Falsejament d'identitat

De Viquipèdia
Salta a: navegació, cerca

El falsejament d'identitat (en anglès, Spoofing) són tècniques de suplantació d'identitat web per tal d'accedir a uns recursos als quals no s'està autoritzat, generalment amb usos maliciosos o d'investigació. Hi ha diferents tipus segons cada tipus de tecnologia, com l'adreça IP spoofing (el més conegut), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, tot i que en general es pot englobar dins del falsejament d'identitat qualsevol tecnologia de xarxa susceptible de sofrir suplantacions d'identitat.

Tipus de falsejament d'identitat[modifica]

  • IP Spoofing: suplantació d'IP. Consisteix bàsicament a substituir l'adreça IP origen d'un paquet TCP/IP per una altra adreça IP a la qual es desitja suplantar. Això s'aconsegueix generalment gràcies a programes específics i pot ser usat per a qualsevol protocol d'Internet dins de TCP/IP com ICMP, UDP o TCP. Cal tenir en compte que les respostes de l'ordinador central que rebi els paquets aniran dirigides a la IP falsificada. Per exemple si enviem un ping (paquet icmp "echo request") spoofeat, la resposta serà rebuda per l'ordinador central a què pertany la IP legalment. Aquest tipus de spooofing unit a l'ús de peticions broadcast a diferents xarxes és usat en un tipus d'atac de flood conegut com a atac Smurf. Per poder realitzar IP SPOOFING en sessions TCP, s'ha de tenir en compte el comportament de l'esmentat protocol amb la tramesa de paquets SYN i ACK amb seu ISN específic i tenint en compte que el propietari real de la IP podria (si no se li impedeix d'alguna manera) tallar la connexió en qualsevol moment en rebre paquets sense haver-los sol·licitat. També cal tenir en compte que els routers actuals no admeten la tramesa de paquets amb IP origen no pertanyent a una de les xarxes que administra (els paquets spoofeat no ultrapassaran el router).
  • ARP Spoofing: suplantació d'identitat per falsificació de taula Address Resolution Protocol. Es tracta de la construcció de trames de sol·licitud i resposta ARP modificades amb l'objectiu de falsejar la taula ARP (relació IP-MAC) d'una víctima i forçar-la a enviar els paquets a un ordinador central atacant en lloc de fer-ho a la seva destinació legítima. És a dir, el protocol Ethernet treballa mitjançant adreces MAC, no mitjançant adreces IP. ARP és el protocol encarregat de traduir adreces IP a adreces MAC perquè la comunicació pugui establir-se; per a això quan un ordinador central vol comunicar-se amb una IP emet una trama ARP-Request a l'adreça de Broadcast demanant la MAC del host posseïdor la IP amb la qual desitja comunicar-se. L'ordinador amb la IP sol·licitada respon amb un ARP-Reply indicant el seu MAC. Els Switches i els hosts guarden una taula local amb la relació IP-MAC anomenada "taula ARP". L'esmentada taula ARP pot ser falsejada per un ordinador atacant que emeti trames ARP-REPLY indicant el seu MAC com a destinació vàlida per a una IP específica, com per exemple la d'un router, d'aquesta manera la informació dirigida al router passaria per l'ordinador atacant qui podrà sniffar l'esmentada informació i redirigir-la si així ho desitja.

El protocol ARP treballa a nivell d'enllaç de dades d'OSI, pel que aquesta tècnica només pot ser utilitzada en xarxes LAN o en qualsevol cas en la part de la xarxa que queda abans del primer Router. Una manera de protegir-se d'aquesta tècnica és mitjançant taules ARP estàtiques (sempre que les ips de xarxa siguin fixes), la qual cosa pot ser difícil en xarxes grans.

Altres formes de protegir-se inclouen l'usar programes de detecció de canvis de les taules ARP (com Arpwatch) i l'usar la seguretat de port dels commutadors per evitar canvis en les adreces MAC.
  • DNS Spoofing: Suplantació d'identitat per nom de domini. Es tracta del falsejament d'una relació "Nom de domini-IP" davant d'una consulta de resolució de nom, és a dir, resoldre amb una adreça IP falsa un cert nom DNS o viceversa. Això s'aconsegueix falsejant les entrades de la relació Nom de domini-IP d'un servidor DNS, mitjançant alguna vulnerabilitat del servidor en concret o per la seva confiança cap a servidors poc fiables. Les entrades falsejades d'un servidor DNS són susceptibles d'infectar el caché DNS d'un altre servidor diferent (DNS poisoning).
  • Web Spoofing: Suplantació d'una pàgina web real (no confondre amb phising). Encamina la connexió d'una víctima a través d'una pàgina falsa cap a altres pàgines WEB amb l'objectiu d'obtenir informació de l'esmentada víctima (pàgines WEB vistes, informació de formularis, contrasenyes, etc.). La pàgina WEB falsa actua a tall de proxy sol·licitant la informació requerida per la víctima a cada servidor original i saltant-se fins i tot la protecció SSL. L'atacant pot modificar qualsevol informació des de i cap a qualsevol servidor que la víctima visiti. La víctima pot obrir la pàgina web falsa mitjançant qualsevol tipus d'engany, fins i tot obrint un simple LINK. El WEB SPOOFING és difícilment perceptible, potser la millor mesura és algun plugin del navegador que mostri a tota hora l'IP del servidor visitat, si la IP mai no canvia en visitar diferents pàgines WEB significarà que probablement estiguem sofrint aquest tipus d'atac.
  • Mail Spoofing: Suplantació en correu electrònic de l'adreça e-mail d'altres persones o entitats. Aquesta tècnica és usada amb assiduïtat per a la tramesa d'e-mail hoax com a suplement perfecte per a l'ús de phising i per a spam, és tan senzilla com l'ús d'un servidor SMTP configurat per a tal finalitat. Per protegir-se s'hauria de comprovar la IP del remitent (per esbrinar si realment aquesta ip pertany a l'entitat que indica en el missatge) i l'adreça del servidor SMTP utilitzat. Una altra tècnica de protecció és l'ús de firmes digitals.

Enllaços externs[modifica]