Mnohí používatelia si neuvedomujú, že vyplnením prihlasovacieho mena a hesla pri registrácii alebo prihlásení sa do uzavretého internetového zdroja a stlačením ENTER môžu byť tieto údaje ľahko zachytené. Veľmi často sa prenášajú cez sieť v nezabezpečenej forme. Ak teda stránka, na ktorú sa pokúšate prihlásiť, používa protokol HTTP, potom je veľmi jednoduché zachytiť tento prenos, analyzovať ho pomocou Wireshark a potom pomocou špeciálnych filtrov a programov nájsť a dešifrovať heslo.

Najlepším miestom na zachytenie hesiel je jadro siete, kde prevádzka všetkých používateľov smeruje na uzavreté zdroje (napríklad pošta) alebo pred smerovač na prístup na internet pri registrácii na externých zdrojoch. Nastavíme zrkadlo a sme pripravení cítiť sa ako hacker.

Krok 1. Nainštalujte a spustite Wireshark na zachytenie premávky

Niekedy na to stačí vybrať iba rozhranie, cez ktoré plánujeme zachytávať návštevnosť, a kliknúť na tlačidlo Štart. V našom prípade snímame cez bezdrôtovú sieť.

Začalo sa zachytávanie dopravy.

Krok 2. Filtrovanie zachytenej návštevnosti POST

Otvoríme prehliadač a pokúsime sa prihlásiť do nejakého zdroja pomocou používateľského mena a hesla. Po dokončení procesu autorizácie a otvorení stránky prestaneme zachytávať návštevnosť vo Wiresharku. Potom otvorte analyzátor protokolov a pozrite sa veľké množstvo balíkov. Tu to väčšina IT profesionálov vzdáva, pretože nevedia ako ďalej. Vieme však a zaujímame sa o konkrétne balíky, ktoré obsahujú POST dáta, ktoré sa vygenerujú na našom lokálnom počítači pri vypĺňaní formulára na obrazovke a odosielajú sa na vzdialený server keď v prehliadači kliknete na tlačidlo „Prihlásiť sa“ alebo „Autorizácia“.

Do okna zadáme špeciálny filter na zobrazenie zachytených paketov: http.žiadosť.metóda == “Zverejniť"

A namiesto tisícok balíkov vidíme len jeden s údajmi, ktoré hľadáme.

Krok 3. Nájdite prihlasovacie meno a heslo používateľa

Rýchlo kliknite pravým tlačidlom myši a vyberte položku z ponuky Sledujte TCP Steam


Potom sa v novom okne objaví text, ktorý obnoví obsah stránky v kóde. Nájdite polia „heslo“ a „používateľ“, ktoré zodpovedajú heslu a používateľskému menu. V niektorých prípadoch budú obe polia ľahko čitateľné a dokonca nebudú šifrované, ale ak sa snažíme zachytiť prenos pri prístupe k veľmi známym zdrojom, ako sú Mail.ru, Facebook, Vkontakte atď., Heslo bude zašifrované:

HTTP/1.1 302 Nájdených

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV NAŠE OTRO STP IND DEM"

Set-Cookie: password= ; expiruje=Št, 07-Nov-2024 23:52:21 GMT; cesta=/

Miesto: login.php

Obsah - dĺžka: 0

Pripojenie: zatvorte

Content-Type: text/html; znaková sada=UTF-8

Takže v našom prípade:

Používateľské meno: networkguru

heslo:

Krok 4. Určite typ kódovania na dešifrovanie hesla

Prejdite napríklad na webovú stránku http://www.onlinehashcrack.com/hash-identification.php#res a do okna identifikácie zadajte naše heslo. Dostal som zoznam kódovacích protokolov v poradí podľa priority:

Krok 5. Dešifrovanie hesla používateľa

V tejto fáze môžeme použiť nástroj hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na výstupe sme dostali dešifrované heslo: simplepassword

S pomocou Wireshark teda môžeme nielen riešiť problémy s prevádzkou aplikácií a služieb, ale tiež sa vyskúšať ako hacker, zachytávajúci heslá, ktoré používatelia zadávajú do webových formulárov. Môžete tiež zistiť heslá pre poštových schránok používatelia používajúci jednoduché filtre na zobrazenie:

  • Protokol a filter POP vyzerá takto: pop.request.command == "USER" || pop.request.command == "PASS"
  • Protokol a filter IMAP budú: imap.request obsahuje "login"
  • Protokol je SMTP a budete musieť zadať nasledujúci filter: smtp.req.command == "AUTH"

a serióznejšie nástroje na dešifrovanie kódovacieho protokolu.

