Errepikapen bidezko eraso

Informatika erasotzailearen testuinguruan, errepikapen bidezko erasoa edo erantzun erasoa sare eraso gisa sailkatuta dago, non baliabide batera atzipena izateko sarrera kredentzialak bahitzean eta horiek berrerabiltzean datza. Kredentzial hauek testuinguruaren araberakoak dira, beraz errepikapen eraso mota desberdinak bereiz daitezke. Horiek erabilitako prozeduraren arabera desberdin daitezke.

Errepikapen bidezko erasoa bitartekarien bidezko erasoarekin oso lotuta dago. Izan ere, erasoaren exekuzio sekuentziaren zati da.

Erasotzaile bakoitzak helburu desberdin batekin exekutatzen du eraso bat, baina guztiek dute amankomunean arrakasta lortu nahi izatea. Azpimarratzekoa da eraso honen arrakasta, bahitutako kredentzialen garrantzi mailaren araberakoa izango dela. Hain zuzen ere, horiek berrerabiltzerakoan atzigarri dauden baliabideak sistemaren baliabide-politiken esku baitaude.

Komunikazioaren entitateak

[aldatu | aldatu iturburu kodea]

Komunikazio arrunt batean bi entitate printzipal egoten dira, igorlea eta hartzailea. Igorlea hartzailearekin komunikatu nahi da informazioa helarazteko edo eskuratzeko. Hartzailea aldiz, berarekin komunikatzen ari den entitateari erantzun bat ematen dio egoeraren arabera. Komunikazio hau aurrera eramateko, komunikazio prozedura formal bat zehazten da. Honi protokolo deritzo eta estandarizatuak daude errepikapen bidezko eraso motak saihestearren. Adibidearen atalean, Alice, Bob eta Evek parte hartzen duten kasua azalduko dugu.

Adibidea

[aldatu | aldatu iturburu kodea]
Hona hemen errepikapen erasoaren grafikoa

Alicek bere nortasuna frogatu nahi dio Bobiri. Bobek pasahitza eskatzen du nortasun-froga gisa eta Alicek Bobek ezarritako aginduak jarraituz agiria bidaltzen dio (segur aski pasahitza hasheatu ondoren). Bitartean Eve, Alicek eta Bobek duten elkarrizketa zelatatzen ari da eta pasahitza (edo hash-a) eskuratzen du. Behin trukea bukatuta, Eve Bobekin konektatzea eskatzen du. Bobek identitate froga eskatzen dionean, Evek Aliceren kredentzialak bidaliko dizkio. Ondorioz, Bobek Alicekin hitz egiten dagoela usten duen bitartean,  Evek baimena ez duen erabiltzaile/makina batekin komunikatzea lortzen du.

Eraso Motak Testuinguruan

[aldatu | aldatu iturburu kodea]

Errepikapen bidezko erasoak mota askotakoak izan daitezke. Zibersegurtasunaren arloan, erasoak testuinguru teknologikoaren arabera sailkatzen dira horiek. Hona hemen errepikapen bidezko eraso ezagunenak:

