El ataque Man In the Middle [video tutoriales]

La verdad existe ya bastante información acerca de este fascinante ataque, pero me aventuro a proporcionar mi propia definición:

¿Entendible? Puede que el tema sea algo duro de digerir al principio, puede que no sea bueno explicando cosas, puede que tú no tengas claros algunos conceptos, en todo caso ¿qué tal si miramos cómo funciona esto con algunos video tutoriales?

Pero antes, sería bueno que tuvieras claro el cómo funciona el protocolo ARP: Lectura fácil en la Wikipedia, y el bonito RFC 826 [aquí en español].

Video tutoriales

Los siguientes tres video tutoriales axplican en detalle cómo funciona el ARP Spoofing; y fueron creados por Miguel Angel Calvo (todos los derechos reservados):

• Ver el video 1 – Aquí se explican los conceptos básicos del ARP Spoofing (descargar)
• Ver el video 2 – En donde se explica el uso del Ettercap para realizar un ARP Spoofing (descargar)
• Ver el video 3 – En donde nos enseñan a detectar si estamos bajo un ataque ARP Spoofing (descargar)

¿A poco no son geniales? En los videos anteriores se utiliza Ettercap para realizar el ARP Spoofing. Por supuesto, existen otras maneras de hacerlo, y es lo que veremos a continuación.

ARP Spoofing y ataque Man In the Middle usando dsniff y fragrouter

Iba a escribir algo acerca de cómo hacer ARP Spoofing utilizando las herramientas dsniff (comando arpspoofing) y fragrouter, ambas en los repositorios de la mayoría de las distros. Afortunadamente Informático de Guardia me comentaba que él ya ha escrito acerca los ataques Man in the Mittle, y prescisamente usa dichas herramientas. Así que te invito a que leas en su blog acerca de ello: Ataque man-in-the-middle.

16 Comentarios | deja el tuyo

Wireshark, instalación y conceptos básicos

Wireshark es un capturador/analizador de paquetes de red (llamado a veces, sniffer o esnifer). Wireshark te permitirá ver, aun nivel bajo y detallado, qué está pasando en tu red. Además es gratuito, open source, y multiplataforma. Sin duda la mejor opción al momento de auditar nuestra red.

Posee una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras)

¿Para que/quien es util Wireshark?

• Administradores lo usan para resolver problemas en la red
• Ingenieros lo usan para examinar problemas de seguridad
• Desarrolladores lo usan para depurar la implementación de los protocolos de red
• Estudiantes los usan para aprender internamente cómo funciona una red

Características de Wireshark

• Disponible para Linux y Windows
• Captura de paquetes en vivo desde una intefaz de red
• Muestra los paquetes con información detallada de los mismos
• Abre y guarda paquetes capturados
• Importar y exportar paquetes en diferentes formatos
• Filtrado de información de paquetes
• Resaltado de paquetes dependiendo el filtro
• Crear estadísticas

Instalación de Wireshark

La verdad es que lo tienes muy fácil si usas Debian o sus derivados (Ubuntu, por ejemplo). Tan solo debes hacer lo de siempre:

sudo apt-get install wireshark

Y ya está! Además la mayoría de las distribuciones lo incluyen en sus repositorios, por lo que lo tienes fácil en openSuse, Fedora, o Gentoo. Por ejemplo, en Gentoo:

USE=”adns gtk ipv6 portaudio snmp ssl kerberos threads selinux” emerge wireshark

O FreeBSD:

pkg_add -r wireshark

Sin embargo, si lo que deseas/necesitas es instalarlo desde las fuentes, vamos por ello:

Instalación del Wireshark desde el tarball

Antes que nada, para poder compilar correctamente Wireshark debes tener dos cosas:

• Gtk+ y Glib, que puedes descargar de www.gtk.org
• libpcap, las librerías para captura de paquetes que Wireshark usa. La puedes encontrar en www.tcpdump.org

Ahora, debes descargar el código fuente de la página oficial descomprimirlo e instalarlo:

tar zxvf wireshark-1.0.3.tar.gz
cd wireshark-1.0.3/
./configure
make
sudo make install

Problemas experimentados: personalmente tuve que instalar manualmente bison, flex y gtk+; en muchos sistemas no es necesario, pero mejor que estés preparado.

Entendiendo la interfaz gráfica de Wireshark

Luego de la instalación podrás iniciar el programa con el comando wireshark:

La interfaz gráfica de Wireshark está principalmente dividida en las siguientes secciones (de arriba a abajo):

• La barra de herramientas, donde tienes todas las opciones a realizar sobre la pre y pos captura.
• La barra de herramientas principal, donde tienes las opciones más usadas en Wireshark.
• La barra de filtros, donde podrás aplicar filtros a la captura actual de manera rápida
• El listado de paquetes, que muestra un resumen de cada paquete que es capturado por Wireshark
• El panel de detalles de paquetes que, una vez seleccionado un paquete en el listado de paquetes, muestra información detallada del mismo
• El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.
• La barra de estado, que muestra algo de información acerca del estado actual de Wireshark y la captura.

En el próximo artículo veremos un ejemplo de cómo usar Wireshark y su Live Capture.

19 Comentarios | deja el tuyo

[Video] Surf Jack – Gmail

Surf Jack es una herramienta de seguridad con la que se han demostrado varios errores de seguridad encontrados en muchos sitios web muy usados. Con dica herramienta una atacante puede facilmente robar cookies de sesión en sitios que usen HTTP y HTTPS, y no aseguren las cookies.

Puedes descargar la herramienta desde éste link y éste paper con más detalles. El siguiente video hace una demostración más clara de lo que se puede hacer con esta magnífica herramienta, demostrando cómo un atacante roba la sesión de Gmail usando Surf Jack, y además muestra cómo prevenir este tipo de ataques:

3 Comentarios | deja el tuyo