• ¡Obtenga la seguridad de la aplicación de la manera correcta! Detectar, proteger, monitorear, acelerar y más ...
  • Un ataque man-in-the-middle (MITM) es cuando un mal actor interrumpe una conversación de red establecida o una transferencia de datos. El atacante se sienta en el medio de la ruta de transferencia y luego finge o actúa como un participante legítimo en la conversación.

    En la práctica, los atacantes se posicionan entre las solicitudes entrantes y las respuestas salientes. Como usuario, continuará creyendo que está hablando directamente con el servidor de destino legítimo o la aplicación web, como Facebook, Twitter, banco en línea y otros. Sin embargo, en realidad, enviará solicitudes al intermediario, quien luego hablará con su banco o aplicación en su nombre.

    man-in-the-middle - MITM attack
    Imagen de Imperva

    Como tal, el hombre en el medio verá todo, incluidas todas sus solicitudes y respuestas que reciba del destino o del servidor de destino. Además de ver toda la conversación, el intermediario puede modificar sus solicitudes y respuestas, robar sus credenciales, dirigirlo a un servidor que controlan o realizar otros delitos cibernéticos.

    Generalmente, el atacante puede interceptar el flujo de comunicaciones o los datos de cualquiera de las partes de la conversación. La agresor A continuación, puede modificar la información o enviar enlaces o respuestas maliciosos a ambos participantes legítimos. En la mayoría de los casos, esto puede pasar desapercibido durante algún tiempo, hasta más tarde, después de mucho daño.

    Técnicas comunes de ataque man-in-the-middle

    Detección de paquetes: - El atacante utiliza varias herramientas para inspeccionar los paquetes de red a un nivel bajo. El rastreo permite a los atacantes ver paquetes de datos a los que no están autorizados a acceder.

    Inyección de paquetes: - donde los atacantes inyectan paquetes maliciosos en los canales de comunicación de datos. Antes de la inyección, los delincuentes utilizarán primero el rastreo para identificar cómo y cuándo enviar los paquetes maliciosos. Después de la inyección, los paquetes defectuosos se mezclan con los válidos en el flujo de comunicación.

    Secuestro de sesión: En la mayoría de las aplicaciones web, el proceso de inicio de sesión crea un token de sesión temporal para que el usuario no tenga que seguir escribiendo la contraseña para cada página o cualquier solicitud futura. Desafortunadamente, un atacante que usa varias herramientas de rastreo puede identificar y usar el token de sesión, que ahora puede usar para realizar solicitudes que finjan ser el usuario legítimo.

    Eliminación de SSL: Los atacantes pueden utilizar la técnica de disparo SSL para interceptar los paquetes legítimos, modificar las solicitudes basadas en HTTPS y dirigirlas al destino equivalente HTTP inseguro. En consecuencia, el host comenzará a realizar una solicitud no cifrada al servidor, por lo que expondrá los datos confidenciales como texto sin formato que es fácil de robar.

    Consecuencias de los ataques MITM

    Los ataques MITM son peligrosos para cualquier organización y pueden resultar en pérdidas financieras y de reputación.

    Por lo general, los delincuentes pueden obtener y hacer un mal uso de la información confidencial y privada de la organización. Por ejemplo, pueden robar credenciales como nombres de usuario y contraseñas, detalles de tarjetas de crédito y usarlos para transferir fondos o realizar compras no autorizadas. También pueden usar credenciales robadas para instalar malware o robar otra información confidencial, que pueden usar para chantajear a la empresa.

    Por esta razón, es fundamental proteger a los usuarios y los sistemas digitales para minimizar los riesgos de ataques MITM.

    Herramientas de ataque MITM para equipos de seguridad

    Además de utilizar soluciones de seguridad fiables y prácticas, debe utilizar las herramientas necesarias para comprobar sus sistemas e identificar las vulnerabilidades que los atacantes pueden aprovechar. Para ayudarlo a tomar la decisión correcta, estas son algunas de las herramientas de ataque HTTP MITM para investigadores de seguridad.

    Hetty

    Hetty es un kit de herramientas HTTP rápido de código abierto con potentes funciones para ayudar a los investigadores de seguridad, los equipos y la comunidad de recompensas por errores. La herramienta liviana con una interfaz web Next.js incrustada comprende un hombre HTTP en el proxy intermedio.

    Hetty mitm attack tool

    Características principales

    • Le permite realizar una búsqueda de texto completo
    • Tiene un módulo de remitente que le permite enviar solicitudes HTTP manualmente en función de las solicitudes fuera del registro del proxy o al crearlas desde cero.
    • Un módulo de atacante que le permite enviar solicitudes HTTP automáticamente
    • Instalación simple e interfaz fácil de usar
    • Envíe manualmente las solicitudes HTTP comenzando desde cero, elaborando la solicitud o simplemente copiándola desde el registro de proxy.

    Bettercap

    Bettercap es una herramienta de reconocimiento y ataque de red completa y escalable.

    La solución fácil de usar proporciona a los ingenieros inversos, expertos en seguridad y equipos rojos todas las funciones para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth de baja energía (BLE) y dispositivos HID inalámbricos. Además, la herramienta tiene capacidades de monitoreo de red y otras características como creación de puntos de acceso falsos, rastreador de contraseñas, suplantación de DNS, captura de protocolo de enlace, etc.

