Tag Archives: MITM

AP ROGUE

Posted on 2 diciembre, 2011 by Cristian Amicelli

Ap Rogue es otra Técnica MITM y su nombre está compuesto por AP (Access Point o punto de Acceso) y Rogue que significa pícaro es decir un punto de acceso pícaro, valla que si lo es, en realidad el atacante lo que hace es Configurar una placa de red wifi como un Access Point con el objetivo de que su/sus víctima/s se conecten a él.-

Para esto el atacante pude utilizar airbase-ng que le permite configurar de dos maneras el AP, la más común es como un AP abierto y la otra manera es configurando el AP de modo que responda a cualquier nombre de ESSID.-

una vez que la conexión de la victima pasa por la del atacante en donde podemos decir que ya se cumplió la primera parte del ataque.

Ahora ya que la conexión pasa por la maquina de nuestro atacante, Surge la pregunta ¿que es lo que puede hacer? y la respuesta es sencilla, puede hacer todo!!!, si vemos la imagen de abajo se ve que por un lado esta AP Rogue funcionando y dhcp que es el encargado de darle una IP a la victima pero también vemos que se esta ejecutando Ettercap que se decida a logear todo el trafico en texto plano incluido las credenciales que viajan en texto plano, pero eso no es todo porque esta corriendo Sslstrip, que ya habíamos hablado con anterioridad y que se dedica a manipular el protocolo ssl/tls para que las credenciales viajen en texto plano.-

El alcance de este ataque esta dado a cualquier dispositivo que se pueda conectar a una red Wifi, en este caso vemos como se van integrando distintas herramientas y técnicas para lograr un fin delictivo.-

Como prevenirse de AP Rouge, en primer lugar nunca conectarse a AP Abiertos y en caso de hacerlo no Loguearse a redes sociales, Cuentas de E-mail, Homebanking, Estar muy atento a que la conexión sea por https y de ser posible usar una VPN para Navegar

cristian amicelli rivero

Categories: Uncategorized | Tags: AP Fake, AP Rogue, MITM, Wireless Hacking

SSLSTRIP

Posted on 6 octubre, 2011 by Cristian Amicelli

No comments

En otro post anterior hablamos de ARPSPOOF, como comentaba esta técnica permite al atacante ver todo el tráfico que genera la víctima, siempre y cuando sea texto plano, y los protocolos más conocidos que trasmiten la información en texto plano son:

HTTP (HyperText Transfer Protocol)
FTP (File Transfer Protocol)
SMTP (Simple Mail Transfer Protocol)
POP (Post Office Protocol)

Todo lo que uno trasmita por estos protocolos va en texto claro es fácil de leer.-

La protección de estos protocolos radica en el uso de SSL (Secure Sockets Layer) o protocolo de capa de conexión segura, es un adicional al protocolo el cual trabaja con certificados y son utilizados en los protocolos que se mencionaron antes.-

Nosotros nos vamos a centrar en HTTPS (Hyper Text Transfer Protocol Secure) o Protocolo seguro de transferencia de hipertexto, este protocolo es utilizado para dar seguridad y son utilizados en HomeBanking, Webmail, Redes Sociales y en todo sitio que quiera asegurar la transacción de información de manera segura. Y es acá donde el atacante agrega una herramienta más que se llama SSLSTRIP.-

SSLSTRIP es un proxy transparente que reemplaza todas las peticiones HTTPS de una página web por http.-

a modo de ejemplo lo que realiza SSLSTRIP internamente es algo así

sslstrip recibe este tipo de código

<html>
<form method="POST "action="https://www.dominio.com">
<input type="text">
<input type="password">
<input type="submit">
</form>
</html>

y le devuelve a la victima el siguiente código

<html>
<form method="POST "action="http://www.dominio.com">
<input type="text">
<input type="password">
<input type="submit">
</form>
</html>

Como se puede observar luego del “action” se modifica https por http esta acción hace vulnerable la comunicación obligando a la victima a enviar las credenciales (Usuario, Password, Etc.), en texto claro.-

Explicándolo la idea es que la víctima y el atacante se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.-

La secuencia en la que se realiza este ataque Man In The Middle es como se muestra en la imagen.-

Las posibilidades de evitar este ataque es solo conectarse en redes de confianza o bien utilizar vpn, también una buena practica por excelencia es controlar que siempre la conexión sea https y que se pueda ver el Certificado como se muestra en la siguiente secuencia.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: MITM, ssl, SSLSTRIP

ARPSPOOF

Posted on 27 septiembre, 2011 by Cristian Amicelli

7 comments

ARP SPOOF

ARPSPOOF es una técnica usada para infiltrarse en una red basadas en switch, Hub o una combinación de estas, pero primero que es ARP.-

ARP es un Protocolo de resolución de direcciones que trabaja en la capa 2 del Modelo OSI esta capa es la de enlace de datos, básicamente se maneja el direccionamiento físico de MAC y LLS.-

ARPSPOOFING

Es una técnica MITM “Man In The Middle” u Hombre en el medio que consiste en emitir falsos mensajes ARP llamados (spoofed), en la LAN. La finalidad de esta función es la asociar la dirección MAC del atacante con la puerta de enlace predeterminada (Gateway), con la intención de confundir a las otras maquinas conectadas en ese segmento de red LAN, haciendo que estas le envíen las peticiones de conexión al atacante. Pudiendo este elegir entre reenviar el trafico al verdadero Gateway modificando, leyendo los datos.-

la Conexión es normal entre el usuario y el Access Point.-

en este momento ya el usuario malintencionado ya esta en condiciones de capturar el trafico.-

mirándolo desde un punto más práctico es así como se realiza en arp spoofing con la herramienta arpspoof.-

paquetes ARP enviados a la Victima.-

paquetes arp enviados al Access Point.-

El ARP Spoofing puede ser ejecutado desde una máquina controlada (el atacante ha conseguido previamente hacerse con el control de la misma: intrusión), un Jack Box, o bien la máquina del atacante está conectada directamente a la LAN.-

Una vez que el atacante logró confundir los dos extremos, todas las comunicaciones pasan por el, pudiendo ver todo el tráfico.-

Es en este momento en que el atacante puede obtener todos los datos de importancia que no estén cifrado por algún medio como puede ser SSL.-

Hay Muchas formas de tratar de protegerse de este tipo de ataques como recomendación nunca se deben logear a servicios donde se requiere usuario y password o mantener sesiones de chat como por ejemplo msn, desde Bares, Estaciones de servicio, o lugares donde la red wifi no sea segura o no sean redes de confianza de uds.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: ARP, ARPSPOOF, MITM

- Español
- English
Search for:
mayo 2012

L M X J V S D

« abr

1 2 3 4 5 6

7 8 9 10 11 12 13

14 15 16 17 18 19 20

21 22 23 24 25 26 27

28 29 30 31
Entradas recientes
Etiquetas
Analisis malware ARP blog Capacitacion Charla Client Side Conference Conferencia Creación de un ambiente controlado Cripto Cross Site Scripting error de control error programacion event Evento Exploit Facebook GESTIÓN Y TRATAMIENTO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Hacking Incidentes de Seguridad Ingenieria Social Installrite Iso 27001 malware Metasploit MITM Mkit org.ar phishing Poc Proof of Concept Recolección Dinamica Recolección Estatica robots Seguridad Informatica Seguridad Web ssl Sysinternals Talk Tecnicas Hacking Vulnerabilidades Web Hacking Winalysis Wireless Hacking XSS

mayo 2012
L	M	X	J	V	S	D
« abr
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31