Počítače Okna Internet
Rozšířit
Domov

Přesměrování provozu SSH a HTTP. Přesměrování provozu BeEF Hooking s filtry Ettercap

V tomto článku se s vámi podíváme na útoky Man-in-the-Middle, respektive metodu
přesměrování provozu SSH a HTTP pomocí útoku Man in the Middle. Netahejme kočku za ocas, ale pojďme na věc.

Muž uprostřed (zkráceně MitM, z ruštiny je to jednoduše - „útok prostředníka“ nebo „muž
uprostřed ") je typ útoku založený na přesměrování provozu mezi dvěma stroji za účelem zachycení informací - jejich dalšímu studiu, zničení nebo úpravě. Takže první věc, kterou potřebujeme, je balíček dsniff (odkaz na balíček uvidíte na konec článku). Proč Protože tento balíček obsahuje všechny potřebné nástroje, včetně sshmitm (přesměrování provozu SSH) a httpmitm (přesměrování provozu HTTP), které mohou obejít následující bezpečnostní schéma: pokud víte, šifrované protokoly jsou docela -takže "sekurny" (šifrování na pomoc :)) a nepovolovat útoky "přes" síťovou vrstvu. Hacker nezná šifrovací klíč - data nelze dešifrovat a příkaz je také vložen. Vše se zdá být v pořádku , ale tady je návod
protože útočné programy MitM (sshmitm a httpmitm) z balíčku dsniff jsou schopny obejít tento systém zabezpečení (můžete obejít téměř vše). To vše se provádí podle následujícího principu:
mezihostitel obdrží požadavek od klienta, "řekne" mu, že on je server, a poté se připojí ke skutečnému serveru.
Druhá věc, kterou potřebujeme, jsou rovné paže, čtvrtá je to nejdůležitější – touha, a samozřejmě oběť, tedy počítač, na který zaútočíme.

Přesměrování provozu SSH

Po přípravě toolkitu jste pochopili, co je co a proč :). Získejte sshmitm - nyní přesměrujeme provoz SSH (vše, co jsem nepochopil s teoretickou částí - čtěte výše)
s využitím nedostatků dnešní PKI (infrastruktura veřejných klíčů – schéma správy klíčů založené na
metody asymetrické kryptografie). Pojďme se podívat na syntaxi
sshmitm:

sshmitm [-d] [-I] [-p port] hostitel

D
povolit výstup ladění (tj. pokročilejší režim)


odposlech relací

P port
naslouchací port

hostitel
adresu vzdáleného hostitele, jehož relace budou zachyceny

přístav
port na vzdáleném hostiteli

Vše se zdá být jednoduché a vkusné - nic složitého :). Začněme realizovat útok!

# sshmitm server.target.gov // zadejte váš SSH server
sshmitm: přenos na server server.target.gov

Vzhledem k tomu, že nemáme skutečný klíč SSH, je příkazový interpret napadeného
zobrazí požadavek na ověření hostitelského klíče, vše bude vypadat nějak takto:

clientmachine $ server.target.gov
@ VAROVÁNÍ: VZDÁLENÁ IDENTIFIKACE HOSTITELE SE ZMĚNILA! @
JE MOŽNÉ, ŽE NĚKDO DĚLÁ NĚCO NESLUŠNÉHO!
Někdo by vás mohl právě teď odposlouchávat (útok muže uprostřed)!
Je také možné, že byl právě změněn klíč hostitele RSA.
Obraťte se na správce systému.

A pak se uživatel rozhodne, zda se připojí nebo ne. Pokud ano, pak budeme mít plnou kontrolu nad relací SSH.
ALE! Pokud se uživatel k tomuto kolečku nikdy nepřipojil, může se zobrazit následující zpráva:

Autentičnost hostitele "server.target.gov" nelze zjistit
Otisk klíče RSA je
bla: bla: bla; bla; bla ........
Jste si jisti, že chcete pokračovat v připojení (ano / ne)?

