Jugando y burlando a SSL con SSLStrip

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Re: Jugando y burlando a SSL con SSLStrip

Notapor vlan7 » Sab Mar 19, 2011 2:00 pm

Hola trex15, y bienvenido.

Hace ya tiempo que escribi eso de que se viera en la barra de navegacion https, solo puedo decirte que en la practica no lo llegue a probar, y que tambien es probable que entendiera mal la presentacion de la Balckhat, que es basicamente en lo que me base. Lo que si que vi con mis ojos es lo del candado que le aparece a la victima.

Si te interesa el tema te recomiendo una de las series del "y tras el router que" de Vic_Thor en la que se tocaba de una forma mucho mas original todo esto de los certificados. Se conseguia presentar una pagina https sin el tipico aviso de certificado. Buscalo por el foro si te interesa.

Suerte,
Última edición por vlan7 el Jue Mar 24, 2011 11:55 pm, editado 2 veces en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1174
Registrado: Lun Mar 06, 2006 12:16 am
Ubicación: Mas alla del EIP

Re: Jugando y burlando a SSL con SSLStrip

Notapor trex15 » Dom Mar 20, 2011 2:35 am

hola vlan7, muchas gracias por la aclaración, ademas de la información que me has dado. por supuesto q me interesa el tema, revisare la serie ""y tras el router que" de Vic_Thor .
gracias. 8)
trex15
:-)
:-)
 
Mensajes: 2
Registrado: Sab Mar 20, 2010 4:39 pm

Re: Jugando y burlando a SSL con SSLStrip

Notapor neofito » Jue Mar 24, 2011 9:22 pm

Hoy via twitter me encuentro con un video sobre el tema:

http://www.securitytube.net/video/1665

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1796
Registrado: Dom Ene 30, 2005 8:16 am
Ubicación: En algun lugar

Re: Jugando y burlando a SSL con SSLStrip

Notapor vomVer » Jue Jul 07, 2011 2:58 am

Hay que estar muy atento siempre a la https... Solo que con las tablas de enrutamiento, con el comando # arp -a si te hacen al MitM con la misma tarjeta de red, se nota bastante que tendrás dos IP Locales con la misma MAC... además en la mayoría de casos con nslookup se ve que tu DNS es la IP del MitM... yo recomendaria tablas arp estáticas, o un addon para el firefox que se llama HTTPS Everywhere, que fuerza todas las conexiones, incluso de las páginas que no lo tienen activado por defecto (como facebook), con este addon, no se puede realizar simplemente este spoof.

También es interesante esta herramienta: http://arpon.sourceforge.net/

Un saludo!
Avatar de Usuario
vomVer
:-)
:-)
 
Mensajes: 19
Registrado: Mar Abr 12, 2011 3:17 pm

Re: Jugando y burlando a SSL con SSLStrip

Notapor vlan7 » Jue Jul 07, 2011 11:29 am

Gracias por los comentarios vomver!!

Sobre facebook, decir que hay una opcion para activar https por defecto, y que, ahora incluso el chat funciona por https. Buen addon el que comentas, hablando de facebook fue sacado creo despues del bombo de aquella herramienta mala que no quiero nombrar, que con un par de clics estabas en el facebook de una victima.

Sobre arpon, autopubli jeje http://www.vlan7.org/2010/10/proteccion-contra-arp-spoofing.html , pero creo que eso ya se aleja un poco del concepto original de la herramienta sslstrip. Vamos, que no tienes por que hacer arp-spoofing, bien podrias hacer un port-stealing o dhcp-spoofing o similar...

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1174
Registrado: Lun Mar 06, 2006 12:16 am
Ubicación: Mas alla del EIP

Re: Jugando y burlando a SSL con SSLStrip

Notapor NeTTinG » Jue Jul 07, 2011 11:50 am

Hola:

Solo que con las tablas de enrutamiento, con el comando # arp -a si te hacen al MitM con la misma tarjeta de red, se nota bastante que tendrás dos IP Locales con la misma MAC... además en la mayoría de casos con nslookup se ve que tu DNS es la IP del MitM


Si. Es cierto. Pero sigue siendo un ataca muy peligroso, sobretodo para el usuario convencional que no comprende/conoce un ataque de envenenamiento ARP.
Si se dispone de acceso físico o local a dicha máquina podrían instalarte algo para que al hacer el ARP -a no se viese el envenenamiento ARP mostrando datos irreales... Pero bueno, esto ya es menos probable...

yo recomendaria tablas arp estáticas


¡Cuidado! Esto no es una solución fiable, me refiero en los Sistemas Operativos de Microsoft. Estas entradas ARP estáticas pueden ser "pisadas" por entradas envenenadas o falsas dinámicas.

En GNU/Linux, Leopard, *BSD, Solaris... en UNIX en general, vamos, es totalmente fiable utilizar entradas estáticas ARP.

Aunque ¡ojo!, el uso de entradas estáticas ARP en redes con Servidores DHCP puede resultar problemático. Es totalmente lógico y comprensible.

De igual manera, estas entradas ARP estáticas también que se pueden utilizar para realizar el ataque.

Desconozco si las entradas estáticas ARP de los últimos Sistemas Operativos de Microsoft (Windows VISTA y Windows 7) pueden ser pisadas por entradas dinámicas, yo no lo he comprado. Si alguien ya ha realizado las pruebas pertinentes no estaría de más que compartiera sus resultados.

Algo que me ha llamado la atención, es que Windows 7 (desconozco si en versiones anteriores o con ciertos Service Pack también ocurre lo mismo) traen "por defecto" varias entradas estáticas

Realizar un ARP -a y lo comprobareis (lo de las entradas estáticas del Windows 7).

o un addon para el firefox que se llama HTTPS Everywhere, que fuerza todas las conexiones, incluso de las páginas que no lo tienen activado por defecto (como facebook), con este addon, no se puede realizar simplemente este spoof.


Lo desconozco y no lo he comprobado. Pero si se realiza algún tipo de redireccionamiento podría ser vulnerable con envenenamiento ARP y certificados falsos... Pero repito que no lo he comprobado y desconozco como funciona este add-on.

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6260
Registrado: Mar Sep 20, 2005 6:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Re: Jugando y burlando a SSL con SSLStrip

Notapor vomVer » Jue Jul 07, 2011 2:21 pm

vlan7 no me funciona el link, luego probaré haber...

Aunque ya veis que no llevo mucho aquí, estoy aprendiendo mucho y se agradece, con vuestros comentarios aportando aun mas cosas, como NeTTinG, no habia caido en lo de los certificados falsificados, y no sabia lo de las tablas ARP estáticas, ahora que lo dices tiene sentido, pero antes no lo habia pensado...

En cuanto a lo de HTTPS Everywhere, no lo he probado con todo, pero si lo probé con un SSLStrip y no funcionó (el ataque, me refiero), por que en los servicios que tengas configurado, hasta que no entra por HTTPS, se mete en un bucle, que no he probado tampoco a forzarlo jaja. Simplemente lo ponia por si alguién que lee el post, quiere algo para evitar este ataque en su universidad o instituto, y ya sabemos que si alguién hace un SSLStrip, y no pasa de ahí, con estas sencillas soluciones basta, eso si, luego todo se complica mas... se le puede dar mil vueltas a esto, y como a veces, complementandolo con otras herramientas, ufff... con un poco de imaginación...

Un saludo!
Avatar de Usuario
vomVer
:-)
:-)
 
Mensajes: 19
Registrado: Mar Abr 12, 2011 3:17 pm

Anterior

Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado