.: Cookies :. Captura de sesiones.

Capturar cookies ? Pero sto no iba de informtica. pues no. Sigue leyendo.

INTRODUCCIN
En este documento hablar sobre cookies, secuestro de sesiones ... Comentar cules son las cookies ms importantes de diferentes proveedores de servicios, etc. Tratar nada ms un mtodo que me parece bastante interesante para analizar la seguridad de ciertos servicios ofrecidos va web, que parecen estar blindados porque la identificacin del usuario en los mismos se produce a travs de protocolos de cifrado como el SSL o TLS.

CONCEPTOS

Cookie: fragmento de informacin que almacena datos del visitante de un sitio web. Ya sea en la URL o en el ordenador del usuario del web site. Qu haremos con ellas ? Pues sencillo, las capturaremos para despus reutilizarlas y as suplantar al usuario (en este caso nosotros) vctima del ataque. Sniffing: escucha o registro del trfico que circula por una red. Utilizaremos WireShark para esnifar nuestra red, GNU/Linux porque me gusta, y unos pequeos conceptos de protocolos de redes. Captura de sesin: en este documento se refiere a obtener el acceso a cierta parte privada de un determinado proveedor web de servicios sin habernos autentificado previamente. En castellano, esperaremos a que un usuario de nuestra Red se loguee en su proveedor de correo web favorito, por poner un ejemplo, y haremos como si fusemos l con nuestro navegador.

Bsicamente stos son los 3 conceptos con los que tratar en este artculo. Para mas detalles ---> Http://www.google.com
(Se que para mas de uno y de veinte esta seccin es una estupidez pero no est mal recordar algo de teora sobre que es de lo que estamos hablando)

EMPEZAMOS...
1) Primero, est claro que debemos poder esnifar el trfico de una red local, cmo? pues no hace falta ni decirlo creo, si es una red wifi pues ya se sabe, tarjeta que entre en modo monitor y un sniffer como el CommView for WiFi o el WireShark. Tambin cabe la posibilidad de que queramos que no se nos escape nada, hacemos un Man In The Middle que sto vale ya sea para redes WiFi o cableadas; y que es en mi opinin una de las mejores maneras porque esnifando trfico wireless se nos pueden escapar paquetes por cuestin de lejana, etc.

A modo de recordatorio comentar los comandos para hacer un Man In The Middle (GNU/Linux): 1.1) Abrimos nuestra consola favorita: (necesaria la suite dsniff instalada) echo 1 > /proc/sys/net/ipv4/ip_forward (habilita forwarding) arpspoof -i INTERFACE -t VICTIMA ROUTER (envenena victima) arpspoof -i INTERFACE -t ROUTER VICTIMA (envenena victima) iptables -t nat -A POSTROUTING -d ROUTER -j SNAT --to VICTIMA (IP Spoofing) iptables -A FORWARD -j ACCEPT (es recomendable) 2) Abrimos WireShark y lo ponemos a esnifar, ya sea poniendo nuestra interfaz en modo monitor o haciendo el MiM... (sobre sto hay abundante info) Para informacin sobre los filtros de captura del WireShark --> http://wiki.wireshark.org/CaptureFilters http://home.insight.rr.com/procana/ Yo desactivo la opcin de autoscrolling pero sto es a gusto del personal. En filtro de captura simplemente se puede escribir tcp, o tcp port http y ya despues en los filtros de display, que tienen ms potencia, escribiremos la sentencia correspondiente para filtrar solo lo que nos interesa, nuestras cookies.

La pantalla de opciones de captura del WireShark quedaran tal que as.

Pinchamos en Start y en la barra de filtrado de arriba escribimos antes que nada --> http contains "Cookie" y pulsamos Aplicar. En principio quedara as sin nada puesto que an no hemos capturado trfico con cookies.

3) Y ahora la parte interesante: nos vamos a nuestro segunda PC en red y abrimos nuestro correo de Gmail. Volvemos al PC Atacante y empezamos a recibir trfico y nos damos cuenta que, en la columna info hay paquetes que contienen instrucciones HTTP como: GET * --> donde * puede ser, por ejemplo, "/mail/ HTTP/1.1"

Lo importante es que identifiquemos stos paquetes que as a lo bruto son los que enviamos para pedir las pginas web. Ya que he puesto el ejemplo de Gmail sigamos con l. Vamos a la pgina web de Google Mail << http://mail.google.com >> escribimos nuestro usuario y contrasea y volvemos a la pantalla del sniffer. Vamos a los ltimos paquetes capturados (filtrados) puesto que nos hemos logueado ahora mismo, y encontramos una serie de intrucciones GET, tales que asi:

Bueno el tema est claro nos logueamos y evidentemente el trfico de logging cifrado no lo vemos porque estamos filtrando solo aquellos paquetes que contengan la palabra Cookie, de todas formas esnifar los dems no nos servira de mucho si est cifrado por SSL v3 o TLS v1 as que nos tenemos que quedar con lo que no va cifrado... Que no es poco, porque vemos que mientras nos logueamos en Gmail en nuestra otra mquina (la vctima) nos va haciendo guardar una serie de cookies, las cuales vemos en la informacin del paquete en WireShark (esnifando desde el atacante) y por ejemplo cogemos un paquete GET de los ltimos que se refieren a Gmail, abrimos la conversacin TCP en una ventana aparte ,para poder leerlo y copiar sus datos cmodamente, pinchando con el botn derecho en el paquete... Y "Follow TCP Stream" bien, ahora vemos claramente algo parecido a estos datos:

