ig.com.br
$whoami
Bruno Rocha da Silva
Administrador de Sistemas no iG (ig.com.br)
More...: http://about.me/brunorochadasi...
Objetivo
O objetivo principal desta palestra, é
demonstrar como um simples ataque “Man in
the middle” associado á técnicas...
Importante
A palestra não tem como objetivo fazer
apologia a invasão de privacidade digital.
As técnicas aqui presentes de...
ig.com.br
Conceitos Iniciais
HTTPS
Hyper Text Transfer Protocol Secure;
Implementação do protocolo HTTP para
suportar o protocolo SSL ou TLS;
Utiliza c...
HTTPS
ig.com.br
ig.com.br
O Problema
ig.com.br
Grande parte das pessoas utilizam HTTPS em
duas ocasiões:
● Clicando em links;
● Através de redirects (301/302).
Ou seja!
Grande parte das pessoas encontram uma
conexão HTTPS via conexão HTTP.
ig.com.br
ig.com.br
Continuando...
Man in the middle
Técnica utilizada para interceptar, registrar e
possívelmente alterar a comunicação entre
duas partes;
N...
ARP
Adress Resolution Protocol;
Responsável por identificar um determinado
Mac Adress, de um determinado endereço IP na
re...
ig.com.br
A ovelha negra da famíliaTCP/IP
ARP Poisoning
ARP Poisoning ou ARP Spoofing, consiste em
“envenar” ou “enganar” a tabela CAM do
Switch ou a tabela de rote...
ig.com.br
A suíte Man in the middle
Ettercap
● Criado originalmente por Alberto Ornaghi e
Marco Valleri;
● A idéia inicial era ser um simples Sniffer;
● Hoje ...
ig.com.br
SSL Hijacking
Recapitulando
Normalmente grande parte das pessoas
utilizam HTTPS em duas ocasiões:
● Clicando em links;
● Através de redi...
SSLstrip
Foi pensando nisso que o
SSLstrip foi desenvolvido!
ig.com.br
SSLstrip
Criado e apresentando por Moxie Marlinspike na
BlackHat de 2009 (mesmo criador do SSLsniff);
Utiliza técnicas de ...
Requisitos para o ataque
Estar conectado na mesma rede que a “vítima”;
Estar com o forward de pacotes a nível de
Kernel ha...
DEMO
ig.com.br
Comandos utilizados
# sysctl -w net.ipv4.ip_forward=1
# iptables -t nat -A PREROUTING -p tcp --dport 80
-j REDIRECT --to-p...
ig.com.br
ig.com.br
ig.com.br
E quando se “chama” o HTTPS direto?
ig.com.br
ig.com.br
DEMO
ig.com.br
Detectando e evitando o Ataque
ig.com.br
ArpON - Arp handler inspectiON
http://arpon.sourceforge.net
Referências
● Ettercap Project
http://ettercap.github.io/ettercap/index.html
● SSLstrip Project
https://github.com/moxie0/...
Contato
E-mail - brunorochadasilva@ig.com.br
Twitter - @brunordasilva
Slideshare – brunorochasbr (nick provisório)
Linkedi...
Perguntas?
ig.com.br
Próximos SlideShares
Carregando em…5
×

Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre

3.868 visualizações

Publicada em

Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre.
Apresentada no FISL 14 no dia 03/07/2013

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.868
No SlideShare
0
A partir de incorporações
0
Número de incorporações
168
Ações
Compartilhamentos
0
Downloads
78
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre

  1. 1. ig.com.br $whoami Bruno Rocha da Silva Administrador de Sistemas no iG (ig.com.br) More...: http://about.me/brunorochadasilva :-)
  2. 2. Objetivo O objetivo principal desta palestra, é demonstrar como um simples ataque “Man in the middle” associado á técnicas de “SSL Hijacking”, podem comprometer informações pessoais em uma rede mal configurada e/ou insegura. ig.com.br
  3. 3. Importante A palestra não tem como objetivo fazer apologia a invasão de privacidade digital. As técnicas aqui presentes devem ser utilizadas apenas para fins éticos. ig.com.br
  4. 4. ig.com.br Conceitos Iniciais
  5. 5. HTTPS Hyper Text Transfer Protocol Secure; Implementação do protocolo HTTP para suportar o protocolo SSL ou TLS; Utiliza criptografia assimétrica, simétrica e certificado digital; Utiliza como padrão a porta 443. ig.com.br
  6. 6. HTTPS ig.com.br
  7. 7. ig.com.br O Problema
  8. 8. ig.com.br Grande parte das pessoas utilizam HTTPS em duas ocasiões: ● Clicando em links; ● Através de redirects (301/302).
  9. 9. Ou seja! Grande parte das pessoas encontram uma conexão HTTPS via conexão HTTP. ig.com.br
  10. 10. ig.com.br Continuando...
  11. 11. Man in the middle Técnica utilizada para interceptar, registrar e possívelmente alterar a comunicação entre duas partes; Não perceptiva entre as partes, o que garante a “confidencialidade” da comunicação; ARP Poisoning, DNS Spoofing, Session Hijacking e SSL Hijacking, são algumas formas de realizar esse tipo de ataque. ig.com.br
  12. 12. ARP Adress Resolution Protocol; Responsável por identificar um determinado Mac Adress, de um determinado endereço IP na rede; A identificação inicial funciona via broadcast, logo depois, o mesmo é armazenado em cache; Não há controle de identificação; O primeiro que responder “ganha”. ig.com.br
  13. 13. ig.com.br A ovelha negra da famíliaTCP/IP
  14. 14. ARP Poisoning ARP Poisoning ou ARP Spoofing, consiste em “envenar” ou “enganar” a tabela CAM do Switch ou a tabela de roteamento do Roteador, através de respostas ARP falsas. Todos os dispositivos conectados na rede, que solicitarem o endereço MAC de determinado IP, passam a receber o endereço MAC do atacante. ig.com.br
  15. 15. ig.com.br A suíte Man in the middle
  16. 16. Ettercap ● Criado originalmente por Alberto Ornaghi e Marco Valleri; ● A idéia inicial era ser um simples Sniffer; ● Hoje é uma suíte completa para ataques Man in the middle; ● Utilizado também em outros tipos de ataques, como DDOS e Mac Flooding; ● Built-in no Backtrack. ig.com.br
  17. 17. ig.com.br SSL Hijacking
  18. 18. Recapitulando Normalmente grande parte das pessoas utilizam HTTPS em duas ocasiões: ● Clicando em links; ● Através de redirects (301/302). ig.com.br
  19. 19. SSLstrip Foi pensando nisso que o SSLstrip foi desenvolvido! ig.com.br
  20. 20. SSLstrip Criado e apresentando por Moxie Marlinspike na BlackHat de 2009 (mesmo criador do SSLsniff); Utiliza técnicas de SSL Hijacking para burlar novas sessões; A comunicação entre a vítima e o atacante ocorre via HTTP, já a comunicação entre atacante e servidor, ocorre via HTTPS. ig.com.br
  21. 21. Requisitos para o ataque Estar conectado na mesma rede que a “vítima”; Estar com o forward de pacotes a nível de Kernel habilitado; Direcionar todo o tráfego da porta 80 e 443 para a porta do SSLstrip (default 10.000); Estar com o Man in the middle via ARP Poisoning ativo; Estar com o SSLstrip ativo. ig.com.br
  22. 22. DEMO ig.com.br
  23. 23. Comandos utilizados # sysctl -w net.ipv4.ip_forward=1 # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 10000 # iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 10000 #cd /pentest/web/sslstrip #./sslstrip -a -f -k -s -l 10000 # ettercap -TqM arp -P reply_arp // // ig.com.br
  24. 24. ig.com.br
  25. 25. ig.com.br
  26. 26. ig.com.br
  27. 27. E quando se “chama” o HTTPS direto? ig.com.br
  28. 28. ig.com.br
  29. 29. DEMO ig.com.br
  30. 30. Detectando e evitando o Ataque ig.com.br ArpON - Arp handler inspectiON http://arpon.sourceforge.net
  31. 31. Referências ● Ettercap Project http://ettercap.github.io/ettercap/index.html ● SSLstrip Project https://github.com/moxie0/sslstrip ● Site do Moxie Marlinspike http://www.thoughtcrime.org ig.com.br
  32. 32. Contato E-mail - brunorochadasilva@ig.com.br Twitter - @brunordasilva Slideshare – brunorochasbr (nick provisório) Linkedin - br.linkedin.com/in/brunorochadasilva/ ig.com.br
  33. 33. Perguntas? ig.com.br

×