Spoofing

Spoofing-ul este un tip de atac computerizat care folosește în diferite moduri falsificarea identității (spoof). Spoofing-ul poate apărea la orice nivel al stivei ISO / OSI și poate implica, de asemenea, falsificarea informațiilor despre aplicație.

Descriere

Utilizare

Această tehnică de atac poate fi utilizată pentru a falsifica diverse informații, cum ar fi identitatea unei gazde într-o rețea sau expeditorul unui mesaj. Odată ce un atacator reușește să suplinească identitatea cuiva în cadrul unei rețele, el poate intercepta informații confidențiale, răspândi informații false și părtinitoare sau poate efectua orice tip de atac. Este deosebit de eficient combinat cu tehnici de inginerie socială pentru a obține acces la informații „confidențiale” și acreditări ale utilizatorului. Escrocii sau phisherii din rețelele de socializare pot folosi această tehnică, de exemplu, pentru a convinge un utilizator să se conecteze la un server rău intenționat prin interceptarea acreditărilor sale.

Contramăsuri

Există mai multe tehnici pentru a proteja o rețea de acces nedorit. Exemple semnificative ale acestor tehnici sunt adoptarea standardului IEEE 802.1x pentru autentificare sau utilizarea NAC (Network Access Control) care oferă pe lângă autentificarea gestionată la nivel înalt, o serie de controale pe dispozitiv, precum prezența software incompatibil cu arhitectura rețelei. Cu toate acestea, cea mai mare vulnerabilitate la care este expusă o rețea este utilizatorul. De fapt, multe atacuri asupra rețelelor care nu au anumite bug-uri tehnologice de exploatat apar prin concentrarea asupra factorului uman, asupra vulnerabilităților comportamentale ale unei persoane. ^[1] Spoofingul la nivel înalt exploatează adesea tehnicile de inginerie socială și poate fi utilizat atât pentru a viza utilizatorul final prin furtul de acreditări de cont social sau bancar, cât și pentru a utiliza utilizatorul final pentru a intra în rețele care nu sunt în mod normal permise să acceseze. Pe lângă adoptarea unor tehnici precum SPF , filtre de conținut sau Greylisting, conștientizarea utilizatorului final este o contramăsură fundamentală la acest tip de atac. ^[2]

Tipuri de spoofing

Există diferite tipuri de atacuri de falsificare la diferite niveluri ale modelului stratificat TCP / IP . Se falsifică de fiecare dată când o rețea face să creadă că este altceva decât ceea ce este de fapt: un nume de gazdă , o adresă ethernet sau un server „piratat”.

Spoofing la nivelul 2 (Network Access Layer)

Acest strat al stivei TCP / IP încapsulează straturile de legătură de date fizice (1 și 2) ale modelului ISO / OSI .

Spoofing MAC

Același subiect în detaliu: spoofing pentru Mac .

Acesta constă în falsificarea adresei MAC a unui dispozitiv.

Exemple de utilizare

Inundații MAC : un atacator trimite continuu pachete prin rețea cu un MAC care nu este al său. Acest atac saturează baza de date de redirecționare a comutatorului, provocând o defecțiune, adică forțând următoarea transmisie prin rețea.
Furtarea portului : utilizarea de către un atacator a unei adrese MAC a unei gazde victime are scopul de a fura portul de comutare dedicat gazdei victimei.

Spoofing ARP

Același subiect în detaliu: otrăvirea ARP .

Este o tehnică care poate fi utilizată de un atacator care implică trimiterea de mesaje ARP printr-o rețea locală, în general pentru a asocia adresa MAC a acestora cu IP-ul altei gazde (de exemplu gateway-ul implicit), interceptând astfel tot traficul destinat ea.

Un instrument de prevenire și blocare a acestui atac este ArpON „ARP handler inspection”. ArpON este un daemon portabil care face protocolul ARP sigur împotriva atacurilor Man in the Middle (MITM) prin tehnici ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR). ^[3]

Spoofing la nivelul 3 (Internet Layer)

Acest strat al stivei TCP / IP coincide cu stratul de rețea (3) al stivei ISO / OSI .

Spoofing IP

Același subiect în detaliu: falsificarea IP .

