Podsłuch sieci przewodowych i WiFi.pdf

SOFTWARE

Podsłuch sieci przewodowych i WiFi

CD 12/2006

Grupa: UżyTkOWe

Cain & Abel 2.9

narzędzie do przeprowadzania ata-

ków, m.in. techniką ARP spooing

SniffPass 1.01

program do podsłuchiwania haseł

NetStumbler 0.4.0

narzędzie do wykrywania sieci bez-

przewodowych

Bezpieczne

protokoły sieciowe

Sieci mają uszy

każdą sieć – przewodową i bezprzewodową – można podsłuchać w dość prosty

sposób. Przeczytaj, jak się to robi, i stosuj odpowiednie środki ostrożności, jeśli

nie chcesz się narazić na utratę haseł czy ujawnienie przesyłanych danych.

 HTTPS

ang. HyperText Transfer Protocol Se-

cure, jest to odpowiednik protokołu

HTTP umożliwiający m.in. bezpieczne

korzystanie z serwisów WWW. Ba-

zuje na technologii SSL (ang. Secure

Sockets Layer) lub nowszej TLS (ang.

Transport Layer Security) – obie za-

pobiegają podsłuchowi danych i in-

gerowaniu w treść przesyłanych in-

formacji. Dzięki HTTPS możliwe jest

uwierzytelnianie obu stron transmisji

(serwera i klienta) na podstawie cy-

frowych certyikatów, a także szy-

frowanie wszystkich danych za po-

mocą wynegocjowanego algorytmu

szyfrującego.

 POP3S

ang. Post Ofice Protocol 3 Secure

(lub SPOP) jest bezpiecznym od-

powiednikiem protokołu POP3, któ-

ry służy do pobierania wiadomości

z serwerów pocztowych. POP3S wy-

korzystuje technologię SSL/TLS, więc

umożliwia uwierzytelnianie oraz szy-

frowanie wszystkich przesyłanych in-

formacji. W wielu przypadkach ser-

wery pocztowe wykorzystują znacz-

nie prostszą metodę zabezpieczania

transmisji, mianowicie komendę

APOP, która umożliwia przesłanie

hasła zaszyfrowanego algorytmem

MD5. W tym przypadku treść wia-

domości nie jest szyfrowana.

 SSH

ang. Secure Shell, zestaw standardów

umożliwiających uwierzytelnianie obu

stron transmisji na podstawie cyfro-

wych certyikatów, a także szyfrowa-

nie przesyłanych danych. Najczęściej

protokół SSH jest wykorzystywany do

zdalnego logowania, ale może słu-

żyć też do bezpiecznego kopiowania

plików (protokoły SCP lub SFTP)

albo do tunelowania (zabezpieczania)

innych protokołów.

Stosowane współcześnie protokoły

sieciowe 2 96>01 tworzono w cza-

sie, gdy internet był jeszcze środo-

wiskiem względnie bezpiecznym,

a komputery nie miały takiej mocy,

by na bieżąco szyfrować wszystkie

informacje i uwierzytelniać wszyst-

kie dane przychodzące z sieci. Dla-

tego też hasła, a tym bardziej zwykłe

dane przesyłane przez sieci, nie są

w żaden sposób zabezpieczone.

Przesyła się je w takiej formie,

w jakiej użytkownik wpisze je za

pomocą klawiatury.

Na podsłuch narażone są m.in.

dane przesyłane z wykorzystaniem

protokołu HTTP, czyli przez prze-

glądarkę internetową. Jeśli więc na

stronie WWW wypełniasz jakiś for-

mularz, twoje dane wędrujące przez

sieć mogą być odczytane przez nie-

powołane osoby.

Bardzo często niebezpieczne

są również protokoły pocztowe

POP3 i IMAP, bo zawsze wymaga-

ją logowania użytkownika, a hasło

jest przesyłane przez sieć w jawnej

postaci. To samo dotyczy mniej po-

pularnych usług, takich jak FTP czy

Telnet.

