Hace ya unas semanas que salió en varios blog's de seguridad
esta curiosa extensión para Firefox que te permitía capturar las cookies que eran enviadas a través de una red wifi no cifrada demostrando una vez más, la inseguridad que provoca el no implementar HTTPS en sitios web que requieran autentificado (y el peligro de conectarse a una red abierta).
Si se sabe algo sobre seguridad wifi no es difícil imaginarse como trabaja esta extensión. A partir de WinPcap/Libpcap pone la interfaz wifi en modo promiscuo (esta conectado con el AP y a la vez captura todo el trafico que circule por la red) y empieza a filtrar los paquetes y cuando tiene una cookie la enseña por pantalla.
Hace ya tiempo que quería trastear un poco con WinPcap y al leer la existencia de esta extensión me decidí. El resultado es una aplicación modo consola que captura la cookies que sean enviadas a través de nuestra red. Mi herramienta no es tan "directa" como lo es FireSheep (con un click ya se te abre una pestaña con las cookies capturadas) pero con la extensión
Add N Edit Cookies de Firefox se puede conseguir el mismo resultado.
Aquí les enseño unas cuantas impresiones del resultado de la consola:
C:\CookieDump>CookieDump.exe
CookieDumper v1.0 by Hendrix
hendrix@elhacker.net
Usage: CookieDump.exe [options]
Options:
-l: List all devices
-d number: Select a device. Example: -d 2
-f "filter": Filter sites. Example: -f "www.google.com;www.msn.es;"
-w file: Write output to file
-n: Don't dump packets of your computer
C:\CookieDump>CookieDump.exe -l
1. \Device\NPF_{1F217971-70F9-4315-8B2C-F5C5728EF91F} (VMware Virtual Ethernet Adapter)
2. \Device\NPF_{E4ABC72B-166E-4CD4-B9A4-E588012828C3} (Marvell Gigabit Ethernet Controller (Microsoft's Packet Scheduler) )
3. \Device\NPF_{34BA4DCA-4941-4C43-A33E-0CA83A295942} (VMware Virtual Ethernet Adapter)
4. \Device\NPF_{E442FFE1-9450-4E52-979B-F4B51F3B121C} (Intel(R) Wireless WiFi Link 4965AGN (Microsoft's Packet Scheduler) )
C:\CookieDump>CookieDump.exe -d 4
[Ok] Device numer 4 attatched
Local Addr: 192.168.0.21
If you wanna terminate the program, press Ctrl+C
[Local] Cooie found!! HSID=*****
[Local] Cooie found!! HSID=****
[Local] Cooie found!! HSID=****
(Evidentemente las cookies las e censurado
)
Como ven, su uso es bastante sencillo, con
-l listamos las interfaces y con
-d y el numero de interfaz la seleccionamos.
La opción
-f es de filtrado, sirve para no mostrar las peticiones a url especificada. Se pueden incluir todas las que queramos, siempre terminadas con ; tal y como aparece en el ejemplo.
la opción
-w es para guardar los resultados en un archivo de texto se guarda exactamente lo mismo que se muestra en la consola.
y finalmente la opción
-n sirve para filtrar los paquetes locales, es decir, no capturamos lo que enviamos nosotros (así únicamente se nos imprimirán los paquetes que no genere nuestro PC).
En la descarga se incluye el ejecutable y el código, así como librerías necesarias para compilar
DescargaNota: Tras varios testeos el resultado obtenido es el mismo que el que obtuve con FireSheep, es decir, la captura de
mis cookies. Probablemente es debido a mi tarjeta de red, agradecería a quien pudiera probar el FireSheep y luego mi aplicación, para ver si de verdad funciona. En teoría el código es el correcto.
PD: Si tengo tiempo, sacaré una herramienta de seguridad contra dicha aplicación
Un Saludo