Mientras estaba viendo Presentación de HT RCS Galileo encontré un término o concepto con el que no estoy familiarizado. : " proxy de inyección ".
¿Alguien podría explicar este tipo de ataque?
Mientras estaba viendo Presentación de HT RCS Galileo encontré un término o concepto con el que no estoy familiarizado. : " proxy de inyección ".
¿Alguien podría explicar este tipo de ataque?
Un proxy de inyección es una aplicación de hombre en el medio que monitorea activamente el tráfico e inyecta contenido (malicioso) basado en reglas predefinidas.
Esto es aproximadamente el escenario de ataque descrito en el video:
Usted es una entidad gubernamental y está accediendo al tráfico de un ISP que sabe que es utilizado por un sospechoso criminal A. Desea obtener acceso a la computadora de A pero solo tiene su dirección de correo electrónico. Así que configura una regla en la interfaz de su proxy de inyección que inyecta malware (posiblemente entregado a través de un exploit de navegador de 0 días) en el tráfico que maneja el ISP tan pronto como la dirección de correo electrónico de A aparece en una solicitud HTTP a su correo web proveedor. Es decir, tan pronto como A inicia sesión en su correo web, su proxy de inyección toma medidas e inyecta contenido malicioso en la respuesta HTTP devuelta que instala silenciosamente una puerta trasera en su máquina. Por supuesto, esto no funcionará tan fácilmente si A utiliza TLS cuando navega, ya que no puede inyectar fácilmente contenido en el tráfico HTTPS.
También se puede encontrar documento sobre los detalles de HackingTeam en Wikileaks :
IPA (dispositivo proxy de inyección) es un dispositivo de seguridad ofensivo desarrollado por HT para realizar la instalación remota del sistema de control remoto, mediante el uso de las técnicas de ataque en el medio y mediante el uso de un mecanismo de inyección aerodinámico patentado.