Catturare conversazioni Windows Live Messenger

Introduzione e preparativi

Ciao a tutti, in questo nuovo howto vi spiegherò come sniffare le conversazioni di windows live messenger (msn) che viaggiano nell'etere.
Per prima cosa bisogna dire che (come le altre) anche questa guida è stata testata su linux (ubuntu per la precisione) usando il programma freeware Wireshark (reperibile su repository o direttamente in rete) il cui scopo è sostanzialmente quello di 'sniffare' la rete e catturare i pacchetti che stanno viaggiando, ed inseguito di analizzarli.
La procedura dovrebbe funzionare anche su windows (non mi sono mai preocuppato di verificare la corrispondenza) si consiglia comunque di testarla su una distro linux, anche in caso da livecd (a questo proposito si consiglia la distro Backtrack).
In questa guida vedremo come catturare pacchetti usando airodump (altro softaware di cui gia ho parlato), come decifrrarli usando airecap–neg, ed infine come analizzarli usando, appunto, wireshark.

Catturare il traffico in rete

Per quanto rigurda la cattura dei pacchetti il procedimento da seguire è già stato spiegato nella guida inerente alla violazione della cifratura di tipo wep reperibile a questo link, pertanto si rimanda alla lettura di quest'ultima per il settaggio della scheda wireless e per la cattura dei pacchetti.
Si consiglia comunque di catturare pacchetti per un tempo non superiore ad un ora circa in quanto il file cap potrebbe divenire di grandi dimensioni a seconda del traffico.

Fase di decodifica dei pacchetti

In questa parte è essenziale essere a conoscenza della chiave di rete (se la rete è aperta si può benissimo saltare questo passaggio); anche se, come mostrato in una guida precendente ci sono vari modi per venire a conoscenza della chiave, si presuppone che la rete sia la vostra e che quindi sappiate bene la vostra chiave ;)
Nel caso in cui la chiave sia WEP basterà dare il comnando:

airdecap–ng –l –b <mac Access Point> –w <chiave_WEP> <nome_file–01.cap>


In caso la chiave sia WPA il discorso si complica un pò in quanto in fase di sniffing bisgonerà aver catturato anche l'handshake, ovvero il processo di connessione di un utente, il quale verrà accompagnato dalla chiave WPA per il decriptaggio del file .cap .
Per vedere se l'handshake è stato catturato, in fase di sniffing apparirà ad un certo punto una scritta sulla parte destra della shell dove si sta eseguendo airodump.
Usando airdecap, i pacchetti che non saranno decifrati con il giusto "handshake" andranno persi, assumendo sempre però che la rete sia vostra, quello che basta fare è lanciare preventivamente airodump e successivamente attaccarsi via wireless all'access point.
A questo punto il comando per decriptare i pacchetti è semplicemente:

airdecap–ng –l –e <ssid Access Point> –p <chiave_WPA> <nome_file.cap>


A questo punto airdecap ci restituià un nuovo file (con l'aggiunta della stringa –01.dec nel nome) contenente le informazioni decriptate.

Analisi dei pacchetti

Giunti a questo punto, dopo aver salvato il file .cap (da ora chiamato msn.cap) non ci resta che aprire wireshark, cliccare su open e caricare il file msn.cap. Quello che vedremo apparire sarà, all'apparenza, una lista indecifrabile di pacchetti.
Entrano qua in gioco quindi quelli che vengono chiamati filtri! Wireshark infatti permette di filtrare l'intera lista di pacchetti attraverso l'uso di espressioni o più semplicemente di nomi.
L'uso dei filtri è molto importante, questo però esula daglis copi di questo howto pertanto si rimanda all'interesse dell'utente cercare in rete una lista dei filtri e delle loro regole da applicare a wireshark.

Le conversazioni Windows live messenger!!

Le conversazioni windows live messenger o msn che dir si voglia, a differenza di moltri altri tipi di messaggi, viaggiano in chiaro; quindi se qualcuno nella vostra rete sta parlando su msn quello che vi basterà fare è applicare il filtro: Msnms contains msg.
Questo filtro altro non fa che selezionare i pacchetti il cui protocollo applicativo si chiama MSNMS ed di quelli ricavati selezionare quelli di tipo msg, ovvero quelli che contengono messaggi (un altro filtro di particolare interesse è JOI in quanto è il marcatore utilizzato quando viene avviata una chat msn).
Adesso basta cliccare su di un pacchetto, tra quelli ricavati, col tasto destro e selezionare follow tcp stream.
Questo vi farà visualizzare a schermo tutti i messaggi in chiaro che avete catturato, se non riuscite a visualizzare nulla tentate con un'altro pacchetto msg.

Questo procedimeto l'ho testato un po di tempo fa con successo sulla mia rete, adesso sinceramente non so se i messaggi msn viaggiano o meno ancora in chiaro, quindi quello che dovete fare è scoprirlo ;)
Bye bye.




Important

The use of this material at the expense of others is absolutely not approved by badnack, which is not considered in any way responsible for any damage caused by improper use of the material. Copies of the above links are for illustrative purposes only and are posted only for for educational purposes