¿Quién puede llevar a cabo ataques Man-in-the-Middle (MITM)?

Navega tus respuestas
3

Parece que pasamos mucho tiempo protegiéndonos contra los ataques Man-In-The-Middle (MITM) sin hablar de contra quién estamos protegiendo en realidad.

Esto es importante porque si es poco probable que estas personas ataquen nuestro sitio web o el costo de hacerlo es mínimo, entonces podemos permitirnos gastar menos recursos para protegernos contra tales ataques. Por ejemplo: enlace

Entiendo que solo hay dos formas de interceptar paquetes de Internet:

  1. Acceda a la capa física (es decir, las líneas de teléfono / cable fuera de mi casa o la conexión WiFi).
  2. Aproveche la infraestructura de ISP (los saltos entre mi computadora y el sitio web de destino).

Solo hay 3 tipos de personas que pueden llevar a cabo estos toques:

  1. Cualquier persona con conocimientos técnicos para acceder a la capa física o piratear un ISP.
  2. Cualquier persona con poder legal para obligar a los ISP a interceptar los paquetes.

Esto conduce a tres tipos de atacantes:

  1. individuos pícaros.
  2. espías corporativos.
  3. El gobierno.

El punto que trato de señalar es que si su sitio web no es financiera o políticamente significativo (es decir, Stackoverflow), es poco probable que los ataques MITM sean tan relevantes. Lo más que puede hacer un atacante es destrozar el sitio, la probabilidad de que alguien quiera hacerlo es baja y el costo de la recuperación es relativamente bajo. Tu niño promedio en el guión podría tener la motivación, pero carece de la capacidad técnica para hacerlo.

¿Me estoy perdiendo algo? :)

    
pregunta Gili 27.05.2014 - 17:49
fuente

1 respuesta

5

Hay muchas más formas de realizar un ataque MitM:

  • Secuestro DNS directo: falsificación de una respuesta DNS a la solicitud de DNS del cliente para el servidor de destino, para apuntar a una IP controlada por el atacante.
  • El "ataque de DNS de Dan Kaminsky" (por falta de un nombre mejor): falsifica una respuesta de DNS a un cliente que intenta encontrar el servidor de nombres para un host, lo que permite al atacante hacerse pasar por el verdadero servidor de nombres.
  • Intoxicación con el Protocolo de resolución de direcciones (ARP): inundando el objetivo con transmisiones falsas de ARP, para hacer que piense que la dirección IP del servidor de destino apunta a la dirección MAC de la máquina del atacante en la red.
  • Enrutar la falsificación de protocolos y otros ataques contra protocolos como BGP, RIP, OSPF, etc.
  • MitM parcial mediante ataques de inyección de paquetes (por ejemplo, rastrear la red, luego falsificar un paquete para que su dirección de origen sea la del servidor, y los números de secuencia de TCP coincidan con los valores esperados)
  • falsificando una respuesta a un script de configuración automática del proxy (si el cliente tiene un conjunto) para que apunte a un proxy controlado por el atacante en la red.
  • Comprometer la cuenta del servidor de destino con su proveedor de dominio para redirigirla a una IP controlada por el atacante, que luego puede actuar como un proxy transparente.
  • APs Rogue WiFi con nombres comunes o populares (por ejemplo, "Starbucks" o "BT-OpenZone")
  • El secuestro de WiFi con dispositivos como el Hak5 WiFi Pineapple, por lo que pretende ser cualquier AP que un dispositivo de usuario busque (es decir, "¿estás ahí?" "seguro, conéctate conmigo!")
  • Comprometer a los enrutadores domésticos (el elemento estándar de SOHO es basura) para inyectarlos en la tabla de enrutamiento, agregar una entrada de DNS estática, etc.
  • Utilizar funciones de enrutador, como UPnP para alterar la tabla de enrutamiento.

Y probablemente hay otros cien más en los que no puedo pensar en este momento ...

    
respondido por el Polynomial 27.05.2014 - 20:15
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es el tráfico wifi de los usuarios compartidos? ¿Qué tan seguros son los formularios web de Google (Drive)?