Mit M PDF

Preview

Summary

Download Mit M PDF

Description

MitM Seguramente, uno de los ataques màs conocidos (y temidos) que se conoces es el ataque del “intermediario” o como se dice en inglés Man in the Middle. Este tipo de ataque se basa en que el atacante consigue que todo el tráfico pase a través de él antes de llegar a su destino. Un ejemplo: 1. Alice envía un mensaje a Bob, que es interceptado por Mallory: Alice "Hola Bob, soy Alice. Dame tu clave." → Mallory Bob 2. Mallory reenvía este mensaje a Bob; Bob no puede decir que no es realmente de Alice: Alice Mallory "Hola Bob, soy Alice. Dame tu clave." → Bob 3. Bob responde con su clave de cifrado: Alice Mallory ← [clave de Bob] Bob 4. Mallory reemplaza la clave de Bob con la suya, y transmite esto a Alice, afirmando que es la clave de Bob: Alice ← [clave de Mallory] Mallory Bob 5. Alicia encripta un mensaje con lo que ella cree que es la clave de Bob, pensando que sólo Bob puede leer: Alice "¡Nos vemos en la parada de autobús!" [Cifrada con la clave de Mallory] → Mallory Bob 6. Sin embargo, debido a que en realidad estaba cifrada con la clave de Mallory, Mallory puede descifrarlo, leerlo, modificarlo (si se desea), volver a cifrar con la clave de Bob, y lo remitirá a Bob: Alice Mallory "¡Nos vemos en la furgoneta de al lado del río!" [Cifrada con la clave de Bob] → Bob 7. Bob cree que este mensaje es una comunicación segura de Alice. Bob va a la furgoneta sin ventanas y Mallory le atraca. Como podemos observar, para poder llevar a cabo este tipo de ataques, el atacante tiene que estar cerca de la víctima y estar en su misma red (aunque existen variantes domo el Man in the Browser que permite atacar a un número mayor de víctimas estando lejos de ellas). Este tipo de ataques, se suelen llevar a cabo en zonas públicas con redes inalámbricas. El principal reto de este ataque es conseguir que el tráfico de la víctima pase por el atacante antes de llegar a su destino y, obviamente, que la víctima no se dé cuenta de ello. Para ello existen varios métodos entre los cuales se encuentran:

ARP Spoofing: El ARP spoofing consiste en hacerse pasar por el Gateway por defecto de una red. El atacante envenena la tabla de enrutamiento de la víctima y del Gateway real enviando ARP response dirigidos a éstos dos continuamente. Esto hace que la víctima se crea que está hablando con el Gateway y el Gateway se crea que está hablando con la víctima. Ejemplo: 1. Primero el atacante abre una herramienta ARP Spoofing, e inserta la dirección ip de la víctima. Las herramientas utilizadas para este ataque son arpspoof, Arpoison, Cain & Abel y Ettercap, aunque hay otras. 2. El atacante hace uso de la herramienta de ARP Spoofing y escanea las direcciones MAC e IP de los hosts de la subred del objetivo. 3. El atacante empieza a enviar paquetes ARP con su dirección MAC y con la dirección ip de la víctima. Con esto, el atacante consigue envenenar a sus víctimas. (se tiene que ejecutar este ataque dos veces, uno para el atacante y otro para el gateway). 4. Los paquetes se redireccionan a través del atacante (en los dos sentidos). Este ejemplo muestra cómo, el ARP Spoofing, se puede utilizar para ejecutar un MitM, pero también se puede utilizar para llevar a cabo un ataque de DoS, haciendo que, en una LAN, muchas direcciones IP estén enlazadas a la dirección MAC de la víctima. Para combatir este ataque se recomienda: 



Utilizar software de detección de ARP Spoofing: este tipo de programas básicamente inspeccionan y certifican los datos antes de su transmisión y bloquean los datos que parecen de un origen falso. Utilizar protocolos de red criptográficos: este método consiste en cifrar los datos que se envían y autenticar los datos que se reciben utilizando protocolos como Transport Layer Security (TLS), Secure Shell (SSH) o HTTP seguro (HTTPS).

SSL Strip: Los ataques MitM siempre han sido temidos por unos y amados por otros, dependiendo de qué lado de la ecuación te encuentres. Eso ha hecho que se haya seguido un juego de gato y ratón durante mucho tiempo. Uno de esos intentos para acabar con este tipo de ataques fue la creación del protocolo HTTPS, el cual consiste en que toda comunicación entre el usuario y el servidor web se cifre, y que muchos servidores solo aceptasen dicho protocolo. Por ejemplo: si un cliente se quería conectar a una web con HTTP, el servidor le “obligaba” a conectarse usando HTTPS. Parece que, si es así, aunque alguien esté de intermediario no importa que esté escuchando la conversación, debido a que los datos van cifrados de la víctima al servidor. Pero como siempre pasa, hecha la regla, hecha la trampa y salió el SSL Strip. Este ataque consiste en: 1. realizar previamente un MitM utilizando, por ejemplo, el ARP Spoofing. 2. Seguidamente ejecutar SSLStrip. 3. Se espera a que la víctima haga una conexión HTTP contra algún servidor (que pasa por el atacante). 4. Aquí interviene SSLStrip y traduce la petición HTTP de la víctima a HTTPS y establece conexión con el servidor. 5. El servidor devuelve la respuesta en HTTPS al atacante. 6. El atacante devuelve la respuesta a la víctima en HTTP. De este modo la víctima no sabe que el servidor solo acepta peticiones HTTPS y sigue navegando con normalidad. Metodos de seguridad: La mayoría de los navegadores usaron HSTS como remedio contra este ataque. Lo que hacen es mantener una lista de todos los sitios WEB que aceptan HTTPS y no aceptan peticiones HTTP para ellos. SSLStrip todavía puede funcionar, pero tan solo, si el usuario visita por primera vez una web mientras le estamos escuchando. SSLStrip 2: Permite hacer un bypass parcial del HSTS y es un plugin de la herramienta MITMF 1, herramienta creada des de cero para proporcionar un estilo modular y fácilmente es extensible.

1...