Ettercap + SSL

[Kosuke]

¿Que tal chic@s?
Os comento el problemilla/duda que tengo:

Hasta ahora he usado windows y para sniffar trafico (mas bien passwords) en una red switcheada usaba el cain (arp poison), todo muy sencillo y bonito, un par de clicks y listo. Pues bien ahora que estoy usando linux para estos menesteres uso el ettercap y no tengo ningun problema con el salvo porque no me sniffa/saca las passwords que van por ssl (https). No se si hay que activar algun plugin (no he visto ninguno que se refiera a ssl/https). Eche un vistazo a las man pages y vi algo referente a ssl y hablaba de los certificados, pero como mi ingles deja mucho que desear no lo entendi.

A ver si alguno me podeis echar una manita con este tema

Otra duda que tengo ya que estamos con ssl, en una red con hub de que manera podria hacer un mitm (Man In The Middle) para conseguir las passwords?

Saludos.

[j8k6f4v9j]

Optional Libraries: To enable plugins: libltdl (part of libtool)
To have perl regexp in the filters: libpcre
To support SSH and SSL decryption: openssl 0.9.7
For the cursed GUI: ncurses >= 5.3
For the GTK+ GUI: pkgconfig >= 0.15.0 and:
- Glib >= 2.4.x
- Gtk+ >= 2.4.x
- Atk >= 1.6.x
- Pango >= 1.4.x
If you want SSH1 and/or HTTPS support, ettercap requires OpenSSL libraries

[Kosuke]

Tengo todas esas librerias instaladas, la unica diferencia es que en vez de tener OpenSSL-0.9.7 tengo OpenSSL-0.9.7g-2.2, puede ser ese el problema?

Lo unico "raro" es que cuando lo instale ./configure a veces me decia que no era valido el signo que apuntaba un puntero, o algo parecido (no lo recuerdo bien), pero no me daba ningun error y se instalaba perfectamente.

Saludos.

[j8k6f4v9j]

No se si hay que activar algun plugin (no he visto ninguno que se refiera a ssl/https). Eche un vistazo a las man pages y vi algo referente a ssl y hablaba de los certificados, pero como mi ingles deja mucho que desear no lo entendi.

A ver si alguno me podeis echar una manita con este tema

Lo más importante que explican las páginas de manual acerca de los certificados es más o menos lo siguiente. Si intentas hacer un man in the middle con ssh2, le va a saltar al cliente una aviso de posible man in the middle como la copa de un pino. Lo que hay que entender es no sólo la captura de paquetes en sí, sino el man in the middle propiamente dicho. Por ejemplo, si estás haciendo un man in the middle con una lista de correo que usa https, no será el certificado original el que acepte el cliente, sino una réplica que ettercap crea basándose en la información del original. El eslabón más débil de la cadena en una conexión por https es el usuario (como siempre), y es de esta forma como se puede conseguir, haciendo que éste acepte un certificado falso. En este certificado hecho por ettercap la diferencia está en la llave. Si todo lo demás está bien montado, lo más normal es que el usuario acepte el certificado.

En cuanto al aviso del ssh2, lo que hay que hacer es forzar la conexión con el cliente a ssh1, por lo que al no encontrar el certificado original no te soltará el aviso de posible man in the middle, sino que te presentará el certificado como nuevo.


El caín yo ni lo he visto, quizá sea más sencillo de usar que el ettercap, pero el ettercap es un programa muy potente. Tiene muchas combinaciones, es muy recomendable pillarse un buen diccionario de inglés y traducir las man pages al completo.

[Kosuke]

Si, eso lo sabia, se podria decir que es la teoria del "man in the middle" en conexiones seguras. Lo que probare en cuanto pueda sera usar un livecd de seguridad (auditor, whax, etc) donde ya viene instalado a ver si averiguo que es lo que falla en el mio.

Saludos.

[Kosuke]

Ya he solucionado el problema , tenia que descomentar unas lineas dentro de etter.conf, dependiendo si usaba iptables o ipchains. Ya consigo sniffar trafico seguro , y lo mejor de todo es que me he dado cuenta de lo potentisima que es esta herramienta con un poco de imaginacion.

Saludos.