Man in the Middle

Da der Kommunikationspfad nicht genau vorgegeben ist, durchlaufen die einzelnen Datenpakete unterschiedliche Teile des Netzes, die weder im Zugriffsbereich des Mobilfunkanbieters noch in jenem des Rechenzentrumsbetreibers liegen. Es ist jederzeit möglich, dass jemand während der Kommunikation die Pakete abfängt und sie analysiert und die enthaltenen Daten weiterverwertet.

Da bei schneller Bewegung des mobilen Gerätes (Auto, Zug) die einzelnen Pakete unterschiedliche Wege nehmen können und viel Traffic auf den Leitungen übertragen wird, ist es unwahrscheinlich, dass ein Angreifer sinnvolle Daten auslesen kann.

Problematisch wird es dann, wenn der Angreifer es schafft, dass der gesamte Traffic der Kommunikation über ihn geroutet wird. (zB Proxy, Gateway) Er kann in diesem Fall die gesamten Datenpakete mitlesen. Sind diese verschlüsselt, besteht bei höherer Anzahl von Paketen eine höhere Chance, dass er Schwächen im Verschlüsselungsalgorithmus ausnutzen und sie so entschlüsseln kann. Unverschlüsselte Pakete liegen im Klartext vor. Ein Man in the Middle Angriff kann auf unterschiedliche Arten durchgeführt werden. Je nach Art werden andere Schwachstellen ausgenutzt.

In dieser Arbeit werden folgende Möglichkeiten behandelt:

• Zusätzlicher WLAN Zugriffspunkt

• IMSI Catcher

• Proxymanipulation

• DNS-Manipulation 6.11.1 Gefährdete Werte

Alle Methoden der Man in the Middle Attacke zielen darauf ab, die Pakete der Kommunikation (vgl Seite 20, 4.4) abzuhören bzw zu verändern.

6.11.2 Genutzte Schwachstellen

Ein Man in the Middle Angriff basiert immer auf der Anonymität im Internet (vgl Seite 27, 5.5.1).

Für die Kommunikationspartner ist die Identität der Geräte und Services, die zusätzlich an der Kommunikation beteiligt sind, nicht bekannt oder basiert auf Vertrauen.

Die folgenden Kapitel gehen näher auf spezielle Varianten eines Man in the Middle Angriffs ein.

6.11.3 Zusätzlicher WLAN Zugriffspunkt

Bei der Speicherung eines WLAN-Zugangs wird nur die SSID gespeichert. Ist ein entsprechendes WLAN aktiv, versucht das Gerät sich sofort zum Netzwerk zu verbinden, sobald dieses in Reich-weite ist. Ein Angreifer kann nun einen eigenen Access Point (AP) in den Einzugsbereich des Benutzers bringen. Das Gerät erkennt das Netzwerk als ein bekanntes und verbindet darauf. Ein Smartphone priorisiert eine WLAN Verbindung für das Internet gegenüber der 3G oder der GSM Verbindung. Somit werden danach alle Daten über das Angreifernetz übertragen. Der Angreifer kann nun die Daten ohne WLAN Verschlüsselung mitlesen. Dieser Angriff ist das WLAN Gegen-stück zum IMSI Catcher im GSM Bereich. (vgl Seite 39, 6.11.4)

6.11.3.1 Genutzte Schwachstellen

Für den Angriff durch einen WLAN Zugriffspunkt sind zusätzlich zur Anonymität im Internet noch die Schwachstellen Luft als Übertragungsmedium und die freien Hotspots von Relevanz. (vgl Seite 26ff)

6.11.3.2 Relevanz

Da die Kommunikation sehr häufig über WLAN läuft und auch die Verfügbarkeit von öffentlichen Hotspots zunimmt, ist die Relevanz dieser Accesspoints sehr hoch. Es kann vom Benutzer oft nicht mehr genau gesagt werden, wer der Betreiber eines WLANs ist. Bei Hotspots besteht weiters die Gefahr eines Lauschangriffs, auch wenn dieser mit einer Verschlüsselung betrieben wird. (vgl Seite 35, 6.7)

6.11.4 IMSI Catcher

Bei der Kommunikation in einem Mobilfunknetz verbindet sich das mobile Gerät (MS - mobile Station) mit dem Base Station Subsystem (BSS). Dabei wird die am stärksten sendende Station verwendet. Bei der Authentifikation muss sich die MS mit der IMSI und der IMEI bei dem BSS melden, aber nicht umgekehrt. Damit kann die BSS sicher sein, wer sich bei ihr anmeldet, jedoch ist es für das Endgerät nicht klar, ob auch das Netz jenes ist, das es vorgibt zu sein.

Bei einem IMSI Catcher wird diese Eigenheit der Systemarchitektur von GSM ausgenutzt. Der Catcher gibt vor, eine BSS zu sein, und lässt die MS zu sich verbinden. Danach fordert der Catcher das Endgerät auf, die Kommunikation mit dem A5/0 Algorithmus zu verschlüsseln. Dadurch erfolgt die Kommunikation unverschlüsselt und kann problemlos ausgelesen werden. Diese Methode kann

einerseits verwendet werden, um den Datentransfer abzuhören (vgl Seite 38, 6.11), und anderer-seits, um Geräte zu verfolgen und deren Position zu bestimmen. [8] (Seite 21)

IMSI Catcher werden von polizeilicher Seite verwendet, um Geräte abzuhören und deren Position zu verfolgen, ohne dass dabei der Provider miteinbezogen werden muss.

