jueves, septiembre 24, 2015

Evil FOCA: Liberada bajo licencia Open Source

El proyecto de Evil FOCA se comenzó a fraguar hace tiempo en el SOCtano de Informática 64. El objetivo era hacer una herramienta similar a CAIN para IPv4, pero centrada en IPv6. Se desarrollo en .NET y utilizando los drivers de Winpcap para que sobre ella se pudiera hacer correr cualquier sniffer como WireShark. Al final, con mucho trabajo a lo largo del tiempo se consiguió tener una herramienta que implementa una buena cantidad de ataques en IPv6 y que tenéis descritos en detalle en el libro de Ataques de Redes IPv4&IPv6 donde toda la parte de IPv6 la he re-escrito yo recogiendo todos los ataques que fuimos añadiendo.

Figura 1: Evil FOCA es ahora Open Source

Para entender mucho mejor las principales características, yo os recomiendo que veáis las demos que hice en la charla de DEFCON 21 titulada "Fear the Evil FOCA: IPv6 Attacks in Internet Connections", donde se explican algunos de los principales ataques que se pueden hacer con esta herramienta además de que se realizan varias demos de ellos.


Figura 2: Fear the Evil FOCA - IPv6 Attacks in Internet Connections

La lista de ataques completa que se pueden realizar tanto en protocolos IPv4 como protocolos IPv6 porque a día de hoy ya están implementados la tenéis en la descripción de Evil FOCA en la web de Eleven Paths.

Para que sea más didáctico aún, os resumo en esta pequeña lista algunos de ellos con enlaces a algunos tutoriales de lo que se puede hacer en la parte de IPv6:
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Hackeado en IPv6 por creer que no lo usas
- Hacking en redes de datos IPv6: Ataque de Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes IPv6
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6)-HTTPs(IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector
Sin embargo, el mundo de IPv6 y los ataques de redes a ellos va creciendo y hay muchos de ellos que no se han implementado porque ahora en Eleven Paths no está entre nuestras prioridades.

Figura 4: Evil FOCA en GitHub

Dicho esto, habíamos recogido una buena lista de cosas que meter en Evil FOCA que no hace en IPv6 a día de hoy, como por ejemplo lo siguiente, que puede ser útil en una auditoría:
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Implementación de Iddle Port Scanning con IPv6
- Detección de IPv6 en Internet: Cada vez hay más sitios
- Detección de Happy Eyeballs en la red
- Test de conectividad IPv6 a Internet
- Ataque ICMPv6 Redirect: man in the middle a Android, OS X & iPhone
- Implementación de ataques "Delorean" a HSTS
- Ataques DOS a apps vulnerables a Ping Of Dead IPv6 (son muchas ya)
Ya nos habían pedido acceso al código para implementar alguno de estos ataques o para hacer algún Trabajo de Fin de Carrera, Master o Grado, así que hemos decidido liberarla con licencia Open Source en un GitHub dentro de un conjunto de actividades y lanzamientos que vamos a ir contándoos en breve y que terminarán por explicarse todas durante el próximo 8 de Octubre en el Security Innovation Day.

Saludos Malignos!

6 comentarios:

  1. La pequeña saliendo de casa, gracias Chema.

    ResponderEliminar
  2. Aaaaa me pondré todo lamer a jugar con ese código

    ResponderEliminar
  3. No te imaginas lo que nos ayudas a todos los que estamos iniciandonos o que ya estan en este mundillo de la seguridad, gracias 10000

    ResponderEliminar
  4. Muy bueno que sea código abierto (notese la diferencia con "software libre") :)

    ResponderEliminar
  5. Hola a todos, necesito ayuda ya que no se muy bien como instalar evil foca en ubuntu. Instale la foca normal utilizando wine, pero en el caso de evil foca me pide instalar winpcap y no se como puedo hacerlo.

    Muchas gracias a todos por vuestra ayuda.

    ResponderEliminar