viernes, marzo 22, 2013

Bridging HTTP(IPv6) - HTTPs (IPv4) con Evil FOCA

En la versión alpha que estamos peinando para que salta antes de que acabe Marzo ya está implementado el sistema de Bridging HTTP(IPv6) a HTTPs(IPv4) para poder realizar ataques de man in the middle en sitios web en los que solo funcionan bajo HTTPs. Esto es funciona en los procesos de login de Facebook, de Twitter o de Tuenti, con los mismos principios del ataque SLAAC del que ya hemos hablado. Vamos a ver un ejemplo con el login de Tuenti.

Fase 1: El ataque con la Evil FOCA

El ataque con Evil FOCA sigue siendo el mismo, enviar un paquete SLAAC para que el equipo se configure la dirección del atacante como puerta de enlace IPv6. Para que esto funcione, es necesario que el protocolo IPv4 no consiga configuración vía DHCP, y se configure con una dirección de vínculo local.

Figura 1: Enviando el paquete RA a la víctima

Una vez hecho el ataque con Evil FOCA, basta con mirar la configuración en la víctima para ver que tiene configuración IPv4 de vínculo local, configuración de IPv6 de vínculo local, y la dirección IPv6 en la tarjeta generada con SLAAC con conectividad con la puerta de enlace, que es la dirección IPv6 del atacante.

Figura 2: La víctima configura IPv6 con SLAAC y usa DNS Autodiscovery

Al resolver el dominio www.tuenti.com, aparece una dirección IPv6 generada por Evil FOCA cuando la víctima le envía las peticiones de resolución DNS a los servidores de DNS Autodiscovery configurados por defecto en IPv6.

Fas 2: La interceptación de las credenciales

El resto del trabajo lo hace Evil FOCA. Cada enlace HTTPs que viene en las páginas HTML de respuesta sufre un sslStrip, es decir, se le quita la "s", con lo que todos los enlaces entre la víctima y el atacante se hacen con HTTP. Así que la negociación de las credenciales de Tuenti irá en claro. En la web principal se puede ver como Evil FOCA ha entregado la página de login bajo HTTP en lugar de bajo HTTPs.

Figura 3: Navegando a Tuenti desde la víctima por IPv6

Una vez que el usuario manda la petición HTTP de login, Evil FOCA intentará comunicarse por HTTP con el servidor, pero si este no atiende más que por HTTPs, entonces repetirá la petición bajo HTTPs para obtener la respuesta. Eso sí, todo el tráfico con la víctima irá bajo HTTP, tal y como se puede ver en esta captura de WireShark donde aparecen las credenciales.

Figura 4: Las credenciales de login va sobre IPv6 usando HTTP


En la captura se puede ver como la negociación es sobre IPv6, utilizando una URI bajo HTTP, donde se envían el usuario y la contraseña, con lo que el hombre en medio podrá ver todos los datos, mientras que para la víctima será un proceso de navegación normal y corriente.

Figura 5: La víctima navega normalmente bajo HTTP usando IPv6

Actualmente con Evil FOCA este ataque funciona con la mayoría de sitios, y estamos depurando algunos sitos que hacen algunas verificaciones extras, pero Twitter, Facebook y Tuenti funcionan ya en este entorno. Recuerda que tenemos un libro de Ataques en redes de datos IPv4 e IPv6 para aprender más de estas cosas.

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por pensar que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6) - HTTPs (IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector
***************************************************************************************************

5 comentarios:

Anónimo dijo...

Estoy esperando esa Evil Foca para poner en practica estas tecnicas de ipv6 :P

Vamos Chema, estamos todos impacientes jeje..

PD : ¿No van a subir los videos de la RootedCON de este año?

Un Saludo!

Unknown dijo...

Una pregunta, con el strip s, el navegador no mostraia información sobre el certificado ssl del sitio destino (AKA el candadito)¿verdad?
Un saludo,

Anónimo dijo...

Hola Chema,
Tengo un problema al intentar hacer el ataque SLAAC por IPv6. Con el EvilFoca todo genial, pero a la hora de comprobar la configuracion de la victima, aunque tiene direccion IPv6 local, no tiene ni dirección IPv4 ni puerta de enlace (este ultimo campo aparece en blanco).

¿Sabes por que puede ser?

Gracias!

Anónimo dijo...

Ostras visto asi, chungo he...
Gracias!

Unknown dijo...

Hola Chema, ¿Cual es el filtro que pones?

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares