• Contatto
  • Note Legali
  • Privacy
  • FAQs
  • Downloads
  • Collabora
  • Supporta

    • Ettercap e l’attacco Man In The Middle (Parte 2)

    Scritto da Erriko in Hacking il 11 agosto 2009

    Nella prima parte della guida dedicata ad Ettercap e il MITM abbiamo visto sul piano concettuale in cosa consiste questo attacco e capito cosa è in grado di fare questo fantastico tool. Adesso è il momento di dare un’occhiata dal vivo a Ettercap.

    Installare Ettercap

    A meno che non si usi una distribuzione come Backtrack, la quale integra gia’ il software che ci e’ necessario, dovremo installare Ettercap.

    Niente di piu’ semplice: con una distribuzione basata su Debian (come la nostra amata Ubuntu) basta digitare nel terminale

    sudo apt-get install ettercap-gtk

    e aspettare pochi istanti che il software e le sue dipendenze vengano scaricate ed installate.

    Per la cronaca va detto che esistono anche versioni per Windows, BSD e MAC OS X, le quali pero’ non sono oggetto di questo tutorial.

    Iniziamo

    Come abbiamo gia’ detto per intercettare il traffico dati all’interno di una rete e’ necessario effettuare un arp poisoning. Vediamo come.

    Apriamo Ettercap

    Digitando sul terminale

    sudo ettercap -G

    cosi’ da accedere in modalita’ grafica.

    Prepariamoci allo sniffing

    Clicchiamo su Sniff -> Unified sniffing oppure premiamo contemporaneamente Shift e U.

    ettercap-g
    Verrà subito richiesta la scheda di rete da utilizzare per effettuare lo sniffing, selezioniamo quella che vogliamo utilizzare e diamo l’ok.

    Una volta in modalità sniffing dobbiamo cercare gli altri pc connessi alla rete, cliccando su Hosts -> Scan for hosts o premendo Ctrl e S.

    Dopo una breve ricerca Ettercap sarà al corrente di quanti pc sono connessi, e conoscerà il loro hostname ed il loro indirizzo ip, per visualizzarli clicchiamo su Host -> Hosts list oppure sul tasto H.

    ettercap_hostlist02

    Scegliamo le vittime

    Scegliamo di “avvelenare da ARP” (ARP poison) soltanto la macchina Windows con ip 192.168.1.2 (vedi lo schema del precedente articolo) ed il router 192.168.1.1.
    Per fare ciò basta  selezionare la riga contenente 192.168.1.1 e cliccare su add to target 1.
    Per il secondo obiettivo (192.168.1.2) vale la stessa cosa, salvo il pulsante da premere che sarà in questo caso add to target 2.

    Nel caso volessimo avvelenare tutte le macchine presenti nella rete, basterebbe saltare quest’ultimo passaggio, lasciando il target non selezionato
    Per verificare i target selezionati basta cliccare su Targets -> Current Targets, oppure premere il tasto T.

    ettercap_target02

    ARP poisoning

    Clicchiamo su Mitm -> Arp poisoning, si aprirà una finestra con due opzioni da selezionare, salvo particolari esigenze lasiamo tutto deselezionato e diamo l’invio.

    ettercap_step06

    Finalmente lo sniffing

    Clicchiamo su Start -> Start sniffing per iniziare a collezionare i dati relativi al traffico della nostra vittima.

    Per stoppare il tutto basta cliccare su stop sniffing ed in seguito su Mitm ->

    Conclusione (per ora ;-) )

    Con questa parte di tutorial ci siamo finalmente posizionati “nel mezzo” e riceviamo tutto il traffico dati tra il router e la macchina Windows che abbiamo preso di mira (e viceversa).

    Nella prossima parte vedremo come barcamenarci in questo flusso di dati che da adesso siamo in grado di ricevere.

