bitcoin prize

ATAQUE MITM Y ROBO DE COOKIES: ATAQUE Y DEFENSA🍪🍪💻🔐💀

"EL HOMBRE DE EN MEDIO SE ROBARA TU GALLETA" :v

 cuantas veces no hemos sido testigos presenciales de que personas no borran el historial del navegador cuando entran con sus credenciales de acceso en una computadora que no es de ellos?,  pues creo que miles de veces, o ha veces yo he sido testigo unas cuantas veces en la escuela, otras tantas en el trabajo y otras mas en algunos espacios publicos como cybercafes.
bueno, creo que esto es extremadamente peligroso puesto que el navegador o el website guarda en alguna parte secretamente escondido de la computadora, lo que es llamado como cookie , la cookie tiene datos de la sesion previamente guardada  como el dato de expiracion,  fecha de la sesion previamente iniciada,  el navegador utilizado, entre otras cositas interesantes que veremos mas adelante en este articulio.
ahora veamos un poco para despejar nuestra mente como es la negociacion de una galleta de sesion.
este proceso es el mismo casi en todas las negociaciones de los servidores web, eso si, dependeria mucho de como fue previamente programado el proceso con php.
hay otros mecanismos basados en tokens de un solo uso para evitar este tipo de vulnerabilidades o explotaciones.
aunque como hemos visto multiples veces, tampoco este metodo de autenticacion con el servidor esta exento de ser atacado, pues existen muchos ataques alos tokens de autentificacion.
tambien hay ciertas caracteristicas o funciones del lenguaje javascript que permite desglosar en un box o caja la cookie,  veamos una imagen para aclararlo mejor:
a esto comunmente se le llama inyeccion de cookie para secuestrar una sesion del usuario, es por ello que algunos websites como facebook.com incorporan metodos dobles de autentificacion como el factor -two authenticator para que si algun atacante robara la sesion el usuario puede cerrarla o cambiar desde su telefono o algun dispositivo su cuenta y actualizarla.
para realizar con una alta probabildiad de exito este tipo de ataque, deberemos en primer lugar ponernos en medio de la comunicacion, de lo contrario de nada servira, puesto que estaremos capturando  solo las sessiones de cookies de nuestro equipo.
el ataque que realizaremos va como sigue:
Ademas deberemos ser bhastante habiles puesto que las cookies tienen una fecha de expiracion, asi que deberemos ser muy rapidos si quieremos secuestrar la session antes de que expire y la sesion nos mande un bonito error.
 pero lo primero que deberemos hacer es crear un arp-spoofing con ettercap facilmente,   podriamos hacerlo manualmente con scapy pero nos tomaria un poco mas de tiempo.
lo que tenemos que hacer es re-inyectar una cooke robada pero antes de que la validez se termine, deberemos instalar algunas extensiones en nuestro navegador para ello o un administrador de cookies avanzadas.

en el siguiente proceso vemos que estamos haciendo un arp-spoofing no explicare en este articulo lo que es esta tecnica para crear un hombre en el medio ya que esto mismo ya se ha explicado anteriormente en otro tipo de articulos de investigacion en este mismo blog de ciberseguridad.

despues que hemos creado un hombre de en medio con las direcciones IP correspondientes de las cuales ya tenemos un poco de informacion y deberemos investigar anteriormente,   solo se tiene que tener la certeza de que las direcciones o el entorno en el que nos encontremos sea v4 ya que hemos visto en otros articulos que si nos encontramos en entornos v6 el proceso es un poco diferente, similar si, diferente en algunos aspectos ya que cambian algunos protocolos en lo particular.

en la siguiente imagen vemos que estamos efectuando un arp-spoofing con la herramienta con GUI o entorno grafico llamada ettercap.


una vez hemos seleccionado el ataque selccionado para efecutar el hombre en el medio, deberemos seleccionar las direcciones correspondientes para asi efectuar el flujo de conexion y colocarnos en el medio o mejor conocido como MITM.

vemos en la imagen siguiente que hemos seleccionado a las victimas para posicionarnos en el medio una idea general es que la primera victima sea la computadora o estacion cliente de la red local y otro el gateway o la pasarela por donde saldra a nternet ya que es esta ultima la que se conectara a los servidores de internet y con ello las peticiones y respuestas HTTP asi como los headers correspondientes.


vemos que ya hemos efectuado el ataque del hombre en el medio,  ahora solamente queda inspeccionar con algun sniffer si estamos en windows podriamos usar wireshark igualmente en linux tambien otra herramienta interesante es  cain & abel que trae por defecto muchas herramientas incluidas utilidades de fuerza bruta asi como  el sniffer para interceptar peticiones y todo lo que este circulando en la red en mero texto plano sin cifrado o sin certificados de seguridad.

