Ufffff...... todavia siento el escalofrio por la espalda!!! Como puede ser tan fácil?? Cómo una técnica (mas bien, la combinación de varias técnicas) tan sencilla puede echar al traste tanta protección: firewall, HTTPS...??
Bueno, me explico así q poneos cómodos. Resulta q anoche estaba todo cansao de estudiar pa examenes y tire de una revista de HackxCrack (supongo q muchos la conoceréis) para distraerme un rato. Se trataba del número 11, con un excelente artículo anónimo (q pena) sobre
intrusiones en redes locales. Hablaba de la parte teórica de direcciones MAC, redes compartidas y redes conmutadas, protocolo ARP, envenamiento ARP y finalmente IP Spoofing. La parte práctica (sobre Linux
) se centraba en utilizar la herramienta DSniff para llevar acabo las técnicas expuestas en la teoría, como envenenamiento ARP, sniffando el mail y sniffando tráfico HTTPS. La verdad, aún no me explico como deje pasar por alto esta parte del artículo el día q me compre la revista y la leí.
Con permiso del increible autor de este escrito, voy a explicar un poco el desarrollo de esta técnica para aquellos que no tengáis la suerte de haber leído este fantástico número de la revista:
- El escenario es una red local conmutada (con switches necesitamos hacer envenamiento ARP para poder sniffar el tráfico) con un equipo victima, un equipo atacante y un router.
- El objetivo,
obtener la contraseña de acceso a una cuenta de hotmail del usuario víctima.
- La técnica a emplear: Man in the Middle (hombre en el medio).
- La herramienta: DSniff sobre Linux.
1) Instalar DSNiff @
http://naughty.monkey.org/~dugsong/dsniff/ y algunos paquetes necesarios como libnids, libnet....
2) Para situarnos como hombre en el medio entre la victima y el router, activamos
ip forwarding en el equipo atacante para q este permita q el tráfico entre los dos sistemas comprometidos lo atraviese:
intruder:~ # echo 1 > /proc/sys/net/ipv4/ip_forward
3) Envenenar la tabla ARP del equipo víctima haciendole creer q la direccion MAC del equipo atacante corresponde a la IP del router:
intruder:~ # arpspoof -t ip_victima ip_router
4) Haber conseguido un certificado de servidor verificado por una CA (Autoridad Certificadora) necesario en una conexión HTTPS. El equipo víctima requerirá este certificado cuando quiera entrar en la "zona segura" de Hotmail para loguearse. El equipo atacante debe poseer un certificado de estos o bien otro tipo de certificado q no de mucho canteo. Se pueden encontrar.... [EDITADO ANTI-KIDDIES]
5) Engañar al equipo víctima para q realice la petición DNS de hotmail.com al equipo atacante. En caso de q el servidor DNS se sitúe fuera del router, bastará con crear un archivo hotmail.hosts con los nombres de los dominios q el atacante quiere controlar. Es decir, creamos un archivo q contiene:
ip_atacante *.passport.com
ip_atacante *.hotmail.com
ip_atacante *.passport.net
ip_atacante *.msn.com
Dejamos un sniffer para q cuando la víctima solicite la DNS de *.passport.net, el equipo atacante atienda esa petición
intruder:~ # dnsspoof -f hotmail.hosts
6) Comenzamos a sniffar el tráfico q circula entre ambos sistemas comprometidos (solo en la dirección q hemos envenenado: victima hacia router) a través del equipo atacante.
intruder:~ # webmitm -d
Cuando la víctima vaya a mirar su correo, entrará en la página de Hotmail y se conectará con el webmitm del equipo atacante. Entonces pasará a la zona segura y será requerido el certificado de servidor. Si el certificado no está validado por un CA, el explorador canta y salta una ventana preguntando al usuario si acepta ese certificado. Si Acepta, q es lo más normal, ya q tampoco resulta demasiada sospechosa la advertencia, en la consola aparecerá su nombre de usuario hotmail y su password en texto claro.
