Inicio

Ataque man-in-the-middle


En verde la conexión original en rojo la conexion bajo un ataque  man-in-the-middle

En criptografía un ataque man-in-the-middle (en español: hombre-en-el medio y en siglas: MITM) es un tipo de ataque informático en el que el atacante tiene conexiones independientes con las victimas y trasmite mensajes entre ellos, haciéndoles creer que están hablando directamente entre sí a través de una conexión privada, cuando en realidad toda la conversación es controlada por el atacante. El atacante debe ser capaz de interceptar todos los mensajes que van entre las dos víctimas e inyectar nuevos, lo cual es sencillo en muchas circunstancias (por ejemplo: un atacante dentro del rango de recepción de un punto de acceso de una red inalámbrica Wi-Fi sin encriptar, puede insertarse como un hombre en el medio).

Un ataque man-in-the-middle puede tener éxito solo cuando el atacante puede hacerse pasar por cada punto final a satisfacción de la otra (esto es un ataque de autenticación mutua). La mayoría de los protocolos criptográficos incluyen alguna forma de autentificación de extremos específicamente para prevenir los ataques MITM. Por ejemplo: SSL autentifica al servidor utilizando una autoridad de certificación de confianza mutua.

Necesidad de la transferencia adicional en un canal seguro

Con la excepción del Protocolo de Bloqueo (Interlock Protocol) todos los sistemas criptográficos que están protegidos frente a ataques MITM requieren un intercambio adicional o la trasmisión de información a través de algún tipo de canal seguro. Muchos métodos de acuerdo de claves se han desarrollado, con diferentes requisitos de seguridad para el canal seguro.

Ejemplo de un ataque man-in-the-middle

Comunicación antes del ataque ( con el flujo de trafico normal)

Supongamos que Alicia desea comunicarse con Roberto, y Manuel (man-in-the-middle) quiere interceptar esa conversación, o quizás quiera hacer llegar un mensaje falso a Roberto. Para iniciar la comunicación, Alicia debe solicitar a Roberto su clave pública. Si Roberto envía su clave a Alicia, pero Manuel es capaz de interceptarla, éste podría desplegar un ataque MITM. Manuel podría enviar a Alicia su propia clave pública (la de Manuel, en lugar de la de Roberto). Alicia, creyendo que la clave pública recibida es de Roberto, cifraría su mensaje con la clave de Manuel y enviaría el criptograma a Roberto. Manuel interceptaría de nuevo, descifraría el mensaje con su clave privada, guardaría una copia; volvería a cifrar el mensaje con la clave de Roberto (tras una alteración, si así lo desea) y lo re-enviaría a Roberto. Cuando éste lo recibiera, creería que proviene de Alicia.

Comunicación despues del ataque (con el flujo de trafico desviado)

Este ejemplo ilustra la necesidad de Alicia y Roberto de contar con alguna garantía de que están usando efectivamente las claves públicas correctas. En otro caso, sus comunicaciones se verían expuestas a ataques de este tipo usando la tecnología de clave pública. Afortunadamente, existe una variedad de técnicas que ayudan a defenderse de los ataques MITM.

Defensas contra el ataque man-in-the-middle

La posibilidad de un ataque man-in-the-middle sigue siendo un problema potencial de seguridad muy serio, incluso para muchos cripto-sistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MITM, estas defensas emplean técnicas de autenticación basadas en:

  • Infraestructura de claves públicas
  • Autenticación mutua fuerte tales como:
  • Claves secretas (que suelen ser información secreta de entropía alta y por lo tanto más segura)
  • Contraseñas (passwords) (que son generalmente información secreta de entropía baja y por lo tanto menos segura)
  • El examen de latencia, como con mucho los cálculos de la función hash criptográfica que conducen a decenas de segundos, si ambas partes toman normalmente 20 segundos y el cálculo de 60 segundos para llegar a cada parte, esto puede indicar a un tercero en la comunicación.
  • Un segundo canal de verificación (seguro).
  • Pads(almohadillas) de una sola vez son inmunes a los ataques MITM, en el supuesto caso de la seguridad y la confianza de la plataforma de una sola vez.
  • Verificación hacia adelante
  • Se están llevando a cabo pruebas sobre la eliminación de certificados comprometidos por las autoridades de emisión en las computadoras actuales y los certificados comprometidos  están siendo exportados al área de sandbox antes de removerlos para analizar.

