Come effettuare un Password Sniffing o vedere le password in chiaro usando Wireshark

Wireshark è il più famoso analizzatore di reti. Viene utilizzato dai sistemisti in quanto è in grado di mostrare i flussi di rete fino al livello microscopico di un pacchetto. Questa guida mostrerà come utilizzare Wireshark per visionare le password che circolano in una rete per scopi ovviamente  didattici o per mettere al sicuro la propria rete. Ogni uso improprio è ovviamente a Vostra completa responsabilità.

 

Requisiti:

  1. è necessario dotarsi di una versione di Wireshark da qui wireshark.org (oltre a dotarsene magari installarla pure 🙂 )
  2. una scheda di rete abilitata a lavorare in modalità promiscua (molte schede Wifi o LAN installate su PC ne sono dotati)

Primo passo:

Avviamo il programma Wireshark (in Kali Linux è già disponibile su Application > Kali Linux > Top 10 Security Tools > Wireshark)

Entrati in Wireshark andiamo su Capture quindi Interface selezionando la scheda di rete che si vuole utilizzare.

 

 

Clicchiamo successivamente su Star per avviare lo sniffing della rete.

Secondo Passo:

Da questo punto , Wireshark inizierà ad analizzare il traffico di rete. Per testare la funzionalità di sniffing di una password, ci rechiamo in un sito che richiede le credenziali di Username e Password. Dopo aver inserito le credenziali ed esserci loggati, torniamo su wireshark stoppando lo sniffing dei dati.

Quando inviamo le nostre credenziali utente (nella maggior parte dei casi) stiamo inviando questi valori utilizzando il metodo POST del protocollo HTTP.

Da wireshark, filtriamo quindi tutto il traffico cha abbia utilizzato questo metodo inserendo nella casella dei filtri:

http.request.method == “POST”

 

Terzo Passo:

Abbiamo quindi selezionato un pacchetto che racchiude al suo interno le variabili inviate nel modulo di login del sito. Clicchiamo con il tasto destro su di esso selezionando “Follow TCP Stream”. Si aprirà quindi una finestra simile a questa:

In questo caso, le credenziali sono quelle segnate in rosso. La password non è mostrata in chiaro (questo avviene quando il sistema di login è mezzo decente), ma è un valore hash.

Per decifrare questo valore possiamo aprire un terminale e scrivere:

hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/password.txt

ottenendo quindi la password in chiaro

Hai bisogno di una consulenza o assistenza?
Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla 😉

Questo articolo ha 24 commenti.

  1. Giuseppe Russo

    Serve essere connessi alla LAN ? O si può fare anche tramite Wi-Fi ?

    1. admin

      Ciao Giuseppe, allora in modalità LAN puoi visualizzare solo il traffico presente nella stessa sottomaschera di rete a cui sei collegato. In modalità Wi-Fi, se l’interfaccia è compatibile con la modalità “monitor”, puoi intercettare anche il traffico Wi-Fi dei dispositivi che ti stanno intorno e che non sono connessi alla tua rete. Per completezza, Wireshark consente anche di intercettare traffico GSM

      1. nicola

        Ciao Admin, hai detto che in modalità LAN posso visualizzare solo il traffico presente nella stessa sottomaschera di rete a cui sono collegato. significa che posso visualizzare anche il traffico degli altri pc che si collegano sulla stessa LAN? per intenderci, se io ho ip 192.168.35.117, posso visualizzare anche il traffico di 192.168.35.158?

        1. admin

          Certamente, correttissimo quanto da te detto. Sono visibili tutti i dispositivi che generano traffico sotto la stessa sottomaschera di rete. E’ infatti buona norma, se non addirittura fondamentale, che quando si progetta una rete si utilizzino diverse sottomaschere di rete per evitare accessi non autorizzati . Saluti

          1. nicola

            Però io riesco a visualizzare solo il traffico prodotto dalla postazione su cui ho avviato la cattura.. non c’è traccia degli altri IP della stessa subnet..

          2. admin

            Prova a mettere l’interfaccia in modalità promiscua (Monitor Mode) con i comandi:
            sudo iw dev wlan0 interface add mon0 type monitor
            sudo ifconfig mon0 up

            quando hai finito ripristini con
            sudo iw dev mon0 interface del

            Lavorerai quindi sull’interfaccia mon0. Dovrai ovviamente sostituire wlan0 con quella di ethernet

          3. nicola

            grazie! però dove debbo inserire i comandi?

