El documento describe los ataques Man-in-the-Middle y cómo robar información en sesiones protegidas por SSL. Explica cómo envenenar las tablas ARP, robar datos de protocolos no encriptados, y cómo sslstrip puede evadir SSL redireccionando solicitudes HTTPS a HTTP. Finalmente, ofrece contramedidas como encriptación, tablas ARP estáticas, detección de intrusiones y concientización.

1. Man-In-The-Middle y robo de información
en sesiones protegidas por SSL
Matias Katz - CISSP / MCSE
www.matiaskatz.com - katz@mkit.com.ar
GPG: 0x8C7C3B7E
Buenos Aires, Argentina - 28 de Octubre de 2010

2. Analizando un ataque Man-In-The-Middle
Requests
Replies

3. Analizando un ataque Man-In-The-Middle (Cont.)
Data Data

4. Analizando un ataque Man-In-The-Middle (Cont.)

5. ARP Cache Poisoning
IP: 10.0.1.1
MAC: AA-AA-AA
IP: 10.0.1.254
MAC: CC-CC-CC
IP: 10.0.1.2
MAC: BB-BB-BB
IP: 10.0.1.254
MAC: BB-BB-BB
IP: 10.0.1.1
MAC: BB-BB-BB

6. Robo de Información – Protocolos Inseguros
HTTP
POP3 SMTP
IMAP
FTP
TELNET
SNMPVNC

7. DEMO

8. Contramedidas?
Encriptación
Tablas ARP estáticas
IDS / arpwatch

9. Opciones de encriptación
SSL
VPN
IPSec
SSH

10. Analizando SSL
La información
es comprensible
HTTP
DATA

11. Analizando SSL (Cont.)
La información NO
es comprensible
HTTP
DATA
SSL

12. Analizando SSL (Cont.)
La intrusión
NO se puede
realizar

13. sslstrip
Evadiendo SSL

14. Evadiendo SSL (Cont.)
sslstrip

15. Evadiendo SSL (Cont.)
1. HTTPS Request
2. HTTP Redirect
3. Envío de DATA
4. Reenvío de DATA5. Recepción de Respuesta
6. Reenvío de
Respuesta

16. DEMO

17. Contramedidas
Awareness Training
Forzar HTTPS
Evitar HTTP 302 (Redirect)

18. Links
arpspoof (dsniff):
http://www.monkey.org/~dugsong/dsniff/
# apt-get install dsniff
wireshark:
http://www.wireshark.org/
# apt-get install wireshark
sslstrip:
http://www.thoughtcrime.org/software/sslstrip/

19. Preguntas?
Matias Katz - CISSP / MCSE
www.matiaskatz.com - katz@mkit.com.ar
GPG: 0x8C7C3B7E
Buenos Aires, Argentina - 28 de Octubre de 2010