Mulți utilizatori nu realizează că completând un login și o parolă atunci când se înregistrează sau se conectează la o resursă de Internet închisă și apăsând ENTER, aceste date pot fi ușor interceptate. Foarte des sunt transmise prin rețea într-o formă nesecurizată. Prin urmare, dacă site-ul la care încercați să vă conectați folosește protocolul HTTP, atunci este foarte ușor să captați acest trafic, să îl analizați folosind Wireshark și apoi să utilizați filtre și programe speciale pentru a găsi și decripta parola.

Cel mai bun loc pentru a intercepta parolele este nucleul rețelei, unde traficul tuturor utilizatorilor merge către resurse închise (de exemplu, mail) sau în fața routerului pentru a accesa Internetul, la înregistrarea pe resurse externe. Am instalat o oglindă și suntem gata să ne simțim ca un hacker.

Pasul 1. Instalați și lansați Wireshark pentru a capta traficul

Uneori, pentru a face acest lucru, este suficient să selectăm doar interfața prin care intenționăm să captăm trafic și să facem clic pe butonul Start. În cazul nostru, facem captură printr-o rețea fără fir.

Captarea traficului a început.

Pasul 2. Filtrarea traficului POST capturat

Deschidem browserul și încercăm să ne autentificăm la o resursă folosind un nume de utilizator și o parolă. Odată ce procesul de autorizare este încheiat și site-ul este deschis, nu mai captăm trafic în Wireshark. Apoi, deschideți analizorul de protocol și vedeți număr mare pachete. În acest moment, majoritatea profesioniștilor IT renunță pentru că nu știu ce să facă în continuare. Dar știm și suntem interesați de pachete specifice care conțin date POST care sunt generate pe mașina noastră locală atunci când completăm un formular pe ecran și trimise la server la distanță când faceți clic pe butonul „Autentificare” sau „Autorizare” din browser.

Introducem un filtru special în fereastră pentru a afișa pachetele capturate: http.cerere.metoda == “POST"

Și vedem, în loc de mii de pachete, doar unul cu datele pe care le căutăm.

Pasul 3. Găsiți numele și parola utilizatorului

Faceți rapid clic dreapta și selectați elementul din meniu Urmărește TCP Steam


După aceasta, textul va apărea într-o nouă fereastră care restabilește conținutul paginii în cod. Să găsim câmpurile „parolă” și „utilizator”, care corespund parolei și numelui de utilizator. În unele cazuri, ambele câmpuri vor fi ușor de citit și nici măcar criptate, dar dacă încercăm să captăm trafic atunci când accesăm resurse foarte cunoscute precum Mail.ru, Facebook, Vkontakte etc., atunci parola va fi criptată:

HTTP/1.1 302 găsit

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"

Set-Cookie: parola= ; expiră=Joi, 07-Nov-2024 23:52:21 GMT; cale=/

Locație: loggedin.php

Lungimea conținutului: 0

Conexiune: aproape

Tip de conținut: text/html; set de caractere=UTF-8

Astfel, in cazul nostru:

Nume de utilizator: networkguru

Parolă:

Pasul 4. Determinați tipul de codificare pentru a decripta parola

De exemplu, accesați site-ul web http://www.onlinehashcrack.com/hash-identification.php#res și introduceți parola noastră în fereastra de identificare. Mi s-a dat o listă de protocoale de codificare în ordinea priorității:

Pasul 5. Decriptarea parolei utilizatorului

În această etapă putem folosi utilitarul hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

La ieșire am primit o parolă decriptată: simplepassword

Astfel, cu ajutorul Wireshark, nu putem doar să rezolvăm problemele de funcționare a aplicațiilor și serviciilor, ci și să ne încercăm ca un hacker, interceptând parolele pe care utilizatorii le introduc în formularele web. De asemenea, puteți afla parolele pentru cutii poştale utilizatorii care folosesc filtre simple pentru a afișa:

  • Protocolul POP și filtrul arată astfel: pop.request.command == „USER” || pop.request.command == „PASS”
  • Protocolul și filtrul IMAP vor fi: imap.request conține „login”
  • Protocolul este SMTP și va trebui să introduceți următorul filtru: smtp.req.command == „AUTH”

și utilități mai serioase pentru decriptarea protocolului de codare.

Pasul 6: Ce se întâmplă dacă traficul este criptat și folosește HTTPS?

Există mai multe opțiuni pentru a răspunde la această întrebare.

Opțiunea 1. Conectați-vă când conexiunea dintre utilizator și server este întreruptă și captați traficul în momentul în care se stabilește conexiunea (SSL Handshake). Când se stabilește o conexiune, cheia de sesiune poate fi interceptată.

