Post on 23-Jun-2015
PROTOCOLOS
SMTP – POP - IMAP
PROTOCOLO SMTP (Protocolo simple de transferencia de
correo) Es el protocolo estándar que permite la
transferencia de correo de un servidor a otro
mediante una conexión punto a punto.
Éste es un protocolo que funciona en línea,
encapsulado en una trama TCP/IP.
El correo se envía directamente al servidor
de correo del destinatario.
PROTOCOLO POPEl protocolo POP (Protocolo de oficina de correos),
como su nombre lo indica, permite recoger el correo
electrónico en un servidor remoto (servidor POP).
Es necesario para las personas que no están
permanentemente conectadas a Internet, ya que así
pueden consultar sus correos electrónicos recibidos sin
que ellos estén conectados.
El protocolo SMTP funciona con
comandos de textos enviados al servidor
SMTP (al puerto 25 de manera
predeterminada).
A cada comando enviado por el cliente
(validado por la cadena de caracteres
ASCII CR/LF, que equivale a presionar la
tecla Enter) le sigue una respuesta del
servidor SMTP compuesta por un número
y un mensaje descriptivo.
Existen dos versiones principales de este protocolo, POP2 y
POP3, a los que se le asignan los puertos 109 y 110
respectivamente, y que funcionan utilizando comandos de texto
radicalmente diferentes.
Al igual que con el protocolo SMTP, el protocolo POP (POP2 y
POP3) funciona con comandos de texto enviados al servidor POP.
Cada uno de estos comandos enviados por el cliente (validados
por la cadena CR/LF) está compuesto por una palabra clave,
posiblemente acompañada por uno o varios argumentos, y está
seguido por una respuesta del servidor POP compuesta por un
número y un mensaje descriptivo.
PROTOCOLO IMAP
El protocolo IMAP (Protocolo de acceso a mensajes de
Internet)
Es un protocolo alternativo al de POP3, pero que ofrece
más posibilidades:
IMAP permite administrar diversos accesos de manera
simultánea
IMAP permite administrar diversas bandejas de entrada
IMAP brinda más criterios que pueden utilizarse para
ordenar los correos electrónicos
VULNERABILIDADES
Las especificaciones originales de estos protocolos (POP, IMAP y
SMTP ) los hacen vulnerables a los ataques pasivos que se
producen cuando una aplicación escucha el tráfico de la red y
accede al contenido de los mensajes, así como a la identificación
del usuario: su nombre y password de acceso. Estos ataques
pueden actuar sobre las aplicaciones de usuario más extendidas
como: Netscape, Outlook, Eudora y las de tipo Web-Mail.
Por otro lado, el protocolo SMTP, en su versión original, no
dispone de mecanismos de autenticación del usuario que envía
un mensaje. Esto permite el uso fraudulento de servidores SMTP
por parte de personas ajenas a la organización, así como el
envío de mensajes con remitente falso.
Para paliar estas "deficiencias", se han generalizado
mecanismos de control de acceso a los servidores SMTP
basados en la confianza respecto a clientes locales o en la
desconfianza respecto a determinadas organizaciones
"fichadas" como origen de correo basura. Si bien es cierto
que estas medidas han conseguido limitar el uso fraudulento
de los servidores SMTP de las organizaciones por parte de
terceros, no han conseguido evitar el envío de mensajes
falsificados desde el interior de la organización y han dificultado
la utilización del servicio a personas de la organización con
necesidad de desplazarse.
TIPOS DE ATAQUES E INTRUSOS EN LAS
REDES INFORMÁTICASEn los distintos tipos de ataques informáticos,
podríamos diferenciar:
- ATAQUES ACTIVOS : Producen cambios en la
información y en la situación de los recursos del
sistema.
- ATAQUES PASIVOS: Se limitan a registrar el uso de
los recursos y/o a acceder a la información
guardada o transmitida por el sistema.