Bueno, me he tirado todo este rollo para explicar todo el escenario, pero creo q resultará interesante para aquellos q no han podido leer el artículo de esta revista
Ahora bien, mi experiencia no ha sido esa (la probé en Red Hat 9 pero no me acababa de funcionar...) sino sobre Windows y con el
sniffer Cain. Jejejeje, al pobre lo tenia bastante abandonado desde aquella semana q lo deje todos los días sniffando para obtener los hashes SMB de los pardillos de mi red local q entraban a ver el contenido de mis carpetas compartidas y posteriormente crackearlos para obtener las contraseñas de sus cuentas de usuarios. Fue una práctica interesante, pero hubiera dado más juego cuando todos tenían Windows 2000, antes de q apareciera Windows XP y su bloqueo a conexiones remotas por NetBIOS. Todo ese rollo de net use x: \\ip\C$ contraseña /user:usuario......
Bien, en concreto, para la aplicación del robo de contraseñas Hotmail con la técnica de Envenamiento ARP+Sniffado de tráfico anteriormente descrita, Cain funciona a la perfección y ofrece un entorno gráfico cómodo y agradable. El proceso sigue así:
1) Activamos el sniffer.
2) Agregamos los equipos comprometidos (IP_victima -> IP_router) en el envenenamiento ARP (APR Poissoning) y activamos esta opción.
3) El equipo víctima entra en Hotmail, introduce sus datos de login y para entrar en la zona segura HTTPS, es solicitado al equipo atacante el certificado de servidor validado.
4) La victima accede a Hotmail y su nombre de usuario y contraseña aparecerán en [EDITADO ANTI-KIDDIES]
5) BOUM!!!!!! Podemos realizar todo tipo de actividades malvadas con las q siempre hemos soñado, como mirar su correo, entrar en el Messenger con su cuenta y ligar con sus contactos femeninos o incluso mandar emails con su cuenta (Da igual que esto último podamos hacerlo con telnet mail.hotmail.com 25.... mail from...... rcpt to...... Data......., somos los más malos y lo hacemos a través de su cuenta hotmail
)
Por último, varios apuntes:
· El mismo escenario, pero usando Yahoo en vez de Hotmail, nos devuelve la password encriptada (con q algoritmoooo?? sorpresa!!)
· Si en vez de sniffar tráfico HTTPS sniffamos tráfico FTP, a mi me ha dao buenos resultados. He (la víctima) probao a conectarme por consola a un servidor FTP de internet y el Cain del sniffer atacante ha obtenido el usuario y password en texto claro.
· Se supone q el filtro MSN sirve pa capturar hashes de Messenger (me equivoco?). Sin embargo, no he obtenido nada cuando la víctima inicia sesión en Messenger....
· Sobre la aplicación de esta técnica en DSniff, exite un port a Windows @
http://www.datanerds.net/~mike/dsniff.html. No estoy seguro de q implemente toda la opción de sniffar con webmitm pero si incluye el DSniff básico de FTP, el mailsnarf para sniffar correo y WebSpy para ver en tu navegador las mismas páginas q la víctima envenenada.
·
Cómo protegerse de esta técnica!!!Para evitar en primera instancia el envenamiento ARP, la víctima debe introducir la entrada del router de manera ESTÁTICA en su tabla ARP. De esta manera, si no se puede "pisar" la entrada, no se puede redireccionar el tráfico, no hay Man in The Middle!!
Sobre ARP:
- Mostrar las entradas ARP actuales en la tabla:
arp -a - Introducir una entrada estática en la tabla:
arp -s 10.10.0.1 AA-BB-CC-DD-EE-FF (es decir, arp -s IP_router MAC_router)
- Eliminar una entrada estática de la tabla:
arp -d 10.10.0.1 (es decir, arp -d IP_router)
Gracias por haber leído hasta aqui, joer.... no pensé q me iba a ocupar tanto... Lo siento
Todo el mérito de este post es del autor del excelente artículo "Intrusión en redes locales" aparecido en el nº 11 de la revista HackxCrack. Yo sólo hago llegar su mensaje
Jejejejeje, repito que este procedimiento para
obtener la contraseña de Hotmail de una víctima sólo puede ser llevado a cabo en redes de área local así q ya nos hemos quitao de encima el peligro de algunos kiddies q quieren obtener por internet la contraseña de Hotmail de una tia buena de su clase pa saber si tiene novio o de q marujea con sus amigas
Pd: Me hubiera gustao ver la cara de Rojodos al ver el título del Asunto de este post
(Al principio lo llame: "Hackeando Hotmail (y esta vez va en serio....)" )
Salu2
.Gospel
Autor
En línea
.jpg)