Krok 6: Čo ak je prenos šifrovaný a používa HTTPS?

Existuje niekoľko možností, ako odpovedať na túto otázku.

Možnosť 1. Pripojte sa, keď je spojenie medzi používateľom a serverom prerušené, a zachyťte prevádzku v momente nadviazania spojenia (SSL Handshake). Keď sa vytvorí spojenie, kľúč relácie môže byť zachytený.

Možnosť 2: Prevádzku HTTPS môžete dešifrovať pomocou súboru denníka kľúča relácie zaznamenaného prehliadačom Firefox alebo Chrome. Ak to chcete urobiť, prehliadač musí byť nakonfigurovaný na zapisovanie týchto šifrovacích kľúčov do súboru denníka (príklad založený na FireFox) a tento súbor denníka by ste mali dostať. V podstate musíte ukradnúť súbor kľúča relácie pevný disk iného používateľa (čo je nezákonné). Potom zachyťte prenos a použite výsledný kľúč na jeho dešifrovanie.

Objasnenie. Hovoríme o webovom prehliadači osoby, ktorej heslo sa snažia ukradnúť. Ak máme na mysli dešifrovanie našej vlastnej HTTPS prevádzky a chceme si to precvičiť, tak táto stratégia bude fungovať. Ak sa pokúšate dešifrovať prenos HTTPS iných používateľov bez prístupu k ich počítačom, nebude to fungovať – ide o šifrovanie aj súkromie.

Po prijatí kľúčov podľa možnosti 1 alebo 2 ich musíte zaregistrovať vo WireShark:

  1. Prejdite do ponuky Upraviť - Predvoľby - Protokoly - SSL.
  2. Nastavte príznak „Znova zostaviť záznamy SSL zahŕňajúce viacero segmentov TCP“.
  3. „Zoznam kľúčov RSA“ a kliknite na Upraviť.
  4. Zadajte údaje do všetkých polí a napíšte cestu do súboru pomocou kľúča

WireShark dokáže dešifrovať pakety, ktoré sú šifrované pomocou algoritmu RSA. Ak sa použijú algoritmy DHE/ECDHE, FS, ECC, sniffer nám nepomôže.

Možnosť 3. Získajte prístup k webovému serveru, ktorý používateľ používa, a získajte kľúč. Ale toto je ešte ťažšia úloha. V podnikových sieťach je na účely ladenia aplikácií alebo filtrovania obsahu táto možnosť implementovaná na právnom základe, nie však za účelom zachytávania používateľských hesiel.

BONUS

VIDEO: Wireshark Packet Sniffing užívateľských mien, hesiel a webových stránok

Metóda je stará, ale účinná, urobíme s ňou všetko zachytávač ng.
1. Stiahnite si program sniff.su
2. Spustite, vyberte sieť, typ prepínača Ethernet/WiFi ak máte WiFi potom musíte vybrať ikonu WiFi(naľavo od výberu siete)

SpoilerTarget">Spoiler

3. Stlačte tlačidlo Režim skenovania(ikona radaru)
Kliknite do prázdneho poľa kliknite pravým tlačidlom myši myšou a kliknutím kontextové menu Inteligentné skenovanie.
Zobrazia sa všetky zariadenia pripojené k sieti. Vyberte obeť (stlačením klávesu môžete vybrať všetkých Shift), jednoducho neoznačujte samotný smerovač, to IP zvyčajne 192.168.1.1
Po výbere kliknite pravým tlačidlom myši a kliknite Pridať do nat

