El requisito fundamental para realizar este tipo de ataques es que toda la comunicación entre el cliente  y el servidor pase a través de la máquina atacante, de ahí el nombre de Man in the Middle. Es entonces donde tomamos el papel protagonista de esta novela. ¿Como? Colocandonos justamente entre dichos puntos interceptando los paquetes (MitM)

Según wikipedia--> es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.  El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas.

+ Info -> http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Si nuestra intención es interceptar una conexión entre un equipo local y uno remoto, la forma más directa de colocarnos en medio es comprometer el gateway, que es la máquina por la que de manera natural pasa este flujo de la información. Por supuesto éste no es el único método que tenemos a nuestra disposición, ya en un post anterior vimos que un envenanimiento ARP también sirve para este fin. Hay muchísimas más técnicas que permiten hacer esto como, por ejemplo, el port stealing, el DHCP spoofing o el IRDP spoofing, por nombrar sólo algunas, aunque de momento tendréis que conformaros sólo con los nombres porque no es el objetivo de este post profundizar en este tipo de ataques.

Una vez que el atacante está en medio de la conexión, es capaz de controlar toda la conversación entre cliente y servidor, lo que abre todo un abanico de posibiliades que van más allá del simple sniffing. En esta situación el atacante es capaz de modificar a voluntad el flujo de información, es decir, puede alterar el contenido de los paquetes que se intercambian cliente y servidor de manera totalmente transparente para ambos extremos, por lo que estos nuncan sabrán del ataque.

Esto no es una tarea sencilla y la complejidad técnica es importante. Por exponer sólo algunos detalles que entran en juego, si se modifica un paquete TCP, no sólo hay que cambiar el payload del paquete, también hay que recalcular el CRC y los números de secuencia. Es más, al alterar los números de secuencia, a partir de ese momento el atacante tendrá que sincronizar de manera transparente los números de secuencia que usa el cliente y los que usa el servidor, pues a partir de ese momento serán diferentes. Una vez superadas las dificultades técnicas, las posibilidades que nos ofrece este tipo de ataques superan ampliamente lo que podemos conseguir con otros métodos. Veamos algunos ejemplos: muchos portales web usan conexión https sólo durante la verificación del password, lo que es suficiente para proteger la contraseña contra ataques de sniffing.

Otros ataques MitM podrían ser la alteración de un fichero descargado por el cliente, de tal forma que éste baje a su equipo el fichero deseado por el atacante y no el que pretendía,  o la alteración de sesiones TCP para introducir en ellos comandos que el cliente no ha enviado, por ejemplo, un cliente se conecta a un servidor telnet con ODP y el atacante usa un ataque MitM para enviar una serie de comandos destinados a abrir una puerta trasera. De hecho, las posibilidades sólo están limitadas por la imaginación y os aseguro que hay personas muy creativas.

Como ya os habréis dado cuenta, en todos los ejemplos que he puesto los ataques se realizan sobre protocolos no seguros (HTTP, FTP, Telnet…), ya que es necesario modificar el payload del paquete para que el ataque tenga éxito. Para aplicar estos ataques sobre protocolos seguros es necesario tener en cuenta muchos más detalles y no siempre  pueden llevarse a cabo, sin embargo ya discutiré ese tema en un post posterior, pues su complejidad supera en mucho lo que quería mostrar en este primer acercamiento a los MitM.

Por último quería llamar vuestra atención sobre la forma en la que he descrito estos ataques. Tal y como lo he contado los paquetes se modifican al vuelo, siendo el ataque totalmente transparente. Algunos autores denominan a esto MitM Full Duplex, aunque personalmente no encuentro el término demasiado apropiado. El caso es que existe una variante del ataque que podríamos denominar Proxy MitM. Aquí la máquina atacante actua como proxy redireccionando todas las peticiones entre cliente y servidor. Hay que tener en cuenta que ahora es la máquina atacante la que establece las conexiones entre ambos extremos, por lo que el ataque no es totalmente transparente (si examinamos los paquetes veremos que nos vienen desde la máquina atacante y no del cliente/servidor legítimo).

La complejidad técnica de estos ataques es mucho menor que en el caso anterior (por ejemplo, ya no hay que sincronizar números de secuencia), por lo que es mucho más fácil implementarlos. Evidentemente también tiene desventajas respecto al ataque original, una de las más criticadas es su incapacidad para eludir mecanismos como los TCP Wrappers.

