7 feb 2011

Borogove: Sniffando conversaciones Facebook

Borogove es un script desarrollado en phyton el cual permite a un atacante realizar un MiTM. El resultado de realizar este ataque es la obtención de todas las conversaciones que la víctima mantenga vía Facebook. Para la realización de esta prueba de concepto se utilizará la distribución BackTrack de GNU/Linux. Al principio del presente post se dispone del link para descargar el script de Borogove desde el sitio web del proyecto. Como nota aclaratoria decir que una vez descargado el script, se debe dar permisos de ejcución, por ejemplo ejecutar la orden chmod +x borogove.py.Realizando la prueba de conceptoUna vez se disponga de una BackTrack se procederá a la ejecución del script. La ejecución de esta prueba de concepto es muy sencilla y puede ser comparada con otras denomindas 'hacking de botón grueso o grande'.Para poder ver los argumentos necesarios para la ejecución del script, se puede realizar la prueba de ejecutar 'a secas' el script. Como se puede observar en la imagen se necesita pasar como argumentos los siguientes parámetros:- Interfaz por la que se escuchará la conversación.- Objetivo, equipo víctima al que se quiere escuchar las conversaciones.- Puerta de enlace, normalmente será el router u otro equipo víctima.A continuación se realizará la ejecución con los siguientes parámetros:El equipo de la víctima está siendo escuchado por la máquina con BackTrack. A continuación, cuando el equipo víctima navegue por Facebook y chatee, automáticamente se obtendrán las conversaciones en la consola que se tiene abierta en la BackTrack.Los resultados son los siguientes:Desde Flu Project hemos comprobado lo fácil que es capturar las conversaciones de Facebook. Tened cuidado cuando estéis en redes abiertas, como centros comerciales, típica del McDonald, Universidades, etc. Para defenderse hay que saber los peligros que nos rodean.Desde el blog de ZerialKiller, podéis ver un video con la prueba de concepto. Muy recomendado.

Flu Project Team

16 comentarios:

  1. [...] This post was mentioned on Twitter by Todo Facebook, hackplayers. hackplayers said: Borogove: Sniffando conversaciones Facebook: Borogove es un script desarrollado en phyton el cual permite a un a... http://bit.ly/hFDjgO [...]

    ResponderEliminar
  2. Muy interesante Pablo, nunca he probado con facebook, pero con tuenti es igual de fácil con un man in the middle y algun sniffer jejebuen post!, saludos

    ResponderEliminar
  3. Pues seguramente sea interesante realizar algun post sobre Tuenti (si te animas Dr_HaCk93 :p)Pero si es interesante, porque todo el revuelo que tienen estas redes sociales y la gente no piensa mucho en la seguridad que puede haber o... no haber. Gracias! ;)

    ResponderEliminar
  4. eso está hecho, aver si esta semana lo hago! =)saludos!

    ResponderEliminar
  5. phyton -> "A-arr-rgg-hh-h, mis hojos"

    ResponderEliminar
  6. pues yo lo probé con una maquina virtual y mi pc físico y la cosa funciona, en la maquina virtual corriendo el script y en la maquina física entrando a facebook y chateando.Pero lo probé con otro equipo externo (con permiso de la persona) en la red de mi casa y si efectivamente el facebook se torna mas lento porque tiene que pasar por mi equipo, pero no saque ninguna conversación durante 2 minutos, la persona si tenia sus charlas pero no me salia nada en consola en mi equipo, cuando detuve el script me di cuenta de algo que decia mas o menos asi "xxx paquetes bloqueados por el kernel" donde xxx es numero.En fin, no se si lo hice mal pero deje eso asi.

    ResponderEliminar
  7. Es extraño eso que nos cuentas, al igual que funcionó entre la virtual y el físico, deberá funcionar entre 2 físicos... Además estando en tu red de casa, a priori poco saturada, tampoco debería ir mucho mas lento... ;)Salu2!

    ResponderEliminar
  8. tendra algo que ver la version de phyton??

    ResponderEliminar
  9. Perdon por la demora, estaba tratando de instalar python2.6 en backtrack y no puede....... en fin lo instale en mi maquina real donde tengo mandriva y supuestamente empieza a escuchar pero si lo cancelo tengo el siguiente mensaje[root@localhost Downloads]# python2.6 borogove.py eth0 192.168.1.2 192.168.1.254listening on eth0to exit, type Control-cARP cache poisoning...^CTraceback (most recent call last): File "borogove.py", line 57, in for ts, pkt in pc: File "pcap.pyx", line 344, in pcap.pcap.__next__TypeError: exceptions must be strings, classes, or instances, not typeMe podrian ayudar con como instalo el python2.6 en backtrack?

    ResponderEliminar
  10. [...] a todos, hace algunos meses os hablamos en Flu Project de la herramienta Borogove. Se trataba de un script desarrollado en phyton el cual permitía a un atacante realizar un MiTM [...]

    ResponderEliminar
  11. Compañeros, estuve probando el script dentro de una red LAN, entre un equipo Debian 7 y un BackTrack 5 y no me funciona... el script lo ejecuto en el BackTrack y en el Debian chateo en el Facebook.Tengo instalado python 2.6 en el BacktrackCuando ejecuto el Script no me manda error ni nada solo se queda en:listening on eth0to exit, type Control-cARP cache poisoning...

    ResponderEliminar
  12. Hola @fritto, Borogove ya no funciona desde hace varios meses por las modificaciones que hizo Facebook en la plataforma.un saludo

    ResponderEliminar
  13. Ya no funciona, por lo que dice Juanan, el artículo ya tiene tiempecillo ;)

    ResponderEliminar
  14. sirve con HTTPS habilitado en la navegación de facebook?

    ResponderEliminar