Die Ortung wird durch Verwendung von UMTS erschwert, da bei dieser Technologie anstatt der statischen IMSI die dynamische XEMSI oder TEMSI verwendet werden. [8](Seite 44)

Diese Werte werden beim Aufbau der Kommunikation zwischen der Basisstation und dem Endgerät basierend auf der IMSI und IMEI berechnet. Sie sind für jede Übertragung unterschiedlich.

6.11.4.1 Genutzte Schwachstellen

Ein IMSI Catcher bedient sich der Luft als Übertragungsmedium (vgl Seite 27, 5.4.1), um sich in die Kommunikation einzuklinken.

6.11.4.2 Relevanz

Der IMSI Catcher funktioniert zwar nur in GSM Netzen effektiv, kann aber mit Hilfe eines Stör-senders auch in UMTS Netzen eingesetzt werden. Durch den Störsender wird das UMTS Netz derart gestört, dass das mobile Gerät sich zum GSM Netz verbindet. Diese Abstufung stört zwar nicht bei Telefonaten, führt jedoch zu langsamen Datenverbindungen. Somit ist zwar ein Abhören auch in modernen Netzen möglich, jedoch kann der Angriff von einem Benutzer leichter bemerkt werden. Da die Ausrüstung für diese Attacke teuer ist, ist die Relevanz eher gering.

6.11.5 Proxymanipulation

Ein Proxy ist ein Rechner, der die Daten von einen Gerät (Mobilgerät) annimmt und an den anderen Gesprächsteilnehmer (Rechenzentrum) weiterleitet. Dadurch wird die Kommunikation in zwei Teile aufgeteilt, einerseits in die Kommunikation Gerät-Proxy und andererseits in Proxy-Rechenzentrum.

Dadurch entstehen Vor- aber auch Nachteile.

Ein Proxy kann Daten zwischenspeichern, wodurch beim Surfen der Seitenaufbau beschleunigt werden kann, da die Daten nicht erneut vom Webserver abgefragt werden müssen. Bei dynamischen Inhalten kann es jedoch passieren, dass eine veraltete Version vom Proxy zurück-geliefert wird.

Ein weiteres Problem besteht dadurch, dass der Proxy eine Endstelle eines verschlüsselten Kanals ist. Auch wenn die Anwendung mittels https, SSL oder anderen Technologien getunnelt wird, wird dieser Tunnel beim Proxy beendet. Ein Mitlesen und Analysieren der Daten ist somit für den Proxybetreiber ohne Probleme möglich. ^[8]

Proxies werden oft verwendet, um Webseiten zwischenzuspeichern, oder um sie zu optimieren.

Damit kann Transfervolumen gespart werden, da Bilder vorzeitig verkleinert werden können. Von bestimmten Browsern auf den mobilen Geräten werden standardmäßig bereits Proxies verwendet, um Bilder und Videos zu filtern und deren Größe zu reduzieren.

Ein weiterer Grund für die Verwendung von Proxies ist die Verschleierung der eigentlichen Herkunft. Damit kann ein Server nicht mehr genau nachvollziehen, von wo eine Anfrage gesendet wurde. Er sieht nur mehr den Proxy als Sender.

6.11.5.1 Genutzte Schwachstellen

Proxies können auf verschiedene Arten eingesetzt werden. Es können somit unterschiedliche Subsets der Schwachstellen ausschlaggebend sein. Angriffe über Proxies basieren auf dem Un-wissen der Benutzer, gerooteten Geräten sowie deren Internetzugang und der Software und deren Fehler. Auch das Vertrauen auf öffentliche Services und freie Hotspots können eine Schwachstelle für einen derartigen Angriff darstellen. (vgl Seite 21ff)

6.11.5.2 Relevanz

Auf mobilen Geräten ist es wichtig, möglichst wenig Daten empfangen zu müssen, um einerseits Strom und andererseits Datenvolumen zu sparen. Somit ist die Relevanz in Bezug auf die Sicherheit von e-Banking sehr hoch, da sie aufgrund der genannten Gründe auf Smartphones häufig eingesetzt werden.

6.11.6 DNS-Manipulation

Ein DNS Server dient der Auflösung des Servernamens in eine IP Adresse. Durch diese Techno-logie kann einerseits Ausfallssicherheit und Lastverteilung ermöglicht werden und andererseits werden dadurch die URLs der Homepages für den Menschen leichter lesbar und merkbar.

Es besteht jedoch die Möglichkeit, dass die Adressen falsch aufgelöst werden, und der Benutzer so zu einer falschen Seite bzw zu einem falschen Server weitergeleitet wird. Diese Möglichkeit kann genutzt werden, um Login-Informationen und andere Daten vom Benutzer zu erhalten, ohne dass dieser davon etwas bemerkt.

6.11.6.1 Genutzte Schwachstellen

Es werden Schwachstellen des Systems (Gerootete Geräte, Veraltetes System (fehlende Updates), , Software und Softwarefehler), der Funkverbindung (Freie Hotspots) und des Internets (Anonymität, Vertrauen auf öffentliche Services (DNS, Proxies)) ausgenutzt. (vgl Seite 22ff)

6.11.6.2 Relevanz

Das Domain Name Service wird für jede Anfrage benötigt, damit der Namensstring in eine IP-Adresse umgewandelt werden kann. Für einen Benutzer ist es im Normalfall nicht möglich, den DNS Server zu überprüfen. Er muss darauf Vertrauen, dass er vom Provider (Mobilfunkprovider oder WLAN) einen vertrauenswürdigen Server zugewiesen bekommt. Aus diesem Grund ist es vor allem für e-Banking sehr wichtig sich gegen DNS Manipulation zu schützen.