Mulți utilizatori nu realizează că completând un login și o parolă atunci când se înregistrează sau se conectează la o resursă de Internet închisă și apăsând ENTER, aceste date pot fi ușor interceptate. Foarte des sunt transmise prin rețea într-o formă nesecurizată. Prin urmare, dacă site-ul la care încercați să vă conectați folosește protocolul HTTP, atunci este foarte ușor să captați acest trafic, să îl analizați folosind Wireshark și apoi să utilizați filtre și programe speciale pentru a găsi și decripta parola.
Cel mai bun loc pentru a intercepta parolele este nucleul rețelei, unde traficul tuturor utilizatorilor merge către resurse închise (de exemplu, mail) sau în fața routerului pentru a accesa Internetul, la înregistrarea pe resurse externe. Am instalat o oglindă și suntem gata să ne simțim ca un hacker.
Pasul 1. Instalați și lansați Wireshark pentru a capta traficul
Uneori, pentru a face acest lucru, este suficient să selectăm doar interfața prin care intenționăm să captăm trafic și să facem clic pe butonul Start. În cazul nostru, facem captură printr-o rețea fără fir.
Captarea traficului a început.
Pasul 2. Filtrarea traficului POST capturat
Deschidem browserul și încercăm să ne autentificăm la o resursă folosind un nume de utilizator și o parolă. Odată ce procesul de autorizare este încheiat și site-ul este deschis, nu mai captăm trafic în Wireshark. Apoi, deschideți analizorul de protocol și vedeți număr mare pachete. În acest moment, majoritatea profesioniștilor IT renunță pentru că nu știu ce să facă în continuare. Dar știm și suntem interesați de pachete specifice care conțin date POST care sunt generate pe mașina noastră locală atunci când completăm un formular pe ecran și trimise la server la distanță când faceți clic pe butonul „Autentificare” sau „Autorizare” din browser.
Introducem un filtru special în fereastră pentru a afișa pachetele capturate: http.cerere.metoda == “POST"
Și vedem, în loc de mii de pachete, doar unul cu datele pe care le căutăm.
Pasul 3. Găsiți numele și parola utilizatorului
Faceți rapid clic dreapta și selectați elementul din meniu Urmărește TCP Steam
După aceasta, textul va apărea într-o nouă fereastră care restabilește conținutul paginii în cod. Să găsim câmpurile „parolă” și „utilizator”, care corespund parolei și numelui de utilizator. În unele cazuri, ambele câmpuri vor fi ușor de citit și nici măcar criptate, dar dacă încercăm să captăm trafic atunci când accesăm resurse foarte cunoscute precum Mail.ru, Facebook, Vkontakte etc., atunci parola va fi criptată:
HTTP/1.1 302 găsit
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"
Set-Cookie: parola= ; expiră=Joi, 07-Nov-2024 23:52:21 GMT; cale=/
Locație: loggedin.php
Lungimea conținutului: 0
Conexiune: aproape
Tip de conținut: text/html; set de caractere=UTF-8
Astfel, in cazul nostru:
Nume de utilizator: networkguru
Parolă:
Pasul 4. Determinați tipul de codificare pentru a decripta parola
De exemplu, accesați site-ul web http://www.onlinehashcrack.com/hash-identification.php#res și introduceți parola noastră în fereastra de identificare. Mi s-a dat o listă de protocoale de codificare în ordinea priorității:
Pasul 5. Decriptarea parolei utilizatorului
În această etapă putem folosi utilitarul hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
La ieșire am primit o parolă decriptată: simplepassword
Astfel, cu ajutorul Wireshark, nu putem doar să rezolvăm problemele de funcționare a aplicațiilor și serviciilor, ci și să ne încercăm ca un hacker, interceptând parolele pe care utilizatorii le introduc în formularele web. De asemenea, puteți afla parolele pentru cutii poştale utilizatorii care folosesc filtre simple pentru a afișa:
- Protocolul POP și filtrul arată astfel: pop.request.command == „USER” || pop.request.command == „PASS”
- Protocolul și filtrul IMAP vor fi: imap.request conține „login”
- Protocolul este SMTP și va trebui să introduceți următorul filtru: smtp.req.command == „AUTH”
și utilități mai serioase pentru decriptarea protocolului de codare.
Pasul 6: Ce se întâmplă dacă traficul este criptat și folosește HTTPS?
Există mai multe opțiuni pentru a răspunde la această întrebare.
Opțiunea 1. Conectați-vă când conexiunea dintre utilizator și server este întreruptă și captați traficul în momentul în care se stabilește conexiunea (SSL Handshake). Când se stabilește o conexiune, cheia de sesiune poate fi interceptată.
Opțiunea 2: puteți decripta traficul HTTPS folosind fișierul jurnal cu cheia de sesiune înregistrat de Firefox sau Chrome. Pentru a face acest lucru, browserul trebuie configurat să scrie aceste chei de criptare într-un fișier jurnal (exemplu bazat pe FireFox) și ar trebui să primiți acel fișier jurnal. În esență, trebuie să furați fișierul cheie de sesiune din hard disk alt utilizator (ceea ce este ilegal). Ei bine, atunci captează traficul și folosește cheia rezultată pentru a-l decripta.