    Alla prossima! 8-)

    Articoli Correlati

    Ettercap e l’attacco Man In The Middle (Parte 1)
    Account Hotmail, Yahoo! Mail e Gmail sotto attacco: correte ai ripari!
    Intercettare i dati scambiati sulle “connessioni sicure” SSL

    12 commenti a “Ettercap e l’attacco Man In The Middle (Parte 2)”

    1. Mau 14 ottobre 2009 alle 11:59 Replica

      Complimenti per la guida…Sai quando si tratta di scrivere queste guide su come fare sniffing risulta tutto semplice..Perchè invece non cercate anche dei possibili modi per proteggersi da queste tecniche che mettono a repentaglio la sicurezza di tutti… Sai mentre scrivevi da casa il tuo bell’articolo è molto probabile che il tuo inquilino ti spiava dato che a quanto ne so io è molto difficile (se non impossibile) proteggersi dallo sniffing!!! Quando parlo di privacy non intendo di certo la navigazione ma ad esempio le password che sono private e possono riguardare anche cose importanti come ad esempio l’internet banking!
      Ricorda sempre che il bravo hacker non è solo colui che scrive guide su come attaccare, ma è colui che sa anche come difendersi dagli attacchi da egli stesso pubblicizzati… e tu non mi sembri una persona che sa come proteggersi dallo sniffing!!! Come non lo sono io…. :-)

    2. Erriko
      Erriko 14 ottobre 2009 alle 15:07 Replica

      Grazie dei complimenti.

      Per rispondere alle tue affermazioni:

      1: no, non è facile scrivere una guida del genere. Innanzitutto bisgona sapere di cosa si parla prima di spiegarlo agli altri. In secondo luogo ci vogliono ore per scrivere tutto nella maniera più comprensibile possibile, fare diversi test in modo da fissare bene i passaggi, prendere gli screenshots o preparare gli schemini (come quelli nella prima parte).

      2: No. Non mi sniffa nessuno. Proprio perchè so come si attacca, so anche come si ci difende.

      3: So chi è il bravo hacker. Io non lo sono, sono solo un appassionato (che studia tanto) ma non un genio che fa innovazioni. Se ci atteniamo al “prototipo” di hacker, rientrano in questa categoria ben pochi eletti, non noi comuni mortali con QI sotto i 190.

      4: Nella parte dedicata ai plugins per ettercap, che pubblicherò a breve, parleremo anche del plugin atto a rilevare la presenza di altri sniffer in rete e delle tecniche più utili a prevenire lo sniffing, fermo restando che le comunicazioni in chiaro sono SEMPRE vulnerabili, quindi bisognerebbe proteggere l’intera rete più che la propria connessione.

      5: La sicurezza sull’internet banking: sono le aziende che forniscono il servizio che si devono prendere cura di questo aspetto ed in genere è così. Se ritieni che la tua banca abbia un servizio scadente (e ce ne sono) sposta il tuo conto altrove.
      Se tu comunque ti fermassi 1 minuto a riflettere ricorderesti certamente che i sistemi di home banking, oltre ad essere accessibili soltanto su pagine cifrate (quindi non intercettabili con uno sniffing basilare come questo) richiedono l’utilizzo di password dispositive uniche (richieste di volta in volta via sms) o che comunque si distruggono nell’arco di 30 secondi, grazie ai famosi “token” che vengono distribuiti in maniera univoca ai clienti dalle banche.

      6: Hai detto “non mi sembri” e hai fatto bene a dire così visto che ti basi sulle apparenze (quali poi non è dato saperlo) e non conoscendomi non sai se in effetti sono una persona capace o meno.

      Per concludere:

      Quello che offro su questo blog è un servizio libero e gratuito, e cerco di fare del mio meglio. Probabilmente non ci riesco, ma quanto meno lasciami la libertà di parlare degli argomenti che ritengo più opportuni nel modo che ritengo più opportuno.

      Ogni suggerimento ovviamente è bene accetto, ma che sia costruttivo. Questa mi è sembrata solo una critica buttata lì così senza pensare molto al lavoro che c’è dietro. Spero vivamente di essermi sbagliato.

