Man in the Middle Attacke
Bei dieser Angriffsform versucht ein Angreifer eine Möglichkeit zu finden sich zwischen Zielsystem und dem dazugehöhrenden Benutzer zu platzieren.
Sinn und Zweck dieses Angriffs ist es, Zugriff auf einen Datenstrom zu bekommen, damit der Angreifer diesen mitlesen oder gar manipulieren kann.
Diese Angriffsform eignet sich hervorragend um in einem Netzwerk nicht sofort erkannt zu werden, da weder das Client-System, noch das Server-System direkt angegriffen werden muss.
Ein mögliches Szenario besteht darin, dass ein Anwender im Internet unter Verwendung eines Proxysystems surft. Wird dieser Proxy nun kompromittiert, so wäre der Angreifer in der Lage, die Daten die der Anwender mit einem Zielsystem austauscht mitzulesen, ohne dass der Betreiber des Servers oder der Anwender selber hiervon etwas mitbekommen.
Besonders interessant ist diese Möglichkeit dann, wenn es dem Angreifer gelingt einen verschlüsselten Datenstrom abzufangen. In diesem Fall hat er die Gelegenheit sich bei dem Server als Client und bei dem Client als Server auszugeben, um so in die Lage versetzt zu werden, den Datenstorm unverschlüsselt mitlesen zu können. Allerdings steigt in diesem Fall die Gefahr der Erkennung.
Sich gegen diese Angriffsform schützen kann man leider nur sehr begrenzt, da eine
Verbindung zwischen Client und Server im Internet normalerweise über viele Stationen
erfolgt, von denen nur sehr wenige kontrollierbar sind.
Aber: Man kann andere schützen!!!
Und hier zeigt sich (ähnlich wie im Fall des Cross Site Scripting), daß ein Systemadministrator eine hohe Verantwortung auch gegenüber vermeintlich Aussenstehenden hat. Indem er nämlich seine Systeme so absichert, daß es einem Angreifer nicht möglich ist sie für einen Man in the Middle Angriff zu nutzen, schützt er die anderen Netzteilnehmer.
Damit ein System nicht als Ausgangspunkt für diese Angriffsform genommen werden kann, reicht es, dafür Sorge zu tragen, daß es fehlerfrei Konfiguriert ist, keine Designfehler aufweist und auftretende Programmierfehler sofort beseitigt werden. Ausserdem kann ein Systemadministrator in seinen Logfiles erkennen, ob sein System für einen solchen Angriff missbraucht werden soll bzw. worden ist. In diesem Fall sollte er unter allen Umständen die Opfer hierüber informieren. Der potentielle Imageverlust (den viele Unternehmen in diesem Fall fürchten) sollte hierbei auch keinen Hinderungsgrund darstellen.
Einen Fehler zu machen ist nicht weiter
schlimm, aber ihn durch einen weiteren Fehler vertuschen zu wollen ist unverzeihlich.
