China lleva a cabo ataque MiTM sobre usuarios de Google

0

China lanza ataques MiTM contra usuarios de GoogleLa web de Google, junto con los servicios ofrecidos por esta compañía (maps, shopping, etc) están bloqueados por el gobierno Chino, debido a la censura impuesta. Sin embargo, bloquear una página como Google en China es algo retrógrado y contraproducente incluso para el gobierno chino, por lo que permiten el acceso a Google desde el CERNET, pero guárdandose un as bajo la manga.

¿Qué es el CERNET?

Se trata de la Red de Investigación y Educación de China.Pero lo que temen muchos expertos es que este cambio en la política del gobierno chino traiga consecuencias inesperadas para los ciudadanos que visiten el portal, ya que presuntamente se estaría monitorizando el tráfico entre este y la red. Es lo que apunta la organización sin ánimo de lucro GreatFire. 

Y el caso es que la mayoría de usuarios del CERNET han notificado haber visto avisos de errores en Certificados Digitales SSL al tratar de acceder a Google.com y Google.com.hk.  Esto sugiere que las autoridades chinas están utilizando suplantación de Certificados para realizar ataques MiTM (Man on the Middle) que les permiten capturar paquetes y leer los datos enviados.

Certificados inválidos en ordenadores chinos debido a un ataque MiTM del gobierno

En la imagen podéis ver una muestra remitida sobre lo que está ocurriendo, siendo causada por un ataque Man in the Middle (interceptación) GreatFire comenta lo siguiente:

Mientras la autoridades han bloqueado acceso a los principales servicios de Google desde el 4 de Junio, han mantenido sus manos apartadas del CERNET, el Centro más grande de investigación de china. Sin embargo, en los últimos días y cuando nos acercamos a la nueva temporada escolar, hemos comprobado cómo el gobierno chino ha lanzado un ataque man-in-the-middle a escala masiva contra Google.

En lugar de simplemente bloquear el acceso a Google, cosa que habría irritado profundamente a los estudiantes, educadores e investigadores chinos, las autoridades han decidido que este tipo de ataque les proporciona todo lo que necesitan: control sobre las informaciones (pudiendo bloquear contenidos específicos a los estudiantes) y satisfacción de las partes.

Ataques MiTM sobre usuarios de Google

La tésis sostenida por GreatFire (ya que el gobierno chino es propenso a negarlo todo) ha sido refutada por una empresa de seguridad llamada Netresec, que ha analizado varios de los paquetes protagonistas del ataque MiTM, confirmando como culpable al gobierno chino. Dicha empresa, en referencia al ataque de interceptación ocurrido, precisa lo siguiente:

Es difícil decir exactamente como se ha llevado a cabo dicho ataque, pero podemos descartar DNS Spoofing (secuestro de DNS) como el método elegido. Un método más problable sería el secuestro de IP (IP Hijacking), quizá mediante una inyección de paquete BGP u otra forma de inyección de paquete manipulado.

Información obtenida sobre las direcciones interceptadas

En cualquier caso, se ha comprobado que la efectividad del ataque es total y se está interceptando todo el tráfico originado entre Google y el CERNET.

Los paquetes capturados contienen tráfico IPv6, ya que el CERNET usa dicho protocolo. Ambas direcciones aparentan ser legítimas, la primera desde la Universidad de Pekin (nombre de red PKU6-CERNET2) y la segunda desde la Universidad de Chongqing (CQU6-CERNET2)

No es la primera vez que el gobierno chino lleva a cabo conductas de este tipo. En Enero de 2013, usuarios de GitHub en China informaron de mensajes de certificados inválidos.

Valora y comparte!

  • User Ratings (1 Votes)
    8.4
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR