lunes, 22 de noviembre de 2010

Capturar las conversaciones de msn de otros en tu misma red

Hola de nuevo, quiero hacer este tutorial, para que veáis lo vulnerable que podéis llegar a ser cuando usamos un programa de mensajería instantánea como lo es MSN y sus clones para Linux y de más plataformas.


Aviso: Nada de lo que aquí expongo está pensado para que robéis información de terceros, si no para que veáis como se hace y así vosotros mismos lo probéis en vuestra red y os concienciéis para que toméis las medidas de seguridad oportunas.

Muchos de vosotros creéis que por el hecho de tener una clave en el router y un cortafuegos, antivirus y demás herramientas estáis protegidos..., pues, no tiene por que ser así. Tu lo estarás haciendo bien, si , jejeje pero msn tiene un problema, que cuando tu mandas información al darle a "enviar", esta información viaja en "texto plano", es decir, viaja sin más encriptación que la que tenga la red, y si la encripatación de esta es débil... pues ya tenemos un problema preocupante.

Si usas wifi, es relativamente fácil hallar esa información.
Si usas cable es casi el mismo procedimiento solo que limita el acceso.

Imaginemos que alguien consigue entrar en una red mediante BackTrack (ya haré un tutorial de como hacerlo) y una vez dentro, en vez de gorronearnos internet, no se le ocurre otra cosa al prenda que capturar los datos de la red....
¿Es posible eso? la respuesta es Sí.

Veamos, las tarjetas de red suelen mandar información al router y viceversa... esa información viaja por la red con una identificación sobre a que dirección ip esta dedicado el paquete, a que puerto, etc..
Las tarjetas están escuchando toda esa información siempre, solo que ignoran los paquetes que son mandados a otros equipos.
Para evitar eso, se puede poner nuestra tarjeta en modo Promiscuo, con lo cual, ya no ignoraría esos paquetes.
Otra forma es colocar nuestra tarjeta en modo monitor y capturar todos los datos que viajan por la red (incluso sin estar conectados a ella), tanto encriptados como no. Luego, con un programa como por ejemplo wireshark y tcpxtract, separamos los datos y podríamos ver, hasta las fotos, vídeos y demás que hayan circulado por la red en el momento de la captura.

Etc...

Yo solo hago este tutorial para haceros una demostración a modo de que veáis que no es tan difícil que seáis víctimas de estas técnicas y así, fortalezcáis vuestra red con claves tipo wpa2 y encriptación TKIP.


Nosotros usaremos el envenenamiento ARP, más abajo explico lo que es, así que
manos a la obra.

Necesitareis estos programas:

ettercap
dsniff
macchanger

ettercap, hará lo que puede hacer dsniff, que es envenenamiento ARP solo que con ettercap es mas fácil y más intuitivo, y dsniff lo usaremos porque tiene un paquete para escuchar los puertos de MSN.


Para instalarlos:
scorpyo@NASA:~$ sudo apt-get install ettercap dsniff macchanger


Ahora, desactivar el cortafuegos porque lo vamos a volver loco...

Supongamos que ya estais conectados a la red, pues mal hecho
jajaja
Antes de conectaros deberíais cambiar vuestra MAC (un identificador único de cada tarjeta) para que cuando quede registrada en el log del router, esta, no signifique nada y no se os pueda relacionar, aunque supuestamente es tu router ¿no?, yo os aconsejo que cambies la mac para que veáis, lo facilísimo que lo tiene cualquiera para hacerlo.

Para cambiar la mac actual a 00:11:22:33:44:55 en Linux basta con usar macchanger

scorpyo@NASA:~$ sudo ifconfig wlan0 down
scorpyo@NASA:~$ sudo macchanger -m 00:11:22:33:44:55 wlan0
[sudo] password for scorpyo:
Current MAC: 70:f1:12:18:c1:4e (unknown)
Faked MAC:   00:11:22:33:44:55 (Cimsys Inc)
scorpyo@NASA:~$ ifconfig wlan0 up

Donde yo he puesto wlan0 vosotros poner vuestra tarjeta, si no sabeis como las nombra vuestro sistema hacer  un ifconfig

scorpyo@NASA:~$ ifconfig

Bueno, hecho esto, ya podéis conectaros que lo haréis con una mac falsa :P


Nota: si usais el un administrador de red  como NetworkManager, este ignorará el cambio de mac, y usará tu verdadera mac, para evitar eso, hacer click derecho en el icono, le damos a editar las conexiones, elegimos la conexión que vamos a usar y le damos a Editar, y rellenamos el campo que pone Dirección MAC clonada, poniendo la mac que querais para que cuando se conecte a esa red, use esa MAC.


