Inacap Renca

Ingeniera en telecomunicaciones conectividad y redes. Seguridad En Redes

Spoofing

Nombre Alumno (s): Flix Arredondo y Cristbal Becerra. Nombre Profesor: Carlos Patricio Sarmiento Carreo Fecha: 27 de septiembre de 2011

ndice
ndice..........................................................................................................................2 Introduccin................................................................................................................ 4 Marco Terico..............................................................................................................5 Concepto Spoofing...................................................................................................5 Definiciones bsicas....................................................................................................6 Host: Mquina conectada a una red de ordenadores y que tiene un nombre de equipo (en ingls, hostname). Es un nombre nico que se le da a un dispositivo conectado a una red informtica. Puede ser un ordenador, un servidor de archivos, un dispositivo de almacenamiento por red, una mquina de fax, impresora, etc. Este nombre ayuda al administrador de la red a identificar las mquinas sin tener que memorizar una direccin IP para cada una de ellas...........6 Protocolo De Internet IP: El protocolo de Internet (IP) es un protocolo de red que funciona en la capa 3 (la red) del modelo OSI. Esto es un modelo de conexin, decir no hay ninguna informacin en cuanto al estado de transaccin, que es usado a paquetes de ruta sobre una red. Adems, no hay ningn mtodo en el lugar para asegurar que un paquete correctamente es entregado al destino.........6 MAC: Todos los ordenadores de una misma red comparten el mismo medio, por lo que debe de existir un identificador nico para cada equipo, o mejor dicho para cada tarjeta de red. Cuando se envan datos en una red local, hay que especificar claramente a quien van dirigidos. Esto se consigue mediante la direccin MAC, un nmero compuesto por 12 dgitos hexadecimales que identifica de forma nica a cada dispositivo Ethernet. La direccin MAC se compone de 48 bits. Los 24 primeros bits identifican al fabricante del hardware, y los 24 bits restantes corresponden al nmero de serie asignado por el fabricante, lo que garantiza que dos tarjetas no puedan tener la misma direccin MAC. Direcciones M AC duplicadas causaran problemas en la red...............................................................7 Tipos de Spoofing........................................................................................................7 IP Spoofing...............................................................................................................7 Algunos tipos de ataques:...........................................................................................8

Algunos casos.............................................................................................................9 Cmo evitarlo?........................................................................................................10 Conclusin ................................................................................................................11 ARP Spoofing.............................................................................................................11 Cmo evitarlo?........................................................................................................13 DNS Spoofing............................................................................................................14 Algunos escenarios de este ataque:.......................................................................15 El objetivo del uso del Cache Poisoning es la Negacin de Servicio (DoS) o el enmascaramiento como una entidad de confianza...................................................17 Cmo evitarlo?.....................................................................................................18 E-Mail Spoofing......................................................................................................18 Cmo evitarlo?.....................................................................................................19 Web Spoofing............................................................................................................19 Cmo funciona el ataque?.......................................................................................20 a) Rescribe la URL:.................................................................................................20 b) Qu pasa con los Formularios?.........................................................................21 c) Las Conexiones Seguras no ayudan...................................................................21 El navegador de la victima dice que hay una conexin segura, porque tiene una, pero desgraciadamente esa conexin es con www.atacante.org, y no con el sitio que piensa la vctima. El indicador de conexin segura solo le da a la victima una falsa sensacin de seguridad.................................................................................21 Cmo detectar el ataque?....................................................................................21 a) La Lnea de Estado:............................................................................................21 b) La Lnea de Navegacin:....................................................................................22 c) Ver Documento Cdigo Fuente:.........................................................................22 d) Ver Informacin del Documento:.......................................................................23 Cmo evitarlo?.....................................................................................................23 a) Soluciones a corto plazo:...................................................................................23

b) Soluciones a largo plazo:...................................................................................23 Blue MAC Spoofing....................................................................................................24 Conclusin.................................................................................................................24 Marco legal en chile de Spoofing...............................................................................24 Chile--_> ojo 19223................................................................................................24

Introduccin
En el presente informe se dar a conocer un tipo de ataque a las redes de datos el cual es conocido como Spoofing. En la primera parte de este informe, contaremos que existen diferentes variantes del llamado Spoofing, las cuales se diferencian por el mtodo que utilizan para su propagacin entre computadoras. Caractersticas bsicas de uno de los tipos ms comunes de ataque de informacin, el llamado IP Spoofing, que funciona suplantando la direccin IP del atacante, para que creamos que nos comunicamos y recibimos paquetes de alguno de nuestros contactos habituales. En el presente artculo, te contamos cmo funcionan otros modos de Spoofing, con el objetivo de que accedas a la informacin necesaria para evitar ser vctima de este flagelo. Spoofing es cualquier tcnica que sea utilizada para la suplantacin de identidad y poder conseguir con ella acceso a lugares, sitios a los que no se est autorizado. Hay diferentes tipos de Spoofing que pueden ser utilizados solo por el placer de conocer (hacker) o para conseguir informacin y luego venderla o utilizarlo como malware (Crackers). La primera vez que se utiliz este trmino fue en los aos ochenta, por Robert Morris creador del primer gusano de internet.