  2. Hal9000

    Ok Per una pagina in HTTP ma una pagina in HTTPS non è possibile sniffare … giusto? 🙂

    1. admin

      Per una pagina HTTPS è possibile sniffare ma ovviamente il contenuto sarà crittografato quindi incomprensibile. E’ anche vero però che gli hackers utilizzano attacchi man in the middle e phishing in questo caso ovvero, intercettano la richiesta di un browser di collegarsi ad una pagina HTTPS e il computer attaccante gli restituisce la stessa pagina clonata senza protocollo HTTPS in questo caso le informazioni viaggeranno in chiaro

  3. Marco Filippini

    Dove devo inserire il comando “hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/password.txt”?
    Quale sarebbe il terminale?

    1. admin

      Il comando va inserito sul terminale (o prompt dei comandi o bash) del tuo sistema operativo.

  4. Utente

    Ciao. Io ho il problema inverso, ovvero tracciare inequivocabilmente chi sta controllando la mia rete, il mio telefono, il mio computer e quelli dei miei familiari e portarli in tribunale. Cosa posso fare?

    1. admin

      Ciao, tecnicamente sono tutte situazioni che si possono monitorare con diverse tecniche ma le variabili sono molteplici. Ad esempio, se la persona che reputi stia monitorando la tua rete lo fa perchè è in possesso della password del WiFi? Il telefono che ti viene monitorato lo è perchè connesso all’interno della stessa wifi o perchè pensi possa aver installato sul tuo telefono applicativi trojan per spiarti. Insomma è molto difficile darti una risposta secca alla tua domanda bisognerebbe esaminare ogni singola ipotesi cercando di trovare la soluzione. Con Wireshark puoi già fare molto per quanto riguarda la tua rete interna in quanto se all’interno è presente un attore non gradito, questo comunicherà all’interno della rete e potrai scoprirlo

      1. N.M

        Ciao. E’ iniziato tutto con il jailbreak del mio telefono, sul quale avevo connessi social e mail e mi loggavo sugli account. Il wifi di casa è stato senza password per anni, quindi chiunque poteva connettersi. Da poco l’abbiamo rimessa, ma la situazione non è cambiata. Nemmeno dopo l’acquisto di un mobile wifi, quelli che si connettono con una scheda sim, e l’utilizzo di un nuovo pc. I personaggi che hanno fatto questo sono miei concittadini (o comunque anche miei concittadini siano implicati nella cosa), perchè per vie traverse ci tengono a farmi sapere che sono a conoscenza delle mie attività su internet, per esempio i contenuti delle mie mail (anche quelle inviate da poco, nonostante i cambi di password), delle mie attività social, dei miei sposatementi ecc. Cose impossibili da sapere se non si possiedono i dati per il login, ma a quanto pare sono a conoscenza anche dei miei spostamenti all’interno di casa. Sanno cosa succede in casa mia, di cosa parliamo (cose mai comunicate a terzi ne udibili dall’esterno), cosa c’è dentro casa e dove sono quando esco di casa, cosa dico e cosa faccio, anche se vado in luoghi dove non c’è nessuno e dove nessuno mi ha visto andare. A settembre abbiamo anche ricevuto delle telefonate dove qualcuno fingeva di chiamare per conto dell’assicurazione della macchina, dicendo di essere un responsabile di un fantomatico ufficio che si occuperebbe del servizio GPS, e chiedeva informazioni dicendo a mia madre che avevo avuto da qualche minuto un incidente mai avvenuto che il GPS della nostra macchina gli avrebbe segnalato. Faccio notare inoltre che l’assicurazione della macchina in questione è a nome di mio padre, non di mia madre, che la chiamata l’ha ricevuta comunque mia madre (mio padre non è stato cercato da nessuno) e che mia madre è stata chiamata al suo cellulare il cui numero è conosciuto da poche persone. Motivo per cui è abbastanza ovvio che sicuramente ricevano informazioni da amici piazzati un pò ovunque, ma anche che telefoni e pc siano spiati. Seguirò il consiglio di scaricare Wireshark. Per il telefono invece cosa posso fare?

