03 oktoober 2007

Vaenlasega kontoris

Tõnu Samuel
tonu(at)spam.ee

Siiani olen turvalisusest rääkides näidanud, kuidas tundmatu ning kuri inimene võib pahandust teha. Tegelikult võib oht olla ka palju lähemal ja tuttavate hulgas. Ka firma enda töötajad võivad nuuskida saladusi, mille teadmist pole neile ette nähtud.

Turvaalal nimetatakse seda “man in the middle“ ehk ründed, kus pahatahtlik tegelane pole kaugel internetis, vaid kuskil teie kõrval. Need ründed on kahjuks oluliselt lihtsamad, kui arvata võiks.
Üks tuntumaid tarkvarasid teiste paroolide püüdmiseks lokaalvõrgus on Cain & Abel, mille saab iga soovija tõmmata endale veebisaidist http://www.oxid.it/. Installi ja kõik muu sellise jätan vahele, lugeja saab sellega kindlasti ise ka hakkama. Ainult suur-suur hoiatus, et tehke neid katseid kodus. Firmas selliste asjadega mängimine võib lõppeda kurvalt. Järgnevate õpetuste järgimine võib seisata arvutivõrgu töö ja tuua kaela hulga pahandusi juriidilisel pinnal. Seega – ainult kodus või mujal, kus see ei sega ning on legaalne.
Käivitamiseks valime startmenüüst Cain ning ekraanile ilmub selline programm, nagu näha ekraanipildil nr 1.



Alustuseks tuleb meil skaneerida võrk läbi ning leida seal asetsevad arvutid üles. Selleks vajutame tööriistaribalt teise ikooni sniffer alla, valime ülemiselt tab`ide realt sniffer ja alumiselt Hosts. Ekraanil on tühi tabel. Sinna tuleb saada masinate nimekiri. Selleks vajutame tööriistaribalt suurt plussmärki.
(Vt ekraanipilt nr 2.)



Tekkinud MAC address skanneris, tavaliselt piisab kui OK valida.
(Vt ekraanipilt nr 3.)



Järgmine samm on otsustada, kelle liiklust me pealt kuulata tahame. Ahneks ei tasu minna. Liiga paljut korraga püüdes saab halvata suure tõenäosusega kogu võrgu töö. Pealt kuulamine tähendab võrgu lollitamist, mille tulemusena meid huvitav liiklus hakkab läbima meie enda masinat. Kui üritada pealt kuulata kümneid masinaid, peaks meie võrguliikluse võimalused ka olema kümnekordsed.
Mina olen selle katse tegemisel WiFi küljes ja oleks suhteliselt rumal eeldada, et võrgu liiklus mulle WiFi sisse ära mahub. Nimekirjas tundub mulle aadressiga 192.168.0.156 masin huvitav. Valik on üsna subjektiivne, kuid mälu ütleb, et see on vist mu naise läptop.
“Sniffer“-tab peab olema endiselt aktiivne, kuid alt valime APR (ARP Poison Routing). Ilmub selline kolme aknaga pilt. Vasakul on igasugu APR-algusega protokollidega nimed, üleval ja all on tühjad tabelid. Klikkame korra ülemisse tabelisse ning seepeale plussmärgiga ikooni. Ilmub aken nimekirjaga IP-aadressidest. See dialoog laseb sisestada, milliste masinate omavahelist liiklust ma soovin pealt kuulata. Mind huvitab 192.168.0.156 suhe kõigi teiste masinatega. Valin vasakult 192.168.0.156 ning paremale ilmunud nimekirjast kõik aadressid (Shift ja hiireklikk abistab selles).
(Vt ekraanipilt nr 4)



Tegelikult võib ka vähem võtta. Valida kummastki poolest ainult üks masin ning siis peaks ainult nendevaheline liiklus meieni jõudma. Vajutame OK ning reaalne rünne läheb käima, kui surume alla radioaktiivsuse eest hoiatava nupu tööriistaribal. Pilt hakkab üsna kiirelt muutuma ning peaksid ilmuma sellised kirjed nagu ekraanipildil nr 5.