Marco Terico
Concepto Spoofing
En trminos de seguridad en redes, Spoofing hace referencia a la utilizacin de tcnicas de suplantacin de identidad, que son generalmente para usos maliciosos o de investigacin. En otras palabras, un atacante falsea el origen de los paquetes haciendo que la vctima piense que estos son de un host de confianza o autorizado para evitar la vctima lo detecte. Por ejemplo, cuando nos comunicarnos con un determinado host, la direccin de ese host ocupa un lugar determinado en la cadena de datos, al igual que nuestra propia direccin tambin ocupa otra posicin determinada, pues si conseguimos manipular la informacin de ese lugar, podremos falsear el origen de datos y hacer creer al host destino que somos quien realmente no somos, esto es SPOOFING. En el Spoofing entran en juego tres mquinas o hosts: un atacante, un atacado, y un sistema suplantado que tiene cierta relacin con el atacado; para que el atacante pueda conseguir su objetivo necesita por un lado establecer una comunicacin falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque. Probablemente esto ltimo no le sea muy difcil de conseguir: a pesar de que existen mltiples formas de dejar fuera de juego al sistema suplantado al menos a los ojos del atacado que no son triviales (modificar rutas de red, ubicar un filtrado de paquetes entre ambos sistemas), lo ms fcil en

la mayora de ocasiones es simplemente lanzar una negacin de servicio contra el sistema en cuestin. Por algo TCP es un protocolo fiable, orientado a conexin, con control y correccin de errores, etc. Pero no quiere decir que sea seguro, no lo es, de hecho es vulnerable al llamado TCPSpoofing, de forma que un host mal intencionado asume la personalidad de otro y establece una comunicacin falsa con otro. El asunto es complejo, imagine una LAN: Para que se llegue a realizar con xito un TCPSpoofing, deberamos previamente: Falsear la MAC > ARP Spoofing Falsear la IP > IPSpoofing Falsear la conexin TCP > TCP Spoofing

Este ltimo punto es especialmente delicado, habr que calcular los N de secuencia, los asentimientos, los checksum de todos los paquetes (incluidos los IP), etc. Todo ello, se tratar de un modo ms profundo ms adelante.

Definiciones bsicas
Para entender completamente como este tipo de ataques puede ocurrir, hay que comprender la estructura de la suite de protocolo TCP/IP. Un entendimiento bsico de estas cabeceras y protocolos de red es crucial para el proceso. Host: Mquina conectada a una red de ordenadores y que tiene un nombre de equipo (en ingls, hostname). Es un nombre nico que se le da a un dispositivo conectado a una red informtica. Puede ser un ordenador, un servidor de archivos, un dispositivo de almacenamiento por red, una mquina de fax, impresora, etc. Este nombre ayuda al administrador de la red a identificar las mquinas sin tener que memorizar una direccin IP para cada una de ellas. Protocolo De Internet IP: El protocolo de Internet (IP) es un protocolo de red que funciona en la capa 3 (la red) del modelo OSI. Esto es un modelo de conexin, decir no hay ninguna informacin en cuanto al estado de transaccin, que es usado a paquetes de ruta sobre una red. Adems, no hay ningn mtodo en el lugar para asegurar que un paquete correctamente es entregado al destino.

MAC: Todos los ordenadores de una misma red comparten el mismo medio, por lo que debe de existir un identificador nico para cada equipo, o mejor dicho para cada tarjeta de red. Cuando se envan datos en una red local, hay que especificar claramente a quien van dirigidos. Esto se consigue mediante la direccin MAC, un nmero compuesto por 12 dgitos hexadecimales que identifica de forma nica a cada dispositivo Ethernet. La direccin MAC se compone de 48 bits. Los 24 primeros bits identifican al fabricante del hardware, y los 24 bits restantes corresponden al nmero de serie asignado por el fabricante, lo que garantiza que dos tarjetas no puedan tener la misma direccin MAC. Direcciones M AC duplicadas causaran problemas en la red.

Tipos de Spoofing
Existen diferentes tipos de Spoofing dependiendo de la tecnologa a la que nos refiramos, los cuales se describirn ms adelante, como el IP Spoofing (quizs el ms conocido), ARP Spoofing, DNS Spoofing, Web Spoofing (phishing), email Spoofing, aunque en general se puede englobar dentro de Spoofing cualquier tecnologa de red susceptible de sufrir suplantaciones de identidad.