        1. admin

          Ciao, da quello che mi riferisci sembrerebbe che all’interno dei tuoi PC siano stati installati dei trojan che abilitano al controllo remoto e che quindi darebbero la possibilità a chi lo ha installato di visionare tutto ciò che passa sul tuo schermo e di accedere ai dispositivi avviando stream audio e video. Quindi il mio consiglio è quello di:
          se hai competenze informatiche puoi rilevare i trojan installati sui dispositivi e rimuoverli, diversamente ti consiglio di formattare i dispositivi.
          Successivamente farei un bel cambio password dei tuoi account: social, mail ecc inserendo password robuste
          Poi farei un cambio password del tuo wifi sempre con password robuste.

          Con wireshark installato su un PC puoi tranquillamente vedere se qualcuno ti spia in quanto il traffico che passa dal tuo PC viene mostrato a video ma ovviamente richiede competenze tecniche per essere analizzato.

          Per il telefono farei lo stesso, un bel backup di tutto, ripristini a stato di fabbrica e ti occupi sempre di modificare le credenziali dei tuoi account. Ti consiglio inoltre di non utilizzare jailbreak in quanto espone lo smartphone a rischi. Ciao

          1. Utente

            Ciao. Anche io avevo pensato a riformattare tutto e cambiare ancora le password ma ancora non l’ho fatto perchè voglio una prova informatica per portarli in tribunale. Non ho nessuna intenzione di fargliela passare liscia nel silenzio, nella diffamazione e nel dileggio, senza nessuna riconoscenza pubblica di colpa e punizione, come sperano. Mi serve una prova informatica e mi auguro che anche se dovessero staccarsi momentaneamente, esista il modo per verificare innanzitutto il danno ricevuto. Per linea e pc posso provare ad usare Wireshark, anche se al momento ho bisogno della guida. Ma per il cellulare? Esistono tecnici a cui potersi rivolgere?

          2. admin

            Credo che se tu hai certezza di aver subito accessi fraudolenti ai tuoi account o ai tuoi PC ti basta fare una denuncia alla polizia di stato, saranno loro a reperire le prove.

  5. Utente

    Ciao. Guardando la mia casella di posta elettronica ho appena visto di aver ricevuto ieri due mail che provengono dal mio stesso account, scritte in inglese (quindi ovviamente volte ad un inutile tentativo di depistaggio sulle responsabilità o, come hanno spesso tentato di fare, a far pensare che sia matta e mi inventi le cose) dove mi si dice che mi stanno guardando da pochi mesi (per varie ragioni posso affermare che la cosa va avanti da anni e coinvolge molte persone), che anche se cambio le password il loro malware le trova sempre, che avrei infettato il computer connettendomi ad un sito per adulti (cosa che ho effettivamente fatto qualche giorno fa per verificare, oscurando la cam e aspettando qualche minuto prima di chiudere il motore di ricerca, e come vedi ne sono a conoscenza), che attraverso un virus trojan vedono tutto quello che passa sul mio schermo e sono in grado di accendere la cam e il microfono, che hanno accesso a tutta la mia corrispondenza e la lista dei miei contatti anche sui social network, che il mio antivirus non rileva il malware perchè il malware usa il driver e ogni 4 ore loro cambiano la firma (non so cosa significhi ma ho installato diversi antivirus su questo computer, che tra l’altro era di mia sorella, è rimasto spento per oltre un anno perchè era rotto, da poco l’ abbiamo portato ad aggiustare e formattare, ed è stato ritirato circa tre settimane fa, quindi i tempi non tornano, o il tecnico che me l’ha formattato è amico delle persone in questione, e potrebbe essere, perchè dopo anni ormai è chiaro che hanno amici ovunque e la malsana capacità di convincere chiunque con le buone o con le cattive a pensare e a fare quello che vogliono loro. Quindi reperiscono e diffondono qualsiasi informazione, comprese quelle private come numeri di telefono, dati personali, lavorativi, fiscali ecc, e se non hanno informazioni mistificano quelle che hanno o quello vedono per crearne di nuove, ovviamente volte alla calunnia e alla diffamazione), che avrebbero fatto un video dove nella parte destra dello schermo si vedrebbe me che mi masturbo e nella parte sinistra il video porno che avevo aperto (che per altro era fatto esattamente come il video che dicono di avere su di me. Ho aperto diversi siti e video passando velocemente dall’uno all’altro e nell’arco di qualche minuto ho chiuso tutto. Non so se possiedano tecnologie in grado di ricreare me che faccio cose, ma in ogni caso quello che affermano è assurdo). Mi dicono che con un solo click del mouse possono inviare tale video a tutti i miei contatti mail e dei social, e che possono aggiungerlo a tutte le mail che mando e ad ogni messaggio che invio su messenger. Perciò mi hanno fornito un indirizzo di un wallet Bitcoin in lingua tedesca sul quale mi chiedono di versare $772 onde evitare che diffondano tale video e mi danno 48h per pagare dicendo che poi spariranno. Dicono anche che riceveranno una notifica appena aprirò la mail, quindi sapranno che l’ho letta e da quel momento partirà il timer delle 48h. Aggiungono che secondo loro non avrebbe senso lamentarsi con qualcuno perchè la mail che mi hanno inviato non può essere trackata, come il loro indirizzo Bitcoin, e si sentono sicuri di non aver commesso nessun errore che li faccia trovare. Concludono dicendo che se scoprono che ho condiviso le mail che mi hanno mandato con qualcuno il video sarà immediatamente diffuso. Avrei condiviso volentieri le mail all’istante per fartele e farvele leggere, ma l’operazione su questo blog non è consentita. In ogni caso ho scritto tutto quello che la mail dice. Ora, è ovvio che questa mail provenga da chi ha messo in atto nei miei confronti quello che ti ho già detto. Ci sono però un sacco di assurdità e inesattezze, ad iniziare dal computer in questione ritirato poco tempo fa e che, che io sappia, non è stato infettato da niente, per finire con gli orari in cui qualcuno si è connesso alla mia mail e ha inviato queste mail alla mia casella. Non stavo usando il pc in quelle ore, nel telefono ho disattivato la mail da molto tempo e in ogni caso dal pc e dagli apparecchi elettronici si può risalire a tutte le operazioni effettuate. Dunque è provabilissimo in ogni momento come non sia stata io ad aprire la casella mail e autoinviarmi una assurdità del genere, e nessuno a casa mia avrebbe potuto perchè nessuno ha i miei login, ne io li ho mai forniti ad anima viva. Quello che mi risulta strano è come l’antivirus non segnali nulla e come la mia mail non mi segnali accessi esterni, cosa che invece fa quando l’antivirus del mio pc usa una connessione sicura. Cosa devo fare?

  6. Gio

    Ho seguito la procedura ma alla fine mi dice : /root/password.txt:No such file or directory… come mai ??
    Grazie.

    1. admin

      perchè evidentemente il file password.txt non si trova nella cartella root. Puoi inserire il percorso a mano o trascinare il file nella shell. Ciao

  7. Sira

    Buonasera Simone, vorrei sapere se è possibile intercettare il traffico generato da un mini Mac su cui ho sincronizzato whatsapp, app presente sul mio iPhone. Dato che se non erro il Mac si collega alla rete mobile dell’iphone E non al Wi-Fi mi chiedevo se è come sia possibile visualizzare il l’attivita Del Mac durante l’utilizzo della app. Grazie anticipatamente

    1. Simone Tocco

      Buongiorno Sira, è sicuramente possibile intercettare il traffico di whatsapp dal mini Mac ma credo le servirà a poco in quanto i pacchetti dell’applicativo non viaggiano in chiaro ma in crittografia end-to-end quindi non è possibile effettuare attacchi o intercettazioni di tipo man in the middle. In questi casi l’unica soluzione è intercettare il traffico prima che esso venga inviato come ad esempio utilizzando un key logger hardware o software. Buona Giornata

  8. Sira

    Grazie Simone, in realtà non sono interessata al contenuto delle chat ma solo a verificare quando il Mac usando la connessione della simcard si collega alla app. Come ti individua la sincronizzazione tra Mac e iPhone, o meglio che tipo di protocollo, porta etc dovrei guardare. Si può interrogare altrimenti il catturato con un filtro? Grazie ancora

Lascia un commento