miércoles, 14 de marzo de 2012

¡Marmita 1.3 is out!

imageEsta mañana de camino al trabajo, he recibido un mensaje del señor Thor que decía: Marmita is out! Sorprendido y después de leerme el post que Chema ha dedicado a la herramienta en elladodelmal, he decidido explicar de manera rápida qué es esto de Marmita.

Marmita fue una aplicación desarrollada por Ignacio Merino y yo (Daniel Romero) encargada de detectar ataques ARP Poisoning como resultado de un proyecto de final de Máster en la Universidad Europea de Madrid.

El desarrollo de la aplicación quedó medio abandonada a excepción de en ocasiones que realizaba algunos arreglillos de fallos que me decían o características que se me ocurrían. Hasta el día que Thor decidió enganchar la herramienta y darle un toque de calidad de desarrollo, y así agregó la segunda funcionalidad de Marmita, la detección de ataques de DHCP.

En un principio tal y como se indicó en la descripción inicial del proyecto, buscábamos algo que aportar a la comunidad, y después de hacer un estudio de las muchas herramientas de detección de Man In The Middle (ARP Poisoning) del mercado, decidimos decantarnos por una herramienta con las siguientes características:

- Plataforma Windows (desarrollada en C#)
- Licencia Freeware
- Interface Gráfica
- Facilidad de uso
- Molestar lo menos posible
- Y ofrecer el máximo de funcionalidades

Destacando la facilidad de uso pensada para usuarios con pocos conocimientos de informática y las características que implementaba la herramienta obtuvimos la siguiente tabla.

image

¿Y cómo se consiguieron cada una de estas características?

Detección del Ataque:

Marmita al iniciarse, se crea su propia tabla ARP virtual (a través de la local del sistema) con la que trabajará durante toda su ejecución. Al mismo tiempo escucha en la interface de red indicada, por si van llegando nuevos paquetes ARP y así añadirlos a la tabla virtual.

Para explicar el método de detección lo haré mediante un diagrama de flujos muy sencillo.

image

Aviso del Ataque:

Debido a que no se quería herramienta molesta se decidió que la aplicación se “escondiera” en la barra de tareas, y desde allí avisara de los ataques que se estaban realizando.

image

Una vez ya has sido avisado, puedes abrir la aplicación y visualizar de una forma rápida diferente información sobre el ataque (tipo de ataque, IP del atacante, MAC del atacante, fecha y hora del ataque y nombre del equipo que está atacando).

image

Si se quisiera más información de los ataques, se dispone de una pestaña “History Attacks” que dispone de un historial de ataques desde la última vez que se ejecutó la aplicación.

Mitigación del Ataque:

Una de las características que echamos en falta en las aplicaciones del estudio, fue la mitigación del ataque. Después de darle vueltas al asunto, una solución rápida que se nos ocurrió, fue la de rellenar la tabla ARP local con la ruta estática de la otra víctima, indicando la IP y la MAC correctas.

Dicha mitigación podría llegar a resultar un problema de comunicación si estas rutas no se borraban de la tabla ARP local. Así que se implementó un sistema para detectar cuando un ataque había finalizado, de este modo podríamos eliminar la ruta ARP agregada anteriormente.

Aviso de fin de Ataque:

El sistema de detección de fin de ataque, se basa en un simple contador de dos barridos, si una vez que se ha cumplido dicho tiempo no se han recibido más paquetes de ataque este se considerará finalizado.

image

Panel de configuración:

La configuración de Marmita permite diversas opciones entre las cuales se podemos observar: ejecución de la herramienta al inicio de Windows, mitigación automática, almacenar las excepciones, tiempo de barrido, detección de ataques DHCP, resolución de nombres, etcétera.

image

Como funciones extras para facilitar la tarea al usuario existen otras pestañas:

- Analizador de paquetes ARP
- Lista de excepciones
- Registro histórico de los ataques (LOGS)
- Histórico de ataques DHCP

Disculpad la falta de descripción sobre la detección de ataques DHCP pero esta parte la desarrollo integra Thor, ya intentaré convencerle de que me escriba una pequeña entrada explicando algo de esto :P

Por último agradecer a toda la gente de Informática64 en especial a Alejandro Martín, Chema Alonso y Manuel Fernández “The Sur” que sin su ayuda la herramienta no hubiera sido ni la mitad de lo que es :)

Podéis descargar Marmita 1.3 desde el siguiente enlace [Marmita_1.3], o desde la web de Informática64.

Se admiten todo tipo de quejas, fallos, opiniones, ideas, etcétera.

Un Saludo!!

7 comentarios:

  1. Muy completo el post.

    Por cierto se te ve la MAC!! Exhibicionista! Con ese dato te van a jakear la computadora :S

    ResponderEliminar
  2. @Thor ajjajaja merci!! Mira por donde que esa no va a ser mi MAC :P

    Un Saludo!

    ResponderEliminar
  3. Genial! Un placer leerte y usar vuestra herramienta.
    Saludos

    ResponderEliminar
  4. @Anónimo Me alegro que te guste ;)

    Un Saludo!!

    ResponderEliminar
  5. Respuestas
    1. @SOSAnonimo Si! Debería funcionar, aunque ya hace un tiempo que no toco el proyecto y no se como estará la cosa actualmente. ;)

      Eliminar