Zde má uživatel také dvě možnosti - připojit nebo nepřipojit. Pokud ano, pak jsme relaci zachytili, pokud ne, tak bohužel ... :(.
Obecně platí, že útok byl úspěšný, pokud se uživatel připojil, a sshmitm zase zaznamená všechny průchody a přihlášení a je velmi čitelný 🙂
Samozřejmě to není jediný zachycovač relace SSH, ale když se s tím seznámíte, snadno zvládnete další 🙂

Přesměrování HTTP provozu

Nyní přesměrujeme HTTP provoz. Opět potřebujeme dříve vybraný nástroj: httpmitm, který naslouchá na 80- (HTTP -) a 443- (HTTPS -) portech, zachycuje WEB požadavky, poté se připojuje k serveru a předává požadavky klientskému počítači. Program také generuje klíče SSL a certifikáty SSL pomocí OpenSSL. Potom po vyzkoušení
se připojí k webu (target.gov), prohlížeč zkontroluje certifikát SSL. Protože se certifikáty nebudou shodovat, prohlížeč vás na to upozorní
špatný SSL certifikát. Z pohledu crackera to bude vypadat nějak takto:

#webmitm -d
webmitm: předávání transparentně
webmitm: nové připojení od
ZÍSKEJTE [odkaz] /uzerz.php?user=hellknights&password=neskaju1qwerty HTTP / [verze]
Typ připojení]
Hostitel: www.target.gov
User-Agent: [informace o systému, prohlížeči]
[atd., atd., atd.]
Soubor cookie: [cookies]

Takhle to všechno vypadá zvenčí -
připojení SSL je zachyceno zachycením nešifrovaných dat.

Závěr

V tomto článku jsme se podívali na přesměrování provozu SSH a HTTP pomocí útoku Man in the Middle – přehledně, podrobně, stručně. Další přesměrovače HTTP a SSH
provoz s pomocí MitM rychle zvládnete, pokud máte zvládnuté i tyto :)). Pokud něco nebylo jasné - pak.

Další typ útoku má za cíl nasměrovat provoz napadeného počítače na falešnou adresu, kterou může být adresa útočníka nebo třetí strany. Útočník může nakládat s datovým tokem, který uživatel odešle například na svůj podnikový server nebo bankovní server, dvěma způsoby. První je, že se útočník vydává za server příjemce a přenáší klientovi „obrázek“ a zprávy, které očekává. Útočník může například simulovat postup logického přihlášení pro oběť a získat uživatelské ID a heslo. Tato data pak mohou být použita pro neoprávněný přístup na server podniku nebo banky, která je hlavním cílem útoku. Druhým způsobem je organizace dopravy. Každý zachycený paket je uložen do paměti a/nebo analyzován v útočícím uzlu a poté předán na „skutečný“ server. Veškerý provoz mezi klientem a serverem tak prochází přes počítač útočníka.

Podívejme se na některé techniky používané nyní (nebo v nedávné minulosti) při provádění útoků tohoto typu. Pro většinu z nich již byla vyvinuta protiopatření a zde prezentované popisy útoků mají většinou vzdělávací charakter.

Nejjednodušší způsob přesměrování provozu v místní síti lze provést odesláním falešného ARP-omeema do sítě. (Ponecháme-li stranou otázku, jak často může taková situace nastat, když má útočník zájem zachytit provoz ve vlastní lokální síti.) V tomto případě je schéma nasnadě: po obdržení broadcastu ARP požadavku na určitou IP adresu útočník odešle falešnou ARP odpověď, ve které je hlášeno, že daná IP adresa odpovídá jeho vlastní MAC adrese.

