En una aplicación web, normalmente hay dos actores: el cliente y el servidor . La tercera entidad que pasa desapercibida la mayor parte del tiempo es el canal de comunicación. Este canal puede ser una conexión por cable o inalámbrica. Puede haber uno o más servidores en el camino reenviando su solicitud al servidor de destino de la manera más eficiente posible. Estos se conocen como servidores Proxy .
Cuando hay un proxy no deseado en la red que intercepta y modifica las requests/respuestas, este proxy se denomina Man in the middle . Entonces se dice que la red está bajo un ataque de hombre en el medio . El punto interesante radica en el hecho de que este proxy deshonesto a menudo se malinterpreta como un punto final legítimo en una comunicación del otro punto final. (Funciona como servidor para el cliente y como cliente para el servidor).
Por ejemplo , suponga que está conectado a una red Wi-Fi y está realizando una transacción con su banco. Un atacante también está conectado al mismo Wi-Fi. El atacante hace lo siguiente:
- El atacante envía los paquetes ARP maliciosos en la red que asignan la dirección IP del punto de acceso a la dirección MAC del dispositivo del atacante.
- Cada dispositivo conectado en la red almacena en caché la entrada contenida en los paquetes maliciosos.
- Su dispositivo utiliza ARP para enviar los paquetes destinados al servidor web de su banco al punto de acceso (que es la puerta de enlace predeterminada para la red).
- Los paquetes se envían a la máquina del atacante.
- Los atacantes ahora pueden leer y modificar las requests contenidas en los paquetes antes de reenviarlos.
De esta forma, el atacante se sitúa adecuadamente entre usted y el servidor de su banco. Todos los datos confidenciales que envía a su servidor, incluida su contraseña de inicio de sesión, son visibles para el atacante. El envenenamiento de caché ARP es una de las formas de realizar un ataque MITM; otras formas son –
- Suplantación de DNS.
- Suplantación de IP.
- Configuración de un punto de acceso Wi-Fi no autorizado.
- Suplantación de SSL, etc.
El uso de SSL puede evitar que estos ataques tengan éxito. Dado que los datos están cifrados y solo los puntos finales legítimos tienen la clave para descifrarlos, el atacante puede hacer muy poco con los datos, incluso si obtiene acceso a ellos.
(SSL solo es útil si está configurado correctamente, también hay formas de eludir este mecanismo de protección, pero son muy difíciles de llevar a cabo). Aún así, un atacante puede causar mucho daño si la aplicación web con la que el usuario ha estado interactuando no utiliza algo llamado nonce. El atacante puede capturar la solicitud cifrada durante toda la sesión y luego reenviar cuidadosamente las requests utilizadas para iniciar sesión. De esta manera, el atacante obtendrá acceso a su cuenta sin conocer su contraseña. El uso de nonce evita tales «ataques de repetición».Un nonce es un número único que envía el servidor al cliente antes de iniciar sesión. Se envía con el nombre de usuario y la contraseña y se invalida después de un solo uso.
Conceptos clave de Man in the Middle Attack
- Los atacantes interceptan la conversación entre el cliente y el servidor para robar datos confidenciales.
- Las transferencias de datos que tienen lugar durante este ataque permanecen sin ser detectadas.
- El atacante intenta realizar este ataque utilizando varios trucos como enviar archivos adjuntos o enlaces o sitios web duplicados.
Diferencia entre el ataque Man in the Middle y los troyanos de acceso remoto
Ataque Man in the Middle: Es un tipo de ciberataque donde el atacante realiza sus funciones quedándose entre las dos partes. El tipo de función que puede hacer es alterar la comunicación entre las dos partes y hacer que ambas partes sientan que se están comunicando en una red segura.
Un ejemplo de un ataque MITM es : – Escuchar a los demás y hacerles creer que se están comunicando entre ellos, sin saber que toda su conversación está actualmente controlada por alguien que está realizando el ataque del hombre en el medio.
Troyanos de acceso remoto : los troyanos de acceso remoto se descargan en un dispositivo si las víctimas hacen clic en cualquier archivo adjunto en un correo electrónico o desde un juego. Permite al atacante obtener control sobre el dispositivo y monitorear las actividades u obtener acceso remoto. Esta RAT pasa desapercibida en el dispositivo y permanece en el dispositivo durante un período de tiempo más largo para obtener datos que pueden ser confidenciales.
¿Es un ataque común?
Este ataque Man in the Middle no es común durante un período de tiempo más largo. Este tipo de ataque generalmente se realiza cuando el atacante tiene un objetivo específico. Este ataque no es un ataque común como el phishing o cualquier tipo de malware o ransomware.
Caso de estudio
- Estudio de caso-1 : la empresa de calificación crediticia Equifax eliminó sus aplicaciones de Google y Apple debido a la filtración de datos. Se descubrió que la aplicación no usaba HTTPS, lo que permitía a los atacantes obtener todos esos datos cuando el usuario accedía a su cuenta.
- Estudio de caso-2 : hubo una empresa registradora que fue violada y permitió al atacante obtener acceso a muchos certificados. Estos certificados permitieron al atacante hacerse pasar por un sitio web auténtico para robar los datos del usuario, el sitio web auténtico en este caso estaba duplicado.
- Estudio de caso-3 : Había un banco que fue atacado por el atacante. El atacante envía un correo electrónico al cliente que alguien podría haber intentado iniciar sesión en su cuenta bancaria, y necesitan la información de ellos para verificar. El correo electrónico que se envió al cliente era un ataque de phishing. Entonces, la víctima hará clic en el enlace enviado en el correo electrónico y será llevada a un sitio web falso. El sitio web falso parecerá ser original. Cuando la víctima ingrese los detalles, será redirigido al sitio web original. Ahora el atacante obtuvo acceso a la cuenta de la víctima.
ventajas
- Si el usuario accede a cualquier Wi-Fi público, el atacante puede usar Man in the Middle Attack.
- Si la conexión del usuario ha sido interceptada por el atacante, el usuario puede encontrar algunas actualizaciones de software falsas como ventanas emergentes.
Desventajas
- Este ataque tiene lugar cuando la víctima hace clic en el enlace o archivo adjunto o obtiene acceso a cualquier Wi-Fi público. Si la víctima no hace clic en ninguno de los enlaces anónimos ni obtiene acceso a ninguna Wi-Fi pública, el ataque no tendrá lugar. Entonces, la conciencia puede prevenir este ataque.
Los usuarios deben ser conscientes de
- Red wifi pública.
- No acceda a ese Wi-Fi donde el nombre del Wi-Fi no parece ser el correcto.
Prevención
Hay algunas cosas que se pueden hacer para evitar ser víctima del MITM y ataques relacionados. Uno debería:
- Utilice siempre redes y dispositivos de confianza para iniciar sesión en sitios web confidenciales.
- Evite conectarse a un Wi-Fi que esté abierto (sin cifrar).
- Mantener las redes seguras de accesos externos no deseados.
- En caso de que tenga que usar una computadora pública, verifique su navegador para detectar la presencia de algún certificado falso y asegúrese de que no haya ninguno. Compruebe también el archivo de los anfitriones.
- Cuando esté conectado a una red pública o usando una computadora pública, realice un rastreo de ruta al sitio web al que desea acceder y vea la ruta tomada por los paquetes en busca de algo sospechoso. Por ejemplo, paquetes que van a una IP diferente a la IP cuyo último octeto es 1 (la IP de tu puerta de enlace).
Publicación traducida automáticamente
Artículo escrito por awasthi7xenextt y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA