Man in the Middle

Man in the Middle

Auditoria Informática

• Carola Durán.

• Adrian López.

• Freddy Quintuña.

• 18/10/2012

OBJETIVO GENERAL

• Conocer, Analizar e Implementar el ataque Man in the Middle.

OBJETIVOS ESPECIFICOS

• Conocer el funcionamiento principal de este ataque.

• Analizar el procedimiento de este tipo de ataque para poder ejemplificarlo.

• Implementar un ejemplo práctico de este ataque para representar el análisis antes realizado.

DESARROLLO Concepto

• El ataque Man in the Middle o Intermedio es un ataque de tipo criptografía en el que el enemigo adquiere la capacidad de leer, insertar y modificar información entre dos partes sin que nadie se dé cuenta de lo que acontece o que el enlace privado ha sido violado, este tipo de ataque es particularmente significativo en el protocolo original de intercambio de claves al registrarse en cualquier servicio de usuario-contraseña.

• Figura 1. Esquema de red del ataque MitM.

• En nuestro caso para ejemplificar este tipo de ataque contamos con un equipo con win 7 en el cual se tiene instalado el programa Cain&Abel; para demostrar como trabaja vamos abrir el Hotmail para que sea la víctima de otro equipo, mientras tanto en el intermedio ejecutamos el programa.

• Figura 2. Captura de pantalla del programa Cain – Abel.

• Y con Firefox 16.0.2 para poder capturar los usuarios y las contraseñas

• Luego de visualizar todas las herramientas que vamos utilizar podremos explicar cómo se realizo el ataque a nuestra víctima.

• Pasos que realizamos para hacer el ataque

1. Visualizamos la puerta de enlace que tenemos en nuestra red.

• 2. Con la ayuda el programa Cain – Abel podremos Snifferar la red y capturaremos las Ips que nos da el DHCP de nuestra red.

• 3. Como tercer paso Sniffeamos la red y capturemos los paquetes de

nuestra víctima y así podremos visualizar el usuario y la contraseña con la que se conecta a su Hotmail.

• Otro escenario ideal es hackear una red wireless, nos conectamos a la red como si fueramos un host más, y usamos esta técnica para que todo el tráfico pase por nosotros, y lo analizamos con el software que sea, o mismamente con el Ettercap. Este sería un ejemplo lógico de qué es Man In The Middle:

• Nos colocaremos mediante el envenenamiento ARP en el medio. Diremos a los clientes de la red o a uno en concreto que su puerta de enlace somos nosotros, con esto lo que se le hace es cambiar la MAC de su puerta de enlace y se pondría nuestra MAC, así el switch nos mandaría el tráfico, y nosotros a internet automáticamente.

• En este procedimiento usaremos el software gratuito Ettercap para demostrarlo, usamos el cliente para Windows.

• Una vez instalada lo abrimos, si fuésemos por defecto el paso de alguien y tendríamos dos interfaces de red pasando nuestro trafico por ellas seleccionaríamos la opción "Bridged sniffing..." pero como lo que haremos será ponernos en el medio, pulsamos en "Sniff" > "Unified sniffing...“

• Seleccionamos el adaptador que tenemos conectado a la red que queremos hacer sniff y damos a "Aceptar“

• Bien, ahora lo que haremos es ver que equipos hay en la red, para ello la escaneamos "Hosts" > "Scan for hosts"

• Y nos dice que ha encontrado X equipos . Procedemo a revisar cuales son para ello vamos a "Hosts" > "Hosts list“

• Lo primero que debemos hacer es agregar la puerta de enlace, por la que sale la gente a internet, en nuestro caso 192.168.1.202, la selecciono y pulso en "Add to Target 1",

• Ahora debemos agregar las máquinas que queremos espiar, la seleccionamos y pulsamos "Add to Target 2" y a correr, pero si lo que realmente queremos es esnifar toda la red, seleccionamos todos menos el host anterior y los agregamos como Target2 (o ninguno).

• Comenzamos a esnifar, da igual el orden, si comenzar ya a esnifar o hacer primero el envenenamiento ARP, bueno "Start" > "Start sniffing“

• Y ahora hacemos el envenenamiento, para ello desde "Mitm" > "Arp poisoning..."

• Marcamos "Sniff remote connections" y damos a "OK“

• Ahora cómo está esnifando y el envenenamiento habilitado es esperar a que el ettercap nos pille las contraseñas, pero OJO! que sólo nos pillaría las que son texto plano, como POP3, FTP, Telnet... en este ejemplo se ve que mi victima se ha conectado por FTP a una dirección IP, me indica con que usuario y contraseña. Perfecto, vemos que funciona! lo que podríamos ahora es utilizar nuestra imaginación para absorver toda la información posible, como poner un sniffer que nos saque todo el tráfico cómo el Ethereal o el Wireshark inclusive si creemos que está usando MSN Messenger, podemos ver con quien habla con el MSN Sniffer

• Esto es para que se entienda lo que es el envenenamiento ARP, con el comando "arp -a" se ven las tablas arp de un equipo, por ejemplo, si lo ejecuto en el PC victima antes de hackearlo vemos que la puerta de enlace, la 192.168.1.202 tiene una dirección MAC asociada. Pero en cuanto se le envenena la MAC cambiará y será la MAC del equipo atacante, para que todo el tráfico pase por él.

• REFERENCIAS

• http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

• http://es.kioskea.net/contents/attaques/man-in-the-middle.php3

• http://www.youtube.com/watch?v=N86xJpna9Js