Mnogi korisnici ne shvaćaju da se ovi podaci mogu lako presresti popunjavanjem login i lozinke prilikom registracije ili prijavljivanja na zatvoreni Internet resurs i pritiskom na ENTER. Vrlo često se prenose preko mreže u nezaštićenom obliku. Stoga, ako stranica na koju se pokušavate prijaviti koristi HTTP protokol, tada je vrlo lako uhvatiti ovaj promet, analizirati ga pomoću Wiresharka, a zatim koristiti posebne filtere i programe za pronalaženje i dešifriranje lozinke.
Najbolje mjesto za presretanje lozinki je jezgro mreže, gdje promet svih korisnika odlazi na zatvorene resurse (na primjer, poštu) ili ispred rutera za pristup Internetu, prilikom registracije na vanjskim resursima. Postavili smo ogledalo i spremni smo da se osjećamo kao haker.
Korak 1. Instalirajte i pokrenite Wireshark da biste uhvatili promet
Ponekad je za to dovoljno odabrati samo sučelje kroz koje planiramo hvatati promet i kliknuti na dugme Start. U našem slučaju, snimamo preko bežične mreže.
Započelo je snimanje saobraćaja.
Korak 2. Filtriranje uhvaćenog POST prometa
Otvaramo pretraživač i pokušavamo se prijaviti na neki resurs koristeći korisničko ime i lozinku. Kada se proces autorizacije završi i stranica se otvori, prestajemo hvatati promet u Wiresharku. Zatim otvorite analizator protokola i pogledajte veliki broj paketi. U ovom trenutku većina IT profesionalaca odustaje jer ne znaju šta dalje. Ali znamo i zanimaju nas specifični paketi koji sadrže POST podatke koji se generišu na našem lokalnom računaru prilikom popunjavanja obrasca na ekranu i šalju na udaljeni server kada kliknete na dugme „Prijava“ ili „Ovlašćenje“ u pretraživaču.
U prozor unosimo poseban filter za prikaz uhvaćenih paketa: http.zahtjev.metoda == “POST"
I vidimo, umjesto hiljada paketa, samo jedan sa podacima koje tražimo.
Korak 3. Pronađite korisničko ime i lozinku
Brzo kliknite desnim tasterom miša i izaberite stavku iz menija Pratite TCP Steam
Nakon toga, tekst će se pojaviti u novom prozoru koji vraća sadržaj stranice u kodu. Pronađimo polja “password” i “user” koja odgovaraju lozinki i korisničkom imenu. U nekim slučajevima, oba polja će biti lako čitljiva i čak neće biti šifrirana, ali ako pokušavamo uhvatiti promet prilikom pristupanja vrlo poznatim resursima kao što su Mail.ru, Facebook, Vkontakte, itd., tada će lozinka biti šifrirana:
HTTP/1.1 302 pronađeno
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV NAV OTRo STP IND DEM"
Set-Cookie: lozinka= ; expires=Set, 07-Nov-2024 23:52:21 GMT; put=/
Lokacija: loggedin.php
Dužina sadržaja: 0
Veza: zatvorena
Content-Type: text/html; charset=UTF-8
Dakle, u našem slučaju:
Korisničko ime: networkguru
Lozinka:
Korak 4. Odredite tip kodiranja za dešifriranje lozinke
Na primjer, idite na web stranicu http://www.onlinehashcrack.com/hash-identification.php#res i unesite našu lozinku u prozor za identifikaciju. Dobio sam listu protokola za kodiranje po prioritetu:
Korak 5. Dešifriranje korisničke lozinke
U ovoj fazi možemo koristiti uslužni program hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
Na izlazu smo dobili dešifrovanu lozinku: simplepassword
Dakle, uz pomoć Wiresharka ne samo da možemo riješiti probleme u radu aplikacija i servisa, već se i okušati kao haker, presrećući lozinke koje korisnici unose u web forme. Također možete saznati lozinke za poštanski sandučići korisnici koji koriste jednostavne filtere za prikaz:
- POP protokol i filter izgledaju ovako: pop.request.command == "USER" || pop.request.command == "PROLAZI"
- IMAP protokol i filter će biti: imap.request sadrži "login"
- Protokol je SMTP i morat ćete unijeti sljedeći filter: smtp.req.command == "AUTH"
i ozbiljnije uslužne programe za dešifriranje protokola kodiranja.
Korak 6: Što ako je promet šifriran i koristi HTTPS?
Postoji nekoliko opcija za odgovor na ovo pitanje.
Opcija 1. Povežite se kada je veza između korisnika i servera prekinuta i uhvatite promet u trenutku uspostavljanja veze (SSL Handshake). Kada se veza uspostavi, ključ sesije može biti presretnut.
Opcija 2: HTTPS promet možete dešifrirati pomoću datoteke evidencije ključa sesije koju je snimio Firefox ili Chrome. Da biste to uradili, pretraživač mora biti konfigurisan da upiše ove ključeve za šifrovanje u datoteku evidencije (primer zasnovan na FireFox-u) i trebalo bi da primite tu datoteku evidencije. U suštini, morate ukrasti datoteku ključa sesije hard disk drugog korisnika (što je nezakonito). Pa, onda uhvatite promet i upotrijebite rezultirajući ključ da ga dešifrujete.