Teoreticky lze protokol ICMP použít také k zachycení a přesměrování provozu v místní síti. V souladu s tímto protokolem směrovač odešle výchozí zprávu o přesměrování trasy ICMP hostiteli přímo připojené místní sítě, když tato trasa selže nebo když zjistí, že hostitel používá pro nějakou cílovou adresu iracionální cestu. Na Obr. 1, a výchozí směrovač Rl poté, co přijal paket adresovaný hostiteli H2 od hostitele Hl, určí, že nejlepší cesta k hostiteli H2 jde přes jiný směrovač této místní sítě, konkrétně přes směrovač R2. Směrovač R1 zahodí přijatý paket a vloží jeho hlavičku do zprávy o přesměrování trasy YUMP, kterou odešle hostiteli H1. Zpráva obsahuje IP adresu alternativního směrovače R2, kterou by nyní měl hostitel použít při odesílání dat hostiteli H2. Hostitel H1 provede změny ve své směrovací tabulce a od tohoto okamžiku posílá pakety hostiteli H2 po nové opravené trase. K zachycení provozu směrovaného hostitelem H1 na hostitele H2 musí útočník vytvořit a odeslat hostiteli HI paket maskující se jako zprávu o přesměrování cesty YMP (obr. 1b). Tato zpráva obsahuje požadavek na aktualizaci směrovací tabulky hostitele H1 tak, že ve všech paketech s IP adresou H2 se adresa dalšího směrovače stane IPha adresou. což je adresa hostitele HA útočníka. Aby hostitel této zprávě „uvěřil“, musí být adresa routeru R1, který je výchozím routerem, umístěna do pole zdrojové IP adresy. Když pakety vysílané zavádějícím hostitelem začnou přicházet do útočníkova uzlu, může tyto pakety buď zachytit a nepřesílat dále, napodobit aplikaci, se kterou byly tyto pakety určeny k udržování dialogu, nebo zorganizovat přenos dat do určeného místa. cílová adresa IPn2 - Načtením veškerého provozu mezi uzly H1 a H2 získá útočník všechny informace potřebné pro neoprávněný přístup k serveru H2.

Dalším způsobem, jak zachytit provoz, je použití protokolování DNS-omeemoe (obr. 2). Úkolem útočníka je získat přístup k podnikovému serveru. K tomu potřebuje získat jméno a heslo oprávněného uživatele podnikové sítě. Rozhodne se získat tyto informace rozvětvením datového toku, který podnikový klient posílá na podnikový server. Útočník ví, že klient přistupuje k serveru zadáním jeho symbolického názvu DNS www.example.com. Ví také, že před odesláním paketu na server, software klientský počítač zadá dotaz na server DNS, aby zjistil, která IP adresa odpovídá tomuto názvu.

Cílem útočníka je předběhnout odpověď DNS serveru a vnutit klientovi jeho vlastní odpověď, ve které místo IP adresy firemní server(v příkladu 193.25.34.125) útočník specifikuje IP adresu útočícího hostitele (203.13.1.123). Pro realizaci tohoto plánu existuje několik hlavních překážek.

Rýže. 1. Přesměrování trasy pomocí protokolu YMP: a - výchozí router R1 odešle na hostitele H2 zprávu o racionálnější cestě;
b - zprávu o přesměrování cesty na sebe posílá útočící hostitel ON

Rýže. 2. Schéma přesměrování provozu využívající falešné odpovědi DNS

Nejprve je nutné zpozdit odpověď DNS serveru, k tomu může být server vystaven například DoS útoku. Další problém souvisí s určením čísla portu klienta DNS, které musí být uvedeno v hlavičce paketu, aby se data dostala do aplikace. A pokud má serverová část DNS trvale přiřazeno tzv. „dobře známé“ číslo 53, pak klientská část protokolu DNS obdrží číslo portu dynamicky při startu a operační systém vybírá z poměrně široké škály.

Všimněte si, že protokol DNS může k přenosu zpráv používat UDP i TCP, v závislosti na tom, jak je nakonfigurován správcem. Jelikož TCP navazuje logické spojení sledující počty odeslaných a přijatých bytů, je v tomto případě mnohem obtížnější „vklínit“ se do dialogu mezi klientem a serverem než v případě použití datagramového protokolu UDP.

