28 de abril de 2015

CIBERESPIONAJE. Cómo detectar los ataques “Quantum Insert” de la NSA

Una de las técnicas utilizadas por la NSA para espiar a los usuarios es la conocida como “Quantum Insert“, técnica que se empezó a utilizar en 2005 por la NSA americana y por la GCHQ británica para realizar ataques, romper la seguridad de los sistemas e introducir malware en ellos.
Cómo funcionan los ataques “Quantum Insert” de la NSA
  • El funcionamiento de esta técnica de ataque se puede resumir de forma sencilla como una “redirección”. Cuando el usuario está visitando una página web, un servidor intermedio lanza un paquete malicioso que hace que el ordenador cambie la ruta de la web original que estaba visitando y cambie todo el tráfico hacia un nuevo servidor especificando en el paquete.
  • Este servidor, al establecer conexión con el ordenador de la víctima puede enviar malware o monitorizar toda la actividad, incluso copiar todos los paquetes en una base de datos y redirigir el tráfico a la web que se estaba visitando originalmente, quedando la conexión comprometida pero siendo complicado de detectar.
  • A continuación podemos ver in vídeo resumen sobre el funcionamiento de esta técnica  ( http://www.youtube.com/watch?v=ZG5FMDUWVoA )
Cómo detectar los ataques “Quantum Insert”
  • Gracias a un documento también filtrado por Edward Snowden ha sido posible estudiar esta técnica de ataque y encontrar una forma de detectarla.
  • A la vez que el servidor falso nos envía un paquete con la dirección falsa del servidor, el servidor original envía igualmente un paquete original. Ambos paquetes tendrán la misma secuencia, aunque el contenido de los paquetes ACK cambiará y la dirección web del servidor hacia el que hay que redirigir el tráfico será diferente en ambos paquetes.
  • Analizando estos paquetes se podría saber si nuestra conexión está siendo comprometida por la NSA, otra organización o algún pirata informático que hace uso de la técnica Quantum Insert. Si por cualquier motivo la web envía dos paquetes de conexión, estos serán iguales y el navegador web debería saber compararlos y clasificarlos como correctos. Para identificar, e incluso bloquear esta técnica simplemente se deberían controlar las respuestas de los servidores a los que accedemos, especialmente cuando recibimos dos paquetes de respuesta aparentemente iguales.
Fuente: Wired