  • JWT errepikapen bidezko erasoa (JSON Web Token): Erasotzaileak JWT bat atzematen du saioaren hasieran, eta berriz erabiltzen du sistemara baimenik gabe sartzeko.
  • Cookie errepikapen bidezko erasoa: Eraso mota honetan, erasotzaileak saio cookie batez baliatzen da  erabiltzaile batek web-aplikazio batean duen kontura sarrera lortzeko.
  • Kerberos errepikapen bidezko erasoa: Eraso hau Kerberos kautotze-protokoloaren zaurgarritasunean oinarritzen da. Erasotzaileak erabiltzaile baten Kerberos tokenak bahitu eta berrerabiltzen ditu baimenik gabeko baliabideetara sarrera lortzeko.
  • Nonce errepikapen bidezko erasoa: Erasotzaileek kriptografia protokoloen nonceak eraldatzen dituzte segurtasun mekanismoak saihesteko bahimenik gabeko ekintzak exekutatzearren.
  • SAMLen errepikapen-erasoa (Security Assertion Markup Language): JWTen erasoen antzekoa, erasotzaile batek atzitu egiten du eta SAML tokenak berrerabiltzen ditu web-aplikazioetarako baimenik gabeko sarbidea lortzeko.
  • Pasahitzen Errepikapen Erasoa: Erasotzaile batek transmisio batean pasahitz bat atzematen du eta sisteman sartzeko berrerabiltzen du. Hori bereziki arriskutsua izan daiteke pasahitzak testu argiz bidaltzen badira edo transmisiorako protokolo segururik erabiltzen ez bada.
  • Hash-en Errepikapen Erasoa: Pasahitzen erasoaren antzekoa, baina kasu honetan, erasotzaile batek pasahitzaren hash bat (pasahitzaren balio zifratua) atzeman eta sisteman sartzeko berrerabiltzen du. Sistemak "salting" egokia erabiltzen ez badu (pasahitzei ausazko datuak gehitu hasheatu aurretik), hash errepikatuak jomuga erraza izan daitezke erasotzaileentzat.

Oinarrizko teknologiak

[aldatu | aldatu iturburu kodea]

Sistema informatiko guztien atzean teknologia mota desberdinak bereiz daitezke. Aurkeztutako eraso mota ulertzeko, ezinbestekoa da biktimen ingurune teknologikoaren oinarriak ezagutzea.

Kanalaren konfigurazioa

[aldatu | aldatu iturburu kodea]

Sistemako entitateek beraien artean komunikatzeko erabiltzen duten kanalaren konfigurazioari egiten dio erreferentzia. Erabilitako zerbitzu nahiz kanal fisikoak barneratzen ditu. Errepikapen bidezko erasoan eragina izango duten datu-estruktura eta zifraketa konfigurazioa ezartzen dira hemen. Transmitituko diren datuen garrantziaren (pasahitzak, mezu arruntak, kode bereziak, etab) araberakoa izango da konfigurazioaren sendotasuna, segurtasunaren eta eraginkortasunaren arteko oreka bilatzerarren.

Kautotzea / Erabiltzaile identifikazio konfigurazioa

[aldatu | aldatu iturburu kodea]

Erreferentzia egiten dio sistemako entitateek komunikaziorako erabilitako protokoloek nola baliozkotzen duten erabiltzaileek benetan diotenak direla. Erabiltzen diren kredentzialen nahiz kautotze-protokolo segurtasun maila da. Ez bakarrik konexioa ezartzerakoan baizik eta informazio/sistemari sarrera ematerakoan ere. Errepikapen bidezko erasoek hauen zaurgarritasunak ustiatzen dituzte pasahitz, erabiltzaile edo bestelako informazioa behin bahituta beste erabiltzaileak ordezkatzeko.

Eraso mugak

[aldatu | aldatu iturburu kodea]

Errepikapen bidezko erasoak aurrera eramatea ez da lan erraza. Ondorioz, eraso honen mugak lortu daitekeen arrakastan islatzen dira.

Bi arrakasta bereiz daitezke. Batetik erasoaren exekuzioaren arrakasta eta bestetik, eraso helburuaren arraskasta.

Exekuzioaren arrakastari dagokionez, entitateen arteko komunikazio konfigurazioaren esku dago. Konfigurazioa bi alderditan hain zuzen ere.

Esku batean aurretik aipatutako kanalaren konfigurazio segurtasuna. Honek segurtasun ezaugarri batzuk zuzen konfiguratuta izatekotan, kredentzial bahiketa saihesten da. Ondorioz, erasoa ezin da aurrera eraman.

Bestean, azaldutako kautotzea dago. Honen konfigurazio sendoak eragin dezake erasotzaileak kredentzialak eskuratu arren, berrerabiltzean arrakasta ez izatea.

