür geeignet ist jedes Gerät, dass in der Lage ist, Audio aufzunehmen und eine „App“ mit Internetverbindung laufen zu lassen. Dazu gehören Laptops, Tablets, Smartphones oder auch Kühlschränke und Waschmaschinen.

Vorstellbar ist auch, einen eigenen Siri-Server für vorhandene Siri-fähige Geräte aufzubauen. Diese ließen sich für private Zwecke nutzen, etwa für Befehle wie „Licht anmachen“ oder „Garagentor schließen“. Auch im geschäftlichen Bereich könnte man ein solches System in die alltäglichen Werkzeuge integrieren, um Arbeitsabläufe sprachaktiv zu gestalten.

Das klingt alles sehr kreativ, leider gibt es auch eher unfreundliche Möglichkeiten, Siri einzusetzen. Für diese Art von Szenarien kann man davon ausgehen, dass der Angreifer ein selbst signiertes Zertifikat erfolgreich auf das Gerät geladen hat und auch auf irgendeine Weise den lokalen DNS kontrolliert. Beides ist Voraussetzung dafür, um erfolgreich die Siri-Kommunikation unter Kontrolle zu bringen.

Eine nahe liegende Form des Angriffs ist Man-in-the-Middle, um alle Siri-Anfragen und Antworten abzufangen. Dies mag sinnvoll sein, doch die Fragen an Siri könnten verraten, woran der Nutzer arbeitet. Damit ließen sich die Antworten, etwa Börsenkurse, ändern, oder Anfragen ersetzen, so etwa eine Telefonnummer ändern.

Apple könnte diese Sicherheitslücke auf verschiedene Weisen schließen. Die umfassendste Möglichkeit wäre, ein Challenge-Response Authentifizierungssystem einzusetzen. Dabei müsste der Server SSL-Schlüssel zu einer bestimmten Schlüssel-ID passen oder von einem Schlüssel mit einer gesetzten ID signiert werden. Unabhängig davon, was getan wird, Apple allein kann etwas gegen diese Bedrohung unternehmen!

 

Einbruch bei niederländischer Zertifizierungsstelle: Iranische Internetnutzer werden ausspioniert

Originalartikel von Feike Hacquebord, Senior Threat Researcher

 

Der Angriff auf die niederländische Zertifizierungsstelle DigiNotar hat weitreichendere Auswirkungen als ursprünglich angenommen und betrifft eine Vielzahl von .com-Domains wie beispielsweise google.com. Wie interne Nachforschungen von Trend Micro ergeben haben, sind davon in erster Linie die Internet-Nutzer in mehr als 40 verschiedenen Netzwerken von Internet-Service-Providern und Universitäten im Iran im Visier der Angreifer.

Bereits im Juli waren Hacker in die Systeme von DigiNotar eingebrochen und hatten falsche SSL-Zertifikate für Hunderte Domain-Namen, einschließlich google.com, sowie für die gesamte .com-Top-Level-Domäne, ausgestellt. Eine Liste mit den gefälschten Zertifikaten, die keinen Anspruch auf Vollständigkeit erhebt, ist unter hier abrufbar.

SSL-Zertifikate stellen eine Art digitalen Ausweis dar, mit dessen Hilfe Web-Browser feststellen können, ob eine Web-Site authentisch ist. Das ist aus Anwendersicht insbesondere beim Online-Banking, der abgesicherten Kommunikation über E-Mail-Anbieter oder bei jeder anderen Web-Site relevant, mit der etwa zum Zweck des Online-Shopping eine sichere Verbindung aufgebaut wird. Erst wenn der Austausch der Zertifikate die Echtheit oder Identität der vom Anwender adressierten Website festgestellt hat, kann die verschlüsselte Kommunikation beginnen.

Das Gefährliche an den gefälschten Zertifikaten ist, dass die Web-Browser der Anwender sie nicht als solche erkennen. Dadurch lassen sie sich für so genannte Man-in-the-Middle-Angriffe missbrauchen. Das heißt, dass die Hintermänner hinter der Attacke den kompletten verschlüsselten Datenverkehr der betroffenen Anwender mitlesen können. Die Analyse der Daten aus dem „Smart Protection Network“ von Trend Micro zeigen, dass eine Vielzahl von iranischen Internet-Nutzern derzeit mithilfe solcher Angriffe ausspioniert werden.

