[duda] Cain & Abel y https o SSL

Iniciado por juanute, 2 Diciembre 2014, 19:16 PM

0 Miembros y 1 Visitante están viendo este tema.

juanute

Hola buenas, soy nuevo por estos lares, aprovecho tambíen para presentarme ya que estoy :)

Quería haceros una pregunta, estoy estudiando un grado superior de informática, donde tengo una asignatura que es "seguridad y alta disponibilidad", el caso es que el contenido que se imparte no es de mi agrado, es por ello que he decidido ir un poco por mi cuenta, y ha sido cuando me he topado con mi amigo Cain... Que maravilla de programa...

El tema está en el uso del protocolo HTTPS, no logro encontrar ningun manual ni ninguna documentación donde se explique claramente como se debe configurar el programa para poder Snifear (EDITADO) webs como gmail, facebook y similares.

He visto varios videos, unos mas antiguos y otros menos, en los que se ve como se pueden captar dichas contraseñas aun usando HTTPS y me gustaría saber cual es la manera correcta, espero podais arrojarme un poco de luz ya que and bastante enfrascado probando certificados, y nada... Muchas gracias!

engel lex

Cita de: juanute en  2 Diciembre 2014, 19:16 PM
para poder Snifear las password de webs como gmail, facebook y similares.

XD

ni si quiera para "aprender de seguridad" o "comprender como funciona https", sino sacar contraseñas XD

si el certificado https de la pagina está levantado, olvídate de superar el cifrado rsa XD
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

juanute

#2
Cita de: engel lex en  2 Diciembre 2014, 19:22 PM
XD

ni si quiera para "aprender de seguridad" o "comprender como funciona https", sino sacar contraseñas XD

si el certificado https de la pagina está levantado, olvídate de superar el cifrado rsa XD

No lo quiero usar con mala intención, de hecho es el proyecto que he escogido porque me gusta, y quiero que esté lo más completo posible, siempre probandolo en mi propia red con mis propios equipos, no se que problema hay... De todas formas, lo siento, ya está editado.

engel lex

tienes que evitar que se use el certificado real :P si buscas en el foro conseguiras sobre esto
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

juanute

Cita de: engel lex en  2 Diciembre 2014, 20:06 PM
tienes que evitar que se use el certificado real :P si buscas en el foro conseguiras sobre esto
Solo una cosa, para evitar tener que partirme los cuernos, se puede simplemente desde cain y abel o hay que tirar de linux y SSLtrip?

engel lex

linux, sslstrip y más :P (no es facil engañar al navegador, menos con directivas como "always https" que no permiten acceder a la pagina por http crudo... incluso en http algunos navegadores ni si quiera guardan los formularios de https)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

ps5

#6
Puedes sniffear SSL con sslstrip y ettercap, el sslstrip es necesario para las sospechas al operar como proxy no mandaría la alerta de la falsificación del SSL.