Odposlouchávali jsme podnikovou síť a šmírovali kolegy z Computeru

  • V další demonstraci útoku si posvítíme na kolegy z Computeru
  • Naší obětí se stane jejich grafička Eva
  • Jestlipak náhodou místo práce zrovna nesurfuje někde jinde?

Venku začalo hřát dubnové slunce a zahrádky kaváren zaplnily davy geeků s laptopy a mobily, kteří tak zoufale hledají volný hotspot s internetem, že se snadno připojí i na síť, kterou ve skutečnosti u vedlejšího stolečku spustil záškodník a už je dlouhé minuty odposlouchává.

Než si však takovou fake Wi-Fi spustíme i my, v dalším pokračování našeho povídání o (ne)bezpečnosti současného internetu a lokálních sítí se podíváme právě do běžné podnikové sítě, ve které budeme odposlouchávat kolegy o patro níže.

Připomeňte si předchozí tematické články o síťovém hackingu a bezpečnosti:

V předchozích dílech jsme používali linuxovou distribuci Kali nainstalovanou na běžné USB klíčence a použijeme ji i dnes, Kali Linux totiž disponuje desítkami předinstalovaných nástrojů pro analýzu, útoky a průniky do počítačových sítí. Ačkoliv distribuci Kali často zneužívají script kiddies, tedy spíše amatéři, ve skutečnosti slouží správcům sítí a podnikového zabezpečení právě k tomu, aby pomocí ní otestovali, jak je jejich IT infrastruktura odolná prakticky proti všem možným útokům.

Vyzkoušíme si MITM

Dnes si vyzkoušíme primitivní útok z rodiny MITMMan In The Middle, tedy muž uprostřed, což jsou techniky, kdy se útočník ocitne mezi vámi a zbytkem světa. Ostatně takovým mužem uprostřed může být právě samotné IT oddělení, které má přístup k centrálnímu routeru a může tedy analyzovat provoz v síti, zakazovat přístup k Facebooku a identifikovat zaměstnance, kteří namísto práce vysedávají na sociální síti.

Já však takový privilegovaný přístup k routeru nemám – jsem přeci prostý zaměstnanec, nicméně v rámci stále rozšířenější politiky BYODBring Your Own Device se mohu do zdejší sítě připojit s vlastním laptopem, na kterém běží právě Kali Linux. S jeho pomocí dnes přesvědčím centrální router, aby na můj počítač přesměroval síťovou komunikaci, která ve skutečnosti patří úplně jinému počítači.

A aby byl náš pokus co nejvěrohodnější, obětí nebude můj vlastní pracovní počítač, ale jedna z DTP mašin o patro níže, na které kolegové z časopisu Computer připravují finální podobu nového vydání svého měsíčníku.

Jakou má oběť vlastně IP adresu?

Nejprve ale musím zjistit lokální IP adresu tohoto počítače. To je u podnikových mašin obvykle jednoduché, pro snadnou identifikaci totiž často svítí přímo na ploše. Pokud by tomu tak nebylo, mohu prozkoumat lokální síť některým z mnoha programů, který se pokusí najít všechna aktivní zařízení v daném subnetu.

Adresa mého pracovního počítače je 192.168.112.62, takže na laptopu s Kali mohou vyzkoušet třeba program netdiscover, kterému přikážu, aby prozkoumal všechny IP adresy v rozsahu 192.168.112.*:

netdiscover –i eth0 –r 192.168.112.0/24

Během pár sekund se začnou vypisovat aktivní síťová zařízení, která se pokusí netdiscover identifikovat podle fyzické adresy MAC a databáze OUI. Pokud totiž MAC adresu síťového zařízení ručně nezměníte, je v ní zakódovaný identifikátor výrobce síťového čipu.

Klepněte pro větší obrázek
Netdiscover vypisuje okolní aktivní síťová zařízení

Jenže podobný výpis nemusí stačit, a tak vyzkoušíme ještě druhou sondu nbtscan, kdy se pokusíme identifikovat počítače podle jejich názvu:

nbtscan –r 192.168.112.0/24

Program vypíše názvy počítačů, jak je znáte třeba z Windows (protokol NetBIOS), a jelikož vím, že oběť se podle údaje na ploše nebo třeba na bedně jmenuje MF1014, mohu si ověřit, že má opravdu IP adresu 192.168.112.63. Program při prvním průchodu nemusí vypsat všechny stanice, takže je třeba jej spustit několikrát, anebo pomocí dalších parametrů zvýšit čas, který má během sondování věnovat jednotlivým zařízením.

Klepněte pro větší obrázek
Nbtscan vypisuje okolní zařízení podle jména (protokol NetBIOS)

Protokol ARP

Takže známe IP adresu oběti, pro náš útok ale budeme potřebovat zjistit ještě IP adresu routeru, který se stará o daný subnet 192.168.112.*. Zpravidla je to 192.168.112.1, nicméně hodnotu si můžeme ověřit ještě pohledem do informací o aktuálním připojení. Na Linuxu získáme adresy síťových bran třeba příkazem route –n.

Dnes chceme odposlouchávat jeden z počítačů grafičky časopisu Computer Evy. Známe jeho IP adresu a nyní potřebujeme přinutit router, aby veškerou komunikaci přesměroval přes nás.

Použijeme k tomu techniku ARP spoofing. Protokol ARP slouží k získání MAC adresy zařízení v síti LAN pomocí jeho IP adresy. Pakliže to naprosto zjednoduším, platí, že když se chce jeden počítač spojit s druhým, pošle do lokální sítě dotaz: „Haló, kdo z vás má IP adresu 192.168.112.63?“ No a ten, který ji má, odpoví „Ahoj, to jsem já a moje fyzická (MAC) adresa je A:B:C:D:E:F!“

V praxi dnes tuto agendu spravuje router, který všem připojeným klientům přiděluje lokální adresy a vede si záznam, ke které IP adrese patří jaká MAC adresa.

