viernes, abril 13, 2012

Man in the middle en IPv6 con Evil FOCA 0.1.0.0

Los que os hayáis estudiado los posts en detenimiento ya sabréis que estamos trabajando en una nueva FOCA, en este caso una versión mucho más maligna de todas las versiones, ya que si FOCA es una herramienta de footprinting y fingerprinting y Forensic FOCA es una herramienta para analistas forenses, esta nueva versión, la Evil FOCA, es una versión para hacer ataques en redes de datos IPv6 (e IPv4).


En la versión actual de la herramienta, que enseñaré en los próximos eventos del Talentum Tour, se implementan los ataques más conocidos de IPv6 para poder usarla al estilo de Ettercap, eso sí, esta versión es para Windows

Como se puede ver en el interfaz, tiene un módulo de Network Discovery que busca todas las direcciones IPv6/IPv4 de la red, haciendo uso de diferentes técnicas:
- Escucha de tramas de anunciamiento IPv6 de Routers y/o equipos.
- Envío de mensajes multicast, que a día de hoy son respondidos por los equipos Linux, lo que permite hacer ataques smurf en IPv6.
- Escaneo de segmento en IPv6 predecibles
- Lectura de la tabla local de vecinos.
Figura 1: Evil FOCA haciendo ataques mitm en IPv6

Después implementa ataques man in the middle en IPv4 e IPv6 para capturar el tráfico de red por medio de un sniffer como Wireshark. Los ataques que de momento tiene Evil FOCA para man in the middle:
- Neighbor Spoofing en IPv6
;- Ataque de RA por medio de SLAAC.
- Rogue DHCPv6
- ARP Spoofing IPv4
Después le estamos implementando algunos ataques de D.O.S. (entre otros el de la tormenta de RA) o DNS Spoofing para IPv6, pero la idea es ir poco a poco incorporando todos los ataques conocidos a día de hoy para IPv6. Y es que queremos estar preparados para el día mundial de IPv6 de este año...

Todos estos ataques los veréis descritos en uno de los dos libros que van a salir a la venta la semana que viene dedicado a Ataques en Redes de Datos IPv4 e IPv6, así que ya os daré más información. Si quieres verla en acción, estaré con ella en:
 - 17 de Abril: Universidad Politécnica de Madrid.
- 18 de Abril: Universidad de Zaragoza.

- 19 de Abril: Universidad de Sevilla.
- 20 de Abril: Universidad Politécnica de Catalunya.
- 23 de Abril: Universidad Deusto de Bilbao.
- 24 de Abril: Universidad Politécnica de Valencia.
- 25 de Abril: Universidad Carlos III de Madrid.
Por cierto, esta vez no tienes que pedirnos que migremos Evil FOCA a Linux, ya que en BackTrack cuentas con las herramientas de THC-IPV6, que son una maravilla, pero a nosotros nos ha parecido muy interesante tener esto en nuestro conjunto de herramientas.

Saludos Malignos!

9 comentarios:

  1. Interesante.
    Espero que no se convierta en herramienta de script-kiddies, así que metedle cierta dificultad de uso ;)

    ResponderEliminar
  2. Sería muy didáctico, si para cada tipo de ataque, pudiérais incluir algún tipo de información sobre la propia naturaleza del ataque, pero además también, posibles factores de prevención/mitigación/detección; de esa forma, se puede saber a qué se está expuesto con ella, y tener al menos una referencia básica de base sobre qué poder empezar a mirar para poder implementar las contramedidas oportunas.
    Graicas como siempre por compartir el conocimiento.
    Salu2!

    ResponderEliminar
  3. La verdad la "evil foca" tiene muy buena pinta. De hecho ya estoy ansioso esperando su presentación.

    Si la queremos correr en Linux siempre podremos usar wine como en la foca. }:]]

    ¡Saludos!

    ResponderEliminar
  4. esta aplicacion promete :)
    Ademas parece que va a ser mas facil hacer auditorias de redes

    ResponderEliminar
  5. Solo pueden acceder universitarios? y los que no lo somos?

    gracias

    ResponderEliminar
  6. @anónimo, a las becas sí. Al evento creo que podrías asistir...

    Saludos!

    ResponderEliminar