[vlan7]

Hola trex15, y bienvenido.

Hace ya tiempo que escribi eso de que se viera en la barra de navegacion https, solo puedo decirte que en la practica no lo llegue a probar, y que tambien es probable que entendiera mal la presentacion de la Balckhat, que es basicamente en lo que me base. Lo que si que vi con mis ojos es lo del candado que le aparece a la victima.

Si te interesa el tema te recomiendo una de las series del "y tras el router que" de Vic_Thor en la que se tocaba de una forma mucho mas original todo esto de los certificados. Se conseguia presentar una pagina https sin el tipico aviso de certificado. Buscalo por el foro si te interesa.

Suerte,

[trex15]

hola vlan7, muchas gracias por la aclaración, ademas de la información que me has dado. por supuesto q me interesa el tema, revisare la serie ""y tras el router que" de Vic_Thor .
gracias.

[neofito]

Hoy via twitter me encuentro con un video sobre el tema:

http://www.securitytube.net/video/1665

Saludos

[vomVer]

Hay que estar muy atento siempre a la https... Solo que con las tablas de enrutamiento, con el comando # arp -a si te hacen al MitM con la misma tarjeta de red, se nota bastante que tendrás dos IP Locales con la misma MAC... además en la mayoría de casos con nslookup se ve que tu DNS es la IP del MitM... yo recomendaria tablas arp estáticas, o un addon para el firefox que se llama HTTPS Everywhere, que fuerza todas las conexiones, incluso de las páginas que no lo tienen activado por defecto (como facebook), con este addon, no se puede realizar simplemente este spoof.

También es interesante esta herramienta: http://arpon.sourceforge.net/

Un saludo!

[vlan7]

Gracias por los comentarios vomver!!

Sobre facebook, decir que hay una opcion para activar https por defecto, y que, ahora incluso el chat funciona por https. Buen addon el que comentas, hablando de facebook fue sacado creo despues del bombo de aquella herramienta mala que no quiero nombrar, que con un par de clics estabas en el facebook de una victima.

Sobre arpon, autopubli jeje http://www.vlan7.org/2010/10/proteccion-contra-arp-spoofing.html , pero creo que eso ya se aleja un poco del concepto original de la herramienta sslstrip. Vamos, que no tienes por que hacer arp-spoofing, bien podrias hacer un port-stealing o dhcp-spoofing o similar...

Suerte,

[NeTTinG]

Hola:

Solo que con las tablas de enrutamiento, con el comando # arp -a si te hacen al MitM con la misma tarjeta de red, se nota bastante que tendrás dos IP Locales con la misma MAC... además en la mayoría de casos con nslookup se ve que tu DNS es la IP del MitM

Si. Es cierto. Pero sigue siendo un ataca muy peligroso, sobretodo para el usuario convencional que no comprende/conoce un ataque de envenenamiento ARP.
Si se dispone de acceso físico o local a dicha máquina podrían instalarte algo para que al hacer el ARP -a no se viese el envenenamiento ARP mostrando datos irreales... Pero bueno, esto ya es menos probable...

yo recomendaria tablas arp estáticas

¡Cuidado! Esto no es una solución fiable, me refiero en los Sistemas Operativos de Microsoft. Estas entradas ARP estáticas pueden ser "pisadas" por entradas envenenadas o falsas dinámicas.

En GNU/Linux, Leopard, *BSD, Solaris... en UNIX en general, vamos, es totalmente fiable utilizar entradas estáticas ARP.

Aunque ¡ojo!, el uso de entradas estáticas ARP en redes con Servidores DHCP puede resultar problemático. Es totalmente lógico y comprensible.

De igual manera, estas entradas ARP estáticas también que se pueden utilizar para realizar el ataque.

Desconozco si las entradas estáticas ARP de los últimos Sistemas Operativos de Microsoft (Windows VISTA y Windows 7) pueden ser pisadas por entradas dinámicas, yo no lo he comprado. Si alguien ya ha realizado las pruebas pertinentes no estaría de más que compartiera sus resultados.

Algo que me ha llamado la atención, es que Windows 7 (desconozco si en versiones anteriores o con ciertos Service Pack también ocurre lo mismo) traen "por defecto" varias entradas estáticas

Realizar un ARP -a y lo comprobareis (lo de las entradas estáticas del Windows 7).

o un addon para el firefox que se llama HTTPS Everywhere, que fuerza todas las conexiones, incluso de las páginas que no lo tienen activado por defecto (como facebook), con este addon, no se puede realizar simplemente este spoof.

Lo desconozco y no lo he comprobado. Pero si se realiza algún tipo de redireccionamiento podría ser vulnerable con envenenamiento ARP y certificados falsos... Pero repito que no lo he comprobado y desconozco como funciona este add-on.

Un saludo.

[vomVer]

vlan7 no me funciona el link, luego probaré haber...

Aunque ya veis que no llevo mucho aquí, estoy aprendiendo mucho y se agradece, con vuestros comentarios aportando aun mas cosas, como NeTTinG, no habia caido en lo de los certificados falsificados, y no sabia lo de las tablas ARP estáticas, ahora que lo dices tiene sentido, pero antes no lo habia pensado...

En cuanto a lo de HTTPS Everywhere, no lo he probado con todo, pero si lo probé con un SSLStrip y no funcionó (el ataque, me refiero), por que en los servicios que tengas configurado, hasta que no entra por HTTPS, se mete en un bucle, que no he probado tampoco a forzarlo jaja. Simplemente lo ponia por si alguién que lee el post, quiere algo para evitar este ataque en su universidad o instituto, y ya sabemos que si alguién hace un SSLStrip, y no pasa de ahí, con estas sencillas soluciones basta, eso si, luego todo se complica mas... se le puede dar mil vueltas a esto, y como a veces, complementandolo con otras herramientas, ufff... con un poco de imaginación...

Un saludo!