ataque man in-the-middle

Ataque Man-in-the-middle

Instituto de Estudios Universitarios

Sesión 01

Ataque Man-in-the-middle

En criptografía, un ataque man-in-the-middle o JANUS (MitM o intermediario, en

español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y

modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca

que el enlace entre ellos ha sido violado.

El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas.

El ataque MitM es particularmente significativo en el protocolo original de

intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.

La necesidad de una transferencia adicional por un canal seguro

Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques

MitM requieren un intercambio adicional de datos o la transmisión de cierta

información a través de algún tipo de canal seguro. En ese sentido, se han

desarrollado muchos métodos de negociación de claves con diferentes exigencias de

seguridad respecto al canal seguro

Posibles subataques

El ataque MitM puede incluir algunos de los siguientes subataques:

Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y

posiblemente un ataque a partir de textos planos (plaintext) conocidos.

Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga

con el mensaje descifrado.

Ataques de sustitución.

Ataques de repetición.

Posibles subataques

Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo,

bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso

pasa por el envío periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes,

más que para denotar intercepción pasiva de la comunicación.

Defensas contra el ataque

La posibilidad de un ataque de intermediario sigue siendo un problema potencial de

seguridad serio, incluso para muchos cripto sistemas basados en clave pública. Existen

varios tipos de defensa contra estos ataques MitM que emplean técnicas de

autenticación basadas en:

Claves públicas

Autenticación mutua fuerte

Claves secretas (secretos con alta entropía)

Passwords (secretos con baja entropía)

Otros criterios, como el reconocimiento de voz u otras características biométricas

Defensas contra el ataque

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no

exigen ser secretas, mientras que los passwords y las claves de secreto compartido

tienen el requerimiento adicional de la confidencialidad.

Las claves públicas pueden ser verificadas por una autoridad de certificación (CA),

cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada

en el navegador web o en la instalación del sistema operativo).

Defensas contra el ataque

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no

exigen ser secretas, mientras que los passwords y las claves de secreto compartido

tienen el requerimiento adicional de la confidencialidad.

Las claves públicas pueden ser verificadas por una autoridad de certificación (CA),

cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada

en el navegador web o en la instalación del sistema operativo).

EJEMPLO 1

Ejemplo 1

Abrimos nuestra distro kali en Vmware, pero debemos colocar la red de nuestra distro

en la maquina virtual en modo bridge o puente como se ilustra, si en tu caso no tienes

mas maquinas virtuales dentro de la red

Ejemplo 1

Ejemplo 1

Abrimos una terminal

Ejemplo 1

Ejemplo 1

Tecleamos lo siguiente

Ejemplo 1

Ejemplo 1

Se abrirá la siguiente ventana

Ejemplo 1

Ejemplo 1

Recordemos que es Ettercap

Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta

direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH

y HTTPS).

También hace posible la inyección de datos en una conexión establecida y filtrado al

vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer

un Ataque Man-in-the-middle(Spoofing).

Ejemplo 1

Recordemos que es Ettercap

Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta

direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH

y HTTPS).

También hace posible la inyección de datos en una conexión establecida y filtrado al

vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer

un Ataque Man-in-the-middle(Spoofing).

Ejemplo 1

Si escribimos

ettercap –h

Nos saldrá la línea de comando que podemos ejecutar si escogemos la opción de la

consola

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ahora si escribimos lo siguiente

ettercap –T –M ARP –i eth0 // //

Tomando en cuenta que

-T significa el modo texto

-M un ataque MITM

Ejemplo 1

ARP Es un ataque de MITM para redes ethernet, que permite al atacante capturar el

tráfico que pasa por la LAN y también detenerlo (una denegación de servicio o DoS).

Consiste en enviar algunos mensajes ARP falsos ('spoofed'). Estos frames ethernet

contienen las direcciones MAC manipuladas según la conveniencia del atacante. Estos

mensajes confunden a los dispositivos de red (principalmente a los switchs). Como

resultado los frames de las víctimas son enviados al atacante o a un destino no válido

en el caso de una "DoS".

Ejemplo 1

Ahora si escribimos lo siguiente

ettercap –T –M ARP –i eth0 // //

Tomando en cuenta que

-eth0 interfaz a través de cable

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ahora en otra terminal escribiremos lo siguiente

driftnet –h

Tomando en cuenta que

-h será como el wizard de comando en los cuales nos podemos apoyar para utilizar

este capturador del trafico de la red en forma de imagenes

Ejemplo 1

Ejemplo 1

Ejemplo 1

Ejemplo 1

En esa misma terminal ahora escribiremos

driftnet –i eth0

Tomando en cuenta que

-i selecciona la interface a escuchar, por defaults son todas

etho a travez del cable

Ejemplo 1

Ejemplo 1

Abrimos en la maquina física el navegador en mi caso abrí el Chrome, nos vamos a

youtube, tecleamos un video o lo que queramos, le damos play, y se supone que el

drifnet debe de capturar ese tráfico en forma de imágenes como se denota a

continuación

Ejemplo 1