Blog

Cuáles son los peligros y cómo evitar los ataques

¿Cómo funciona el protocolo HTTPS?

HTTPS (Protocolo de seguridad de transferencia de hipertexto) es una versión segura del HTTP (Protocolo de transferencia de hipertexto) normal. El protocolo reside en la plataforma de la aplicación y es compatible con HTTP, pero agrega seguridad TLS (capa de transporte) para brindar protección de extremo a extremo para todas las conexiones del cliente al servidor web. TLS es el protocolo de seguridad de comunicaciones más utilizado. Además de eso, no solo se usa para conexiones HTTPS sino también para otros protocolos como FTPES (versión FTP pero la cobertura de seguridad usa TLS) e incluso protocolos VPN como OpenVPN. TLS (y HTTPS en la plataforma de la aplicación) utiliza diferentes algoritmos de cifrado para proporcionarnos las siguientes funciones:

  • Mantente misterioso– La protección de datos en criptografía significa que todos los datos se cifran de un radical a otro y solo el origen y el destino pueden «leer» los datos. Cuando un ciberdelincuente se comunica (atacando a una persona en el medio), puede interceptar fácilmente la información, pero si no tiene una clave de descifrado privada, nunca podrá leer la información.
  • Padre donante: Esta función de cifrado garantiza que los datos de origen sean auténticos y no sean copiados por terceros.
  • vertical: Esta función puede garantizar que no todos los datos hayan cambiado desde el inicio hasta el final. Si la manipula un tercero malintencionado, la información se puede identificar y eliminar.

Hoy, la versión HTTP / 2 de HTTPS usa TLS tanto en TLSv1.2 como en TLSv1.3. Actualmente, estos dos protocolos se consideran seguros y no se han identificado factores peligrosos que los hagan peligrosos. TLSv1.3 es mucho más rápido que la versión anterior y solo admite paquetes de cifrado sólido; No es necesario configurar paquetes de cifrado menos seguros como TLSv1.2.

En cuanto a los puertos, HTTP usa TCP y el puerto 80 de la capa de transporte, mientras que HTTPS usa TCP 443. En los últimos meses, QUIC se ha estandarizado y se ha utilizado para conexiones web. Si HTTP / 2 usa UDP para HTTPS y / o HTTP / 3 para conexiones de punto cercano, QUIC se completa con los últimos algoritmos de cifrado de seguridad (como Chacha20-Poly1305 o AES-GCM).

Una vez que entendamos cómo funcionan HTTPS y nuestros protocolos centrales en las diferentes capas de TCP / IP, veremos qué circuitos de cancelación de SSL se utilizan para transcribir todas las conexiones HTTPS.

¿Qué es un ataque de supresión de SSL?

Cuando realizamos un ataque de suplantación de identidad ARP y configuramos un rastreador para rastrear todo el tráfico, excluimos todo el tráfico de red generado por una computadora en particular (víctima). Si utiliza protocolos inseguros como HTTP o FTP, podemos verificar fácilmente sus mensajes, datos de autenticación e incluso cookies de sesión. Por lo tanto, conectarse a redes Wi-Fi públicas o redes no confiables es extremadamente peligroso, ya que cualquier ciberdelincuente puede llevar a cabo estos ataques de «clase media» y secuestrar cualquier información.

Si usamos un protocolo de seguridad como HTTPS, el atacante puede capturar fácilmente pero no leer toda la información, es decir, no puede ver datos de autenticación, cookies de sesión o cualquier otra cosa ya que todo el tráfico va de radical a radical. Cifrado (del cliente al servidor web). Gracias a algoritmos de cifrado como TLS y AES, nuestra información se trata de forma confidencial, es decir, cifrado de extremo a extremo.

En el caso de un ataque de caída de SSL, se configura un proxy HTTP / HTTPS para «desbloquear» el protocolo HTTPS cifrado. La víctima puede utilizar el protocolo HTTP para recopilar cualquier información y ver los datos que contiene. Para deshabilitar la conexión HTTPS, debe hacer lo siguiente:

  1. Ataque el ataque de suplantación de ARP en la víctimaReenvíe todo el tráfico de la red antes de reenviarlo al enrutador para que podamos interceptar cualquier información enviada y recibida por la víctima.
  2. Usa un rastreadorTome WireShark, por ejemplo: esta es una muy buena opción, es uno de los programas más completos y fáciles de usar que existen, y es completamente gratuito.
  3. Asegúrese de que todo el tráfico esté catalogado Done, así es como se asegura de que la suplantación de identidad y el seguimiento de ARP funcionen correctamente. En este caso, por supuesto, solo podemos solicitar DNS no cifrado, ICMP y otro tráfico de artículos, pero no tráfico HTTPS, ya que está cifrado de extremo a extremo.

Cuando hayamos completado estos tres pasos, todo lo que tenemos que hacer es Cambiar el proxy HTTP / HTTPS Sin Utiliza herramientas gratuitas como Bettercap, que es la mejor herramienta que podemos utilizar para llevar a cabo este tipo de ataques. Después de configurar este proxy HTTP / HTTPS, sucede lo siguiente:

  1. La víctima intentará conectarse a la red mediante HTTPS. Independientemente de cómo configuremos nuestro proxy HTTP / HTTPS para decirle a la víctima que la conexión debe ser HTTP, nuestro proxy HTTP / HTTPS puede enviar información a Internet usando HTTPS (Google+, PayPal, Amazon, etc.). Por lo tanto, el atacante recibe todos los datos de texto sin formato de la víctima y del servidor web real y siempre cambia entre HTTP y HTTPS y viceversa.
  2. El rastreador web previamente activado recoge todo el tráfico HTTP y nos indica las credenciales del usuario, la cookie de sesión y todas las operaciones que realiza la víctima en un apartamento. Artículo.

Como puede ver, cualquiera puede usar herramientas gratuitas (como Bettercap para Linux) para realizar ataques de caída de SSL. De hecho, en RedesZon ​​tienes una guía completa sobre cómo realizar una auditoría de seguridad y ver si el objetivo puede usarse para defenderse de nosotros o si estamos expuestos a este tipo de ataques.

¿Cómo puedo protegerme de este ataque?

Este tipo de ataque es muy utilizado por los ciberdelincuentes para interceptar el tráfico de todas las víctimas, especialmente en las redes públicas, ya sea por cable o redes Wi-Fi públicas no controladas. Sin embargo, si alguien logra ingresar a nuestra red Wi-Fi, nos encontramos exactamente en la misma situación: estamos en la misma LAN que los ciberdelincuentes, y esto podría exponernos a ataques de suplantación de ARP y eliminación de SSL. . Por esto, es muy importante mantener una lista de dispositivos cableados o WiFi que están conectados a nuestra LAN. Busque intrusos de vez en cuando. También debemos asegurarnos de que absolutamente nadie pueda ingresar a nuestra red Wi-Fi. Desactive WPS (configuración protegida de Wi-Fi).

Si estamos en la misma LAN que el atacante, este ataque de supresión de SSL no puede evitar que lo hagamos, pero podemos evitar que surta efecto, es decir, «Desactivar las conexiones HTTPS una a una». Para proteger su privacidad, podemos viajar con seguridad. Actualmente podemos defendernos contra estos ataques de varias formas, algunas de las cuales dependen de los webmasters, mientras que otras dependen completamente de nosotros.

Activar HSTS en la red

HSTS o HTTP Strict Transmission Security es una política de servidor web que nos obliga a usar HTTPS en un navegador de Internet para comunicarnos con el servidor. Hemos explicado que el proxy HTTP / HTTPS puede comunicarse fácilmente con el servidor web a través de HTTPS, pero una vez que HSTS está habilitado en el portal web, la cookie se almacena en el navegador, lo que indica que el navegador no siempre puede comunicarse usando el protocolo HTTP. … A través de esta comunicación con el servidor web, incluso si alguien usa un proxy HTTP / HTTPS para «mitigar» las intrusiones HTTPS en nuestra comunicación de red, podemos garantizar la seguridad de un extremo a otro.

Actualmente, los servidores web que alojan muchos sitios web diferentes utilizan correctamente esta política de seguridad para proteger a sus usuarios. Esto está en el navegador. La cookie almacenada por el cliente del servicio está a punto de caducar, pero estamos estableciendo la duración máxima (un año) para proteger al cliente tanto como sea posible.

La desventaja de HSTS es que si esta es nuestra primera visita al sitio y se completa la eliminación de SSL, esta función no nos protegerá. Esta protección se aplica a la segunda visita, porque si nuestro navegador de Internet no tiene una lista de páginas preinstaladas, como «páginas grandes» como Google plus y otros servicios, las cookies ya estarán cargadas. nosotros puede personalizar la lista HSTS preinstalada de sitios web que Google+ proporciona como parte del proyecto Chromium.

Necesitamos incorporar los siguientes estándares en el servidor web Apache:

  • El formato del encabezado es siempre Strict-Transport-Security «max-age = 31536000; incluidos los subdominios»

Necesitamos habilitar las siguientes reglas en el servidor web Nginx:

  • add_header Strict-Transport-Security «max-age = 31536000; incluidos los subdominios «

También podemos activar «precarga» al final de este tutorial para mostrar que está precargado en el navegador de Internet y se puede conectar sin problemas.

Para comprobar que el sitio web tiene HSTS habilitado, puede visitarlo en cualquier momento. Sitio web oficial de Qualys SSL Labs Aquí puede analizar todos los sitios web que necesita. Finalmente, debe tenerse en cuenta que esta protección HSTS también se puede eludir: la suplantación de DNS redirige a la víctima a otro dominio bajo nuestro control que corresponde al dominio «directo» original. Incluida esta función.

