Man-In-The-Middle y robo de información en sesiones protegidas por SSL

Matias Katz - CISSP / MCSE

www.matiaskatz.com - katz@mkit.com.arGPG: 0x8C7C3B7E

Buenos Aires, Argentina - 28 de Octubre de 2010

Analizando un ataque Man-In-The-Middle

Requests

Replies

Analizando un ataque Man-In-The-Middle (Cont.)

Data Data

Analizando un ataque Man-In-The-Middle (Cont.)

ARP Cache Poisoning

IP: 10.0.1.1MAC: AA-AA-AA

IP: 10.0.1.254MAC: CC-CC-CC

IP: 10.0.1.2MAC: BB-BB-BB

IP: 10.0.1.254MAC: BB-BB-BB

IP: 10.0.1.1MAC: BB-BB-BB

Robo de Información – Protocolos Inseguros

HTTPPOP3 SMTP

IMAPFTP

TELNETSNMPVNC

DEMO

Contramedidas?

Encriptación

Tablas ARP estáticas

IDS / arpwatch

Opciones de encriptación

SSLVPN

IPSec

SSH

Analizando SSL

La información es comprensible

HTTPDATA

Analizando SSL (Cont.)

La información NO es comprensible

HTTPDATA

SSL

Analizando SSL (Cont.)

La intrusión NO se puede

realizar

sslstrip

Evadiendo SSL

Evadiendo SSL (Cont.)

sslstrip

Evadiendo SSL (Cont.)1. HTTPS Request

2. HTTP Redirect

3. Envío de DATA

4. Reenvío de DATA5. Recepción de Respuesta

6. Reenvío de Respuesta

DEMO

Contramedidas

Awareness Training

Forzar HTTPS

Evitar HTTP 302 (Redirect)

Links

arpspoof (dsniff):

http://www.monkey.org/~dugsong/dsniff/# apt-get install dsniff

wireshark:

http://www.wireshark.org/# apt-get install wireshark

sslstrip:

http://www.thoughtcrime.org/software/sslstrip/

Preguntas?Matias Katz - CISSP / MCSE

www.matiaskatz.com - katz@mkit.com.arGPG: 0x8C7C3B7E

Buenos Aires, Argentina - 28 de Octubre de 2010