Choć poufne dane są przesyłane

przez sieć w postaci binarnej, wśród

gigabajtów innych informacji, ich od-

krycie nie jest trudne. Podczas lo-

gowania do jakichś usług, np. ser-

wera pocztowego w celu pobrania

poczty, nazwa użytkownika i hasło

pojawiają się po określonym ciągu

znaków, np. USER i PASS . W przy-

padku stron WWW również istnieją

ściśle określone mechanizmy ob-

sługi formularzy (m.in. GET i POST ).

Specjalizowany program oczekuje

na takie właśnie charakterystyczne

dane lub ciągi znaków, a następnie

rejestruje identyikator użytkownika

lub hasło wyłuskane spośród masy

innych informacji.

Oceń lub skomentuj na



www.pcformat.pl/ocena

Słownik: trudne terminy

01 protokół sieciowy

standardowy format da-

nych „rozumiany” przez

urządzenia sieciowe, słu-

żący do komunikacji mię-

dzy nimi; od niego zależą

także takie szczegóły, jak

sposób korekcji błędów,

kompresji danych czy re-

zerwacja pasma

02 snifer

w tłumaczeniu z jęz. ang.

jest to „wąchacz”, czy-

li program rejestrujący

wszystkie dane przesyłane

przez sieć, zwykle prze-

łączający kartę sieciową

do trybu nasłuchiwania,

czasem analizujący też ze-

brane dane

03 MAC looding

technika hakerska po-

legająca na zalaniu prze-

łącznika sieciowego dużą

liczbą adresów MAC i ad-

resów IP, przez co urzą-

dzenie może przestać

rozróżniać poszczególne

komputery i rozsyłać do

nich dane

04 ARP spooing

technika hakerska wy-

korzystująca słabość pro-

tokołu Address Resolution

Protocol, pozwalająca sfał-

szować dane komputera,

by traiały do niego pa-

kiety przeznaczone w rze-

czywistości do innego

komputera lub routera

05 WEP

ang. Wired equivalent Pri-

vacy, popularna metoda

szyfrowania danych

w sieciach WiFi; ponieważ

się okazało, że niemal

każdy jej element jest po-

datny na ataki, opracowa-

no lepsze zabezpieczenia,

m.in. WPA-PSk

06 WPA-PSK

ang. WiFi Protected Ac-

cess – Pre-Shared key,

zapewnia szyfrowanie

w sieciach WiFi; użyt-

kownik ustawia tylko jed-

no hasło, na postawie

którego generowana jest

praktycznie nieskończona

liczba kluczy szyfrujących

PC Format 12/2006

INTERNET

Podsłuch sieci przewodowych i WiFi

INTERNET

Ú Podsłuchiwanie sieci za pomocą programu SniffPass

SniffPass, wybierz tę, przez którą będzie pro-

wadzony podsłuch. Z menu wybierz

polecenie . Następnie w oknie

wybierz interfejs sieciowy.

3 Klawiszem [F5] lub przyci-

co oznacza, że bez większych problemów może

je zobaczyć również inna osoba.

5 Najlepiej, żeby program SniffPass cały czas

skiem n

uruchom rejestrowanie pakietów.

4 Uruchom np. program pocztowy, pobierz

gramem SniffPass, a następnie skopiuj 3 pli-

ki do dowolnego katalogu na dysku. Program

nie wymaga instalacji.

2 Dwukrotnie kliknij plik SnifPass.exe . Je-

pocztę z serwera i z powrotem przełącz się

do okna SniffPass. Mo-

żesz zobaczyć (w za-

leżności od koniguracji

programu pocztowego)

swoje hasło n ,

SniffPass jest narzędziem niezwykle prostym,

bo umożliwia wyłuskiwanie haseł tylko z naj-

bardziej popularnych protokołów. Jednak wła-

mywacze dysponują dużo lepszymi programami,

pozwalającymi na łamanie nawet tych haseł, któ-

re są teoretycznie zabezpieczone.

