Fiktive Angriffsszenarien spiele ich immer wieder gerne durch und es juckt immer verdammt in den Fingern, diese auch mal “on the wild” durchzuziehen.
Das N900 ist ja ein wirklich geniales Handy, Dank der “App” Easy Debian lassen sich so gut wie alle Programme aus den Lenny Backports auf das N900 bewegen, ob nun der Apache, Metasploit, nmap …
Die Tage habe ich mir überlegt, ob man nicht auch mit dem Handy einen effektiven Man-in-the-middle Angriff durchführen könnte.
Für Tethering gibt es bereits eine fertige App mit Gui – mobile hotspot.
Hier sind auch unverschlüsselte Verbindungen möglich, sprich wir können anderen Usern unsere UMTS Verbindung kostenlos zur Verfügung stellen – als Hotspot Name könnte man “FreeHotspot” wählen.
Die “Opfer” hätte man nun quasi auf dem Handy – was nun?
Unter Easy Debian per apt-get tcpdump aus den Backports laden und per:
tcpdump -i wlan0 -s 0 -w output.dump tcp port 80
den Sniffer starten.
Der komplette Traffic wird nun mitgeschnitten und kann später komfortabel unter Wireshark @home ausgewertet werden.
Leider ist der https Traffic crypted – doch auch hier könnte man ein wenig cheaten.
Über den installierten Apache könnte man eine Phishingseite online stellen, vielleicht mit dem dezenten Hinweis das aktuell Wartungsarbeiten am System vorgenommen werden und der Betrieb nur eingeschränkt möglich ist (der entsprechende Login ist natürlich vorhanden und wird von uns überwacht).
Wie leiten wir nun aber web.de und co auf den Apache um?
Meine ersten Versuche die resolv.conf zu editieren schlugen fehl – unter Maemo ist die entsprechende Datei unter /etc/hosts zu finden.
Hier leitete ich web.de auf 127.0.0.1 um und musste feststellen, dass ich vom “Gastsystem” auf das “Gastsystem” geleitet wurde (und nicht wie erwartet auf localhost / N900).
Die Lösung: Als IP muss die unter ifconfig ermittelte Online-Ip eingetragen werden – die leider dynamisch ist – ein kleines PHP-Script war aber schnell geschrieben um die nötigen Änderungen zu automatisieren.
Jetzt müsste man nur noch auf öffentliche gut besuchte Plätze gehen (Flughafen, Bahnhof etc.) und das Szenario live testen – ist leider verboten …. quasi 
Nachtrag: Mir ist gerade noch eingefallen, dass man den Apache so modifizieren kann, dass die Anfragen je nach Host umgeleitet werden (thx an Fanaticz) – ein file_get_contents & replace login würde das Phishing dann fast perfekt machen.
Das du immer das was ich mir manchmal so ausdenke auch immer direkt ausprobierst macht wohl den kleinen Unterschied… Hatte so nen Gedanken gestern bei eine Treff wo auf drei Leute auf ner Tethering rumhüpften und ihr passwds eingaben….
Böse, böse, was du da mal wieder so machst
Müsste mich auch mal wieder mit den ganzen böhzen Sachen auseinandersetzen, finde aber leider zu wenig Zeit, mich da wieder einzuarbeiten, hoffentlich ändert sich das bald wieder… *Kalender anschiel*
wollt schon sagen das es mit virtualhosts einfacher geht, aber scheints dich ja noch dran erinnert zu haben
In dem zusammnhang hab ich letztens noch pwnitter gefunden: http://maemo.org/packages/view/pwnitter/
Für Spielchen empfehle ich pwnphone.