Tema destacado: Sigue las noticias más importantes de elhacker.net en  twitter!
 Autor
|
Tema: Presentan nueva herramienta contra el cifrado SSL de los navegadores (Leído 6,575 veces)
|
|
|
|
berz3k
|
Apenas la descargue hare mis pruebas este finde, o alguien ya se adelanto y ya tiene un PoC interesante?
-berz3k.
|
|
|
|
|
En línea
|
|
|
|
|
hakais
|
Yo probé SSLstrip hace unas semanas, y tengo que decir que funciona al 100%.
Haciendo un simple MITM, y redirigiendo el tráfico del puerto 80 hacia esa herramienta. Cuando la víctima accede a una web con cifrado SSL, la recive sin codificar. La única manera de darte cuenta es fijarte en que se esta utilizando el protocolo http en lugar de https (el 99% de la gente ni se daria cuenta, incluso te pone el favicon del candado y te pinta la barra de direcciones).
Ahora es cuando tenemos que tener en cuenta un poco nuestra ética. Esta herramienta es realmente peligrosa, puedes conseguir contraseñas de cualquier página web (ebay, paypal, gmail, etc...), con tan sólo hacer un MITM. Y imaginad hasta que punto se puede llegar combinándolo con Airbase...
Existe mucho Lammer & ScriptKiddie que no tiene moral suficiente, y no deberian poder utilizar herramientas como esa. Por eso pido, a la gente que ha probado SSLstrip, que no elabore el típico manual "copiar-y-pegar" que utiliza ese tipo de gente. Hacerlo funcionar es realmente sencillo, pero si obligas a que la gente tenga que investigar por su cuenta, ya te quitas de encima al 90% de esos niñatos.
En cuanto a "la solucion" para estar seguro ante este tipo de ataque, yo utilizo el Addon de firefox NoScript y le digo que únicamente permita protocolo https en las páginas web más críticas como gmail, webs de bancos, paypal, etc... De esta manera si hay un SSLstrip en mi red, el propio firefox no me permite entrar en ellas.
|
|
|
|
|
En línea
|
 El hacker es el filósofo de la actualidad |
|
|
Punisher.linux
 Desconectado
Mensajes: 202
localhost
|
Pero ettercap no hace lo mismo? disculpen mi ignorancia XD
|
|
|
|
|
En línea
|
¬¬
|
|
|
|
TRICKY
|
Que tal.
Ettercap??
Hmm.. con filtros dices??
No se, me temo que si quieres hacerlo con Ettercap te lo tendrás que currar bastante.
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
orti13
Desconectado
Mensajes: 47
|
wenas a todos alguien podria explicarme como funciona esta herramienta mas o menos en la consola cuando lo ejecuto da estas opciones pero no se muy bien para que sirve sslstrip 0.1 by Moxie Marlinspike Usage: sslstrip <options> Options: -w <filename>, --write=<filename> Specify file to log to (optional). -p , --post Log only SSL POSTs. (default) -s , --ssl Log all SSL traffic to and from server. -a , --all Log all SSL and HTTP traffic to and from server. -l <port>, --listen=<port> Port to listen on (default 10000). -f , --favicon Substitute a lock favicon on secure requests. -k , --killsessions Kill sessions in progress. -h Print this help message. |
|
|
|
|
En línea
|
Welcome To The Real World
|
|
|
Anubis__
Desconectado
Mensajes: 6
Dios de los muertos
|
Yo probé SSLstrip hace unas semanas, y tengo que decir que funciona al 100%.
Haciendo un simple MITM, y redirigiendo el tráfico del puerto 80 hacia esa herramienta. Cuando la víctima accede a una web con cifrado SSL, la recive sin codificar. La única manera de darte cuenta es fijarte en que se esta utilizando el protocolo http en lugar de https (el 99% de la gente ni se daria cuenta, incluso te pone el favicon del candado y te pinta la barra de direcciones).
Ahora es cuando tenemos que tener en cuenta un poco nuestra ética. Esta herramienta es realmente peligrosa, puedes conseguir contraseñas de cualquier página web (ebay, paypal, gmail, etc...), con tan sólo hacer un MITM. Y imaginad hasta que punto se puede llegar combinándolo con Airbase...
Existe mucho Lammer & ScriptKiddie que no tiene moral suficiente, y no deberian poder utilizar herramientas como esa. Por eso pido, a la gente que ha probado SSLstrip, que no elabore el típico manual "copiar-y-pegar" que utiliza ese tipo de gente. Hacerlo funcionar es realmente sencillo, pero si obligas a que la gente tenga que investigar por su cuenta, ya te quitas de encima al 90% de esos niñatos.
En cuanto a "la solucion" para estar seguro ante este tipo de ataque, yo utilizo el Addon de firefox NoScript y le digo que únicamente permita protocolo https en las páginas web más críticas como gmail, webs de bancos, paypal, etc... De esta manera si hay un SSLstrip en mi red, el propio firefox no me permite entrar en ellas.
100% De acuerdo. Estuve probándolo al poco de salir a la luz y...Es brutal, lógicamente las paginas tardaban mas en cargarse (Lo cual ya te puede poner en sobre-aviso) pero una vez que lo hacían, olvidate, probado en mi propia red con diferentes paginas que utilizan SSL y 100% de efectividad, vamos, todo un peligro, y un bombazo para el autor. Saludos.
|
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal. Pues hay novedades: Moxie Marlinspike] appeared on our radar back in February when he showed sslstrip at Black Hat DC. It was an amazing piece of software that could hijack and rewrite all SSL connections. The differences between a legitimate site and the hijacked ones were very hard to notice. He recently stumbled across something thing that makes the attack even more effective. If you apply for a certificate, the certificate authority looks at the common name on the form and contacts the domain owner. The CA ignores the subdomain. The trick is to drop in a null character in the subdomain. If you register, www.paypal.com[null character].thoughtcrime.org, the CA will contact the owner of thoughtcrime.org and issue the cert. When clients like Firefox use NSS to verify the cert, the null character causes them to think the certficate is valid for www.paypal.com because they stop at the null character. Even if the person examines the cert in their browser, it will show www.paypal.com.Wildcards work as well. You could get a certificate for *[null character].thoughtcrime.org and appear as any site you want. [Moxie] has worked out ways to prevent certificate revocation and browser updates too. This new code will be part of sslsniff 0.6. Fuente: http://hackaday.com/2009/07/29/black-hat-2009-breaking-ssl-with-null-characters/Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
kamsky
|
parece que la ha tomado contra SSL :p
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Video y pdf  :https://media.blackhat.com/bh-usa-09/video/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-VIDEO.mov :http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
hakais
|
Como puede ser que algo tan viejo como utilizar el null caracter para esconder algo, sea todavía efectivo hoy en dia... La culpa de esto la tienen los expendedores de certificados (por aceptar dominios con \0 en el nombre) y los navegadores, por tener rutinas mal hechas que no comprueban el texto que pueda haber detras del \0. En que mundo vivimos....  |
|
|
|
|
En línea
|
El hacker es el filósofo de la actualidad |
|
|
|
kamsky
|
tienes razón hakais, pero bueno, se "salva" firefox que en su última versión no se traga este truquito
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
 |
