MITM ovvero man in the middle (uomo nel mezzo), è una delle principali tecniche di sniffing. All’interno della nostra rete, possiamo “travestirci” da router ingannando, così gli altri utenti e intercettare ogni comunicazione tra host. Si possono trovare mail, password, e tutto quello che viene, tranquillamente trasmesso dagli utenti nella rete a cui siamo connessi. In questo video useremo ettercap e wireshark.

In questa tipologia di attacco, l’attaccante si mette nel mezzo delle comunicazioni tra router e il computer vittima, fingendosi egli stesso router, ingannando quindi, sia il computer vittima che il router stesso.
Ogni richiesta passerà dalla propria scheda di rete. La cosa divertente è che anche il router viene ingannato e convinto di essere un computer, quindi è come provocare una crisi d’identità al router.
Nell’immagine accanto vediamo uno schema molto semplice, su come funziona questo tipo di attacco. Per effettuare questo attacco, la prima cosa è modificare la tabella di ARP (address resolution protocol), questa tabella associa il numero MAC della scheda di rete, univoca per ogni singolo computer, agli indirizzi IP della rete in uso.

Quando al router arriva un pacchetto dati da indirizzare ad una macchina in particolare, con la  tabella ARP risolve l’associazione dell’indirizzo IP con il relativo MAC del computer al quale, quello specifico pacchetto, è indirizzato. Questa tecnica, modificare la tabella ARP, si chiama: “ARP poisoning”. Usando SSL, oppure TLS, possiamo comunicare con il server in modo cifrato.
Questo accade ogni volta che ci connettiamo ad un sito sicuro, e nella barra degli indirizzi appare il lucchetto chiuso e la scritta https. La “persona nel mezzo” in questo caso non riesce a vedere in chiaro le comunicazioni tra il computer vittima e il server, quantomeno senza averle de-criptate. Però l’attaccante può far smettere la criptazione dei dati e indurre host e router a comunicare in chiaro, questa tecnica si chiama SSL strip.
E’ una tecnica abbastanza individuabile e molti browser lo segnalano subito.

 

 

Ettercap

E’ un software di analisi di rete libero, funziona su quasi tutti i sistemi operativi.
Nel 2006 si è classificato al numero 11 nella top 100 network security tools di insecure.org. Per usarlo, l’interfaccia di rete, va messa in modalità promiscua, per questo motivo, si usa consigliarlo su piattaforme UNIX, perché è più facile impostare questa modalità.

Ettercap riesce anche a trovare altri “avvelenatori” presenti sulla rete locale. Ha sia interfaccia grafica che a riga di comando.
Una volta avviato ci chiede di scegliere l’interfaccia di rete che stiamo usando. Cerchiamo gli altri host connessi sulla rete, quindi clicchiamo quindi su: hosts e scan for host. Li visualizziamo cliccando su: hosts e hostlist.

A questo punto siamo pronti per “avvelenare” la tabella ARP. Clicchiamo quindi su Mitm e ARP poisoning.
Attiviamo il plugin “autoadd” che aggiungerà automaticamente i nuovi utenti della rete mano a mano che si connettono. Se ci connettiamo ad un sito che non  usa HTTPS quello che inseriamo all’interno del sito (username e password) vengono visualizzate sulla nostra interfaccia. Al contrario non visualizza nulla se il sito in questione usasse HTTPS.

 

Wireshark

Questo programma è molto complesso da usare. E’ più completo ma non può fare ARP poisoning e per questo motivo, teniamo aperto ettercap mentre lo usiamo. E’ dotato di funzionalità molto simili a quelle di tcpdump, ma dotato di un’interfaccia grafica. Wireshark è distribuito con licenza open source. Dapprima era chiamato Ethereal, nel 2006 il nome è cambiato per via di disguidi con il principale sviluppatore, Gerald Combs, e il suo precedente datore di lavoro. Pare non si siano messi d’accordo sul suo utilizzo. Ethereal non è più stato sviluppato, nè aggiornato e quindi dal 2006 è consigliato l’uso di wireshark.

Dobbiamo avviarlo da shell, per avviarlo come amministratore. Scegliamo l’interfaccia di rete che vogliamo usare, e sin da subito, saremo subissati di pacchetti intercettati, per questo motivo inseriamo il filtro per il pacchetto che ci interessa, nel nostro caso http.
Individuato il pacchetto che ci interessa cliccandoci sopra, Il pacchetto viene aperto rivelando anche le informazioni sensibili come password e username, che sono contenute nell’ultimo tab in basso.
Wireshark è sicuramente uno strumento molto potente, vale la pena perderci il tempo necessario per studiare approfonditamente il manuale di istruzioni, che troviamo nella pagina iniziale, all’apertura del programma.