SpoilerTarget">Spoiler

4. Prejdite na kartu Nat
IN Stealth ip je vhodné zmeniť poslednú číslicu na ľubovoľnú neobsadenú, skryje sa tým váš skutočný IP.
Začiarknite políčka Pás SSL A SSL Mitm.(V 0.9.10 kliknite na oko v klobúku a vyberte tam)

SpoilerTarget">Spoiler

5. Kliknite Nastavenia(prevodové stupne vpravo).
Začiarknite Vzkriesenie(To vám umožní zachytiť heslá a šifrované súbory cookie HTTPS protokol) a odstráňte Spoof IP/Mac. Môžete zaškrtnúť políčko Cookie Killer, obeť bude vďaka nej vyhodená napríklad z aktuálnej stránky sociálnej sieti a obeť bude musieť znova zadať heslo a my ho zachytíme. Porovnajte nastavenia s obrázkom.

SpoilerTarget">Spoiler

6. Kliknite na tlačidlo v hornej časti Spustenie/zastavenie čuchania(trojuholník), v tom istom okne kliknite na ikonu žiarenia v spodnej časti Štart/Stop ARP Poison. Poďme na kartu Režim hesla a kliknite pravým tlačidlom myši v okne a vyberte Zobraziť súbory cookie(„Umožní to zobrazenie súborov cookie a hesiel zadaných obeťami.“)
To je všetko, čakáme, kým niekto zadá heslo. Niekedy sa stane, že internet prestane fungovať, skúste sa sami pokúsiť o prístup na internet, ak to nefunguje, reštartujte program.
Všimol som si, že nie vždy je možné zachytiť heslo, ale v skutočnosti to funguje takmer bez zlyhania.

Interceptor je multifunkčný sieťový nástroj, ktorý umožňuje získavať dáta z prevádzky (heslá, správy instant messenger, korešpondenciu atď.) a realizovať rôzne MiTM útoky.

Rozhranie programu Intercepter
Hlavná funkčnosť

  • Zachytenie správ okamžitých správ.
  • Zachytenie cookies a hesiel.
  • Zachytenie aktivity (stránky, súbory, dáta).
  • Schopnosť sfalšovať sťahovanie súborov pridaním škodlivých súborov. Môže byť použitý v spojení s inými utilitami.
  • Nahradenie Https certifikátov Http.
Prevádzkové režimy
Režim Messenger– umožňuje kontrolovať korešpondenciu odoslanú v nezašifrovanej forme. Používal sa na zachytávanie správ v takých instant messengeroch ako sú ICQ, AIM, JABBER správy.

Režim oživenia– obnova užitočných údajov z prevádzky, z protokolov, na ktoré sa prevádzka prenáša otvorený formulár. Keď si obeť prezerá súbory, stránky, údaje, môžu byť čiastočne alebo úplne zachytené. Okrem toho môžete určiť veľkosť súborov, aby sa program nesťahoval po malých častiach. Tieto informácie je možné použiť na analýzu.

Režim hesla– režim pre prácu s cookies. Týmto spôsobom je možné získať prístup k navštíveným súborom obete.

Režim skenovania– hlavný režim pre testovanie. Ak chcete spustiť skenovanie, musíte kliknúť pravým tlačidlom myši na Smart Scan. Po skenovaní sa v okne zobrazia všetci účastníci siete, ich operačný systém a ďalšie parametre.

Okrem toho v tomto režime môžete skenovať porty. Musíte použiť funkciu Scan Ports. Samozrejme, že na to existuje oveľa viac funkčných nástrojov, ale prítomnosť tejto funkcie je dôležitým bodom.

Ak máme záujem o cielený útok na sieť, tak po naskenovaní potrebujeme pridať cieľovú IP do Nat pomocou príkazu (Add to Nat). V inom okne bude možné vykonať ďalšie útoky.

Režim Nat. Hlavný režim, ktorý vám umožňuje vykonávať množstvo útokov cez ARP. Toto je hlavné okno, ktoré umožňuje cielené útoky.

DHCP režim. Toto je režim, ktorý vám umožňuje zvýšiť váš DHCP server na implementáciu DHCP útokov uprostred.

Niektoré typy útokov, ktoré je možné vykonať
Spoofing stránok

Ak chcete sfalšovať webovú stránku obete, musíte prejsť na Target, potom musíte špecifikovať stránku a jej náhradu. Týmto spôsobom môžete nahradiť pomerne veľa stránok. Všetko závisí od toho, ako kvalitný je falošný.

Spoofing stránok

Príklad pre VK.com

Výber útoku MiTM

Zmena pravidla vstrekovania
Výsledkom je, že obeť pri žiadosti o vk.com otvorí falošnú webovú stránku. A v režime hesla by malo byť prihlasovacie meno a heslo obete:

Ak chcete vykonať cielený útok, musíte si zo zoznamu vybrať obeť a pridať ju do cieľa. To je možné vykonať pomocou pravého tlačidla myši.

Pridanie útokov MiTm
Teraz môžete použiť režim oživenia na obnovenie rôznych údajov z prevádzky.

Súbory a informácie obetí prostredníctvom útoku MiTm
Spoofing dopravy

Špecifikovanie nastavení
Potom sa žiadosť obete zmení z „dôvery“ na „porazeného“.

Okrem toho môžete zabiť súbory cookie, aby sa obeť odhlásila zo všetkých účtov a znova sa prihlásila. To vám umožní zachytiť prihlasovacie údaje a heslá.

Ničenie cookies

Ako vidieť potenciálneho sniffera v sieti pomocou Intercepter?
Pomocou možnosti Promisc Detection môžete zistiť zariadenie, ktoré skenuje v lokálnej sieti. Po skenovaní sa v stĺpci stavu zobrazí „Sniffer“. Toto je prvý spôsob, ako zistiť skenovanie v lokálnej sieti.

Detekcia snifferov
Zariadenie SDR HackRF


HackRF
SDR je druh rádiového prijímača, ktorý vám umožňuje pracovať s rôznymi parametrami rádiovej frekvencie. Takto je možné zachytiť signál Wi-Fi, GSM, LTE atď.

HackRF je plnohodnotné zariadenie SDR za 300 dolárov. Autor projektu Michael Ossman v tomto smere vyvíja úspešné zariadenia. Sniffer Ubertooth Bluetooth bol už predtým vyvinutý a úspešne implementovaný. HackRF je úspešný projekt, ktorý na Kickstarteri vyzbieral viac ako 600-tisíc. Na beta testovanie sa už predalo 500 takýchto zariadení.

HackRF pracuje vo frekvenčnom rozsahu od 30 MHz do 6 GHz. Vzorkovacia frekvencia je 20 MHz, čo umožňuje zachytávať signály z Wi-FI a LTE sietí.

Ako sa chrániť na miestnej úrovni?
Najprv použijeme softvér SoftPerfect WiFi Guard. Jedzte prenosná verzia, ktorý nezaberá viac ako 4 MB. Umožňuje vám skenovať vašu sieť a zobraziť, aké zariadenia sú na nej zobrazené. Má nastavenia, ktoré vám umožňujú vybrať si sieťová karta a maximálny počet naskenovaných zariadení. Okrem toho môžete nastaviť interval skenovania.


Rozhranie programu SoftPerfect WiFi Guard
Po skenovaní program odošle toľko upozornení, koľko ich je neznáme zariadenia. To nám umožňuje pridávať a označovať dôveryhodných používateľov a všímať si, či sa niekto pripojil a začal počúvať prevádzku. Upozornenia sa budú odosielať po každom intervale skenovania. To vám umožní zakázať konkrétneho podvodníka na smerovači, ak sa vyskytnú podozrivé aktivity.


Nastavenia programu SoftPerfect WiFi Guard


Možnosť pridávať komentáre pre používateľov


Okno upozornení na neznáme zariadenia po každom zadanom intervale skenovania

Záver
Preto sme v praxi zvážili, ako používať softvér na zachytenie údajov v sieti. Pozreli sme sa na niekoľko konkrétnych útokov, ktoré umožňujú získať prihlasovacie údaje, ale aj ďalšie informácie. Okrem toho sme sa pozreli na SoftPerfect WiFi Guard, ktorý vám umožňuje chrániť na primitívnej úrovni lokálna sieť od počúvania premávky.