Ve druhém případě však zůstává problém s určením čísla portu UDP klienta DNS. Útočník řeší tento problém přímým výčtem všech možných čísel. Také výčtem možných hodnot útočník překonává problém s určováním identifikátorů DNS zpráv. Tyto identifikátory se přenášejí ve zprávách DNS a používají se k tomu, aby klient DNS mohl porovnávat příchozí odpovědi s odeslanými požadavky. Útočník tedy bombarduje klientský počítač falešnými odpověďmi DNS a vyjmenovává všechny možné hodnoty identifikačních polí, takže klient nakonec použije jednu z nich pro skutečnou odpověď DNS. Jakmile se tak stane, lze cíl útočníka považovat za splněný – pakety od klienta jsou odesílány na adresu útočícího hostitele, útočník získá k dispozici jméno a heslo legálního uživatele a s nimi i přístup k podnikové server.

Popis případných dotazů ohledně informační bezpečnost není možné bez popisu hackerů a jejich metod práce. Tento výraz „hacker“ se používá ve smyslu – člověk, který se nabourává do počítačů.

Hackeři jsou znalí, technicky zdatní lidé, kteří jasně rozumí fungování počítačů a sítí, rozumí tomu, jak se protokoly používají k provádění systémových operací. Hackeři mohou být motivováni k jiné práci, od touhy upoutat pozornost až po nejčastější chamtivost.

Moderní metody hackerských útoků

Mnoho moderních útoků provádí tzv. script kiddies. Útočníci jednoduše vyhledávají na internetu exploitové skripty a spouštějí je proti každému systému, který najdou. Data jednoduchými způsobyútoky nevyžadují speciální znalosti nebo instrukce.

Existují však i jiné metody založené na hlubším pochopení fungování počítačů, sítí a systémů pod útokem. V tomto článku si takové metody popíšeme.

Poslech sítí

Odposlech nebo sniffing je technika, kterou používají hackeři / crackeři ke shromažďování hesel a dalších systémových informací. Pro provoz je síťové rozhraní počítače nastaveno do režimu poslechu pro smíšený provoz (promiskuitní režim), tzn. síťový adaptér zachytí všechny pakety putující po síti, nejen pakety adresované tomuto adaptéru. Tento typ snifferu funguje dobře v sítích se sdílenou šířkou pásma s rozbočovači.

Najít teď hub je velmi velký problém- používají se hlavně síťové přepínače a podle toho začala klesat efektivita sniffování. V přepínaném prostředí není použit režim vysílání, místo toho jsou pakety odesílány přímo do systému příjemce. Spínače však nejsou ochranná zařízení. Tyhle jsou obyčejné síťová zařízení zabezpečení, které poskytují, je tedy spíše vedlejším produktem jejich síťového účelu než strukturálním prvkem. K dispozici je také sniffer speciálně navržený pro přepínané prostředí.

Chcete-li poslouchat provoz v přepínaném prostředí, musí být splněna jedna z následujících podmínek:
"přesvědčit" přepínač, že provoz, který je předmětem zájmu, by měl být směrován na čichač;
vynutit, aby přepínač posílal veškerý provoz na všechny porty.

Pokud je splněna jedna z podmínek, bude sniffer schopen číst provoz, který ho zajímá, a poskytnout tak hackerovi informace, které hledá.

Přesměrování dopravy

Přepínač směruje provoz na porty na základě adresy MAC (Media Access Control) pro ethernetový rámec. Každé síťové rozhraní má jedinečnou MAC adresu a přepínač „ví“, jaké adresy jsou na kterém portu. Proto při přenosu rámce s konkrétní cílovou MAC adresou přepínač předá tento rámec na port, kterému je tato MAC adresa přiřazena.

Následující metody můžete použít k vynucení toho, aby přepínač směroval síťový provoz na sniffer:
ARP spoofing;
duplikace MAC adres;
imitace názvu domény.

ARP spoofing ARP je protokol pro rozlišení adres, který se používá k získání MAC adresy spojené s konkrétní IP adresou. Funguje to následovně: při přenosu provozu odešle odesílající systém požadavek ARP na IP adresu příjemce. Přijímající systém na tento požadavek odpoví odesláním své MAC adresy, kterou odesílající systém použije k předávání provozu.

Pokud sniffer zachytí provoz, který ho zajímá, odpoví na požadavek ARP namísto skutečného cílového systému a poskytne svou vlastní MAC adresu. Výsledkem je, že systém odesílatele odešle provoz do snifferu.

