Hallo Walter,
Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:
On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des Opfers nehmen können,
was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
was bei genügend krimineller Energie kein Hexenwerk ist...
doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt ;-)
oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte Person ist ausgeschlossen;
wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als auch Mailserver ausgeben.
Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers begeben und so dafür sorgen, daß sich dessen Smartphone statt über das Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet. Der echte Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar leichter als der auf eine ganze Gruppe.
hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein derartiger MITM-Angriff das kleinere Problem ...
Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B. per Cache Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning betreiben, um sich zu schützen.
Gruß, Gregor