vemos en la ilustracion siguiente que hemos interceptado una cookie en wireshark por ejemplo tenemos muchos filtros para los cientos de protocolos que soporta wireshark  podemos filtrar por peticiones HTTP por ejemplo el filtro http.cookie lo que hara es buscar si existe match de expresion regular con el trafico que esta circulando en esos momentos.

como hemos mencionado hemos capturado una session de cookie activa en texto plano lo que compromete toda la cuenta del usuario al que estamos interceptando.


en caso de que no exista ningun certificado de seguridad ni llaves publicas ni privadas dentro de la autenticacion o cuando se este creando la cookie correspondiente dentro del portal en el que nos estemos logeando,  entonces pasara a texto plano lo que conlleva una grave brecha de seguridad,  algunos atacantes han ideado tacticas que logran sobrepasar en algunas ocasiones la seguridad SSL,  por ejemplo con la herramienta que traen algunos sistemas operativos como parrot os security o kali linux o derivados, una de las herramientas en cuestion es sslstrip como la vemos en la siguiente imagen:


podemos analizar y lo primero que nos llama la atencion es que una vez dados los permisos de ejecucion necesarios se pone a escuchar para ver si esta ante conexiones con seguridad de certificados SSL,   anteriormente tenemos que haber efectuado el ataque del hombre en el medio ya sea en entorno v4 o v6 para poder utilizar esta herramienta.

Vemos en la  ilustracion siguiente como es que funciona esta tecnica y como logra forzar al usuario hacer un ataque tipo puja hacia abajo o de downgrade, los ataques o tecnicas downgrade ya los hemos mencionado y explicado anteriormente son ataques que lo que hacen es obligar al usuario a que utilice una tecnologia, protocolo o estandar ya antiguo para asi facilitar las cosas al atacante o abrir vectores de ataque ya conocidos anteriormente.

la explicacion para la ilustracion del ataque es la siguiente:

  1. primero primero el usuario envia una peticion HTTP dentro de su encabezado correspondiente
  2. el atacante como hombre en el medio manipula toda conexion que entre mediante SSL y elimina cualquier certificado de seguridad SSL que pudiese existir dentro de la conexion
  3. entonces como el server recibe un REQUEST o peticion en texto claro,  la respuesta claramente sera en texto claro enviada por el mismo servidor
  4. desde aqui el proceso se vuelve al numero 1 a repetir hasta que los datos queden completados y las peticiones claramente procesadas
el anterior ataque depende de la autenticacion que estemos atacando, existen algunas tecnicas para frenar este tipo de ataques como el estandar nuevo de seguridad,  que se ha convertido en un estandar defacto  que es llamado HSTS o por sus siglas en ingles -STRICT-TRANSPORT-SECURITY o transporte estricto de seguridad,  lo que hace este mecanismo de seguridad lo analizamos con la siguiente imagen:



vemos que cuadno una peticion o la estacion cliente envia peticiones dentro hacia y desde el servidor el servidor reconoce si exactamente cumple con los parametros correspondientes de seguridad en este caso   de certificados SSL muchos navegadores modernos tienen ya las llaves publicas de ciertos certificados de seguridad por lo que es casi imposible evadir que no usen https con la anterior herramienta de ataque conocida como sslstrip,  si existe una anomalia o no se encuentran las llaves de seguridad correspondientes entonces el servidor responde con un 302 o con un error que no deja accesar al usuario sacandolo de la autentificacion por el momento,  si en caso de que algun atacante lograra manipular e interceptar , este mecanismo lo redirigige nuevamente hacia el sitio con certificado SSL autorizado, de esta forma frenando el ataque ssltrip/

DEFENSAS

aqui vemos algunas de las tecnicas de defensas para despediros y que podramos implementar con mecanismos de defensa para nuestros proyectos o a tener en cuenta al momento de hacer una auditoria con fases de hacking etico de seguridad cibernetica.

  • tokens de seguridad de un solo uso y pseudoaletorios matematicos con cifrado fuerte
  • segundos factores de autentificacion con biometria o con algo que se tiene como un movil
  • cifrar siempre las conexiones con certificados SSL
  • configurar correctamente el estandar de seguridad HSTS
  • Forzar mediante .htaccess de apache a usar HSTS en caso contrario denegar el acceso
  • caducar la session o las cookies en un numero relativo corto de tiempo
  • sessiones aleatorias con numeros matematicos random
  • regenerar las sessiones cada entrada de usuario con el metodo de php session_regenerate()
  • usar el flag secure dentro de las configuraciones de envio de cookies
  • nunca usar texto plano 
  • bloquear al usuario o la direccion ip que intente entrar con http




REFERENCIA Y BIBLIOGRAFIAS:
 https://sourceforge.net/projects/cookie-monster/
 https://www.youtube.com/watch?v=bgFrJsSgaYA

0 comments:

Publicar un comentario

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más