Anteriormente vimos como SSL evitaba que pudiésemos realizar un MiTM, ya que al ir cifrados por clave publica/privada aunque el atacante comprometa la conexión es incapaz de ver su contenido, pero en vez de daros la chapa de leer, la chica de Google os lo cuenta:

Por suerte (o desgracia) Ettercap a través de IPTABLES puede redireccionar el trafico dando un certificado falso que no esta firmado por una CA reconocida, para ello editamos el fichero etter.conf que puede estar o en /etc/etter.conf o C:\Archivos de programa\EttercapNG\share\etter.conf en Windows, yo como no se lo pregunto a BackTrack:

whereis

Editamos el fichero(s)  y tenemos que cambiar el UID y el GID a 0 para que use los permisos de Root y descomentar la linea de IPTABLES que pone redirect_command_on y redirect_command_off:

etterConfecc_uid =0

ecc_gid = 0

etterConf2

Si ahora lanzamos el ataque normal y corriente, los navegadores al no conocer el origen del certificado desconfiaran y nos mostrar un mensaje que seguro que os suena:

GoogleFirefox

Chrome

ChromeIEIE

Que decir, de nuevo la ultima palabra la tiene el usuario, siendo este el que escoge si añadirlo a Excepciones o no corriendo su propio riesgo, sin duda una alerta destacable es el caso de Chrome esta en rojo y no nos deja continuar, cosa que siempre asusta más…

Sí conseguimos que el usuario lo considere benigno, habremos asaltado la capa SSL y ettercap sera capaz de cazar las passwords:

SSLPassword

En wireshark no lo vemos por que el certificado se crea automáticamente cada vez que se reclama un certificado, en el man de Ettercap te lo cuentan:

HelpEttercapSSL

Para añadir un certificado en Wireshark basta con ir a Edit > Preferences > Protocols > SSL > Edit RSA List y añadir el certificado:

WiresharkSSLConf

 Edit > Preferences > Protocols > SSL >

Espero que os haya gustado y nos vemos en la próxima!

Anuncios

»

  1. Me ha gustado mucho como siempre. En mi caso, no me sería raro saltar el aviso del navegador, pues para entrar a la página de la facultad por ejemplo (supuestamente fiable :P) debo hacerlo, y por extensión…Como Linuxgeek que soy, me gusta que hayas usado ese “whereis”, y la observación del aspecto psicológico del warning. Gracias por tu explicación master¡¡

    • Ike dice:

      Si, el vídeo comenta eso, si la uni se monta un servidor y ELLOS MISMOS generan el certificado, el navegador no lo reconocerá hasta que lo añadas a excepciones,es lo normal, pero si Google o Twitter que pagan para que su certificado este reconocido, te da un certificado invalido… paranoia

      Linux de vez en cuando me esconde los archivos =P

      El usuario! ese gran desconocido!
      Gracias a ti por leerme =)

  2. martin dice:

    tio eres un puto genio tengo demasiado que aprender T.T

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s