Aby byl tento proces efektivní, je nutné přesměrovat veškerý provoz na sniffer namísto skutečného cíle. Pokud tak neučiníte, existuje možnost odmítnutí přístupu k síti. Přidávám ..

Spoofing ARP funguje pouze v podsítích (jednom segmentu sítě), protože zprávy ARP nejsou směrovány. Sniffer musí být umístěn na stejném segmentu LAN, kde jsou umístěny systémy odesílatele a přijímače.

Duplicitní MAC adresy. Duplikování MAC adresy cílového systému je další způsob, jak „přesvědčit“ přepínač, aby posílal provoz do snifferu. K tomu musí hacker změnit MAC adresu na snifferu a musí se nacházet ve stejném segmentu místní sítě.
Ještě to přidám.

Aby bylo možné provést falšování ARP, musí být sniffer umístěn ve stejné místní podsíti jako oba systémy (odesílatel i příjemce), aby bylo možné duplikovat MAC adresy.

Simulovaný název domény. Existuje třetí způsob, jak donutit přepínač, aby posílal veškerý provoz do snifferu: musíte „oklamat“ odesílající systém, aby pro přenos dat použil skutečnou MAC adresu snifferu. To se provádí simulací názvu domény.

Při provádění tohoto útoku sniffer zachycuje požadavky DNS od odesílajícího systému a odpovídá na ně. Místo IP adresy systémů, na které byl požadavek odeslán, odesílající systém obdrží IP adresu snifferu a posílá na něj veškerý provoz. Dále musí sniffer přesměrovat tento provoz na skutečného příjemce. Vidíme, že v tomto případě se útok falšování doménového jména změní v útok únosu.

Aby byl tento útok úspěšný, musí se sniffer podívat na všechny požadavky DNS a odpovědět na ně dříve, než to udělá skutečný příjemce. Sniffer by se proto měl nacházet na komunikační trase od odesílajícího systému k DNS serveru, nebo ještě lépe ve stejné lokální podsíti jako odesílatel.

Sniffer si mohl prohlížet požadavky odeslané přes internet, ale čím dále je od odesílajícího systému, tím obtížnější je zajistit, aby na ně odpověděl jako první.

Odesílání veškerého provozu na všechny porty

Namísto výše uvedeného může hacker donutit přepínač, aby fungoval jako rozbočovač (hub). Každý přepínač využívá určité množství paměti k uložení mapovací tabulky mezi MAC adresou a fyzickým portem na přepínači. Tato paměť je omezená. Pokud dojde k přetečení, některé přepínače mohou chybně hlásit stav „otevřeno“. To znamená, že switch přestane přesměrovávat provoz na určité MAC adresy a začne přesměrovávat veškerý provoz na všechny porty. V důsledku toho bude přepínač fungovat jako rozbočovač (hub).

Provádění útoků

Nyní se podívejme na to, co je potřeba k provedení výše uvedených útoků. V případě ARP spoofingu, duplikace MAC adres nebo zahlcení MAC adres se musíte přímo připojit k napadenému přepínači. Takové připojení je také nutné pro simulaci názvu domény.

Závěr – hacker musí nainstalovat systém na lokální přepínač. K tomu vstoupí do systému přes známou zranitelnost a nainstaluje software nezbytný pro sniffování. V jiné variantě je hacker již uvnitř organizace (je jejím zaměstnancem nebo dodavatelem). V tomto případě využívá svého legálního přístupu do místní sítě, který mu umožňuje komunikovat s přepínačem.

IP spoofing

Jak již bylo zmíněno, nekontroluje se správnost IP adres v paketech přenášených po síti. V důsledku toho může hacker změnit adresu odesílatele tak, aby to vypadalo, jako by paket přicházel z jakékoli adresy. Potíž spočívá v tom, že vrácené pakety (pakety SYN ACK v TCP spojení) se nebudou moci vrátit do odesílajícího systému. Proto je velmi obtížné pokusit se podvrhnout IP adresu (IP spoofing) pro navázání TCP spojení. TCP hlavička navíc obsahuje pořadové číslo sloužící k potvrzení přijetí paketu. Počáteční pořadové číslo (ISN) pro každé nové připojení je vybráno pseudonáhodně.