ATAQUES AL PROTOCOLO SMTP
SMTP Spoofing
El envío de mensajes con remitentes
falsos(“masquerading”) para tratar de engañar al
destinatario o causar un daño en la reputación del
supuesto remitente es otra técnica frecuente de
ataque basado en la suplantación de la identidad de un
usuario.
De hecho, muchos virus emplean esta técnica para
facilitar su propagación, al ofrecer información falsa
sobre el posible origen de la infección.
Asimismo, este tipo de ataque es muy utilizado por los
“spammers”, que envían gran cantidad de mensajes de
“correo basura” bajo una identidad falsa.
En la actualidad, falsificar mensajes de correo resulta
bastante sencillo porque el protocolo SMTP carece
totalmente de autenticación.
Así, un servidor configurado para aceptar conexiones SMTP
en el puerto 25 podría ser utilizado por un usuario externo a
la organización, empleando los comandos propios del
protocolo, para que envíe mensajes que aparenten tener un
origen seleccionado por el atacante cuando realmente
tienen otro distinto.
La dirección de origen puede ser una dirección existente o
una inexistente con el formato adecuado.
MXInjection
Permite acceso y explotación de servidores de correo
“ocultos”.
Consiste en una inyección arbitraria de comandos
IMAP/POP3/SMTP a través de aplicaciones de webmail.
La técnica MX Injection
Los pasos 1,2y3 representan el camino habitual de una petición del usuario.Los pasos 1y2' representan el camino “virtual” que sigue con MXInjection
IMAP InjectionLos comandos inyectados siguen el protocolo
IMAP
IMAP es utilizado en la mayoría de
operaciones
Funcionalidades afectadas
Autenticación
Operaciones con buzones (listar, consultar,
crear, eliminar, renombrar)
Operaciones con mensajes (consultar, copiar,
mover, eliminar)
Desconexión
SMTP Injection
Los comandos inyectados siguen el protocolo SMTP
La única funcionalidad afectada es el envió de e-mails
Parámetros a analizar
e-mail del emisor
e-mail del destinatario
asunto
Cuerpo del mensaje
Ficheros anexados
etc.
HERRAMIENTAS
Captura de cuentas de usuario y
contraseñas
También es posible suplantar la identidad de los usuarios
mediante herramientas que permitan capturar sus
contraseñas, como los programas de software espía o los
dispositivos hardware especializados que permitan
registrar todas las pulsaciones en el teclado de un
ordenador (“keyloggers”).
De hecho, es posible localizar soluciones disponibles en
el mercado Como KeyGhost (www.keyghost.com) o Key-
Logg(www.keylogger.com).
COMO SE GENERA UN ATAQUEREQUISITOS1. Identificar Parámetros
2. Entender el ámbito de la operación
Probar casos de uso
- Parámetros con valor nulo (p.e.:mailbox=)
- Nombre de buzón inexistente (p.e.:mailbox=noexiste)
- Añadir otros valores (p.e.:mailbox=INBOX valor añadido)
- Incluir caracteres inusuales (p.e.:\,’@,#)
Donde se hace?
En parámetros susceptibles de ser utilizadas como parte de comandos IMAP/SMTP
Necesitamos los parámetros adecuados
- Si los casos de abuso GENERAN errores no controlados entonces:
- resulta fácil identificar el comando a
atacar (visualizar el mensaje de error)
- Si los casos de abuso NO generan errores «reveladores» entonces:
- Inyecciones «a ciegas»- Requiere analizar la operación
http://insecure.org/tools/tools-es.html
http://fmc.axarnet.es/serv_internet/iis_5/tema-03/tema_03-3a.htm
http://blog.jmacoe.com/miscelanea/seguridad/seguridad-servidores-smtp/
http://es.kioskea.net/contents/internet/smtp.php3
Artículo: La seguridad en el transporte del correo.Borja Pérez OñatePascual Pérez Sánchez
TIPOS DE ATAQUES E INTRUSOS EN LASREDES INFORMÁTICASÁlvaro Gómez Vieitesagomez@simce.comProfesor de la Escuela de Negocios Caixanova
BIBLIOGRAFIA/CIBERGRAFIA