    3. Mau 14 ottobre 2009 alle 17:27 Replica

      Assolutamente la mia non era una critica aspra come tu l’hai intesa…
      Era semplicemente un modo per spronare chi pubblicizza tecniche di dubbia moralità a preoccuparsi anche della sicurezza degli utenti, argomento meno richiesto lo sò ma certamente più utile ed educativo.
      Lo sniffing dei pacchetti è una cosa seria che viene utilizzata di solito per dare più sicurezza!! Allo stesso tempo è uno dei metodi piu difficile da trovare e combattere e ricordiamo che utilizzarla in un arete o domestica o aziendale per spiare altre persone è reato perseguibile!!
      Aspetto con ansia gli articoli inerenti la protezione dagli sniffer!!
      Grazie e scusa ma i toni che ho usato sono stati fraintesi!!
      Buon lavoro…

    4. Erriko
      Erriko 14 ottobre 2009 alle 22:38 Replica

      Mi fa piacere che le cose stiano così, sono contento di aver sbagliato interpretazione.

      Le guide sulla sicurezza arriveranno, ma pennso sia normale che ve ne siano di più sull’hacking, ma questo non perchè voglio essere “diseducativo”, anzi… E’ innanzitutto una passione che mi spinge a parlarne e la voglia di condividere le conoscenze personali, dando per scontato (e forse sbagliando) che il pubblico tragga le sue conclusioni automaticamente. E’ giusto però che se viene vista come mancanza mi sia fatta notare, quindi ben vengano le critiche (ripeto se costruttive).

      A presto, se ci sono altri appunti non esitare a farmelo sapere (in alto a sx c’è il collegamento alla pagina contatto).

    5. Ciro da ischia 27 ottobre 2009 alle 08:06 Replica

      Ottima guida! lo sniffing non serve per attaccare (volendo lo si può fare), ma per testare la sicurezza delle proprie reti, dunque se l’inquilino  ci sta spiando, lo sniffing serve appunto ad accorgersene ;)
       

    6. Erriko
      Erriko 27 ottobre 2009 alle 08:53 Replica

      Grazie mille e complimenti per la tua intelligenza :-) E’ proprio il senso che volevo dare alla guida…

    7. evilsocket 2 novembre 2009 alle 03:21 Replica

      Cito Mau

      Allo stesso tempo è uno dei metodi piu difficile da trovare e combattere.

      A dire il vero non è per niente così, un attacco come l’arp poisoning genera una quantità di traffico ARP non indifferente e di sicuro al di sopra della norma (considerando che la cache arp ha un ttl relativamente lungo, difficilmente si vedono pacchetti arp + di una volta ogni diversi minuti) .
      Un sys admin decente si rende subito conto di questa anomalia e isola il problema in pochi minuti se non secondi.

      Secondo me la state facendo + grossa di quanto non sia :)
      PS: Questo non tolga nulla  alla guida e alla tecnica, che tutt’ora rimane una delle + semplici da eseguire (si con la modalità grafica, ma la modalità testuale di ettercap sapete usarla ? :D ) e delle + efficaci.

    8. Erriko
      Erriko 2 novembre 2009 alle 11:02 Replica

      Nessuno ha detto che è la fine del mondo, certo è una cosa importante però.
      Ci tengo a precisare che ovviamente questo problema non è critico in situazioni domestiche di unico utilizzatore di una rete.

      Per quanto riguarda la modalità di grafica di ettercap: innanzitutto diciamo che non è proprio una “modalità” visto che il pacchetto che si installa è diverso (in quel caso installi ettercap e non ettercap-gtk) quindi è possibile che qualcosa possa sfuggire utilizzando l’interfaccia (ma per il livello che abbiamo trattato è del tutto trascurabile). Per come è stato trattato l’argomento e per il grado di difficoltà ho ritenuto chel’utilizzo dell’interfaccia grafica fosse più che sufficiente…

      Il discorso protezione poi: il sysadmin potrebbe anche accorgersi del traffico anomalo, ma difficilmente in una rete aziendale (almeno se parliamo di un’azienda normale) si mette una persona lì a controllore continuamente il traffico ARP. Se l’amministratore è bravo non lo è perchè sa riconoscere ad occhio lo spoofing ma piuttosto penso lo debba essere perchè configura la rete in maniera da evitarlo. Esistono vari escamotage che rendono più difficile il poisoning. Aggiungo che il protocollo ipv6, non ancora adottato nella stragrande maggioranza dei casi, è molto più sicuro dell’attuale e quindi sarebbe un passo avanti da questo punto di vista… Se non si vuole complicare la vita quanto meno usa snort, non credi?

