Ettercap e l’attacco Man In The Middle (Parte 1)

Vi siete sempre chiesti se sniffare informazioni, dati, password all’interno della vostra rete sia possibile?
Con la mini-serie di guide che innauguriamo con questo post cercheremo di trattare l’argomento nella maniera più semplice possibile, con alcuni esempi pratici e screenshots che vi mostreranno quanto sia (in)sicura la vostra rete domestica se penetrata da un malintenzionato, non facendoci sfuggire l’occasione di imparare qualcosina in più anche a livello teorico (spero non vi dispiaccia ).

Ma cos’è Ettercap?

Ettercap è un tool creato da due nostri bravissimi conterranei: Alberto Ornaghi (ALoR) e Marco Valleri (NaGA). Essenzialmente si tratta di uno sniffer in grado di ricevere pacchetti anche in ambienti switchati e fornisce gli strumenti necessari ad eseguire attacchi di tipo Man In The Middle usufruendo di una comoda

interfaccia grafica (il che è ottimo per chi il terminale non lo manda proprio giù) e sfruttando il protocollo ARP.

Una volta effettuato il Man In The Middle (abbreviato in MITM) è possibile:

- modificare, sostituire o cancellare i dati in transito di una connessione
- intercettare password trasmesse su protocolli come FTP, HTTP, POP, SSH, ecc …
- fornire certificati SSL falsi durante le sessioni HTTPS delle “vittime”.
- ed altre funzioni molto interessanti che è possibile espandere grazie a vari plugins.

Vedremo di dare brevemente un paio di nozioni necessarie ad una visione di insieme.

Protocollo ARP

L’attacco MITM sfrutta le vulnerabilità del protoccolo ARP.

Il protocollo ARP (Address Resolution Protocol) altro non è che il sistema che permette, all’interno di una rete che utilizza il protocollo IP, di convertire l’indirizzo IP in MAC address, così da instradare correttamente ogni pacchetto dati.

Per evitare che ad ogni pacchetto dati ARP debba elaborare l’indirizzo, è presente una memoria cache che memorizza le associazioni tra IP e MAC per un certo periodo di tempo.
Ebbene lavorando sulla cache è possibile “scambiare i ruoli”, cioè le associazioni tra i vari indirizzi e prendere quindi con una macchina il posto di un’altra e via dicendo.

Man In The Middle (MITM)

Lavorando sul protocolla ARP, e manipolando la cache che ogni macchina conserva si arriva a questo tipo di attacco che, ad oggi, costituisce una spina nel fianco per i sistemi di cifratura a chiave pubblica.

Come si capirà dal nome (letteralmente: uomo nel mezzo) si tratta di un attacco nel quale il “pirata” (ma nel nostro caso non lo siamo visto che testiamo rigorosamente tutto sulla nostra rete) si posiziona virtualmente “nel mezzo” di due macchine che comunicano tra loro.

Una volta effettuato l’attacco, per chi sta nel mezzo è possibile intercettare il traffico dati che le due macchine ignare di tutto stanno trasmettendosi l’un l’altra.

L’attacco

Come dicevamo più su, il protocollo ARP serve a “trovare facilmente” gli altri pc connessi in rete ai quali sono destinati determinati pacchetti dati.

Ora: quando una macchina vuole contattarne un’altra invia dei pacchetti broadcasting contenenti l’indirizzo MAC della macchina da contattare (sulla base delle associazioni MAC->IP conservate nella propria cache). E’ un po’ se chiamasse in continuazione l’altra macchina tramite messaggi fino ad ottenere risposta.

L’attaccante non fa altro che “rispondere per primo” al messaggio con uno nuovo, falso, che informa l’altra macchina che l’ip che desidera non è più associato al MAC che quella credeva, bensì al proprio! Questo tipo di attacco si chiama ARP Poisoning o ARP spoofing, e su di questo si basa il MITM.
Grazie all’ARP Poisoning un attaccante può “mettersi in mezzo” facendo credere, ad esempio, al router di essere un determinato client e a quest’ultimo di essere il router, così da ricevere (ed eventualmente manipolare) tutto il traffico internet del client vittima.

Chiariti i concetti base possiamo procedere ad installare il tool ed avviare lo sniffing, argomenti presenti nella seconda parte della guida.