PROTOCOLOS

SMTP – POP - IMAP

PROTOCOLO SMTP (Protocolo simple de transferencia de

correo) Es el protocolo estándar que permite la

transferencia de correo de un servidor a otro

mediante una conexión punto a punto.

Éste es un protocolo que funciona en línea,

encapsulado en una trama TCP/IP.

El correo se envía directamente al servidor

de correo del destinatario.

PROTOCOLO POPEl protocolo POP (Protocolo de oficina de correos),

como su nombre lo indica, permite recoger el correo

electrónico en un servidor remoto (servidor POP).

Es necesario para las personas que no están

permanentemente conectadas a Internet, ya que así

pueden consultar sus correos electrónicos recibidos sin

que ellos estén conectados.

El protocolo SMTP funciona con

comandos de textos enviados al servidor

SMTP (al puerto 25 de manera

predeterminada).

A cada comando enviado por el cliente

(validado por la cadena de caracteres

ASCII CR/LF, que equivale a presionar la

tecla Enter) le sigue una respuesta del

servidor SMTP compuesta por un número

y un mensaje descriptivo.

Existen dos versiones principales de este protocolo, POP2 y

POP3, a los que se le asignan los puertos 109 y 110

respectivamente, y que funcionan utilizando comandos de texto

radicalmente diferentes.

Al igual que con el protocolo SMTP, el protocolo POP (POP2 y

POP3) funciona con comandos de texto enviados al servidor POP.

Cada uno de estos comandos enviados por el cliente (validados

por la cadena CR/LF) está compuesto por una palabra clave,

posiblemente acompañada por uno o varios argumentos, y está

seguido por una respuesta del servidor POP compuesta por un

número y un mensaje descriptivo.

PROTOCOLO IMAP

El protocolo IMAP (Protocolo de acceso a mensajes de

Internet)

Es un protocolo alternativo al de POP3, pero que ofrece

más posibilidades:

IMAP permite administrar diversos accesos de manera

simultánea

IMAP permite administrar diversas bandejas de entrada

IMAP brinda más criterios que pueden utilizarse para

ordenar los correos electrónicos

VULNERABILIDADES

Las especificaciones originales de estos protocolos (POP, IMAP y

SMTP ) los hacen vulnerables a los ataques pasivos que se

producen cuando una aplicación escucha el tráfico de la red y

accede al contenido de los mensajes, así como a la identificación

del usuario: su nombre y password de acceso. Estos ataques

pueden actuar sobre las aplicaciones de usuario más extendidas

como: Netscape, Outlook, Eudora y las de tipo Web-Mail.

 

Por otro lado, el protocolo SMTP, en su versión original, no

dispone de mecanismos de autenticación del usuario que envía

un mensaje. Esto permite el uso fraudulento de servidores SMTP

por parte de personas ajenas a la organización, así como el

envío de mensajes con remitente falso.  

 

Para paliar estas "deficiencias", se han generalizado

mecanismos de control de acceso a los servidores SMTP

basados en la confianza respecto a clientes locales o en la

desconfianza respecto a determinadas organizaciones

"fichadas" como origen de correo basura. Si bien es cierto

que estas medidas han conseguido limitar el uso fraudulento

de los servidores SMTP de las organizaciones por parte de

terceros, no han conseguido evitar el envío de mensajes

falsificados desde el interior de la organización y han dificultado

la utilización del servicio a personas de la organización con

necesidad de desplazarse.

TIPOS DE ATAQUES E INTRUSOS EN LAS

REDES INFORMÁTICASEn los distintos tipos de ataques informáticos,

podríamos diferenciar:

- ATAQUES ACTIVOS : Producen cambios en la

información y en la situación de los recursos del

sistema.

- ATAQUES PASIVOS: Se limitan a registrar el uso de

los recursos y/o a acceder a la información

guardada o transmitida por el sistema.

