Downloads Online

Bueno para aquellos interesados en seguridad informatica, aca les paso a contar de otro tipo de ataque mas bien parecido a phising, scam..
Spoofing; en este caso vamos a definir los tipos de ataques dentro de spoofing, pero hablaremos del ataque a webs.

Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Existen diferentes tipos de spoofing dependiendo de la tecnología a la que nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP . Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") spoofeado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spooofing unido al uso de peticiones Broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque smurf. Para poder realizar IP SPOOFING en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta que los routers actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes spoofeados no sobrepasarán el router).

ARP Spoofing: Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. Explicándolo de una manera más sencilla: El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los Switches y los hosts guardan una tabla local con la relación IP-MAC llamada "tabla ARP". Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un router, de esta manera la información dirigida al router pasaría por el ordenador atacante quien podrá sniffar dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer Router. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (simpre que las ips de red sean fijas), lo cual puede ser difícil en redes grandes. Para convertir una tabla ARP estática se tendría que ejecutar el comando: arp -s [IP] [MAC]

Por ejemplo:

arp -s 192.168.85.212 00-aa-00-62-c6-09

Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC.

DNS SPOOFING: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning).

WEB SPOOFING: Suplantación de una página web real (no confundir con phising). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB vistas, información de formularios, contraseñas etc.). La página WEB falsa actúa a modo de proxy solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple LINK. El WEB SPOOFING es difícilmente detectable, quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado, si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque.

MAIL SPOOFING: Suplantación en correo electrónico de la dirección e-mail de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de e-mails hoax como suplemento perfecto para el uso de phising y para SPAM, es tan sencilla como el uso de un servidor SMTPSMTP utilizado. Otra técnica de protección es el uso de firmas digitales. configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor

Vamos hablar en este post mas dedicado a WEb Spoofing:

El Web Spoofing permite a un atacante la creacion de una "shadow copy" DE TODAS LAS PÁGINAS DE LA WEB. Los accesos a este sitio estan dirigidos a traves de la maquina del atacante, permitiendole monitorear todas las actividades que realiza la victima, desde los datos que se pueda escribir en un simple formulario, hasta sus passwords, su numero de tarjeta, etc...

El método consiste en que el atacante crea un falso (pero convincente) mundo alrededor de la victima, y la victima hace algo que le podria ser apropiado. El falso web se parece al verdadero, tiene las mismas paginas, links... En definitiva, el atacante es quien controla el falso web, asi pues, todo el trafico entre el navegador de la victima y el verdadero web pasa a traves del programa filtro que programó el atacante. Desafortunadamente, las actividades que parecen ser razonables en el mundo imaginario suelen ser desastrosas en el mundo real.

Las personas que usan internet a menudo toman decisiones relevantes basadas en las señales del contexto que perciben. Por ejemplo, se podria decidir el teclear los datos bancarios porque se cree que se esta visitiando el sitio del banco. Esta creencia se podria producir porque la pagina tiene un parecido importante, sale su url en la barra de navegacion, y por alguna que otra razón mas.

Como el atacante tiene el control de la conexion, puede observar, e incluso modificar cualquier dato que vaya entre la victima y el verdadero web, tiene muchas posibilidades de salirse con la suya. Esto incluye Vigilancia y Manipulacion.

El atacante tambien es libre de modificar cualquiera de los datos que se estan transmitiendo entre el servidor y la victima en cualquier dirección. Por ejemplo, si la victima esta comprando un producto on-line, el atacante puede cambiar el numero, la cantidad, la direccion del remitente ... tambien le podria engañar a la victima enviandole informacion erronea, por parte del servidor para causar antagonismo entre ellos.

Como ataca?

La clave es que el atacante se situe en medio de la conexion entre la victima y el servidor.

a) Rescribe la URL:

Lo primero que se hace es grabar todo el website dentro del servidor del atacante para que asi se apunte al servidor de la victima, en vez de la verdadera. Otro método sería instalar un software que actúe como filtro. Por ejemplo, si la URL del atacante es http://www.atacante.org y la del servidor verdadero es http://www.servidor.com, quedaria: http://www.atacante.org/http://www.servidor.com

1) El navegador de la victima reclama una pagina de www.atacante.org

2) www.atacante.org se la reclama a www.servidor.com.

