trabajo hecho por lozano para eduhackers.
saludos
En criptografía, un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.
La necesidad de una transferencia adicional por un canal seguro
Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro.
Posibles subataques
El ataque MitM puede incluir algunos de los siguientes subataques:
MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.
Defensas contra el ataque
La posibilidad de un ataque de hombre-en-el-medio sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:
La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, a través del explorador de Web o en la instalación del sistema operativo).
Fuente: Wikipedia
Fuente encontrada:http://foro.eduhack.es/hacking-avanzado/ataque-man-in-the-middle/
La necesidad de una transferencia adicional por un canal seguro
Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro.
Posibles subataques
El ataque MitM puede incluir algunos de los siguientes subataques:
- Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.
- Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.
- Ataques de sustitución.
- Ataques de repetición.
- Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío de periódico de mensajes de status autenticados.
MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.
Defensas contra el ataque
La posibilidad de un ataque de hombre-en-el-medio sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:
- Claves públicas
- Autenticación mutua fuerte
- Claves secretas (secretos con alta entropía)
- Passwords (secretos con baja entropía)
- Otros criterios, como el reconocimiento de voz u otras características biométricas
La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, a través del explorador de Web o en la instalación del sistema operativo).
Fuente: Wikipedia
Fuente encontrada:http://foro.eduhack.es/hacking-avanzado/ataque-man-in-the-middle/
Entradas
7 comentarios:
En conclusión, yo que los sufro desde hace un mes y soy un usuario sin grandes conocimientos, ¿ qué debo hacer para defenderme? SO Vista.
Saludos y gracias
Bueno las contramedidas son simples:
Usar un antivirus bueno(Karpesky), he realizado laboratorios y es el unico capaz de detectar ataques arp y dns.
Otra opcion es realizar todo tipo de conexion cifrada https vpns entre otras pero algnos casos ni esto lo salva.
Para saber si esta siendo victima del ataque debe comprobarlo con este comando
arp -a
Con este lista su tabla de direcciones arp , si hay alguna ip no correspondiente a las normales esa es la atacante.
saludos
Pues voy a ponerme manos a la obra, a ver si se soluciona esto, que es muy molesto. Por ejemplo ayer, entre conexiones y desconexiones del vecino, unas 20 veces me quedé sin internet... De hecho al no poder hacer nada, ya me planteaba anoche el poner una denuncia.
Muchas gracias por la información, voy a intentar ponerla en práctica.
Con mucho gusto , aqui siempre ayudando =)
saludos
PD:espero se solucionen sus problemas
Saludos de nuevo, he aquí mi experiencia tras las contramedidas:
- Kasperski Internet Security 2010: Tiene muchas opciones de red y monitoraje de la misma, detecta ataques, pero por desgracia, no los que me hacen con el clonado de MAC.
- El comando arp -a, no me da nada raro me están atacando, me salen los mismos parámetros que cuando no me tienen pinchado.
- Lo del vpn, aún no he podido ponerlo en práctica, estoy en fase de ver que es y como ponerlo en marcha.
Lo que queda es seguir investigando a ver si hay alguna defensa contra el clonado de MAC, que como sabrás engaña a mi equipo, al software de seguridad y al router.
Un saludo cordial, y gracias de nuevo por tu interés.
Ya he probado las contramedidas, y no se ha arreglado nada.
He probado con el Kaspersky Internet Security 2010, y es cierto que tiene un sistema de detección de intrusiones, pero ante el clonado de la MAC, no detecta nada. Una pena porque está muy bien.
Mientras estoy siendo atacado, el comando arp -a, me da los mismos parámetros que cuando no. Mi propia ip, puerta de enlace, mi MAC..
El vpn, aún no lo he probado, estoy en fase de ver como funciona y como se configura el asunto.
O sea, que por lo que veo, engaña a mi equipo y mi software de seguridad, igual que a mi router. Pero aún así, debe haber alguna forma de defenderse ( sin contar con ponerla por cable, que no me es posible).
A seguir haciendo un ejercicio de paciencia...
Un abrazo, y muchas gracias por tu interés y ayuda.
Bueno ese dato de la MAC esta muy interezante no lo he probado.
Si en la tabla arp no aparese nada , intente ver en el router o modem que usuarios estan conectados , banear por direccion mac(lo maximo posible pero no solucion efectiva), tambien trate de quitar dhcp y dns y tener un direccionamiento raro xD algo asi como 130.136.200.200 xD y sobre todo poner mas complejidad en la contraseña del router.
saludos
Publicar un comentario