Tema destacado: Nueva página de elhacker.net en Google+ 
 Autor
|
Tema: Dsniff, webmitm ...and man in the middle! (Leído 10,163 veces)
|
|
TRICKY
|
Bueno, mirad, este tema ha sido y aun es muy discutido en el tema de la seguridad. Si animo alguno de ofensa, me extrania que no hayan leido sobre este caso de webmitm... Por lo que veo, se ve que no; sin reproche alguno ojo. Saludos. /*** MOD ***/ pero es que no es un ataque a SSL!!! es un ataque contra la irresponsabilidad de los usuarios...
Bueno, mirandolo asi es como dice kamsky  Es un ataque MITM a SSL ! |
|
|
|
« Última modificación: 25 Septiembre 2009, 13:43 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
kamsky
|
pero Averno, es que tu estás diciendo que con webmitm estás atacando a SSL, y eso es mentira completamente!!! lo único que haces es crear certificados falsos, intentando engañar al cliente...
p.d.: he usado webmitm más de una vez y de dos...
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
TRICKY
|
Amigo kamsky !
Perdoname que haya usado la terminologia con la que se ha denominado desde el principio a este ataque que vio un tanto la luz publica con la tool de Dug Song: Ataque A SSL.
Perdona, pero matizando es como dices; esta claro que si el user no acepta nuestro certificado no hay mitm, no hay ataque.
Saludos!
/*** MOD ***/
es que claro, visto asi.. SSLstrip no es tampoco un "ataque a ssl". Es como se denominan, pero por supuesto no es un ataque al protocolo en si, ya que en el protocolo no hay vulnerabilidad descrita. Cabe decir que Dug Song implemento sshmitm para ssh, ssh v1.
|
|
|
|
« Última modificación: 25 Septiembre 2009, 16:07 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
kamsky
|
jajaja, no pasa nada, pero es que parece que es una diferencia tonta, y en otros casos quizás si, pero en este no...si hubiese ataques a SSL creeme que temblarían muuuuuuuuchos cimientos
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
TRICKY
|
jajaja, no pasa nada, pero es que parece que es una diferencia tonta, y en otros casos quizás si, pero en este no...si hubiese ataques a SSL creeme que temblarían muuuuuuuuchos cimientos
Totallllllllllmente de acuerdo ! Muhahhahahahaa!
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
TRICKY
|
pero es que no es un ataque a SSL!!! es un ataque contra la irresponsabilidad de los usuarios... Es que es ese exactamante el "lei motive" del "ataque a ssl" que se "implementa" con webmitm. Lo que me extrania es que se haya deducido tan tarde ... Es decir, se ha estado hablando de webmitm, y se deduce el como trabaja al final.  Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
miguel86
 Desconectado
Mensajes: 258
|
Hola a todos otra vez.
No es un ataque a SSL está claro igual que si pones sslstrip en google encontrarás muchas páginas de que hablan de vulnerabilidad en SSl, SSL no es seguro, no funciona y bla bla bla, lo cuál es falso. El problema es que la política de seguridad SSL no está bien implementada de cara al usuario final pero no es problema de SSL.
Este ataque (con el webmitm) no tiene ningún misterio sabemos todos como funciona de sobra, y no no funciona porque de cada diez personas 8 o 9 después de salirle la alerta enmarcada en fondo rojo al entrar a hotmail se mosquea y no continúa, por no hablar de lo cantoso que eso es para el atacante, no es que sea un ataque a la seguridad de nada, nadie se atreve a hacer esto en una red porque te buscas un problema seguro.
Averno pero es que tu hablabas de "no olvidemos que webmitm es un ataque de mitm y como tal tenemos acceso a las datas en plano antes de mandarlas nosotros","así que si que se puede", decías que esto era asi para protocolos seguros como ssl, esto es falso, nunca obtienes los datos en plano de la victima y eres tú quien los cifras y los envías, lo que hay que decir claro es que esto no es así, por eso hemos explicado como funciona webmitm (no deducido al final como dices) para explicar que no que esto no se puede hacer que consiste simplemente en un certificado falso, esto ni es ningún descubrimiento ni bombazo de ataque ni ha sido ampliamente discutido.
Salu2
|
|
|
|
« Última modificación: 25 Septiembre 2009, 15:34 por miguel86 »
|
En línea
|
|
|
|
|
|
|
TRICKY
|
Que tal.
Antes que nada, por favor centremonos en: Dsniff, webmitm ...and man in the middle!
Nada de discusiones personales, por favor.
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
aver.. lamento seguir al offtopic..
pero hablamos de problemas y problemas..
como solucionamos la invisibilidad de SSL..??
no esta muy explicado al user final y de esto no aprovechamos para ejecutar ataques..
como evitariamos que la gente no se fijase en si es HTTPS o HTTP¿???
|
|
|
|
|
En línea
|
|
|
|
|
kamsky
|
que como podríamos hacer que la gente tuviese conciencia de lo importante de su seguridad??
pues educándola desde el principio, igual que nos enseñan que cuando sales de casa hay que cerrar la puerta, echarle la llave, etc...
algunos navegadores ponen la barrita en color, el candado, etc...
y por supuesto, las empresas deberían de ser los primeros en concienciarse de la importancia de la seguridad, mediante el uso de Certificados de validación extendida (EV's), hace poco leí un artículo donde hablaba del uso de estos en grandes empresas de internet (bancos,subastas,compra/venta,...) y el 90% NO usaba EV's...