¿Como hacemos un MIDM?

Las técnicas son realmente variadas y dependerán de la creatividad del atacante. Pueden utilizarse muchas herramientas disponibles en todos los sistemas operativos, pero en esta oportunidad vamos con Backtrack/Kali amigos HackXcrackenses!

Cualquier distro de Linux servirá, solo tengan en cuenta tener instalados los paquetes:

Ssltrip
Ettercap
Aspspoof

Lo primero que debemos hacer es permitir que Ettercap intervenga en las conexiones SSL, descomentando las siguientes líneas en el archivo de la siguiente dirección:

Deberás dejarlo de esta manera.

El segundo paso es, hacer que nuestra máquina enrute el tráfico, que llegue a ella, esto con el objetivo de que nuestra víctima no se quede sin Internet cuando el ataque esté en marcha. En Linux, este paso es muy sencillo, para ello debemos buscar un fichero llamado ip_forward que almacena un booleano (0 o distinto) que especifica si nuestro equipo funciona como router o no.

Para ello debemos hacer esto, como superusuario.

Ahora vamos a ejecutar la redirección de las peticiones del puerto 80 al puerto 10000, que es el puerto por defecto de la aplicación ssl strip.

…Y para finalizar en esta terminal.

Estos tres pasos deberán quedar de la siguiente manera.

Muy bien, ahora abrimos otra terminal, y vamos a realizar un escaneo con nmap para ver los host que están activos en la red.

Por ejemplo:

En la imagen podemos observar los host que están conectados, entre ellos mi celular (xD). La víctima que escogí es la máquina server, cuya IP es: 192.168.1.100, también se observa la IP del gateway: 192.168.1.254.

Ya con esto estamos listo para el siguiente paso, envenenar la tabla ARP o proceder con el MitM básico con la aplicación arpspoof. Para ello debemos especificar la interfaz de red que se usará para realizar el ataque y el objetivo.

Ejemplo:

Y finalmente, en otra terminal, iniciamos el ataque con Ettercap.

Ejemplo:

Listo! - ya con esto, la víctima en su navegador tecleará, por ejemplo, la página de facebook y, obtendrá el siguiente resultado.

Nuestra víctima, ingenuamente, dará clic en “Continuar de todos modos”(como de costumbre), y porque desea entrar a su facebook, o a cualquier otra página con este tipo de cifrado, y pasará lo siguiente.

a página de Facebook aparecerá “como si nada”, sin embargo, se puede observar en la esquina superior derecha que el protocolo “https” está tachado, indicando que alguien violó ese cifrado.

—-La persona, iniciará sesión, (como se muestra en la imagen)…. y una vez presionado el botón entrar, verá su página de inicio con toda normalidad, sin darse cuenta que ustedes habrán robado sus credenciales, y podrán observarlas de esta manera.

Listo!

Bueno [email protected] de HxC, mi intención ha sido colaborar con todos ustedes. Espero sus opiniones y que este combo de info sea de su agrado, que pueda servirles y resuma a grandes rasgos en que consiste esta técnica. Es importante resaltarles que no es la unica forma de hacerlo y mucho menos la distro Backtrack es el unico OS que admite este tipo de ataques.

Pueden investigar tambien sobre Cain & Abel, Whireshark, etc

Y recuerden...las practicas en sus maquinas virtuales!, comenten que les parecío y a los expertos...si quieren sumar tecnicas o más datos, ire modificando el post haciendo referencia a sus colaboraciónes para crear un post lo más completo posible y así seguir ayudandonos.

--------------------------------------------------------

Aportes

Bueno si sabemos que el ARP Spoofing consiste en la falsificación del par dirección IP - Dirección MAC, pues basta cambiar nuestra dirección IP en la LAN (o WLAN) para detener el ataque.
El atacante manda paquetes ARP diciendo que su dirección MAC está asociada con la dirección IP de la víctima, por lo que cualquier paquete entrante a la LAN con dirección IP de la víctima será enviado al atacante y no a la víctima (como debería ser). Si la víctima se cambia su IP, todo acaba.
Aunque lo común es hacerle un DoS a la víctima y robar su IP, y eso complicaría un poco las cosas.

----------------------------------------------------------