¿Qué es un ataque de intermediario?
Ataque Man-in-the-middle
Wikipedia, la enciclopedia libre
En el campo de la criptografía y la seguridad informática, Man-in-the-middle ataque, abreviatura: MITM) significa que el atacante crea conexiones independientes con ambos extremos de la comunicación e intercambia los datos que reciben, haciendo que los dos extremos de la comunicación piensen que están hablando directamente entre sí a través de una conexión privada, pero en realidad Toda la sesión está totalmente controlada por el atacante. En un ataque de intermediario, el atacante puede interceptar la comunicación entre las dos partes e insertar contenido nuevo. En muchos casos, esto es sencillo (por ejemplo, un atacante intermediario dentro del alcance de un punto de acceso Wi-Fi no cifrado podría insertarse en la red como intermediario).
El requisito previo para un ataque de intermediario exitoso es que el atacante pueda disfrazarse de cada terminal que participa en la sesión y no ser visto por otros terminales. Un ataque de intermediario es un ataque de (falta de) autenticación mutua. La mayoría de los protocolos de cifrado incorporan métodos de autenticación especiales para evitar ataques de intermediario. Por ejemplo, el protocolo SSL puede verificar si el certificado utilizado por una o ambas partes que participan en la comunicación es emitido por una autoridad certificadora de certificados digitales autorizada y confiable, y puede realizar una autenticación de identidad bidireccional.
Directorio
1 La transmisión adicional debe realizarse a través de un canal seguro
2 Ejemplos de ataques
3 Defensa contra ataques
4 Análisis forense de ataques de tipo man-in-the-middle
5 Otros ataques de tipo man-in-the-middle no cifrados
6 Implementación
7 Ver también
8 Referencias
Requiere transmisión adicional a través de un canal seguro
A diferencia de los protocolos de cadena, todos los sistemas de cifrado que pueden resistir el hombre en el -Los ataques intermedios requieren alguna transmisión o intercambio a través de un canal seguro. Para cumplir con los diferentes requisitos de seguridad de los diferentes canales seguros, se han estudiado muchos protocolos de intercambio de claves.
Ejemplo de ataque
Supongamos que Alice desea comunicarse con Bob. Mientras tanto, Mallory espera interceptar la conversación para escuchar a escondidas y posiblemente entregarle un mensaje falso a Bob en algún momento.
Primero, Alice le pedirá a Bob su clave pública. Si Bob envía su clave pública a Alice y Mallory puede interceptar la clave pública, se puede llevar a cabo un ataque de intermediario. Mallory le envía a Alice un mensaje falsificado que dice ser Bob y adjunta la clave pública de Mallory (en lugar de la de Bob).
Después de recibir la clave pública, Alice creyó que la clave pública pertenecía a Bob, por lo que Alice cifró su mensaje con la clave pública de Mallory (Alice pensó que pertenecía a Bob) y el mensaje cifrado se envió de regreso a Bob. Mallory intercepta el mensaje de Alice a Bob nuevamente y usa la clave privada de Mallory para descifrar el mensaje. Mallory también puede modificar el mensaje si lo desea, y luego Mallory usa la clave pública original de Bob enviada a Alice para volver a cifrar el mensaje. Cuando Bob reciba el mensaje recién cifrado, creerá que es de Alice.
1. Alice envió un mensaje a Bob, pero fue interceptada por Mallory: Alice "Hola, Bob, soy Alice. Dame tu clave pública" --> Marlowe Bob
2. Mallory reenvió el mensaje interceptado a Bob; en ese momento Bob no podía decir si el mensaje era de la verdadera Alice: Alice Malory Lori “Hola Bob, soy Alice.
Dame tu clave pública" --> Bob
3. Bob respondió al mensaje de Alice y adjuntó su clave pública: Alice Mallory <-- [Clave pública de Bob] -- Bob
4. Mallory reemplazó la clave de Bob en el mensaje con su propia clave y reenvió el mensaje a Alice, afirmando que era la clave pública de Bob: Alice<--[Clave pública de Mallory]--Mallory Bob
5. Alice cifró su mensaje con lo que pensó que era la clave pública de Bob, pensando que sólo Bob Bob podía leerlo: Alice "¡Nos vemos en la parada de autobús!" "--[Cifrado usando la clave pública de Mallory] --> Mallory Bob
6. Sin embargo, dado que el mensaje en realidad fue cifrado usando la clave de Mallory, Malory Bob Lori puede descifrarlo, leerlo y modificarlo si ella lo desea. Él lo vuelve a cifrar usando la clave de Bob y le envía el mensaje nuevamente cifrado: Alice Mallory "¡Espérame en casa!" "--[Cifrar usando la clave pública de Bob] --> Bob
