Venku začalo hřát dubnové slunce a zahrádky kaváren zaplnily davy geeků s laptopy a mobily, kteří tak zoufale hledají volný hotspot s internetem, že se snadno připojí i na síť, kterou ve skutečnosti u vedlejšího stolečku spustil záškodník a už je dlouhé minuty odposlouchává.
Než si však takovou fake Wi-Fi spustíme i my, v dalším pokračování našeho povídání o (ne)bezpečnosti současného internetu a lokálních sítí se podíváme právě do běžné podnikové sítě, ve které budeme odposlouchávat kolegy o patro níže.
Připomeňte si předchozí tematické články o síťovém hackingu a bezpečnosti:
V předchozích dílech jsme používali linuxovou distribuci Kali nainstalovanou na běžné USB klíčence a použijeme ji i dnes, Kali Linux totiž disponuje desítkami předinstalovaných nástrojů pro analýzu, útoky a průniky do počítačových sítí. Ačkoliv distribuci Kali často zneužívají script kiddies, tedy spíše amatéři, ve skutečnosti slouží správcům sítí a podnikového zabezpečení právě k tomu, aby pomocí ní otestovali, jak je jejich IT infrastruktura odolná prakticky proti všem možným útokům.
Vyzkoušíme si MITM
Dnes si vyzkoušíme primitivní útok z rodiny MITM – Man In The Middle, tedy muž uprostřed, což jsou techniky, kdy se útočník ocitne mezi vámi a zbytkem světa. Ostatně takovým mužem uprostřed může být právě samotné IT oddělení, které má přístup k centrálnímu routeru a může tedy analyzovat provoz v síti, zakazovat přístup k Facebooku a identifikovat zaměstnance, kteří namísto práce vysedávají na sociální síti.
Já však takový privilegovaný přístup k routeru nemám – jsem přeci prostý zaměstnanec, nicméně v rámci stále rozšířenější politiky BYOD – Bring Your Own Device se mohu do zdejší sítě připojit s vlastním laptopem, na kterém běží právě Kali Linux. S jeho pomocí dnes přesvědčím centrální router, aby na můj počítač přesměroval síťovou komunikaci, která ve skutečnosti patří úplně jinému počítači.
A aby byl náš pokus co nejvěrohodnější, obětí nebude můj vlastní pracovní počítač, ale jedna z DTP mašin o patro níže, na které kolegové z časopisu Computer připravují finální podobu nového vydání svého měsíčníku.
Jakou má oběť vlastně IP adresu?
Nejprve ale musím zjistit lokální IP adresu tohoto počítače. To je u podnikových mašin obvykle jednoduché, pro snadnou identifikaci totiž často svítí přímo na ploše. Pokud by tomu tak nebylo, mohu prozkoumat lokální síť některým z mnoha programů, který se pokusí najít všechna aktivní zařízení v daném subnetu.
Adresa mého pracovního počítače je 192.168.112.62, takže na laptopu s Kali mohou vyzkoušet třeba program netdiscover, kterému přikážu, aby prozkoumal všechny IP adresy v rozsahu 192.168.112.*:
netdiscover –i eth0 –r 192.168.112.0/24
Během pár sekund se začnou vypisovat aktivní síťová zařízení, která se pokusí netdiscover identifikovat podle fyzické adresy MAC a databáze OUI. Pokud totiž MAC adresu síťového zařízení ručně nezměníte, je v ní zakódovaný identifikátor výrobce síťového čipu.
Netdiscover vypisuje okolní aktivní síťová zařízení
Jenže podobný výpis nemusí stačit, a tak vyzkoušíme ještě druhou sondu nbtscan, kdy se pokusíme identifikovat počítače podle jejich názvu:
nbtscan –r 192.168.112.0/24
Program vypíše názvy počítačů, jak je znáte třeba z Windows (protokol NetBIOS), a jelikož vím, že oběť se podle údaje na ploše nebo třeba na bedně jmenuje MF1014, mohu si ověřit, že má opravdu IP adresu 192.168.112.63. Program při prvním průchodu nemusí vypsat všechny stanice, takže je třeba jej spustit několikrát, anebo pomocí dalších parametrů zvýšit čas, který má během sondování věnovat jednotlivým zařízením.
Nbtscan vypisuje okolní zařízení podle jména (protokol NetBIOS)
Protokol ARP
Takže známe IP adresu oběti, pro náš útok ale budeme potřebovat zjistit ještě IP adresu routeru, který se stará o daný subnet 192.168.112.*. Zpravidla je to 192.168.112.1, nicméně hodnotu si můžeme ověřit ještě pohledem do informací o aktuálním připojení. Na Linuxu získáme adresy síťových bran třeba příkazem route –n.
Dnes chceme odposlouchávat jeden z počítačů grafičky časopisu Computer Evy. Známe jeho IP adresu a nyní potřebujeme přinutit router, aby veškerou komunikaci přesměroval přes nás.
Použijeme k tomu techniku ARP spoofing. Protokol ARP slouží k získání MAC adresy zařízení v síti LAN pomocí jeho IP adresy. Pakliže to naprosto zjednoduším, platí, že když se chce jeden počítač spojit s druhým, pošle do lokální sítě dotaz: „Haló, kdo z vás má IP adresu 192.168.112.63?“ No a ten, který ji má, odpoví „Ahoj, to jsem já a moje fyzická (MAC) adresa je A:B:C:D:E:F!“
V praxi dnes tuto agendu spravuje router, který všem připojeným klientům přiděluje lokální adresy a vede si záznam, ke které IP adrese patří jaká MAC adresa.
