Mini guía de Ettercap+SSL ~ Userlinux.net

Mini guía de Ettercap+SSL

28.Jan.2009 ~ 6 Comentarios ~ 5219 Lecturas

Hoy hemos estado probando en el trabajo curiosidades del protocolo seguro del servicio de páginas web frente a un sniffer en red local. Las conclusiones han sido interesantes: poco importa el SSL si el usuario acepta el certificado de forma casi automática y sin pensar lo que está haciendo.

Para emezar este ejercicio voy a suponer que todos tenemos instalado ettercap, sabemos la teoría del man in the middle y hemos trasteado alguna que otra vez con iptables y ficheros de configuración...

Antes de arrancar el sniffer vamos al fichero /etc/etter.conf (en Ubuntu al menos esa es la ruta) y descomentamos la siguiente linea en la sección correspondiente:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Guardamos los cambios y arrancamos el programa en curses, empezamos a esnifar con un ARP Poisoning y echamos un ojo a los User messages mientras entramos en Gmail (por ejemplo) a través de protocolo seguro. ¿Interesante? ;).

Moviola (léase repetición de las jugadas polémicas):

ettercap -C
Sniff -> Unified Sniffing
Hosts -> Scan for hosts
Start -> Start Sniffing
Mitm -> Arp poisoning
View -> Connections
I (nombre_fichero) -> Para loguear resultados

Atención, pregunta, ¿estamos preparados para entrar a la banca online en una red -cableada por ejemplo- de la cual no conocemos lo suficiente su topología?. Un dos tres, responda otra vez.

Categorías: sistemas

Comentarios

29.Jan.2009

mmm, lo que no comentas son los resultados, ¿que es lo que os cantaba ettercap exactamente?. Y cuidado precisamente con ettercap, que en mis ultimas pruebas, con determinados switches, el ARP poisoning acabo en una red en la que dejaban de llegar determinados paquetes a determinadas maquinas (culpa mia, seguramente).

En teoria hay tambien alguna otra herramienta (http://crypto.stanford.edu/~eujin/sslsniffer/index.html) que permite hacer sniffing de trafico SSL, aunque en este caso es pelin mas complicado que un MIM.

r0sk

29.Jan.2009

Hay más herramientas, otra de las destacadas es dsniff pero ninguna tan cómoda e intuitiva como ettercap. En cuanto a los resultados, en pruebas de login a gmail (u otros ssl) fue capaz de sacar el password en texto plano. Cuando quieras hacemos un bunker time y probamos ;).

rober

10.Jun.2009

¿estamos preparados para entrar a la banca online en una red -cableada por ejemplo- de la cual no conocemos lo suficiente su topología?

si, ya que ettercap no descifra el protocolo ssl (de momento no se puede) lo que hace es interceptar el original que envia el banco al usuario, y enviar uno falso al usuario. Esto el navegador lo advierte y el usuario no deberia aceptar el certificado, obviamente la mayoria de usuario si lo aceptan porque incluso puede que los acepte solos el navegador, despues le envia los datos al ettercap que al saber las claves de cifrado si puede obtenerlos y seguidamente envia el correcto al banco. Aqui lo que se explota es como siempre a la parte debil de una transmision, el usuario final. No el procolo.

khacal

12.May.2010

muy bueno pero no me permite hacer cambio ni reemplazar el etter.conf ni remplazar.
cuando ingreso por consola no me da permisos o denegado

pochomon

17.May.2010

Khacal para poder ejecutar por consola tienes que ser root, basta solo con un sudo su tu pass y puedes hacerlo funcionar.
Soy novato con esta herramienta no se si es posible determinar mediante el ettercap si algun vecino mio me roba señal inalambrica, estoy en ubuntu 9.10, muy buena informacion

ricardo

12.Aug.2010

pochomon, para saber si te estan robando internet, hay muchos metodos. bastaria netstat y ver las conexiones. ettercap, las detectarias de inmediato, y de pasada le haces un contrataque y le juegas una broma con un D.O.S. O qu'e se yo. Ahora para que no andes con paranoias, pon un wpa2 con una passphrase que incluya numeros y letras, superior a los 10 caracteres. EJEMPLO

p4r4l3l3p1p3d0 *paralelepipedo

esa ya est'a trillada asi que inventa una nueva, tambien le puedes poner mayusculas. 0t0rr1n0n4R1NG0L0G0 -otorrinonaringologo

jajaj

una clave asi con el aircrack y crunch se tardaria meses en desencriptar por fuerza bruta.

asi unos 2 meses despues se la cambias para que el tonto que te la quiera desencriptar juegue y se entretenga buscando handshakes y diccionarios etc. >D

Comentarios

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 15 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.