stringtranslate.com

Ataque de hombre al costado

Un ataque man-on-the-side es una forma de ataque activo en seguridad informática similar a un ataque man-in-the-middle . En lugar de controlar completamente un nodo de la red como en un ataque man-in-the-middle, el atacante solo tiene acceso regular al canal de comunicación, lo que le permite leer el tráfico e insertar nuevos mensajes, pero no modificar o eliminar los mensajes enviados por otros participantes. El atacante se basa en una ventaja de tiempo para asegurarse de que la respuesta que envía a la solicitud de una víctima llegue antes que la respuesta legítima.

En ataques del mundo real, el paquete de respuesta enviado por el atacante puede usarse para colocar malware en la computadora de la víctima. [1] La necesidad de una ventaja de tiempo hace que el ataque sea difícil de ejecutar, ya que requiere una posición privilegiada en la red, por ejemplo en la red troncal de Internet. [2] Potencialmente, esta clase de ataque puede realizarse dentro de una red local (asumiendo una posición privilegiada), la investigación ha demostrado que ha tenido éxito dentro de la infraestructura crítica. [3]

Las revelaciones sobre vigilancia global de 2013 revelaron que la Agencia de Seguridad Nacional de Estados Unidos (NSA) utiliza ampliamente un ataque de tipo “man-on-the-side” para infectar objetivos con malware a través de su programa QUANTUM . [1]

GitHub sufrió un ataque similar en 2015. [4] El Russian Threat Group podría haber sufrido un ataque similar en 2019.

Definición

El término "man-on-the-side" se ha vuelto más conocido después de que Edward Snowden filtrara información sobre el proyecto de inserción cuántica de la NSA. El ataque "man-on-the-side" involucra a un ciberatacante en una conversación entre dos personas o dos partes que se están comunicando en línea. El ciberatacante puede interceptar e inyectar mensajes en la comunicación entre las dos partes. [5] Sin embargo, el ciberatacante no puede eliminar ninguna señal en los canales de comunicación. El ataque "man-on-the-side" se puede aplicar a sitios web mientras se recuperan descargas de archivos en línea. El ciberatacante puede recibir señales y realizar el ataque a través de un satélite. Siempre que tengan una antena parabólica en el lugar en el que residen, podrán leer transmisiones y recibir señales. Los satélites tienden a tener una alta latencia, lo que le da al ciberatacante tiempo suficiente para enviar su respuesta inyectada a la víctima antes de que la respuesta real de una parte llegue a la otra a través del enlace satelital. [5] Por lo tanto, esta es la razón por la que un atacante confía en la ventaja de tiempo.

La principal diferencia entre un ataque man-in-the-middle y un ataque man-on-the-side es que los atacantes man-in-the-middle pueden interceptar y bloquear la transmisión de mensajes y señales, mientras que los atacantes man-on-the-side pueden interceptar e inyectar mensajes y señales antes de que la otra parte reciba una respuesta legítima.

Ejemplos

Rusia

En 2019, se informó que el ataque man-on-the-side podría haber sido concebido por el Russian Threat Group mediante la instalación de malware . Cuando la víctima usó Internet y solicitó descargar un archivo en un sitio web en particular, los atacantes man-on-the-side que estaban presentes sabían que las víctimas estaban intentando descargar el archivo. Dado que los atacantes man-on-the-side no pudieron prohibir a la víctima descargar el archivo, lo que pudieron hacer fue interceptar el servidor y enviar una señal a la víctima antes de que esta recibiera una respuesta legítima, que era el archivo de descarga solicitado. [6] Luego, el atacante interceptó y envió a las víctimas un mensaje que las dirigía a un sitio de error 302, lo que llevó a la víctima a pensar que el archivo se había eliminado o simplemente no se podía descargar. Sin embargo, aunque la víctima recibiría una respuesta legítima de la descarga del archivo del sitio web, dado que sus servidores ya estaban contaminados, no habrían podido ver el sitio web y el archivo legítimos, ya que recibieron una supuesta respuesta adecuada del equipo atacante. [7] En el sitio del error 302, el equipo atacante dirigió a las víctimas a un sitio web alternativo para descargar los archivos que querían, que el equipo atacante controlaba y ejecutaba. Cuando la víctima se conectaba al servidor del equipo atacante, sin que ellos lo supieran, comenzaban a descargar el archivo porque en la pantalla de la víctima se mostraba que este sitio estaba funcionando y finalmente podían descargar el archivo. [8] Sin embargo, el equipo atacante ya había encontrado el archivo original en el sitio web legítimo y lo había modificado para incluir fragmentos de malware y lo había enviado de vuelta a la víctima. Cuando la víctima hacía clic en el enlace y comenzaba a descargar el archivo, ya estaba descargando un archivo que consistía en malware.

