Sidejacking con ferret y hamster. Ataque y defensa

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Sidejacking con ferret y hamster. Ataque y defensa

Notapor vlan7 » Mar Ago 28, 2007 5:40 pm

Sidejacking es la tecnica que permite esnifar cookies y reemplazarlas contra sitios web suplantando la identidad de la victima. Se diferencia de un hijacking Man in the middle en que un ataque MitM interfiere con la sesion original, y el sidejacking no, pues la victima continua usando su sesion sin darse cuenta de que nosotros tambien estamos en su sesion.

En la conferencia "Black Hat Hacker", llevada a cabo en Las Vegas, USA, en Agosto de 2007, Robert Graham, de la firma Errata Security, demostro con sus herramientas ferret y hamster lo sencillo que es el robo de datos de cuentas de mail.

Podemos bajar las herramientas programadas por el de http://www.erratasec.com/sidejacking.zip.

Sobre esto, Sor_Zitroen me comento que existe la herramienta libre (GPL) SurfJack para realizar lo que en el documento que me paso llaman Surf Jacking. Ellos dicen en la portada: "HTTPS will not save you". Con eso esta todo dicho. Y esta documentacion esta en http://resources.enablesecurity.com/resources/Surf%20Jacking.pdf

Y para terminar sobre esto, en palabras de Sor_Zitroen: "SurfJack sólo sería válido si la cookie que se utiliza se puede enviar tanto por HTTP como por HTTPS. Vamos, que si se establece en la cookie el flag de seguridad para enviar sólo por canales cifrados ya no sería posible realizarlo.

El surfjacking, padre del sidejacking, queda explicado en esta entrada: http://www.vlan7.org/2009/06/jugando-robar-cookies-con-surfjack.html

Expliquemos pues en que consisten las herramientas de Graham y como podemos usarlas para realizar un ataque.

Ferret es un sniffer de linea de comandos que esnifa cookies. Hamster actua de proxy basandose en los resultados capturados por Ferret. Veamos brevemente los pasos a seguir en el ataque.

Descomprimimos las utilidades en un directorio, por ejemplo c:\risperdal.

Vemos que interfaz de red queremos que Ferret esnife:

Código: Seleccionar todo
ferret -W


Supongamos que nuestra interfaz wireless es la 2, y que queremos esnifar por ella. Hariamos:

Código: Seleccionar todo
start ferret.exe –i 2 sniffer.mode=most sniffer.directory=\pcaps


con esto ya tenemos a Ferret capturando cookies que pasen por nuestra interfaz wifi, y almacenandolas en c:\risperdal\hamster.txt

Ejecutamos hamster:

Código: Seleccionar todo
start hamster


Ya tenemos un proxy local escuchando en el puerto 3128. Abrimos un navegador (yo lo hago con IE, pues habitualmente uso Opera y hamster jode las cookies que tengamos), lo configuramos para que salga por el proxy 127.0.0.1:3128 y escribimos

Código: Seleccionar todo
http://hamster


Nos saldran varias posibles sesiones de victimas. Elegimos alguna y con alta probabilidad... estamos dentro.

Si la victima no cierra sesion y la cookie es persistente, como es el caso de gmail por ejemplo, podemos reutilizar el archivo hamster.txt siempre que queramos.

El ataque fue demostrado para redes wireless abiertas, en redes wireless protegidas por cifrado (WPA/WPA2) el ataque es imposible a menos que sepamos la clave de cifrado. Y en la demostracion del ataque se uso una conexion wifi abierta, pero nada impide realizar el ataque en una red cableada. Podemos poner a Ferret esnifando en una interfaz de red cableada. Toda cookie que pase por esa interfaz sera guardada en hamster.txt. En un entorno con hub es trivial. En un entorno switcheado tambien es trivial ya en nuestros dias, basta con un simple ataque de ARP-Spoofing.

Contramedidas:

He leido por ahi, y en mas de una pagina web, que una contramedida eficaz es usar https en lugar de http. Pues bien, eso es falso. Todas estan equivocadas. Tal y como apunto Mike Perry el 6 de Agosto en la prestigiosa lista de correo bugtraq, la cookie de autenticacion GX de mail.google.com se transmite tanto por http como por https. Esta es la unica cookie necesaria para autenticarse en gmail.

Para demostrar la validez del ataque aun usando https, puedes visitar en tu ordenador victima de pruebas https://mail.google.com. Ahora borra todas las cookies menos la cookie GX. En Firefox lo puedes hacer con la extension CookieCuller. Despues cierra la pestaña de gmail y visita http://mail.google.com. Sorpresa: aun estaras autenticado.

Mas info sobre este ataque en este <a href="http://seclists.org/bugtraq/2007/Aug/70"><b>post</b></a> enviado a bugtraq por Mike Perry, y titulado [i]Active Gmail "Sidejacking" - https is NOT ENOUGH[i].

Lo importante aqui es la cookie de autenticacion aunque la conexion vaya cifrada con https.

La "unica" contramedida posible es borrar todas las cookies y/o (mejor y) hacer logout. Y si usamos wifi, cifrar siempre la conexion.

Se recomienda usar la herramienta CookieMonster

P.D. Gracias a Sor_Zitroen por los comentarios que me hizo para mejorar este post.

<EDIT>bueno, dejo el mejor enlace sobre seguridad de cookies que he podido encontrar. http://fscked.org/category/tags/insecurecookies</EDIT>
Última edición por vlan7 el Mar Jul 27, 2010 1:09 am, editado 5 veces en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Mar Ago 28, 2007 5:59 pm

Hola:

Gracias por la información, risperdal. ;)

Creo que se merece un Post-it.