Podrobnosti o útoku IP spoofing

Obrázek ukazuje probíhající útok IP spoofing. 1 - identifikace cíle. 2. - určení hodnoty přírůstku počátečního sériového čísla (ISN). Toho lze dosáhnout vytvořením řady legitimních připojení k cílovému systému a označením vrácených ISN (hacker riskuje, že prozradí své skutečnou IP adresu). Omlouváme se, kresba nefunguje, i když rotuji tak a tak! Silnější než já...

V tomto článku se podíváme na provoz přes proxy pro aplikace iOS, které ke komunikaci se serverem používají nativní webové sokety. Článek bude užitečný pro ty pentestery, kteří se potýkají s odposlechem důvěrných informací zasílaných aplikacemi pro iOS nestandardními způsoby. Tyto metody jsou relevantní, protože použití standardního nastavení proxy serveru na zařízení k zachycení provozu z některých aplikací nemusí být dostatečné.

Nedávno jsem při dalším pentestu narazil na aplikaci, která odesílala informace na port 20xx webového serveru. Provoz této aplikace se nepodařilo zachytit změnou standardního nastavení (Nastavení -> Wi-Fi -> HTTP Proxy -> Ručně) a přesměrováním provozu na proxy. Jedním z důvodů, proč tato metoda nefunguje, je to, že ke komunikaci se serverem se místo třídy UIWebView používají nativní webové sokety. Další informace o konfiguraci webových soketů naleznete v tomto článku.

Existuje však řešení, jak tento problém vyřešit. Můžeme implementovat DNS spoofing a přesměrovat veškerý HTTP provoz ze všech portů přes proxy, jako je Burp. Tento článek je rozdělen do částí:

  1. Sniffing provozu pomocí Wireshark k nalezení IP adresy a portu serveru.
  2. DNS spoofing a předávání veškerého provozu do počítače, kde je nainstalován proxy.
  3. Zachycení provozu pomocí proxy serveru po provedení DNS spoofingu.

Níže je uveden podrobný diagram pro implementaci odposlechu provozu pro aplikace iOS pomocí Native Web Socket.

1. Vytvořte bezdrátový přístupový bod a připojte k němu zařízení. [Poznámka: Stroj musí být připojen k síti Ethernet nebo jiným způsobem připojen k internetu, protože pro přístupový bod bude použito rozhraní Wi-Fi. Tento článek vysvětluje, jak nakonfigurovat přístupový bod na počítači se systémem Windows]

2. Spusťte síťový sniffer (například Wireshark) a vyhledejte provoz procházející přes nestandardní porty.

A. Filtrujeme provoz a ponecháme pouze ten, který směřuje na IP adresu, kterou potřebujeme (ip.dst == ip.ip.ip.ip)

b. Najděte číslo portu, na který je odesílán provoz.

Obrázek 1: Nalezení nestandardního portu, na který aplikace odesílá provoz

3. Spusťte Metasploit DNS Spoofing Console a zadejte následující příkazy:

C. nastavit SRVHOST = (IP bezdrátového přístupového bodu)

d. nastavte SRVPORT = 53, nastavte TARGETACTION = BYPASS, nastavte CÍLOVOU DOMÉNU = www.apple.com (Poznámka: nastavením CÍLOVÁ DOMÉNA = www.apple.com zachytíme veškerý provoz kromě apple.com).

E. set targethost = (IP bezdrátového přístupového bodu)

Obrázek 2: Konfigurace serveru DNS pomocí modulu fakedns (vMetasploit)

4. Nakonfigurujte Burp tak, aby naslouchal příchozímu provozu zařízení na konkrétních portech a přesměroval jej na dříve nalezený port.

A. Přejděte na Proxy-> Možnosti-> Přidat; nastavte "bind port" na port, na který má aplikace přesměrovat provoz (poznámka: toto je jeden z těch nestandardních tcp portů, které byly nalezeny pomocí Wireshark).

b. Posloucháme všechna rozhraní.