IP Spoofing
Suplantacin o falseamiento de IP, hacer creer que somos quien no somos. No confundir spoofear una IP con anonimizar una IP. El Spoofing trae consigo el anonimato, pero sera como un anonimato a elegir, esto es, apropiarse de la IP de otro usuario de la red. Consiste en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes irn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete ICMP echo request) spoofeado, la respuesta ser recibida por el host al que pertenece la IP legalmente. Este tipo de Spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como smurf ataque. Para poder realizar IP Spoofing en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envo de paquetes SYN y ACK con su ISN especfico y teniendo en cuenta que el propietario real de la IP podra (si no se le impide de alguna manera) cortar la conexin en cualquier momento al recibir paquetes sin haberlos

solicitado. Tambin hay que tener en cuenta que los routers actuales no admiten el envo de paquetes con IP origen no perteneciente a una de las redes que administra. El IP Spoofing es, cuanto menos, imposible hoy en da de cara a Internet, los proveedores se han preocupado mucho de que eso no ocurra. En pocas anteriores Internet se preocupaba de brindar conectividad sin importar la seguridad, es por ello que ese tipo de actividades tenan xito, pero hoy en da es muy difcil. Veamos cmo se realizara a bajo nivel este ataque: Imaginemos que estamos en una LAN con un sniffer a la escucha y obtenemos un paquete de datos: El Encabezado IP tiene 20 bytes de longitud, supongamos que nuestro sniffer recogi esto y que ello pertenece a la parte de IP. 45 00 00 28 43 EF 40 00 80 06 5E 86 AC 1C 00 09 AC 1C 00 19 AC 1C 00 09 > Bytes 13 al 16, Direccin IP origen en hexadecimal: AC = 172, 1C = 28, 00 = 00, 09 = 09, en este caso la IP sera: 172.28.0.9 5E 86 5E 86 > Bytes 11 y 12, Checksum: Es un mtodo para comprobar la integridad de los datos, IP asume que la correccin la harn protocolos de nivel superior, aun as, verifica la integridad de los mismos, pero no la corrige.

Algunos tipos de ataques:

NonBlind Spoofing: Este tipo de ataque ocurre cuando el atacante est sobre la
misma subred que la vctima. La secuencia y nmeros de reconocimiento pueden ser sniffado, eliminando la dificultad de calcularlos con exactitud. La amenaza ms grande de Spoofing en este caso sera el secuestro de sesin. Esto es logrado corrompiendo el paso de datos de una conexin establecida hacindolo pasar por la mquina del atacante.

Blind Spoofing: Esto es un ataque ms sofisticado, porque la secuencia y nmeros de

reconocimiento son inalcanzables. Para intentar esto se envan varios paquetes a la mquina objetivo probando varios nmeros de secuencia. En el pasado, las mquinas usaban tcnicas bsicas para generar estos nmeros de secuencia. Era relativamente fcil averiguarlos de forma exacta estudiando paquetes y sesiones TCP. Esto ya no es posible hoy en da, la mayor parte de los sistemas operativos generan nmeros de

secuencia de manera arbitraria, haciendo difcil su prediccin con exactitud. Sin embargo, si el nmero de secuencia fuera comprometido, los datos podran ser enviados al objetivo.

Man In the Middle Attack: En este ataque una mquina atacante intercepta una
comunicacin entre dos host. La mquina atacante controla ahora el flujo de la comunicacin y puede eliminar o cambiar la informacin enviada por uno de los participantes originales sin el conocimiento del remitente original o del destinatario. De este modo, el atacante puede engaar a la vctima haciendo que le revele informacin confidencial debido a que confa en l, usando para ello IP Spoofing. Ataque de Negacin de Servicio (DOS): IP Spoofing casi siempre es usado en lo que es actualmente uno de los ataques ms difciles de los que defenderse, este es, la negacin de servicio, o DOS. El atacante inunda a la vctima con tantos paquetes como sea posible en una cantidad de corta de tiempo. Para prolongar la eficacia del ataque, se suplanta la IP de origen (mediante IP Spoofing) para hacer que el trazado y posterior detencin del DoS sea tan difcil como sea posible. Cuando mltiples host comprometidos (en muchas ocasiones sin que estos lo sepan) participan en el ataque, todos envan trafico spoofeado lo que provoca que el ataque sea efectivo rpidamente.

Algunos casos
Qu pasara si logrsemos enviar un paquete a un host destino de otra red/subred falsificando la direccin IP origen del paquete?
Suponiendo que el router deje salir el paquete (es posible configurar ACLs en los routers para que esto no ocurra) cuando el destino reciba el paquete de datos, responder a la direccin IP falsificada, entonces el host falsificado recibir el paquete y lo descartar debido a que l no lo envi. Regla n 1 del Spoofing, si no podemos ponernos en el medio de una comunicacin hay que inhabilitar el equipo por el que nos hacemos pasar puesto que si no responder a los paquetes del objetivo desechndolos y se cerrar la conexin. Qu pasara si logrsemos enviar un paquete a un host destino de la misma

red/subred falsificando la direccin IP origen del paquete?