3) www.servidor.com se la entrega a www.atacante.org

4) www.atacante.org la reescribe o modifica

5)www.atacante.org le entrega la version de la pagina que ha hecho al navegador de la victima.

b) Que pasa con los Formularios?:

Si la victima llena un formulario de una pagina web falsa, el atacante tambien puede leer los datos, ya que van encerrados dentro de los protocolos web basicos. Es decir, que si cualquier URL puede ser spoofeada, los formularios tambien.

c) Las Conexiones Seguras no ayudan:

Una propiedad angustiosa de este ataque es que tambien funciona cuando la navegador de la victima solicita una pagina via conexion segura. Si la victima accede a un web "seguro" (usando Secure Sockets Layer, SSL) en un web falso, todo sigue ocurriendo con normalidad, la pagina sera entregada, y el indicador de conexion segura, se encendera (generalmente suele ser un candado).

El navegador de la victima dice que hay una conexion segura, porque tiene una, pero desgraciadamente esa conexion es con www.atacante.org, y no con el sitio que piensa la victima. El indicador de conexion segura solo le da a la victima una falsa sensacion de seguridad.

Este ataque es bastante efectivo, pero no perfecto. Todavia hay detalles que pueden hacer sospechar a la victima que el ataque ya esta en marcha. En última instancia, el atacante puede llegar a eliminar cualquier rastro del ataque.

a) La Linea de Estado:

Es una simple linea de texto abajo del navegador que informa de varios mensajes, como a que servidor trata de localizar, si se conecta, o el tiempo que falta todavia para recibir la totalidad de la pagina.

Este ataque deja dos tipos de evidencias en la barra de estado. La primera, cuando se pasa el mouse por encima de un enlace, informa la URL a la que apunta. Asi pues, la victima podria darse cuenta de que la URL se ha modificado. La segunda es que por un breve instante de tiempo, se informa cual es la direccion del servidor que esta intentando visitar. La victima podria darse cuenta que el servidor es www.atacante.org, y no el servidor verdadero.

El atacante puede tapar estas huellas añadiendo codigo JavaScript en cada pagina reescrita para ocultar el texto en la linea de estado o hacer que cuando haya un enlace a http://www.atacante.org/http://www.servidor.com, en la linea de estado salga http://www.servidor.com, que se haria de la manera siguiente:

OnMouseOver="window.status='http://www.servidor.com'; return

true;">http://www.servidor.com

Este detalle hace mas convincente el ataque.

b) La Linea de Navegacion:

Es la encargada de informar qué URL se esta visitando. Asi pues, el ataque causa que las paginas reescritas en www.atacante.org salgan en la linea de navegacion. Este detalle puede hacer sospechar a la victima que el ataque está en marcha.

Esta huella puede ser ocultada ayudandose de un poco de JavaScript, de esta manera:

function AbreVentana()

{

open("http://www.atacante.org/http://www.servidor.com/","DisplayWindow","toolbar=yes,directories=no,menu bar=no, status=yes");

}

Tambien se puede hacer un programa que reemplace a la linea de navegacion verdadera, que parezca que sea la correcta, colocandola en el mismo sitio, ... Si esta bien hecho se puede hacer que escriba la URL que espera ver la victima, incluso que se puedan producir entradas por teclado, para que la victima no se de cuenta.

c) Ver Documento Fuente:

Los navegadores mas populares ofrecen la posibilidad de examinar el codigo fuente html de la pagina actual. Un usuario podria buscar URLs reescritas, mirando su codigo fuente, para darse cuenta del ataque.

Este ataque también puede prevenir esto ayudandose de un programa en JavaScript que oculte la barra de menús, o que haga una barra identica, con la salvedad que si la victima mira el codigo fuente, en vez de enseñar el que esta viendo, apunte a la direccion verdadera.

d) Ver Informacion del Documento:

Esta huella se puede eliminar siguiendo las indicaciones arriba mencionadas.

Remedios

Web Spoofing es un ataque peligroso, y dificilmente detectable, que hoy por hoy se puede llevar a cabo en Internet. Afortunadamente hay algunas medidas preventivas que se pueden practicar:

a) Soluciones a corto plazo:

1.- Desactivar la opcion de JavaScript en el navegador.

2.- Asegurarse en todo momento que la barra de navegacion está activa.

3.- ESTA ES LA MÁS IMPORTANTE: Poner atencion a las URL que se enseñan en la barra de estado, asegurandote que siempre apuntan al sitio que quieras entrar.

Hoy en dia tanto JavaScript, como Active-X, como Java tienden a facilitar las tecnicas de spoofing, asi que desde aqui recomendamos al lector que las desactive de su navegador, al menos en los momentos que vaya a transferir informacion critica como login, password, numeros de tarjeta de crédito o cuenta bancaria, ...

b) Soluciones a largo plazo:

Todavia no se ha descubierto ningun metodo para evitar este ataque.