Acesta constă în crearea unui pachet IP în care adresa IP a expeditorului este falsificată. În general, este ușor să falsificați o adresă, deoarece protocolul nu implementează niciun sistem de securitate. În acest caz, avem rutare asimetrică, deoarece un pachet de răspuns posibil este trimis la adresa IP reală. ISP-urile pot activa diferite sisteme de securitate pentru a preveni falsificarea IP . Una dintre acestea este de a preveni trimiterea pachetelor de pe o interfață (a unui router / firewall ) în care IP-ul sursă nu este ceea ce vă așteptați. O altă metodă este utilizarea tabelelor de rutare. Dacă interfața sursă pentru un pachet nu este aceeași cu cea care ar fi aleasă de router pentru redirecționarea pachetului de răspuns, atunci acest pachet este aruncat. Această tehnică se numește uRPF (unicast Reverse Path Forwarding).

Spoofing la nivelul 4 (Transport Layer)

Acest strat al stivei TCP / IP coincide cu stratul de transport (4) din stiva ISO / OSI . Nu este relevant în faza de autentificare, deci nu vorbim despre spoofing UDP / TCP, ci despre atacul de spoofing IP efectuat către unul dintre aceste două protocoale.

Spoofing UDP

Este similar cu cazul IP. Deoarece UDP este un protocol fără conexiune , forjarea unei datagrame UDP constă în introducerea informațiilor dorite și forjarea antetului .

Spoofing TCP

Parodizarea unei sesiuni TCP este mult mai complexă decât cazul UDP. TCP este de fapt un protocol orientat spre conexiune care necesită stabilirea unei sesiuni prin strângerea de mână în trei direcții . Dacă un pachet SYN cu adresa IP falsă este falsificat și trimis la un server, înainte ca datele să poată fi trimise, serverul va încerca să finalizeze strângerea de mână răspunzând cu un pachet SYN / ACK. Acest pachet va raporta adresa IP falsificată, deci nu va fi trimisă înapoi atacatorului care nu poate răspunde cu al treilea și ultimul pachet (pachetul ACK). Pentru a efectua acest atac este necesar să trimiteți un pachet ACK către server care nu numai că raportează din nou adresa IP falsificată, ci și numărul de ordine pe care serverul l-a introdus în pachetul SYN / ACK. Pentru a alege acest număr, atacatorul trebuie să știe cum le alege serverul. Deoarece atacatorul trimite primul și al treilea pachet fără să-l vadă pe cel de-al doilea, acest atac se numește spoofing orb . O discuție aprofundată cu privire la predicția numerelor de secvență este dată de lcamtuf în ^[4] și în ^[5] .

Spoofing la nivelul 7 (Application Layer)

Acest strat include tehnici de falsificare destinate să vizeze protocoalele sesiunii, prezentării sau straturilor de aplicații (respectiv 5, 6 și 7) ale stivei ISO / OSI sau ale aplicațiilor în sine.

Spoofing prin e-mail

Același subiect în detaliu: falsificarea e-mailurilor .

Acesta constă în falsificarea adresei expeditorului într-un e-mail. Folosit pentru răspândirea e-mailului spam , malware și ca bază pentru phishing .

Spoofing WEB

Când spoofingul implică web (server de aplicații, server gazdă sau protocoale web), acesta este denumit spoofing web. În cel mai comun sens, falsificarea web se referă la falsificarea unui server web pentru a face un utilizator să creadă că este conectat la un anumit server în timp ce este conectat la un server rău intenționat.

Descriem tehnica în cazul clar (nu TLS ). Prima acțiune pe care un atacator trebuie să o întreprindă pentru a redirecționa un client către un server fals (numit și server shadow sau server shadow) este de a forja asocierea dintre adresa web și adresa IP. Acest lucru se face printr-un atac de otrăvire DNS . În acest moment, atacatorul a făcut clientul să creadă că adresa serverului real este cea a serverului fals. Atacatorul a construit anterior un server fals pe care îl poate

conține o copie a serverului real (fiecare pagină a fost copiată local pe serverul shadow)
întoarceți conexiunile clientului la serverul real pagină cu pagină

În ambele cazuri, atacatorul primește să se prefacă serverul real, de exemplu prin captarea acreditării de conectare. Crearea serverului shadow este aceeași cu ceea ce se face în phishing , dar în acest caz a existat un atac preventiv direct asupra clientului.

