jueves, 9 de enero de 2014

Spoofing, suplantando tu identidad (III de VIII)

Aunque el IP spoofing puede ser un problema al no ser controlado, también un atacante puede tirar de el mail spoofing para poder perpetrar algún tipo de ataque. La explicación de este ataque es mas que obvia, pues el atacante busca suplantar tu identidad por medio de un correo electrónico, es decir, suplantar tu cuenta de correo electrónico. El ataque se realiza en el nivel de aplicación del modelo TCP/IP, realizado en el protocolo SMTP bajo el puerto TCP 25, el ataque tiene efecto ya que no hay ningún mecanismos de autenticación cuando se realiza la conexión a dicho puerto.

Figura 1: Esquema del funcionamiento SMTP

Cuando se envía un correo electrónico por medio del protocolo SMTP, la conexión inicial estable dos cabeceras MAIL FROM, en donde se establece, tanto el destinatario como la ruta de respuesta y RCPT TO, acá se debe de especificar a quien se enviara el correo electrónico o destinatario, posteriormente a esto se envía el comando DATA, para ello se envían algunas cabeceras, dentro de ellas From (por ejemplo usuario usuario@correo.com) y Reply-to (por ejemplo usuario 1 usuario1@correo.com). Esto lleva a que el destinatario visualizara el correo como proveniente de FROM, aunque en muchas ocasiones puede verificarse la procedencia si se encuentra incluido el MAIL FROM.
Aunque hay varias formas de poder mitigar la suplantación de identidad por medio del correo electrónico, aun esta una tarea ardua para toda empresa. Una de las formas que se han implementado en los últimos años es el Sender Policy Framework, quien se encarga de comprobar los ordenadores autorizados para enviar un correo electrónico bajo un dominio determinado, es decir, establecer una relación de ordenador/IP, por medio de registros spf, esta configuración tendrá que desarrollarla el responsable del dominio.

 Figura 2: Politica SPF para Banco Industrial Guatemala.
Un ejemplo del implementación de SPF, es la que realiza el banco Industrial de Guatemala, analizando el registro veremos los siguiente, v=spf1, lo cual indica que la versión del SPF, mx:bi.com.gt, establece la autorización a los ordenadores con la ip4:168.234.207.16 y -all indica que no autorice a las maquinas que no cumplen con dicha especificación. Al tratar de hacer un ataque, intentado suplantar una cuenta de correo electrónico del banco, este es el resultado.


Figura 3: El ataque ha sido mitigado por hotmail
El ataque lo efectué a mi cuenta de hotmail, y como se puede ver, el ataque fue mitigado muy bien, enviado el correo a correo no deseado y mostrando una alerta.
Al efectúa el mismo ataque contra un dominio que no tenga especificado el SPF, para mitigar este tipo de ataque el resultado será el siguiente:


Figura 4: Carencia de implantación de SPF.

Figura 5: El correo a llegado a la bandeja sin ningún alerta.
Sin el SPF, mitigar el ataque es algo casi imposible, ya que no hay forma de establecer que ordenadores estarán autorizados para utilizar tu dominio, también es posible utilizar SenderID, que te protegerá o mitigara estos ataques.. Adicional a esto se implementa el estándar DKIM, para darle un mayor refuerzo a la seguridad y evitar que estos ataques se perpetren.
La finalidad de este tipo de ataques puede ser variada, desde difundir spam, enviar malware utilizando tu nombre de dominio, para brindar mayor confianza a quien se ataca, etc. Así que, si aun no tienes configurado ninguna protección en tus servidores de correo, ya es hora de que eches mano en ello.

Saludos.
Lexer Pars.

*************************************************************************************************************************************** Spoofing, suplantando tu identidad (I de VIII)
Spoofing, suplantando tu identidad (VIII de VIII)
***************************************************************************************************************************************

No hay comentarios:

Publicar un comentario