Opțiunea 2: puteți decripta traficul HTTPS folosind fișierul jurnal cu cheia de sesiune înregistrat de Firefox sau Chrome. Pentru a face acest lucru, browserul trebuie configurat să scrie aceste chei de criptare într-un fișier jurnal (exemplu bazat pe FireFox) și ar trebui să primiți acel fișier jurnal. În esență, trebuie să furați fișierul cheie de sesiune din hard disk alt utilizator (ceea ce este ilegal). Ei bine, atunci captează traficul și folosește cheia rezultată pentru a-l decripta.

Clarificare. Vorbim despre browserul web al unei persoane a cărei parolă încearcă să o fure. Dacă ne referim la decriptarea propriului trafic HTTPS și dorim să exersăm, atunci această strategie va funcționa. Dacă încercați să decriptați traficul HTTPS al altor utilizatori fără acces la computerele lor, acest lucru nu va funcționa - adică atât criptare, cât și confidențialitate.

După ce primiți cheile conform opțiunii 1 sau 2, trebuie să le înregistrați în WireShark:

  1. Accesați meniul Editare - Preferințe - Protocoale - SSL.
  2. Setați indicatorul „Reasamblați înregistrările SSL care acoperă mai multe segmente TCP”.
  3. „Lista de chei RSA” și faceți clic pe Editare.
  4. Introduceți datele în toate câmpurile și scrieți calea în fișier cu cheia

WireShark poate decripta pachetele care sunt criptate folosind algoritmul RSA. Dacă se folosesc algoritmii DHE/ECDHE, FS, ECC, sniffer-ul nu ne va ajuta.

Opțiunea 3. Obțineți acces la serverul web pe care îl folosește utilizatorul și obțineți cheia. Dar aceasta este o sarcină și mai dificilă. În rețelele corporative, în scopul depanării aplicațiilor sau al filtrarii conținutului, această opțiune este implementată în temeiul legal, dar nu în scopul interceptării parolelor utilizatorilor.

BONUS

VIDEO: Wireshark Packet Sniffing nume de utilizator, parole și pagini web

Metoda este veche, dar eficientă, vom face totul cu interceptator ng.
1. Descărcați programul sniff.su
2. Lansați, selectați rețea, tipul comutatorului Ethernet/WiFi dacă ai Wifi apoi trebuie să selectați pictograma Wifi(în stânga selecției rețelei)

SpoilerTarget">Spoiler

3. Apăsați butonul Modul de scanare(pictogramă radar)
Faceți clic în câmpul gol clic dreapta mouse-ul și faceți clic pe meniul contextual Scanare inteligentă.
Vor fi afișate toate dispozitivele conectate la rețea. Selectați o victimă (puteți selecta pe toată lumea cu tasta apăsată Schimbare), pur și simplu nu marcați routerul în sine, acesta IP de obicei 192.168.1.1
După ce îl selectați, faceți clic dreapta și faceți clic Adaugă la nat

SpoilerTarget">Spoiler

4. Accesați fila Nat
ÎN IP stealth este recomandabil să schimbați ultima cifră cu oricare neocupată, aceasta vă va ascunde realul IP.
Bifați casetele Banda SSLŞi SSL Mitm.(V 0.9.10 faceți clic pe ochiul din pălărie și selectați acolo)

SpoilerTarget">Spoiler

5. Clic Setări(dintele din dreapta).
Pune o bifă Înviere(Acest lucru vă va permite să interceptați parolele și cookie-urile criptate HTTPS protocol) și eliminați Falsificare IP/Mac. Puteți bifa caseta Ucigașul de prăjituri, datorită ei, victima va fi dat afară din pagina curentă, de exemplu retea sociala iar victima va trebui să introducă din nou parola, iar noi o vom intercepta. Comparați setările cu imaginea.

SpoilerTarget">Spoiler

6. Faceți clic pe butonul din partea de sus Începe/oprește adulmecare(triunghi), în aceeași fereastră faceți clic pe pictograma radiației din partea de jos Pornire/Oprire ARP Poison. Să mergem la filă Modul parolăși faceți clic dreapta în fereastră și selectați Afișați cookie-uri(„Acest lucru va permite afișarea cookie-urilor și parolelor introduse de victime”)
Gata, asteptam sa introduca cineva parola. Uneori se întâmplă ca Internetul să nu mai funcționeze, încercați să accesați singur internetul, dacă nu funcționează, reporniți programul.
Am observat că nu este întotdeauna posibilă interceptarea unei parole, dar de fapt funcționează aproape fără eșec.

Interceptor este un instrument de rețea multifuncțional care vă permite să obțineți date din trafic (parole, mesaje de mesagerie instant, corespondență etc.) și să implementați diverse atacuri MiTM.

