La red troncal de Internet - la infraestructura de las redes en la que viaja el tráfico de Internet - pasaron de ser una infraestructura pasiva para la comunicación con un arma activa para los ataques.
De acuerdo con
las revelaciones sobre el programa de QUANTUM, la NSA puede "disparar" (sus palabras) un exploit en cualquier destino que desea como su tráfico pasa a través de la columna vertebral. Parece que la NSA y GCHQ fueron los primeros en convertir la red troncal de Internet en un arma; Snowden ausentes de sus propios, otros países pueden hacer lo mismo y luego decir: "No fuimos nosotros. E incluso si lo fuera, lo inició. "
Si la NSA puede hackear Petrobras, los rusos pueden justificar el ataque Exxon / Mobil. Si GCHQ puede hackear Belgicom para permitir las escuchas telefónicas secretas, Francia puede hacer lo mismo con AT & T. Si los canadienses del objetivo del Ministerio de Minas y Energía de Brasil, los chinos pueden dirigirse al Departamento del Interior de EE.UU.. Ahora vivimos en un mundo en el que, si tenemos suerte, los atacantes pueden ser todos los países de nuestro tráfico pasa a través, excepto la nuestra.
Lo que significa que el resto de nosotros - y, especialmente, cualquier compañía o individuo cuyas operaciones sean económicamente o políticamente significativo - son ahora objetivos. Todo el tráfico sin cifrar no es sólo la información que se envía desde el emisor al receptor, sino que es un posible medio de ataque.
He aquí cómo funciona.
El nombre en clave QUANTUM es deliciosamente apto para una técnica conocida como "inyección de paquetes", que parodias o paquetes de forja para interceptarlos. Las escuchas telefónicas de la NSA ni siquiera tienen que estar en silencio, que sólo hay que enviar un mensaje que llega a la meta en primer lugar. Funciona mediante el examen de las solicitudes y la inyección de una respuesta forjado que parece provenir de la verdadera beneficiaria por lo que la víctima actúa en él.
En este caso, la inyección de paquetes se utiliza para los ataques "man-on-the-lado" - que son más tolerantes que el fracaso-
por el hombre en el medio de ataque , ya que permiten a observar y añadir (pero tampoco restar, como los ataques man-in-the-middle hacen). Es por eso que estos son muy populares en los sistemas de censura. No se puede mantener el ritmo? Eso está bien. Mejor perder algunos de que no funciona en absoluto.
Nicholas Weaver
Nicholas Weaver es un investigador en el Instituto Internacional de Ciencias de la Computación en la Universidad de California en Berkeley y San Diego (aunque esta opinión es la suya). Él se centra en la seguridad de la red, así como la detección de intrusiones en la red, las defensas de resolución de DNS, y las herramientas para la detección de manipulaciones ISP introducidos de conexión de red de un usuario.Weaver recibió su Ph.D. en Informática por la Universidad de California en Berkeley.
La tecnología en sí es bastante básico. Y las mismas técnicas que trabajan en una red Wi-Fi pueden trabajar en una intervención telefónica backbone. Yo personalmente codificado un paquete-inyector desde cero en cuestión de horas hace cinco años, y ha sido durante mucho tiempo un elemento básico de DefCon
bromas .
Entonces, ¿cómo se han utilizado las naciones inyección de paquetes, y ¿qué más pueden hacer con él? Estos son algunos de los usos conocidos.
Censura
El uso más infame de la inyección de paquetes antes de las fugas Snowden fue la censura, donde los proveedores de servicios de Internet (ISP) y el
Gran Cortafuegos de China inyectó TCP
Resetpaquetes (RST) para bloquear el tráfico no deseado. Cuando un equipo recibe uno de estos paquetes RST inyectados, se cierra la conexión, en la creencia de que toda la comunicación se ha completado.
A pesar de la divulgación pública obligó ISPs detener este comportamiento, China continúa censurando con restablece inyectado. También se inyecta el sistema de nombres de dominio (DNS) - el sistema de todos los equipos utilizan para convertir nombres como "www.facebook.com" en direcciones IP - mediante la inserción de una respuesta falsa cada vez que ve un nombre prohibido. (Se trata de un proceso que ha causado
daños colaterales por el tráfico no chinos internet censura).
Identificación del usuario
Galletas de usuario, los introducidos por las redes y servicios de publicidad, también sirven como identificadores de los grandes NSA focalización. Sin embargo, un navegador web sólo revela estas galletas cuando se comunica con dichos sitios. Una solución consiste en ataque QUANTUMCOOKIE de la NSA, que han utilizados para los usuarios de-anonimizar Tor.
Un paquete de inyector puede revelar estas cookies por responder a una red desapercibido fetch (tal como una imagen pequeña) con una redirección HTTP 302 que señala al sitio de destino (como Hotmail). El navegador ahora piensa "bueno, debe ir realmente visita Hotmail y preguntar por la imagen". En la conexión a Hotmail, que revela todas las cookies no seguros a la intervención telefónica. Este identifica tanto al usuario de la escucha telefónica, y también permite la intervención telefónica de usar estas cookies.
Así que para cualquier servicio de correo web que no requiere el cifrado HTTPS, QUANTUMCOOKIE también permite la intervención telefónica para iniciar sesión como el objetivo y leer el correo del objetivo. QUANTUMCOOKIE también podría etiquetar los usuarios, ya que la misma redirección que extrae una cookie también podría establecer o modificar una cookie, lo que permite la NSA para rastrear activamente a los usuarios de interés a medida que avanzan a través de la red - aunque no hay ninguna indicación aún que la NSA utiliza esta técnica .
Ataque del usuario
La NSA tiene una
colección de servidores FOXACID, diseñadas para explotar los visitantes.Conceptualmente similar a autopwn navegador WebServer de Metasploit
modo , estos servidores FOXACID sondear cualquier navegador visitando los puntos débiles a explotar.
Sólo se necesita una única petición de una víctima que pasa una intervención telefónica para la explotación de ocurrir. Una vez que la intervención telefónica QUANTUM identifica a la víctima, sino que simplemente paquetes inyecta una redirección 302 a un servidor FOXACID. Ahora el navegador de la víctima empieza a hablar con el servidor FOXACID, que rápidamente toma el control del ordenador de la víctima. La NSA llama a este QUANTUMINSERT.
La NSA y GCHQ utilizan esta técnica no sólo para dirigir los usuarios de Tor que leen Inspire(notificado a ser una revista de propaganda de Al-Qaeda en el idioma Inglés), sino también para
hacerse un hueco dentro de la empresa de telecomunicaciones Bélgica Belgicom, como preludio a Bélgica escuchas telefónicas móviles.
Uno en particular
truco consistía en identificar la Slashdot cuenta de un objetivo previsto LinkedIn o.Luego, cuando el sistema cuántico observado individuos
que visitan LinkedIn o Slashdot, que examinaría el HTML devuelto para identificar al usuario antes de disparar un exploit en la víctima.Cualquier página que identifica a los usuarios a través de HTTP funcionaría igual de bien, siempre y cuando la NSA está dispuesto para escribir un analizador para extraer información de usuario de los contenidos de la página.
Otros posibles casos de uso QUANTUM incluyen los siguientes. Estos son especulativos, ya que no tenemos pruebas de que la NSA, GCHQ, u otros están utilizando estas oportunidades. Sin embargo, los expertos en seguridad que son extensiones evidentes de la lógica anterior.
Envenenamiento de caché HTTP. navegadores con frecuencia caché de guiones críticos, como 'ga.js' el omnipresente guión Google Analytics. El paquete de inyector puede ver una solicitud de una de estas secuencias de comandos y en lugar de responder con una versión malicioso, que ahora se pueden ejecutar en numerosas páginas web. Dado que este tipo de scripts rara vez cambian, la víctima seguirá utilizando la escritura del atacante hasta que el servidor cambia el guión original o el navegador borra su cache.
Zero-Exploit explotación. El "control remoto" herramienta de hacking FinFly vendidos a los gobiernos incluye exploit libre de explotación, donde se
modifica descargas y actualizaciones de software que contiene una copia del spyware FinFisher. Aunque la herramienta de Gamma International opera como un completo man-in-the-middle, inyección de paquetes puede reproducir el efecto. El inyector simplemente espera a la víctima para intentar una descarga de archivos, y responde con una redirección 302 a un nuevo servidor. Este nuevo servidor obtiene el archivo original, lo modifica y lo transmite a la víctima. Cuando la víctima corre el ejecutable, ahora están explotados - sin la necesidad de ningún hazañas reales.
Aplicaciones para teléfonos móviles. Numerosas aplicaciones de Android y iOS capturar datos a través de HTTP. En particular, el Android biblioteca anuncio "Vulna" era un
fácil objetivo, simplemente espera de una solicitud de la biblioteca y responder con un ataque que efectivamente puede controlar completamente teléfono de la víctima. Aunque Google elimina las aplicaciones que usan esta biblioteca en particular, otras bibliotecas publicidad y las aplicaciones pueden presentar vulnerabilidades similares.
DNS-Derivado Man-in-the-Middle. Algunos ataques, como interceptar el tráfico HTTPS con un certificado falsificado, requieren de un hombre lleno en el medio en lugar de una simple fisgón. Dado que cada comunicación se inicia con una petición DNS, y es sólo una resolución de DNS raro que valida criptográficamente la respuesta con DNSSEC, un paquete inyector puede simplemente ver la solicitud de DNS e inyectar su propia respuesta. Esto representa una mejora de la capacidad, volviéndose un hombre-en-el-lado en un man-in-the-middle.
Un posible uso es interceptar las conexiones HTTPS si el atacante tiene un certificado de que la víctima acepta, simplemente redirigir a la víctima al servidor del atacante. Ahora el servidor del atacante puede completar la conexión HTTPS. Otro uso potencial implica interceptar y modificar de correo electrónico. El atacante simplemente paquetes inyecta respuestas de los (mail server) entradas MX correspondientes al correo electrónico del destino. Ahora correo electrónico del objetivo pasar primero a través del servidor de correo del atacante. Este servidor podría hacer algo más que leer el correo entrante del objetivo, también podría modificar para que contenga hazañas.
. Ampliando Alcance Los grandes países no necesitan preocuparse de ver una víctima individual: las probabilidades son que el tráfico de la víctima pasará una intervención telefónica en un corto período de tiempo. Pero los países más pequeños que deseen utilizar la técnica QUANTUMINSERT necesitan para forzar el tráfico de las víctimas más allá de sus escuchas. Es simplemente una cuestión de comprar el tráfico: Simplemente asegúrese de que las empresas locales (como la línea aérea nacional) tanto anuncian en gran medida y utilizan servidores en el país para la celebración de sus anuncios.Luego, cuando el objetivo deseado ve el anuncio, use la inyección de paquetes para redirigir al servidor exploit, simplemente observar que IP una víctima potencial de llegar de antes de decidir si atacar. Es como un ataque al abrevadero donde el atacante no tiene que dañar el pozo de agua.
***
La única defensa propia de todo lo anterior es la codificación universal. Cifrado Universal es difícil y costoso, pero por desgracia necesario.
El cifrado no se limita a mantener nuestro tráfico a salvo de miradas indiscretas, que nos protege de los ataques. Validación DNSSEC protege DNS de la manipulación, mientras armaduras SSL tanto correo electrónico y tráfico web.
Hay muchos ingeniería y dificultades logísticas involucradas en cifrar todo el tráfico en Internet, pero es uno que debemos superar si queremos defendernos de las entidades que han militarizado la columna vertebral.