E’ incredibile, come ancora nel 2017 ci siano siti che gestiscono dati e credenziali di milioni di utenti e che non abbiano l’accesso solo tramite HTTPS e implementato l’HSTS… ma questa è un’altra storia.
Oggi vedremo, per questi siti che ancora oggi o non hanno l’HTTPS o se ce l’hanno non hanno l’HSTS, come sia possibile (e facile) sniffare le credenziali degli utilizzatori che accedono ai loro servizi via web!!!
Per fare questo occorre una distribuzione linux con già installati alcuni strumenti.
Per l’occasione io consiglio Kali linux – https://www.kali.org/
Scegliete voi se installarla in dual boot o con una macchina virutale (io consiglio il dual boot su Mac, che pare proprio innocuo e fornisce già la scheda wireless che può andare in monitor mode).
Quale dei due PC sembra più minaccioso? 🙂
Infatti per poter eseguire il test dovete avere una scheda Wi-Fi che consente di essere messa in “monitor mode“.
Un MacBook Air Mid 2012 o una Alfa Card, vanno benissimo. Ma ci sono tante altre schede di rete USB che possono andare bene, basta fare una ricerca online.
Io scelgo quindi l’HW più a sinistra nella foto, in quanto più innocuo (vedete il gatto come è tranquillo vicino ad esso?). Ovviamente non vi dovete immaginare sul lettino al mare con questo PC in questa configurazione. Ovviamente no!
A questo punto facciamo il boot di Kali linux e installiamo bettercap.
Bene siamo a posto… ^^’ non dovete installare più nulla.
Ah! Dimenticavo, poichè la scheda Wi-Fi la usiamo come Rouge-AP, dovremo avere anche una seconda connessione per connetterci in internet.
Possiamo utilizzare un adattatore USB-Eth per connettere il nostro Mac al nostro router di casa. Perché solo a casa vanno fatti questi test, mi raccomando.
Se invece vi state immaginando in un bar pubblico, allora vi dovete immaginare di collegare il tutto ad un router 3G o 4G con connettore RJ-45 (ma non immaginatelo!!!)
Okay.
Primo script dell’apprendista scr1pt k1dd13:
#!/bin/bash airmon-ng check kill airmon-ng start wlan0 airbase-ng -e "free-hostspot" -c1 wlan0mon
Salvate il codice bash soprastante in un file, rendetelo eseguibile e lanciatelo.
Salvatelo per vostro repertorio 😉
Questo vi creerà l’Access Point con un SSID “free-hostspot” sul canale 1 della frequenza 2.4GHz.
Secondo script dell’apprendista scr1pt k1dd13:
ifconfig at0 brctl addbr br1 brctl addif br1 eth0 brctl addif br1 at0 brctl show ifconfig eth0 0.0.0.0 up ifconfig at0 0.0.0.0 up ifconfig br1 192.168.1.206/24 up echo 1 > /proc/sys/net/ipv4/ip_forward route add default gw 192.168.1.1
Anche qui salvate il codice bash soprastante in un file, rendetelo eseguibile e lanciatelo.
Questo script controlla l’intefaccia logica at0 dell’access point, che viene creata da airbase-ng quando creea l’Access Point.
Crea un bridge di nome “br1” e lo associa ad eth0 e at0.
Quindi queste due interfacce sono ora tra loro collegate.
Mostra la configurazione del bridge.
Setta ANY address ad eth0 e at0 e un indirizzo di rete (che non rientri nel DHCP) al bridge.
Abilita il routing (packet forwarding) sul sistema operativo.
Aggiunge nuovamente la default route (gateway) al sistema operativo.
Molto bene.
Ora lanciamo bettercap sull’interfaccia del bridge “br1” (-I br1) in proxy mode (–proxy) e col parser log sulle chiamate POST (-P POST).
Bettercap ci crea in automatico le regole del firewall (iptables) per il proxy e il routing.
E comincia a fare anche del gran ARP spoofing… perfino il PC Windows ne è rimasto travolto.
Ma per fortuna GlassWire mi ha avvertito! Vi ricordate l’articolo sui Firewall user friendly?
L’ARP spoofing in questa configurazione ci server per redirigere il traffico http verso di noi.
Poichè il traffico dell’hotspot risiede già sul nostro PC potremmo catturarlo anche senza ARP spoofing. Ma poichè la configurazione è più complessa, per lo scopo di questo articolo abbiamo scelto di non utilizzarla.
Finalmente qualcuno abbocca (il mio iPhone 5) al nostro bell’hostspot.
Potevo anche collegarmi con un altro PC al Wi-Fi, non sarebbe cambiato nulla.
Ovviamente veniamo avvistati, come per tutti gli hostspot liberi (senza password) dalla voce “Security Reccomendation” (io ho il cellulare in inglese). Ma ormai siamo abituati, perché ad esempio, anche in aereoporto abbiamo lo stesso avviso.
Navighiamo sul sito di libero.it e accediamo alla nostra casella via web.
Intanto notiamo già che non c’è la connessione sicura… niente HTTPS e lucchettino verde… vabbè, ma andiamo avanti. Facciamo il login… e sboom! Il nostro bettercap ci segnala bene bene le variabili POST del form di login.
Voilà! 🙂
Questo articolo non volevo neanche scriverlo, mi sembrava datato come argomento… ma quando questa sera ho riprovato e mi sono accorto che ancora con libero era così facile sniffare il login della loro posta, allora mi sono ripromesso di scrivere finalmente questo articolo.
Spero vi sia piaciuto, anche se scritto un po’ in fretta e a notte tarda! 😀
Alla prossima