¿Los ataques de intermediarios pueden afectar a cualquier persona que no esté conectada a la red de atacantes?

Los ataques Man-in-the-middle se pueden realizar mediante el secuestro de DNS para que no proporcione la dirección IP real de un host, sino una IP controlada por el atacante. Un caso típico de secuestro de DNS es cambiar la configuración de DNS en el enrutador. Una forma de hacerlo desde fuera de su red local es un CSRF attack . Este tipo de ataques de hombre en medio se realizan durante años y en masa, consulte el secuestro masivo de enrutadores en Brasil 2012 .

Por supuesto, otra forma de detectar el tráfico es emplear malware que se puede distribuir fácilmente a través de correos electrónicos de phishing o malversación. Este malware luego podría inyectarse en el navegador y realizar un ataque de hombre en el navegador para detectar y modificar el tráfico sin cifrar y también el cifrado.

Tu ISP puede participar en ataques MITM ¡incluso si estás utilizando SSL!

Primero, su ISP controla su acceso a Internet, por lo que no necesita participar en un ataque de DNS, aunque podría hacerlo. Más bien, podría simplemente enrutar (como en el enrutamiento IP de Capa 2 o Capa 3) cualquier y todo el tráfico a un servidor en el medio (piense en el servidor proxy sin la configuración de proxy en su navegador).

A continuación, su navegador, como la mayoría de los navegadores, es probablemente bastante liberal cuando se trata de certificados raíz de CA. Es decir, puede tener docenas o cientos de certificados de raíz. Un puñado de estos son bastante confiables, unas pocas docenas son en su mayoría confiables y algunos son francamente desastrosos. Si su ISP (o cualquier atacante MITM) puede obtener un certificado de servidor de una de estas entidades de certificación limítrofes (no es muy difícil), pueden crear lo que parece ser una sesión SSL segura con usted (su navegador tiene el ícono de bloqueo de lujo). Sin embargo, en el estilo clásico de hombre en el medio, la sesión SSL termina en el servidor central. Ese servidor crea una segunda sesión SSL con el servidor backend legítimo. Ninguna de las partes finales es la más sabia.

¿Qué significa esto? Todo el tráfico (nombres de usuario, contraseñas, cuentas bancarias, etc.) pasa a través de la primera canalización segura, al espacio de la aplicación del servidor central (para ser capturado y luego revisado) y luego de vuelta a la segunda tubería segura. p>

¡Vaya! Ataque MITM y nunca lo sabrías. ¿Podría pasar esto? Rogue employee at ISP. O quizás, un país extranjero (podría ser un país extranjero amigable) decida fisgonear en su correo electrónico corporativo a través de este método.

Su mejor defensa es eliminar la mayoría de los certificados raíz de su computadora, ya sea a través del navegador o algún otro almacén de claves o ambos. Si no lo necesita o no lo sabe, ¿por qué confiar en él? El objetivo principal de los certificados raíz de PKI es utilizar solo aquellos en los que confía.

Realmente creo que esto es más realista que un ataque de DNS. Además, el ataque de DNS todavía tiene que aparecer como una sesión SSL legítima, lo que significa obtener un certificado de servidor SSL válido. Sin embargo, no tengo datos del mundo real para ninguno de los escenarios.

Como su nombre lo indica, un adversario tendría que colocarse entre usted y su destino (por ejemplo, Facebook) para interceptar el tráfico. Cómo puede lograr esto depende completamente de la superficie de ataque. Para responder a su pregunta, sí, es posible que un atacante intercepte su tráfico sin tener acceso a su red. Considere el siguiente escenario: está conectado a Internet a través de su VPN. Un atacante compromete su VPN a través de una vulnerabilidad en el software que se ejecuta en el servidor. Su tráfico ahora puede ser olfateado y manipulado. Y como señaló Steffen, un atacante posiblemente pueda ingresar a su red a través de una vulnerabilidad en su punto de acceso o mediante ataques del lado del cliente (por ejemplo, exploraciones de complementos o ingeniería social).