C. V záložce Zpracování požadavků nastavte doménu serveru (pole Přesměrovat na hostitele).

d. Ve stejné záložce nastavte odpovídající číslo portu (pole Přesměrovat na port).

E. Pokud je provoz odesílán přes https, nastavíme vynucené použití SSL.

F. Klikněte na ok a zopakujte všechny výše uvedené operace pro všechny porty, na které aplikace odesílá provoz. Jinými slovy, pro každý port je vyžadován samostatně nakonfigurovaný posluchač proxy.

Obrázek 3: Konfigurace poslechu a přesměrování provozu

5. Konfigurace nastavení serveru proxy na zařízení:

A. Přejděte do sekce Wi-Fi-> DHCP a nastavte DNS = IP-adresa přístupového bodu.

b. V nastavení HTTP proxy nastavte IP adresu přístupového bodu a odpovídající port, pro který je burp nakonfigurován (tato nastavení se používají pro proxy standardní HTTP provoz).

Obrázek 4: Konfigurace IP aDNS přeposílánína zařízení

6. Zadejte „exploit“ do konzole Metasploit a uvidíte veškerý zachycený provoz z nestandardních portů.

Popsanou metodou lze obejít problémy se zachycováním provozu iOS aplikací, které jej přenášejí nestandardními způsoby.

Zachycování dat přes síť přijímání jakýchkoli informací ze vzdáleného počítačového zařízení je považováno. Může se skládat z osobních údajů uživatele, jeho zpráv, záznamů o návštěvách webových stránek. Sběr dat lze provádět pomocí spywaru nebo síťových snifferů.

Spyware je speciální software, který dokáže zaznamenat všechny informace přenášené po síti z konkrétní pracovní stanice nebo zařízení.

Sniffer je program nebo počítačový hardware, který zachycuje a analyzuje provoz procházející sítí. Sniffer vám umožňuje připojit se k webové relaci a provádět různé operace jménem vlastníka počítače.

Pokud informace nejsou přenášeny v reálném čase, spyware generuje zprávy, které jsou vhodné pro prohlížení a analýzu informací.

Zachycování sítě může být legitimní nebo nezákonné. Hlavním dokumentem, který upravuje zákonnost zabavování informací, je Úmluva o počítačové kriminalitě. Byla založena v Maďarsku v roce 2001. Právní požadavky různých zemí se mohou mírně lišit, ale hlavní sdělení je pro všechny země stejné.

Klasifikace a metody zachycení dat po síti

V souladu s výše uvedeným lze odposlech informací po síti rozdělit na dva typy: autorizované a neoprávněné.

Autorizovaný sběr dat se provádí pro různé účely, od ochrany firemních informací až po zajištění bezpečnosti státu. Důvody pro takovou operaci jsou stanoveny legislativou, speciálními službami, úředníky činnými v trestním řízení, specialisty ze správních organizací a bezpečnostními službami společnosti.

Pro provádění odposlechu dat existují mezinárodní standardy. Evropskému institutu pro telekomunikační standardy se podařilo dovést řadu technických procesů (ETSI ES 201 158 „Telekomunikační bezpečnost; Zákonný odposlech (LI); Požadavky na síťové funkce“) do jednotné normy, na které je odposlech informací založen. V důsledku toho byla vyvinuta systémová architektura, která pomáhá specialistům tajných služeb, správcům sítí, legálně přebírat data ze sítě. Vyvinutá struktura pro realizaci odposlechu dat po síti se používá pro drátové a bezdrátové systémy hlasového volání, jakož i pro korespondenci poštou, přenos hlasové zprávy prostřednictvím IP, výměna informací pomocí SMS.

