lunes, 17 de marzo de 2008

Variables del Phishing. Man in the middle

Es una de las variables más exitosas para obtener el control de la información y los recursos. El atacante se sitúa entre la victima y la aplicación Web e intercepta todas las comunicaciones entre ellos. Desde este punto puede observar y recolectar todas las transacciones
Tiene éxito tanto para comunicaciones HTTP como HTTPS. La victima conecta con el phisher como si fuera el sitio real, y este hace conexiones simultáneas al sitio real. EL phisher actúa como Proxy en tiempo real.
En el caso de HTTPS, como en SSL la conexión se establece entre la victima y el Proxy atacante, el que puede almacenar toda la información desencriptada, mientras que el Proxy atacante crea su propia conexión SSL con el servidor real.
Para que el ataque man-in-the middle se realice el atacante debe poder dirigir a la victima a su servidor proxy en vez del servidor real. Esto lo puede realizar por varios métodos:

1. Proxies transparentes: Situado en el mismo segmento de la red o localizado en la ruta al servidor real (p.e. Gateway corporativo o ISP intermedio), un Proxy transparente pueden interceptar todos los datos que se negocian por HTTP y HTTPS. No se requiere cambios de configuración en la victima.

2. Envenenamiento Cache DNS: Se utiliza para interrumpir el enrutamiento normal inyectando direcciones IP falsas para los nombres de dominio. Por ejemplo, modificando la tabla de DNS del firewall de Red para que todo el tráfico destinado a la entidad bancaria se resuelva a la dirección IP del servidor atacante.

3. Ofuscación de URL: Utilizando las técnicas de la ofuscación de URL, el atacante engaña al cliente a conectar a su servidor Proxy en vez del servidor verdadero. Por ejemplo, el cliente puede enlazar a una conexión a http://www.mibanco.com.tk/ en vez de http://www.mibanco.com/

4. Configuración del Proxy del Cliente de navegación: Configurando las opciones del navegador y parametrizando una conexión Proxy, el atacante fuerza la navegación a través de dicho Proxy. Es un método no transparente y la victima puede percatarse revisando su configuración e identificar el Proxy agresor. Muchas veces los cambios son realizados a la recepción de un mensaje de Phishing.

5 comentarios:

nuria dijo...

Este artículo viene a ser la continuación del anterior ya que nos habla de las formas de ocultación que tiene el phisher entre la páhina que accede el usuario y la IP del mismo usuario.

Nuria Pujol Gutierrez
11339860

G dijo...

Esta claro que hay muchas maneras de ofuscar una URL y enganñar al usuario a parte de poder también, redirigir o intervenir la comunicación entre usuario y sevidor.

Anónimo dijo...

Un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.
Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro.
El ataque MitM puede incluir algunos de los siguientes subataques:
• Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.
• Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.
• Ataques de sustitución.
• Ataques de repetición.
• Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío de periódico de mensajes de status autenticados.
MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

Anónimo dijo...

Un ataque man-in-the-middle es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.
La posibilidad de un ataque de hombre-en-el-medio sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:
• Claves públicas
• Autenticación mutua fuerte
• Claves secretas (secretos con alta entropía)
• Passwords (secretos con baja entropía)
• Otros criterios, como el reconocimiento de voz u otras características biométricas.

Jéssica Castilla

Anónimo dijo...

Un ataque man-in-the-middle es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.
La posibilidad de un ataque de hombre-en-el-medio sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:
• Claves públicas
• Autenticación mutua fuerte
• Claves secretas (secretos con alta entropía)
• Passwords (secretos con baja entropía)
• Otros criterios, como el reconocimiento de voz u otras características biométricas

Jéssica Castilla

Web Statistics