28. Juni 2010 - Man-in-the-Middle-Attacken

Wenn sich der Datendieb als Datenbank ausgibt

Viele Datenbankverbindungen finden unverschlüsselt statt. Gelingt es einem Angreifer, sich zwischen Benutzer und Datenbankserver zu schalten, erhält er Zugriff auf die übertragenen Daten, die er mitlesen, manipulieren oder blockieren kann. Eine solche Man-in-the-Middle-Attacke droht aber nicht nur bei Datenbankverbindungen, sondern bei jeder Form der ungeschützten Datenkommunikation, ob im Internet, im Home Office oder im eigenen Firmennetzwerk. Informieren Sie deshalb die Mitarbeiter über die Gefahren durch den „Mann in der Mitte“.

wenn-sich-der-datendieb-als-datenbank-ausgibt.jpeg
Wirken Sie auf einen effektiven Datenbankschutz hin! (Bild: Antje Delater / PIXELIO)

Vorsicht bei Browser-Warnungen

Erstaunlich viele Internetnutzer übergehen die Browser-Warnung, dass das digitale Zertifikat zu der angefragten SSL-verschlüsselten Verbindung nicht gültig ist, von keiner autorisierten Stelle signiert wurde oder der Name auf dem Zertifikat nicht mit dem Namen laut Domain Name System (DNS) übereinstimmt. Der Browser wird vom Anwender einfach überstimmt, die Verbindung wird aufgenommen.

Wahrscheinlich hat der Webseiten-Betreiber noch kein offizielles Zertifikat, das hat er sicher bereits beantragt, denkt sich dann der Internetnutzer. Was er meist leider nicht denkt: Es könnte sich um einen Man-in-the-Middle-Angriff (MITM) handeln.

Digitale Zertifikate werden vorgetäuscht

So könnte sich zum Beispiel eine Spyware auf dem Rechner des Internetnutzers eingenistet haben, die die Internetverbindungen auf einen von Internetkriminellen betriebenen Proxy-Server umlenkt.

Dieser Server nimmt die Browser-Anfrage für die gewünschte Webseite entgegen und reicht sie tatsächlich an den echten Betreiber weiter. Was allerdings nicht echt ist, ist das dem Browser des Internetnutzers übertragene SSL-Zertifikat.

Der Datendieb täuscht das Zertifikat des echten Anbieters vor, nimmt aber ein anderes, dessen geheimen Schlüssel er kennt. Dazu baut der sogenannte „Mann in der Mitte“ eine echte SSL-Verbindung mit dem Betreiber auf, wertet dessen SSL-Zertifikat aus, imitiert es und baut mit dem gefälschten SSL-Zertifikat eine Verbindung zum Internetnutzer auf.

Fällt der Nutzer auf die Täuschung herein und missachtet er die Browserwarnung, überträgt er die Daten nicht an den Betreiber der angezeigten Webseite, sondern an den Datendieb. Der kann die Daten ohne weiteres entschlüsseln, dann auslesen, manipulieren oder blockieren, also die Verbindung zum echten Betreiber abschneiden.

Man-in-the-Middle auch im eigenen Netzwerk möglich

Eine solche Man-in-the-Middle Attacke droht aber nicht nur bei Online-Verbindungen. Besonders einfach kann ein solcher Angriff im eigenen Netzwerk erfolgen. Dabei täuscht ein Rechner dem anderen vor, dass er der angefragte Server ist. Das zu erreichen, ist leider nicht besonders schwierig.

Checkliste für Ihre Datenschutz-Schulung:
Man-in-the-Middle-Angriffe 

Deutlich wird dies für die Mitarbeiter in Ihrer Datenschutz-Schulung, wenn Sie den prinzipiellen Mechanismus bei der Kommunikation im Netzwerk darstellen:

Möchte ein Computer eine bestimmte Netzwerkverbindung aufnehmen (zum Beispiel zu einem Datenbankserver), so fragt er alle im Netzwerk befindlichen Computer, zu wem die gewünschte Netzwerkadresse oder IP-Adresse gehört. Im Regelfall antwortet der betreffende Computer. Der anfragende Computer merkt sich dann, dass die gewünschte IP-Adresse zu dieser bestimmten Geräteadresse (MAC-Adresse) gehört.

Nun könnte sich aber auch ein anderer Computer im Netzwerk melden und sich als der unter der IP-Adresse zu findende Datenbankserver ausgeben, also die erste Zuordnung verändern.

Dynamische Zuordnung kann gefährlich sein

Diese Vorbereitung einer Man-in-the-Middle Attacke wird ARP Spoofing genannt, da das ARP (Address Resolution Protocol) manipuliert, die Zuordnung IP-Adresse (Netzwerk) zu MAC-Adresse (Gerät) verändert wird.

Das Protokoll sieht keine Identifikation vor, die Computer im Netzwerk vertrauen einander, ein Vertrauen, das ein „Mann in der Mitte“ ausnutzen kann.

Durch die veränderte Zuordnung laufen nun alle Datenströme zum Rechner des Angreifers und nicht mehr zum echten Datenbankserver. Der Datendieb spielt dazu einfach den Datenbankserver vor und kann reiche Ernte einfahren. Dazu muss er nicht einmal ein geübter Hacker sein: Tools für solche MITM-Attacken gibt es als Download im Internet, für das interne Netzwerk genauso wie für das Web.

Wirken Sie auf eine durchgehende Verschlüsselung bei Datenbanken hin

Wäre die Verbindung zur Datenbank verschlüsselt, hätte der Datendieb keinen Zugriff auf die Daten. Doch leider sind gerade Datenbankverbindungen häufig unverschlüsselt und besonders anfällig für Man-in-the-Middle Attacken, wie kürzlich auf der Sicherheitskonferenz BlackHat Europe unterstrichen wurde.

Machen Sie deshalb die Mitarbeiter und die Datenbankadministratoren auf die Gefahren durch Man-in-the-Middle-Attacken aufmerksam und wirken Sie hin auf eine durchgehende Verschlüsselung, auch und gerade für Datenbankverbindungen.

Empfehlen Sie zudem eine möglichst feste Zuordnung zwischen Netzwerkadressen und MAC-Adressen im internen Netzwerk, so dass sich ein Datendieb nicht mehr so leicht als Datenbank ausgeben kann.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln