Los expertos en seguridad de Fox-IT han desarrollado un método para detectar el ataque NSA Quantum Insert y han publicado un interesante articulo sobre el mismo.
Los investigadores de seguridad de Fox-IT han desarrollado un método para detectar la actividad de la NSA operado a través de los ataques estilo Quantum Insert.
El equipo de expertos ha publicado las herramientas gratuitas de código abierto para detectar números de secuencia duplicados de paquetes HTTP, con diferentes tamaños de datos, que se asocian con la presencia del ataque Quantum Insert.
Un articulo reciente publicado por Citizen Lab reveló también la existencia de una plataforma de hacking similar, conocido como el Gran Cañón, utilizado por el Gobierno chino.
Es importante tener en cuenta que los expertos de Fox-IT han explicado que la aplicación puede ser eludida.
El Quantum Insert es una técnica de inteligencia de señales de hacking descrita en varios documentos filtrados por el denunciante Edward Snowden, el escenario típico de ataque consiste en un ataque "redirección HTML" que se lleva a cabo mediante la inyección de contenido malicioso en el tráfico de la víctima. El atacante inyecta código malicioso en la sesión TCP de la víctima que se elige en función de diversos factores, como la cookie de seguimiento persistente que permiten a los atacantes identificar a un usuario específico para vigilar. Una vez identificada la sesión de interés relacionada con un usuario específico, el componente shooter inyecta código malicioso en el flujo de datos.
"QUANTUM INSERT es descrito como un ataque de 'redirección de HTML' mediante la inyección de contenido malicioso en una sesión TCP específico. Se selecciona una sesión para inyección basada en '' selectores [3], tales como una cookie de seguimiento persistente que identifica a un usuario durante un período de tiempo más largo.
La inyección se realiza mediante la observación de las peticiones HTTP por medio de escuchas ilegales en el tráfico de red. Cuando se observa un objetivo interesante, otro dispositivo, el tiradoro shooter, es el favorito para enviar un paquete TCP falsificado. Con el fin de elaborar y suplantar este paquete en la sesión existente, la información sobre esta sesión tiene que ser conocida por el shooter. "Se informa en la entrada del blog publicada por Fox-IT.
El shooter analiza la siguiente información de cada paquete TCP contenida en la solicitud HTTP con el fin de modificarlo:
El ataque QUANTUM INSERT sólo puede tener éxito si los paquetes inyectados llegan a la meta antes de que la respuesta del servidor web "legítimo", de esta manera el atacante puede suplantar al servidor web y hackear el objetivo.
"El uso de HTTPS en combinación con HSTS puede reducir la eficacia de QI [Quantum Insert]. También el uso de una red de distribución de contenidos (CDN), que ofrece baja latencia puede hacer que sea muy difícil para el paquete QI ganar la carrera con el servidor real ", afirman investigadores de Fox-IT
Los expertos de Fox-IT crearon una serie de capturas de paquetes (pcaps) que podrían utilizarse para detectar ataques continuos de Quantum Insert, están disponibles en su repositorio GitHub.
Los investigadores de seguridad de Fox-IT han desarrollado un método para detectar la actividad de la NSA operado a través de los ataques estilo Quantum Insert.
El equipo de expertos ha publicado las herramientas gratuitas de código abierto para detectar números de secuencia duplicados de paquetes HTTP, con diferentes tamaños de datos, que se asocian con la presencia del ataque Quantum Insert.
"La detección es posible mediante la búsqueda de paquetes TCP duplicados pero con diferentes payloads, y otras anomalías en flujos TCP", explicó Fox-IT.El ataque Quantum Insert corriendo en cada equipo, es capaz de interceptar el tráfico de la víctima y manipularlo, Snowden ha revelado que la técnica también es adoptada por otras agencias de inteligencia como el GCHQ británico.
Un articulo reciente publicado por Citizen Lab reveló también la existencia de una plataforma de hacking similar, conocido como el Gran Cañón, utilizado por el Gobierno chino.
Es importante tener en cuenta que los expertos de Fox-IT han explicado que la aplicación puede ser eludida.
El Quantum Insert es una técnica de inteligencia de señales de hacking descrita en varios documentos filtrados por el denunciante Edward Snowden, el escenario típico de ataque consiste en un ataque "redirección HTML" que se lleva a cabo mediante la inyección de contenido malicioso en el tráfico de la víctima. El atacante inyecta código malicioso en la sesión TCP de la víctima que se elige en función de diversos factores, como la cookie de seguimiento persistente que permiten a los atacantes identificar a un usuario específico para vigilar. Una vez identificada la sesión de interés relacionada con un usuario específico, el componente shooter inyecta código malicioso en el flujo de datos.
"QUANTUM INSERT es descrito como un ataque de 'redirección de HTML' mediante la inyección de contenido malicioso en una sesión TCP específico. Se selecciona una sesión para inyección basada en '' selectores [3], tales como una cookie de seguimiento persistente que identifica a un usuario durante un período de tiempo más largo.
La inyección se realiza mediante la observación de las peticiones HTTP por medio de escuchas ilegales en el tráfico de red. Cuando se observa un objetivo interesante, otro dispositivo, el tiradoro shooter, es el favorito para enviar un paquete TCP falsificado. Con el fin de elaborar y suplantar este paquete en la sesión existente, la información sobre esta sesión tiene que ser conocida por el shooter. "Se informa en la entrada del blog publicada por Fox-IT.
El shooter analiza la siguiente información de cada paquete TCP contenida en la solicitud HTTP con el fin de modificarlo:
- Fuente y dirección IP de destino
- Puerto de origen y destino
- Secuencia y números del Acknowledge
El ataque QUANTUM INSERT sólo puede tener éxito si los paquetes inyectados llegan a la meta antes de que la respuesta del servidor web "legítimo", de esta manera el atacante puede suplantar al servidor web y hackear el objetivo.
"El uso de HTTPS en combinación con HSTS puede reducir la eficacia de QI [Quantum Insert]. También el uso de una red de distribución de contenidos (CDN), que ofrece baja latencia puede hacer que sea muy difícil para el paquete QI ganar la carrera con el servidor real ", afirman investigadores de Fox-IT
Los expertos de Fox-IT crearon una serie de capturas de paquetes (pcaps) que podrían utilizarse para detectar ataques continuos de Quantum Insert, están disponibles en su repositorio GitHub.