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
miguel86
Desconectado
Mensajes: 258
|
que como podríamos hacer que la gente tuviese conciencia de lo importante de su seguridad??
pues educándola desde el principio, igual que nos enseñan que cuando sales de casa hay que cerrar la puerta, echarle la llave, etc...
algunos navegadores ponen la barrita en color, el candado, etc...
y por supuesto, las empresas deberían de ser los primeros en concienciarse de la importancia de la seguridad, mediante el uso de Certificados de validación extendida (EV's), hace poco leí un artículo donde hablaba del uso de estos en grandes empresas de internet (bancos,subastas,compra/venta,...) y el 90% NO usaba EV's...
Exacto. El usuario también es parte de la seguridad, del sistema ya que toma las decisiones, si tienes una puerta en tu casa pero la dejas abierta... En cambio en informática la gente no es tan sensible como en la vida real. Sobre los certificados de validación extendida, los certificados siempre son fiables los de validación extendida son un tipo de certificados cuyo proceso es más estricto, es decir cuando tu quieres un certificado firmado por una autoridad, debes primero demostrar que hablas en nombre de la empresa, normalmente te hacen rellenar un formulario y quizás esto no es suficiente, los de validación extendida te piden más datos para certificar que eres quien dices que eres, aunque también pagas muchos más por ellos al año, independientemente esto no afecta a la seguridad en sí de un certificado sino a que realmente garantize que es tu clave pública, es decir al proceso de que te firmen el certificado, es algo así como ir a la guardia civil a que te renoven el dni haciéndote pasar por otro y la guardia civil no se cerciora de que eres quien dices que eres, es un aditivo más sobretodo para las pequeñas empresas. Sobre lo del mitm en ssl, no hace falta webtmitm el ettercap lo hace automaticamente descomentando una línea en etter.conf (que trata sobre el uso de iptables para poder intervenir en las conexiones ssl) así que con hacer arp spoofing lo hace automaticamente, así que tened cuidado los que seguis tutoriales para el ettercap no sea que guien a desmarcar esta línea y luego al hacer arp spoofing os penséis que haceis solo arp spoofing y como consecuencia a quien se lo hagais ni puede usar el messenger, y se va a cantear mucho en las páginas de ssl y os vais a buscar problemas, asi que cuidado. Salu2
|
|
|
|
« Última modificación: 29 Septiembre 2009, 01:12 por miguel86 »
|
En línea
|
|
|
|
|
kamsky
|
esto no afecta a la seguridad en sí de un certificado sino a que realmente garantize que es tu clave pública, es decir al proceso de que te firmen el certificado pero es que es ese el asunto, que se usen EV's Certificates para que NOSOTROS confiemos más en la vericidad del certificado o no. a mi si me das a elegir entre un banco/tienda online/etc... que use certificados normales y una que use EV's, me quedo sin pensármelo con esta última, simplemente por el hecho de que me dan a entender que están más concienciados y preocupados por el tema de la seguridad, y que aprovechan todas las posibilidades existentes no quedándose en lo básico
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
alexmacan
Desconectado
Mensajes: 101
|
Buenasss es la misma pregunta que me ha tenido ami en vilo bastante tiempo, en principio yo tambien estuve tanteando la opcion del Dsniff pero no conseguí echarlo a correr, y me decidí por otras opciones, voy a hacer un pequeño resumen ( A GRANDES RASGOS) de lo que yo comprendí, pero antes de todo volver a agredecer a todos los users que me ayudaron, ya que sin ellos todavía estaria instalando el ettercap.... Las Herramientas que utilizé: Ettercap SSLstrip 0.6 (no recomiendo la 0.5 ya que esta buggeada y me volvio loco) Wireshark Lo primero es ejecutar SSLstrip (README), segun entendí este programa hace creer que la informacion permanece crifrada durante su curso, pero desde la victima hasta el mitm no es asi. Luego hacer un envenenamiento ARP, con Ettercap para que todos los paquetes del pc victima pasen por tu pc antes de llegar al router (mitm) Finalmente abrir Wireshark, hacer el sniff y leer los paquetes He leido por encima el post, y de lo que hablais sobre hotmail no puedo opinar pero si puedo decir que consegui sacarme mi propia clave de Gmail y Tuenti, nose si el protocolo de gmail sera el mismo que hotmail. Ruego que me perdoneis las grandes barbaridades cometidas en estos pequeños renglones, ha saber que abre dicho que no comprenda, pero todavía soy un ignorante que intenta ayudar  Un Saludo espero que sirva para aclarar ideas, sino intentare aclarar el punto que no entiendas. PD: estoy documentandome sobre netcat y varias cosas dentro de poco posteare alguna pregunta, espero que los grandes users y moderadores, no os enfadeis comigo ya que mi ultimo post dio mucho que hablar y mareé a muchos  PD: la ortografia no es mi fuerte... |
|
|
|
|
En línea
|
|
|
|
|
 |
