En otro post anterior hablamos de ARPSPOOF, como comentaba esta técnica permite al atacante ver todo el tráfico que genera la víctima, siempre y cuando sea texto plano, y los protocolos más conocidos que trasmiten la información en texto plano son:

• HTTP (HyperText Transfer Protocol)
• FTP (File Transfer Protocol)
• SMTP (Simple Mail Transfer Protocol)
• POP (Post Office Protocol)

Todo lo que uno trasmita por estos protocolos va en texto claro es fácil de leer.-

La protección de estos protocolos radica en el uso de SSL (Secure Sockets Layer) o protocolo de capa de conexión segura, es un adicional al protocolo el cual trabaja con certificados y son utilizados en los protocolos que se mencionaron antes.-

Nosotros nos vamos a centrar en HTTPS (Hyper Text Transfer Protocol Secure) o Protocolo seguro de transferencia de hipertexto, este protocolo es utilizado para dar seguridad y son utilizados en HomeBanking, Webmail, Redes Sociales y en todo sitio que quiera asegurar la transacción de información de manera segura. Y es acá donde el atacante agrega una herramienta más que se llama SSLSTRIP.-

SSLSTRIP es un proxy transparente que reemplaza todas las peticiones HTTPS de una página web por http.-

a modo de ejemplo lo que realiza SSLSTRIP internamente es algo así

sslstrip recibe este tipo de código

<html>
<form method="POST "action="https://www.dominio.com">
<input type="text">
<input type="password">
<input type="submit">
</form>
</html>

y le devuelve a la victima el siguiente código

<html>
<form method="POST "action="http://www.dominio.com">
<input type="text">
<input type="password">
<input type="submit">
</form>
</html>

Como se puede observar luego del “action” se modifica https por http esta acción hace vulnerable la comunicación obligando a la victima a enviar las credenciales (Usuario, Password, Etc.), en texto claro.-

Explicándolo la idea es que la víctima y el atacante se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.-

La secuencia en la que se realiza este ataque Man  In The Middle es como se muestra en la imagen.-

Las posibilidades de evitar este ataque es solo conectarse en redes de confianza o bien utilizar vpn, también una buena practica por excelencia es controlar que siempre  la conexión sea https y que se pueda ver el Certificado como se muestra en la siguiente secuencia.-

Cristian Amicelli Rivero