Caso a) La IP del equipo falsificado existe y est activa en la LAN: Aparecer el mensaje
famoso de que hay un nombre de host o direccin IP duplicada en la Red, hay sistemas operativos que ni tan siquiera controlan eso, pero tambin puede ocurrir que dejemos con problemas por instantes o para siempre a la pila de TCP/IP del equipo, recuerda que las direcciones IP dentro de una red/subred deben ser nicas.

Caso b) La IP del equipo falsificado no existe o no est operativo: El destino actualizar su

tabla ARP con nuestra MAC y la IP falsa, intentar responder a la IP remitente y no recibir respuesta, pasado un tiempo cerrar la conexin.

Qu pasara si logrsemos enviar miles de paquetes a un host destino de la misma red/subred falsificando la direccin IP origen del paquete utilizando una IP que no existe en la LAN?
Depender de muchos factores, Sistema Operativo, Switches, IDS, tipo de paquete enviado, etc. Pero en el mejor de los casos provocaremos un DoS al equipo destino, cada una de las miles de conexiones quedan abiertas y esperando la respuesta, y la IP logeada ser otra que no la nuestra.

Cmo evitarlo?
Hay algunas precauciones que pueden ser usadas para limitar los riesgos de sufrir IP Spoofing en su red, como: Filtrando en el router: Implementando filtros de entrada y salida en su router es una buena idea para comenzar su defensa ante el Spoofing. Usted deber implementar un ACL (lista de control de acceso) que bloquea direcciones de IP privadas por debajo de su interfaz. Adems, este interfaz no debera aceptar direcciones de tu rango interno como direccin de origen (tcnica comn de Spoofing que se usaba para engaar a los cortafuegos). Por encima de la interfaz, usted debera restringir direcciones de origen fuera de su rango vlido, esto evitar que alguien en su red enve trfico spoofeado a Internet. Es importante que no se permita la salida de ningn paquete que tenga como direccin IP de origen una que no pertenezca a su subred.

El cifrado y la Autenticacin: la Realizacin del cifrado y la autenticacin tambin reducirn amenazas de Spoofing. Estas dos caractersticas estn incluidas en IPv6, que eliminar las actuales amenazas de Spoofing.

Conclusin
IP Spoofing es un problema sin una solucin fcil, ya que es causa de un mal diseo del protocolo TCP/IP. El entendimiento de cmo y por qu los ataques de Spoofing son usados, combinado con unos mtodos de prevencin simples, puede ayudar a proteger su red de estos ataques.

ARP Spoofing
En una red que slo tuviera el nivel Fsico del modelo OSI, los dispositivos slo se conoceran entre s por medio de su direccin fsica y dicha direccin tiene que ser nica para evitar errores de envo. Pero como los protocolos de alto nivel direccionan las mquinas con direcciones simblicas (como en IP) tiene que existir un medio para relacionar las direcciones fsicas con las simblicas, un traductor o manejador de direcciones. As tenemos la aparicin de ARP, un protocolo de nivel de red responsable de encontrar la direccin hardware (Ethernet MAC) que corresponde a una determinada direccin IP. Para ello se enva un paquete (ARP request) a la direccin de multidifusin de la red (broadcast (MAC = ff ff ff ff ff ff)) que contiene la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply) con la direccin Ethernet que le corresponde. Cada mquina mantiene una cach con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la direccin de Internet ser independiente de la direccin Ethernet, pero esto slo funciona si todas las mquinas lo

soportan. El protocolo ARP se encuentra en el nivel de enlace del modelo OSI, y dicho nivel se encarga de identificar la conexin fsica de una mquina para lo cual se usan las direcciones fsicas de cada dispositivo que son nicas, aunque pueden ser alteradas permitiendo suplantaciones en las comunicaciones. El ARP Spoofing es la suplantacin de identidad por falsificacin de tabla ARP. Se trata de la construccin de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relacin IPMAC) de una vctima y forzarla a que enve los paquetes a un host atacante en lugar de hacerlo a su destino legtimo. Normalmente la finalidad es asociar la direccin MAC del atacante con la direccin IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (Gateway). Cualquier trfico dirigido a la direccin IP de ese nodo, ser errneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el trfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegacin de Servicio) contra una vctima, asociando una direccin MAC inexistente con la direccin IP de la puerta de enlace predeterminada de la vctima. Explicndolo de una manera ms sencilla: El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicacin pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARPRequest a la direccin de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARPReply indicando su MAC. Los Switches y los hosts guardan una tabla local con la relacin IPMAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARPREPLY indicando su MAC como destino vlido para una IP especfica, como por ejemplo la de un router, de esta manera la informacin dirigida al router pasara por el ordenador atacante quien podr esnifar dicha informacin y redirigirla si as lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta tcnica slo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda

antes

del

primer

Router.