Interfața programului Intercepter
Funcționalitatea principală

  • Interceptarea mesajelor instant messenger.
  • Interceptarea cookie-urilor și a parolelor.
  • Interceptarea activității (pagini, fișiere, date).
  • Posibilitatea de a falsifica descărcările de fișiere prin adăugarea de fișiere rău intenționate. Poate fi folosit împreună cu alte utilități.
  • Înlocuirea certificatelor Https cu Http.
Moduri de operare
Modul Mesageri– vă permite să verificați corespondența care a fost trimisă în formă necriptată. A fost folosit pentru a intercepta mesaje în mesagerie instantanee precum mesajele ICQ, AIM, JABBER.

Modul de resuscitare– recuperarea datelor utile din trafic, din protocoalele care transmit trafic către formă deschisă. Când o victimă vede fișiere, pagini sau date, acestea pot fi interceptate parțial sau complet. În plus, puteți specifica dimensiunea fișierelor pentru a nu descărca programul în părți mici. Aceste informații pot fi folosite pentru analiză.

Modul parolă– modul de lucru cu cookie-uri. În acest fel, este posibil să obțineți acces la fișierele vizitate de victimă.

Modul de scanare– modul principal de testare. Pentru a începe scanarea, trebuie să faceți clic dreapta pe Smart Scan. După scanare, toți participanții la rețea vor fi afișați în fereastra lor sistem de operareși alți parametri.

În plus, în acest mod puteți scana porturi. Trebuie să utilizați funcția Scan Ports. Desigur, există mult mai multe utilități funcționale pentru aceasta, dar prezența acestei funcții este un punct important.

Dacă suntem interesați de un atac direcționat asupra rețelei, atunci după scanare trebuie să adăugăm IP-ul țintă la Nat folosind comanda (Add to Nat). Într-o altă fereastră va fi posibilă efectuarea altor atacuri.

Modul Nat. Modul principal, care vă permite să efectuați o serie de atacuri prin ARP. Aceasta este fereastra principală care permite atacuri direcționate.

Modul DHCP. Acesta este un mod care vă permite să vă ridicați serverul DHCP pentru a implementa atacuri DHCP la mijloc.

Unele tipuri de atacuri care pot fi efectuate
Falsificarea site-ului

Pentru a falsifica site-ul web al victimei, trebuie să mergeți la țintă, după care trebuie să specificați site-ul și înlocuirea acestuia. În acest fel puteți înlocui destul de multe site-uri. Totul depinde de cât de înaltă calitate este falsul.

Falsificarea site-ului

Exemplu pentru VK.com

Selectarea atacului MiTM

Schimbarea regulii de injectare
Drept urmare, victima deschide un site web fals atunci când solicită vk.com. Și în modul parolă ar trebui să existe login-ul și parola victimei:

Pentru a efectua un atac țintit, trebuie să selectați o victimă din listă și să o adăugați la țintă. Acest lucru se poate face folosind butonul din dreapta al mouse-ului.

Adăugarea atacurilor MiTm
Acum puteți utiliza Modul Ressurection pentru a recupera diferite date din trafic.

Fișiere și informații despre victime prin atacul MiTm
Falsificarea traficului

Specificarea setărilor
După aceasta, cererea victimei se va schimba de la „încredere” la „perdantă”.

În plus, puteți elimina cookie-urile, astfel încât victima să se deconecteze de la toate conturile și să se conecteze din nou. Acest lucru vă va permite să interceptați datele de conectare și parolele.

Distrugerea cookie-urilor

Cum să vezi un potențial sniffer în rețea folosind Intercepter?
Folosind opțiunea Promisc Detection, puteți detecta un dispozitiv care scanează în rețeaua locală. După scanare, coloana de stare va afișa „Sniffer”. Aceasta este prima modalitate de a detecta scanarea într-o rețea locală.

Detectare sniffer
Dispozitiv SDR HackRF


HackRF
SDR este un fel de receptor radio care vă permite să lucrați cu diferiți parametri de frecvență radio. Astfel, este posibil să interceptați semnalul Wi-Fi, GSM, LTE etc.

HackRF este un dispozitiv SDR complet pentru 300 USD. Autorul proiectului, Michael Ossman, dezvoltă dispozitive de succes în această direcție. Snifferul Bluetooth Ubertooth a fost dezvoltat anterior și implementat cu succes. HackRF este un proiect de succes care a strâns peste 600 de mii pe Kickstarter. 500 de astfel de dispozitive au fost deja vândute pentru testare beta.

HackRF operează în intervalul de frecvență de la 30 MHz la 6 GHz. Frecvența de eșantionare este de 20 MHz, ceea ce vă permite să interceptați semnale din rețelele Wi-FI și LTE.

Cum să te protejezi la nivel local?
Mai întâi, să folosim software-ul SoftPerfect WiFi Guard. Mânca versiune portabila, care nu ocupă mai mult de 4 MB. Vă permite să vă scanați rețeaua și să afișați ce dispozitive sunt afișate pe ea. Are setări care vă permit să alegeți placa de reteași numărul maxim de dispozitive scanate. În plus, puteți seta intervalul de scanare.


