Pagine:

  1. ...
  2. <
  3. 4
  4. 5
  5. 6
  6. 7
RSS

Sniffing pratico in una LAN

di: Marco Buratto     28 Novembre 2007

Abilitiamo ora lo sniffing SSL in Ettercap, da file di configurazione /etc/etter.conf (sezione redir_command_on/off, eliminando il commento dalle righe della sottosezione iptables) ed iniziamo l'attacco man in the middle prima che la connessione SSL tra gli end-point abbia inizio, ovvero prima che l'utente inserisca l'URL da browser.

In questo caso, all'atto della connessione, l'utente di Firefox vedrà una pop-up simile alla seguente:

Figura 1: Finto certificato in Firefox

Certificato in Firefox

Il sito https://addons.mozilla.org esporrebbe un certificato valido, firmato da una CA riconosciuta dal browser. Quello che il browser riceve nell'attacco non è però il certificato del sito Web detto, ma quello creato da Ettercap, ed avvisa l'utente del pericolo. Se l'utente, ignaro, accetta, l'attaccante può sniffare il traffico trasmesso, anche in presenza di SSL!

E, detto tra noi, la massima di Cook di cui sopra ne gioverebbe.

In questo caso:

[...]

TCP  192.168.0.40:1395 --> 63.245.213.31:443 | P 

GET /it/firefox/pages/js_constants.js HTTP/1.1. 
Host: addons.mozilla.org. 
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4. 
Accept: */*. 
Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3. 
Accept-Encoding: gzip,deflate. 
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7. 
Keep-Alive: 300. 
Connection: keep-alive. 
Referer: https://addons.mozilla.org/it/firefox/. 
Cookie: __utmz=164683759.1182933364.1.1.utmccn=(direct)|utmcsr=(direct)|
utmcmd=(none); __utma=164683759.506631186.1182933364.1182934446.1182935176.5;
 __utmb=164683759; __utmc=164683759. 
. 

[...]

La causa remota della riuscita di tali attacchi (quasi da ingegneria sociale) sta nel fatto che alcuni siti Web auto-firmano i propri certificati, costringendo il browser a visualizzare spesso avvertimenti simili al precedente ed abituando l'utente, nei casi migliori, ad accettare sempre quanto gli viene proposto, senza farsi più di qualche domanda.

In sintesi: l'SSL è sicuro ed a prova di inganno solamente se i certificati sono firmati da una CA direttamente od indirettamente riconosciuta dal browser, l'utente è consapevole di ciò che fa ed ogni programma coinvolto è aggiornato e privo di buchi di sicurezza.

Abbiamo scoperto l'acqua calda.. ma è bene dirlo con chiarezza. No?

Guide Sicurezza

Guida SQL Injection con Sqlmap

Scopriamo se le nostre applicazioni web sono vulnerabili alle SQL...

Guida sicurezza applicazioni Web

Le tecniche di attacco più comuni, i metodi per verificare la...

Guida Sicurezza wireless

Quali sono i pericoli di sicurezza di una rete senza filo e quali...

Altre guide

Newsletter @Sicurezza

Ogni lunedì, direttamente nella tua e-mail: approfondimenti e bollettini su virus, vulnerabilità e sicurezza informatica.

Iscriviti alla newsletter

Altre newsletter

Corsi in aula

Amministratore di Reti Windows Server 2008

11 Giugno 2012 a Milano
Disponibilità: 5 Posti

Altri corsi

Nessun corso previsto

Altri corsi