La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde negaciones de servicio (DoS) hasta interceptacin de datos (sniffer), incluyendo algunos Man in the Middle.

Cmo evitarlo?
Si se quiere proteger una red pequea se puede recurrir al uso de direcciones IP estticas y tablas ARP tambin estticas, de modo que no haya una cach dinmica. Usando estas entradas estticas se evita que los intrusos alteren las tablas a su gusto. El problema con esta solucin es la gran dificultad para mantener estas entradas ARP, y si se piensa en redes grandes es casi imposible llevar a cabo esta labor, ya que cada vez que una mquina se conecte a la red o cambie de IP se debe actualizar las entradas de las tablas ARP. Para redes grandes se tendra que analizar las caractersticas de Port Security de los switches, una de estas caractersticas permite forzar al switch a permitir slo una direccin MAC para cada puerto fsico en el switch, lo cual impide que alguien cambie la direccin MAC de su mquina o que trate de usar ms de una direccin a la vez. Esto ltimo permite prevenir los

ataques de Man-in-the-Middle. Por lo tanto, en redes grandes es preferible usar otro mtodo: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que estn conectadas a cada puerto, de modo que rpidamente detecta si se recibe una suplantacin ARP. Este mtodo es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis. Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y enva una notificacin va email al administrador de la red, cuando una entrada ARP cambia. Comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser tambin un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legtimos de la clonacin de direcciones MAC. RARP (Reverse ARP, o ARP inverso) es el protocolo usado para consultar, a partir de una direccin MAC, su direccin IP correspondiente. Si ante una consulta, RARP devuelve ms de una direccin IP, significa que esa direccin MAC ha sido clonada.

DNS Spoofing
El Domain Name System (DNS) es una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. Su principal funcin es la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. Por ejemplo, al acceder a www.google.com, si nuestro navegador no conoce su direccin IP realizar una consulta al servidor DNS para que est le diga cul es la IP que le corresponde y as acceder a la pgina mediante su IP y mostrar su contenido. Pharming es la explotacin de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra mquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, acceder en su explorador de internet a la pgina web que el atacante haya especificado para ese nombre de dominio.

El DNS Spoofing hace referencia al falseamiento de una direccin IP ante una consulta de resolucin de nombre, es decir, resolver con una direccin IP falsa un cierto nombre DNS o viceversa. Esto se puede conseguir de diferentes formas, desde modificando las entradas del servidor encargado de resolver una cierta peticin para falsear las relaciones direccin-nombre, hasta comprometiendo un servidor que infecte la cach de otro (lo que se conoce como DNS Poisoning); incluso sin acceso a un servidor DNS real, un atacante puede enviar datos falseados como respuesta a una peticin de su vctima sin ms que averiguar los nmeros de secuencia correctos.

Algunos escenarios de este ataque: DNS Cache Poisoning: Como imaginar, Un servidor DNS no puede almacenar la
informacin de todas las correspondencias nombre/IP de la red en su memoria. Por ello, los servidores DNS tiene una cach que les permite guardar un registro DNS durante un tiempo. De hecho, un Servidor DNS tiene los registros slo para las mquinas del dominio que tiene autoridad y necesita sobre mquinas fuera de su dominio debe enviar una peticin

al Servidor DNS que maneje esas mquinas. Para no necesitar estar preguntando constantemente puede almacenar en su cach las respuestas devueltas por otros servidores DNS. Veamos cmo alguien podra envenenar la cach de nuestro Servidor DNS. Un atacante corre su propio dominio (attacker.net) con su propio Servidor DNS preparado (ns.attacker.net). Es decir, el atacante personaliza los registros en su propio servidor DNS, por ejemplo un registro podra ser www.cnn.com=81.81.81.8 1) El atacante enva una peticin a tu Servidor DNS que lo pide resolver www.attacker.net

2) Tu Servidor DNS no sabe la direccin IP de esta mquina por lo que necesita preguntar al servidor DNS correspondiente.

3) El Servidor DNS personalizado de la atacante contesta a tu servidor DNS, y al mismo tiempo, da todos sus registros (incluyendo su registro www.cnn.com).

4) El servidor DNS no est envenenado. El atacante consigui su IP, pero su objetivo era forzar una transferencia de sus registros y conseguir que tu servidor DNS est envenenado mientras la cach no sea limpiada o actualizada.

5) Ahora si preguntas a tu servidor DNS, sobre www.cnn.com, de dar la direccin IP 172.50.50.50, donde el atacante corre su propio servidor web. El atacante puede mostrar otra web, o redirigir todos los paquetes a la verdadera web y viceversa, analizando el trfico sin que el atacado sospeche nada.

El objetivo del uso del Cache Poisoning es la Negacin de Servicio (DoS) o el enmascaramiento como una entidad de confianza.
DNS ID Spoofing: Cuando una mquina X quiere comunicarse con una mquina Y, X siempre necesita el la IP de Y. En la mayor parte de casos, X slo tiene el nombre de Y, por lo que el protocolo DNS es usado para resolver el nombre de Y en su direccin IP. Por lo tanto, se enva una peticin de DNS al Servidor DNS declarado en X, pidiendo la direccin IP de la mquina Y. A esta peticin DNS, la mquina X asigna un nmero de identificacin pseudoaleatorio que debe estar presente en la respuesta del servidor DNS.
Cuando X reciba la respuesta, comprobar si ambos nmeros son los mismos, y en caso afirmativo toma la respuesta como vlida, en otro caso, ignorar la respuesta. Pero esta tcnica no es del todo segura. Un atacante puede hacer correr un ataque que consiga este nmero de ID. Por ejemplo, si sobre una LAN, el atacante corre un snifer podra interceptar la solicitud DNS, averiguar el nmero ID y enviarle una respuesta falsa con el ID correcto pero con la direccin IP que le interese. As pues, X acceder a Y pensando que se dirige a la mquina correcta.

Sin embargo, hay algunas limitaciones para lograr este ataque.

En este caso, el atacante controla a un snifer, intercepta el nmero de ID y contesta a su vctima con el mismo nmero de ID y con una respuesta a su antojo. El problema es que aunque el atacante intercepta su peticin, esta ser transmitida al Servidor DNS de todos modos, por lo que este tambin contestar a la peticin (a no ser que el atacante bloquee la peticin en la entrada o realizara un envenenamiento de cach). Esto quiere decir que el atacante tiene que contestar ANTES que el verdadero servidor DNS, por lo que el atacante DEBE estar sobre la misma LAN para tener una respuesta muy rpida a su mquina, y tambin ser capaz de capturar sus paquetes.

Cmo evitarlo?
Para poder evitar este tipo de engao hay que ser muy observador, tanto en aspecto del sitio como en el comportamiento, ya que pequeas cosas como las fuentes pueden descubrir el engao.

E-Mail Spoofing
E-Mail Spoofing es un trmino que describe la actividad de correo electrnico fraudulenta en la cual la direccin de remitente y otras partes de la cabecera del correo son cambiadas para aparecer como si el e-mail proviene de una fuente diferente. E-Mail Spoofing es una tcnica comnmente usada para el SPAM y phishing. Cambiando ciertas propiedades del e-mail, como los campos From, Return-Path and Reply-To (que se encuentran en la cabecera del mensaje), un usuario mal intencionados puede hacer que el e-mail parezca ser de remitido por alguien que en realidad no es.

Esta tcnica, a menudo es asociada con el web spoofing para imitar un sitio web real conocido, que en realidad es controlado por alguien con intenciones fraudulentas o como o como medio de protesta contra las actividades de cierta organizacin. Muchos spammers usan ahora software especial para crear direcciones de remitente arbitrarias, de modo que si incluso el usuario encuentra el origen del e-mail, es poco probable que la direccin sea verdadera.

Esta tcnica es usada con gran frecuencia por gusanos que se propagan de manera masiva con el fin de ocultar el origen de la propagacin. Sobre la infeccin, los gusanos como ILOVEYOU, Klez o Sober, a menudo buscan direcciones de correo electrnico dentro del libro de direcciones de un cliente de correo, para usar estas direcciones como remitente de los correos que ellos envan, de modo que parezcan haber sido enviados por el tercero. E-Mail Spoofing es posible porque el Protocolo SMTP, el protocolo principal usado en el enviar al correo electrnico, no incluye un mecanismo de autenticacin. Aunque existe extensin de servicio de SMTP (especificado en IETF RFC 2554) que permite a un cliente SMTP para negociar un nivel de seguridad con un servidor de correo, esta precaucin a menudo no se toma. Aunque la mayor parte de los correos spoofeados no tengan mayor importancia y requieran poca atencin, algunos pueden causar problemas serios y causar grandes riesgos de seguridad. Por ejemplo, se pueden pedir datos sensibles, como contraseas, nmeros de la tarjeta de crdito, u otra informacin personal, y si el atacado cae en la trampa facilitar estos datos al atacante.

Cmo evitarlo?
Use firmas digitales (p.ej., PGP u otras tecnologas de cifrado) para cambiar mensajes electrnicos autenticados. El correo electrnico autenticado proporciona un mecanismo para asegurar que los mensajes son de quien parecen ser, as como la seguridad de que el mensaje no ha sido cambiado en el trnsito. Considere un punto solo de entrada para el correo electrnico a su sitio. Usted puede poner en prctica esto por configurando su cortafuegos de modo que conexiones SMTP de fuera su cortafuegos examinen un cubo de correo central. Esto proveer de usted de la tala centralizada, que puede ayudar en el descubrimiento del origen de correo spoofing intenta a su sitio. Ensear a sus usuarios de manera que sepan detectar este tipo de ataques y no sean engaados mediante ingeniera social y as no revelar informacin sensible (como contraseas)

Web Spoofing
Suplantacin de una pgina web real. Enruta la conexin de una vctima a travs de una pgina falsa hacia otras pginas WEB con el objetivo de obtener informacin de dicha vctima (pginas WEB vistas, informacin de formularios, contraseas etc.). El atacante puede monitorear todas las actividades que realiza la vctima. La pgina WEB falsa acta a modo de

proxy solicitando la informacin requerida por la vctima a cada servidor original y saltndose incluso la proteccin SSL. La vctima puede abrir la pgina web falsa mediante cualquier tipo de engao, incluso abriendo un simple LINK. Las personas que usan internet a menudo toman decisiones relevantes basadas en las seales del contexto que perciben. Por ejemplo, se podra decidir teclear los datos bancarios porque se cree que se est visitando el sitio del banco. Esta creencia se podra producir porque la pagina tiene un parecido importante, sale su URL en la barra de navegacin, y por alguna que otra razn ms. Todo el trfico entre el navegador de la vctima y el verdadero web pasa a travs del programa filtro que program el atacante, pudiendo modificar cualquier informacin desde y hacia cualquier servidor que la vctima visite, con lo que podr realizar Vigilancia y Manipulacin: Vigilancia: El atacante puede mirar el trfico de una manera pasiva grabando las pginas que visita la vctima, y su contenido, como por ejemplo todos los datos que aparezcan en los formularios cuando la respuesta es enviada de vuelta por el servidor. Como la mayora del comercio electrnico se hace a travs de formularios, significa que el atacante puede observar cualquier nmero de cuenta o passwords que la victima introduce. Manipulacin: El atacante tambin es libre de modificar cualquiera de los datos que se estn transmitiendo entre el servidor y la victima en cualquier direccin. Por ejemplo, si la victima est comprando un producto on-line, el atacante puede cambiar el nmero, la cantidad, la direccin del remitente Tambin le podra engaar a la victima envindole informacin errnea, por parte del servidor para causar antagonismo entre ellos.

Cmo funciona el ataque?

La clave es que el atacante se site en medio de la conexin entre la vctima y el servidor.

a) Rescribe la URL:
Lo primero que se hace es grabar todo el website dentro del servidor del atacante para que as se apunte al servidor de la vctima, en vez de la verdadera. Otro mtodo sera instalar un software que acte como filtro. Por ejemplo, si la URL del atacante es http://www.atacante.org y la del servidor verdadero es http://www.servidor.com, quedara: http://www.atacante.org/http://www.servidor.com 1) El navegador de la victima reclama una pgina de www.atacante.org 2) www.atacante.org se la reclama a www.servidor.com. 3) www.servidor.com se la entrega a www.atacante.org 4) www.atacante.org la reescribe o modifica

5) www.atacante.org le entrega la versin de la pgina que ha hecho al navegador de la vctima.

b) Qu pasa con los Formularios?

Si la victima llena un formulario de una pgina web falsa, el atacante tambin puede leer los datos, ya que van encerrados dentro de los protocolos web bsicos. Es decir, que si cualquier URL puede ser spoofeada, los formularios tambin.

c) Las Conexiones Seguras no ayudan

Una propiedad angustiosa de este ataque es que tambin funciona cuando la navegador de la victima solicita una pgina va conexin segura. Si la victima accede a un web seguro (usando Secure Sockets Layer, SSL) en un web falso, todo sigue ocurriendo con normalidad, la pgina ser entregada, y el indicador de conexin segura, se encender.

El navegador de la victima dice que hay una conexin segura, porque tiene una, pero desgraciadamente esa conexin es con www.atacante.org, y no con el sitio que piensa la vctima. El indicador de conexin segura solo le da a la victima una falsa sensacin de seguridad.

Cmo detectar el ataque?

