Acum cateva zile, m-am conectat la reteaua unei entităţi pentru a-mi face treaba pentru care eram acolo. După ceva vreme am sesizat că anumite discuţii între membrii echipei de audit purtate prin YM erau cunoscute de personalul entităţii auditate. Nu că ar fi fost cine ştie ce secrete, dar parcă nu îţi pică bine atunci când deschizi brusc uşa şi vezi că era cineva cu urechea lipită de ea. Cum se pare că noi românii suferim de “scenarită” m-am întrebat cine şi cum a reuşit?
Răspunsul a fost simplu de găsit. Desigur că cineva de pe reţeaua entităţii folosea un sniffer.
Ce este un sniffer ? Tehnic, Packet Sniffing-ul este o operaţiune larg raspândită printre administratorii de reţele, care o folosesc în scopul de a monitoriza activitatea echipamentelor, a traficului derulat sau pentru a executa programe speciale de diagnostic sau a trata diferite probleme. Un sniffer este un program care poate „observa” şi analiza absolut toate pachetele de date care tranzitează reţeaua la care este conectat. În mod normal, un computer este „interesat” doar de pachetele de date care îl privesc sau care îi sunt adresate şi ignoră restul traficului din reţea. Când o aplicaţie (sau un dispozitiv) Packet Sniffer ruleaza pe un computer, interfaţa acestuia cu reţeaua este automat setată pe modul „amestecat” (promiscous), ceea ce înseamnă ca va capta si analiza fiecare dată sau informatie tranzitată. Adesea, cantitatea de informaţii (pachete de date) tranzitată printr-un calculator conectat la o reţea depinde de localizarea echipamentului în cadrul reţelei respective. Astfel, un „client” izolat va putea „vedea” doar un mic segment din datele traficate în cadrul retelei, în timp ce un server de domeniu principal va putea capta totul.
Cum probabil ştiţi deja, discuţiile prin YM nu sunt criptate. Deşi acest lucru poate constitui infracţiunea de interceptare ilegală a unei transmisii de date informatice am zis că este greu de probat acest lucru şi atunci am început o mică documentare să văd dăcă este într-adevar greu de ucis, pardon… de probat.
Hai să vedem…
După mai multe săpături cu Google pe net, am descoperit 0×4553-Intercepter.
Acest program oferã urmãtoarele caracteristici:
- Capturarea parolelor\hashes de tipurile:
ICQ\IRC\AIM\FTP\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\www\NNTP\CVS\TELNET\MRA\DC++\VNC\mysql\ORACLE
- Capturarea mesajelor chat ICQ\AIM\Jabber\Yahoo\MSN\Gadu-Gadu\IRC\MRA
- Schimbarea adreselor MAC ale plăcilor de reţea LAN
- Modul RAW (cu reguli de filtrare)
- Capturarea pachetelor de date şi analizarea lor post-captura (offline)
- Captarea de la distanţă a traficului, prin intermediul daemon-ului RPCAP
- Reconstrucţia mesajelor SMTP \ POP3
Desigur că nu intenţionam să fac nimic din aceste lucruri şi vă voi spune în continuare cum am folosit 0×4553-Intercepter pentru a află cine foloseşte un sniffer pe reţea.
Programul nu necesită instalare, se descarcă arhiva, se dezarhivează şi se lansează în execuţie. Inainte de asta va trebui însă să instalaţi WinPcap.
După ce am lansat 0×4553-Intercepter, în fereastra DHCPD, folosind opţiunea Promisc Detection am identificat IP-ul de pe reţea unde rula sniffer-ul.
OK, dar cum aflăm al cui este PC-ul ? Simplu, folosind fereastra de comandă a XP, am tastat NBTSTAT -A adresaIP şi am aflat numele/identificatorul staţiei.
De aici până la identificarea persoanei nu mai este decât un pas.
0×4553-Intercepter are şi alte facilităţi, dar folosirea acestora ar putea fi ilegală. Cele prezentate aici sunt doar cu titlul de exemplificare.
De exemplu Address Resolution Protocol (ARP) spoofing, cunoscut sub numele de ARP Poisoning (otrăvire) sau ARP Poison Routing (DAE), este o tehnică utilizată pentru a ataca o reţea. ARP Spoofing permite unui atacator să intercepteze pachete de date într-o reţea locală (LAN), să modifice traficul, sau de a opri cu totul traficul (cunoscut ca un atac Denial of Service). Atacul poate fi utilizat doar pe reţele care folosesc ARP, şi nu o altă metodă de alocare a adresei. Principiul de spoofing ARP este de a trimite fals, sau “false”, mesaje ARP la un LAN Ethernet.
În general, scopul este de a asocia adresa MAC a atacatorului cu adresa IP a unui alt nod (cum ar fi gateway-ul implicit).
Orice trafic adresat unei adrese IP ar fi greşit trimis la atacator în loc de destinatarul corect. Atacatorul poate alege, apoi să transmită trafic pentru a gateway-ul implicit real (pasiv sniffing) sau să modifice datele înainte de transmiterea acestora (man-in-the-middle attack). Atacatorul ar putea lansa, de asemenea, un denial-of-service împotriva unei victime prin asocierea unei adrese MAC inexistente la adresa IP a gateway-ul implicit al victimei.
Atacurile ARP spoofing pot fi rulate de la o gazdă compromisă, sau de la sistemul atacatorului, care este conectat direct la reţeaua Ethernet.
ARP spoofing poate fi, de asemenea, utilizat pentru motive legitime. De exemplu, reţeaua de instrumente de înregistrare pot redirecţiona sistemele neînregistrate la o pagina de înscriere înainte să le permită accesul deplin la reţea.
O altă aplicare legitimă a spoofing-ului ARP este folosirea sa în hoteluri pentru a permite călătorilor ca laptopurile lor sã acceseze Internetul din camerele de hotel indiferent de adresa IP, utilizând un dispozitiv cunoscut ca “head end processor” (HEP).
ARP spoofing poate fi, de asemenea, folosit pentru implementarea redundanţei servicilor de reţea. Un server de backup poate utiliza spoofing-ul ARP pentru a prelua transparent sarcinile unui server defect.
Pentru a evita astfel de situaţii neplăcute, de atunci folosesc opţiunea de criptarea a discuţiilor YM existentă în BitDefender Internet Security. Partea proastă este că nu toată lumea are BDIS. O soluţie alternativă şi gratuită pe care o recomand cu căldură este ZoneAlarm® Internet Security Suite Full-Version Free sau folosiţi Skype. Skype criptează conversaţiile şi pare greu de interceptat chiar şi de “instituţiile serioase” din domeniu.
Popularity: 10% [?]