MITM útok pomocí techniky ARP spoofing
A jak tedy vypadá onen ARP spoofing? Jednoduše routeru řeknete, že IP adresa 192.168.112.63 nepatří stroji s MAC adresou A:B:C:D:E:F, ale naopak stroji s adresou F:E:D:C:B:A, což je čistě náhodou váš laptop s připojenou USB klíčenkou Kali, na kterém po úspěšném oblbnutí routeru mohu oběť konečně odposlouchávat, protože bude veškerou komunikaci zasílat mně, já ji mohu analyzovat a přeposílat dál na počítač grafičky Evy, aby si ničeho nevšimla.
MITM útok pomocí techniky ARP spoofing
K přesvědčení routeru o tom, že IP adresa 192.168.112.63 patří vlastně mně, slouží jednoduchý textový linuxový program arpspoof, já však použiji grafickou a komplexnější nadstavbu ettercap, která však může před prvním startem vyžadovat některé konfigurační úpravy. Ty jsou nad rámec tohoto článku, nicméně je do nejmenšího detailu popisuje třeba článek na webu Kali Linux Howto’s.
Co se zrovna děje na počítači o patro níže?
V korektně nakonfigurovaném ettercapu je to pak již opravdu jednoduché. V menu zvolím Sniff – Unified sniffing a vyberu síťové rozhraní (eth0). Dále v menu zvolím Hosts – Scan for hosts a podobně jako výše provedu sken okolních počítačů. Ty si nakonec nechám vypsat skrze položku v menu Hosts – Host list. Pokud bych tam kýžený cíl neviděl, je třeba sken okolních zařízení několikrát zopakovat.
Ettercap a příprava ARP spoofingu
V dalším kroku nastavím samotný ARP spoofing. V seznamu tedy najdu IP adresu routeru a označím ji jako první cíl (tlačítko Add to Target 1). To samé nakonec udělám s IP adresou oběti, kterou označím naopak jako druhý cíl (tlačítko Add to target 2). Nakonec v menu zvolím Mitm – ARP poisoning a zaškrtnu Sniff remote connections.
Nyní by už měl být MITM útok technikou ARP spoofing aktivní a já mohu přímo v ettercapu sledovat komunikaci mezi sítí LAN a obětí. Útok přitom není dostupný jen z ettercapu, ale mohu jej nyní zkoumati pomocí dalších programů v systému Kali.
MITM je aktivní a já mohu v ettercapu sledovat komunikaci mezi obětí (192.168.112.63) a zbytkem světa
V Kali najdete třeba všeříkající textovou aplikaci urlsnarf, která bude vypisovat všechny HTTP GET dotazy, a já budu mít tedy přehled o tom, na jakých stránkách zrovna nebohá oběť surfuje. Další program se orientuje na odposlech hodnot zasílaných skrze HTTP POST, což se zase zpravidla týká formulářů, které bude oběť zrovna vyplňovat na kdejakých webových stránkách. A nakonec bych zmínil ještě jeden drobný prográmek driftnet, který zase bude v HTTP komunikaci hledat odkazy na obrázky, které bude ukládat a zároveň zobrazovat v okénku. Pokud si tedy naše oběť bude prohlížet nějakou fotogalerii, my se budeme dívat s ní.
Zatímco si Eva čte novinky na Živě.cz, já mohu o patro výše na svém laptopu sledovat veškerou HTTP komunikaci pomocí programu urlsnarf. Divokého výstupu se nelekejte. Lze jej formátovat a hlavně se předpokládá, že jej bude zpracovávat nějaký další program.
Pomocí univerzálních paketových snifferů – zachytávačů, nicméně můžete analyzovat prakticky jakoukoliv komunikaci a oběť si v lepším případě všimne jen výrazného zpomalení rychlosti internetu.
Driftnet se pokouší zachytávat všechny HTTP GET požadavky, které obsahují URL obrázku, které následně ukládá. V náhledu je zrovna pirátská vlajka, protože posloužila jako ilustrační obrázek v jednom z článků na Živě.cz, který Eva zrovna čte.
Je třeba zabít HTTP a používat HTTPS s důvěryhodnými certifikáty
Efektivita demonstrovaného útoku MITM výrazně poklesne v případě, pokud bude oběť surfovat jen na šifrovaných stránkách HTTPS s důvěryhodným certifikátem. V takovém případě má útočník zpravidla smůlu.
Záškodník se ale může pokusit třeba o MITM phishing, takže pokud bude chtít oběť přistoupit třeba na šifrované stránky Facebooku, útočník ji pošle HTML kód fiktivní přihlašovací stránky na tuto sociální síť. Pokud si oběť nevšimne, že není spojení chráněné důvěryhodným certifikátem, může pak hacker získat její přihlašovací jméno a heslo.
Jak vidno, demonstrace MITM útoku v běžné podnikové síti s přátelskou politikou BYOD je poměrně mocná a to vůbec nepíšu o tom, co se může dít u vás doma.
Pozor tedy, až jednou vaše děti dorostou do puberty, mezigenerační spor totiž možná budou řešit také ARP spoofingem.