Neoprávněné odposlechy dat po síti provádějí kyberzločinci, kteří se chtějí zmocnit důvěrných dat, hesel, podnikových tajemství, adres síťových počítačů atd. K dosažení svých cílů hackeři obvykle používají analyzátor síťového provozu - sniffer. Tento program nebo zařízení typu hardware-software dává podvodníkovi možnost zachytit a analyzovat informace v síti, ke které je připojený uživatel oběti, včetně šifrovaného provozu SSL prostřednictvím falšování certifikátů. Údaje o provozu lze získat různými způsoby:

  • poslech síťového rozhraní,
  • připojení odposlechového zařízení k přerušení kanálu,
  • vytvoření dopravní větve a její duplikování na sniffer,
  • provedením útoku.

Existují také sofistikovanější technologie pro zachycování citlivých informací, které umožňují vniknout do síťové komunikace a změnit data. Jednou z takových technologií jsou falešné požadavky ARP. Podstatou metody je falšování IP adres mezi počítačem oběti a zařízením útočníka. Další metodou, kterou lze použít k zachycení dat v síti, je falešné směrování. Spočívá v nahrazení IP adresy síťového routeru vlastní adresou. Pokud se kyberzločinec ví, jak se zorganizovat místní síti, ve kterém se oběť nachází, pak může snadno organizovat příjem informací ze stroje uživatele na jeho IP adresu. Únos TCP spojení je také efektivní způsob zachycení dat. Útočník přeruší komunikační relaci vygenerováním a odesláním TCP paketů do počítače oběti. Poté je komunikační relace obnovena, zachycena a pokračuje zločincem místo klienta.

Předmět vlivu

Objekty zachycování dat přes síť mohou být státní instituce, průmyslové podniky, obchodní struktury, běžní uživatelé. V rámci organizace nebo obchodní společnosti lze za účelem ochrany síťové infrastruktury implementovat sběr informací. Speciální služby a orgány činné v trestním řízení mohou provádět masivní odposlech informací přenášených od různých vlastníků v závislosti na daném úkolu.

Pokud mluvíme o kyberzločincích, pak se jakýkoli uživatel nebo organizace může stát předmětem vlivu za účelem získání dat přenášených po síti. Při autorizovaném přístupu je důležitá informativní část přijatých informací, útočníka naopak zajímají spíše data, pomocí kterých se může zmocnit peněz nebo cenných informací pro jejich následný prodej.

Nejčastějšími oběťmi odposlechu informací ze strany kyberzločinců jsou uživatelé připojující se k veřejné síti například v kavárně s Wi-Fi hotspotem. Útočník se připojí k webové relaci pomocí snifferu, podvrhne data a krade osobní informace... Další podrobnosti o tom, jak k tomu dochází, naleznete v článku.

Zdroj ohrožení

Provozovatelé veřejné síťové infrastruktury se podílejí na autorizovaném odposlechu informací ve firmách a organizacích. Jejich činnost je zaměřena na ochranu osobních údajů, obchodního tajemství a dalších důležitých informací. Z právních důvodů mohou přenos zpráv a souborů sledovat speciální služby, orgány činné v trestním řízení a různé vládní agentury, aby byla zajištěna bezpečnost občanů a státu.

Útočníci se podílejí na nezákonném odposlechu dat. Abyste se nestali obětí kyberzločince, musíte se řídit některými doporučeními odborníků. Například byste neměli provádět operace, které vyžadují autorizaci a přenos důležitých dat v místech, kde se připojujete k veřejným sítím. Bezpečnější je zvolit šifrované sítě, nebo ještě lépe využít osobní 3G a LTE modemy. Při přenosu osobních údajů se doporučuje šifrování pomocí protokolu HTTPS nebo osobního VPN tunelu.

Svůj počítač můžete chránit před zachycením síťového provozu pomocí kryptografie, anti-snifferů; sníží rizika vytáčeného připojení spíše než bezdrátového přístupu k síti.



Nenašli jste odpověď na svou otázku? Podívejte se sem
Jak zdarma přejít na tarif „Smart mini“ z MTS - jak připojit nebo odpojit TP?Jak zdarma přejít na tarif „Smart mini“ z MTS - jak připojit nebo odpojit TP?
Bonusy Beeline: akruální, akumulace, použitíBonusy Beeline: akruální, akumulace, použití
Jak zavolat do Ameriky není těžkéJak zavolat do Ameriky není těžké