La integridad de las claves públicas en general se deben asegurarse de alguna manera, pero éstas no tienen que ser secretas. Las contraseñas (passwords) y claves secretas compartidas tienen el requerimiento de secreto adicional. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública se distribuye a través de un canal seguro (por ejemplo: con un navegador web o instalación en el sistema operativo). Las claves públicas también pueden ser verificadas por una web de confianza que distribuye las claves públicas a través de un canal seguro (por ejemplo: reuniones cara a cara).

Vea key-agrement protocol (en inglés en el enlace/traducción: Protocolo de acuerdo de claves) para una clasificación de los protocolos que utilizan diversas formas de claves y contraseñas para prevenir ataques man-in-the-middle.

Análisis forense de un ataque MITM.

Trafico capturado de una red que se sospecha esta bajo un ataque MITM puede ser analizado con el fin de determinar si realmente fue un ataque MITM o no. Una prueba importante para analizar al hacer el análisis forense de la red de un sospechoso ataque MITM SSL incluye:

  • Dirección IP del servidor
  • DNS del servidor
  • Certificado del servidor X.509
    • Es el mismo certificado firmado?
    • Es el certificado firmado por una CA de confianza?
    • Ha sido revocado el certificado?
    • Ha sido certificado recientemente?
    • Otros clientes, en otros lugares de internet, también obtuvieron el mismo certificado?

La criptografía cuántica

Los protocolos de criptografía cuántica suelen autentificar la totalidad o parte de su comunicación clásica con un esquema de autentificación segura sin condiciones.

Más allá de la criptografía

MITM debe ser visto como un problema general que resulta de la presencia de partes intermedias que actúa como un proxy para los clientes en ambos lados. Si son confiables y competentes, todo puede estar bien; si no es así nada será. ¿Cómo se pueden distinguir los casos?. Actuando como un proxy, aparece como el cliente de confianza a cada lado, el atacante intermedio puede llevar acabo muchas travesuras, incluyendo varios ataques contra la confidencialidad o integridad de los datos que pasan a través de él atacante.

Traducción: Velcro

Fuente: Wikipedia

Anuncios

2 comentarios (+add yours?)

  1. david
    Ago 29, 2017 @ 04:13:04

    que hacer cuando se sufre un ataque de este tipo

    Me gusta

    Responder

    • Jesús
      Ago 29, 2017 @ 11:48:34

      Primero que nada, los ataques man-in-the-middle son difíciles de detectar, recuerde que los ciberdelincuentes lo que buscan es información confidencial, puede ser personal o bancaria, una de las formas es cuando accede a sitios que necesitan información sensible de siempre utilizar el protocolo HTTPS y en su navegador tener abierta solo la ventana con la que está trabajando.

      Además, existen diferentes formas efectivas para que los usuarios de PCs se defiendan de los ataques man-in-the-middle, pero la mayoría de ellas es de usar un router/ servidor el cual no permite que el usuario controle la seguridad de la transacción que realiza. Este método de defensa usa un sistema de cifrado fuerte entre el cliente y el servidor. En este caso, el servidor se verifica a sí mismo presentando un certificado digital y establece un canal cifrado entre el cliente y el servidor a través del que se envía la información confidencial.

      También, los usuarios de PCs pueden protegerse de este tipo de ataques evitando conectarse a routers WiFi abiertos y también usando complementos (plugins) de navegador como HTTPS Everywhere o ForceTLS, los cuales establecen una conexión segura siempre que este disponible. Ahora bien, sin embargo, cada una de estos métodos tiene sus límites y existen ejemplos de ataques que pueden invalidar la seguridad de las conexiones SSL.

      Además, el usuario debe estar consciente de que su equipo este actualizado, tanto en el sistema operativo como todo el software que tenga instalado en el mismo. Otra recomendación es estar informado de las vulnerabilidades y los procedimientos para mitigar las mismas.

      Si logra detectar un ataque de este tipo y el mismo affecta a su situacion financiera lo que debe hacer es disputar con la entidad bancaria los cargos que le estan acreditando y cancelar inmediatamente la cuenta afectada, generalmente las entidades bancarias abren otra cuenta al usuario afectado.

      Me gusta

      Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: