Przewiń do zawartości

Zdejmij zieloną kłódkę z Facebooka… – obejście HSTS

Jeszcze do niedawna myślałem, że jest problematyczne zdjęcie kłódki z lepiej zabezpieczonych stron niczym Facebook czy strony banków. Dziś jednak wiem, że jest sposób na obejście zabezpieczenia HSTS i tym samym zdjęcie kłódki z każdej strony Internetowej. Faktem jest, że zielona kłódka nie gwarantuje nam 100% bezpiecznego połączenia. Nie zmienia to faktu, że na ogół je zwiększa. Całe szczęście zwracamy coraz to większą uwagę na to czy ona się znajduje (choć nie zawsze).

Jakiś czas temu, kiedy opisywałem atak Man In the Middle, również pisałem o oprogramowaniu jakim jest SSL Strip. Zdejmował on certyfikat z witryny, a my jako atakujący mogliśmy przeczytać login i hasło jakie wpisał użytkownik. Nie będę się jednak tutaj o tym rozpisywał, jeżeli nie czytałeś tego wpisu to zapoznaj się najpierw z nim 😉 

Opisanie ataku Man In The Middle: https://www.cybersafeness.pl/man-in-the-middle-attack/
Wykonanie ataku ARP Spoof + SSL Strip: https://www.cybersafeness.pl/arpspoof-czyli-mitm-krok-po-kroku/

Problem pojawił się jednak, kiedy chodziło o wykonanie tego typu ataku kiedy strona korzystała z zabezpieczenia jakim jest HSTS. Są to witryny np.:

  • Facebook.com
  • Twitter.com
  • Wszelkie większe banki

Tutaj stosując poprzednie metody nie bylśmy w stanie nic zrobić. Jak zielona kłódka została tak została, czyli połączenie nadal zostawało szyfrowane. Nici z odczytania jakiegokolwiek hasła użytkownika.

Czym jest HSTS

HSTS jest dodatkowym zabezpieczeniem bazującym na certyfikacie SSL/TLS. Strona Internetowa zostawia po sobie ślad w naszej komputerowej przeglądarce, że dana witryna powinna zostać tylko otworzona za pomocą połączenia szyfrowanego (HTTPS). Jeżeli dany serwis znajduje się na liście naszej przeglądarki, mamy pewność, że strona nie wyświetli nam się jako nieszyfrowana (HTTP).

Dokładne wytłumaczenie znajdziecie na Angielskiej Wikipedii: https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Obejście HSTS

Jest jednak pewien pomysł na to jak obejść zabezpieczenia HSTS. Mianowicie co się stanie jeżeli wyświetlimy witrynę Facebooka pod adresem wvvw.Facebook.com lub www.Facebook.corn

Zauważyłeś różnicę? Wystarczy, że zmienimy www na wvvw czy com na corn. Teraz to zauważyłeś, ale w codziennej rutynie i pośpiechu pochłaniania informacji zauważysz taki szczegół? Większość niestety nie. 

W ten oto sposób wyświetliliśmy stronę, którą chciał odwiedzić klient, wraz ze zdjętym szyfrowaniem połączenia. Tym samym obeszliśmy zabezpieczenia HSTS.

Nie przegap kolejnych artykułów!

Subskrybuj blog i bądź na bierząco! Drogą mailową powiadomię Cię o każdym kolejnym artykule 😉

Jak technicznie zdjąć zabezpieczenia HSTS

Dokładny opis i działanie (z poleceniami) zostawię na osobny wpis 😉 Tutaj raczej chciałem zostawić samą metodę działania. 

Do tego służy nam nasz najnowszy przyjaciel do wykonania ataki Man In The Middle -> Bettercap. To kompletne narzędzie, które umożliwia w prosty i intuicyjny sposób wykonanie ataku ARP Spoof, śledzenie połączenia (odczytywanie haseł), SSL Strip, DNS injection, JS injection i inne pomocne narzędzia podczas ataku MITM. 

Bettercap link do oprogramowania: https://www.bettercap.org

Dostępne moduły w bettercap i to nie wszystko! Są jeszcze predefiniowane skrypty (caplets)

Cała koncepcja ataku polega na przekierowaniu każdego zapytania o daną witrynę na naszą wymyśloną nazwę domenową. Jeżeli użytkownik wpisze www.facebook.com powinien zostać przekierowany na www.facebook.corn (jest to tylko przykład). Następnie za pomocą DNS Spoof podstawiamy „naszą” witrynę, która jest tak naprawdę przekazaniem strony z Facebooka (zdjęcie HTTPS za pomocą SSL Strip). 

W ten oto sposób dostajemy zdjętą zieloną kłódkę nawet z Facebooka.

Techniczna uwaga

Atak jest możliwy jednak podczas własnych testów programem Bettercap niestety nie wszystko działało poprawnie. Jest to najprawdopodobniej wina jakiegoś błędu w danej wersji. Można więc testować starszą wersję v1…, albo poczekać na pewne aktualizację 😉

Na ten moment niestety program zawiesza się gdzieś na poziomie DNS Spoofing. 

bettercap v2.24.1
Używana wersja bettercap

Słowem zakończenia

Jak widać aby skompromitować dane zabezpieczenie po prostu potrzeba czasu. Jeszcze do niedawna nie znałem takiego narzędzia, a dziś? Dziś już wiem (a także i Ty), jak można zdjąć szyfrowane połączenie HTTPS nawet z największych witryn świata. 

Pamiętajmy więc, zawsze sprawdzajmy, czy jest zielona kłódka! Oczywiście, nawet dzisiaj jesteśmy w stanie podmienić nawet te zabezpieczenie (wykupując lewy certyfikat). Aby temu zapobiec zawsze powinniśmy klikać w kłódkę i sprawdzać dane certyfikatu. Jest to uciążliwe wiem… Jednak róbmy to chociaż podczas logowania na stronę banku!


Na sam koniec daj znać w komentarzu w jaki sposób Ty sprawdzasz wiarygodność strony Internetowej 😉

Podobne artykuły:

https to zasada bezpiecznego korzystania z Internetu
Najważniejsza zasada Internetu – HTTPS
MITM krok po kroku
Jak wygląda atak Man in The Middle od środka
Podziel się artykułem !
  •  
  •  
  •  
  •  

3 komentarze

  1. Mat Mat

    Cofam pytanie pod artykułem z sslstrip Czy mógłbyś dokładniej opisać jak przeprowadzić ten atak chciałbym przetestować na swoim labie

    • Cześć!
      Sam korzystałem z programu bettercap w trakcie testów. Jednak wtedy kiedy samemu to testowałem miałem problem z wersją programu (coś nie działało). Po prześledzeniu kilku forów była mowa, że wcześniejsze wersje aplikacji działały prawidłowo. Na ten moment nie wiem czy najnowsza wersja naprawiła ten problem, czy nadal trzeba wspomagać się dużo wcześniejszą wersja oprogramowania. (Wersja, która ponoć działała prawidłowo to byłą wersja z oznaczeniem v1.x) Trzeba się pobawić i potestować 😉

  2. MaT MaT

    Siema i dzięki za odzew testowałem wczoraj na labie do 4 rano i za nic nie mogłem przełamać phisha za pomocą różnych wersji bettercapa niestety nie mogłem przekierować strony ciągle błąd na wyszukiwarce dziś będę próbował modlishki może atak się powiedzie swoją drogą fajny blog pozdro będę częstym bywalcem 😉

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *