28 sep. 2015

Evil FOCA ahora Open Source

ElevenPath ha anunciado que ahora Evil FOCA es Open Source. Aun cuando Evil FOCA siempre ha sido gratuita, ahora queremos dar el siguiente paso: Evil FOCA es ahora OpenSource licenciada bajo la GNU Public License 3.0. Está disponible en su repositorio GitHub: https://github.com/ElevenPaths/EvilFOCA

El principal objetivo al hacerla Open Source es que la comunidad pueda mejorar y mantener Evil FOCA como una de las mejores herramientas de pen-testing de red.

¿Qué es y qué hace Evil FOCA?

Evil FOCA es una herramienta para pentesters y auditores de seguridad que tiene como finalidad poner a prueba la seguridad en redes de datos IPv4 / IPv6.

La herramienta es capaz de realizar distintos ataques como:
  • MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
  • MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
  • DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
  • DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
  • DNS Hijacking.
Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas a través de una interfaz cómoda e intuitiva.

Dentro de los ataques de MITM (Man in the middle) en IPv4 e IPv6 Evil FOCA contempla las siguientes técnicas:
  • ARP Spoofing: Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.
  • DHCP ACK Injection: Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil FOCA se encargará de convertir el equipo en un servidor DHCP falso en la red.
  • Neighbor Adverticement Spoofing: El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil FOCA se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.
  • Ataque SLAAC: El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil FOCA se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.
  • Falso DHCPv6 server: Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.
  • Ataque de denegación de servicio (DoS): El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
  • Ataque DoS en IPv4 con ARP Spoofing: Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
  • Ataque DoS en IPv6 con ataque SLAAC: En este tipo de ataque se genera una gran cantidad de paquetes "router advertisement" destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.
  • DNS Hijacking: El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.
Fuente: ElevenPath

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!