¿Se realizan la mayoría de los ataques MiTM para suplantar sitios web o simplemente descifrar el tráfico?

Navega tus respuestas
0

Cuanto más leo sobre suplantación de sitios web, más me confundo. ¿Un atacante necesita la clave privada del servidor para hacerse pasar por un sitio web o tener la clave privada simplemente le da la posibilidad de descifrar las comunicaciones?

Cuando pienso en suplantar un sitio web, pienso en un ataque de colisión, donde se rompe un hash md5 y luego se puede usar un certificado falso para suplantar un sitio web con un par de claves nuevo.

Cuando pienso en un ataque MiTM, pienso en un ataque donde la persona que está en el medio obtiene la clave privada del servidor y reenvía el tráfico entre el cliente y el servidor, lo que permite al atacante descifrar y ver todas las comunicaciones . Esto para mí, no es "hacerse pasar por un sitio web". ¿Puede alguien aclarar mi confusión aquí?

    
pregunta user53029 02.10.2014 - 23:02
fuente

5 respuestas

2

En general, el uso principal de MitM en este momento es que el atacante se haga pasar por el sitio web a la víctima.

El objetivo es, por lo general, obtener las credenciales de la víctima para suplantarlas, autenticarse correctamente en el sitio web y desprenderse del contenido de su cuenta bancaria, almacén de datos, propiedad intelectual, etc.

Esto se hace, normalmente, de la manera en que lo indicas en tu párrafo final. En cuanto a la víctima, ven su página web. Esta es la suplantación.

No estoy seguro de que tu ataque de colisión sea un escenario probable para la suplantación de identidad, sin embargo, los certificados falsos son ciertamente una avenida para atacar.

    
respondido por el Rory Alsop 02.10.2014 - 23:10
fuente
1

Depende.

Con algunos sistemas de cifrado, es posible escuchar de forma pasiva la comunicación una vez que tenga la clave privada. Se puede hacer incluso para las conexiones telefónicas antes de obtener una copia de la clave privada utilizada.

Sin embargo, para otra clase de cifrados, aquellos que brindan secreto de envío (PFS), el El cliente y el servidor generan una nueva clave efímera para la sesión. Por lo tanto, el atacante tendría que realizar un ataque de hombre en el medio para poder descifrarlo.

Debería hacer que su cliente / servidor prefiera los cifrados PFS cuando estén disponibles, ya que eso evita ese tipo de ataques (la mayoría de los valores predeterminados lo hacen, pero necesita un software reciente para ser compatible con PFS).

El uso de PFS se ha discutido mucho en el contexto de que NSA registra el tráfico completo, ya que podrían descifrar las comunicaciones que no utilizan PFS si se apoderan de la clave privada.

    
respondido por el Ángel 02.10.2014 - 23:32
fuente
1

Un ataque de hombre en el medio, por definición, implica la suplantación de identidad.

La idea básica es algo como esto:

  1. Alice quiere tener una conversación con Bob.
  2. Mallory engaña a Alice para que le envíe el primer mensaje en lugar de a Bob (exactamente cómo puede variar mucho).
  3. Mallory se pone en contacto con Bob, haciéndose pasar por Alicia, y pasa el mensaje de Alicia.
  4. Bob responde a Mallory, pensando que él es Alice, y Mallory envía la respuesta a Alice (mientras finge ser Bob).
  5. La conversación puede seguir y seguir, con Mallory como el hombre en el medio.

A veces, el propósito de esta suplantación es únicamente monitorear las comunicaciones. Es posible que Mallory solo quiera leer los mensajes, antes de transmitirlos. Otras veces, Mallory puede modificar los mensajes para manipular a Alice y / o Bob para que hagan lo que él quiere.

Aquí hay un ejemplo de SSL / TLS de un ataque MITM:

  1. Un cliente intenta conectarse al sitio web de su banco.
  2. Sin embargo, un atacante se las arregla para secuestrar la conexión (lo que no importa) y presenta su certificado SSL falsificado suplantando el sitio web del banco.
  3. El atacante se conecta al sitio web de los bancos actual y envía las solicitudes HTTP de los clientes.
  4. El atacante reenvía las respuestas HTTP al cliente.
  5. Como ve el sitio web de los bancos, y sin sospechar, proporciona su nombre de usuario y contraseña.
  6. El banco envía una contraseña única al teléfono celular del cliente.
  7. El cliente envía esta contraseña única al atacante (pensando que está hablando con el banco)
  8. El atacante puede hacer lo que quiera con la cuenta del cliente.

Si el atacante solo suplantara al banco, sin realmente estar en el medio, no podría pasar la contraseña de un solo uso.

    
respondido por el lzam 03.10.2014 - 02:00
fuente
1

La respuesta a tu pregunta es: no. MiTM se realiza para robar información que el usuario PIENSA que está enviando a un sitio legítimo. CÓMO lo logra, generalmente implica "suplantar" a la parte a la que intenta enviar sus datos y, a veces, implica descifrado de tráfico (aunque la mayoría de las veces, el descifrado no es posible sin algún tipo de ataque de baja calificación), pero la intención de el ataque es robar información.

    
respondido por el KnightOfNi 03.10.2014 - 01:41
fuente
1

Creo que estás juntando dos formularios de encriptación y confundiéndote. Primero debe ver el cifrado de dos maneras cifrando datos y cifrando un túnel.

El cifrado de datos se realiza en el punto final antes de que la información se envíe a través del cable. Esto se puede hacer usando cifrado simétrico o asimétrico. El cifrado simétrico es un intercambio de las mismas claves para cifrar y descifrar datos. El cifrado asimétrico utiliza un par de claves privadas / públicas para cifrar y descifrar datos.

El cifrado de un túnel no se cifra en el nivel de datos. Proporciona un túnel seguro para que los datos viajen. El texto sin formato se puede enviar a través de un túnel cifrado (como SSL) y, a un atacante indiscreto, no pueden ver los datos debido al túnel cifrado. Esto es a lo que nos referimos como PKI o más comúnmente certificados SSL.

Ambas formas se pueden usar por separado o juntas.

Si usas ambos métodos, el atacante primero debe romper el túnel. Existen varios métodos, como lo han comentado tus publicaciones, pero más en tu punto de ataques MITM, colocar un host malicioso entre el usuario y el servidor puede permitir que un atacante capture los datos.

Si estos datos no están cifrados y solo en texto sin formato, un atacante tiene todo lo que necesita y puede ver las contraseñas / nombre de usuario / etc. que se envían a través de texto sin formato.

Si, sin embargo, los datos están encriptados, el atacante puede capturar los datos encriptados, pero para que ellos también puedan acceder a la información, necesitarían las claves para ese cifrado.

Finalmente, responda su pregunta sobre los ataques MITM utilizados para hacerse pasar por sitios. No, el diseño de MITM es para espiar sin ser detectado por los usuarios. Los ataques de suplantación normalmente tienen la forma de un atacante que se hace pasar por un usuario o un atacante que se hace pasar por un sitio legítimo.

Técnicas como XSS o CSRF no son ataques MITM por voz, y son más una explotación de confianza entre un sitio y sus usuarios. En estos casos, se presentan al usuario en forma de scripts del lado del cliente que provienen de sitios legítimos que un atacante ha comprometido, o se presentan a servidores donde un atacante ha comprometido a un usuario legítimo.

    
respondido por el Shane Andrie 03.10.2014 - 17:52
fuente

Lea otras preguntas en las etiquetas

Cómo rastrear al propietario de una computadora por dirección mac php- ¿mi código está lo suficientemente seguro como para protegerlo de la ejecución remota de comandos al usar shell_exec ()?