Paolo Perego Follow Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

bettercap: rimettiamo al centro l'attaccante

Photo by on Unsplash

349 parole - Lo leggerai in 1 minuti

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Ettercap fino a ieri era il signore, incontrastato ma decadente, dei tool per il man in the middle. Incontrastato perché di tool che coprissero un ampio spettro di funzionalità come la creatura di Alor e Naga, ce n’erano pochi. Decadente perché ormai non ci lavorava più nessuno.

Questo fino a ieri, fino a quando Simone “evilsocket” Margaritelli ha annunciato la versione 1.1.1 di bettercap. Bettercap è un tool, scritto in Ruby, che realizza un framework modulare ed estensibile per eseguire attacchi di tipo man in the middle.

Il codice, ben scritto, rappresenta sicuramente un punto di svolta per lo spippolamento quotidiano. Su twitter ieri, spinti forse dall’hype per il nuovo giocattolo, ci si immaginava già bettercap su un rasperry-pi montato su un drone. Scenario in realtà che mi aspetto già qualche matto avrà messo in campo.

Bettercap è una gemma ruby, quindi la potete installare con il classico gem install bettercap. Attenzione, richiede i privilegi di root per poter andare a guardarsi i pacchetti in transito. La documentazione ufficiale ricorda di usare sudo per lanciare il binario. Se, come il sottoscritto, avete fatto un gemset con rvm per i vostri tool da spippolamento, potete usare rvmsudo ed unirvi al divertimento.

Una volta lanciato, è possibile intercettare il traffico sulla VLAN sulla quale siamo attestati e lasciare spazio agli sniffer e recuperare credenziali, URL e tutto quello non protetto dalla crittografia.

bettercap ha anche la funzionalità di proxy trasparente. Possiamo quindi utilizzarlo per loggare tutte le chiamate HTTP e HTTPS (in questo caso vedremo solamente l’URL richiesta) che il nostro browser andrà a fare. Utile quando si vuol capire un po’ cosa fa un’applicazione web, soprattutto in maniera asincrona via AJAX.