Enviado por hitz el Mar, 04/28/2009 - 11:19.
Posted in
En febrero de este año, Moxie Marlinspike presentó en Black Hat una herramienta llamada sslstrip que mostró lo realmente vulnerable que es el cifrado SSL actual. El software recibe el tráfico http del puerto 80, y en caso de que exista encriptación, se la quita y engaña al usuario haciéndolo creer que se encuentra en una web cifrada cuando en realidad todo va en texto plano. Esto puede tener una repercusión enorme, ya que combinándolo con un MITM o instalándolo en un gateway se pueden conseguir todas las contraseñas y datos de las webs que utilizan SSL: gmail, yahoo, paypal, lacaixa, etc...
Yo hice la prueba en mi propia red local, y funciona sin excepción. Incluso ssltrip tiene una opción para cambiar el favicon por el típico candado que sale en la mayoria de webs. La única manera de detectarlo es fijarse en que a la barra de direcciones sale http en lugar de https. Aunque puedo asegurar que el 95% de la gente no se daria cuenta...
Según el propio autor, la única manera, actualmente, de estar seguro, es encriptarlo todo. Cosa obviamente no vigente hoy en dia. Yo sin embargo he optado por utilizar el Addon de firefox NoScript, que permite establecer una lista de sitios webs donde únicamente se permite SSL. De esta manera si hay un sslstrip por medio, el propio firefox no me deja acceder.
A decir verdad, la aparición de este software es toda una revolución, imaginad que se podria conseguir combinando sslstrip y Airbase... creando un servidor DHCP y haciendo forwarding hacia una salida real a internet. Tenia un manual preparado para publicar sobre ello, pero he decidido no hacerlo, ya que internet esta lleno de Script-Kiddies... y esto seria un arma realmente peligrosa a manos de dichos lammers
Lo único que voy a publicar es como funciona sslstrip, ya que eso también se encuentra en su README
Podemos descargar el software de: http://www.thoughtcrime.org/software/sslstrip
Primero redirigimos el tráfico del puerto 80 hacia cualquier otro que escuchará sslstrip:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 55555
Y después ejecutamos sslstrip indicándole el puerto (la -k es para que cancele las conexiones la existentes)
python sslstrip.py -l 55555 -k
Por último sólo queda utilizar algún sniffer tipo ettercap o wireshark para capturar los datos que navegan ya sin codificar.
Espero que esto sirva para que la gente tome consciencia de la inseguridad que supone la navegación web.
- Inicie sesión o regístrese para enviar comentarios