śli masz kilka kart sieciowych, w interfejsie

Ú Sposoby prowadzenia podsłuchu różnych rodzajów sieci

Jeśli dane wędrują przez internet, ich podsłuch

jest właściwie niemożliwy. Jednak sieci lokalne,

Ethernet i WiFi, łatwo podsłuchać.

Podsłuch przez koncentrator

Wiele starszych sieci wykorzystuje koncentratory,

które rozsyłają dane odebrane z jednego kompu-

tera do wszystkich pozostałych komputerów, nie-

zależnie od tego, który z nich jest faktycznym ad-

resatem. Wystarczy, że użytkownik przełączy swo-

ją kartę sieciową do tzw. trybu nasłuchiwania za

pomocą specjalnego oprogramowania, i już może

podsłuchiwać dane innych osób. Służą do tego

programy zwane sniferami 2 96>02 .

Podsłuch przez przełącznik

Współczesne sieci zamiast koncentratorów wy-

korzystują przełączniki. Dane otrzymane od jed-

nego komputera kierują tylko do tego, który jest

odbiorcą. Komputery podłączone do innych por-

tów przełącznika, nawet z kartami w trybie nasłu-

chiwania, nie mogą podsłuchiwać transmisji.

Istnieje jednak wiele sposobów na oszukanie

przełącznika sieciowego. Jednym z nich jest MAC

looding 2 96>03 , czyli zalanie przełącznika dużą

ilością informacji o adresach MAC i adresach IP.

Potrzebne są dwa komputery, z których jeden pro-

wadzi atak na przełącznik, drugi podsłuchuje dane.

Inną metodą oszustwa jest ARP spooing 2 96>04 ,

bo wystarczy jeden komputer z odpowiednim

oprogramowaniem, np. Cain & Abel, który moż-

na pobrać ze strony 2 , jest też na płycie CD.

Podsłuch sieci bezprzewodowych

Sieci bezprzewodowe są również bardzo narażo-

ne na podsłuch, ponieważ intruz nie musi mieć

izycznego podłączenia do sieci, wystarczy na-

słuch z pewnej odległości. Powstały nawet pro-

gramy, które można zainstalować na palmtopie

i spacerując po ulicy, wyszukać sieci i sprawdzić

ich zabezpieczenia. Najpopularniejszym narzę-

dziem tego typu jest Network Stumbler (do po-

brania ze strony 3 lub z naszej płyty CD).

1 Uruchom instalator programu i w pierw-

. Program jest zainstalowany. Po-

jawi się okno z pomocą. Możesz je zamknąć.

4 W menu odszukaj ikonę programu

Network Stumbler i uruchom program. Je-

śli masz kartę sieciową zgodną z programem

(nie wszystkie umożliwiają nasłuch), rozpocznie

się skanowanie i wyświetlą się jego wyniki:

szym oknie kliknij .

2 W kolejnym oknie instalatora możesz po-

Program wykrywa wiele parametrów sieci, tak-

że zabezpieczenia (jeśli ich nie ma, kolumna

jest pusta, a ikona nie ma kłódki).

Ponieważ sieci WiFi łatwo podsłuchać, opra-

cowano algorytm szyfrowania WEP 2 96>05 . Oka-

zał się jednak zawodny, bo klucz szyfrujący daje

się złamać za pomocą programu AirSnort. Now-

sze zabezpieczenia WiFi w postaci WPA-PSK są

już bardziej pewne 2 96>06 .

zostawić domyślny typ instalacji .

Następnie kliknij .

REKLAMA

Jednym z klasycznych narzędzi do podsłuchu

jest pakiet dsnif , ale wymaga on dodatkowych

składników, niezbyt łatwo się go instaluje, po-

nadto pracuje on w trybie tekstowym. Do po-

kazania możliwości programów tego typu wy-

starczy prostsze narzędzie – darmowy SniffPass

1.01. Program znajduje się na naszej płycie CD,

jest też do pobrania ze strony pod adresem 1 .