VPN en EE. UU.

Otra forma de evitar este tipo de ataque a las conexiones HTTPS es utilizar servicios VPN. La red privada virtual o VPN es responsable de cifrar todas las comunicaciones punto a punto en el túnel. Por lo tanto, un atacante que ataca la suplantación de identidad ARP e instala un rastreador solo puede ver todo el tráfico cifrado. Dado que la verificación de DNS también penetra en el túnel VPN, ya no verá ningún archivo de registro. Los ciberdelincuentes pueden intentar «publicar» este túnel VPN. De hecho, puede garantizar la seguridad inyectando paquetes de datos y deteniendo el servicio VPN. Sin embargo, tenga en cuenta que una VPN tiene una función llamada conmutador de conmutación por error. Con la función kill switch, puede rechazar absolutamente el tráfico de Internet en caso de daño o problema en el túnel VPN para que nuestros datos no se filtren y no provoquen ataques adicionales. Ninguna conexión a Internet es siempre mejor que la información robada.

Existen muchos protocolos VPN como WireGuard, OpenVPN o IPSec IKEv2, todos los cuales están protegidos. Podemos utilizarlos para evitar que se detengan los mensajes y se vulnere el cifrado HTTPS. Por lo tanto, si está conectado a una red cableada, una red Wi-Fi pública o una red no segura, es muy recomendable que siempre use este tipo de VPN. Podemos cambiar el servidor VPN en la red doméstica local. Si tenemos un servidor NAS, tiene una aplicación VPN. ¡También en algunos enrutadores domésticos como ASUS, AVM FRITZ! Box incluso tiene un servidor D-Link o NETGEAR. Conectar. Seguro, porque están redirigiendo el tráfico.

Si no tienes las habilidades o el conocimiento para instalar y modificar servidores VPN en casa, te recomendamos que utilices un servicio VPN como Cloudflares WARP que es completamente gratuito y funciona bien y puedes obtener una gran velocidad de ventas. Hay muy poca demora. Otras opciones que puede utilizar son los servicios de VPN de pago, ya que tienen características importantes como aplicaciones para cada sistema operativo, varios servidores en todo el mundo e interruptores de interrupción.

Crea un túnel SSH

Otra forma de evitar los ataques de eliminación de SSL es utilizar túneles SSH redirigiendo el tráfico. Este método se conecta al servidor SSH de respaldo remoto y configura un proxy SOCKS, que luego se configura en el navegador. De esta forma redirigimos el tráfico del navegador de Internet a través del servidor SSH conectado. Para hacer esto, necesitamos hacer lo siguiente:

  • Configure un servidor SSH seguro, cambie puertos, autenticación aceptable y buenos paquetes de cifrado.
  • Habilite el reenvío de TCP en el servidor SSH. De lo contrario, no podremos redirigir el tráfico de Internet incluso si estamos conectados.
  • Configure este servidor SSH en un programa como PuTTY y habilite el reenvío o reenvío a un proxy SOCKS5 específico.
  • Configure el proxy local recién creado en el navegador de Internet para que todo el tráfico de datos llegue a Internet a través del servidor SSH.

Este método es exactamente el mismo que cuando se usa un servidor VPN. Utiliza un «servidor» para conectarse de forma segura a Internet a través de HTTPS. Nadie puede eliminar este cifrado.

Al final

Aunque la conexión HTTPS es segura, en algunos casos un atacante podría «fortalecerla» para obtener credenciales de usuario y cookies de sesión, reduciendo así la seguridad de la conexión HTTPS. Sin embargo, este tipo de ataque solo puede llevarse a cabo en determinadas circunstancias, por ejemplo, el atacante y la víctima están en la misma red de área local, ya sea cableada o inalámbrica, y el sitio visitado por el usuario no está habilitado para HSTS. Es muy importante saber exactamente en qué sitio web están disponibles los registros HSTS y mantener la calma mientras navega por este sitio web porque si alguien nos ataca, el sitio web nos notificará automáticamente que no se ha realizado una conexión segura y proporcionará una conexión segura. Esto puede protegernos de un intercambio de datos más fuerte.

Si nos conectamos a internet a través de un túnel VPN o SSH en una red pública, podemos mantener la calma ya que no podrán interceptar ni interrumpir la comunicación. Por eso es muy importante tener estas tecnologías en nuestra red confiable cuando está fuera de casa. No importa si el servidor VPN o SSH está en casa o el VPS que alquilamos. Incluso si usamos un servicio VPN de pago conocido, es importante protegernos de los intrusos en la red local y garantizar y evitar esta clase. Ataque de escaneo SSL. …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba