Man-in-the-middle einfach erklärt – Tutorial

Wolltest Du nicht schon immer einmal, wissen was Dein(e) Freund(in) im Internet treibt?

Wie könne Hacker Passwörter abgreifen und Informationen fehlleiten?

Diese Tutorial zeigt Dir…

1. Technik der Man-In-The-Middle (MITM) Attacke von Hackern
2. Dein Schutz vor einer Man-In-The-Middle (MITM) Attacke

Um was geht’s? – Man-In-The-Middle

Wireshark ist ein Netzwerkanalyse-Tool, welche den Netzwerkverkehr mitschneiden kann. Die Datenpakete bereitet das Tool visuell auf, um Netzwerkprobleme zu entdecken.

Knappe Einordnung

Wireshark gehört zu den Sniffern. Sniff (deutsch: schnüffeln) bedeutet, dass das Tool den gesamten Internet-Traffic überwacht und einsehen kann.

Im Promiscuous-Mode kann das Tool gesamten Traffic im LAN mitschneiden, welches für andere Geräte bestimmt ist z. B. Dein Smartphone, Deine smarte Leute oder der Smart-TV.

Router senden die empfangene IP-Paketen an alle Geräte. Jedes Gerät hat eine MAC-Adresse. Stimmt die eigene MAC-Adresse mit den eingehenden IP-Paketen überein, dann nimmt die Netzwerk-Karte das Paket an.

Disclaimer für Sniffing

Beachte aber folgendes. Das hier Gelernte kann eine Anwalt als Straftat deklarieren:

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.

Man-In-The-Middle einfach erklärt

Spoofing (deutsch: Manipulation) nennt sich eine absichtliche Veränderung und / oder Fehlleitung von IP-Paketen.

Der Angreifer versucht unbemerkt IP-Pakete auszutauschen, sodass das Opfer meint, dass der Inhalt z. B. eine E-Mail von einer zertifizierten Quelle stammt.

Diese Arten von Spoofing gibt es:

• IP-Spoofing
  Ein Hacker übermittelt Dir HTML, CSS und JavaScript einer präparierten, gehackten Webseite und fälscht hierzu die IP, sodass diese „echt“ aussieht.
• DNS-Spoofing
  Ein Hacker versucht die Anfrage von z. B. Deine Bank Webseite auf seinem Server umzuleiten, sodass das Opfer auf einer gefälschten Webseite die Passwörter eingibt. DNS wandelt ein URL „postbank.de“ zu einer IP „160.83.8.182“ um.
• E-Mail-Spoofing
  SMTP ist nicht sicher und benötigt keine Authentifizierung. Deshalb kann der Hacker einfach den Kopf der Mail austauschen und sich als eine Autoritäts-Person ausgeben. Diese Art von Spoofing nutzen Spam-Mailer und Hacker, die Passwörter abgreifen wollen.
• ARP Spoofing
  Das Address Resolution Protokoll (ARP) dient dazu ein Gerät in einem LAN-Netz zu erkennen: Via MAC-Adresse melden sich die Geräte beim Rooter an und dieser leitet die Daten weiter. Wenn derHacker Ihre MAC-Adresse manipulieren und sich als ein anderes Gerät ausgeben kann der Rooter die Daten fehlleiten.

Praxis – Man-In-The-Middle heutzutage

Stell Dir vor, Du gehst in ein Café und bestellst Dir ein Kaffee. Aus Langeweile (und gut eingeübter Routine) ziehst Du Dein Smartphone aus der Tasche und fängst an zu tippen. Da heute der 30. des Monates ist und Du an Daten sparen willst, suchst Du nach einem öffentlichen W-LAN.

Du logst Dich in das nächst beste W-LAN mit gutem Signal ein und akzeptierst die AGBs.

Ist das sicher?

Im Café kann ein Hacker sitzen und eine W-LAN Hotspot mit den Namen „Cafe am Bahnhof“ eingerichtet haben. Mit einem Sniffer wie Wireshark überwacht der Böse Deine Internet-Aktivitäten.

Falls Du Dich auf ungeschützten Domains aufrufst, kann er alles sehen. Falls Du eine Webseite mit TSL (alt: SSL) verschlüsselte Webseiten nutzt, kann der Hacker nicht mehr sehen, was Du surfst. Stattdessen sieht er nur die Domain-Namen.

Dieses Szenario nennt sich Man-In-The-Middle Attack.

Spurensuche – Wireshark Tutorail 1

Wie wir jetzt schon gelernt haben, schneidet Wireshark alles mit, was über das LAN-Kabel oder W-LAN Modul läuft. Die riesigen Datenmengen die Synchronisation von Clouds, E-Mail-Programme oder Browser anfallen stellt das Tool Paket für Paket dar. Ein Paket enthält je nach Größe eine sehr kleine Mengen an Daten.

ATTACKE! – Suche nach Daten

Wenn Du google.de in die URL-Leiste im Browser eingibst und dann Enter drückst, downloadet der Browser hunderte von Frames (Internet-Pakete). In Wireshark kann der Nutzer die Übersicht über die Anzahl an Frames verlieren, da 100+ pro Sekunde auf den Nutzer einprasseln.

Aus diesem Grund gibt es Masken bzw. Filter, mit dem der Nutzer die interessanten Pakete anzeigen lassen kann.

Filter nach HTTP, indem Du oben in die Suchleiste HTTP eingibst.

Sicherung: VPN und öffentliche W-LANs

Sicherungsmaßnahme

So vermiedst Du es Opfer einer MITM Attacke zu werden

Nutze Dein eigenes W-LAN oder eigene Mobile Daten.

Das öffentliche W-LAN solltest Du daher meiden. Es ist nicht sofort offensichtlich, wer das W-LAN „wirklich“ betreibt.

Jeder kann sein Handy nehmen, sich in ein Kaffee setzen, die Mobilen Daten aktivieren, einen Hotspot ohne Passwort eröffnen und das W-LAN  „Kaffeehaus Public“ nennen. Allen Traffic kann der Hacker überwachen.

Wenn Du trotzdem in ein öffentliche W-LAN Nutzer willst, achte auf eine Ende-zu-Ende Verschlüsselung, die mit TSL realisieren ist. Im Browser erkennst Du TSL an „https“ oder einem grünen Schloss.

HTTPS mit grünen Schloss ist ein MUSS! + VPN