19 ene 2011

Hacking Messenger (I de II)

========================================================Hacking Messenger (I de II)Hacking Messenger (II de II)========================================================

En el presente artículo se explicará lo fácil que es observar los mensajes de messenger o chat. Hoy en día cualquier equipo que se encuentre en la misma red que un equipo que está chateando (si se trabaja en modo compartido, o en modo conmutado mediante un ataque de envenenamiento ARP, que ya explicaremos en otro post) puede leer los mensajes que éste envía con sus contactos. Como solución se propone la implantación de una herramienta que haga mas segura la conversación.Herramientas necesarias para la pruebaPara analizar el tráfico se necesitará la aplicación Wireshark. Esta herramienta antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación.Para cifrar los mensajes del chat se puede utilizar, entre otras herramientas, Simp. Esta aplicación cifra los mensajes antes de salir del equipo emisor, y una vez llegan al equipo receptor, antes de ser reportado el mensaje al cliente de mensajería se descifra, por lo que el cliente de mensajería receptor recibe el mensaje en texto plano. De este modo se evitará que alguien ajeno a quien va destinado el mensaje pueda leer el contenido.Primer paso: Observando mensajesEn primer lugar, se arranca Wireshark y se encontrará la pantalla que se puede observar en la imagen. Se debe configurar la interfaz de red por la que se va a 'escuchar' el tráfico. En el ejemplo se utiliza la interfaz Wifi, denominada Microsoft por el sistema. Al pulsar sobre la interfaz que se quiere utilizar, la interfaz de red empezará a capturar paquetes y se podrá ir analizando el tráfico en la aplicación. Se puede observar en la imagen de la derecha como Wireshark captura todo el tráfico que circula por la red. Es interesante poder filtrar los paquetes que interesen en cada momento. En este momento interesa analizar los paquetes del protocolo de MSN que circulan por la red.Para amenizar la búsqueda de paquetes y el poder analizarlos se filtrará por protocolo como se puede observar en la imagen:

A continuación se muestra, filtrados los paquetes que se han ido capturando y pueden ser analizados. Es importante observar el protocolo, y diferenciar que algunos de los paquetes son de control del protocolo msnms, mientras que otros paquetes contienen los mensajes entre los usuarios.En la imagen de la izquierda se puede observar como el paquete número 8, marcado con el color amarillo, contiene un 'to' (identificado con el color verde) que es el usuario al que se envía el mensaje, también contiene un 'from' (identificado con el color rojo) que identifica al usuario que envía el mensaje. Además, en la última línea del paquete se puede observar en texto plano el siguiente mensaje 'hola, estoy siendo observado...' identificado con el color verde. En la imagen de la derecha se puede observar como el usuario que anteriormente recibe el mensaje, contesta al usuario que envío el anterior mensaje. El color verde identifica el paquete 129 que es la contestación al mensaje anterior. Se puede observar como el 'to' y el 'from' han intercambiado los papeles. Ahora el usuario hotmail es el que recibe el mensaje y el emisor es el usuario gmail. El mensaje en texto plano se puede observar al final del mensaje, identificado con el color naranja.Se ha visto como es muy fácil observar conversaciones de messenger o chat. Simplemente se necesita estar en la misma red que uno de los hablantes. En el siguiente artículo cifraremos los mensajes para que nadie pueda verlos, excepto, el receptor.

========================================================Hacking Messenger (I de II)Hacking Messenger (II de II)========================================================

Flu Project Team

17 comentarios:

  1. Muy bueno, yo para el tema de realizar ataques MITM también utilizaba Ettercap, que estaba todo más recogido, aunque una vez conocido el potencial que tiene Wireshark, el primero se termina quedando corto :).Gran entrada, esperando la segunda parte, un saludo.

    ResponderEliminar
  2. @0xroot wireshark no hace MiTM, es solo un analizador de red (el mejor). Cuando nos comenta el compañero que analiza todo el trafico que pasa por la red, creo que suponemos la situacion ideal de un hub o realizar las pruebas en el mismo equipo desde el que se usa el MSN, o me estoy columpiando mucho...saludos

    ResponderEliminar
  3. @dan1t0 Cierto, el que me he columpiado he sido yo. Pensaba que sí era posible realizar un MiTM con Wireshark en un entorno controlado

    ResponderEliminar
  4. Correcto dan1t0, es si se trabaja en modo compartido y con la tarjeta de red en modo monitor. Pablo está enfermo, y estará algunos días KO (recuperatate pronto Pablete;)) así que ahora lo aclaro en el post con una nota para no crear confusiones.Por cierto para MITM el líder es Caín en Windows, desarrollado por uno de los grandes genios, Maximiliano Montoro y Ettercap en Linux (una maravilla por la escalabilidad por cierto)Saludos!

    ResponderEliminar
  5. Se puede hacer un ataque MITM con otro programa y analizar los paquetes con WireShark? O estoy delirando?

    ResponderEliminar
  6. Si haces un ataque por envenenamiento ARP puedes esnifar la conversación con WireShark

    ResponderEliminar
  7. Voy a probar un ARP poison con CAIN entonces y esnifar con wireshark. Ya les aviso

    ResponderEliminar
  8. Puedes hacerlo a mano lanzando un CMD o desde flu lanzando los comandos desde su consola PHP.Los comandos son:arp -a (para mostrar la tabla)arp -s (si mal no recuerdo, para agregar una nueva entrada a la tabla)arp -d (para eliminar algún host que te estorbe)Saludos

    ResponderEliminar
  9. a mi lo que me gustaria que me saliera seria un MiTM contra un iPhone ni con cain ni con ettercap, se me cuelga la conexion, hay que jo****esaludos

    ResponderEliminar
  10. La verdad que nunca lo he probado contra un móvil jeje. Si lo consigues ya nos cuentas =)saludos dan1t0!

    ResponderEliminar
  11. Wireshark es la "onda", pero en unas conferencias conoci a una persona de Intel "Gonzalo Cabrera", me mostro la herramienta NetWitness para analizar los pcap y se me hizo muy buena herramienta :)Para hacer un MiTM contra un iphone jamas lo eh hecho, pero desde el ipod si a toda un red, para ello "pirni" me fascino :)Saludos ;)

    ResponderEliminar
  12. Yo si he probado MiTM contra un smartphone y me funciono como si se tratara de un ordenador.

    ResponderEliminar
  13. Para linux también está arpspoof (http://www.irongeek.com/i.php?page=backtrack-3-man/arpspoof) que nos realiza el envenenamiento de la tabla pero como comentaban anteriormente, ettercap lo tiene todo xD

    ResponderEliminar
  14. [...] Se publicó una prueba de concepto sobre la seguridad, inexistente, del messenger. [...]

    ResponderEliminar
  15. If you could e-mail me with a few suggestions on just how you made your blog look this excellent, I would be grateful.

    ResponderEliminar
  16. [...] Messenger (II de II) ========================================================= Hacking Messenger (I de II) Hacking Messenger (II de II) ========================================================= El presente [...]

    ResponderEliminar
  17. [...] Flu Project (Parte 1 y 2) Compartir [...]

    ResponderEliminar