Clarificare. Vorbim despre browserul web al unei persoane a cărei parolă încearcă să o fure. Dacă ne referim la decriptarea propriului trafic HTTPS și dorim să exersăm, atunci această strategie va funcționa. Dacă încercați să decriptați traficul HTTPS al altor utilizatori fără acces la computerele lor, acest lucru nu va funcționa - adică atât criptare, cât și confidențialitate.
După ce primiți cheile conform opțiunii 1 sau 2, trebuie să le înregistrați în WireShark:
- Accesați meniul Editare - Preferințe - Protocoale - SSL.
- Setați indicatorul „Reasamblați înregistrările SSL care acoperă mai multe segmente TCP”.
- „Lista de chei RSA” și faceți clic pe Editare.
- Introduceți datele în toate câmpurile și scrieți calea în fișier cu cheia
WireShark poate decripta pachetele care sunt criptate folosind algoritmul RSA. Dacă se folosesc algoritmii DHE/ECDHE, FS, ECC, sniffer-ul nu ne va ajuta.
Opțiunea 3. Obțineți acces la serverul web pe care îl folosește utilizatorul și obțineți cheia. Dar aceasta este o sarcină și mai dificilă. În rețelele corporative, în scopul depanării aplicațiilor sau al filtrarii conținutului, această opțiune este implementată în temeiul legal, dar nu în scopul interceptării parolelor utilizatorilor.
BONUS
VIDEO: Wireshark Packet Sniffing nume de utilizator, parole și pagini web
Utilizatorii de internet sunt atât de nepăsători încât pierderea datelor confidențiale este la fel de ușoară ca decojirea perelor. Publicația 42.tut a realizat un experiment pentru a arăta câte „găuri” sunt în public Rețele Wi-Fi. Concluzia este dezamăgitoare: oricine fără abilități și cunoștințe speciale poate crea un dosar complet despre o persoană care utilizează doar o rețea fără fir deschisă.
Am instalat mai multe aplicații pentru experiment. Ele diferă în funcție de funcționalitate, dar esența lor este aceeași - să colecteze tot ceea ce trece prin rețeaua la care este conectat dispozitivul. Niciunul dintre programe nu se poziţionează drept „piratat”, „hacker” sau ilegal - pot fi descărcate online fără probleme. Experimentul a fost realizat într-un centru comercial cu Wi-Fi gratuit.
Interceptare
Ne conectăm la Wi-Fi: nu există parolă, numele rețelei conține cuvântul „gratuit”. Începem scanarea, unul dintre programe găsește imediat 15 conexiuni la rețea. Pentru toată lumea puteți vedea adresa IP, adresa MAC, pentru unii - numele producătorului dispozitivului: Sony, Samsung, Apple, LG, HTC...
Laptopul „victimă” îl găsim printre dispozitive. Ne conectăm la el - datele care trec prin rețea încep să apară pe ecran. Toate informațiile sunt structurate în timp, există chiar și un vizualizator de date interceptate.
Identificarea utilizatorului
Continuăm să urmărim. Un joc online a început în mod clar pe laptopul partenerului său: comenzile programului sunt trimise în mod constant în rețea, se primesc informații despre situația de pe câmpul de luptă. Poți vedea poreclele adversarilor tăi, nivelurile lor de joc și multe altele.
Un mesaj sosește de la „VKontakte”. Într-una dintre specificațiile detaliate ale mesajelor, constatăm că ID-ul utilizatorului este vizibil în fiecare dintre ele. Dacă îl inserați în browser, se va deschide contul persoanei care a primit mesajul.
„Victima” scrie în acest moment un răspuns la mesaj și clar nu are idee că ne uităm la fotografiile de pe contul lui cu toată puterea. Una dintre aplicațiile rețelelor sociale dă un semnal - putem asculta acest sunet în player.
Parole și mesaje
Fotografiile și sunetele nu sunt tot ceea ce poate fi „transferat” la Wi-Fi-ul disponibil. De exemplu, unul dintre programe are o filă separată pentru a urmări corespondența pe rețelele de socializare și mesagerie instant. Mesajele sunt decriptate și sortate în funcție de momentul trimiterii.
A arăta corespondența altcuiva este dincolo de bine și de rău. Dar funcționează. Ca o ilustrare, iată o parte din dialogul autorului textului, surprins de computerul de urmărire de pe dispozitivul „victimă”.
Un alt program „stochează” separat toate modulele cookie și informațiile despre utilizator, inclusiv parolele. Din fericire, în formă criptată, dar se oferă imediat să instaleze un utilitar care le va decripta.
Concluzii
Aproape orice informație poate fi pierdută prin Wi-Fi. Multe rețele publice nu oferă deloc protecție și, uneori, chiar și o parolă. Aceasta înseamnă că oricine poate intercepta traficul colegilor, prietenilor sau străinilor.
Cea mai sigură cale de ieșire din această situație este una: nu transmite niciunul informatii importante prin intermediul rețelelor publice. De exemplu, nu trimiteți numere de telefon și parole în mesaje și nu plătiți cu un card de plată în afara casei. Riscul de a pierde datele personale este extrem de mare.