A demonstração usou um site em PHP e CSS para uma hipotética loja de discos. Esta aplicação esteve hospedada em um servidor na AWS EC2 e foi feito cache do seu conteúdo pelo Cloudfront. Além disso, foi registrado o domínio maxhomelabrecords.ml para essa aplicação e, pelo AWS Route 53, definiu-se que os servidores DNS da Amazon seriam responsáveis por responder pelas consultas referentes a esse domínio.

O site estava plenamente acessível, ou seja, a aplicação estava respondendo pelo Cloudfront que, por sua vez, estava mapeado para o domínio citado.

Então foi feito um ataque do tipo arp spoofing (pela ferramenta Man In The Middle Framework, MITMF), onde um computador terceiro, rodando Linux Parrot OS, enviou mensagens arp espontâneas para uma máquina alvo, na mesma rede local.
Dessa forma, a máquina alvo encaminha suas requisições HTTP(s) ao terceiro, achando que ele é o gateway, quando, na verdade, é apenas um intermediário, que pode ver o tráfego alheio.

 

Pelo Wireshark, o Parrot consegue ver em detalhes o tráfego entre o alvo e o gateway. Como teste inicial, o site maxhomelabrecords.ml foi acessado e o formulário de sua homepage foi preenchido e, então, submetido. Pelo programa de captura de pacotes, o conteúdo do site foi reconstruído por um filtro de requisição do tipo GET e os dados enviados pelo formulário foram visualizados por um filtro POST.
Depois disso, a fim de proteger a privacidade dos usuários da aplicação, foi criado um certificado para o site (pelo AWS Cerficate Manager) e sua vinculação com o domínio e o Cloudfront foi feita.
Então novo ataque foi executado pelo MITMF e, dessa vez, o acesso ao site foi feito por uma conexão segura (HTTPS). Pelo Wireshark, não foi possível visualizar o conteúdo do site nem os dados submetidos dos campos do formulário, pois todo o fluxo aparece criptografado.

 

---