¿Cómo se produce en realidad un ataque de Man In The Middle?

4

Estoy tratando de mejorar la protección MITM de una aplicación de iOS de la que soy responsable, por lo que quiero entender exactamente cómo sucede. He configurado a Charles para que actúe como un proxy que requería configurar el proxy en el teléfono e instalar el certificado de Charles. Ahora puedo leer los datos TLS enviados y el cuarto.

En realidad, la mayoría de las personas no instalan certificados (al menos no de la forma en que se instala el certificado Charles) y no establecen servidores proxy en sus configuraciones de red.

Suponiendo que me estoy quedando en un hotel y uso su WIFI para acceder a mi servidor, ¿cómo harían para realizar un ataque MITM en mí?

    
pregunta Onato 26.01.2016 - 23:09
fuente

3 respuestas

2

Una forma en que un atacante puede realizar un ataque MITM en un lugar donde hay wifi pública (como un hotel) es crear un punto de acceso wifi falso, que se vincula con la wifi del hotel. Luego, el atacante puede usar una herramienta como sslsniff para interceptar las conexiones SSL.

Editar: Para protegerse contra un ataque MITM, el cliente debe verificar que el certificado del servidor (o la CA que firmó el certificado) sea de confianza. Esto se puede hacer a través de la fijación de certificados.

    
respondido por el mti2935 26.01.2016 - 23:28
fuente
1

Suponiendo que usted controla tanto la aplicación como el servidor, la mejor estrategia para prevenir MiTM en aplicaciones móviles es siempre requerir SSL y usar fijación de certificado . La fijación de certificados obliga a su aplicación a aceptar solo un certificado específico. Esto evitará un MiTM incluso contra un atacante que haya obtenido un certificado ilícito pero válido para su sitio.

    
respondido por el Neil Smithline 27.01.2016 - 00:23
fuente
0

Creo que tienes algo fundamentalmente mal. Un ataque MitM es un ataque cuyo objetivo es redirigir el tráfico sobre el host de los atacantes. El atacante actúa como un proxy pero no podrá instalar un certificado adicional. en su host sin tener acceso root / administrativo a ese host.

Cómo realizar un ataque MitM

Los ataques MitM se realizan principalmente mediante abusando de las debilidades del protocolo pero a veces también es posible debido a fallas lógicas "cometidas" por el desarrollador. Hay varias formas de realizar estos ataques. Solo listaré los más comunes en la LAN:

  • Robo de puertos (Capa 2)
  • MAC-Floogin (Capa 2)
  • ARP-Spoofing (Capa 3)
  • Rouge-DHCP-Server (Capa 7)
  • WPAD-Redirection (Capa 7 - Basado en nbns, LLMNR o mDNS spoofing)

Oportunidades específicas de WLAN

Cuando está en posesión del PSK, también puede capturar pasivamente todo el tráfico y luego descifrar todo el tráfico con airdecap-ng , lo cual será exitoso cuando cumpla con los siguientes requisitos:

  • WEP = Conozca el PSK que usará el PSk para cifrar el tráfico
  • WPA2 = Conoce el PSK y captura el Apretón de manos de 4 vías. Habrá una clave específica de la sesión que se puede obtener cuando cumpla con ambos requisitos

Esto solo funcionará en redes no empresariales que utilizan un PSK no específico del usuario.

Derrotar SSL

Un atacante no podrá sortear SSL sin acceso al host de las víctimas. Pero hay formas de evitar el uso de SSL:

  • SSLStrip: eliminará todos los enlaces https de las páginas web no cifradas que se pasaron a través del host MitM. La idea básica es que los usuarios usan https solo porque están redirigidos a https, no porque lo escriben en sus escritores.
  • Deloreon: te ayudará a controlar HSTS mediante la manipulación de la hora del sistema mediante respuestas NTP falsas.
  • DNS-Spoofing y Application Proxy: como SSLStrip solo funcionará en conexiones que aún no están encriptadas
respondido por el davidb 26.01.2016 - 23:33
fuente

Lea otras preguntas en las etiquetas