Inicio > Herramientas, Seguridad, Sniffer, Windows > Capturar trafico SSL en claro

Capturar trafico SSL en claro

viernes, 16 de enero de 2009 Dejar un comentario Ir a comentarios

En el post anterior, comentábamos como podíamos capturar trafico en redes “switcheadas”, en las que veíamos como a través de un ataque «man in the middle» podiamos examinar SSL en claro.

Si hemos probado la herramienta, habremos observado que lo que se hacia era falsear el certificado, de tal forma que un cliente algo «atento-paranoico» se hubiese dado cuenta de la trampa. Pero también es verdad que muchos hubiesen optado por la vía de aceptar-continuar-aceptar-continuar…., sin prestar excesiva atención a los mensajes de advertencia.

Siguiendo con este tema y a raíz de un articulo que leí en el blog de David Cervigon vamos a conocer un par de herramientas desarrolladas por Emmanuel Boersma que nos van a permitir analizar trafico SSL de una manera sencilla. Lo que hacen estas herramientas es injectar una dll en el proceso que va a utilizar ssl.
.

Como comenta David en su blog:

Para capturar el tráfico, hay que hacer lo siguiente (dependiendo del entorno, es posible que tengamos que usar STRACE.dll_IE6 en ligar de STRACE.dll_IE7):

  • Si queremos utilizar IE: Ejecutar el script STRACE.CMD
  • Si queremos usar Firefox: Ejecutar el script STRACE_FIREFOX.CMD
  • Si queremos usar una aplicación que usa SSL: withdll /d:STRACE.dll_IE7 MYAPPLICATION.EXE
  • Si queremos inyectar la DLL en un proceso ya existente: injdll /p:PID /d:STRACE.dll_IE7

Como el mismo Emmanuel comenta en su página:

Running the above batch will create a STRACE log that you can subsequently use with HTTPREPLAY. This allows to do funny things like generating a STRACE log using Firefox and replay it with Internet Explorer (or the opposite)… Note that, since FireFox relies on his own SSL layer (it doesn’t use the EncryptMessage/DecryptMessage APIs), STRACE logs generated using Firefox only contain clear text HTTP.

Si ejecutamos Strace.cmd
strace1

Y consultamos nuestro correo de www.gmail.com

gmail

Veremos que nos genera un LOG en el escritorio con todo el tráfico en texto claro que podemos interpretar com HTTPREPLAY.

httpreplay1

httpreplay2

Como podemos ver en este caso sobrarian las palabras.

Para que nos hagamos una idea de lo que hemos lanzado

strace.cmd

@echo off
set IEPATH=»%programfiles%\internet explorer\iexplore.exe»
if exist «%ProgramFiles(x86)%\internet explorer\iexplore.exe»  set IEPATH=»%ProgramFiles(x86)%\internet explorer\iexplore.exe»
set STRACEDLL=STRACE.DLL_IE6
if exist %windir%\system32\ieframe.dll set STRACEDLL=STRACE.DLL_IE7
runelevate withdll /d:%STRACEDLL% %IEPATH% about:blank


Al final lo único que puede quedarnos claro, es que las cosas no son tan seguras como parecen, y a veces uno vive mucho mas feliz en la ignorancia, o citando una frase de alguien a quien conozco: «En el apogeo de la puta ignorancia».

Saludos.

Enviar a un amigo: Share this page via Email
  1. Sin comentarios aún.
  1. Sin trackbacks aún.