Cuáles son, los peligros y de qué manera eludir un ataque

📑 Aquí podrás encontrar 👇

¿Cómo marcha el protocolo HTTPS?

HTTPS (Hypertext Transfer Protocol Security) es una versión segura del habitual HTTP (Hypertext Transfer Protocol). El protocolo está en la cubierta de app y se apoya en HTTP, pero añade seguridad TLS (capa de transporte) para brindar seguridad punto a punto en todas las conexiones desde el cliente al servidor web. TLS pertence a los protocolos más utilizados para proteger las comunicaciones. Además, se emplea no solo para conexiones HTTPS, sino más bien también para otros protocolos como FTPES (la versión FTP, pero la cubierta de seguridad usa TLS) e incluso protocolos VPN como OpenVPN. TLS (y en consecuencia HTTPS en la cubierta de aplicación) usa varios algoritmos de encriptado para proporcionarnos las próximas características:

  • Mantener misterio-La intimidad en criptografía significa que todos los datos están encriptados de un radical a otro, y solo el origen y el destino tienen la posibilidad de "leer" los datos. Si un ciberdelincuente se encuentra en medio de una comunicación (ataque man-in-the-middle), puede interceptar de manera fácil la información, pero si no tiene la clave de descifrado privada, nunca va a poder leer la información.
  • vericidad: Esta función de criptografía garantiza que los datos de la fuente sean genuinos y no los hayan copiado terceros.
  • Vertical: Esta función puede garantizar que no se hayan cambiado todos los datos desde el punto inicial hasta el punto final. Si ha sido alterado por un tercero malintencionado, la información se puede reconocer y remover.

La vida útil del certificado HTTPS será más corta.

Hoy día, la versión HTTP / 2 de HTTPS usa TLS tanto en TLSv1.2 como en TLSv1.3. Actualmente, estos 2 protocolos se consideran seguros y no se han descubierto inseguridades que hagan que sea peligroso explotarlos. TLSv1.3 es mucho más rápido que la versión anterior y solo admite conjuntos de encriptado seguro; no es necesario configurar conjuntos de encriptado menos seguros como TLSv1.2.

En concepto de puertos, HTTP usa TCP y el puerto 80 en la capa de transporte, al paso que HTTPS usa TCP 443. En los últimos meses, QUIC se ha estandarizado y utilizado para conexiones web. Cuando HTTP / 2 es HTTPS y / o HTTP / 3 utiliza UDP para conexiones punto próximo, QUIC se ha conjuntado con el último algoritmo de cifrado de seguridad (como Chacha20-Poly1305 o AES-GCM).

Cuando entendamos de qué forma marchan HTTPS y nuestros protocolos latentes en diferentes capas de TCP / IP, observaremos qué asaltos de eliminación de SSL se utilizan para transcribir todas las conexiones HTTPS.

¿Qué es el ataque de supresión de SSL?

En el momento en que efectuamos un ataque de suplantación de identidad ARP y configuramos un rastreador para capturar todo el tráfico, nos encontramos excluyendo todo el tráfico de red generado por una computadora concreta (víctima). Si está usando protocolos inseguros como HTTP o FTP, podemos consultar de manera fácil sus mensajes, datos de autenticación e incluso cookies de sesión. Debido a esto, conectarse a una red Wi-Fi pública o una red poco fiable es peligrosísimo, ya que cualquier ciberdelincuente puede hacer tales ataques de intermediario y secuestrar cualquier información.

Si utilizamos un protocolo seguro como HTTPS, un atacante puede atrapar de manera fácil toda la información pero no puede leerla, es decir, no puede ver los datos de autenticación, la cookie de sesión o nada en lo más mínimo, pues todo el tráfico es de radical a radical. cifrado (del cliente al servidor web). Gracias a algoritmos de encriptación como TLS y AES, nuestra información se maneja de manera confidencial, o sea, encriptación de extremo a extremo.

Un ataque de caída de SSL supone configurar un proxy HTTP / HTTPS para "desbloquear" este protocolo HTTPS cifrado. La víctima puede atrapar toda la información y ver los datos que contiene usando el protocolo HTTP. Para romper la conexión HTTPS, debe llevar a cabo lo siguiente:

  1. Realizar un ataque de suplantación de identidad ARP en la víctimaReenvíe todo el tráfico de la red antes de dirigirlo al enrutador para que tengamos la posibilidad interceptar toda la información mandada y recibida por esta víctima.
  2. Usando un rastreadorWireShark, por servirnos de un ejemplo, es una muy buena opción, es uno de los programas mucho más completos y fáciles de utilizar que hay, y es absolutamente gratis.
  3. Asegúrate de catalogar todo el tráfico Sacrificio, es de este modo como nos cercioramos de que la suplantación y el rastreo de ARP funcionen adecuadamente. En un caso así, por supuesto, solo podemos consultar el tráfico DNS, ICMP y otro tráfico en artículo sin codificar, pero no el tráfico HTTPS, ya que está cifrado de un extremo a otro.

Cuando hayamos completado estos tres pasos, todo lo que tenemos que hacer es Modificar HTTP / HTTPS sin proxy Explota herramientas gratis como Bettercap, la mejor herramienta que tenemos la posibilidad de usar para llevar a cabo este tipo de ataque. Tras haber configurado este proxy HTTP / HTTPS, sucede lo siguiente:

  1. La víctima procurará conectarse a la red mediante HTTPS. Sin embargo configurado nuestro proxy HTTP / HTTPS le afirma a la víctima que la conexión ha de ser HTTP, y luego nuestro proxy HTTP / HTTPS puede enviar información a Internet (Google+, PayPal, Amazon, etcétera.) a través de HTTPS. Por ende, el agresor recibe todos y cada uno de los datos en texto sin formato de la víctima y el servidor web real, y cambia todo el tiempo entre HTTP y HTTPS y viceversa.
  2. El rastreador web antes habilitado atrapa todo el tráfico HTTP y nos enseña las credenciales de usuario, las cookies de sesión y todas y cada una de las acciones realizadas por la víctima en artículo plano.

Como puede ver, cualquiera puede emplear herramientas gratis (como Bettercap para Linux) para efectuar asaltos de caída de SSL. En verdad, en RedesZon ​​e tienes una guía completa sobre de qué forma realizar una auditoría de seguridad y revisar si el propósito puede ser usado en nuestra contra o si estamos protegidos de tales ataques.

¿De qué manera puedo resguardarme de este ataque?

Este tipo de ataque es muy utilizado por los ciberdelincuentes para interceptar todo el tráfico de la víctima, singularmente en redes públicas, ya sea una red cableada o una red Wi-Fi pública sin control. No obstante, si alguien puede piratear nuestra red Wi-Fi, nos encontraremos precisamente en exactamente la misma situación: estamos en la misma red local que los ciberdelincuentes y tienen la posibilidad de exponernos a asaltos de suplantación de identidad ARP y ataques de eliminación de SSL. Por este motivo, es muy importante sostener una lista de dispositivos con cable o WiFi conectados a nuestra red local. Compruebe de vez en cuando si hay intrusos. Asimismo debemos asegurarnos de que absolutamente nadie pueda piratear nuestra red Wi-Fi. Desactive WPS (configuración protegida de Wi-Fi).

Si estamos en la misma red local que el agresor, este ataque de supresión de SSL no puede eludir que nos lleve a cabo esto, pero podemos eludir que surta efecto, o sea, "deshabilitar la conexión HTTPS una por una". Para mantener su intimidad, vamos a poder viajar de forma segura. Actualmente podemos defendernos de estos ataques a través de múltiples métodos, varios de los cuales dependen de gestores web, al tiempo que otros dependen completamente de nosotros.

HSTS activado en la red

HSTS o HTTP Strict Transmission Security es una política de servidor web que nos obliga a usar HTTPS en los navegadores de internet para comunicarnos con el servidor. Ya hemos explicado que un proxy HTTP / HTTPS puede estar comunicado fácilmente con un servidor web utilizando HTTPS, pero en el momento en que HSTS está habilitado en un portal de internet, se guarda una cookie en el navegador que indica que el navegador siempre no podrá comunicarse usando el protocolo HTTP. . ... Al estar comunicados con el servidor de red así, garantizamos la seguridad punto a punto incluso si alguien utiliza un proxy HTTP / HTTPS para "aliviar" la intrusión HTTPS que nos comunicamos con la red.

En la actualidad, los servidores web que alojan varios sitios web distintas usan correctamente esta política de seguridad para proteger a sus usuarios. Esto está en el navegador. Las cookies almacenadas por los clientes del servicio están a punto de caducar, pero establecemos una duración máxima (un año) para resguardar al cliente tanto como sea posible.

La desventaja de HSTS es que si esta es nuestra primera visita al lugar y se efectúa la eliminación de SSL, esta función no nos protegerá. La protección se aplica a la segunda visita porque la cookie ahora se ha cargado si no disponemos una lista de sitios web precargados en nuestro navegador de internet, como "websites grandes" como Google plus y otros servicios. Podemos personalizar la lista de sitios de precarga de HSTS que da Google+ como parte del proyecto Chromium.

Debemos integrar las siguientes normas en el servidor web Apache:

  • El encabezado siempre tiene el formato Strict-Transport-Security “max-age = 31536000; incluidos los subdominios "

En el servidor web Nginx, necesitamos activar las siguientes normas:

  • add_header Strict-Transport-Security "max-age = 31536000; Incluir subdominios "

También tenemos la posibilidad de habilitar la "precarga" al final de este tutorial para señalar que se precargó en un navegador de internet y que puede conectarse fácilmente.

Para comprobar si HSTS está habilitado en el sitio web, puede visitarlo cualquier ocasión. Ubicación web oficial de Qualys SSL Labs Donde lograras analizar todos los sitios web que necesites. Finalmente, debemos señalar que esta protección HSTS asimismo se puede eludir: debido a la suplantación de DNS, la víctima es redirigida a otro dominio bajo nuestro control, que es idéntico al dominio original, con el fin de "suplantar". incluye esta característica.

Usar VPN

Otra forma de evitar este género de ataque a las conexiones HTTPS es emplear servicios VPN. Una red privada virtual o VPN es responsable de cifrar todas las comunicaciones punto a punto en el túnel. Por consiguiente, un agresor que efectúa un ataque de suplantación de identidad ARP y también instala un rastreador solo puede ver todo el tráfico encriptado. No puede ver mucho más registros por el hecho de que el análisis de DNS asimismo ingresa al túnel VPN. Los ciberdelincuentes tienen la posibilidad de procurar "publicar" este túnel VPN. De hecho, puede brindar seguridad inyectando paquetes de datos y deteniendo el servicio VPN. No obstante, debemos rememorar que VPN tiene una función llamada conmutador de conmutación por error. Con la función de desconexión automática, puede denegar absolutamente el tráfico de Internet en el caso de falla o problemas del túnel VPN, tal es así que nuestro los datos no se filtraron y no desencadenaron otros ataques. Ninguna conexión a Internet es siempre mejor que la información robada.

Existen varios protocolos VPN como WireGuard, OpenVPN o IPSec IKEv2, todos ellos seguros y con los que tenemos la posibilidad de evitar la detención de mensajes y romper el encriptado HTTPS. Por lo tanto, si se está conectando a una red cableada, una red Wi-Fi pública o no segura, se aconseja encarecidamente utilizar siempre esta clase de VPN. Tenemos la posibilidad de modificar un servidor VPN en nuestra red doméstica local. Si contamos un servidor NAS, va a tener una app VPN. Incluso en ciertos enrutadores domésticos como ASUS, AVM FRITZ! Box e inclusive D-Link o NETGEAR, hay un servidor. Ven a conectarte. seguro pues redirigen el tráfico.

Si no tiene las habilidades o conocimientos para instalar y modificar un servidor VPN en casa, le recomendamos que utilice un servicio VPN como Cloudflares WARP, que es totalmente gratuito y funciona bien, y puede obtener una gran velocidad de ventas. muy poca demora. Otras elecciones que puede emplear son los servicios VPN de pago, puesto que tienen apps para todos y cada uno de los sistemas operativos, varios servidores en todo el mundo y funciones clave como un interruptor de apagado de urgencia.

Realizar túnel SSH

Otra forma de protegerse contra los asaltos de eliminación de SSL es usar un túnel SSH redirigiendo el tráfico. Este método se conecta a un servidor SSH remoto de seguridad y configura un proxy SOCKS que luego se configurará en el navegador. Es así como redirigimos el tráfico del navegador de internet a través del servidor SSH al que nos encontramos conectados. Para realizar esto, requerimos llevar a cabo lo siguiente:

  • Configure un servidor SSH de manera segura, cambie los puertos, una aceptable autenticación y buenos conjuntos de cifrado.
  • Habilite el reenvío de TCP en el servidor SSH. De lo contrario, no podremos redirigir el tráfico de Internet aunque estemos conectados.
  • Configure este servidor SSH en un programa como PuTTY y habilite el reenvío o reenvío en un proxy SOCKS5 específico.
  • Configure el proxy local recién creado en su navegador de internet para que todo el tráfico de datos vaya a Internet a través del servidor SSH.

Este método es exactamente el mismo que con un servidor VPN. Utiliza un "servidor" para conectarse con seguridad a Internet mediante HTTPS. Nadie puede remover este encriptado.

En el final

Aunque una conexión HTTPS es segura, en ciertos casos un agresor puede "fortalecerla" para conseguir credenciales de usuario y cookies de sesión, lo que hace que la conexión HTTPS sea menos segura. Sin embargo, esta clase de ataque solo puede hacerse en determinadas situaciones, por servirnos de un ejemplo, el atacante y la víctima están en exactamente la misma red local, cableada o inalámbrica, y HSTS no está habilitado en el sitio que visita el usuario. Es muy importante saber exactamente en qué sitios web están disponibles los registros HSTS y sostener la calma mientras que navega por el sitio, porque si alguien nos ataca, el lugar nos informará de forma automática que no se ha establecido una conexión segura y que no se va a crear. Esto nos resguarda de un mayor trueque de datos.

Si nos conectamos a Internet en una red pública mediante un túnel VPN o SSH, podemos mantener la calma en tanto que no pueden interceptar ni interrumpir las comunicaciones. Por eso, en el momento en que estamos afuera, es muy importante tener estas tecnologías en nuestra red confiable. Ya sea que el servidor VPN o SSH esté en el hogar, da igual con el VPS que arrendamos, incluso si usamos un servicio VPN de pago muy conocido, es importante defendernos de los intrusos en nuestra red local, asegurarnos y evitar esta clase. del ataque de barrido SSL. ...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir