Falsejament d'identitat

El falsejament d'identitat (en anglès, spoofing) són tècniques de suplantació d'identitat web per tal d'accedir a uns recursos als quals no s'està autoritzat, generalment amb usos maliciosos o d'investigació. Hi ha diferents tipus segons cada tipus de tecnologia, com l'adreça IP spoofing (el més conegut), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, tot i que en general es pot englobar dins del falsejament d'identitat qualsevol tecnologia de xarxa susceptible de sofrir suplantacions d'identitat.

Tipus de falsejament d'identitat[modifica]

IP Spoofing: suplantació d'IP. Consisteix bàsicament a substituir l'adreça IP origen d'un paquet TCP/IP per una altra adreça IP a la qual es desitja suplantar. Això s'aconsegueix generalment gràcies a programes específics i pot ser usat per a qualsevol protocol d'Internet dins de TCP/IP com ICMP, UDP o TCP. Cal tenir en compte que les respostes de l'ordinador central que rebi els paquets aniran dirigides a la IP falsificada. Per exemple si enviem un ping (paquet icmp "echo request") spoofeat, la resposta serà rebuda per l'ordinador central a què pertany la IP legalment. Aquest tipus de spooofing unit a l'ús de peticions broadcast a diferents xarxes és usat en un tipus d'atac de flood conegut com a atac Smurf. Per poder realitzar IP SPOOFING en sessions TCP, s'ha de tenir en compte el comportament de l'esmentat protocol amb la tramesa de paquets SYN i ACK amb seu ISN específic i tenint en compte que el propietari real de la IP podria (si no se li impedeix d'alguna manera) tallar la connexió en qualsevol moment en rebre paquets sense haver-los sol·licitat. També cal tenir en compte que els routers actuals no admeten la tramesa de paquets amb IP origen no pertanyent a una de les xarxes que administra (els paquets spoofeat no ultrapassaran el router).

ARP Spoofing: suplantació d'identitat per falsificació de taula Address Resolution Protocol. Es tracta de la construcció de trames de sol·licitud i resposta ARP modificades amb l'objectiu de falsejar la taula ARP (relació IP-MAC) d'una víctima i forçar-la a enviar els paquets a un ordinador central atacant en lloc de fer-ho a la seva destinació legítima. És a dir, el protocol Ethernet treballa mitjançant adreces MAC, no mitjançant adreces IP. ARP és el protocol encarregat de traduir adreces IP a adreces MAC perquè la comunicació pugui establir-se; per a això quan un ordinador central vol comunicar-se amb una IP emet una trama ARP-Request a l'adreça de Broadcast demanant la MAC del host posseïdor la IP amb la qual desitja comunicar-se. L'ordinador amb la IP sol·licitada respon amb un ARP-Reply indicant el seu MAC. Els Switches i els hosts guarden una taula local amb la relació IP-MAC anomenada "taula ARP". L'esmentada taula ARP pot ser falsejada per un ordinador atacant que emeti trames ARP-REPLY indicant el seu MAC com a destinació vàlida per a una IP específica, com per exemple la d'un router, d'aquesta manera la informació dirigida al router passaria per l'ordinador atacant qui podrà sniffar l'esmentada informació i redirigir-la si així ho desitja.

El protocol ARP treballa a nivell d'enllaç de dades d'OSI, pel que aquesta tècnica només pot ser utilitzada en xarxes LAN o en qualsevol cas en la part de la xarxa que queda abans del primer Router. Una manera de protegir-se d'aquesta tècnica és mitjançant taules ARP estàtiques (sempre que les ips de xarxa siguin fixes), la qual cosa pot ser difícil en xarxes grans.

Altres formes de protegir-se inclouen l'usar programes de detecció de canvis de les taules ARP (com Arpwatch) i l'usar la seguretat de port dels commutadors per evitar canvis en les adreces MAC.

DNS Spoofing: Suplantació d'identitat per nom de domini. Es tracta del falsejament d'una relació "Nom de domini-IP" davant d'una consulta de resolució de nom, és a dir, resoldre amb una adreça IP falsa un cert nom DNS o viceversa. Això s'aconsegueix falsejant les entrades de la relació Nom de domini-IP d'un servidor DNS, mitjançant alguna vulnerabilitat del servidor en concret o per la seva confiança cap a servidors poc fiables. Les entrades falsejades d'un servidor DNS són susceptibles d'infectar el caché DNS d'un altre servidor diferent (DNS poisoning).

Web Spoofing: Suplantació d'una pàgina web real (no confondre amb phising). Encamina la connexió d'una víctima a través d'una pàgina falsa cap a altres pàgines WEB amb l'objectiu d'obtenir informació de l'esmentada víctima (pàgines WEB vistes, informació de formularis, contrasenyes, etc.). La pàgina WEB falsa actua a tall de proxy sol·licitant la informació requerida per la víctima a cada servidor original i saltant-se fins i tot la protecció SSL. L'atacant pot modificar qualsevol informació des de i cap a qualsevol servidor que la víctima visiti. La víctima pot obrir la pàgina web falsa mitjançant qualsevol tipus d'engany, fins i tot obrint un simple LINK. El WEB SPOOFING és difícilment perceptible, potser la millor mesura és algun plugin del navegador que mostri a tota hora l'IP del servidor visitat, si la IP mai no canvia en visitar diferents pàgines WEB significarà que probablement estiguem sofrint aquest tipus d'atac.

Mail Spoofing: Suplantació en correu electrònic de l'adreça e-mail d'altres persones o entitats. Aquesta tècnica és usada amb assiduïtat per a la tramesa d'e-mail hoax com a suplement perfecte per a l'ús de phising i per a spam, és tan senzilla com l'ús d'un servidor SMTP configurat per a tal finalitat. Per protegir-se s'hauria de comprovar la IP del remitent (per esbrinar si realment aquesta ip pertany a l'entitat que indica en el missatge) i l'adreça del servidor SMTP utilitzat. Una altra tècnica de protecció és l'ús de firmes digitals.

Formes de prevenir el falsejament d'identitat (spoofing)[modifica]

Les tècniques de suplantació d'identitat poden tenir conseqüències no desitjades, per tant es important tenir coneixement de quines son les diverses formes de prevenir-se d'aquest fenomen. existeixen diferents formes de poder anticipar-se i reduir la probabilitat de patir aquest falsejament d'identitat:^[1]

Incorporar l'autenticació de dos factors per als usuaris i els sistemes.
Activar el filtre antispam en trucades i correus electrònics.
Examinar el missatge, ja que sol contenir faltes d'ortografia, mala gramàtica o una estructura lingüística inusual.
Comprovar que la URL comença amb "HTTPS", així com l'adreça del correu electrònic.
No obriu cap fitxer o enllaç adjunt d'un remitent desconegut. En cas que sigui necessari, és recomanable escriure l'enllaç de manera manual al cercador.
Crear contrasenyes segures i diferents, a més de canviar-les de manera periòdica.
Mantenir actualitzat tant el sistema operatiu com el programa antivirus.

Altres formes de prevenir el falsejament d'identitat segons ens indica el portal web Oracle^[2] (gran empresa que desenvolupa grans bases de dades) son:

Protegir l'adreça IP dels clients perquè no siguin identificables i autenticar-la amb algoritmes criptogràfics.
No utilitzar serveis que utilitzin l'adreça IP per identificar els clients.
Autentificar l'adreça mitjançant algorismes criptogràfics, com ara IPsec, SSL o SSH.

Finalment, l'empresa Ambit, especialitzat en la prestació de solucions i serveis vinculats a les tecnologies de la informació, ens esmenta les següents solucions per tal d'evitar aquest fenomen:^[3]

Activar protocols de verificació SPF, per evitar que enviïn e-mails des d'un compte suplantat. El domini haurà d'autoritzar el servidor de correu SMTP per enviar o, si escau, per rebre un correu.
Davant la sospita d'estar davant d'un atac web spoofing podem desactivar un JavaScript del navegador en els moments en què calgui exposar dades importants.
Pel que fa a la suplantació d'IP, les empreses proveïdores d'internet han començat a adoptar mesures per evitar la vulnerabilitat del protocol TCP/IP. Igualment és recomanable configurar filtres al router per controlar l'accés i el trànsit de paquets.

Referències[modifica]

↑ Romero, Marta Sanz. «¿Qué es Spoofing? La técnica de engaño que va de la mano del phishing» (en castellà), 19-06-2021. [Consulta: 16 maig 2022].
↑ «¿Qué es el spoofing?» (en castellà). Oracle. [Consulta: 16 maig 2022].
↑ Team, P. M. O. «Spoofing, Qué es y cómo evitarlo» (en espanyol europeu). [Consulta: 16 maig 2022].

Enllaços externs[modifica]

TERMCAT Arxivat 2012-01-05 a Wayback Machine.
Web Spoofing Arxivat 2009-08-31 a Wayback Machine. (anglès)

[1] Romero, Marta Sanz. «¿Qué es Spoofing? La técnica de engaño que va de la mano del phishing» (en castellà), 19-06-2021. [Consulta: 16 maig 2022].

[2] «¿Qué es el spoofing?» (en castellà). Oracle. [Consulta: 16 maig 2022].

[3] Team, P. M. O. «Spoofing, Qué es y cómo evitarlo» (en espanyol europeu). [Consulta: 16 maig 2022].

[1]

[2]

[3]