Üleval on staatus, et kuidas ARP vahemälude mürgitamine edeneb. Kui seal on idle, siis ta lihtsalt ei tee seda ja midagi on valesti. All on näha, kuidas liiklus hakkab meie kaudu käima. Full-routing viitab, et sihtmärk on lolliks aetud ning liiklus käib meie kaudu. Half-routing on tavaliselt kiirelt mööduv ning sellel ajal näeme me liikluse ühte suunda. Mida aeg edasi, seda tõhusamaks peaks rünne muutuma ning pilt täitub “full-routing“-teadetega.
Kuna kogu liiklus käib meie masina kaudu, on võimalus see liiklus läbi lugeda. Cain oskab otsida enamlevinud protokollidest kasutajanimesid ja paroole. Selleks pole mitte midagi enamat vaja teha, kui me juba tegime.
Kogutud paroole näeme, kui valime tab`i Sniffer ning siis Passwords.
(Vt ekraanipilt nr 6)



Vasakul on http taga number 1, ehk üks parool on leitud. See on http://www.mail.com/ kasutajatunnus koos parooliga. Samamoodi ilmuvad sinna paljude muude protokollide paroolid – veeb, FTP, POP3 on kõige tavalisemad. Lisaks paroolide salvestamisele lähevad kettale ka Microsoft Netmeetinguga kõneletud audiofailid.
Nüüd mõned müüdid. Ei ole päris õige arvamus, et krüptimine päästab kõige eest. Näiteks internetipankade veebisaidid kasutavad HTTPS-protokolli, kus kogu liiklus panga ja brauseri vahel on krüpteeritud. Cain küll näeb seda, aga ei mõista sisu. Cain ja muud sellised tarkvarad oskavad seda probleemi siiski kasutaja kahjuks väga nutikalt lahendada.
Oletame, et kasutaja 192.168.0.156 masinast otsustab kasutada internetipanka http://www.hanza.net/. Cain taipab, et tegemist on HTTPS-ühendusega ning loob kiirelt ise sellise veebisaidi. Tervet veebi pole tal vaja luua, kuid panga sertifikaadi teeb ta küll. Selle abil on võimalik krüpteerida liiklus kliendist Cain`ini, kiigata sinna sisse, teha vajadusel muudatusi ning krüpteerida uuesti panka saatmiseks. Kasutajale ilmub sellise tegevuse korral suur hoiatus, et midagi on panga sertifikaatidega valesti, kuid üldjuhul kasutaja ei lase ennast häirida. IT-probleemidega ollakse harjunud ning kui OK vajutamine probleemi lahendab, pole kasutajal mingit küsimust, et selle vajutamine oli õige tegu.

Linuxi kasutajatele on Ettercap
Teine tööriist on Linuxi all nimega Ettercap. Ettercap`i võimalused on väga laiad ning läheme parem kohe asja juurde. Primitiivne paroolide sniffimine:

ettercap -T -q -M arp /192.168.0.156/ //

Käsureal olevate lippude tähendused:
-T on tekstirežiim;
-q on nõue vähem rääkida;
-M arp tähendab “man in the middle rünne ARP-meetodil“.
Kaldjoonte vahele pannakse kirja, kust kuhu liiklus meid huvitab. 192.168.0.156 kõigi teiste suhtes on antud juhul eesmärgiks.
Ettercap toimib samamoodi nagu Cain – alguses läheb natuke aega, kuni suudetakse ARP-i vahemälud mürgitada. Samamoodi ei tasu Ettercap`i kohe Ctrl-C abil katkestada, muidu ei oska võrk normaalolukorda taastuda. Ettercap`ist väljumiseks tuleb kasutada Shift-Q kombinatsiooni.
Ettercap oskab ka võrguliiklust käigu pealt vahetada. Näiteks saame enamik veebilehti üsna pornograafiliseks muuta. Kirjutame faili nimega “kala.filter“ sellised neli rida:

if (ip.proto == TCP && tcp.src == 80) {
replace("src=", "src=\"http://hosto.ru/znako/ban-prost.gif\" ");
replace("SRC=", "src=\"http://hosto.ru/znako/ban-prost.gif\" ");
}

