Dieser Beitrag behandelt Man-in-the-middle-Angriffe auf Internet-Verbindungen zwischen Server (Website) und Client (Browser).

Bei Man-in-the-middle-Angriffen steht der Angreifer zwischen dem Webserver, der eine Website zur Verfügung stellt und dem Browser, mit dem diese aufgerufen wird. Gelingt es dem Angreifer, beiden vorzutäuschen, dass er der echte Kommunikationspartner ist, kann er nach belieben Daten abgreifen oder manipulieren. Beispielsweise könnte er im Falle einer Verbindung vom Kunden mit seiner Bank den Betrag einer Überweisung und die begünstigte Kontonummer ändern. Oder er könnte, wenn er denn Geheimdienst ist, die Kommunikation abhören und falsche Informationen einstreuen. Der Man-in-the-middle-Angriff ist also sehr ernst zu nehmen.

Man-in-the-middle-Angriffe fallen besonders leicht innerhalb eines Wireless Local Arrea Networks (WLAN). Vor allem öffentliche WLANs, bspw. an Flughäfen, Bahnhöfen oder in Cafés werden dazu genutzt. Dabei wird dem Browser entweder ein falscher Access Point vorgetäuscht oder der Angreifer erlangt Kontrolle über den Router.

Eine weitere Methode des Man-in-the-middle-Angriffs ist das Domain Name Server (DNS) Cache Poisoning. Domains (zum Beispiel https://dirkwolf.de) werden im Internet nicht direkt aufgerufen, sondern müssen über DNS zu den tatsächlich benötigten Internet Protocol-Adressen (IP-Adressen, zum Beispiel 5.9.121.204 für den Server, auf dem https://dirkwolf.de gehostet wird) geleitet werden. Beim DNS Cache Poisoning leitet der Angreifer statt auf die echte IP-Adresse auf eine vom ihm kontrollierte.

Schutz vor Man-in-the-middle-Angriffen bietet grundsätzlich die Verschlüsselung via SSL/TLS. Dazu muss entweder der Nutzer explizit https://… eingeben oder – was definitiv besser ist – der Server leitet alle Anfragen, egal ob https:// oder http://… auf eine verschlüsselte Seite um. Ist das so passiert, vereinbaren der Server, auf dem die Website gehostet ist und der Browser, der die Website aufruft, die Kommunikation verschlüsselt aufzubauen und den gesamten Inhalt nur verschlüsselt zu übermitteln.

Selbstverständlich haben mögliche Angreifer nach Wegen gesucht, auch das zu umgehen. Darauf reagiert die Internetgemeinde mit einer relativ neuen Abwehrmethode, der HTTPS Strict Transport Security (HSTS). Dazu lesen Sie hier mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert