Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Man In The Middle (MiTM)
#1
[img]http://i.i.imgur.com/nAp1q.gif[/img]


[Imagen: Main_the_middle-300x166.jpg]

Man In The Middle es un ataque, bastante común, en el que el atacante crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 máquinas sin que ninguna de esas máquinas conozca esta situación. En otras palabras, un usuario con malas intenciones, se colocará entre el equipo 1 y el equipo 2. Cuando el equipo 1 envíe tráfico al equipo 2, dicho tráfico pasará por el equipo de la víctima en primer lugar. El tráfico que le llega al equipo víctima antes que al equipo 2, en un ataque básico deberá enviarse al equipo 2, para que éste no perciba pérdida de conexión o que su comunicación con el equipo 1 se ha perdido.
Ejemplo teórico de envenenamiento ARP

El atacante usará alguna herramienta, como pueden ser caín, ettercap o nemesis entre otras, para realizar un ARP Spoofing o también conocido como ARP Poisoning. Este tipo de ataques se realiza en redes switcheadas y no con hubs.

El atacante envenenará las tablas ARP de las víctimas, enviando mensajes ARP ‘engañando’ a los objetivos. Como ejemplo, se puede imaginar algo como lo siguiente:

Tabla ARP Objetivo 1, máquina con IP 10.0.0.3

Dirección IP 10.0.0.1 (router) con MAC CA:FE:CA:FE:CA:FE

Tabla ARP Objetivo 2, máquina con IP 10.0.0.1

Dirección IP 10.0.0.3 con MAC CA:FE:FE:CA:CA:FE

El atacante con sus malvadas peticiones ARP modificará el valor de las tablas ARP de las otras 2 máquinas, quedará algo tal que:

Nota: La MAC del atacante pongamos que es AA:AA:AA:BB:BB:BB

Tabla ARP Objetivo 1, máquina con IP 10.0.0.3

Dirección IP 10.0.0.1 (se piensa que es el router) con MAC AA:AA:AA:BB:BB:BB

Tabla ARP Objetivo 2, máquina con IP 10.0.0.1

Dirección IP 10.0.0.3 con MAC AA:AA:AA:BB:BB:BB

Con lo que todos los envíos que realice la máquina objetivo 1 a Internet, por ejemplo, pasarán por la máquina del atacante y los envíos que el objetivo 2 (por ejemplo, el router) realice hacia la máquina objetivo 1 pasarán también por el atacante.

Credenciales con texto plano

Hay que imaginar que ahora mismo se realiza una autenticación contra un servidor y que ésta se realiza en texto plano, ¡Bomba! Es muy posible que con el ataque MITM más básico esa información privada salga a la luz, ya que toda la información de la comunicación pasar por el equipo del atacante.

¿Solucionamos con HTTPS?

La idea de cifrar la comunicación ayuda y mucho a que newbies que usan el ataque más básico de MITM no puedan obtener tan fácilmente la información que viaja por el canal. Pero hay métodos para realizar MITM de modo que se obtenga la información, aunque el usuario piense que la comunicación está segura. Es posible que se vea en flu-project.com más adelante.

Observando la tabla ARP


Aquí se explica un ejemplo de tabla ARP real. Se puede detectar que se está realizando un ataque MITM si la MAC del router cambia repentinamente, aunque quizá sea un rollo estar viendo a cada momento esta tabla.
[Imagen: arp-300x78.png]
Otra posible idea para ayudar a detectar cuando nos realizan un ataque MITM, es realizar un script que compruebe si la dirección MAC que corresponde con la IP del router cambia. Si esto ocurriese el script debería avisar al usuario para alertarle. Esto es fácil de implementar.

Por otro lado, si es un equipo de sobremesa o un portátil que nunca salga del hogar, se puede insertar una entrada estática en la tabla ARP con la que se diga que la dirección del router siempre tienen esa dirección MAC. Es decir, no se podrá indicar por petición ARP que esa MAC ha cambiado.


Creado por: DiosOne

FUENTE: Información INDEXhn
España 
Twitter Web 
[Imagen: osxwaKU.gif]
WWW
#2
... el material es interesante. ¿Porque el codigo solo puede ser visto por el equipo del foro? Creo que seria interesante ver ese codigo de ejemplo.
#3
(03-04-2013, 09:41 AM)Mtraker escribió: ... el material es interesante. ¿Porque el codigo solo puede ser visto por el equipo del foro? Creo que seria interesante ver ese codigo de ejemplo.

a cual código te refieres amigo
España 
Twitter Web 
[Imagen: osxwaKU.gif]
WWW
#4
A este:
Cita:Tabla ARP Objetivo 1, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. (router) con MAC CA:FE:CA:FE:CA:FE

Tabla ARP Objetivo 2, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. con MAC CA:FE:FE:CA:CA:FE

El atacante con sus malvadas peticiones ARP modificará el valor de las tablas ARP de las otras 2 máquinas, quedará algo tal que:

Nota: La MAC del atacante pongamos que es AA:AA:AA:BB:BB:BB

Tabla ARP Objetivo 1, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. (se piensa que es el router) con MAC AA:AA:AA:BB:BB:BB

Tabla ARP Objetivo 2, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. con MAC AA:AA:AA:BB:BB:BB
#5
(03-04-2013, 05:08 PM)Mtraker escribió: A este:
Cita:Tabla ARP Objetivo 1, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. (router) con MAC CA:FE:CA:FE:CA:FE

Tabla ARP Objetivo 2, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. con MAC CA:FE:FE:CA:CA:FE

El atacante con sus malvadas peticiones ARP modificará el valor de las tablas ARP de las otras 2 máquinas, quedará algo tal que:

Nota: La MAC del atacante pongamos que es AA:AA:AA:BB:BB:BB

Tabla ARP Objetivo 1, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. (se piensa que es el router) con MAC AA:AA:AA:BB:BB:BB

Tabla ARP Objetivo 2, máquina con IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad.

Dirección IP El contenido ha sido escondido, solo puede ser visto por el Equipo del Foro, esto por su seguridad. con MAC AA:AA:AA:BB:BB:BB

aaahh, ya claro jajaja, esque eso no se muestra, el post es solo para informar sobre esto jeje
España 
Twitter Web 
[Imagen: osxwaKU.gif]
WWW
#6
Los antivirus detectan esto?
WWW
#7
(10-04-2013, 01:09 AM)planti escribió: Los antivirus detectan esto?

pues depende de que antivirus tengas, si es un antivirus bueno si que lo detectara, supongo
España 
Twitter Web 
[Imagen: osxwaKU.gif]
WWW




Usuarios navegando en este tema: 1 invitado(s)