ig.com.br
$whoami
Bruno Rocha da Silva
Administrador de Sistemas no iG (ig.com.br)
More...: http://about.me/brunorochadasilva :-)
Objetivo
O objetivo principal desta palestra, é demonstrar como um simples ataque “Man in the middle” associado á técnicas de “SSL Hijacking”, podem comprometer informações pessoais em uma rede mal configurada e/ou insegura.
ig.com.br
Importante
A palestra não tem como objetivo fazer apologia a invasão de privacidade digital.
As técnicas aqui presentes devem ser utilizadas apenas para fins éticos.
ig.com.br
ig.com.br
Conceitos Iniciais
HTTPS
Hyper Text Transfer Protocol Secure;
Implementação do protocolo HTTP para suportar o protocolo SSL ou TLS;
Utiliza criptografia assimétrica, simétrica e certificado digital;
Utiliza como padrão a porta 443.
ig.com.br
HTTPS
ig.com.br
ig.com.br
O Problema
ig.com.br
Grande parte das pessoas utilizam HTTPS em duas ocasiões:
● Clicando em links;● Através de redirects (301/302).
Ou seja!
Grande parte das pessoas encontram uma conexão HTTPS via conexão HTTP.
ig.com.br
ig.com.br
Continuando...
Man in the middle
Técnica utilizada para interceptar, registrar e possívelmente alterar a comunicação entre duas partes;
Não perceptiva entre as partes, o que garante a “confidencialidade” da comunicação;
ARP Poisoning, DNS Spoofing, Session Hijacking e SSL Hijacking, são algumas formas de realizar esse tipo de ataque.
ig.com.br
ARP
Adress Resolution Protocol;
Responsável por identificar um determinado Mac Adress, de um determinado endereço IP na rede;
A identificação inicial funciona via broadcast, logo depois, o mesmo é armazenado em cache;
Não há controle de identificação;
O primeiro que responder “ganha”.
ig.com.br
ig.com.br
A ovelha negra da famíliaTCP/IP
ARP Poisoning
ARP Poisoning ou ARP Spoofing, consiste em “envenar” ou “enganar” a tabela CAM do Switch ou a tabela de roteamento do Roteador, através de respostas ARP falsas.
Todos os dispositivos conectados na rede, que solicitarem o endereço MAC de determinado IP, passam a receber o endereço MAC do atacante.
ig.com.br
ig.com.br
A suíte Man in the middle
Ettercap
● Criado originalmente por Alberto Ornaghi e Marco Valleri;
● A idéia inicial era ser um simples Sniffer; ● Hoje é uma suíte completa para ataques Man in
the middle;● Utilizado também em outros tipos de ataques,
como DDOS e Mac Flooding; ● Built-in no Backtrack.
ig.com.br
ig.com.br
SSL Hijacking
Recapitulando
Normalmente grande parte das pessoas utilizam HTTPS em duas ocasiões:
● Clicando em links;● Através de redirects (301/302).
ig.com.br
SSLstrip
Foi pensando nisso que o SSLstrip foi desenvolvido!
ig.com.br
SSLstrip
Criado e apresentando por Moxie Marlinspike na BlackHat de 2009 (mesmo criador do SSLsniff);
Utiliza técnicas de SSL Hijacking para burlar novas sessões;
A comunicação entre a vítima e o atacante ocorre via HTTP, já a comunicação entre atacante e servidor, ocorre via HTTPS.
ig.com.br
Requisitos para o ataque
Estar conectado na mesma rede que a “vítima”;
Estar com o forward de pacotes a nível de Kernel habilitado;
Direcionar todo o tráfego da porta 80 e 443 para a porta do SSLstrip (default 10.000);
Estar com o Man in the middle via ARP Poisoning ativo;
Estar com o SSLstrip ativo.
ig.com.br
DEMO
ig.com.br
Comandos utilizados# sysctl -w net.ipv4.ip_forward=1
# iptables -t nat -A PREROUTING -p tcp --dport 80
-j REDIRECT --to-port 10000
# iptables -t nat -A PREROUTING -p tcp --dport 443
-j REDIRECT --to-port 10000
#cd /pentest/web/sslstrip
#./sslstrip -a -f -k -s -l 10000
# ettercap -TqM arp -P reply_arp // //ig.com.br
ig.com.br
ig.com.br
ig.com.br
E quando se “chama” o HTTPS direto?
ig.com.br
ig.com.br
DEMO
ig.com.br
Detectando e evitando o Ataque
ig.com.br
ArpON - Arp handler inspectiONhttp://arpon.sourceforge.net
Referências● Ettercap Project
http://ettercap.github.io/ettercap/index.html
● SSLstrip Project
https://github.com/moxie0/sslstrip
● Site do Moxie Marlinspike
http://www.thoughtcrime.org
ig.com.br
Contato
E-mail - [email protected]
Twitter - @brunordasilva
Slideshare – brunorochasbr (nick provisório)
Linkedin - br.linkedin.com/in/brunorochadasilva/
ig.com.br
Perguntas?
ig.com.br