1 Dwukrotnie kliknij archiwum ZIP z pro-

pracował w tle, bo w ten

sposób sprawdzisz, jakie hasła

mogą przechwycić inne osoby.

Rejestrację pakietów przerwiesz

przyciskiem n .

3 W kolejnych oknach kliknij oraz

SOFTWARE

Podsłuch sieci przewodowych i WiFi

Ú Metody wykrywania podsłuchu w sieci

Jeśli problem będzie się powtarzał, bardzo moż

liwe, że masz intruza w swoim systemie. Spróbuj

go wykryć i usunąć programem antywirusowym

lub antyszpiegowskim.

Wykorzystanie programu

WinAntisnifer

Wykrycie podsłuchu w przewodowych sieciach

przełączanych również nie jest szczególnie

trudne. Jeśli intruz wykorzystuje technikę ARP

spooing, ingeruje w trasę pakietów, a to moż

na wykryć nawet standardowymi narzędziami

arp i ping wbudowanymi w Windows. Ich ręcz

ne uruchamianie nie jest wygodne, więc opra

cowano programy, które automatycznie spraw

dzają sieć. Bardzo prostym przykładem takiego

programu jest WinAntisniffer, można go pobrać

ze strony 5 .

1 Jeśli program WinAntisniffer jest dostar

5 W kolejnym oknie instalatora WinPcap klik

i ponownie , a w ostatnim oknie przy

cisk . Konieczny będzie reset systemu.

6 Uruchom program WinAntisniffer. Jeśli

wskaż tę, która ma służyć do wykonania testu.

7 W sekcji

masz możliwość wy

boru jednego z czterech te

stów n .

Proponujemy wykonać po

kolei wszystkie, by wyeli

minować fałszywe alar

my.

8 W sekcji wpisz adres IP

wolnym folderze na dysku twardym, np.

w głównym katalogu dysku C: .

2 Uruchom linię poleceń, na przykład kli

czony w archiwum ZIP (np. w takiej po

staci jest do pobrania z internetu), dwukrotnie

kliknij na archiwum.

2 Skopiuj plik instalatora setup.exe do do

następnie , .

3 W linii poleceń przejdź do folderu z pro

wolnego folderu i uruchom go (możesz go

uruchomić także bezpośrednio z archiwum).

3 W programie instalacyjnym w kolejnych

komputera, który chcesz sprawdzić. Jeśli

ma to być większa liczba komputerów, zaznacz

gramem promiscdetect.exe , na przykład po

leceniem cd\ (przeniesie cię do głównego ka

talogu dysku).

4 Wpisz promiscdetect i wciśnij [Enter] . Przej

oknach trzykrotnie kliknij , a na

stępnie .

4 Instalator także zapyta n .

rzyj wyniki działania programu i sprawdź,

czy karta sieciowa ma trzy tryby pracy n .

pole n , a w polach przeznaczonych na adresy IP

wpisz adres początkowy i końcowy.

9 Za pomocą przycisku uruchom

sprawdzanie komputerów. Po chwili w bia

łym polu poniżej zobaczysz wyniki skanowania:

adresy IP komputerów podejrzanych o pod

słuch.

Jeśli dodatkowo ma tryb n , oznacza to, że

twój komputer prowadzi podsłuch. W takim

przypadku zamknij wszystkie programy i spró

buj jeszcze raz uruchomić program promiscde-

tect.exe .

Prawdopodobnie nie masz tej biblioteki w sys

temie, zaznacz więc tę opcję i kliknij .

Zakończy się instalacja programu WinAntisniff,

a rozpocznie WinPcap 3.0.

Niestety, przy wykonywaniu takich prób często

zdarzają się fałszywe alarmy. Właśnie dlatego

zalecamy sprawdzenie sieci kilkoma metodami.

Istnieje przy tym duże prawdopodobieństwo, że

twój komputer z działającym programem Win

Antisniffer, a także router w sieci lokalnej zo

stanie omyłkowo wykryty jako sniffer.

