ig.com.br

$whoami

Bruno Rocha da Silva

Administrador de Sistemas no iG (ig.com.br)

More...: http://about.me/brunorochadasilva :-)

Objetivo

O objetivo principal desta palestra, é demonstrar como um simples ataque “Man in the middle” associado á técnicas de “SSL Hijacking”, podem comprometer informações pessoais em uma rede mal configurada e/ou insegura.

ig.com.br

Importante

A palestra não tem como objetivo fazer apologia a invasão de privacidade digital.

As técnicas aqui presentes devem ser utilizadas apenas para fins éticos.

ig.com.br

ig.com.br

Conceitos Iniciais

HTTPS

Hyper Text Transfer Protocol Secure;

Implementação do protocolo HTTP para suportar o protocolo SSL ou TLS;

Utiliza criptografia assimétrica, simétrica e certificado digital;

Utiliza como padrão a porta 443.

ig.com.br

HTTPS

ig.com.br

ig.com.br

O Problema

ig.com.br

Grande parte das pessoas utilizam HTTPS em duas ocasiões:

● Clicando em links;● Através de redirects (301/302).

Ou seja!

Grande parte das pessoas encontram uma conexão HTTPS via conexão HTTP.

ig.com.br

ig.com.br

Continuando...

Man in the middle

Técnica utilizada para interceptar, registrar e possívelmente alterar a comunicação entre duas partes;

Não perceptiva entre as partes, o que garante a “confidencialidade” da comunicação;

ARP Poisoning, DNS Spoofing, Session Hijacking e SSL Hijacking, são algumas formas de realizar esse tipo de ataque.

ig.com.br

ARP

Adress Resolution Protocol;

Responsável por identificar um determinado Mac Adress, de um determinado endereço IP na rede;

A identificação inicial funciona via broadcast, logo depois, o mesmo é armazenado em cache;

Não há controle de identificação;

O primeiro que responder “ganha”.

ig.com.br

ig.com.br

A ovelha negra da famíliaTCP/IP

ARP Poisoning

ARP Poisoning ou ARP Spoofing, consiste em “envenar” ou “enganar” a tabela CAM do Switch ou a tabela de roteamento do Roteador, através de respostas ARP falsas.

Todos os dispositivos conectados na rede, que solicitarem o endereço MAC de determinado IP, passam a receber o endereço MAC do atacante.

ig.com.br

ig.com.br

A suíte Man in the middle

Ettercap

● Criado originalmente por Alberto Ornaghi e Marco Valleri;

● A idéia inicial era ser um simples Sniffer; ● Hoje é uma suíte completa para ataques Man in

the middle;● Utilizado também em outros tipos de ataques,

como DDOS e Mac Flooding; ● Built-in no Backtrack.

ig.com.br

ig.com.br

SSL Hijacking

Recapitulando

Normalmente grande parte das pessoas utilizam HTTPS em duas ocasiões:

● Clicando em links;● Através de redirects (301/302).

ig.com.br

SSLstrip

Foi pensando nisso que o SSLstrip foi desenvolvido!

ig.com.br

SSLstrip

Criado e apresentando por Moxie Marlinspike na BlackHat de 2009 (mesmo criador do SSLsniff);

Utiliza técnicas de SSL Hijacking para burlar novas sessões;

A comunicação entre a vítima e o atacante ocorre via HTTP, já a comunicação entre atacante e servidor, ocorre via HTTPS.

ig.com.br

Requisitos para o ataque

Estar conectado na mesma rede que a “vítima”;

Estar com o forward de pacotes a nível de Kernel habilitado;

Direcionar todo o tráfego da porta 80 e 443 para a porta do SSLstrip (default 10.000);

Estar com o Man in the middle via ARP Poisoning ativo;

Estar com o SSLstrip ativo.

ig.com.br

DEMO

ig.com.br

Comandos utilizados# sysctl -w net.ipv4.ip_forward=1

# iptables -t nat -A PREROUTING -p tcp --dport 80

-j REDIRECT --to-port 10000

# iptables -t nat -A PREROUTING -p tcp --dport 443

-j REDIRECT --to-port 10000

#cd /pentest/web/sslstrip

#./sslstrip -a -f -k -s -l 10000

# ettercap -TqM arp -P reply_arp // //ig.com.br

ig.com.br

ig.com.br

ig.com.br

E quando se “chama” o HTTPS direto?

ig.com.br

ig.com.br

DEMO

ig.com.br

Detectando e evitando o Ataque

ig.com.br

ArpON - Arp handler inspectiONhttp://arpon.sourceforge.net

Referências● Ettercap Project

http://ettercap.github.io/ettercap/index.html

● SSLstrip Project

https://github.com/moxie0/sslstrip

● Site do Moxie Marlinspike

http://www.thoughtcrime.org

ig.com.br

Contato

E-mail - brunorochadasilva@ig.com.br

Twitter - @brunordasilva

Slideshare – brunorochasbr (nick provisório)

Linkedin - br.linkedin.com/in/brunorochadasilva/

ig.com.br

Perguntas?

ig.com.br