Si nos fijamos bien justo donde dice Cookie: en la ventana de dump vemos que hay una serie de datos de la Cookie con sus valores tal que as: Nombre=valor; Bien, pues vamos a nuestro PC vctima y escribamos en la barra de direcciones: javascript:alert("Cookies: "+document.cookie) Nos saldr una agradable pantalla con la cookie de Gmail y todos sus datos y valores, que son los mismos que hemos esnifado con lo cual vamos bien, pero claro, nosotros todo sto ya lo sabemos. Sabemos que los web sites nos alojan cookies en el PC que podemos esnifarlas con el WireShark pero de qu nos sirve? pues observando todos los nombres y valores de la cookie podramos, por lgica, identificar aquellas cookies que potencialmente son las que guarda Gmail en nuestro PC para saber que somos nosotros y no volvernos a pedir el usuario y la contrasea para continuar con nuestra sesin. Y como vemos estas cookies que se guardan en nuestro PC han sido esnifadas por el WireSharK en el PC Atacante, es decir, que lo que tenemos que hacer para simular que nosotros somos el usuario es detectar que cookie o cuales son las realmente importantes, copiarlas de los paquetes que hemos esnifado y guardarlas en nuestro PC justo donde el navegador las lee. Vamos a ello. Primero dir que la cookie importante en Gmail es la llamda GX es decir en nuestra ventanita de WireShark (PC Atacante) donde dice Cookie: vamos viendo por esa misma linea los nombres y valores de la cookie hasta llegar a GX=*********; pero que es eso de la cookie importante pues quiere decir que si nosotros gurdamos esa cookie con nombre GX y el valor chorizo ese que hemos copiado ya tenemos todo lo necesario para capturar la sesin del usuario vctima. Vale bien sabemos que lo nico que debemos hacer es insertar la cookie GX en el lugar donde nuestro firefox de nuestro PC Atacante las busca pero por qu no ms comodiad? Me explico vamos a: http://addons.mozilla.org/es-ES/firefox/ y buscamos extensiones que contengan la palabra cookies, nos encontraremos varias, aunque no nos har falta buscar mucho, la primera misma nos sirve:

Edit cookies (LA DESCARGAMOS E INSTALAMOS)

Bueno ya est todo recapitulamos, hemos hecho un ataque Man In The Middle o hemos puesto nuestra tarjeta en modo monitor y el sniffer WireShark con los filtros adecuados buscando Cookies un usuario se conecta a Gmail para ver su correo capturamos sus cookies, entre ellas la GX (la importante) y las copiamos.

****** Ahora, abrimos nuestro firefox en el PC Atacante nos vamos a Herramientras --> Cookie Editor

Pinchamos en Add y completamos de la siguiente forma, creo que es evidente:

Pinchamos en Save y despues en Close (todo sto en nuestro PC Atacante despus de haber esnifado con los datos obtenidos) mientras el usuario vctima sigue leyendo su correo (en un caso imaginario).

Si alguno se pregunta que de donde saque el host para ponerlo en los datos de la cookie, le remito a:

Justo arriba en la segunda lnea ---> Host: mail.google.com Bueno bueno... nos vamos en nuestro PC Atacante entonces a http://mail.google.com Y donde aparecemos ??? pues en la sesin del usuario que hemos esnifado. A continuacin pongo una tabla con los proveedores y las COOKIES IMPORTANTES de diversos proveedores de servicios: PROVEEDOR DE SERVICIO WEB Windows Live Hotmail (live.com) Gmail (mail.google.com) Tuenti (tuenti.com) Myspace (myspace.com) Yahoo (yahoo.com) Ebay (ebay.es) YouTube (youtube.com) GX sid MYUSERINFO T, Y (* hacen falta las 2) nonsession, s, cid (* hacen falta los 3) LOGIN_INFO 3/1/2008 - Para aclarar, solo hace falta esnifar las cookies indicadas despus las insertamos con el Cookie Editor, con otro plugin o como queramos y ya est capturamos las sesin del colega. Pero como averiguamos las cookies importantes? Hay varias formas, nos registramos en la web del sitio y cuando nos logueemos vamos eliminando cookies con el cookie editor si nos sigue permitiendo entrar al servicio sin pedirnos la contrasea la cookie que eliminamos no nos sirve; pero si nos pide la contrasea de nuevo es que la que borramos era la importante o una de las importantes. Otra frmula, esnifamos NOMBRE DE LA COOKIE RPSTAuth

y vamos copiando las que nos parezcan hasta dar con la buena o las buenas. A mi, me gusta ms el primer mtodo.

CONCLUSIN
Cada da me siento ms seguro al ver mi correo. Desde mi punto de vista que los proveedores de servicios (no se cuantas veces he dicho proveedores de servicios ya...) nos protejan de los sniffers haciendo que nos logueemos a travs de de SSL no sirve de nada si dejamos el resto al descubierto. Las posibles contramedidas que se me ocurren son, primero si tenemos red wireless hay que utilizar un cifrado WPA como mnimo, es aconsejable un buen firewall o filtro de red acompaado de snort para ver lo que est pasando y evitar ataques Man In The Middle, a ser posible se deberan tener las entradas de nuestra tabla ARP y la del router estticas, si se desea algn tipo de software como JAP para cifrar nuestro trfico web y meternos un poco ms en el camino de la privacidad... Para todo lo dems: UNA BUENA GALLETA.

Saludos, NiLHoP.