Ú Stosowanie mechanizmów zabezpieczających programy

Każdy program jest dostosowany do obsługi pro

tokołów wykorzystujących szyfrowanie: każda

przeglądarka obsługuje bezpieczny protokół

HTTPS, każdy program pocztowy – SSL, a SSH

można wykorzystać do zdalnego logowania (za

miast Telnetu) i bezpiecznego przesyłania plików

(zamiast FTP). Wykorzystanie tych mechanizmów

powoduje, że żaden podsłuch nie jest groźny.

Zabezpieczanie przeglądarki

Wykorzystanie bezpiecznej transmisji jest moż

liwe tylko wtedy, gdy potraią ją obsłużyć dwie

strony – twoje oprogramowanie klienckie, a tak

że oprogramowanie działające na serwerze. Nie

możesz więc sam zabezpieczyć danych wysyła

nych przez przeglądarkę, jeśli strona WWW ta

kiej możliwości nie oferuje. Wiele serwisów in

ternetowych pozwala na logowanie z wykorzy

staniem protokołu HTTPS.

1 W serwisie Allegro, podczas logowania użyt

towego przez przeglądarkę, zaznacz opcję

bezpiecznego logowania, np. w portalu Wirtual

na Polska jest to opcja n .

Od kilku tygodni jest ustawiona jako domyślna

ta druga opcja, czyli logowanie bezpieczne. Po

jawia się strona szyfrowana, na której zupełnie

bezpiecznie można wprowadzać swoje hasło (da

się to poznać po adresie zaczynającym się od

https w pasku adresowym).

2 W serwisie eBay.pl logowanie odbywa się

Również po takim logowaniu adres widoczny

w pasku adresowym zaczyna się od https .

4 W bankach internetowych nie ma problemu.

zawsze z wykorzystaniem HTTPS n ,

To tylko kilka przykładów szyfrowania danych

przez przeglądarkę. Zasada jest taka, że należy

je stosować wszędzie, gdzie jest to możliwe.

więc hasła i wszystkie dane są szyfrowane.

PC Format 12/2006

INTERNET

Skuteczny podsłuch jest możliwy w sieciach

lokalnych, zarówno przewodowych, jak i bez

przewodowych. Niestety, w sieci WiFi nie mamy

wpływu na to, dokąd dociera sygnał radiowy,

nie można więc wykrywać ewentualnego pod

słuchu. Znacznie łatwiej to zrobić w przypadku

sieci tradycyjnych.

Sprawdzanie koniguracji karty

Możliwe, że to twój komputer, chociaż o tym

nie wiesz, służy do podsłuchu sieci lokalnej. Za

pomocą prostych narzędzi można to sprawdzić

w ciągu kilku sekund. Użytkownikom systemu

Windows proponujemy wykorzystanie progra

mu PromiscDetect, który można pobrać ze stro

ny 4 .

1 Zapisz program promicsdetect.exe w do

nij , następnie zaznacz opcję n

masz kilka kart sieciowych, np. przewodową

i bezprzewodową, w sekcji

kając menu ,

kownik ma dwie możliwości n .

3 Logując się do jakiegokolwiek konta pocz

Stosowanie szyfrowania jest wymuszone

i nie musisz się obawiać o bezpieczeństwo.

Podsłuch sieci przewodowych i WiFi

INTERNET

Twórz dobre hasła, które trudno podsłuchiwać

Od tej pory dane przesyłane przez program

pocztowy będą szyfrowane przez sieć, choć oczy-

wiście nie gwarantuje to absolutnego bezpie-

czeństwa poczty, bo na dysku wiadomości po-

zostają w postaci niezaszyfrowanej.

Bezpieczeństwo komunikatorów

Kradzież kont w komunikatorach, która zdarza

się np. w przypadku Gadu-Gadu, również może

być skutkiem podsłuchu danych. Choć identy-

ikatory użytkowników i hasła teoretycznie za-

wsze są przesyłane w postaci zaszyfrowanej, to

bardzo łatwo jest je podsłuchać.

