VULNERABILIDAD – MESSENGER ARP SPOOFING - INTERCEPTAR Y MODIFICAR CONVERSACIONES

JOHANA CANO HERNÁNDEZ GRUPO: 38110

NSTRUCTOR FERNANDO QUINTERO

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ADMINISTRACION DE REDES DE CÓMPUTO MEDELLÍNSENA 2011

VULNERABILIDAD – MESSENGER ARP SPOOFING - INTERCEPTAR Y MODIFICAR CONVERSACIONES

Esta vulnerabilidad esta principalmente basada en la ejecución de un script atacando a la Aplicación MSN para interceptar y modificar una conversación que se esté planteando entre dos usuarios independientes, esto vulnera la seguridad de la información que se está transmitiendo a través de la red, también está violando la CONFIDENCIALIDAD e INTEGRIDAD de cada uno de los usuarios ya que el atacante se está dando cuenta de lo que cada uno de los mismos escribe y envía a según los parámetros que se hayan especificado y modifica los datos que se están transmitiendo, es decir, se cambian los mensajes a la voluntad de la persona maliciosa. Es posible engañar a un host dentro de una red diciéndole que la dirección MAC con quien se quiere comunicar sea un tercer host, produciéndose así una redirección del tráfico del host origen al host destino verdadero con el fin de funcionar transparentemente en la comunicación de ambos y observando todo lo que se dicen. Este tipo de ataque se conoce como “Hombre en medio” o “Man In The Middle”. Para esta práctica vamos a utilizar tres maquinas virtuales (dos Windows XP y un Backtrack). Como primer paso vamos a verificar las direcciones IP de cada una de los equipos.  WINDOWS XP 1 (VICTIMA 1)

 BACKTRACK (ATACANTE)

 WINDOWS XP (VICTIMA 2)

Estando en la maquina Backtrack vamos a crear un filtro que le diga al programa como encontrar la palabra que queremos interceptar y como cambiarla. Lugo lo vamos a traducir para que utilice el filtro propiamente dicho. Vamos a implementar la herramienta del Backtrack Ettercap. La cual nos permite hacer un Spoofing ARP que es la finalidad de esta vulnerabilidad. Como primer paso vamos a crear un archivo de texto en el escritorio y lo llamaremos filtrotxt.

Ya creado el archivo, ahora pasamos a abrirlo para anexar la información.

Ahora vamos a empezar a programar el filtro y vamos a editar las siguientes sentencias:  If (ip.pro == TCP && search(DATA.data, “hola”)): Esto significa que SI el protocolo de IP es TCP y además si llamo la función búsqueda y le doy los parámetros de DATA.data y busco dentro de la misma y encuentro la palabra “hola” va a suceder algo.  {. Replace(“hola” , “chau”);: Abrimos la llave para especificar que si lo anterior se cumple se va a reemplazar la palabra “hola“ por la palabra “chau”.  Msg(“cambio realizado :p .\n”);}: Cuando lo anterior se cumpla me lance un mensaje dentro de la herramienta diciendo cambio realizado mas una carita feliz sacando la lengua, el salto de línea y se cierra la función con la llave.

Ahora como siguiente paso cerramos para que el archivo guarde lo que hemos configurado.

Nos dirigimos a la consola, estando allí vamos a ejecutar el comando “pwd” para saber en qué directorio estamos parados, como podemos observar en la siguiente imagen nos encontramos del root, luego damos el comando “ls” para listar todos los archivos que allí se encuentren; en este directorio podemos ver el archivo .txt que creamos anteriormente.

Luego vamos a utilizar el comando Etterfilter sin ningún parámetro, como podemos visualizar en la siguiente imagen nos dice “No source file”, esto quiere decir que no tiene un archivo de origen.

Debemos colocarle un determinado parámetro a este comando para que nos pueda funcionar, en este caso sería el parámetro del archivo de origen (filtrotxt) y la opción “-o” que significa el archivo de salida, es decir, luego debemos especificar el nombre del nuevo archivo “filtro.ef” ; ahora ponemos a correr el comando y nos dice que lo hemos codificado exitosamente.

Ahora vamos a hacer un listado para ver que efectivamente creo el archivo, ahora vamos a copiar el archivo filtro.ef a la carpeta donde se encuentra el Ettercap que es en /usr/share/ettercap/, después nos dirigimos a esa ruta para verificar que efectivamente lo hemos copiado correctamente.

Después vamos a ejecutar el comando ettercap que es la herramienta que nos permite hacer ataques de hombre en el medio y hacer un sniffers (capturar tramas) en la red, esto permite que todos los paquete le lleguen al atacante o al Man In The Middle para filtrarlos y ejecutar algunas operaciones mediante el script que hemos hecho (filtro.ef). Al usar este comando debemos especificar algunas opciones, entre las cuales se encuentran:         -T: Esta opción es para que sea modo texto. -q: Esta se utiliza para que sea modo silencioso. -p: Esta opción es utilizada para el modo promiscuo, es decir cuando un computador conectado a la red captura todo el tráfico que circula por la misma. -F: Esta opción es utilizada para especificar el filtro. -M: Esto significa que estamos haciendo un ataque de tipo Man In The Middle (Hombre en medio). ARP-remote: Este es el modo en el que se va hacer el ataque, es de forma remota. //: Significa la separación o la finalidad de los parámetros. /192.168.1.65: Con esto estamos especificando la dirección IP de la victima (Windows XP victima 1)/. Por último damos ENTER para lanzar el ataque.

A continuación podemos observar que efectivamente nos ha funcionado, el porcentaje que vemos allí es la fase del scaneo, este verifica cuantos host o cuantas maquinas tiene la red que este caso ha escaneado cuatro y empezar a hacer en envenenamiento ARP (ARP SPOOFING).

Ahora, como siguiente paso nos dirigimos a las maquina Windows para abrir las sesiones en el Messenger, en este caso vamos a utilizar dos usuarios llamados Johana y Felipe; en el equipo 192.168.1.65 vamos a iniciar la sesión de Johana y en el equipo 192.168.1.67 iniciaremos la sesión de Felipe como podemos observar en las siguiente dos imágenes. WINDOWS XP (Victima 1) – 192.168.1.65

WINDOWS XP (Victima 2) – 192.168.1.67

Como siguiente paso vamos a iniciar una conversación entre los dos usuarios, para este caso el usuario Johana va a iniciar la conversación diciendo las letras “aaaaaa”, inmediatamente el usuario Felipe recibe el mensaje, este mismo le escribe las letras “bbbbbb”; con esto estamos demostrando que efectivamente los mensajes están llegando bien.

Ahora Felipe le responde a Johana “Hola que tal ” y esta misma le escribe “Hola como estas?”. Con esto estamos verificando con mensajes coherentes que la conversación está llegando correctamente.

Ahora como siguiente paso vamos el usuario Felipe le dice nuevamente a Johana “hola Johana”, y como podemos observar en las siguientes dos imágenes efectivamente está funcionando el ataque, la palabra “hola” fue reemplazada por la palabra “chau”. Esto se debe al mensaje interceptado que realizamos en el Backtrack, el Ettercap está recibiendo todos los ataques y los intercambia con el script que hemos puesto en el Etterfilter. El usuario Johana recibe un mensaje falso que es chau Johana en vez de recibir el mensaje original que es hola johana y viceversa.

Ahora haremos la prueba del usuario Johana hacia el usuario Felipe.

Este ataque funciona para los dos usuarios ya que le hemos puesto el –M “Man In The Middle”, en este caso es FULL-DUPLEX (enviar y recibir mensajes de forma simultánea). Ahora nos vamos a dirigirnos al equipo Backtrack en donde podemos visualizar el mensaje que habíamos puesto en el filtro para que apareciera cada vez que los cambios en la conversación se hayan realizado “cambio realizado :p”.

NOTA: Es importante tener en cuenta que el script que hemos realizado solo va a funcionar si el usuario escribe el mensaje en letras minúsculas, si las escribe en letras mayúsculas no va a funcionar porque no tienen el mismo valor y esto es traducido a códigos ASCCII; Es por ello que si queremos que este script funcione de las dos maneras debemos configurar nuevamente y poner la palabras tanto en mayúsculas como en minúsculas. Veamos en la siguiente imagen como vamos a probar con mayúsculas y minúsculas un mensaje y efectivamente únicamente obedece al script de las que están en minúscula por que la que tiene mayúscula no cumple con la función.

Nuevamente aparece en el Backtrack loa cambios realizados que es la otra instrucción que le pusimos al script y que nos informa que todo está funcionando correctamente.

 IMPORTANTE: Este ataque puede ser implementado para modificar y tener conocimiento de todos los mensajes que intercambian varios usuarios, para este caso se configuró únicamente las palabra “hola”, pero efectivamente podemos configurar el script en el que especifiquemos lo que se quiere modificar o lo que queremos que reciba cada uno de los usuarios participantes.

Sign up to vote on this title
UsefulNot useful