Tag: Analizador de red

[IEWatch] Analizando tráfico de red con este complemento para Internet Explorer

lipman/ / Seguridad (es)

Índice:
1.-Breve Introducción
2.-Acerca del Interfaz de Usuario
3.-Datos de los paquetes filtrados
4.-Tráfico HTTPS
5.-Análisis HTML
6.-Conclusión final

A través de los comentarios de un tocayo mio, en el post de Realizar búsquedas encriptadas con Google me enteré de la herramienta (más bien complemento) IEWatch.

1.-Breve Introducción

IEWatch es un addon para Internet Explorer que nos permite analizar el tráfico de red que pasa por este navegador mientras lo usamos para navegar. Esto supone una ventaja frente a otros analizadores de red, y es que directamente podemos ver el tráfico único que pasa por el navegador sin la necesidad de aplicar ningún filtro. Además de esto, dispone de un analizador de elementos HTML bastante útil y una utilidad que nos permite realizar peticiones POST que veremos más adelante. Finalmente destacar que podemos ver también los contenidos cifrados por HTTPS.

Las pegas que le veo a este complemento para empezar son el precio, ya que no es gratuito (aunque lo podemos tener por el módico precio de 170$ USD) y la incomodidad que supone a la hora de trabajar, ya que si queremos trabajar cómodamente, el complemento ocupará un gran tanto por ciento de la pantalla, dejando poquito espacio para la navegación en si.

Se puede descargar una versión de evaluación de aquí.

2.-Acerca del Interfaz de Usuario

La verdad que se podría resumir en que deja bastante que desear la verdad. Por un lado, en el “análisis HTTP” (del tráfico de red) se divide en tres zonas (en realidad dos): la zona superior donde aparecen los paquetes de red capturados junto con una breve descripción. Finalmente, en la parte inferior, a pesar de estar dividida en dos partes, se tratan de características y datos que contienen los paquetes de datos capturados.

En la parte superior, en el log de los paquetes capturados, no podemos ver ningún tipo de leyenda ni nada parecido para saber qué datos son los mostrados, sino que tenemos que aventurarnos a adivinarlos.

Por otro lado, como dije anteriormente, si quieres trabajar completamente cómodo con el complemento, tienes que expandirlo hasta el punto en que la navegación se vuelve incómoda. Tampoco podemos expandir los campos para ver totalmente los contenidos largos que no caben en la pantalla.

3.-Datos de los paquetes filtrados

Podemos ver cómodamente:

  • Datos de la cabecera
  • Cookies
  • Datos pasados por POST
  • Parámetros y valores pasados por la URL
  • Response Headers
  • Response Cookies
  • Content

Podemos aplicar filtros, como podemos ver en la posterior imagen, sin embargo me parecen un poco escuetos. Sin ir más lejos, en los filtros por tipo de contenido solo se permiten esos tres (text, html y css), echando de menos el javascript. También dispone de un buscador, aunque este no acepta expresiones regulares. Por último, destacar que se pueden exportar e importar resultados en formato XML.

4.-Tráfico HTTPS

La verdad es que siempre me han parecido interesantes los snifers de tráfico SSL y su funcionamiento. Desde que se mostró que aun puede ser inseguro estar tras una página que use HTTPS con sslstrip, han surgido por la red sniffers de este tipo. Sin embargo, sslstrip funcionaba muy fácilmente: es un script en Python que sustituia una versión segura de una página web por una insegura, haciendo que los datos viajen en texto plano en lugar de cifrados, haciendo creer al usuario que está seguro para posteriormente esnifar su conexión con cualquier sniffer.

Sin embargo, no sé como funciona realmente esta funcionalidad de IEWatch , incluso les he enviado un correo para que me expliquen un poco qué han hecho. Al principio me aventuré pensado que podría simplemente crearnos la falsa sensación de que estamos navegando en una página HTTPS siendo que nuestros datos iban en texto plano (en plan sslstrip pero más bonito), pero esto no es así, ya que puse un sniffer a la vez que el IEWatch y pude comprobar que la información viajaba todo el rato cifrada.

También pensé que simplemente podria saber qué estamos introduciendo en el navegador (ya que al ser un complemento, seguro que tiene cierta facilidad para ello) y a partir de eso, crear la falsa sensación de magia para decir que “descifra” los datos que viajan por el protocolo seguro. Pero tampoco es esto cierto, ya que esto funcionaría en el caso de los datos que nosotros enviamos, pero los datos que recibimos (como los valores de los datos de sesión) también se nos muestran descifrados.

Por último, recuerdo haber leido (aunque puedo estar equivocado) que a partir de tener el certificado y las claves (esto ya entraría más bien en el funcionamiento del propio SSL) es relativamente fácil y no sería muy complicado “crackear” el cifrado de los datos, así que definitivamente me aventuro a decir que funciona de esta manera o de otra que no se me ha ocurrido, pero repito que les envié un mensaje y espero que me respondan para poder explicar cómo lo consiguen.

5.-Análisis HTML

No es casualidad que una herramienta de análisis de tráfico de red lleve incorporado una subherramienta (por llamarlo de alguna manera) que analice los elementos HTML de las páginas, sobre todo si se trata de un complemento incorporado en el navegador.

De forma sencilla se pueden visualizar datos como: el código HTML, imágenes, enlaces, formularios, scripts, y todavía más, como podemos ver en la siguiente imagen.

Como podemos ver en la parte izquierda, disponemos de una estructura a modo de árbol, en la que al clickear encima de un elemento (como un script) podremos ver a la derecha su contenido.

Otro par de características interesantes son los botones de HTML Spotlight y HTML Designer. La primera de ellas nos permite mostrar el código HTML de un elemento tras clickearlo, y la segunda, nos permite editar una página web en modo local, como si se tratase de un documento, es decir, clickeando en donde queramos añadir o editar texto, y demás.

6.-Conclusión final

Esta es la clase de herramientas (en este caso, complementos) que usamos una vez cada mil. El complemento no está nada mal, sin embargo, por el precio que cuesta (incluso por el simple hecho de costar dinero, habiendo analizadores de red y de HTML mejores y gratuitos en el mercado) no merece la pena ni tenerlo, ya que el dia menos esperado nos salta el aviso de que se nos ha acabado la versión de prueba.

Como dije anteriormente, es muy sustituible (salvo por el tema de ver HTTPS sin cifrar) en cuanto a analizar la red (función principal) ya que con Wireshark simplemente poniendo un filtro diciéndole que nos muestre el contenido HTTP o similares, tendriamos lo mismo. Y con respecto a la función de analizador HTML, me quedo sin duda con firebug.

Un saludo, lipman