Niestety, popularny polski komunikator Gadu-

-Gadu, choć nie przesyła haseł w postaci otwar-

tego tekstu, jest podatny na podsłuch. Jest na-

wet gotowe narzędzie do podsłuchu znane jako

GGSpy. Opracowano zatem wtyczkę GaduCrypt,

która wymaga zainstalowania składnika PowerGG

lub podobnego i wymiany kluczy szyfrujących

między użytkownikami. Proces instalacji jest

dość złożony, a nie zawsze udaje się nawiązać

poprawną komunikację. Znacznie łatwiej zmie-

nić komunikator, np. na Tlen, Skype czy MS Mes-

senger. Jeśli chodzi o bezpieczeństwo, warto uni-

kać ICQ, ponieważ również łatwo podsłuchać

wszystkie komunikaty (w tym również hasło

logowania) przesyłane za jego pomocą.

Szyfrowanie haseł i wszystkich przesyłanych danych

nic nie da, jeśli będą to hasła 3–4-znakowe i każdy

będzie mógł je bez problemu odgadnąć. Tworząc każ-

de hasło, musisz przestrzegać kilku zasad:

 Nie wykorzystuj haseł, które są łatwe do od-

gadnięcia: imienia dziewczyny lub ulubionego zwie-

rzaka, nazwy użytkownika, jednego z wyrazów słow-

nika polskiego czy angielskiego, prostej sekwencji kla-

wiszy, np. 12345678.

 Twórz hasła o odpowiedniej długości. Im mniej zło-

żone, tym muszą być dłuższe. Jeśli używasz tylko liter,

musi to być przynajmniej kilkanaście znaków.

 Tworząc hasło, korzystaj z całej klawiatury, a więc

liter, cyfr i znaków specjalnych. Hasło o odpowiednim

stopniu złożoności może być znacznie krótsze, możesz

się ograniczyć do 6–8 znaków.

 Zadbaj o to, by hasła używane w różnych usłu-

gach (np. poczcie, komunikatorze, koncie bankowym)

były różne. W przeciwnym wypadku podsłuchanie jed-

nego hasła (np. pocztowego) da intruzowi dostęp do

wszystkich usług, z których korzystasz.

 Chroń hasła – nie ujawniaj ich osobom trzecim,

nie zapisuj w menedżerach haseł (bezpieczniejsze bę-

dą na kartce), nie przesyłaj pocztą.

Szyfrowanie poczty

Poczta elektroniczna również może być zabez-

pieczona przed podsłuchem tylko wtedy, gdy ze-

chce tego usługodawca i uruchomi szyfrowanie na

swoich serwerach pocztowych. Szyfrowanie ofe-

ruje wiele serwerów komercyjnych, ale także nie-

które darmowe, np. o2.pl, wp.pl, interia.pl. Każdy

dostawca usług podaje instrukcję konigurowania

programu pocztowego, by uchronić użytkownika

od problemów przy koniguracji programu. W przy-

padku Outlook Expressa szyfrowanie poczty włą-

cza się zwykle w następujący sposób:

1 Z menu wybierz polecenie

do zakładki i zaznacz odpo-

wiednie opcje szyfrowania. Jeśli serwer pocz-

towy obsługuje szyfrowanie poczty wychodzącej,

przy opcji n

2 W oknie przejdź do za-

Adresy internetowe:

1 http://www.nirsoft.net/utils

2 http://www.oxid.it

3 http://www.netstumbler.com

4 http://ntsecurity.nu/toolbox/promiscdetect

5 http://m--szmit.republika.pl/zasoby.html

zaznacz pole

kładki . Następnie wskaż konto,

w którym chcesz włączyć szyfrowanie, i kliknij

przycisk .

Jeśli natomiast obsługuje szyfrowanie poczty

przychodzącej, zaznacz to pole przy opcji n .

REKLAMA

4 Przyciskiem zatwierdź ustawienia.

3 W oknie z właściwościami konta przejdź

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: