Estoy intentando detectar el tráfico SSL desde un VirtualBox que creé (Android). Estoy usando el sistema pcap integrado de VirtualBox para detectar el tráfico regular, pero obviamente eso no funciona para SSL. Lo que intento hacer es generar nuevas claves raíz y ver qué aplicaciones son vulnerables a este tipo de ataque (en realidad es una especie de ataque MITM). Pero como no existe una 'interfaz de red VirtualBox', estoy un poco atrapado aquí. ¿Hay alguien que quiera darme una ventaja?
Respuesta1
El cifrado SSL se realiza en la capa de aplicación, por lo que deberá modificar la aplicación que desea detectar (por ejemplo, el navegador) o montar un ataque de intermediario (como con mitmproxy o burp suite). El rastreo y descifrado de SSL pasivo solo es posible si tiene la clave privada del servidor de destino y si se utiliza el intercambio de claves RSA, pero los sitios modernos usan el intercambio de claves (EC)DHE, que es resistente a este tipo de rastreo.
Respuesta2
Puede crear una red virtual ( internet <--> proxy vm <--> (virtual) internal network) y ejecutar un proxy de interceptación transparente en la máquina Gateway. Aquí hay un tutorial para mitmproxy:http://mitmproxy.org/doc/tutorials/transparent-dhcp.html