Oggi voglio parlarvi di "Ettercap", un tool che ci permette di catturare il traffico passante fra il Gateway (router) e un PC, infatti la tecnica viene detta "Man in the middle", cioè l'uomo nel mezzo che saremo noi ^__^
In questo modo ogni traffico HTTP con protezione SSH verrà sniffato da noi, questo vuol dire che se la vittima entra su facebook, paypal, gmail o qualsiasi altro sito in cui si devono inserire delle credenziali, i suoi dati verranno catturati da noi al momento del login e noi vedremo "nome utente" e "password" della vittima.
Su Backtrack troviamo il programma già installato, se invece vogliamo usarlo su un'altra distribuzione Linux o su Windows possiamo scaricarlo dalla pagina ufficiale.
Ora non ci rimane che aprire il programma. Ci troveremo davanti ad una schermata come questa:
Per prima cosa clickate su "Sniff - Unified Sniffing" come "Network interface" mettete la vostra. Se siete collegati tramite cavo ethernet scegliete "eth0" se siete collegati tramite wifi usate "wlan0".
Come noterete il menù in alto è cambiato. Andate su "Hosts - Scan for Hosts", comparirà una barra, vuol dire che il programma sta controllando quanti dispositivi sono connessi alla rete. Ora clickate su "Hosts - Hosts list", vi comparirà una schermata con tutti gli host connessi, fra cui il "gateway" che dovrebbe essere il primo della lista e gli altri "hosts" che sono i PC connessi.
Ora selezioniamo il primo della lista e clickiamo su "Add to Target 1", poi selezioniamo il secondo IP e clickiamo su "Add to Target 2". In questo modo noi controlleremo il traffico solo tra il ruoter (Target 1) e il PC (Target 2), nel caso i PC connessi fossero più di uno allora dobbiamo selezionare solo il "Target 1" e come "Target 2" non aggiungere nulla, in questo modo il programma aggiungerà automaticamente tutti gli host presenti nella lista.
Adesso andiamo in alto nel menù e clickiamo su "Mitm - Arp Poisoning" e spuntiamo "Sniff remote connections". Sempre nel menù in alto andiamo su "Start - start sniffing".
Il programma ora inizierà a catturare tutti i pacchetti filtrando solo quelli che interessano a noi.
Se volete provare, fate un login su facebook da un altro PC connesso alla vostra stessa rete. Vedrete che, nel riquadro in basso di ettercap, compariranno "Nome utente" e "Password".
DISCLAIMER: La guida sopra descritta è al solo scopo illustrativo. Non mi ritengo responsabile dell'uso che voi possiate farne.
funziona anche se si utilizza una rete wireless?(per ambedue le parti o per l'utente di cui ci interessa la pass?)
RispondiEliminaCiao, è indifferente se sei connesso tramite wifi o ethernet. L'importante è che in qualche modo sei collegato alla rete, in locale nn tramite internet.
RispondiEliminaSe ti interessano gli argomenti iscriviti al mio blog.
Saluti
Installato su Mint 10.
RispondiEliminaHo dovuto installare ettercap-gtk.
Appena faccio la scansione degli hosts si chiude il programma da solo.
E' un bug conosciuto, se cerchi su google sicuramente troverai più di una soluzione ^^
Eliminae come faccio a individuare la vittima potenziale in mezzo esempio a 4000 utenti
RispondiElimina4000 utenti vuol dire che, ho sei entrato nella rete locale di una multinazionale piuttosto grossa oppure hai semplicemente fatto una scansione degli host internet... ettercap si una per la rete locale! quindi devi avere un indirizzo locale... forse dovresti andarti a ripassare qualcosa sulle reti di calcolatori ^^
Eliminanon funziona con me non so perche... ho provato di tutto
RispondiEliminaQuesto non è un commento a cui si può dare una risposta... se mi scrivi una roba del genere mi fai pensare ad un bimbo_minchia che cerca di fregare la password al suo amichetto gay.
EliminaSe provi a scrivere qualche dettaglio sul perchè non ti va magari posso aiutarti.
In ogni caso la guida è più che dettagliata, se non riesci a farlo funzionare probabilmente è perchè non è il blog per te. Dovresti avere un minimo di conoscenza dei sistemi operativi e delle reti prima di provare una cosa del genere...
Ciao, mi stavo interessando all`argomento e la guida mi pare molto chiara, ma comunque c`è qualcosa che non va in quello che ho fatto. Ho seguito tutti i passaggi che hai elencato ma non mi appariva nessun risultato e allora ho aperto wireshark dove tutto andava nella norma. Mi sono messo a cercare in giro e penso di aver capito, ma correggimi se sbaglio, che i risultati appiono nella schermata view>profiles. Ho pero` notato che raccoglieva informazioni anche da Ip fuori dalla mia Lan che Wireshark non mi segnala è possibile o sto guardando nel posto sbagliato? Infine se volessi approfondire l`argomento MITM hai qualcosa da consigliare?
RispondiEliminaciao, innanzitutto complimenti per l'esposizione molto semplice e chiara.
RispondiEliminaho due problemi: 1) usato su backtrack 5r3, sono riuscito a far funzionare ettercap solo una volta (specifico:sulla wLAN di cui sono proprietario), mentre tutte le altre volte al momento dell'arp poisoning il pc attaccante perde la connessione, e non funziona più (tutti gli host sono connessi in wi-fi);
2)se installo la versione unoffical 0.7.4 su windows, alla selezione della network interface, il programma si interrompe e si chiude.
hai suggerimenti?