Helburuaren arrakastari dagokionez, bahitutako kredentzialen garrantziari loturik dago. Hau da, behin exekuzioaren arrakasta lortuta, gerta daiteke kaltetutako erabiltzailearen baimenak oso murriztuak izatea. Honek eragiten du erasoa partzialki arrakastatsua izatea, erabiltzaile bat urratu delako baina ez da garrantzizko informaziorik ezta goi mailako baimeneko exekuziorik lortu.

Eraso sanitizazioak

[aldatu | aldatu iturburu kodea]

Behin errepikapen bidezko erasoen oinarriak eta prozedura azaldu direla, hauen sanitizazioan sakondu behar da. Horretarako, sistema babesleen hainbat ikuspuntu (zibersegurtasun oinarriak, eraso kontingentzia, etab) jorratuz, sanitizazio aukera nagusiak aurkezten dira.

Komunikazio protokolo kautotze sanitizazioa

[aldatu | aldatu iturburu kodea]

Errepikapen bidezko erasoen oinarrizko exekuzioa saihestean datza. Hau da, kredentzial bahiketa eman arren, horien berrerabilpena ekiditea bilatzen da erabiltzaile identifikazio sendoa erabiliz. Oinarrizkoak dira 2FA metodoak edo token bidezko login-ak web testuinguruan nahiz makina entitate arteko komunikazioko nonce edo MAC sanitizazio metodoak enpresa testuinguran.

Komunikazio protokolo konfideltzialtasun sanitizazioa

[aldatu | aldatu iturburu kodea]

Gaur egun protokolo gehienek jada erabiltzen duten zifraketan ardazten dira. Enpresa sare sistemetan egoten da arazoa bereziki. Enpresako gailu desberdinak osatzen duten sarea eraikitzerakoan konfiguratzen dira zifraketa metodoak, badaude kasu batzuk non zifraketa metodoak erabiltzen ez diren, barne sareak segurutzat hartzen direlako. Denbora pasa ahala erabilitako protokoloak ez dira eguneratzen haien zifraketa metodoak zaurgarriak bihurtuz. Hori dela eta, protokolo hauen zifraketa sendotasuna aztertzen eta eguneratzen duten scriptak exekutatzea gomendagarria da sanitizazio gisa. Errepikapen bidezko erasoen kredentzial bahiketa saihesten ez duten arren, erasotzaileentzat pasahitz nahiz bestelako informazio kritikoa irakurtezina izatea lortzen du, erasoaren irismena nabarmen mugatuz.

Sistema estruktura segurtasun sanitizazioak

[aldatu | aldatu iturburu kodea]

Sistemen kudeaketaren oinarriekin lotutako sanitizazioak dira. Nabarmentzekoak dira:

  • Pasahitz sendoen erabilera, hauen puskatzea saihestearren.
  • Erabiltzaile baimenen kontrol hierarkikoa, kredentzialak bahituak badira erasoaren kalte irismena mugatzeko.
  • Kautotze-protokolo aurreratuen erabilera, 2FA modukoak.

Kanpo estekak

[aldatu | aldatu iturburu kodea]

https://es.wikipedia.org/wiki/Ataque_de_REPLAY

https://en.wikipedia.org/wiki/Replay_attack

https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html?n=97.html

https://www.dit.upm.es/~pepe/401/index.html#!1827

https://www.cybavo.com/es/glossary/replay-attack/

https://ayudaleyprotecciondatos.es/2022/08/30/sanitizacion-informacion/

https://es.wikipedia.org/wiki/Autenticación

https://es.wikipedia.org/wiki/Sistema_informático

https://micrositios.inai.org.mx/marcocompetencias/?page_id=372

https://www.microsoft.com/es-es/security/business/security-101/what-is-two-factor-authentication-2fa

https://www.imagar.com/blog-desarrollo-web/que-es-el-protocolo-en-informatica/

https://www.silverfort.com/es/glossary/credential-theft/