Como detectar wireshark en red

[Kaxperday]

Hola a todos tengo unas dudas acerca de wireshark:

¿El wireshark para capturar paquetes de otros ordenadores de la red necesita para ello que se haya realizado un MITM? Es decir imaginemos que entro en foro.elhacker.net y hay alguien que abre wireshark podría ver mi tráfico solo con abrirlo o necesitaría realizar un MITM a la red y sniffar de nuevo para poder captar la página a la que accedo.

Si usa un MITM sería fácil de detectar con ARP, pero si no usa un MITM ¿cómo podría proteger mi privacidad?

Saludos y gracias.

[el-brujo]

Un sniffer de red puede interceptar paquetes que no vayan cifrados, es decir sin https (o ssl, tls según protocolo).

Si entras al foro por https y están usando wireshark no verán nada, sólo si te hacen un MITM y aceptas el certificado falso y podrán ver tus credenciales.

[engel lex]

no puedes detectar el wiresshark... es un proceso pasivo, es decir, el solo escucha

[kub0x]

Utiliza un medio que sepas que actualmente no está siendo monitorizado como una VPN. Y esto de los certificados no es tan seguro, cualquiera con interés en interceptar tus comunicaciones puede adquirir un certificado que es confiado por tu navegador, por lo que te lo comerias y el atacante registraría tu tráfico.
Y siempre podrían redireccionarte a HTTP en aquellas páginas que no soportan HSTS.

Además nuestro foro es vulnerable a MITM ya que la página no está totalmente cifrada, es decir, no todas las solicitudes van por HTTPS, algunas como las imágenes van por HTTP por lo que podría inyectarte un bonito script en .js y tomar el control.

Saludos!

[Kaxperday]

Pero entonces ¿si no hace ningún MITM no puede ver mi tráfico? o de otra forma ¿l única manera para que pueda ver mi tráfico cifrado y sin cifrar me refiero, es haciendo un MITM?

¿Ustedes abren el wireshark ahora mismo sin nada previo, y pueden ver el tráfico de los demás ordenadores de la red o hacen un MITM antes para poder verlo?.

Si tienen que hacer un MITM para ver mi tráfico sé que con arp lo puedo evitar y defenderme si no, no se me ocurre manera alguna.

PD: eso del js parece muy interesante.

Saludos.

[kub0x]

¿Ustedes abren el wireshark ahora mismo sin nada previo, y pueden ver el tráfico de los demás ordenadores de la red o hacen un MITM antes para poder verlo?

Sin nada previo podría ver a que servidor deseas conectarte, ver el acuerdo del handshake entre tu equipo y el servidor así como el intercambio de información cifrada. Lo que no podría es descifrar la información cifrada ya que no dispongo de un elemento intermedio. En resumen soy invisible, pasivo, solo recibiría paquetes cifrados.

Ahora dependiendo del escenario, si se pusiera un NIDS/PacketFilter intermedio en tu salida a internet podrían descifrar tu tráfico SSL, pero ojo, hay técnicas para saber si estás siendo engañado. Ahora mismo tu ISP podría estar entregando certificados que han sido firmados por una CA de confianza, por lo que podrían descifrar tu tráfico.

Ya se han visto casos en los que el gobierno interviene en las ISP con orden judicial y le obliga a descifrar cierto tráfico.

PD: eso del js parece muy interesante.

El eslabón más débil siempre trae problemas. Se denomina MITM mixed-content a un ataque MITM en un entorno mixto que utiliza HTTP y HTTPS.

Saludos!

[Kaxperday]

Vamos que si alguien abre el wireshark en la red puede ver las peticiones que hacen los equipos de dentro de ella sin necesidad de un MITM, el tráfico cifrado no lo podrá descifrar si no sabe como, y el texto plano enviado podrá verlo, luego hay que tener cuidado en redes compartidas y mucho.

Gracias, algún día tendré que probar eso de inyectar js por la red, aunque no sé que js debería de meter quizás alguno que redireccione a otra página no sé xD