Ataque Man-in-the-middle

Clase 3

03/09/2013

Ataque Man-in-the-middle

En criptografía, un ataque man-in-the-middle o JANUS (MitM o

intermediario, en español) es un ataque en el que el enemigo adquiere la

capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos

partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido

violado.

El atacante debe ser capaz de observar e interceptar mensajes entre las

dos víctimas. El ataque MitM es particularmente significativo en el

protocolo original de intercambio de claves de Diffie-Hellman, cuando

éste se emplea sin autenticación.

La necesidad de una transferencia

adicional por un canal seguro

Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a

ataques MitM requieren un intercambio adicional de datos o la transmisión

de cierta información a través de algún tipo de canal seguro. En ese

sentido, se han desarrollado muchos métodos de negociación de claves

con diferentes exigencias de seguridad respecto al canal seguro.

Posibles subataques

El ataque MitM puede incluir algunos de los siguientes subataques:

Intercepción de la comunicación (eavesdropping), incluyendo análisis deltráfico y posiblemente un ataque a partir de textos planos (plaintext)conocidos.

Ataques a partir de textos cifrados escogidos, en función de lo que el receptorhaga con el mensaje descifrado.

Ataques de sustitución.

Ataques de repetición.

Ataque por denegación de servicio (denial of service). El atacante podría, porejemplo, bloquear las comunicaciones antes de atacar una de las partes. Ladefensa en ese caso pasa por el envío periódico de mensajes de statusautenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de losmensajes, más que para denotar intercepción pasiva de la comunicación.

Defensas contra el ataque

La posibilidad de un ataque de intermediario sigue siendo un problema

potencial de seguridad serio, incluso para muchos cripto sistemas basados

en clave pública. Existen varios tipos de defensa contra estos ataques MitM

que emplean técnicas de autenticación basadas en:

Claves públicas

Autenticación mutua fuerte

Claves secretas (secretos con alta entropía)

Passwords (secretos con baja entropía)

Otros criterios, como el reconocimiento de voz u otras características

biométricas

Defensas contra el ataque

La integridad de las claves públicas debe asegurarse de alguna

manera, pero éstas no exigen ser secretas, mientras que los passwords y las

claves de secreto compartido tienen el requerimiento adicional de la

confidencialidad.

Las claves públicas pueden ser verificadas por una autoridad de

certificación (CA), cuya clave pública sea distribuida a través de un canal

seguro (por ejemplo, integrada en el navegador web o en la instalación

del sistema operativo).

Ejemplo 1

Abrimos nuestra distro kali en Vmware, pero debemos colocar la red de

nuestra distro en la maquina virtual en modo bridge o puente como se

ilustra, si en tu caso no tienes mas maquinas virtuales dentro de la red

Ejemplo 1

Ejemplo 1

Abrimos una terminal

Ejemplo 1

Ejemplo 1

Tecleamos lo siguiente

Ejemplo 1

Ejemplo 1

Se abrirá la siguiente ventana

Ejemplo 1

Ejemplo 1

Recordemos que es Ettercap

Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta

direcciones activas y pasivas de varios protocolos (incluso aquellos

cifrados, como SSH y HTTPS).

También hace posible la inyección de datos en una conexión establecida

y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su

poder para establecer un Ataque Man-in-the-middle(Spoofing).

Ejemplo 1

Si escribimos

ettercap –h

Nos saldrá la línea de comando que podemos ejecutar si escogemos la

opción de la consola

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ahora si escribimos lo siguiente

ettercap –T –M ARP –i eth0 // //

Tomando en cuenta que

-T significa el modo texto

-M un ataque MITM

ARP Es un ataque de MITM para redes ethernet, que permite al atacantecapturar el tráfico que pasa por la LAN y también detenerlo (una denegaciónde servicio o DoS).

Consiste en enviar algunos mensajes ARP falsos ('spoofed'). Estos framesethernet contienen las direcciones MAC manipuladas según la convenienciadel atacante. Estos mensajes confunden a los dispositivos de red(principalmente a los switchs). Como resultado los frames de las víctimas sonenviados al atacante o a un destino no válido en el caso de una "DoS".

Ejemplo 1

Ahora si escribimos lo siguiente

ettercap –T –M ARP –i eth0 // //

Tomando en cuenta que

-eth0 interfaz a través de cable

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ahora en otra terminal escribiremos lo siguiente

driftnet –h

Tomando en cuenta que

-h será como el wizard de comando en los cuales nos podemos apoyar

para utilizar este capturador del trafico de la red en forma de imagenes

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

En esa misma terminal ahora escribiremos

driftnet –i eth0

Tomando en cuenta que

-i selecciona la interface a escuchar, por defaults son todas

etho a travez del cable

Ejemplo 1

Ejemplo 1

Abrimos en la maquina física el navegador en mi caso abrí el Chrome, nos

vamos a youtube, tecleamos un video o lo que queramos, le damos play, y

se supone que el drifnet debe de capturar ese tráfico en forma de

imágenes como se denota a continuación

Ejemplo 1