În cazul TLS, lucrurile se complică: trebuie să spargeți sistemul criptografic TLS. Deoarece algoritmii sunt greu de spart, un atacator face un atac la jumătatea distanței dintre calcul și inginerie socială . Atacul are loc din toate punctele de vedere ca în cazul fără TLS, dar opțiunea aleasă este redirecționarea conexiunilor către serverul real. Când clientul primește certificatul serverului , acesta trebuie să verifice autenticitatea acestuia. Atacatorul generează apoi un certificat de server fals, total identic cu certificatul real, dar care nu este semnat de CA în sine. Utilizatorul primește apoi un certificat valabil la prima vedere și doar o analiză aprofundată relevă falsitatea acestuia. Atacatorul ar putea face identificarea și mai dificilă utilizând un CA fals, la fel ca cel real (adică cu aceleași nume, identificatori etc.). Dacă utilizatorul nu este suficient de conștient de problemă, poate face clic pentru a accepta chiar dacă testul criptografic nu este finalizat. În acest moment, serverul atacatorului face o conexiune cu serverul real, acționând ca un proxy și interceptând comunicațiile. Acesta este omul din mijlocul atacului . Unele instrumente care oferă posibilitatea de a efectua acest atac sunt dsniff ^[6] și ettercap ^{[7] în} timp ce un instrument de prevenire și blocare este ArpON „ARP handler inspection”. ArpON este un daemon portabil care face protocolul ARP sigur împotriva atacurilor Man in the Middle (MITM) prin tehnici ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR).

Spoofing DNS

Același subiect în detaliu: falsificarea DNS .

Spoofing-ul DNS este un atac cibernetic care implică interceptarea interogărilor directe către serverul DNS și trimiterea unui răspuns fals, diferit de cel pe care l-ar fi dat serverul DNS real, de obicei pentru a redirecționa traficul către servere dăunătoare. Un rezultat de acest tip poate fi obținut și cu un atac de otrăvire a cache-ului DNS , fără a identifica în mod explicit serverul DNS al rețelei.

Referer Spoofing

Acesta constă în falsificarea indicelui într-o cerere HTTP, pentru a împiedica un site să obțină informații precise pe pagina web vizitată anterior de utilizator. Această tehnică este utilă în cazul site-urilor care fac posibilă accesarea paginilor lor doar din anumite pagini de origine.

Spoofing ID-ul apelantului

Acesta constă în falsificarea ID-ului apelantului într-un apel VoIP. Multe site-uri oferă astfel de servicii. Apelurile contrafăcute pot proveni din alte țări. Acest lucru limitează eficiența legilor împotriva utilizării acestui tip de falsificare pentru a promova o înșelătorie, deoarece legile țării destinatarului nu se pot aplica apelantului.

Notă

^ http://www.techeconomy.it/2016/05/24/social-engineering-conoscerlo-per-prevenirlo/
^ http://www.wired.it/internet/web/2014/04/10/come-difendersi-phishing-clicca-qui/
^ http://wiki.ubuntu-it.org/GiacomoFabris/Prove06
^ ( EN ) http://lcamtuf.coredump.cx/oldtcp/tcpseq.html
^ ( EN ) http://lcamtuf.coredump.cx/newtcp/
^ ( EN ) http://www.monkey.org/~dugsong/dsniff/ - Site oficial dsniff
^ ( EN ) http://ettercap.sourceforge.net/ - Site-ul oficial al Ettercap

Elemente conexe

linkuri externe

Portal de securitate IT

Portal telematic

[1] ttp://www.techeconomy.it/2016/05/24/social-engineering-conoscerlo-per-prevenirlo/

[2] ttp://www.wired.it/internet/web/2014/04/10/come-difendersi-phishing-clicca-qui/

[3] ttp://wiki.ubuntu-it.org/GiacomoFabris/Prove06

[4] ( EN ) http://lcamtuf.coredump.cx/oldtcp/tcpseq.html

[5] ( EN ) http://lcamtuf.coredump.cx/newtcp/

[6] ( EN ) http://www.monkey.org/~dugsong/dsniff/ - Site oficial dsniff

[7] ( EN ) http://ettercap.sourceforge.net/ - Site-ul oficial al Ettercap

[1]

[2]

[3]

[4]

[5]

[6]

[7] în