Hace ya dos años que Edward Snowden publicó en la red una serie de documentos que demostraban un programa de espionaje a nivel mundial por parte del gobierno de los Estados Unidos a todos los usuarios que hicieran uso de Internet o de la telefonía. Aunque han cambiado muchas cosas en estos dos años, la NSA aún sigue espiando a los usuarios, creando nuevas puertas traseras e intentando eliminar la privacidad de todas las conexiones de los usuarios.
Una de las técnicas utilizadas por la NSA para espiar a los usuarios es la conocida como «Quantum Insert«, técnica que se empezó a utilizar en 2005 por la NSA americana y por la GCHQ británica para realizar ataques, romper la seguridad de los sistemas e introducir malware en ellos.
Cómo funcionan los ataques «Quantum Insert» de la NSA
El funcionamiento de esta técnica de ataque se puede resumir de forma sencilla como una «redirección». Cuando el usuario está visitando una página web, un servidor intermedio lanza un paquete malicioso que hace que el ordenador cambie la ruta de la web original que estaba visitando y cambie todo el tráfico hacia un nuevo servidor especificando en el paquete.
Este servidor, al establecer conexión con el ordenador de la víctima puede enviar malware o monitorizar toda la actividad, incluso copiar todos los paquetes en una base de datos y redirigir el tráfico a la web que se estaba visitando originalmente, quedando la conexión comprometida pero siendo complicado de detectar.
A continuación podemos ver in vídeo resumen sobre el funcionamiento de esta técnica.
Cuando más cerca esté el servidor malicioso más fácil será llevar a cabo el ataque.
Cómo detectar los ataques «Quantum Insert»
Gracias a un documento también filtrado por Edward Snowden ha sido posible estudiar esta técnica de ataque y encontrar una forma de detectarla.
A la vez que el servidor falso nos envía un paquete con la dirección falsa del servidor, el servidor original envía igualmente un paquete original. Ambos paquetes tendrán la misma secuencia, aunque el contenido de los paquetes ACK cambiará y la dirección web del servidor hacia el que hay que redirigir el tráfico será diferente en ambos paquetes.
Analizando estos paquetes se podría saber si nuestra conexión está siendo comprometida por la NSA, otra organización o algún pirata informático que hace uso de la técnica Quantum Insert. Si por cualquier motivo la web envía dos paquetes de conexión, estos serán iguales y el navegador web debería saber compararlos y clasificarlos como correctos. Para identificar, e incluso bloquear esta técnica simplemente se deberían controlar las respuestas de los servidores a los que accedemos, especialmente cuando recibimos dos paquetes de respuesta aparentemente iguales.
¿Qué opinas de las técnicas utilizadas por la NSA para espiar a los usuarios?
Fuente: Wired