0.- Prefacio.
1.- Introduccion.
2.- Web Spoofing.
3.- Como Ataca.
4.- Empezando el ataque.
5.- Completando la ilusion.
6.- Remedios.
7.- Vision de Futuro.

0.- Prefacio:

Este documento esta integramente basado en el de la Universidad de Princeton, el cual lo puedes encontrar aqui, y esta protegido por las leyes del copyright. Tan solo lo he traducido, y completado un poco.

1.- Introduccion:

Este documento pretende describir un ataque de seguridad en Internet que podria poner en peligro la privacidad de los usuarios del World Wide Web, y la integridad de sus datos. Este timo se puede comenter sobre la mayoria de navegadores, incluyendo el Nestscape Navigator, y Microsoft Internet Explorer.

2.- Web Spoofing:

El Web Spoofing permite a un atacante la creacion de una "shadow copy" del entero world wide web. Los accesos a este sitio estan dirigidos a traves de la maquina del atacante, permitiendole monitorizar todas las actividades que realiza la victima, desde los datos que se puedan escribir en un simple formulario, hasta sus passwords, su numero de tarjeta ...

Es como el juego del timo. El atacante crea un falso, pero convincente mundo alrededor de la victima, y la victima hace algo qua le podria ser apropiado. El falso web se parece al verdadero, tiene las mismas paginas, links... En cualquier caso, el atacante es el que controla el falso web, asi pues, todo el trafico entre el navegador de la victima y el verdadero web pasa a traves del atacante. Desafortunadamente, las actividades que parecen ser razonables en el mundo imaginario suelen ser desastrosas en el mundo real.

Las personas que suelen usar ordenadores a menudo toman decisiones relevantes basadas en las señales del contexto que perciben. Por ejemplo, se podria decidir el teclear los datos bancarios porque se cree que se esta visitiando su sitio web. Esta creencia se podria producir porque la pagina tiene un parecido similar, sale su url en la barra de navegacion, y por alguna que otra razon mas.

Como el atacante tiene el control de la conexion, puede observar, e incluso modificar cualquier dato que vaya entre la victima y el verdadero web, tiene muchas posibilidades de salirse con la suya. Esto incluye Vigilancia y Manipulacion.

Vigiliancia:

El atacante puede mirar el trafico de una manera pasiva grabando las paginas que visita la victima, y su contenido, como por ejemplo todos los datos que aparezcan en los formularios cuando la respuesta es enviada de vuelta por el servidor. Como la mayoria de comercio electronico se hace a traves de formularios, significa que el atacante puede observar cualquier numero de cuenta o passwords que la victima introduce.

Manipulacion:

El atacante tambien es libre de modificar cualquiera de los datos que se estan transmitiendo entre el servidor y la victima en cualquier direccion. Por ejemplo, si la victima esta comprando un producto on-line, el atacante puede cambiar el numero, la cantidad, la direccion del remitente ... tambien le podria engañar a la victima enviandole informacion erronea, por parte del servidor para causar antagonismo entre ellos. Un ejemplo grafico es el siguiente:

La clave es que el atacante se situe en medio de la conexion entre la victima y el servidor.

a) Rescribe la URL:

Lo primero que se hace es grabar todo el website dentro del servidor del atacante, para que asi se apunte al servidor de la victima, en vez de la verdadera. Por ejemplo, si la URL del atacante es http://www.atacante.org y la del servidor verdadero es http://www.servidor.com, quedaria: http://www.atacante.org/http://www.servidor.com
 
 

1) El navegador de la victima reclama una pagina de www.atacante.org

2) www.atacante.org se la reclama a www.servidor.com.

3) www.servidor.com se la entrega a www.atacante.org

4) www.atacante.org la reescribe o modifica

5)www.atacante.org le entrega la version de la pagina que ha hecho al navegador de la victima.

b) Que pasa con los Formularios?:

Si la victima rellena un formulario de una pagina web falsa, el atacante tambien puede leer los datos, ya que van encerrados dentro de los protocolos web basicos. Es decir, que si cualquier URL puede ser spoofeada, los formularios tambien.

c) Las Conexiones Seguras no ayudan:

Una propiedad angustiosa de este ataque es que tambien funciona cuando la navegador de la victima solicita una pagina via conexion segura. Si la victima accede a un web "seguro" (usando Secure Sockets Layer, SSL) en un web falso, todo sigue ocurriendo con normalidad, la pagina sera entregada, y el indicador de conexion segura, se encendera (generalmente suele ser un candado).

El navegador de la victima dice que hay una conexion segura, porque tiene una, pero desgraciadamente esa conexion es con www.atacante.org, y no con el sitio que piensa la victima. El indicador de conexion segura solo le da a la victima una falsa sensacion de seguridad.

