jeudi 28 mai 2009

SSLStrip (Video)

SSLStrip est un script python sorti lors de la conférence Black Hat 2009.
C'est un outil absolument fabuleux mais très très dangereux car il va permettre le détournement du trafic sécurisé HTTPS en redirigeant vers du HTTP.
Le vice est même poussé jusqu'au favicon où un petit cadenas y est remplacé.

NE VOUS CROYEZ PLUS SÉCURISÉ EN ALLANT SUR VOS COMPTES !!!

Que ça soit gmail, hotmail, facebook, youtube, ebay, ou encore paypal, et j'en passe ... fini le temps du faux certificat!

Certains croiront qu'en activant l'option "toujours utiliser le protocole https lors de vos connections" seront dispensés de cette attaque :
FAUX, car l'envoi du nom d'utilisateur + mot de passe est bien reçu par l'attaquant avant que la configuration de votre compte soit prise en charge!

Bref, cet outil est une vraie petite merveille d'autant plus qu'il est possible de l'utiliser sur le réseau avec un MITM, un softAP, ou encore en sniffant le réseau Tor (oui c'est pas bien tout le monde le sait).
Je n'ai qu'une chose à vous dire : HTTPS pwned!

Un petit extrait video histoire de vous mettre l'eau à la bouche ...

Bonne visualisation à tous et bon test ^^ :



L'outil SSLStrip sera surement disponible dans la distribution backtrack4 Final.
En attendant, vous pouvez le télécharger ici :
http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.2.tar.gz

Pour plus d'informations :
http://www.thoughtcrime.org/software/sslstrip/
http://www.googleesttonami.net/?q=sslstrip

25 commentaires:

Utopiah a dit…

presentation originale durant BH-DC-09 :
http://securitytube.net/Defeating-SSL-using-SSLStrip-(Marlinspike-Blackhat)-video.aspx

Anonyme a dit…

bonne anniversaire et bravo pour ce super blog

john a dit…

Bon anniversaire!! et bonne continuation c'est excellent ce blog

benjy a dit…

Merci beaucoup =)

Cosmoboy a dit…

Bon anniversaire benjy et encore bravo pour tous ces tutos et belles vidéos que tu nous fourni régulièremenr :)

Anonyme a dit…

happy birthday benjy-blog, magnifique ton blog comme tjrs. Pour quand ton site ?? trés bonne continuation et merci pour tes vidéo.

Anonyme a dit…

Merci beaucoup pour cette nouvelle vidéo. Par contre quel est le titre de la musique qui est joué pendant celle-ci ? Encore bravo pour ton blog et bonne continuation.

benjy a dit…

Merci les gars :)

Pour le site, je ne sais pas encore ...

Pour la musique dans la vidéo c'est :
"SURF (Hilight Tribe Samba Trance)"

+

Anonyme a dit…

Great Tutorial mais sa marche que en local ou de partout ??
ex : Nante - Toulouse
Super blog ;)

Rom a dit…

Bonjour à tous,

déjà félicitations à Benjy pour son magnifique blog qui regorge d'informations !

en ce qui me concerne j'ai suivi ta vidéo seulement ... ça ne fait que couper la connexion à la "victime". Il semblerait que ça soit "arpspoof" qui bloque la connexion ...
pouvez-vous éclairer ma lanterne ???

j'ai utiliser SSLStrip avec un ubuntu 9.04

merci

bonne continuation à toi Benjy !

Anonyme a dit…

salut Rom

es-tu sur que ton ip_forwarding est bien activer ?

Rom a dit…

merci de ta réponse rapide...

mais oui lorsque je fais "car /proc/sys/net/ipv4/ip_forward" ... j'ai "1" comme retour ....

que pasa ?

benjy a dit…

Salut Rom,

Utilises ettercap-ng au lieu de arpspoof.

Dans la video, je lance ettercap-ng en ligne de commande juste pr sniffer mon interface mais tu peux rajouter le paramètre "ARP Spoofing" afin d'attaquer le reseau avec un MITM.

De plus, ettercap-ng gère le forwarding ;)

ettercap -T -q -M ARP // -i eth0

Bon courage

++
benjy

Rom a dit…

salut benjy

merci de ta réponse

que dis tu de cette ligne là ?
"sudo ettercap -i eth0 -Tq -M arp:remote -P repoison_arp /ip_host/ /ip_routeur/"

si j'ai bien compris, en utilisant cela je n'ai pas besoin de mettre le ip_forwarding à 1 .... ???

merci

Rom a dit…

Rebonjour,

bon alors arpès avoir essayé avec ta commande (ou même la mienne)

il apparait qu'avec juste la ligne d'ettercap la "victime" a accés à internet (normal me diras-tu) seulement dés que je lance "python sslstrip.py -a" ben ça y est la connexion tombe !

je l'ai pourtant téléchagé depuis le lien que tu indiques

Portail de la sécurité a dit…

de très bons tutoriels, sur ce blog.

Anonyme a dit…

Bonjour,
tout d'abord, bravo pour ton blog, complet et très clair.
Par contre j'ai un soucis, quand je tape :
arpspoof -i wlan0 -t 192.168.1.124 192.168.1.1 , j'ai ce message d'erreur arpspoof: couldn't arp for host 192.168.1.124 .
J'ai essayé avec ettercap, en Arp Poisoning, mais il me dit que le certificat et invalide, donc pas d'intéret.
Comment puis je résoudre ce problème ?

Merci d'avance

Blackout a dit…

Salut,
C'est encore moi (Le anonyme du message précédent :D ), mon problème avec arpspoof est toujours pas résolu, mais en lançant sslstrip après, ça a l'air de fonctionner, mais bizarement, il y a une sorte de redirection, je m'explique, dans la barre d'adresse de la victime, il y a http:// et non https://, c'est normal ?
Merci d'avance
Cordialement

Anonyme a dit…

salut benjy desoler de demander ca mais je cherche un tuto comment installer le setup.py de sllstrip sur ubuntu ou backtrack 3 et je trouve pas si tu pouvais m en indiquer un ce serais sympa et encore merci pour tes tutos

Anonyme a dit…

salut annonyme je suis l annonyme d en dessou ta question oui ca dois etre normal car benjy explique dans la description de sllstrip que :
"C'est un outil absolument fabuleux mais très très dangereux car il va permettre le détournement du trafic sécurisé HTTPS en redirigeant vers du HTTP."

thomas a dit…

pour installer sslstrip

wget http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.2.tar.gz

tar xvzf sslstrip-0.2.tar.gz

cd /sslstrip-0.2

python setup.py install

loulou a dit…

bonjour

novice dans le domaine, question bête il faut obligatoirement l'adresse ip pour cela

TheGhost a dit…

Hi!

Des slides expliquant le principe de SSLStrip :

http://www.slideshare.net/SecurityTube.Net/black-hat-dc-09-marlinspike-defeating-ssl

C'est en anglais mais les phrases sont courtes ;-)

@+

Anonyme a dit…

Salut, c'est tres interessant mais quelques trucs que j'ai pas comprit!
La victime tu la choisit comment? comment on sait que la victime va se connecté a un site https? Et surtout la victime peut etre n'importe ou en france? désolé si mes questions sont betes ^^ mais j'aimerai une reponse merci

Anonyme a dit…

Salut Benjy,
merci pour ton tuto cool:-)
Mais ya un truc qui m'échappe,jai bien réussi l'attaque sur mon paypal,mais pas sur mon gmail,que j'ai configuré pour toujours utiliser https, ca plante pas, mais aucun retour sur sslstrip et pas non plus dans le fichier de log.
T'as déjà eu ce pb ?
Peace
Stas