|
|
|
 |
Sniffing |
 |
|
 |
1. Sniffing
Kolejny raz na drodze do skutecznego zabezpieczenia, napotykamy zagrożenie jakie stwarza popularna metoda inwigilacji, zwana sniffingiem. Sniffing, z angielskiego "obwąchiwanie", to próba
rejestracji danych które przypływają przez sieć. Czynnikiem zwiększającym niebezpieczeństwo jakie niesie ze sobą ta metoda, jest fakt
iż użyć jej może każdy - nawet nie doświadczony użytkownik! To znacznie pogarsza naszą sytuację, no chyba że chcemy stanąć po drugiej (nie właściwej) stronie barykady :) Sniffing nie godzi w prawo, póki
nie wykroczy poza zwykły monitoring sieci przez osoby za nią odpowiedzialne - czyli przez adminów sieci. Każdą sieć, bez względu na to czy jest ona przewodowa lub bezprzewodowa, można podsłuchać nie wkładając to praktycznie
żadnego wysiłku. Jedyne co powinniśmy zrobić - to zapoznać się ze słabymi punktami naszej sieci. Na największe ryzyko podsłuchu narażone są protokoły HTTP, a właściwie wysyłane z ich pomocą dane.
Jak to wygląda w praktyce? Większość z nas loguje się na swoją pocztę uzywając do tego celu przeglądarki www. Czyli wchodzimy przykładowo na stronę Wirtualnej Polski - przechodzimy do poczty, wpisujemy adres email,
hasło, kolejno klikamy zaloguj i...poszło. Nasze nie zaszyfrowane hasło, czyli w postaci takiej w jakiej je wpisaliśmy - zostało wysłanie protokołem HTTP. Po drodze nasz login oraz hasło wita się z wszystkimi użytkownikami sieci lokalnej którzy
akurat sobie sniffują i z pewnością nie będą nam mieli za złe tego że wysłaliśmy im kilka cennych informacji ;) Kolejnymi słabymi punktami sieci są protokoły poczty! POP3 oraz IMAP - one również przerzucają nasze hasła w nie zaszyfrowanej postaci. To samo tyczy się usług,
piątej warstwy TCP/IP takich ja telnet czy ftp - wysyłają one nasze hasła w jawnej postaci.
2. Sniffer
Sniffery to wyspecjalizowane programy które przełączając naszą sieciówkę na tryb nasłuchiwania ( promiscuous) - przechwytują dane ktore przelatują przez sieć. Często poddają je odpowiednim analizom, dzięki czemu użytkownik dostaje gotowce, w postaci haseł i loginów.
Przykładowo sniffer przechwytuje pakiet zawierający ciąg znaków poprzedzonych oznaczeniem GET lub POST. Oznacza to że ciąg znaków następujących po słowie GET oznacza login, natomiast te po słowie POST - hasło, pochodzących ze stron WWW.
W ten sposób wybiórczo przechwytuje cenne informacje z masy innych przepływających przez sieć.
3. Co w sieci piszczy?
Skoro wiemy już na czym polega praca sniffera, pora na praktyczne zastosowanie opisywanej metody :). Podstawowym, tym samym nie skutecznym w kilku przypadkach - sposobem na podsłuch jest użycie SniffPass'a Pobieramy SniffPass'a z sieci (trochę googlowania nikomu nie zaszkodzi :)) a następnie uruchamiamy, bez konieczności przeprowadzania
instalacji. Z menu Option wybieramy Capture Option a następnie wybieramy interface sieciowy za pomocą którego łączymy się z siecią lokalną (karta sieciowa + skonfigurowane połączenie).Wybieramy OK i kolejno klikamy na zieloną strzałkę Start Capture.
Aby przetestować skuteczność użycia tego sniffera zaloguj się na własną pocztę (przy pomocy protokołu HTTP) a następnie zobacz na wynik nasłuchiwania w oknie SniffPass. Nie wkurzaj się jeśli nic nie wyszło :) Zawsze pozostają inne sposoby. Takowym sposobem może okazać się ARP spoofing.
Technika ta polega na fałszowaniu danych komputera skutkiem czego będzie przekierowanie w jego stronę danych , które normalnie by do niego nie trafiły! Taką metodę wykorzystuje słynny Cain (pobierz)
4. Obsługa Caina
Zasysamy Cain z podanej wcześniej stronki, standardowo wyłączamy naszego AV - nie ma się czego obawiać ze strony Caina (pod warunkiem że zassamy go z podanego wyżej adresu :)). Uruchamiamy instalację oraz według zaleceń instalujemy dodatkową bibliotekę WinPcap. Uruchamiamy okno Caina i z menu wybieramy
Configure. W zakładce Sniffer wybieramy naszą sieciówkę (tą z której korzystamy w połączeniu z siecią lokalną) i klikamy OK. Teraz sprawdzamy czy Cain będzie skuteczny w naszej sieci, w tym celu klikamy na znak karty sieciowej oraz kolejno znaczek radioaktywności znajdujący się tuż obok.
