Mnohí používatelia si neuvedomujú, že vyplnením prihlasovacieho mena a hesla pri registrácii alebo prihlásení sa do uzavretého internetového zdroja a stlačením ENTER môžu byť tieto údaje ľahko zachytené. Veľmi často sa prenášajú cez sieť v nezabezpečenej forme. Ak teda stránka, na ktorú sa pokúšate prihlásiť, používa protokol HTTP, potom je veľmi jednoduché zachytiť tento prenos, analyzovať ho pomocou Wireshark a potom pomocou špeciálnych filtrov a programov nájsť a dešifrovať heslo.
Najlepším miestom na zachytenie hesiel je jadro siete, kde prevádzka všetkých používateľov smeruje na uzavreté zdroje (napríklad pošta) alebo pred smerovač na prístup na internet pri registrácii na externých zdrojoch. Nastavíme zrkadlo a sme pripravení cítiť sa ako hacker.
Krok 1. Nainštalujte a spustite Wireshark na zachytenie premávky
Niekedy na to stačí vybrať iba rozhranie, cez ktoré plánujeme zachytávať návštevnosť, a kliknúť na tlačidlo Štart. V našom prípade snímame cez bezdrôtovú sieť.
Začalo sa zachytávanie dopravy.
Krok 2. Filtrovanie zachytenej návštevnosti POST
Otvoríme prehliadač a pokúsime sa prihlásiť do nejakého zdroja pomocou používateľského mena a hesla. Po dokončení procesu autorizácie a otvorení stránky prestaneme zachytávať návštevnosť vo Wiresharku. Potom otvorte analyzátor protokolov a pozrite sa veľké množstvo balíkov. Tu to väčšina IT profesionálov vzdáva, pretože nevedia ako ďalej. Vieme však a zaujímame sa o konkrétne balíky, ktoré obsahujú POST dáta, ktoré sa vygenerujú na našom lokálnom počítači pri vypĺňaní formulára na obrazovke a odosielajú sa na vzdialený server keď v prehliadači kliknete na tlačidlo „Prihlásiť sa“ alebo „Autorizácia“.
Do okna zadáme špeciálny filter na zobrazenie zachytených paketov: http.žiadosť.metóda == “Zverejniť"
A namiesto tisícok balíkov vidíme len jeden s údajmi, ktoré hľadáme.
Krok 3. Nájdite prihlasovacie meno a heslo používateľa
Rýchlo kliknite pravým tlačidlom myši a vyberte položku z ponuky Sledujte TCP Steam
Potom sa v novom okne objaví text, ktorý obnoví obsah stránky v kóde. Nájdite polia „heslo“ a „používateľ“, ktoré zodpovedajú heslu a používateľskému menu. V niektorých prípadoch budú obe polia ľahko čitateľné a dokonca nebudú šifrované, ale ak sa snažíme zachytiť prenos pri prístupe k veľmi známym zdrojom, ako sú Mail.ru, Facebook, Vkontakte atď., Heslo bude zašifrované:
HTTP/1.1 302 Nájdených
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV NAŠE OTRO STP IND DEM"
Set-Cookie: password= ; expiruje=Št, 07-Nov-2024 23:52:21 GMT; cesta=/
Miesto: login.php
Obsah - dĺžka: 0
Pripojenie: zatvorte
Content-Type: text/html; znaková sada=UTF-8
Takže v našom prípade:
Používateľské meno: networkguru
heslo:
Krok 4. Určite typ kódovania na dešifrovanie hesla
Prejdite napríklad na webovú stránku http://www.onlinehashcrack.com/hash-identification.php#res a do okna identifikácie zadajte naše heslo. Dostal som zoznam kódovacích protokolov v poradí podľa priority:
Krok 5. Dešifrovanie hesla používateľa
V tejto fáze môžeme použiť nástroj hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
Na výstupe sme dostali dešifrované heslo: simplepassword
S pomocou Wireshark teda môžeme nielen riešiť problémy s prevádzkou aplikácií a služieb, ale tiež sa vyskúšať ako hacker, zachytávajúci heslá, ktoré používatelia zadávajú do webových formulárov. Môžete tiež zistiť heslá pre poštových schránok používatelia používajúci jednoduché filtre na zobrazenie:
- Protokol a filter POP vyzerá takto: pop.request.command == "USER" || pop.request.command == "PASS"
- Protokol a filter IMAP budú: imap.request obsahuje "login"
- Protokol je SMTP a budete musieť zadať nasledujúci filter: smtp.req.command == "AUTH"
a serióznejšie nástroje na dešifrovanie kódovacieho protokolu.
Krok 6: Čo ak je prenos šifrovaný a používa HTTPS?
Existuje niekoľko možností, ako odpovedať na túto otázku.
Možnosť 1. Pripojte sa, keď je spojenie medzi používateľom a serverom prerušené, a zachyťte prevádzku v momente nadviazania spojenia (SSL Handshake). Keď sa vytvorí spojenie, kľúč relácie môže byť zachytený.
Možnosť 2: Prevádzku HTTPS môžete dešifrovať pomocou súboru denníka kľúča relácie zaznamenaného prehliadačom Firefox alebo Chrome. Ak to chcete urobiť, prehliadač musí byť nakonfigurovaný na zapisovanie týchto šifrovacích kľúčov do súboru denníka (príklad založený na FireFox) a tento súbor denníka by ste mali dostať. V podstate musíte ukradnúť súbor kľúča relácie pevný disk iného používateľa (čo je nezákonné). Potom zachyťte prenos a použite výsledný kľúč na jeho dešifrovanie.