    Características principales

    • Un potente rastreador de red incorporado para identificar datos de autenticación y recopilar credenciales
    • potente, extensible
    • Sondea y prueba de forma activa y pasiva los hosts de la red IP en busca de posibles vulnerabilidades MITM.
    • Interfaz de usuario basada en web fácil de usar e interactiva que le permite realizar una amplia gama de ataques MITM, rastrear credenciales, controlar el tráfico HTTP y HTTP, etc.
    • Extraiga todos los datos que recopila, como credenciales POP, IMAP, SMTP y FTP, URL visitadas y hosts HTTPS, cookies HTTP, datos publicados en HTTP y más. Luego lo presenta en un archivo externo.
    • Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.

     Proxy.py

    Proxy.py es un servidor proxy WebSockets, HTTP, HTTPS y HTTP2 ligero de código abierto. Disponible en un solo archivo de Python, la herramienta rápida permite a los investigadores inspeccionar el tráfico web, incluidas las aplicaciones cifradas TLS, mientras consume un mínimo de recursos.

    Características principales

    • Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
    • Funciones programables como un servidor web integrado, proxy y personalización de enrutamiento HTTP, etc.
    • Tiene un diseño liviano que usa 5-20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere ninguna dependencia externa.
    • Un panel personalizable en tiempo real que puede ampliar mediante complementos. También le da la opción de inspeccionar, monitorear, configurar y controlar el proxy.py en tiempo de ejecución.
    • La herramienta segura utiliza TLS para proporcionar un cifrado de un extremo a otro entre el proxy.py y el cliente.

     Mitmproxy

    La mitmproxy es una solución de proxy HTTPS de código abierto y fácil de usar.

    Generalmente, la herramienta fácil de instalar funciona como un proxy HTTP de intermediario SSL y tiene una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede utilizar la herramienta basada en la línea de comandos como un proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver lo que solicitan los usuarios y reproducirlos. Por lo general, mitmproxy se refiere a un conjunto de tres herramientas poderosas; mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos).

    Características principales

    • Herramienta de modificación y análisis de tráfico HTTP interactiva y confiable
    • Una herramienta flexible, estable, confiable y fácil de instalar y usar.
    • Le permite interceptar y modificar las solicitudes y respuestas HTTP y HTTPS sobre la marcha
    • Grabe y guarde las conversaciones del lado del cliente HTTP y del lado del servidor, luego reprodúzcalas y analícelas en el futuro
    • Genere los certificados SSL / TLS para interceptar sobre la marcha
    • Las funciones de proxy inverso le permiten reenviar el tráfico de la red a un servidor diferente.

    Burp

    Eructo es un automatizado y escalable herramienta de escaneo de vulnerabilidades. La herramienta es una buena opción para muchos profesionales de la seguridad. Generalmente, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.

    Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una vista directa de la aplicación de destino y cómo funciona. Al operar como un servidor proxy web, Burp se sienta como el intermediario entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitudes y respuestas.

    Características principales

    • Interceptar e inspeccionar el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
    • Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar datos cifrados.
    • Opción de utilizar el navegador integrado Burps o el navegador web estándar externo
    • Solución de escaneo de vulnerabilidades automatizada, rápida y escalable, le permite escanear y probar aplicaciones web de manera más rápida y eficiente, identificando así una amplia gama de vulnerabilidades
    • Mostrar solicitudes y respuestas HTTP individuales interceptadas
    • Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.

    Ettercap

    Ettercap es un analizador e interceptor de tráfico de red de código abierto.

    La completa herramienta de ataques MITM permite a los investigadores diseccionar y analizar una amplia gama de hosts y protocolos de red. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red multipropósito puede detectar y detener ataques de intermediarios.

    Características principales

    • Interceptar el tráfico de la red y capturar credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
    • Adecuado para rastreo profundo de paquetes, pruebas, monitoreo del tráfico de red y filtrado de contenido en tiempo real.
    • Admite escuchas, disecciones y análisis activos y pasivos de protocolos de red, incluidos aquellos con cifrado
    • Analizar un topología de la red y establecer los sistemas operativos instalados.
    • Interfaz gráfica de usuario fácil de usar con opciones de operación de GUI interactivas y no interactivas
    • utiliza técnicas de análisis como la interceptación ARP, el filtrado de IP y MAC, y otras para interceptar y analizar el tráfico

    Prevención de ataques MITM

    Identificar los ataques MITM no es muy fácil ya que ocurre lejos de los usuarios y es difícil de detectar ya que los atacantes hacen que todo parezca normal. Sin embargo, existen varias prácticas de seguridad que las organizaciones pueden utilizar para prevenir ataques de intermediario. Éstas incluyen;

    • Asegure las conexiones a Internet en el trabajo o en las redes domésticas, por ejemplo, mediante el uso de soluciones y herramientas de seguridad efectivas en sus servidores y computadoras, soluciones de autenticación confiables.
    • Aplicación de un cifrado fuerte WEP / WAP para los puntos de acceso
    • Asegurarse de que todos los sitios web que visita sean seguros y tengan HTTPS en la URL.
    • Evite hacer clic en enlaces y mensajes de correo electrónico sospechosos
    • Aplique HTTPS y desactive los protocolos TLS / SSL inseguros.
    • Utilizan Redes privadas virtuales donde sea posible.
    • Usando las herramientas anteriores y otras Soluciones HTTP para identificar y abordar todas las vulnerabilidades de intermediarios que los atacantes pueden aprovechar.