Seguridad SSLStrip

editado junio 2009 en Seguridad Web
Hola!

¿Quien de nosotros escribe https en el navegador para llegar a una pagina?

Apuesto a que ninguno lo hacemos.

¿Como llega la gente normalmente a una pagina https pues?

A traves de enlaces o de redirecciones (302).

Bien, aqui entra en juego SSLStrip, una herramienta que automatiza el proceso de realizar un ataque MitM contra estos 2 tipos de llegada a una conexion SSL.

En otras palabras, atacaremos la conexion http en lugar de la conexion https...

Musica maestro.

Primero un screenshot con la configuracion de la victima:

wadal0.jpg

Bien. El atacante deberia comenzar el ataque asi:


wadal0b.jpg

Con el primer comando activamos el forwarding.

El segundo comando es una regla de iptables que redirige todo el trafico del puerto 80 al 10000.

Puede ser otro, siempre que seamos coherentes y se lo digamos a sslstrip en el tercer comando que aparece en la captura.

Llamando asi a sslstrip, la victima no recibe ninguna advertencia de certificado y ademas el favicon es un candado, con lo cual la posibilidad de engaño es mayor.

Bien, ahora tenemos que lanzar un ataque de ARP-poisoning. Yo he elegido ettercap.


wadal0c.jpg

Una vez hecho esto, cuando la victima ingresa a paypal lo unico diferente es que en la URL aparece http en lugar de https, mirad:


wadal0d.jpg

Y ahora, el atacante mata el proceso de sslstrip con un CTRL+C.

sslstrip guarda un archivo de log en sslstrip.log , aunque hay una opcion para cambiarlo, pero que mas da. Entonces podemos hacer una busqueda con grep en el archivo sslstrip.log y veremos el par user / password que introdujo la victima para logearse en paypal:


wadal0f.jpg

Ahi esta el user y el pass. El pass es HazUnaPintadaEnInet

Bueno, ¿y como defendernos de SSLStripper? Evidentemente, asegurandonos de que la URL que aparece en el navegador empieza por https.

En principio tengo varias ideas en mente que ire desarrollando en posts sucesivos, como por ejemplo montar un AP falso, o tratar de recrear el escenario que monto Moxie Marlinspike en su charla en la BlackHat 2009 creando un nodo TOR con sslstrip, o leer los logs con una herramienta
con menos bombo como SSLparse...

Espero que os haya gustado...

Suerte y Exitos.
Fuente

Comentarios

  • editado 2:28
    claro mas eso es lo malo de las conexiones http <---> https
    en cuanto el servidor activa el protocolo ssl para poder encipratar la informacion se da un tiempo de espera entre

    login --- > datos ---> proceso encriptacion ---> final

    lo que se hace es atrapar este tipo de datos en la mitad de la conexion haci poder hacerlo mtm
    o poder dejar un backdoor keyloger en la red atrapando todo lo que se filtre por el la puerta de enlace
  • ACCACC
    editado 2:28
    eSto tmb da el mismo resultado con WifiSlax 3.1 ??

    Gracias !

    Saludos...
  • editado 2:28
    mmm...... este método queríamos con badcode mostrarlo en el CP, lo probé entre máquinas virtuales y funciona excelentemente, es muy sencillo

    Gracias Seifreed.


    saludos
  • editado 2:28
    tengo entendido que esto ya no funciona en los navegadores mas populares ademas que tampoco para app
Accede o Regístrate para comentar.