sslsniffing

Vista previa del material en texto

Interviniendo comunicacio­
nes con ssl strip
0
Arrancando Kali Linux
Kali Linux:
Kali Linux es una sistema
operativo basada en
Debian GNU/Linux, di­
señado principalmente
para la auditoría y
seguridad informática en
general. Fue fundado y es
mantenido por Offensive
Security Ltd. Mati Aharoni
and Devon Kearns, ambos
pertenecientes al equipo
de Offensive Security. La
distribución fue desarrola­
da a partir de la
reescritura de
BackTrack,que se podría
denominar como la
HTTPS:
Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de
hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en
el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es
la versión segura de HTTP.
Para arrancar Kali Linux, con su computadora apagada,
inserte un Live CD o Usb arrancable, luego enciéndala y,
en la primer pantalla que aparezca, le mostrará las op­
ciones de arranque. Recuerde que cada computadora es
diferente y dichas opciones pueden variar de acuerdo a
la marca o modelo de la misma.
Consulte su manual de uso o pregúntele a un/a técnico/a
sobre cómo arrancar su computadora a través de otro
dispositivo extraíble.
A continuación se muestra un ejemplo de dichas panta­
llas y se utiliza la F­12 para poder elegir arrancar desde
el USB.
https://www.cuidatatuinfo.o
Iniciar con SSLstrip
SSLSTrip es una apl icación para sistemas operativos Linux capaz de “descifrar todo el tráfico HTTPS” que
viaja a través de la red e intervenir el tráfico (usuarios y claves) que viaja a través de la red en “HTTPS (tráfi-
co cifrado)”.
SSLstrip fue presentado en el Black Hat 2009 por Moxie Marl inspike. Esta herramienta está dirigida a hacer
creer a usuarios/as que se encuentran en un sitio web con cifrado SSL, cuando en real idad todos los datos
están siendo transmitidos en texto legible. Adicionalmente, SSLStrip también engaña al servidor web,
cuyo presunto cifrado queda anulado aunque el sitio sigue comportándose como si funcionara.
1
Hacer doble click para abrir el script llamado ssls­
niff.sh que se encuentra en el escritorio del kali li­
nux
Nota Aclaratoria:
SSLSNIFF.SH es un script que automatiza ataques sslstrip. Éste fue creado para la Fundación
Acceso con fines educativos. Fundación Acceso no se hace responsable por implicaciones le­
gales o éticas de su uso.
https://www.cuidatatuinfo.org
http://www.acceso.or.cr/
https://download.jitsi.org/jitsi/debian/
https://www.cuidatatuinfo.o
2
Llenar los datos para la tarjeta de red conectada a in­
ternet que se muestra en la terminal del lado derecho.
En este caso escribir "wlan0" y Enter
Hacer clic izquierdo sobre el botón
"ejecutar en terminal"
3
https://www.cuidatatuinfo.org
http://www.acceso.or.cr/
https://www.cuidatatuinfo.o
4
Introducir la puerta de enlace que se muestra arri­
ba en la terminal ejemplo 192.168.10.1 y Enter
5
Ingrese el rango de ips que desea escanear: puede ser la ip del
gateway seguido de una "/" y el número 24 o un rango como
192.168.10.1­30
https://www.cuidatatuinfo.org
http://www.acceso.or.cr/
https://www.cuidatatuinfo.o
Del listado de máquinas conectadas en la red elija
la que quiere intervenir y escriba la ip en la termi­
nal.
6
A continuación, abrira 3 ventanitas con información del
proceso de escucha
7
https://www.cuidatatuinfo.org
http://www.acceso.or.cr/
https://www.cuidatatuinfo.o
En la ventana llamada Password Tokens se mos­
trarán los usuarios y contraseñas capturados.
8
Atención:
Tome en cuenta que, al no cerrar adecuadamente los procesos como lo señala el
sslsniff, su maquina quedará vulnerable. Deberá cerrar correctamente todos los
procesos presionando la letra "y", seguida de enter la ventana l lamada terminal
para concluir correctamente todos los precesos de escucha.
https://www.cuidatatuinfo.org
http://www.acceso.or.cr/
https://www.cuidatatuinfo.o
Manual de Uso de Sslsniff
Alejandro Durón , Fundación Acceso
Temas relacionados:
1 . Navegación Segura. 2. Programas de
seguridad informática. 3. Seguridad en
internet. 4. Seguridad de la información y
comunicación.
D. R. Fundación Acceso
San José, Costa Rica.
www.acceso.or.cr
www.cuidatuinfo.org
info@acceso.or.cr
Tel: 506 2253-9860
I lustraciones: Olman Bolaños, Parábolas.
Esta publicación se elaboró util izando
Software Libre (Scribus, Inkscape, Gimp)
Esta publicación fue apoyda por
San José, Costa Rica
201 4
Usted es libre de:
Compartir - copiar, distribuir, ejecutar y
comunicar públicamente la obra.
Hacer obras derivadas.
Bajo las condiciones siguientes:
Entendiendo que:
Renuncia — Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso del titular
de los derechos de autor
Dominio Público — Cuando la obra o alguno
de sus elementos se halle en el dominio público
según la ley vigente aplicable, esta situación
no quedará afectada por la licencia.
Otros derechos — Los derechos siguientes no
quedan afectados por la licencia de ninguna
manera:
• Los derechos derivados de usos
legítimos u otras limitaciones
reconocidas por ley no se ven afectados
por lo anterior.
• Los derechos morales del auto;
• Derechos que pueden ostentar otras
personas sobre la propia obra o su uso,
como por ejemplo derechos de imagen
o de privacidad.
Aviso — Al reutilizar o distribuir la obra, tiene
que dejar muy en claro los términos de la
licencia de esta obra. La mejor forma de hacerlo
es enlazar a esta página.
Puede consultar el texto completo de la licencia en:
http://creativecommons.org/licenses/by-sa/3.0/cr/legalcode
Atribución—Debereconocerlos
créditos de la obra de la manera
especificada por el autor o el licenciante
(pero no de una manera que sugiera que
tiene su apoyo o que apoyan el uso que
hace de su obra).
Hacer obras derivadas Compartir bajo la
Misma Licencia — Si altera o transforma
esta obra, o genera una obra
derivada, sólo puede distribuir la obra
generada bajo una licencia idéntica a ésta.
https://www.cuidatatuinfo.org
http://www.acceso.or.cr/
https://cuidatuinfo.org
https://www.cuidatuinfo.org
http://creativecommons.org/licenses/by-sa/3.0/cr/legalcode
http://acceso.or.cr/
http://creativecommons.org/licenses/by-sa/3.0/cr/legalcode