Para comprobar que está usando esa mac, una vez conectado a la red, ponéis en consola el siguiente comando:

scorpyo@pc-cito:~$ ifconfig wlan0


wlan0     Link encap:Ethernet  direcciónHW 10:1f:a1:6c:36:3a
          Direc. inet:83.230.169.140  Difus.:83.230.169.255  Másc:255.255.255.128
          Dirección inet6: fe80::72f1:a1ff:fe16:be3e/64 Alcance:Enlace
          ACTIVO DIFUSIÓN FUNCIONANDO MULTICAST  MTU:1500  Métrica:1
          Paquetes RX:622339 errores:0 perdidos:0 overruns:0 frame:0
          Paquetes TX:314387 errores:0 perdidos:0 overruns:0 carrier:0
          colisiones:0 long.colaTX:1000
          Bytes RX:905556051 (905.5 MB)  TX bytes:15754742 (15.7 MB)
          Interrupción:17 Memoria:ffffc90011098000-ffffc90011098100



Bien...


Ahora, una vez dentro en la red, abrimos una terminal y ejecutamos:

scorpyo@NASA:~$ sudo ettercap -C -i wlan0

Donde wlan0 es el nombre de la tarjeta con la que os conectáis.

Os abrirá un programa llamado ettercap, usaremos este programa para esnifar la red y para envenenar las tablas ARP de toda la peña que está en la red.

Digamos, que el envenenamiento ARP consiste en decirle al router que yo soy fulano, y a fulano, que yo soy el router, entonces, con eso conseguimos que toda la información que se manden entre ellos pase primero por nosotros, pudiendo así ver la información, manipularla etc... y luego la redirigimos al que le pertenece, y fulano, solo notará un pequeño retraso, (el tiempo en el que la URL que solicitó estuvo en nuestro equipo hasta que se le devolvió).

Nos centraremos solo en escuchar.

Bien, ahora hay que hacer lo siguiente:

Ahora que está abierto ettercap vamos a “Sniff” y elegimos “Unified sniffing... U”

Aquí, debería de salir nuestra tarjeta ya introducida, en mi caso, wlan0 pero si no es correcta porque nos equivocamos al escribirlo, se puede cambiar directamente escribiendo y dándole al enter.


Ahora, lo que haremos es escanear los host, le damos a “Host” y a “Scan for hots” o lo que es lo mismo (Ctrl+s), una vez hecho, volvemos a darle a “Host” y a “Host list” o (h) para ver la lista.

Llegado este punto, tenemos dos opciones, atacar toda la red, o solo a un equipo, si lo que queremos es atacar toda la red nos saltaremos este paso:

Primero selecciono el Host víctima y apretamos el número 1 de nuestro teclado, y luego el Router y apretamos el 2 y quedaría algo así:

Target1: Equipo1
Target2: Router

Nota: Normalmente el router es el que tiene una ip más baja, una muy común es la 192.168.1.1 o 192.168.0.1

Ahora, lo que haremos será ponerlo a Snifar dandole a “Start” y a “Start sniffing” y luego hacemos el ataque ARP Poison (Envenenamiento ARP) pinchamos en “Mitm” y a “ARP pisoning...” en la ventana que nos sale ponemos "remote" sin las comillas y le damos al enter


Bien, ya hemos envenenado todos los equipos seleccionados... ahora queda saber si están corriendo msn ¿no?

Eso es fácil de saber, puesto que msn usa el puerto 1864 y 1863 para comunicarse.
Solo tendremos que buscar ese puerto para saber si alguien está hablando por msn.

Para ver las conexiones que hay en el momento, aprieta Shif+c o ve a View, connections.

Se abrirá las conexiones activas, con información de cuantos datos se están emitiendo, para que equipo, desde cual equipo y hacia que puerto.
Buscar el puerto 1864 o 1863, si los hay o no los hay. Estais de suerte... hay una cotorra en la red.

Para capturar y mostrar en pantalla quien habla y lo que dice abriremos una nueva terminal y escribiremos lo siguiente:

scorpyo@NASA:~$ sudo msgsnarf -i wlan0 

Y listo, os aconsejo que pongáis la ventana a tamaño completo y veréis mejor las conversaciones... (no abuséis, solo es para probar en vuestra red)
Bien, pues eso es todo, solo un concejo, para terminar la escucha de msgsnarf
apretar Ctrl+c y para parar a ettercap primero pinchamos en “Mitm” luego en "Stop mitm attacks(s)" si no hacéis eso al cerrar el programa las víctimas perderán la conexión a internet puesto que TÚ eras su router hasta hacía unos segundos ¿recuerdas? jejeje pues eso.

Un saludo a todos.


2 comentarios:

  1. ¡Me encanta! Has hecho una aportación a Linux importantísima y nos has prevenido a todos de lo que puede suceder. Gracias.

    ResponderEliminar
  2. Estoy buscando contra-medidas para estos ataques, al parecer, el programa de mensajería "pidgin", al que se le pueden instalar complementos como al "emesene" se le puede instalar un complemento de encriptación de los mensajes. Claro está, la persona que reciba los mensajes tiene que tener el mismo complemento para descifrarlo.

    Saludos

    ResponderEliminar