SNAI SCOMMESSE

Come spiare le conversazioni altrui in MSN

Thursday, July 11th, 2019

Introduzione

Con questa guida voglio mostrarvi una tipologia di attacco chiamata MITM (Man-In-The-Middle) e sfruttarla per spiare le conversazioni msn.

Un po’ di teoria

La tipologia di attacco “Man in the middle” consiste nel dirottare il traffico generato durante una comunicazione tra due host (l’host puo’ essere anche un router) verso un terzo host (attaccante). L’host attaccante deve far credere agli host attaccati che in realta’ esso è il loro interlocutore legittimo.

L’host attaccante riceve quindi tutto il traffico generato dagli host 1 e 2 e si preoccupa di inoltrare
correttamente il traffico verso l’effettiva destinazione dei pacchetti ricevuti.

Arp Poisoning

Una volta che un pacchetto IP arriva in una lan, questo viene incapsulato in un “frame”: questo per far si che il pacchetto venga gestito dalla lan. Il protocollo ARP (Address Resolution Protocol) si occupa di “mappare” i 32 bit di indirizzo IP nei 48 bit di indirizzo MAC: queste informazioni vengono inserite in un’apposita tabella chiamata ARP CACHE. Una volta che l’inidirzzo MAC è stato determinato il pacchetto IP incapsulato puo’ essere spedito all’host di destinazione. L’ARP CACHE e’ stata progettata per ottimizzare le prestazioni di rete. Infatti, una volta richesto un MAC address relativo ad un IP questo rimane memorizzato in questa tabella (per un periodo di tempo variabile) e puo’ essere riutilizzato dall’host per inviare altri pacchetti IP senza dover fare nuovamente una richiesta ARP.

Nello standard Ethernet il protocollo ARP prevede due tipi di messaggi:

  • ARP request: richiede l’indirizzo fisico (MAC) associato ad un indirizzo IP.
  • ARP relpy: viene spedito in risposta ad un “request” fornendo l’indirizzo fisico dell’host che corrisponde all’indirizzo IP richiesto.

Vediamo ora in dettagli cosa succede nei seguenti tre casi:

  • Spedizione di un pacchetto IP

Il kernel controlla in cache se è presente l’indirizzo MAC corrispondente all’IP di destinazione. Se c’è costruisce il frame ethernet e lo spedisce, altrimenti manda un ARP request e una volta ricevuta la risposta prepara il frame etherenet e lo spedisce.

  • Ricezione di un Arp request

Il kernel risponde con una ARP reply.

  • Ricezione di una ARP reply

L’ARP reply viene inserita in cache.

Attacco

Sfruttando il comportamento di un host in ricezione di una ARP reply e’ possibile modificare le ARP
cache degli host vittime.
Si mandano delle false risposte ARP ai due host che vogliamo attaccare.
Nelle risposte diremo al primo host che il MAC address del secondo host e’ quello della nostra
interfaccia di rete e lo stesso faremo col secondo host.
Da quel momento in poi tutti i pacchetti che dovrebbero viaggiare tra le vittime saranno in realta’
spediti a noi; poi provvederemo a filtrare questi pacchetti in modo da visualizzare solo quelli relativi alle conversazioni msn.

Finalmente la pratica

Per sfuttare questa tipologia di attacco facciamo uso di due programmi distribuiti sia per sistemi Unix che Windows:

  • Ettercap: utilizzato per l’attacco vero e proprio.
  • Wireshark: utilizzato per filtrare il pacchetti in modo da visualizzare solo quelli relativi alle conversazioni msn.

Attacco

Per prima cosa avviate Ettercap, cliccate sul menu “Sniff” e selezioniamo “Unfield Sniffing”:

Comparira’ una finestra che vi fara’ scegliere l’interfaccia di rete con cui effettuare lo sniffing, poi cliccate su OK:

Ora siete pronti per vedere chi è connesso nella rete lan, cliccate sul menu “Host” poi “Scan for
Hosts”, vi apparira’ una finestra di stato che vi mostra lo scannig della rete. Dopo che avetet eseguito la scansione cliccate sul menu “Host”, poi “Host List”, vi comparira’ una finestra del genere:

Ora dovete impostare i beragli del vostro attacco: il primo è il gateway e l’altro è la vostra vittima, l’utente in poche parole. Quindi cliccate su gli host scelti e poi in corrispondenza su “Add to Target 1″ e su “Add to Target 2″. Per verificare la corretta assunzione da parte di ettercap dei due nostri target clicchiamo sul menu’ “Targets” e poi “Current Target”.
Ora passiamo ad avviare l’Arp Poisoning. Cliccate sul menu’ “Mitm” poi “Arp Poisoning” quindi vi comparira’
la finestra sotto, spuntate l’opzione “Sniff remote connections” e cliccate su ok:

In pratica ora l’attacco è gia operativo (potete controllare sul pc della vittima con uno sniffer che ogni tot
secondi riceve un arp_reply per tenere costantemente l’associazione falsa) ma manca una cosa., ovvero il forwarding: infatti se voi provate dall’host della vittima a collegarvi ad internet questo non vi è concesso dato che il traffico viene bloccato sul nostro host. Dobbiamo quindi avviare il forwarding: clicchiamo sul menu “Start” e poi “Start Sniffing”:

In questo modo la vittima non si accorgera’ di nulla e noi potremmo analizzare con tranquillita’ il suo traffico. Ora dovete pero’ filtrare il traffico in modo da visualizzare solo quello relativo alle conversazioni msn.

Lasciate aperto Ettercap in modo che continui ad esercitare le sue funzioni, aprite Wireshark, cliccate su “Capture” e poi su “Start”:

Wireshark iniziera’ a sniffare una moltitudine di pacchetti. Per visualizzare solo quelli relativi alle conversazioni msn applichiamo il filtro: “ip.addr==(indirizzo vittima) and msnms” senza virgolette e clicchiamo su applica:

Ora selezionate un pacchetto a caso, tasto destro del mouse e selezionate la voce “Follow Tcp Stream” per vedere il traffico in chiaro, cioè la conversazione msn.

[Via: NinninGit3]

Tags: , , ,



Come aumentare i lettori dei tuoi feed all’infinito con FeedBurner in 2 minuti

Monday, August 18th, 2008

Uno dei segni di popolarità del blog è senz’altro quello dei numero di lettori dei nostri Feed RSS. Ma ora è possibile modificare questo valore grazie ad un piccolo trucco da hacker per renderlo notevolmente maggiore. Nel noto servizio FeedBurner (www.feedburner.com), generatore di feed per blog e siti web, è stata trovata una falla che permette di aumentare il numero dei lettori del feed del proprio sito di 25.000 o più in 2 minuti.

Il meccanismo che sta sotto è davvero molto semplice ma non l’ho voluto testare personalmente, per evitare di avere ripercussioni in futuro. Inoltre, Google starebbe già provvedendo a fixare il bug. Quindi le prove vanno a vostro rischio e pericolo. Certo, chi non vuole provare almeno una volta le brezza di avere un numero di lettori stratosferico dei nostri feed? (more…)

Tags: , , , , , , , ,



site statistics site statistics