Recentemente ho svolto un audit di sicurezza sul posto di lavoro (sanzionato ovviamente) e ho visto alcuni comportamenti interessanti da parte di Cain e Abel. Ho evitato espressamente di utilizzare l'APR in modo che i miei colleghi non si annoiano agli errori dei certificati di sicurezza e hanno utilizzato solo la funzionalità "sniffing".
In qualche modo, Cain è ancora in grado di raccogliere molte password SNMP, MSKerb5-PreAuth, Telnet, LDAP, HTTP e FTP. Com'è possibile su un ambiente commutato senza l'utilizzo di APR? Ho controllato le tabelle ARP su un paio di altri computer durante l'esecuzione dello sniffer e tutti avevano le voci ARP corrette per il gateway.
All'inizio pensavo che per qualche strana ragione potessimo avere hub sulla nostra rete ma ci siamo controllati ed è tutto cambiato.
Ho letto molte informazioni sullo spoofing / avvelenamento ARP ma non riesco a trovare molto sulle specifiche dello sniffer di Cain.
Domani ho intenzione di andare in giro con Wireshark per vedere se riesco a rintracciare da dove arrivano alcuni di questi pacchetti che potrebbero potenzialmente essere molto dannosi.