viernes, 25 de octubre de 2013

Labsec: Desvio de trafico https, capturando passwords


Vamos a realizar un laboratorio de seguridad en el que mostraremos como se desvia el trafico que iba a ser por el puerto 443(https) para engañar al usuario creando su falsa seguridad.

Especificaciones del laboratorio:
Dispositivo: Smartphone y PC.
Herramienta: SSLstrip
Dificultad: Fácil.

Explicacion del procedimiento: Vamos a desviar todo el trafico de https por un falso https.

Sslstrip es una herramienta de seguridad desarrollada por Moxie Marlinspike presentada en la conferencia de hacking Black Hat 2009

Antecedentes: Se ha probado con resultados no satisfactorios sniffers clasicos.

Empezamos:
Localizamos nuestra victima en nuestra red local para ello podemos usar fing con nuestro smartphone.

Objetivo: 192.168.1.62 (Un PC con un usuario con bajos conocimientos de informatica.

Ahora abrimos el SSLstrip y ponemos ip victima. Seleccionamos:
Arpspoof:  convence a un host que nuestra dirección MAC es la dirección MAC del router, y la victima comienza a enviar todo su tráfico de red. El kernel reenvia todo, excepto para el tráfico destinado al puerto 80, que vuelve a dirigir a $listenport (10000, por ejemplo).

Sslstrip: Recibe el trafico y el lo desvía del 443 al 10000. 
Sslstrip Android

La victima se conecta a ver su correo en outlook- hotmail, aparentemente es igual. Muchas paginas se desfiguran, tambien podria ser el caso de gobiernos, bancos, redes sociales, bandejas de correos.
Hotmail sin HTTPs y no verificada.


Poco a poco se va escribiendo la navegacion de Https. En la instantanea podemos ver legiblemente y sin cifrar las credenciales de una cuenta de hotmail.


¿Como prevenirlo?
Sospechar de paginas desfiguradas o mal cargadas, pero el remedio mas eficaz es consultar el certificado de la pagina web consultada antes de introducir tus credenciales. 


**Esta práctica no tiene intenciones maliciosas, es un entorno de laboratorio controlado por el administrador, el cual es usado para aprender sobre las tecnologías, concienciar de los peligros de sus usos y evitar ser victima de un engaño.


Saludos guerreros!!

No hay comentarios:

Publicar un comentario