Objasnenie. Hovoríme o webovom prehliadači osoby, ktorej heslo sa snažia ukradnúť. Ak máme na mysli dešifrovanie našej vlastnej HTTPS prevádzky a chceme si to precvičiť, tak táto stratégia bude fungovať. Ak sa pokúšate dešifrovať prenos HTTPS iných používateľov bez prístupu k ich počítačom, nebude to fungovať – ide o šifrovanie aj súkromie.
Po prijatí kľúčov podľa možnosti 1 alebo 2 ich musíte zaregistrovať vo WireShark:
- Prejdite do ponuky Upraviť - Predvoľby - Protokoly - SSL.
- Nastavte príznak „Znova zostaviť záznamy SSL zahŕňajúce viacero segmentov TCP“.
- „Zoznam kľúčov RSA“ a kliknite na Upraviť.
- Zadajte údaje do všetkých polí a napíšte cestu do súboru pomocou kľúča
WireShark dokáže dešifrovať pakety, ktoré sú šifrované pomocou algoritmu RSA. Ak sa použijú algoritmy DHE/ECDHE, FS, ECC, sniffer nám nepomôže.
Možnosť 3. Získajte prístup k webovému serveru, ktorý používateľ používa, a získajte kľúč. Ale toto je ešte ťažšia úloha. V podnikových sieťach je na účely ladenia aplikácií alebo filtrovania obsahu táto možnosť implementovaná na právnom základe, nie však za účelom zachytávania používateľských hesiel.
BONUS
VIDEO: Wireshark Packet Sniffing užívateľských mien, hesiel a webových stránok
Používatelia internetu sú takí neopatrní, že strata dôverných údajov je taká jednoduchá ako lúskanie hrušiek. Publikácia 42.tut uskutočnila experiment, aby ukázala, koľko „dier“ je na verejnosti Wi-Fi siete. Záver je sklamaním: ktokoľvek bez špeciálnych zručností a znalostí môže vytvoriť kompletnú dokumentáciu o osobe, ktorá používa iba otvorenú bezdrôtovú sieť.
Pre experiment sme nainštalovali niekoľko aplikácií. Líšia sa funkčnosťou, ale ich podstata je rovnaká - zbierať všetko, čo prechádza sieťou, ku ktorej je zariadenie pripojené. Žiadny z programov sa nepovažuje za „pirátsky“, „hackerský“ alebo nelegálny – dajú sa bez problémov stiahnuť online. Experiment sa uskutočnil v nákupnom centre s bezplatným Wi-Fi.
Odpočúvanie
Pripájame sa k sieti Wi-Fi: neexistuje žiadne heslo, názov siete obsahuje slovo „zadarmo“. Začneme skenovať, jeden z programov okamžite nájde 15 pripojení k sieti. Pre každého vidíte IP adresu, MAC adresu, pre niekoho názov výrobcu zariadenia: Sony, Samsung, Apple, LG, HTC...
Medzi zariadeniami nájdeme notebook „obete“. Pripojíme sa k nemu – na obrazovke sa začnú objavovať údaje, ktoré prechádzajú sieťou. Všetky informácie sú štruktúrované podľa času, dokonca je tu zabudovaný aj prehliadač zachytených dát.
Identifikácia užívateľa
Pokračujeme v sledovaní. Na notebooku jeho partnera sa očividne začala online hra: programové príkazy sa neustále odosielajú do siete, prijímajú sa informácie o situácii na bojisku. Môžete vidieť prezývky svojich protivníkov, ich herné úrovne a oveľa viac.
Prichádza správa z „VKontakte“. V jednej z podrobných špecifikácií správ zistíme, že ID používateľa je viditeľné v každej z nich. Ak ju vložíte do prehliadača, otvorí sa účet osoby, ktorá správu dostala.
„Obeť“ práve píše odpoveď na správu a zjavne netuší, že z celej sily hľadíme na fotografie na jeho účte. Jedna z aplikácií sociálnej siete dáva signál – tento zvuk môžeme počúvať v prehrávači.
Heslá a správy
Fotografie a zvuky nie sú všetko, čo sa dá „preniesť“ na dostupné Wi-Fi. Napríklad jeden z programov má samostatnú kartu na sledovanie korešpondencie na sociálnych sieťach a instant messengeroch. Správy sú dešifrované a triedené podľa času odoslania.
Ukazovať korešpondenciu niekoho iného je nad rámec dobra a zla. Ale funguje to. Pre ilustráciu uvádzame časť dialógu autora textu, zachytenú sledovacím počítačom zo zariadenia „obeť“.
Iný program samostatne „ukladá“ všetky súbory cookie a informácie o používateľovi vrátane hesiel. Našťastie v zašifrovanej podobe, no hneď ponúkne inštaláciu utility, ktorá ich dešifruje.
Závery
Cez Wi-Fi sa môžu stratiť takmer všetky informácie. Mnohé verejné siete neposkytujú vôbec žiadnu ochranu a niekedy dokonca ani heslo. To znamená, že ktokoľvek môže zachytiť premávku kolegov, priateľov alebo neznámych ľudí.
Najspoľahlivejšia cesta z tejto situácie je jedna: neprenášajte žiadne dôležité informácie cez verejné siete. Neposielajte si napríklad telefónne čísla a heslá v správach a neplaťte platobnou kartou mimo domova. Riziko straty osobných údajov je extrémne vysoké.