El sábado pasado fue el penúltimo día de la DEF CON y tuvimos la oportunidad de ver una gran cantidad de presentaciones. Entre ellas queremos destacar la realizada por Chema Alonso, un amigo de la casa, que nos deleitó con "Fear the Evil FOCA: Attacking Internet Connections with IPv6". La nueva versión de su popular herramienta, Evil Foca, permite realizar varios tipos de ataques sobre redes que utilicen los protocolos IPv6 e IPv4.

Evil Foca

Las presentaciones de Chema Alonso suelen caracterizarse por el humor con el que las imparte, y esta vez no fue la excepción ya que comenzó mostrando imágenes de su país de origen, España, e incentivando a los asistentes a que lo visiten.

Luego comenzó explicando un poco cómo se comporta el sistema operativo Windows al momento de asignar el tipo de DNS a utilizar (DNSv4 o DNSv6) dependiendo de las distintas configuraciones de IPv4 e IPv6. El presentador remarcó esto ya que varios de los ataques que permite realizar la herramienta presentada implican redireccionamiento de tráfico o ataques de MITM (Men In the Middle).

IPv4 IPv6 y DNS

En las demostraciones se pudo observar cómo desde una máquina dentro de la misma red del usuario de la cual se conociera su dirección IPv6, se podría redireccionar el tráfico sin que este se percatara y por ende visualizaría todo el tráfico de esa red. Este ataque lo combinó con una metodología llamada SSL Strip, que de manera forzada, quita la "s" de los links "https" convirtiendo una comunicación cifrada en una que no lo es. Todo esto le permitió poder "escuchar" todo el tráfico dentro de la red IPv6 y a su vez poder capturar todas las credenciales que fueran trasmitidas.

La herramienta permite realizar varios tipos de ataques, entre ellos se destacan:

  • MITM sobre redes IPv4 utilizando ARP Spoofing e inyecciones DHCP ACK.
  • MITM sobre redes IPv6 utilizando Neighbor Advertisement Spoofing, SLAAC Attack, falso DHCPv6.
  • DoS (Denial of Service) sobre redes IPv4 utilizando ARP Spoofing.
  • DoS (Denial of Service) sobre redes IPv6 utilizando SLAAC Attack.
  • DNS Hijacking.

Si bien existen varias herramientas que realizan ataques similares para este protocolo, Evil Foca reúne de manera más ordenada las funcionalidades de muchas de ellas permitiendo auditar este tipo de redes de manera más fácil y rápida. A causa de esto la misma fue agregada a la distribución de Backtrack y Kali Linux. Actualmente, Evil Foca está en versión Alpha pero estaremos pendientes a las futuras funcionalidades que vayan apareciendo para poder contarles más sobre este tipo de ataques.

Joaquín Rodríguez Varela
Malware Lab Coordinator