2. (Protocolo simple de transferencia de correo)
Es el protocolo estándar que permite la transferencia
de correo de un servidor a otro mediante una
conexión punto a punto.
Éste es un protocolo que funciona en
línea, encapsulado en una trama TCP/IP.
El correo se envía directamente al servidor de correo
del destinatario.
3. El protocolo POP (Protocolo de oficina de correos), como su
nombre lo indica, permite recoger el correo electrónico en un
servidor remoto (servidor POP).
Es necesario para las personas que no están permanentemente
conectadas a Internet, ya que así pueden consultar sus correos
electrónicos recibidos sin que ellos estén conectados.
4. El protocolo SMTP funciona con comandos de
textos enviados al servidor SMTP (al puerto 25 de
manera predeterminada).
A cada comando enviado por el cliente (validado
por la cadena de caracteres ASCII CR/LF, que
equivale a presionar la tecla Enter) le sigue una
respuesta del servidor SMTP compuesta por un
número y un mensaje descriptivo.
5. Existen dos versiones principales de este protocolo, POP2 y POP3, a los
que se le asignan los puertos 109 y 110 respectivamente, y que
funcionan utilizando comandos de texto radicalmente diferentes.
Al igual que con el protocolo SMTP, el protocolo POP (POP2 y POP3)
funciona con comandos de texto enviados al servidor POP.
Cada uno de estos comandos enviados por el cliente (validados por la
cadena CR/LF) está compuesto por una palabra clave, posiblemente
acompañada por uno o varios argumentos, y está seguido por una
respuesta del servidor POP compuesta por un número y un mensaje
descriptivo.
6. El protocolo IMAP (Protocolo de acceso a mensajes de Internet)
Es un protocolo alternativo al de POP3, pero que ofrece más
posibilidades:
IMAP permite administrar diversos accesos de manera simultánea
IMAP permite administrar diversas bandejas de entrada
IMAP brinda más criterios que pueden utilizarse para ordenar los
correos electrónicos
7. Las especificaciones originales de estos protocolos (POP, IMAP y SMTP )
los hacen vulnerables a los ataques pasivos que se producen cuando una
aplicación escucha el tráfico de la red y accede al contenido de los
mensajes, así como a la identificación del usuario: su nombre y
password de acceso. Estos ataques pueden actuar sobre las aplicaciones
de usuario más extendidas como: Netscape, Outlook, Eudora y las de
tipo Web-Mail.
Por otro lado, el protocolo SMTP, en su versión original, no dispone de
mecanismos de autenticación del usuario que envía un mensaje. Esto
permite el uso fraudulento de servidores SMTP por parte de personas
ajenas a la organización, así como el envío de mensajes con remitente
falso.
8. Para paliar estas "deficiencias", se han generalizado mecanismos de
control de acceso a los servidores SMTP basados en la confianza
respecto a clientes locales o en la desconfianza respecto a
determinadas organizaciones "fichadas" como origen de correo
basura. Si bien es cierto que estas medidas han conseguido limitar
el uso fraudulento de los servidores SMTP de las organizaciones por
parte de terceros, no han conseguido evitar el envío de mensajes
falsificados desde el interior de la organización y han dificultado la
utilización del servicio a personas de la organización con necesidad de
desplazarse.
9. En los distintos tipos de ataques informáticos, podríamos
diferenciar:
- ATAQUES ACTIVOS : Producen cambios en la información
y en la situación de los recursos del sistema.
- ATAQUES PASIVOS: Se limitan a registrar el uso de los
recursos y/o a acceder a la información guardada o
transmitida por el sistema.
10.
11. El envío de mensajes con remitentes falsos(“masquerading”)
para tratar de engañar al destinatario o causar un daño en la
reputación del supuesto remitente es otra técnica frecuente de
ataque basado en la suplantación de la identidad de un usuario.
De hecho, muchos virus emplean esta técnica para facilitar su
propagación, al ofrecer información falsa sobre el posible
origen de la infección.
Asimismo, este tipo de ataque es muy utilizado por los
“spammers”, que envían gran cantidad de mensajes de “correo
basura” bajo una identidad falsa.
12. En la actualidad, falsificar mensajes de correo resulta bastante
sencillo porque el protocolo SMTP carece totalmente de
autenticación.
Así, un servidor configurado para aceptar conexiones SMTP en el
puerto 25 podría ser utilizado por un usuario externo a la
organización, empleando los comandos propios del protocolo, para
que envíe mensajes que aparenten tener un origen seleccionado
por el atacante cuando realmente tienen otro distinto.
La dirección de origen puede ser una dirección existente o una
inexistente con el formato adecuado.
13. Permite acceso y explotación de servidores de correo
“ocultos”.
Consiste en una inyección arbitraria de comandos
IMAP/POP3/SMTP a través de aplicaciones de webmail.
14. La técnica MX Injection
Los pasos 1,2y3 representan el camino habitual de una petición del
usuario.
Los pasos 1y2' representan el camino “virtual” que sigue con
MXInjection
15. Los comandos inyectados siguen el protocolo IMAP
IMAP es utilizado en la mayoría de operaciones
Funcionalidades afectadas
Autenticación
Operaciones con buzones (listar, consultar, crear,
eliminar, renombrar)
Operaciones con mensajes (consultar, copiar,
mover, eliminar)
Desconexión
16. Los comandos inyectados siguen el protocolo SMTP
La única funcionalidad afectada es el envió de e-mails
Parámetros a analizar
e-mail del emisor
e-mail del destinatario
asunto
Cuerpo del mensaje
Ficheros anexados
etc.
17. HERRAMIENTAS
Captura de cuentas de usuario y contraseñas
También es posible suplantar la identidad de los usuarios
mediante herramientas que permitan capturar sus contraseñas,
como los programas de software espía o los dispositivos
hardware especializados que permitan registrar todas las
pulsaciones en el teclado de un ordenador (“keyloggers”).
De hecho, es posible localizar soluciones disponibles en el
mercado Como KeyGhost (www.keyghost.com) o Key-
Logg(www.keylogger.com).
18. REQUISITOS
1. Identificar Parámetros Probar casos de uso - Parámetros con valor nulo (p.e.:mailbox=)
- Nombre de buzón inexistente
(p.e.:mailbox=noexiste)
- Añadir otros valores (p.e.:mailbox=INBOX
valor añadido)
- Incluir caracteres inusuales (p.e.:,’@,#)
2. Entender el ámbito de la operación Donde se hace?
Necesitamos los parámetros adecuados
En parámetros susceptibles de ser
utilizadas como parte de comandos
- Si los casos de abuso GENERAN errores no IMAP/SMTP
controlados entonces:
- resulta fácil identificar el comando a atacar
(visualizar el mensaje de error)
- Si los casos de abuso NO generan errores
«reveladores» entonces:
- Inyecciones «a ciegas»
- Requiere analizar la operación