Pojašnjenje. Govorimo o web pretraživaču osobe čiju lozinku pokušavaju ukrasti. Ako mislimo na dešifriranje vlastitog HTTPS prometa i želimo vježbati, onda će ova strategija funkcionirati. Ako pokušavate dešifrirati HTTPS promet drugih korisnika bez pristupa njihovim računarima, to neće uspjeti – to je i šifriranje i privatnost.
Nakon što dobijete ključeve prema opciji 1 ili 2, potrebno ih je registrovati u WireSharku:
- Idite na meni Uredi - Preference - Protokoli - SSL.
- Postavite zastavicu „Ponovo sastavite SSL zapise koji obuhvataju više TCP segmenata“.
- “Lista RSA ključeva” i kliknite na Uredi.
- Unesite podatke u sva polja i upišite putanju u datoteku pomoću ključa
WireShark može dešifrirati pakete koji su šifrirani pomoću RSA algoritma. Ako se koriste DHE/ECDHE, FS, ECC algoritmi, sniffer nam neće pomoći.
Opcija 3. Dobiti pristup web serveru koji korisnik koristi i dobiti ključ. Ali ovo je još teži zadatak. U korporativnim mrežama, u svrhu otklanjanja grešaka u aplikacijama ili filtriranja sadržaja, ova opcija je implementirana na zakonskoj osnovi, ali ne u svrhu presretanja korisničkih lozinki.
BONUS
VIDEO: Wireshark njuškanje paketa korisničkih imena, lozinki i web stranica
Korisnici interneta su toliko neoprezni da je gubitak povjerljivih podataka lak kao ljuštenje krušaka. Publikacija 42.tut sprovela je eksperiment kako bi pokazala koliko "rupa" ima u javnosti Wi-Fi mreže. Zaključak je razočaravajući: svako bez posebnih vještina i znanja može napraviti kompletan dosije o osobi koja koristi samo otvorenu bežičnu mrežu.
Instalirali smo nekoliko aplikacija za eksperiment. Razlikuju se po funkcionalnosti, ali njihova suština je ista - prikupiti sve što prolazi kroz mrežu na koju je uređaj povezan. Nijedan od programa se ne pozicionira kao „piratski“, „hakerski“ ili ilegalan – bez problema se mogu preuzeti na mreži. Eksperiment je proveden u trgovačkom centru s besplatnim bežičnim internetom.
Presretanje
Povezujemo se na Wi-Fi: nema lozinke, naziv mreže sadrži riječ „besplatno“. Počinjemo skenirati, jedan od programa odmah pronalazi 15 veza na mrežu. Za sve možete vidjeti IP adresu, MAC adresu, za neke - naziv proizvođača uređaja: Sony, Samsung, Apple, LG, HTC...
Među uređajima nalazimo laptop “žrtvu”. Povezujemo se s njim - podaci koji prolaze kroz mrežu počinju se pojavljivati na ekranu. Sve informacije su strukturirane po vremenu; postoji čak i ugrađeni preglednik presretnutih podataka.
Identifikacija korisnika
Nastavljamo da gledamo. Na laptopu njegovog partnera očito je počela online igra: programske komande se stalno šalju u mrežu, primaju se informacije o situaciji na bojnom polju. Možete vidjeti nadimke svojih protivnika, njihove nivoe igre i još mnogo toga.
Stiže poruka od "VKontakte". U jednoj od detaljnih specifikacija poruke nalazimo da je korisnički ID vidljiv u svakoj od njih. Ako je zalijepite u pretraživač, otvorit će se račun osobe koja je primila poruku.
“Žrtva” u ovom trenutku piše odgovor na poruku i očigledno nema pojma da iz sve snage buljimo u fotografije na njegovom nalogu. Jedna od aplikacija društvenih mreža daje signal - ovaj zvuk možemo slušati u plejeru.
Lozinke i poruke
Fotografije i zvukovi nisu sve što se može "prenijeti" na dostupnu Wi-Fi mrežu. Na primjer, jedan od programa ima zasebnu karticu za praćenje dopisivanja na društvenim mrežama i instant messengerima. Poruke se dešifruju i sortiraju po vremenu slanja.
Pokazivanje tuđe prepiske je izvan dobra i zla. Ali radi. Ilustracije radi, evo dijela dijaloga autora teksta, uhvaćenog kompjuterom za praćenje sa uređaja “žrtve”.
Drugi program posebno "pohranjuje" sve kolačiće i korisničke informacije, uključujući lozinke. Srećom, u šifriranom obliku, ali odmah nudi instaliranje uslužnog programa koji će ih dešifrirati.
Zaključci
Gotovo sve informacije mogu se izgubiti preko Wi-Fi mreže. Mnoge javne mreže ne pružaju nikakvu zaštitu, a ponekad čak ni lozinku. To znači da svako može presresti saobraćaj kolega, prijatelja ili stranaca.
Najpouzdaniji izlaz iz ove situacije je jedan: nemojte prenositi važne informacije putem javnih mreža. Na primjer, nemojte slati brojeve telefona i lozinke u porukama i ne plaćajte platnom karticom izvan kuće. Rizik od gubitka ličnih podataka je izuzetno visok.