    9. evilsocket 2 novembre 2009 alle 16:10 Replica

      Concordo su tutto tranne sulla storia delle “modalità” :D
      Mi dispiace dissentire, ma il pacchetto “ettercap-gtk” (usi debian/ubuntu vero ? :) ) è semplicemente il normale pacchetto “ettercap” compilato con il supporto gtk, tant’è vero che
      ettercap -T (modalità testuale)
      ettercap -C (ncurses)
      ettercap -G (gtk)
      Questo funziona con entrambi i pacchetti … diciamo che i tizi che hanno debianizzato il tutto hanno fatto un po di confusione :D
       

    10. Erriko
      Erriko 2 novembre 2009 alle 17:05 Replica

      Mi fa piacere che siamo d’accordo :)

      Per quanto riguarda il pacchetto avevo notato questa cosa utilizzando anche altre distro oltre Ubuntu, ma mi sono fatto trarre in inganno lo stesso :) Grazie del contributo! ;)

    11. evilsocket 2 novembre 2009 alle 17:09 Replica

      Figurati, è un piacere :)
      Cmq se posso darti un piccolo consiglio, se devi usare software di questo tipo, secondo me è meglio scaricarsi i sorgenti e compilarselo con tutti i flag necessari per abilitare le funzionalità che ci interessano.
      Su alcune distro, la versione di ettercap pacchettizzata nei repo addirittura ha il supporto per i plugin disabilitato e a meno che non vuoi ricompilarti tutto a mano t’attacchi e tiri forte :S
       
      Cmq se ti può interessare, io e un paio di ragazzi di hackint0sh stiamo eseguendo il porting di ettercap su iPhone, trovi alcuni dettagli qui http://www.evilsocket.net/795/iphone-ettercap-port.html :)

    12. Erriko
      Erriko 2 novembre 2009 alle 17:20 Replica

      Si ho letto ;) complimenti vivissimi per il progetto, davvero molto interessante.

      Per quanto riguarda i sorgenti, avevo già fatto così perchè la versione dei repo nel mio caso crashava che è una meraviglia… (su backtrack 3 ettercap risulta comunque più stabile che con Ubuntu, chissà perchè).

       

    Commenta

    Feed RSS

  • newsletter

    La tua e-mail:

     

  • Accedi

    • Non perderti

    Rimuovere i driver inutilizzati da ...
    PC Portatile/Palmare: Nokia N97
    Google lancia il suo software di na...
    Windows 7: attivare gli effetti gra...

    Erriko.it è su

    Il Bloggatore   Notizie e video dai blog italiani su Liquida  

    Ultimi Commenti

  • Sviluppo siti web:Nooo peccato, io il comodo sup
  • rik:ciao Erriko ho bisogno del tuo
  • giannini86:Ciao complimenti per la guida,
  • Federica:Sono sempre io, vorrei approfi
  • Erriko:Si è ancora valida e perman
  • Karlo:Scusa l'intrusione così... tar
  • maximme:no, non e' ambigua...e' cannat
  • Erriko:Di nulla ;)  
  • Zoen:Grazie davvero tanto Erriko!

    • About

    Erriko.it sopravvive grazie al lavoro e la passione di Enrico Deleo (a.k.a. Erriko). L'obiettivo di questo blog è presentare in maniera semplice e colloquiale notizie, guide e spunti ad altri appassionati di tecnologia. Se vuoi collaborare alla stesura degli articoli o fornire spunti, clicca su Collabora. Se invece vuoi supportare Erriko.it clicca qui.