НЮХАЧИ, К БОЮ!

Kirion (Kirion@winfo.org)

Спецвыпуск Xakep, номер #032, стр. 032-044-2

HTTP

Ребята, пользуйтесь HTTPS. В майском номере была довольно подробная статья по этому поводу. То, как себя показали снифферы в данном тесте, лишний раз доказывает, что перехватить инфу через HTTP очень легко. Пароль передается в открытом виде. Найти его несложно, вне зависимости от того, передавались ли данные с помощью get (т.е. через url) или с помощью post (т.е. через форму). Все снифферы прекрасно справились с этой задачей. Особенно Cain и Ettercap, которые умеют выделять пароли из содержимого пакета - не надо париться, просматривать еще чего-то :). То же самое и с FTP, и Telnet. Пароли передаются в открытом и удобочитаемом виде. Решение простое - использовать секьюрные версии этих протоколов: SSH вместо Telnet, SFTP вместо FTP. Пользователи правильных осей - выбирайте OpenSSH (www.openssh.org), где есть модули для этих протоколов. Виндовым же юзерам можно попробовать эти порты: PuTTY (www.chiark.greenend.org.uk/~sgtatham/putty/), TTSSH (www.zip.com.au/~roca/ttssh.html), существует версия OpenSSH для Cygwin (www.cygmin.com) - эмулятора Линукса под Винды.

ИРКА

Не самая актуальная проблема - достать пароль от ника, но все же. Как происходит идентификация на серверах, где есть сервисы типа Nickserv, Chanserv, etc? А очень просто: посылается мессага сервису, в которой содержится пароль. Ну или можно поставить идентификацию по маске и прочей хрени, но это нас уже не интересует. Мессаги передаются чистым текстом (можешь даже почитать приваты :), хотя проще для этого воспользоваться специальными прогами, а то фильтровать замучаешься). Соответственно, ловятся иркины пакеты любым нормальным сниффером (Cain не ловит - он не знает, что есть IRC :)). Защитить свое общение можно (за двадцать минут поиска я нашел плагин для шифрования к mIRC здесь: cs.ttk.ru/files/encrypt.zip), но это сложно, да и пароли ты все равно не зашифруешь. Необходимо менять сам принцип работы IRC, создавать альтернативу, поддерживающую шифрование в основе. Такой протокол существует: называется он SILC, и почитать о нем можно на ru.silcnet.org.

CRYPTO

Если ты уже скачал Ettercap или Cain, то мог заметить, что в них есть весьма интересные пункты для захвата криптованного траффика. "А чего ты тут полстатьи гнал про шифрование и защиту от сниффинга?" - спросишь ты. А я отвечу: перехватить зашифрованный траффик легко. Но вот сколько веков ты будешь долбиться над 128-битным ключом - это другой вопрос :). Естественно, что, перехватив шифрованный пакет, ты можешь взять где-нибудь суперкомпьютер и через минуту уже все читать :). Однако есть способ нормально перехватывать криптованный траффик, хотя он и достаточно сложен. Необходимо вклиниться между получателем и отправителем пакета, причем через тебя должна пройти вся защищенная сессия. Способ для этого есть - APR, о нем я уже говорил. Итак, пользователь заходит с помощью SSL на сайт. Запрос идет к тебе, ты перенаправляешь его на сервак, заменяя IP и MAC. Назад отправляется сертификат с ключом, который ты сохраняешь, а пользователю взамен отправляешь поддельный. Когда соединение установлено - через тебя побегут зашифрованные пакеты. Но ключ-то у тебя есть :). Но это в теории. Скажу честно: ни с Cain, ни с Ettercap у меня так и не получилось перехватить траффик. То есть они видели соединение и посылали левые сертификаты, но расшифрованную сессию я так и не получил :(. Зато люди, которые мне помогали (Special thanks to Trinity and Mercenario), сказали, что они вообще не могли зайти на защищенную страницу :). Может у тебя получится лучше...