ATAQUES AL PROTOCOLO SMTP

SMTP Spoofing

El envío de mensajes con remitentes

falsos(“masquerading”) para tratar de engañar al

destinatario o causar un daño en la reputación del

supuesto remitente es otra técnica frecuente de

ataque basado en la suplantación de la identidad de un

usuario.

De hecho, muchos virus emplean esta técnica para

facilitar su propagación, al ofrecer información falsa

sobre el posible origen de la infección.

Asimismo, este tipo de ataque es muy utilizado por los

“spammers”, que envían gran cantidad de mensajes de

“correo basura” bajo una identidad falsa.

En la actualidad, falsificar mensajes de correo resulta

bastante sencillo porque el protocolo SMTP carece

totalmente de autenticación.

Así, un servidor configurado para aceptar conexiones SMTP

en el puerto 25 podría ser utilizado por un usuario externo a

la organización, empleando los comandos propios del

protocolo, para que envíe mensajes que aparenten tener un

origen seleccionado por el atacante cuando realmente

tienen otro distinto.

La dirección de origen puede ser una dirección existente o

una inexistente con el formato adecuado.

MXInjection

Permite acceso y explotación de servidores de correo

“ocultos”.

Consiste en una inyección arbitraria de comandos

IMAP/POP3/SMTP a través de aplicaciones de webmail.

La técnica MX Injection

Los pasos 1,2y3 representan el camino habitual de una petición del usuario.Los pasos 1y2' representan el camino “virtual” que sigue con MXInjection

IMAP InjectionLos comandos inyectados siguen el protocolo

IMAP

IMAP es utilizado en la mayoría de

operaciones

Funcionalidades afectadas

Autenticación

Operaciones con buzones (listar, consultar,

crear, eliminar, renombrar)

Operaciones con mensajes (consultar, copiar,

mover, eliminar)

Desconexión

SMTP Injection

Los comandos inyectados siguen el protocolo SMTP

La única funcionalidad afectada es el envió de e-mails

Parámetros a analizar

e-mail del emisor

e-mail del destinatario

asunto

Cuerpo del mensaje

Ficheros anexados

etc.

HERRAMIENTAS

Captura de cuentas de usuario y

contraseñas

También es posible suplantar la identidad de los usuarios

mediante herramientas que permitan capturar sus

contraseñas, como los programas de software espía o los

dispositivos hardware especializados que permitan

registrar todas las pulsaciones en el teclado de un

ordenador (“keyloggers”).

De hecho, es posible localizar soluciones disponibles en

el mercado Como KeyGhost (www.keyghost.com) o Key-

Logg(www.keylogger.com).

COMO SE GENERA UN ATAQUEREQUISITOS1. Identificar Parámetros

2. Entender el ámbito de la operación

Probar casos de uso

- Parámetros con valor nulo (p.e.:mailbox=)

- Nombre de buzón inexistente (p.e.:mailbox=noexiste)

- Añadir otros valores (p.e.:mailbox=INBOX valor añadido)

- Incluir caracteres inusuales (p.e.:\,’@,#)

Donde se hace?

En parámetros susceptibles de ser utilizadas como parte de comandos IMAP/SMTP

Necesitamos los parámetros adecuados

- Si los casos de abuso GENERAN errores no controlados entonces:

- resulta fácil identificar el comando a

atacar (visualizar el mensaje de error)

- Si los casos de abuso NO generan errores «reveladores» entonces:

- Inyecciones «a ciegas»- Requiere analizar la operación

http://insecure.org/tools/tools-es.html

http://fmc.axarnet.es/serv_internet/iis_5/tema-03/tema_03-3a.htm

http://blog.jmacoe.com/miscelanea/seguridad/seguridad-servidores-smtp/

http://es.kioskea.net/contents/internet/smtp.php3

Artículo: La seguridad en el transporte del correo.Borja Pérez OñatePascual Pérez Sánchez

TIPOS DE ATAQUES E INTRUSOS EN LASREDES INFORMÁTICASÁlvaro Gómez Vieitesagomez@simce.comProfesor de la Escuela de Negocios Caixanova

BIBLIOGRAFIA/CIBERGRAFIA