¿En que se basa la prueba?
En esta prueba se procede al Sniffeo de la red, específicamente para burlar el protocolo https, lo que se hará en esta prueba sera hacer un ataque man in the midle, para así interceptar todas las peticiones del «cliente» hacia los servidores que están en internet brindado los servicios requeridos, con unas herramientas que mas adelante se describirán, el ataque se basa en desconfigurar la configuración que tiene el «cliente» basada en redes IPv4, asignándole una configuración de red nueva basada en IPv6, esto se hace con un ataque SLAAC, con el fin de conseguir los datos de registro para entrar, al servicio que brinda esa página web.
¿Que herramientas se utilizaran en esta prueba?
La siguiente prueba se realizara, apoyándonos en las herramientas de seguridad de redes, FOCA, que se podrá encontrar su fácil descarga e información, en la página web de sus desarrolladores http://www.informatica64.com/evilfoca/, WireShark, mencionada en otros artículos, donde también se podrá encontrar su descarga gratuita e información en la página web de sus desarroladores https://www.wireshark.org/ y un cliente configurado correctamente en una máquina virtual con el sistema operativo que a nosotros nos guste.
FOCA versión: EVIL FOCA (DEFCON21) – 0.1.3.0
WireShark versión: WireShark 1.12.1
Máquina virtual con S.O con: Windows 7 Professional 64 bits – VirtualBox
Comienza la prueba
Paso 1: Tener la máquina virtual inciada y con acceso a internet, una vez comprobado esto, se vera que configuración de red tiene la misma.
Como podemos ver en la misma imagen, el servicio DHCP le ha asignado una configuración de red basada en IPv4, como comentaba anteriormente para hacer este ataque tendríamos que darle una configuración de IPv6 mediante el ataque SLAAC.
Paso 2: Este paso tenemos que abrir la herramienta de seguridad informática, llamada Evil FOCA, y tener localizado el «cliente» objetivo, una vez, localizado se procederá a realizar el ataque SLAAC.
Una vez localizado el «cliente» objetivo, seleccionamos la pestaña SLAAC, después se añadirá la dirección IPv6 de este cliente y se pulsara start, para que proceda al ataque SLAAC y para que FOCA haga el ataque MITM.
En este punto le daremos al botón «+» se nos abrirá un cuadro de diálogo, donde nos mostrara las IP´s basadas en IPv6, seleccionamos la del «cliente» y pulsamos «Accept».
Llegados a este punto se nos añadirá al apartado del ataque SLAAC el «cliente», una vez añadido pulsaremos «Start» para que comience el ataque.
Al pulsar el botón «Start» se nos informara de que el ataque esta siendo realizado.
¿Como comprobamos de que el ataque esta siendo efectivo?
Fácil nos vamos a la maquina virtual, en cmd colocamos el comando «ipconfig» y como había comentado anteriormente teníamos que darle una configuración de red basada en IPv6.
Y efectivamente tenemos una configuración de red basada en IPv6, el siguiente paso de esta prueba es abrir un navegador y probar con alguna página web que trabaje con el protocolo HTTPS, en mi caso, he elegido www.gmail.com todo este proceso se debe hacer con wireshark analizando la red. Lo que se deberá configurar antes de analizar la red, es por donde lo vamos a analizar, en mi caso sera por Wi-Fi, una vez seleccionado por donde vamos a analizar, pulsaremos «Start», para que empiece analizar.
Aquí una captura de como empieza a capturar.
Después entramos al navegador, y empezamos a loguearnos, en este caso en gmail.com.
En la siguiente captura os daréis cuenta de que, la página web ya no inicia con el protocolo HTTPS si no con el HTTP y así nos permitirá atrapar los paquetes del login.
Una vez dentro, procedemos a loguearnos en el servicio de correo.
Una vez iniciada la sesión, procederemos a parar de sniffear la red.
Después de haber parado el sniffeo de la red, procederemos a filtrar los paquetes obtenidos mediante «http.request.method== POST».
Una vez filtrados los paquetes cazados, nos aparecerá un paquete seleccionado, lo abrimos y nos iremos a la última linea la abriremos y procederemos a su lectura.
Una vez abierto, iremos a la última linea.
Y como se puede apreciar, en la linea Email y Passwd, están las credenciales que se han ingresado en el proceso de acceso a gmail.com.
Saludos, David De Maya Merras.