He añadido el hilo a "Posts agrupados por temáticas de esta sección".

Sección: Exploits, vulnerabilidades, inyecciones de código.

Ahora mismo me voy a probarlo.

Un saludo.

PD: Este tipo de aportaciones son muy bienvenidas al foro. ;)
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor KuArMaN » Mar Ago 28, 2007 6:39 pm

Gracias risperdal :D
Mi Blog

Imagen

Imagen
Avatar de Usuario
KuArMaN
<|:-)
<|:-)
 
Mensajes: 939
Registrado: Mié Jul 12, 2006 4:24 pm
Ubicación: I'm from Hell.

Notapor Sor_Zitroën » Mar Ago 28, 2007 6:44 pm

Ups, buena información. Ahora lo pruebo a ver qué tal.


Gracias :D
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor SLaYeR » Mar Ago 28, 2007 6:46 pm

Hace poco hable de ese tema en mi blog... la verdad es que es alucinante la facilidad con que se desarrolla todo, probándolo en el curro se me saltaban las lágrimas de la emoción.... :badgrin:
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor NeTTinG » Mar Ago 28, 2007 6:52 pm

Hola:

Yo mismo lo estoy comprobando ahora.

Con Gmail ningún problema. Bueno si, pero supongo que es el CAIN "al hacer de las suyas". El firefox se pone "chulo", el IExplorer "canta" pero se "calla".

Wordpress también es vulnerable. Da igual que la Víctima haga "Logout" o cierre el navegador... Nosotro seguimos logueados y validados de igual forma.

He estado probando con "otras cosas más preligrosas" y parece que se resisten... 8)

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor vlan7 » Mié Ago 29, 2007 1:20 pm

thx!
Última edición por vlan7 el Dom May 12, 2013 4:20 pm, editado 1 vez en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Mié Ago 29, 2007 1:29 pm

Hola:

Es para mi una grata sorpresa que mi post haya causado buena impresion y me lo hayais puesto como Post-it, lo cual ha hecho que me sienta muy orgulloso.


Toda la información es buena. Y aquí se valora.

Un cordial saludo a los integrantes del que para mi es el mejor foro de seguridad informatica en castellano. Creedme, cosas asi no se las digo a cualquiera.


Me alegra de que tengas esa vision de Wadalbertia.

Un saludo, risperdal.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor suayon » Mié Ago 29, 2007 1:38 pm

No habia pasado el suayon por este hilo jeje Buena info risperdal ;)
Los sabios en tiempos de paz se preparan para la guerra.

Mi blog
Avatar de Usuario
suayon
<|:-)
<|:-)
 
Mensajes: 609
Registrado: Sab Feb 10, 2007 3:52 pm
Ubicación: Zona Norte Wadalbertiense

Notapor kramox » Jue Ago 30, 2007 9:57 pm

Gran aportación amigo. Enseguida voy a provar/investigar sobre el tema. ¡Que emoción!

Un saludo
No lo pienses hazlo, otro ya lo hizo, así que no es difícil

Date un paseo por mi blog
kramox
:-D
:-D
 
Mensajes: 65
Registrado: Mié Jul 11, 2007 10:41 am

Notapor elf_infector » Vie Mar 07, 2008 8:21 pm

Hola, llevo unos minutos registrado en el foro y leo esto ... he de confesar que he leido mas cosas de este chaval "risperdal" y sinceramente ... es un P**** máquina ....
Había oído hablar de hamster y ferrel pero desconocía totalmente que estaba disponible para descargar. Pienso que es una herramienta de hacking cojonuda y que se nos abren muchas posibilidades para investigar con ella.

Un saludo a todos
elf_infector
:-)
:-)
 
Mensajes: 20
Registrado: Vie Mar 07, 2008 11:22 am

Notapor vlan7 » Sab Sep 27, 2008 9:54 pm

Bueno, si me lo permitis, solo decir que he revivido este post con informacion interesante que me ha pasado Sor_Zitroen.

Simplemente escribo esto para marcarlo como "con-mensajes-nuevos", para quien pueda interesar.

Gracias Sor por la info!

Suerte y Exitos.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor SLaYeR » Dom Sep 28, 2008 4:14 pm

Hola!

risperdal, sabes donde puedo conseguir los fuentes o los binarios para Linux? estoy harto de tirar de wine para ejecutar esto y creo que si existen los binarios para Linux.

Salu2!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor Zykl0n » Lun Oct 06, 2008 4:15 am

Creo que WiFiZoo es lo que buscas, SLaYeR...

Es el "Ferret" para Linux.

WifiZoo

Aunque el código fuente de Ferret ya portado para UNIX, lo puedes bajar desde aquí:

Versión 1.0
Versión 1.1.3

La versión 1.0 compila de muerte, Saludos.
Slackware - Linux for the SubGenius
Imagen
Avatar de Usuario
Zykl0n
:-)
:-)
 
Mensajes: 48
Registrado: Sab Sep 13, 2008 6:45 am

Notapor SLaYeR » Lun Oct 06, 2008 8:45 am

OK, gracias Zykl0n, lo voy a probar.
WifiZoo me sonaba, pero me parece que solo es para Wifi no? de todos modos probaremos también por cable ;)

Le echo un ojo, gracias!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Siguiente

Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron