Hardware y software

Duda contraseñas en las Redes

P
payopony #1 Feb '16

Tengo una duda respecto a como viajan las contraseñas por la red, espero que alguien que entienda me lo pueda explicar.
(Tiene que ver con el funcionamiento de Ettercap.)
He estado trasteando con este programa así como auditando la seguridad de mi Wireless y me ha llamado la atención que usando Ettercap puedo pillar algunas contraseñas, por ejemplo la de MV, pero solo si me deslogueo borro la contraseña almacenada en el explorador y me vuelvo a loguear.

Entiendo que hay cookies que hacen el trabajo de reescribir el pass cada vez que me conecto a mis web habituales, pero
¿porque no puedo cazarlas?,
¿que diferencias hay entre tenerla almacenada en tu navegador a loguearte cada vez?,
¿No era más seguro loguearse cada vez que almacenar ningun dato en tu PC?

He utilizado arp poisoning (por si sirve de ayuda)

PD->No soy, ni espero ser, ningun juanker, me interesa el tema redes y seguridad solo eso.

AikonCWD
AikonCWD #2 Feb '16 Git Gud

#1 Te lo voy a explicar de un modo MUY resumido. Se llama "desafío-respuesta".

Imaginemos 2 ordenadores (A y B). Quiero que A se valide contra B usando un password, pero en ningún momento quiero que el password de A circule por internet... como se hace? De la siguiente forma:

  • "A" tiene un password secreto, por ejemplo "perro"
  • "B" conoce el password de "a" que debería ser "perro"
  • "A" inicia una petición de login -> Hola soy "A" y quiero autentificarme
  • "B" sabe que el password debería ser "perro"
  • "B" genera un desafío, coje el password de "A" (perro) y hashea una palabra random, por ejemplo "casa"
  • Utilizando un algoritmo de hash, la palabra "casa" hasheada con el password "perro" devuelve una nueva lapabra (por ejemplo "coche")
  • "B" desafía a "A" y le dice "coche"
  • "A" hashea el desafío "coche" con el password introducido
  • Si "A" introduce "perro", devolverá "casa" al hashearlo con "coche"
  • Si "A" introduce un password erróneo, devolverá "otra cosa" al hashearlo con "coche"

De ésta forma tan simple, durante un login entra A y B jamás circulará el password secreto (perro) por la red, solamente circula un desafío (coche) y una respuesta (casa), pero jamás la plabra "perro". Siguiendo éste esquema, "B" tiene la total certeza de que "A" ha usado el password "perro" si tras el desafía de "coche" le devuelve "casa".

Por internet/red, solo circulan las palabras "casa" y "coche", pero jamás "perro"

Así es como funcionan la mayoría de autenticaciones por desafío/respuesta. Espero que se me haya entendido xD

4 1 respuesta
P
payopony #3 Feb '16

Claro como el agua, ahora tengo algo nuevo que buscar por inet.

Muchísimas gracias.

1 respuesta
B
[Borrado] #4 Feb '16

#1 MV ya tiene https activado, úsalo si te preocupa la seguridad.

AikonCWD
AikonCWD #5 Feb '16 Git Gud

#3 Incluso con esas cosas, se puede crackear un password. Si haces ARP poison y capturas el desafio y respuesta (imaginemos que capturas 5000 millones de desafíos y 5000 millones de respuestas) y que los 5000 millones de desafíos-respuestas son correctos... si conoces el algoritmo de hash utilizado en la autenticación.... puedes crackear el algoritmo y sacar el password utilizado para hashear. Lo que comunmente se conoce como "bruteforce"

https://en.wikipedia.org/wiki/Challenge%E2%80%93response_authentication

Con Cain puedes capturar desafios y respuestas de las autenticaciones Windows (dominio) y luego intentar crackearlo, pero necesitas mucho tiempo, suerte y mucha potencia de cálculo

P
payopony #6 Feb '16

Eso mismo iba a decir, no sirve de nada el https (o eso parece) llevo toda la mañana "escuchando" mi PC con mi portatil ARP poisoning, y me está dejando loco.

Me ha dado mis passwords de la escuela online donde estudio y es "en teoría" https
Las claves de mi antivirus NOD32

Suma y sigue, curioso este programa.
Suerte que no he podido sacar la password de mi router de ninguna de las maneras "es mas duro que una piedra", si no me asustaría.

Es cuanto menos curioso, lo fácil que es sacar información por ejemplo haciendo esto que estoy probando en casa, imaginad pillando la key del router movistar de algún vecino "que por lo normal no tardas ni 5 minutos en pillarla"....phuuuu

2 respuestas
AikonCWD
AikonCWD #7 Feb '16 Git Gud

#6 El ARP poison es brutal, muchisimas apps y aplicaciones envían el password en texto plano. Algunos lo envian cifrado o hasheado con un desafío/respuesta. En cualquier caso hoy en día se conocen muchos algoritmos de hash y se pueden desencriptar rápidamente.