Przechodzimy do zakładki Sniffer oraz do podzakładki (znajdującej się na dole) - Passwords. I teraz naszym oczom ukazuje się lista "słabych punktów sieci" - sami zobaczcie ile ich jest! Popularny ICQ a nawet FTP! Teraz trochę czystej praktyki - jeżeli macie własną stronkę WWW skorzystajcie z jakiegoś klienta FTP (np Total Commander) i połączcie się ze swoim serwerem na którym znajduje się wasze www.
Teraz spójrzcie ponownie na okno Caina - co widać? FTP(1) - gdzie Timestamp to czas przechwycenia, FTP server to adres IP naszego serwera, Client nasz adres IP i oczywiście username oraz password. I w tym momencie zaczynamy sobie zdawać sprawę w jak prosty sposób możemy stracić dostęp do własnej strony!
Jeżeli nie posiadacie własnej stronki - a koniecznie chcecie przetestować skuteczność działania Caina to zalogujcie się na swoją pocztę (podobnie jak w przykładzie ze SniffPas). Nasz login oraz hasło pojawi się oczywiście w grupie HTTP. Po zakończeniu testów sprawdzmy kogo z naszej sieci możemy podsłuchiwać - w tym celu przechodzimy do podzakładki host, naciskamy niebieski znak plusa, kolejno wybieramy z checkbox'ów all test i wybieramy OK.
Po zakończeniu skanowania powinny się nam wyświetlić adresy IP, MAC oraz nazwy hostów naszych znajomych:)
5. Nie daj się wysniffować!
Musimy pamiętać o bardzo ważnej zasadzie - bez większych problemów możemy zostać wytropieni przez adminów sieci. O konsekwencjach chyba mówić nie muszę :)
Jeżeli używamy Caina - może nas wkopać zwykły windosowski PING (art protokoły internetowe). Aby zmniejszyć ryzyko wytropienia - nie pozostawiaj włączonego sniffera (z aktywnym podsłuchem) na pół dnia :). Admini
systematycznie mogą skanować sieć o określonych godzinach. Musimy więc okazać się sprytniejsi.
Postarajmy się też zapobiec sniffowaniu ze strony innych użytkowników. W tym celu korzystajmy z zabezpieczonych protokołów, zamiast HTTP - HTTPS czy zamiast POP3 -POP3S. Ostatnia literka S
oznacza secure - czyli bezpieczeństwo. Wiele serwisów internetowych korzysta z bezpiecznych protokołów sieciowych - co prezentuje nasza przeglądarka www w postaci małej kłódki gdzieś na pasku stanu.
Podczas logowania na pocztę koniecznie zaznaczaj opcję bezpiecznie logowanie standardem SSH. Z łatwością możemy sprawdzić jak to działa - zalogujcie się ponownie na swoją pocztę, pamiętając o zaznaczeniu opcji bezpiecznego logowania. Czy
wasz sniffer przechwycił jakieś dane?? :) Tym razem chyba mu się nie udało...
Jeszcze jeden mały przykład na jakim obszarze naszych działań możemy zostać wytropieni. Pobieramy program Soft Perfect Network Scanner - nie wymaga instalacji, i skanujemy sieć pod kątem naszej konfiguracji z netem (czyli jako zakres nie wpisujemy 192.168.100.100 - 192.168.100.252, tylko przykładowo 10.60 XXXX) Kiedy wyświetli nam się lista
kompów wybieramy któryś z dostępną nazwą hosta. Przechodzimy do okna Caina i widzimy kolejne przechwycone pakiety tym razem z protokołu SMB! Wnioski? Pilnująca sieci admin widzi to co my przed momenten przechwyciliśmy - czyli skan sieci :) W oknie Soft Perfect Network Scanner wybieramy kolejno któryś z kompów i wybierając prawy klawisz myszy rozwijamy menu open computer i kolejno as telnet. Jeśli dobrze
trafimy w oknie telnetu pojawi się prośba o login. Ponownie przechodzimy do okna Caina i widzimy nowe pakiety tym razem pod nazwą Telnet. Oznacza to że praktycznie każdy nasz ruch może byś monitorowany przez innych użytkowników - w tym adminów sieci.
Autorem artukułu jest Michał Słowik. Umieszczanie go lub jego fragmentów w sieci bez zgody autora jest równoznaczne ze złamaniem prawa!
| |
|
|
|
| |