Informationen finden sich auch  im Trend Micro Blog unter http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/.

Der Man-in-the-Middle bestimmt den Chat

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Forscher an der technischen Universität in Wien haben ein Papier veröffentlicht, in dem sie eine wichtige Entwicklung im Automated Social Engineering darlegen und das Konzept anhand von IRC und Facebook-Chat vorführen.

Vielen sind die Spam-Botnetze im Bereich des Echtzeit-Chats bekannt. Diese Technik habe ich vor einiger Zeit im Zusammenhang mit einem Facebook-Angriff beschrieben.

Klassische Chat Spam-Botnetze arbeiten in vier unterschiedlichen Modi: Das Papier der Wiener benennt diese als „Periodic Bots“, die einfach in regelmäßigen Abständen Spam-Nachrichten aufsetzen, „Random Bots“, die Nachrichten in zufälligen Abständen aufsetzen, „Responder Bots“, die Antworten auf die Nachrichten von Usern automatisieren, sowie „Replay Bots“, die vorher aufgezeichnete Gespräche wiedergeben.

Das Problem, das Kriminelle und Betrüger mit dieser Technik zu lösen haben, ist die Effizienz unseres natürlichen Misstrauens und der Intuition. Es zeigt sich, dass Menschen im Allgemeinen sehr gut erkennen, wenn ein Computer zu ihnen spricht. Die Forscher entwickelten eine Möglichkeit, diese natürliche Verteidigungslinie zu überwinden.

Das Forschungspapier stellt eine Anwendung vor, die sie Honeybot nennen, und die als Man-in-the-Middle zwischen zwei miteinander korrespondierenden Menschen fungiert. Honeybot hört die Nachrichten zwischen den beiden ab, leitet sie um, und vor allem modifiziert es sie, um die Konversation zu bestimmen sowie die Opfer dazu zu bringen, auf Links zu klicken. Die Links sind natürlich von den Angreifern eingefügt worden. Die Forscher schreiben:

“Das allgemeine Angriffsprinzip funktioniert mit jedem Chat-System, das den Austausch privater Nachrichten zulässt. Es beruht auf dem traditionellen Man-in-the-Middle-Konzept. In jeden Angriff sind zwei menschliche User und ein Bot in der Mitte involviert. Beide Nutzer glauben, mit dem Bot zu sprechen, doch tatsächlich werden ihre Nachrichten zwischen ihnen hin und her gereicht, wie das folgende Beispiel zeigt:

  • Bot -> Alice: Hi!
  • Alice -> Bot: Hello
  • Bot -> Carl: Hello
  • Carl -> Bot: Hi, wie geht es dir?
  • Bot -> Alice: Hi, wie geht es dir?
  • Alice -> Bot: …

Das Bot scheint für beide Nutzer menschlich, denn das ganz Gespräch wird im Bot in der Mitte gespiegelt.“ (Übersetzung durch die Redaktion)

Abgesehen davon, dass die ganze Kommunikation über ein Proxy läuft, hat das Bot die erforderliche Intelligenz, um das Geschlecht der Opfer zu erraten, Fragen zu stellen, um die Kontrolle über die Konversation zu übernehmen (normalerweise mit dem Ziel, ein Szenario aufzusetzen, um einen Link einzubetten) oder einfach Links, die eines der Opfer gesetzt hat, mit vorkonfigurierten bösartigen zu ersetzen.

Die Forscher fügten in ihren Tests drei unterschiedliche Arten von Links in die Konversationen von drei unterschiedlichen IRC-Kanälen ein: eine einfache IP-Adresse, einen TinyURL verkürzten Link und einen MySpace Link. Das Ergebnis waren beeindruckende 76 Prozent Klickraten! In einem ähnlichen auf den Facebook-Chat begrenzten Test betrug die Klickrate immerhin noch 40 Prozent.

Bei diesen Ergebnissen kann man sicherlich davon ausgehen, dass diese Art der Technologie bald Eingang finden wird in die Kampagnen der Cyberkriminellen. Für die User bedeutet dies, der Sicherheit noch mehr Aufmerksamkeit zu schenken und vor allem darauf zu achten, dass die Security-Lösung ihrer Wahl in Echtzeit nach bösartigen URLs scannt.