El software Cain está muy orientado a ello, puedes combinar ARP poison con DNS poison + False Cert/Auth. Imaginate el escenario:

Haces poison entre un host y su gateway. Haces DNS Poison contra un dominio remoto, imaginemos facebook.com. Generas un certificado falso https autofirmado y esperas. La victima cuando acceda a facebook.com por https le aparecerá tu servidor (ya que has envenenado su DNS) y la petición de login te llegará a tu PC, tu webserver contesta con el certificado falso autofirmado y el password de facebook te llega easy&fast.

Ahora pensemos en algo más grande... Te vas a un starbucks/centro comercial, te tomas un café mientras te llegan 100 passwords y cuentas. True story. Por eso muchisima gente se montar servidores OpenVPN cuando se conectan a redes wifi's publicas.

Luego tienes el robo de sesión o cookies. Busca info sobre un programa llamado cookie monster.

1 respuesta
kaitoo
kaitoo #8 Feb '16 Penitente
#7AikonCWD:

Generas un certificado falso https autofirmado y esperas

Esto no es 100% como tu lo describes. Si el certificado que generas no esta firmado por un CA instalado en su directorio de certificados SSL, el cliente recibira un warning de certificado en el explorador y seguramente no abra la pagina. De hecho algunos exploradores no solo te dan error si no que no te dejan acceder a la pagina.

Para poder sobrepasar el warning tienes que generar un CA y instalarlo en el directorio de certificados CA en el cliente... bastante comun en empresas que pueden controlar los certificados de los ordenadores de los clientes a traves del domain controller.

2 respuestas
kaitoo
kaitoo #9 Feb '16 Penitente
#6payopony:

no sirve de nada el https (o eso parece) llevo toda la mañana "escuchando" mi PC con mi portatil ARP poisoning, y me está dejando loco.

Imposible, debes de estar capturando una interfaz incorrecta (por ejemplo el trafico procesado despues de SSL) o HTTP. Esta al alcance de muy pocos decriptar SSL/TLS hoy en dia (en el pcap te saldra como trafico ESP), ni falta hace que decir que CAIN o cualquier distro de linux que estes usando no puede hacerlo :P

Si te interesa el SSL/TLS/IPSec en profundidad, leete este documento donde explican como romper Diffie-Hellman (usado en IKE - phase 1) y poder decriptar ESP.

1 respuesta
P
payopony #10 Feb '16

¿Interfaz incorrecta?, solo tengo dos TARGETS uno es mi router y otro mi sobremesa, todos estamos en la misma red por cable, dudo que me equivoque amen de que solo con un PC me estoy conectando a internet, el otro solo poisonea.

#8kaitoo:

Esto no es 100% como tu lo describes

Supongo que en ese escenario se aprovecha el desconocimiento de la gente y lo mucho que le sudan los mensajes que le aparecen en el navegador, just, click si si si si si ok ya he llegado a Facebook.

#9kaitoo:

Diffie-Hellman (usado en IKE - phase 1) y poder decriptar ESP.

xD, me ha sonado a chino, pero lo voy a leer.

De todas formas lo de los certificados ya es cosa gorda y hay que saber mucho o ser muy tonto para jugarsela, supongo que eso es delito, aunque lo voy a intentar hacer en casa a ver que tal. xD

AikonCWD
AikonCWD #11 Feb '16 Git Gud

#8 Está claro, al usar el false-cert auntofirmado salta el típico warning en el browser del cliente. Fliparías la de gente que pulsa "yes" sin leer nada, en serio, fliparías xD

JuGuLaToR
JuGuLaToR #12 Feb '16

Yo de todo esto entiendo 0, pero cada vez que algún amigo se conecta a la wifi del vecino me echo a temblar. Que la mayoría serán usuarios normales, pero como tope con alguien con ganas de fiesta te pueden hacer un buen roto xD

ElRuso
ElRuso #13 Feb '16

Pero vamos, el ARP poisoning (solo LAN), DNS spoofing o otros tipos de MITM son muy viables en LAN. Pero en Internet como no seas NSA/FSB/ChinosLocos/Rogue ISP no son tan probables. Es mas "facil" y pasa mas a menudo de hacker la pagina y pilla los hashes.

Y si soy administrador de LAN, siempre puedo poner un proxy y olvidarse de spoofings. Anyadir static MAC para los gateways y servidores es algo que cada admin debe hacer. (Ya se, tampoco lo hago siempre, es que somos vagos).

P.S. Gran explicacion #2, buen trabajo

Usuarios habituales

Tags