7. Bob cree que este mensaje vino de Alice a través de un canal de transmisión seguro.
Este ejemplo muestra que Alice y Bob necesita alguna forma de determinar que realmente tienen la clave pública de cada uno y no la clave pública del atacante. De lo contrario, este tipo de ataque es generalmente factible. En principio, los ataques se pueden lanzar contra cualquier mensaje de comunicación que utilice una clave pública. -tecnología clave. Afortunadamente, existen varias técnicas para ayudar a defenderse contra los ataques MITM p>
Muchas tecnologías para resistir ataques de intermediario se basan en las siguientes tecnologías de autenticación:
Pública. infraestructura clave
En las soluciones PKI, la principal solución para defenderse contra ataques de intermediarios es el mecanismo de autenticación mutua PKI. El uso de dicho mecanismo y la autenticación del usuario mediante la aplicación no es muy útil. en el caso de algunas aplicaciones fraudulentas, se debe prestar atención a distinguir el software fraudulento del legítimo. p>
Autenticación mutua más fuerte, como:
Claves (normalmente claves de alta entropía, por lo que son más seguras). ), o contraseñas (normalmente claves de baja entropía, lo que reduce la seguridad)
Las pruebas de latencia, como el uso de funciones hash criptográficas complejas para calcular, provocan retrasos de decenas de segundos si ambas partes normalmente tardan 20 segundos en calcular; , y toda la comunicación tarda 60 segundos en llegar a la otra parte, lo que indica la existencia de un tercero intermediario
Verificación del segundo canal (seguro)
El La contraseña de un solo uso es inmune a los ataques de intermediario. Esto se basa en la seguridad y la confianza del teclado de un solo uso. La integridad del sistema de clave pública generalmente debe garantizarse de alguna manera, pero no hay ninguna otra. Los requisitos de confidencialidad para contraseñas y claves compartidas pueden ser verificadas por autoridades certificadoras, que se distribuyen a través de canales seguros (por ejemplo, instaladas con el navegador web o el sistema operativo). Las claves públicas también se pueden verificar en línea a través de Web Online Trust. que se puede utilizar de forma segura
Consulte Protocolos de intercambio de claves para conocer las diferentes clases de protocolos que utilizan diferentes formas de claves o cifrados para proteger contra ataques de intermediarios
p>.
Análisis forense de ataques de intermediario
Capturar paquetes de red de enlaces sospechosos de ser ataques de intermediario y analizarlos puede determinar si existe un ataque de intermediario. ataque intermedio Realice análisis de red e identifique presuntos ataques de intermediario SSL Al recopilar evidencia de un ataque, la evidencia de análisis importante incluye:
Dirección IP del servidor remoto
.Servidor de resolución de nombres de dominio DNS
Servidor de certificados X.509
¿El certificado está autofirmado?
¿El certificado lo emite una autoridad confiable?
¿El certificado ha sido revocado recientemente? ¿Se ha modificado?
¿Otros clientes en Internet también obtienen el mismo certificado?
Otros ataques de intermediario no cifrado
Un ejemplo bien conocido de un ataque de intermediario no cifrado fue causado por una versión de 2003 del enrutador inalámbrico de Belkin. Periódicamente se hace cargo de las conexiones HTTP que lo atraviesan, impidiendo que los paquetes lleguen a su destino. y devuelve su propia respuesta a la solicitud como respuesta.
La respuesta que envió fue mostrar un anuncio de otros productos Belkin donde al usuario se le habría mostrado una página web. Después de las protestas de los usuarios que conocían los detalles técnicos, Belkin eliminó la función de versiones posteriores del firmware del enrutador. [1]
Otro ejemplo típico de un ataque de intermediario no cifrado es "Turing Porn Farm". Brian Warner dijo que se trataba de un "ataque imaginable" que los spammers podrían utilizar para eludir los CAPTCHA. El spammer ha creado un sitio web pornográfico y para acceder al sitio web pornográfico es necesario que el usuario resuelva algunos problemas de autenticación. Estas preguntas de verificación son en realidad preguntas de verificación de otros sitios web. Esto puede lograr el propósito de eludir la verificación del sitio web y enviar correos electrónicos no deseados. [2] Sin embargo, Jeff Atwood señaló que este ataque era sólo teórico: no hay evidencia de que los spammers hayan creado alguna vez la granja porno Turing en 2006. [3] Sin embargo, hubo informes en octubre de 2007 de que los spammers habían creado un juego para Windows que recompensaría a los usuarios con imágenes pornográficas después de que escribieran el código de verificación que recibieron de Yahoo para su dirección de correo electrónico registrada. [4] Esto permitirá a los spammers crear cuentas de correo electrónico temporales gratuitas para enviar spam.
Implementación
dsniff: una herramienta para implementar ataques de intermediario SSH y SSL
Cain and Abel: una herramienta de interfaz gráfica de Windows que puede realizar ataques de intermediario, detección de rastreo y envenenamiento de ARP
Ettercap: una herramienta de ataque de intermediario basada en LAN
Karma: una herramienta que utiliza 802.11 Evil Twin para realizar ataques MITM
AirJack: una herramienta para demostrar ataques MITM 802.11
SSLStrip Una herramienta para demostrar ataques MITM basados en SSL.
SSLSniff es una herramienta para ataques MITM basados en SSL. Originalmente se implementó aprovechando una falla en Internet Explorer.
Intercepter-NG: un rastreador de contraseñas de red de Windows con capacidades de ataque de envenenamiento ARP. Se pueden llevar a cabo ataques MITM basados en SSL, incluido SSLStrip.
Mallory: un proxy MiTMing TCP y UDP transparente. Extensiones para MITM SSL, SSH y muchos otros protocolos.
wsniff: una herramienta para ataques MITM basados en HTTP/HTTPS 802.11
Lector de tarjetas adicional instalado en la ranura para tarjetas bancarias del cajero automático y contraseña adicional instalada en el registrador del teclado.
Ver también
Ataque de hombre en el navegador: un ataque de hombre en el navegador web
Niño en el navegador - un simple ataque de intermediario en el navegador web
Transmisor Aspidistra - un transmisor de radio utilizado en la operación británica "Invasión" de la Segunda Guerra Mundial, uno de los primeros ataques de intermediario.
Seguridad Informática - El diseño de sistemas informáticos seguros.
Análisis de seguridad: descifrar información cifrada sin conocer completamente el método de cifrado.
Firma digital: garantía de autenticidad de un texto cifrado, normalmente el resultado de un cálculo que se espera que sólo el autor pueda realizar.
Protocolo de enclavamiento: un protocolo específico que evita posibles ataques de intermediario cuando la clave puede haber sido comprometida.
Gestión de claves: cómo gestionar claves, incluida su generación, intercambio y almacenamiento.
Protocolo de acuerdo de claves: también conocido como protocolo de intercambio de claves, un protocolo que negocia cómo crear una clave adecuada para la comunicación entre dos partes.
Autenticación mutua: cómo las partes que se comunican crean confianza en las identidades de los demás.
Acuerdo de clave criptográficamente autenticado: crea un protocolo que utiliza una clave criptográfica.
Criptografía cuántica: uso de la mecánica cuántica para proporcionar un cifrado seguro (métodos más antiguos, que dependían de funciones unidireccionales).
Canal Seguro - Una forma de evitar la interceptación y manipulación de las comunicaciones.
Ataque de suplantación de identidad
Seguridad de transporte estricta HTTP
Materiales de referencia
1. ^ Leyden, John ¡Ayuda! yo. The Register 2003-11-07.
2. ^ Documentación de Petmail: Roba el tiempo de las personas para resolver los desafíos CAPTCHA.
3. Efectividad de CAPTCHA. 2006-10-25.
4. ^ El separador de PC ayuda a difundir el spam. 2007-10-30.
Obtenido de "https://zh. .wikipedia.org/w/index.php?title=Man-in-the-middle attack&oldid=40088488”
Esta página fue revisada por última vez a las 03:04 del viernes 13 de mayo de 2016.
Todo el texto de este sitio se proporciona según los términos del Acuerdo Knowledge Copyright Attribution-Share Alike 3.0, y también pueden aplicarse términos adicionales (consulte los Términos de uso).
Wikipedia? y el logotipo de Wikipedia son marcas registradas de la Fundación Wikimedia;
La Fundación Wikimedia es una organización benéfica sin fines de lucro, exenta de impuestos 501(c)(3), registrada en el estado de Florida, EE. UU.