Este ataque es bastante efectivo, pero no perfecto. Todava hay detalles que pueden hacer sospechar a la victima que el ataque ya est en marcha. En ltima instancia, el atacante puede llegar a eliminar cualquier rastro del ataque.

a) La Lnea de Estado:
Este ataque deja dos tipos de evidencias en la barra de estado. La primera, cuando se pasa el mouse por encima de un enlace, informa la URL a la que apunta. As pues, la victima

podra darse cuenta de que la URL se ha modificado. La segunda es que por un breve instante de tiempo, se informa cual es la direccin del servidor que est intentando visitar. La victima podra darse cuenta que el servidor es www.atacante.org, y no el servidor verdadero. El atacante puede tapar estas huellas aadiendo cdigo Java Script en cada pgina reescrita para ocultar el texto en la lnea de estado o hacer que cuando haya un enlace a http://www.atacante.org/http://www.servidor.com, en la lnea de estado salga http://www.servidor.com, que se hara de la manera siguiente: <ahref=http://www.atacante.org/http://www.servidor.com OnMouseOver=window.status=http://www.servidor.com; return true;>http://www.servidor.com</a> Este detalle hace ms convincente el ataque.

b) La Lnea de Navegacin:
Es la encargada de informar qu URL se est visitando. As pues, el ataque causa que las paginas reescritas en www.atacante.org salgan en la lnea de navegacin. Este detalle puede hacer sospechar a la victima que el ataque est en marcha. Esta huella puede ser ocultada ayudndose de un poco de Java Script, de esta manera: function AbreVentana() { open(http://www.atacante.org/http://www.servidor.com/,DisplayWindow,toolbar=yes,directori es=no,menubar=no, status=yes); } Tambin se puede hacer un programa que reemplace a la lnea de navegacin verdadera, que parezca que sea la correcta, colocndola en el mismo sitio. Si est bien hecho se puede hacer que escriba la URL que espera ver la vctima, incluso que se puedan producir entradas por teclado, para que la vctima no se d cuenta.

c) Ver Documento Cdigo Fuente:

Los navegadores ms populares ofrecen la posibilidad de examinar el cdigo fuente HTML de la pgina actual. Un usuario podra buscar URLs reescritas, mirando su cdigo fuente, para darse cuenta del ataque. Este ataque tambin puede prevenir esto ayudndose de un programa en Java Script que oculte la barra de mens, o que haga una barra idntica, con la salvedad que si la victima mira el cdigo fuente, en vez de ensear el que est viendo, apunte a la direccin verdadera.

d) Ver Informacin del Documento:

Esta huella se puede eliminar siguiendo las indicaciones arriba mencionadas.

Cmo evitarlo?
Web Spoofing es un ataque peligroso, y difcilmente detectable, que hoy por hoy se puede llevar a cabo en Internet. Afortunadamente hay algunas medidas preventivas que se pueden practicar:

a) Soluciones a corto plazo:

1.- Desactivar la opcin de Java Script en el navegador. 2.- Asegurarse en todo momento que la barra de navegacin est activa. 3.- ESTA ES LA MS IMPORTANTE: Poner atencin a las URL que se ensean en la barra de estado, asegurndote que siempre apuntan al sitio que quieras entrar. Hoy en da tanto Java Script, como Active-X, como Java tienden a facilitar las tcnicas de spoofing, se recomiendo que las desactive de su navegador, al menos en los momentos que vaya a transferir informacin crtica como login, password, nmeros de tarjeta de crdito o cuenta bancaria.

b) Soluciones a largo plazo:

Todava no se ha descubierto ningn mtodo para evitar este ataque.

Blue MAC Spoofing

Aunque no es un ataque spoofing que haga uso de las debilidades de TCP/IP lo comentaremos brevemente como mera curiosidad. El ataque Blue MAC Spoofing afecta a telfonos mviles Bluetooth (y a todos los dispositivos que hagan uso de esta tecnologa). No explota una implementacin incorrecta de Bluetooth por parte de los fabricantes, sino un fallo del estndar en s. Este ataque consiste en suplantar la identidad de un dispositivo emparejado y utilizar sus credenciales de confianza para acceder a un telfono sin que el usuario se percate, obteniendo as total control de las funciones del telfono y sus archivos almacenados.

Conclusin
Visto todo esto, se comprueba como la facilidad, confiabilidad y operatividad de los estndares de internet para la comunicacin por la red es a la vez la fuente de su peor pesadilla. La seguridad es un compromiso constante entre eficiencia, disponibilidad y a la vez, atencin y cuidado perenne que puede bien estar en los lmites de la paranoia.

Marco legal en chile de Spoofing.

Chile--_> ojo 19223
Ley N 1018. Cuenta con una ley relativa a Delitos Informticos, promulgada en Santiago de Chile el 28 de mayo de 1993, la cual en sus cuatro numerales menciona: Artculo 1 "El que maliciosamente destruya o inutilice un sistema de tratamiento de informacin o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrir la pena de presidio menor en su grado medio a mximo". Artculo 2 " El que con el nimo de apoderarse, usar o conocer indebidamente de la informacin contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a l, ser castigado con presidio menor en su grado mnimo a medio". Artculo 3 " El que maliciosamente revele o difunda los datos contenidos en un sistema de informacin, sufrir la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de informacin, la pena se aumentar en un grado".

Artculo 4 " El que maliciosamente revele o difunda los datos contenidos en un sistema de informacin, sufrir la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de informacin, la pena se aumentar en un grado".