Red Dev Blog

En este blog encontrarás artículos relacionados con el desarrollo, hacking y el blue team

Blog Red Team Blue Team Desarrollo About
23 May 2023

MITM - ¿Por qué no debo conectarme a un wifi público?

by RedDev

¿Qué es MITM?

MITM son las siglas de Men in the middle, grupo de ataques en los cuales el atacante esnifa todo el tráfico o lo deriva hacia él. Este tipo de ataque se utiliza con mucha frecuencia en entornos de redes locales, tales como AD, redes wifi…

image

¿Cómo utilizan esto los hackers?

Esta técnica como tal no supone un peligro directo a dia de hoy, ya que la mayoría de tráfico que generamos va cifrado, por eso las urls ya no funcionan por HTTP(Hiper Text Transfer Protocol) funcionan por HTTPS, esta es la versión segura ya que encripta los paquetes mediante un certificado SSL/TLS. Hasta aquí todo bien, pero con todo esto, ¿como nos pueden hackear aún así?.

Para explicar esto usaré un ataque algo antiguo, que sigue funcionando pero nos viene genial para asimilar el concepto, este se llama el dns spoofing.

DNS Spoofing

Lo primero de todo es explicar que es el DNS y como funciona:

DNS

El DNS(Domain Name System) se basa en una seríe de servidores organizados por zonas que nos resuelven las direcciones IP respecto a su correspondiente nombre de dominio. Por ejemplo, quieres ingresar a Instagram que tiene la IP 157.240.5.174, tu en el navegador pones instagram.com y mediante la resolucion de ese nombre de dominio a tu ordenador le llegará la correspondiente dirección IP. image

DNS Spoofing

Para realizar esta técnica se tiene que realizar previamente la técnica del ARP Spoofing, que se basa en la suplantación del router. Esto se consigue mediante el envio masivo de paquetes ARP(Paquetes que envia el router para que los dispositivos sepan a que dirección enviar las peticiones) a la red entera o a un objetivo concreto, con esto conseguimos hacerle creer al dispositivo que nosotros somos el router.

Comunicación en red WIFI image

Tras esto, al recibir una petición DNS de por ejemplo facebook.com, la capturaremos y en vez de pasarsela al router devolveremos nuestra IP o otra IP donde tendremos una página de facebook fake como explicamos en el artículo “Phising, a la pesca del merluzo”. La diferencia con lo explicado en el artículo es que la dirección parecerá totalmente veridica, y hasta podremos reenviar a la victima a la verdadera página de facebook haciendola creer que se ha logeado correctamento o que ha introducido mal las credenciales.

image

Como aclaración, este es un ejemplo en el que se utiliza una técnica del tipo MITM, hay muchos más ataques que utilizan este tipo de técnicas como el NTLM Relay explicado en otro artículo del blog

¿Cómo nos podemos proteger?

Tenemos dos opciones:

  • No conectarnos a wifis públicas y usar nuestra propia conexión de datos móviles
  • Usar una VPN, siendo esta la más interesante.

¿Por qué una VPN nos protege?

Una VPN se basa en una conexión totalmente cifrada en la que nuestra “salida a internet” ya no somos nosotros o el router, si no que es el servidor VPN, es decir todos los paquetes estan totalmente cifrados hasta que llegan a nuestro servidor VPN, por lo tanto no hay peticiones DNS como tal. image

Explicaremos como configurar una VPN en un artículo dedicado al anonimato en internet más adelante.

tags: MITM - wifi - crack - fake - login