Interfața programului SoftPerfect WiFi Guard
După scanare, programul trimite notificări câte sunt dispozitive necunoscute. Acest lucru ne permite să adăugăm și să marchem utilizatori de încredere și să observăm dacă cineva s-a conectat și începe să asculte traficul. Notificările vor fi trimise după fiecare interval de scanare. Acest lucru vă permite să dezactivați un anumit escroc de pe router dacă există activități suspecte.


Setările programului SoftPerfect WiFi Guard


Posibilitatea de a adăuga comentarii pentru utilizatori


Fereastra de notificare pentru dispozitivele necunoscute după fiecare interval de scanare specificat

Concluzie
Astfel, am luat în considerare în practică modul de utilizare software pentru a intercepta date în rețea. Am analizat mai multe atacuri specifice care vă permit să obțineți date de conectare, precum și alte informații. În plus, ne-am uitat la SoftPerfect WiFi Guard, care vă permite să vă protejați la un nivel primitiv retea locala de la ascultarea traficului.

Utilizatorii de internet sunt atât de nepăsători încât pierderea datelor confidențiale este la fel de ușoară ca decojirea perelor. Publicația 42.tut a realizat un experiment pentru a arăta câte „găuri” sunt în public Rețele Wi-Fi. Concluzia este dezamăgitoare: oricine fără abilități și cunoștințe speciale poate crea un dosar complet despre o persoană care utilizează doar o rețea fără fir deschisă.

Am instalat mai multe aplicații pentru experiment. Ele diferă în funcție de funcționalitate, dar esența lor este aceeași - să colecteze tot ceea ce trece prin rețeaua la care este conectat dispozitivul. Niciunul dintre programe nu se poziţionează drept „piratat”, „hacker” sau ilegal - pot fi descărcate online fără probleme. Experimentul a fost realizat într-un centru comercial cu Wi-Fi gratuit.

Interceptare

Ne conectăm la Wi-Fi: nu există parolă, numele rețelei conține cuvântul „gratuit”. Începem scanarea, unul dintre programe găsește imediat 15 conexiuni la rețea. Pentru toată lumea puteți vedea adresa IP, adresa MAC, pentru unii - numele producătorului dispozitivului: Sony, Samsung, Apple, LG, HTC...

Laptopul „victimă” îl găsim printre dispozitive. Ne conectăm la el - datele care trec prin rețea încep să apară pe ecran. Toate informațiile sunt structurate în timp, există chiar și un vizualizator de date interceptate.

Identificarea utilizatorului

Continuăm să urmărim. Un joc online a început în mod clar pe laptopul partenerului său: comenzile programului sunt trimise în mod constant în rețea, se primesc informații despre situația de pe câmpul de luptă. Poți vedea poreclele adversarilor tăi, nivelurile lor de joc și multe altele.

Un mesaj sosește de la „VKontakte”. Într-una dintre specificațiile detaliate ale mesajelor, constatăm că ID-ul utilizatorului este vizibil în fiecare dintre ele. Dacă îl inserați în browser, se va deschide contul persoanei care a primit mesajul.

„Victima” scrie în acest moment un răspuns la mesaj și clar nu are idee că ne uităm la fotografiile de pe contul lui cu toată puterea. Una dintre aplicațiile rețelelor sociale dă un semnal - putem asculta acest sunet în player.

Parole și mesaje

Fotografiile și sunetele nu sunt tot ceea ce poate fi „transferat” la Wi-Fi-ul disponibil. De exemplu, unul dintre programe are o filă separată pentru a urmări corespondența pe rețelele de socializare și mesagerie instant. Mesajele sunt decriptate și sortate în funcție de momentul trimiterii.

A arăta corespondența altcuiva este dincolo de bine și de rău. Dar funcționează. Ca o ilustrare, iată o parte din dialogul autorului textului, surprins de computerul de urmărire de pe dispozitivul „victimă”.

Un alt program „stochează” separat toate modulele cookie și informațiile despre utilizator, inclusiv parolele. Din fericire, în formă criptată, dar se oferă imediat să instaleze un utilitar care le va decripta.

Concluzii

Aproape orice informație poate fi pierdută prin Wi-Fi. Multe rețele publice nu oferă deloc protecție și, uneori, chiar și o parolă. Aceasta înseamnă că oricine poate intercepta traficul colegilor, prietenilor sau străinilor.

Cea mai sigură cale de ieșire din această situație este una: nu transmite niciunul informatii importante prin intermediul rețelelor publice. De exemplu, nu trimiteți numere de telefon și parole în mesaje și nu plătiți cu un card de plată în afara casei. Riscul de a pierde datele personale este extrem de mare.