Porcelana

En 2015, los dos repositorios de GitHub sufrieron un ataque de inundación debido a un ataque de tipo man-on-the-side. Cuando un usuario fuera de China intenta navegar en un sitio web chino, debe pasar por la infraestructura de Internet china antes de ser dirigido automáticamente al sitio web. La infraestructura permitió la solicitud al sitio web chino legítimo al que el usuario quería navegar sin ninguna modificación involucrada. La respuesta regresó del sitio web, pero a medida que pasaba por la infraestructura de Internet china, antes de que pudiera regresar al usuario, la respuesta había sido modificada. La modificación involucraba un malware que cambió el script de análisis de Baidu de solo acceder a Baidu a la solicitud del usuario para acceder a los dos repositorios de GitHub mientras continuaba navegando por el sitio web. [9] El usuario, que pudo continuar navegando en el motor de búsqueda chino, Baidu, era inocente ya que no tenía ni idea del hecho de que su respuesta involucraba un script malicioso incrustado, que haría una solicitud para acceder a GitHub de forma paralela. [9] Esto le sucedió a todos los usuarios que estaban fuera de China y que intentaban acceder a un sitio web chino, lo que dio lugar a un volumen extremadamente alto de solicitudes a los dos repositorios de GitHub. La enorme carga que GitHub tuvo que soportar provocó que el servidor se inundara y, por lo tanto, fue atacado.


Referencias

  1. ^ ab Gallagher, Ryan; Greenwald, Glenn (12 de marzo de 2014). "Cómo la NSA planea infectar 'millones' de computadoras con malware". The Intercept . Consultado el 15 de marzo de 2014 .
  2. ^ Schneier, Bruce (4 de octubre de 2013). "Ataque a Tor: cómo la NSA ataca el anonimato en línea de los usuarios". The Guardian . Consultado el 15 de marzo de 2014 .
  3. ^ Maynard, Peter; McLaughlin, Kieran (1 de mayo de 2020). "Hacia la comprensión de los ataques Man-on-the-Side (MotS) en redes SCADA". 17.ª Conferencia internacional sobre seguridad y criptografía (SECRYPT 2020) : 287–294. arXiv : 2004.14334 . Código Bibliográfico :2020arXiv200414334M. doi :10.5220/0009782302870294. ISBN: 978-989-758-446-6.
  4. ^ Hjelmvik, Erik (31 de marzo de 2015). "Ataque de China contra GitHub". netresec.com . NetreseC . Consultado el 16 de abril de 2020 .
  5. ^ ab Mushtaq, Maria et al. 2020. "WHISPER: una herramienta para la detección en tiempo de ejecución de ataques de canal lateral". IEEE Access 8:83871-83900.
  6. ^ "Un grupo de amenaza ruso puede haber ideado un ataque de 'hombre al lado'". Dark Reading . Consultado el 14 de noviembre de 2020 .
  7. ^ "Ataque DDoS en GitHub se rastrea hasta China". www.bankinfosecurity.com . Consultado el 6 de diciembre de 2020 .
  8. ^ Mozur, Paul (30 de marzo de 2015). «China parece atacar GitHub desviando el tráfico web (publicado en 2015)». The New York Times . ISSN  0362-4331 . Consultado el 6 de diciembre de 2020 .
  9. ^ ab Albahar, Marwan. 2017. "Ataques cibernéticos y terrorismo: un enigma del siglo XXI". Ética de la ciencia y la ingeniería 25(4):993-1008.