Tegemist on filtriga, mis teatud tingimustel vahetab veebilehe sisus mõningad asjad ära. Üldjuhul pannakse kõikide piltide asemele pornobänner. Kompileerime tekstifaili masinkujule käsuga “etterfilter kala.filter -o kala.ef“ ning siis käivitame Ettercap`i:

ettercap -T -q -F kala.ef -M arp /192.168.0.156/ //

Umbes minuti jooksul muutub 192.168.0.156 IP-aadressiga arvuti taga istuja pilk väga küsivaks. Seda rünnet annab kogu võrgu vastu pöörata IP-aadressi lihtsalt eemaldades ja jättes kaks korda // käsuritta.
Ettercap`i ennast saab kasutada ARP mürgitamise avastamiseks, kasutades käsurida:

ettercap -T -q -P find_ettercap

Kallimatel võrguseadmetel on üldjuhul peal ARP rünnete vastased filtrid, kuid praktikas kipuvad nad olema välja lülitatud.

Lihtsaim kaitse on ID-kaart
Teiega ühes arvutivõrgus olijad saavad tõenäoliselt pealt kuulata teie sõnumeid, e-kirju, paroole ja muudki. Vahendid on vabalt kättesaadavad ning neid osatakse kasutada. Olles ise piisavalt rumal, võib sattuda libapanga otsa ja lasta endal nahk üle kõrvade tõmmata. Kuidas vältida ohvriks sattumist? Lihtsaim retsept on kasutada ID-kaarti. Selle kasutamine annab hetkel parima reaalse kaitse. Kuni ID-kaart ja PIN-kood on korralikult kaitstud, pole mõistlike vahenditega rünnak teostatav. Vähemalt Eesti internetipankade puhul on see nii.
(Tõnu Samueli lugu ilmus septembri Arvutimaailmas.)
Kordan siin veelkord üle Tõnu lugude eesmärgi, kuigi AMis oli eelmise aasta suvel, kui ta oma sarja alustas, sellest korduvalt juttu. Jah, võib jääda mulje, et Tõnu lood õpetavad pätti tegema, samas ei ole see tema ega Arvutimaailma soov. Meie arvates on turvateemade taoline käsitlemine kõige kindlam viis panna tavakasutajaid aru saama, kui kaitsetud nad on, kui turvalisusele piisavalt tähelepanu ei pööra.
Kurja tegemine on lihtsam, kui üldiselt arvatakse. Ja kui seda muidu ei usuta, tuleb üksipulgi näidata. Pulkadest värskes (oktoobri) numbris Tõnu just kirjutabki - sellest, kuidas USB või Firewire'i kaudu sigadusi võidakse teha. Siia jõuab see artikkel aga alles rohkem kui kuu aja pärast. Seni saab vutt-vutt-vutt lehekioskisse minna... ;)

1 kommentaari:

Gunnar ütles ...

Peale ID-kaardi kasutatakse ka muid vahendeid. Näiteks ise genereeritud privaatvõtmete abil andmete krüpteerimine. Secure tunnelite korral toimub andmete kokku ja lahti krüpteerimine nö. võrgukaardi taga ja kaardi pealt loetud baidijadadega pole meil enamasti midagi tarka peale hakata.

E-maili puhul annan ühe väikse soovituse. Pea kõik kodumaised e-maili teenuse pakkujad pakuvad ka võimalust kasutada turvalisi e-maili protokolle. Seda nii mailide saatmisel kui ka alla laadimisel. Igaüks saab oma e-maili kliendist ise need seadistused paika panna ja vähegi arvutiteadliku inimese jaoks seal midagi keerukat või võõrast ei tohiks olla.

Kontakt:

merlis (ät) am.ee
kaido (ät) am.ee

Kui on midagi füüsilist saata, siis:
Kirjastus Presshouse
Liimi 1, 10621 Tallinn
Me käime mõnikord seal ja saame kätte.

Juuni Arvutimaailm

Juuni Arvutimaailm

About Me