Man-In-The-Middle y robo de información en sesiones protegidas por SSL
Matias Katz - CISSP / MCSE
www.matiaskatz.com - [email protected]: 0x8C7C3B7E
Buenos Aires, Argentina - 28 de Octubre de 2010
Analizando un ataque Man-In-The-Middle
Requests
Replies
Analizando un ataque Man-In-The-Middle (Cont.)
Data Data
Analizando un ataque Man-In-The-Middle (Cont.)
ARP Cache Poisoning
IP: 10.0.1.1MAC: AA-AA-AA
IP: 10.0.1.254MAC: CC-CC-CC
IP: 10.0.1.2MAC: BB-BB-BB
IP: 10.0.1.254MAC: BB-BB-BB
IP: 10.0.1.1MAC: BB-BB-BB
Robo de Información – Protocolos Inseguros
HTTPPOP3 SMTP
IMAPFTP
TELNETSNMPVNC
DEMO
Contramedidas?
Encriptación
Tablas ARP estáticas
IDS / arpwatch
Opciones de encriptación
SSLVPN
IPSec
SSH
Analizando SSL
La información es comprensible
HTTPDATA
Analizando SSL (Cont.)
La información NO es comprensible
HTTPDATA
SSL
Analizando SSL (Cont.)
La intrusión NO se puede
realizar
sslstrip
Evadiendo SSL
Evadiendo SSL (Cont.)
sslstrip
Evadiendo SSL (Cont.)1. HTTPS Request
2. HTTP Redirect
3. Envío de DATA
4. Reenvío de DATA5. Recepción de Respuesta
6. Reenvío de Respuesta
DEMO
Contramedidas
Awareness Training
Forzar HTTPS
Evitar HTTP 302 (Redirect)
Links
arpspoof (dsniff):
http://www.monkey.org/~dugsong/dsniff/# apt-get install dsniff
wireshark:
http://www.wireshark.org/# apt-get install wireshark
sslstrip:
http://www.thoughtcrime.org/software/sslstrip/
Preguntas?Matias Katz - CISSP / MCSE
www.matiaskatz.com - [email protected]: 0x8C7C3B7E
Buenos Aires, Argentina - 28 de Octubre de 2010