4.- Empezando el Ataque:

El atacante debe, de alguna manera colocar un cebo a la victima, para que visite la web falsa del atacante. Hay varias maneras para hacer esto, poner un link en cualquier pagina que visite la victima, engañar a los motores de busqueda, o incluso, si se sabe su direccion de mail, enviarle uno para que visite la pagina, ...

5.- Completando la Ilusion:

Este ataque es bastante efectivo, pero no perfecto. Todavia hay detalles que pueden hacer sospechar a la victima que el ataque ya esta en marcha. En cualquier caso, el atacante puede llegar a eliminar cualquier rastro del ataque.

a) La Linea de Estado:

Es una simple linea de texto abajo del navegador que informa de varios mensajes, como a que servidor mira de localizar, si se conecta, o el tiempo que falta todavia para recibir la totalidad de la pagina.

Este ataque deja dos tipos de evidencias en la barra de estado. La primera, cuando se pasa el raton por encima de un enlace, informa la URL a la que apunta. Asi pues, la victima podria darse cuenta que la URL se ha rescrito. La segunda es que por un breve instante de tiempo, se informa cual es la direccion del servidor que esta intentando visitar. La victima podria darse cuenta que el servidor es www.atacante.org, y no el servidor verdadero.

El atacante puede tapar estas huellas añadiendo codigo JavaScript en cada pagina reescrita para ocultar el texto en la linea de estado o hacer que cuando haya un enlace a http://www.atacante.org/http://www.servidor.com, en la linea de estado salga http://www.servidor.com, que se haria de la manera siguiente:

<a href="http://www.atacante.org/http://www.servidor.com"

OnMouseOver="window.status='http://www.servidor.com'; return

true;">http://www.servidor.com</a>

Este detalle hace mas convincente el ataque.

b) La Linea de Navegacion:

Es la encargada de informar que URL se esta visitando. Asi pues, el ataque causa que las paginas reescritas en www.atacante.org salgan en la linea de navegacion. Este detalle puede hacer sospechar a la victima que el ataque esta en marcha.

Esta huella puede ser ocultado ayudandose de un poco de JavaScript. Un programa hecho en JavaScript puede ocultar esta linea, de esta manera:

function AbreVentana()

{

open("http://www.atacante.org/http://www.servidor.com/","DisplayWindow","toolbar=yes,directories=no,menubar=no, status=yes");

}

Tambien se puede hacer un programa que reemplace a la linea de navegacion verdadera, que parezca que sea la correcta, colocandola en el mismo sitio, ... Si esta bien hecho se puede hacer que escriba la URL que espera ver la victima, incluso que se puedan producir entradas por teclado, para que la victima no se de cuenta.

c) Ver Documento Fuente:

Los navegadores mas populares ofrecen la posibilidad de examinar el codigo fuente html de la pagina actual. Un usuario podria buscar que URLs reescritas, mirando su codigo fuente, para darse cuenta del ataque.

Este ataque tambien puede prevenir esto ayudandose de un programa en JavaScript que oculte la barra de meus, o que haga una barra de menus identica, con la salvedad que si la victima mira el codigo fuente, en vez de enseñar el que esta viendo, apunte a la direccion verdadera.

d) Ver Informacion del Documento:

Esta huella se puede eliminar siguiendo las indicaciones arriba mencionadas.

6.- Remedios:

Web Spoofing es un ataque peligroso, y dificilmente detectable, que hoy por hoy se puede llevar a cabo en Internet. Afortunadamente hay algunas medidas preventivas que se pueden llevar a cabo:

a) Soluciones a corto plazo:

1.- Desactivar la opcion de JavaScript en el navegador.

2.- Asegurarse en todo momento que la barra de navegacion esta activa.

3.- Poner atencion a las URL que se enseñan en la barra de estado, asegurandote que siempre apuntan apuntando al sitio que quieres conectar.

Hoy en dia tanto JavaScript como Active-X, como Java tienden a facilitar las tecnicas de spoofing, asi que desde aqui recomendamos al lector que las desactive de su navegador, al menos en los momentos que vaya a transferir informacion critica como login, password, numeros de cuenta bancaria, ...

b) Soluciones a largo plazo:

Todavia no se ha descubierto ningun metodo para evitar este ataque.

7.- Vision de Futuro:

Este tipo de ataque solo afecta a la persona que esta navegando por internet, asi pues, no esperes que haya ningun programa solucion. Simplemente hay que estar atento en todo momento y mas especialmente a la hora de enviar informacion sensible o critica a la red.

Este documento simplemente es una introduccion a un posible ataque que el lector puede sufrir en lo que hoy en dia esta de moda, como el comercio electronico, y/o banca on-line, y que puede ser perjudicial para cualquier usuario, aunque desde - J.J.F. / Hackers Team - seguiremos informando.

ESTE TEXTO A SIDO EXTRAIDO DE LA WEB J.J.F. / Hackers Team
Y POR LO TANTO NO ES UN TEXTO PROPIO DE DRAGON'S HACK