Používatelia internetu sú takí neopatrní, že strata dôverných údajov je taká jednoduchá ako lúskanie hrušiek. Publikácia 42.tut uskutočnila experiment, aby ukázala, koľko „dier“ je na verejnosti Wi-Fi siete. Záver je sklamaním: ktokoľvek bez špeciálnych zručností a znalostí môže vytvoriť kompletnú dokumentáciu o osobe, ktorá používa iba otvorenú bezdrôtovú sieť.

Pre experiment sme nainštalovali niekoľko aplikácií. Líšia sa funkčnosťou, ale ich podstata je rovnaká - zbierať všetko, čo prechádza sieťou, ku ktorej je zariadenie pripojené. Žiadny z programov sa nepovažuje za „pirátsky“, „hackerský“ alebo nelegálny – dajú sa bez problémov stiahnuť online. Experiment sa uskutočnil v nákupnom centre s bezplatným Wi-Fi.

Odpočúvanie

Pripájame sa k sieti Wi-Fi: neexistuje žiadne heslo, názov siete obsahuje slovo „zadarmo“. Začneme skenovať, jeden z programov okamžite nájde 15 pripojení k sieti. Pre každého vidíte IP adresu, MAC adresu, pre niekoho názov výrobcu zariadenia: Sony, Samsung, Apple, LG, HTC...

Medzi zariadeniami nájdeme notebook „obete“. Pripojíme sa k nemu – na obrazovke sa začnú objavovať údaje, ktoré prechádzajú sieťou. Všetky informácie sú štruktúrované podľa času, dokonca je tu zabudovaný aj prehliadač zachytených dát.

Identifikácia užívateľa

Pokračujeme v sledovaní. Na notebooku jeho partnera sa očividne začala online hra: programové príkazy sa neustále odosielajú do siete, prijímajú sa informácie o situácii na bojisku. Môžete vidieť prezývky svojich protivníkov, ich herné úrovne a oveľa viac.

Prichádza správa z „VKontakte“. V jednej z podrobných špecifikácií správ zistíme, že ID používateľa je viditeľné v každej z nich. Ak ju vložíte do prehliadača, otvorí sa účet osoby, ktorá správu dostala.

„Obeť“ práve píše odpoveď na správu a zjavne netuší, že z celej sily hľadíme na fotografie na jeho účte. Jedna z aplikácií sociálnej siete dáva signál – tento zvuk môžeme počúvať v prehrávači.

Heslá a správy

Fotografie a zvuky nie sú všetko, čo sa dá „preniesť“ na dostupné Wi-Fi. Napríklad jeden z programov má samostatnú kartu na sledovanie korešpondencie na sociálnych sieťach a instant messengeroch. Správy sú dešifrované a triedené podľa času odoslania.

Ukazovať korešpondenciu niekoho iného je nad rámec dobra a zla. Ale funguje to. Pre ilustráciu uvádzame časť dialógu autora textu, zachytenú sledovacím počítačom zo zariadenia „obeť“.

Iný program samostatne „ukladá“ všetky súbory cookie a informácie o používateľovi vrátane hesiel. Našťastie v zašifrovanej podobe, no hneď ponúkne inštaláciu utility, ktorá ich dešifruje.

Závery

Cez Wi-Fi sa môžu stratiť takmer všetky informácie. Mnohé verejné siete neposkytujú vôbec žiadnu ochranu a niekedy dokonca ani heslo. To znamená, že ktokoľvek môže zachytiť premávku kolegov, priateľov alebo neznámych ľudí.

Najspoľahlivejšia cesta z tejto situácie je jedna: neprenášajte žiadne dôležité informácie cez verejné siete. Neposielajte si napríklad telefónne čísla a heslá v správach a neplaťte platobnou kartou mimo domova. Riziko straty osobných údajov je extrémne vysoké.