MITM útok pomocí techniky ARP spoofing

A jak tedy vypadá onen ARP spoofing? Jednoduše routeru řeknete, že IP adresa 192.168.112.63 nepatří stroji s MAC adresou A:B:C:D:E:F, ale naopak stroji s adresou F:E:D:C:B:A, což je čistě náhodou váš laptop s připojenou USB klíčenkou Kali, na kterém po úspěšném oblbnutí routeru mohu oběť konečně odposlouchávat, protože bude veškerou komunikaci zasílat mně, já ji mohu analyzovat a přeposílat dál na počítač grafičky Evy, aby si ničeho nevšimla.

Klepněte pro větší obrázek
MITM útok pomocí techniky ARP spoofing

K přesvědčení routeru o tom, že IP adresa 192.168.112.63 patří vlastně mně, slouží jednoduchý textový linuxový program arpspoof, já však použiji grafickou a komplexnější nadstavbu ettercap, která však může před prvním startem vyžadovat některé konfigurační úpravy. Ty jsou nad rámec tohoto článku, nicméně je do nejmenšího detailu popisuje třeba článek na webu Kali Linux Howto’s.

Co se zrovna děje na počítači o patro níže?

V korektně nakonfigurovaném ettercapu je to pak již opravdu jednoduché.  V menu zvolím Sniff – Unified sniffing a vyberu síťové rozhraní (eth0). Dále v menu zvolím Hosts – Scan for hosts a podobně jako výše provedu sken okolních počítačů. Ty si nakonec nechám vypsat skrze položku v menu Hosts – Host list. Pokud bych tam kýžený cíl neviděl, je třeba sken okolních zařízení několikrát zopakovat.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Ettercap a příprava ARP spoofingu

V dalším kroku nastavím samotný ARP spoofing.  V seznamu tedy najdu IP adresu routeru a označím ji jako první cíl (tlačítko Add to Target 1). To samé nakonec udělám s IP adresou oběti, kterou označím naopak jako druhý cíl (tlačítko Add to target 2). Nakonec v menu zvolím Mitm – ARP poisoning a zaškrtnu Sniff remote connections.

Nyní by už měl být MITM útok technikou ARP spoofing aktivní a já mohu přímo v ettercapu sledovat komunikaci mezi sítí LAN a obětí. Útok přitom není dostupný jen z ettercapu, ale mohu jej nyní zkoumati pomocí dalších programů v systému Kali.

Klepněte pro větší obrázek
MITM je aktivní a já mohu v ettercapu sledovat komunikaci mezi obětí (192.168.112.63) a zbytkem světa

V Kali najdete třeba všeříkající textovou aplikaci urlsnarf, která bude vypisovat všechny HTTP GET dotazy, a já budu mít tedy přehled o tom, na jakých stránkách zrovna nebohá oběť surfuje. Další program se orientuje na odposlech hodnot zasílaných skrze HTTP POST, což se zase zpravidla týká formulářů, které bude oběť zrovna vyplňovat na kdejakých webových stránkách. A nakonec bych zmínil ještě jeden drobný prográmek driftnet, který zase bude v HTTP komunikaci hledat odkazy na obrázky, které bude ukládat a zároveň zobrazovat v okénku. Pokud si tedy naše oběť bude prohlížet nějakou fotogalerii, my se budeme dívat s ní.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Zatímco si Eva čte novinky na Živě.cz, já mohu o patro výše na svém laptopu sledovat veškerou HTTP komunikaci pomocí programu urlsnarf. Divokého výstupu se nelekejte. Lze jej formátovat a hlavně se předpokládá, že jej bude zpracovávat nějaký další program.

Pomocí univerzálních paketových snifferů – zachytávačů, nicméně můžete analyzovat prakticky jakoukoliv komunikaci a oběť si v lepším případě všimne jen výrazného zpomalení rychlosti internetu.

Klepněte pro větší obrázek
Driftnet se pokouší zachytávat všechny HTTP GET požadavky, které obsahují URL obrázku, které následně ukládá. V náhledu je zrovna pirátská vlajka, protože posloužila jako ilustrační obrázek v jednom z článků na Živě.cz, který Eva zrovna čte.

Je třeba zabít HTTP a používat HTTPS s důvěryhodnými certifikáty

Efektivita demonstrovaného útoku MITM výrazně poklesne v případě, pokud bude oběť surfovat jen na šifrovaných stránkách HTTPS s důvěryhodným certifikátem. V takovém případě má útočník zpravidla smůlu.

Záškodník se ale může pokusit třeba o MITM phishing, takže pokud bude chtít oběť přistoupit třeba na šifrované stránky Facebooku, útočník ji pošle HTML kód fiktivní přihlašovací stránky na tuto sociální síť. Pokud si oběť nevšimne, že není spojení chráněné důvěryhodným certifikátem, může pak hacker získat její přihlašovací jméno a heslo.

Jak vidno, demonstrace MITM útoku v běžné podnikové síti s přátelskou politikou BYOD je poměrně mocná a to vůbec nepíšu o tom, co se může dít u vás doma.

Pozor tedy, až jednou vaše děti dorostou do puberty, mezigenerační spor totiž možná budou řešit také ARP spoofingem.  

Témata článku: Linux, Internet, Hacking, Odposlech, Fake, Kali, Laptop, Route 66, Síťová IP, Lokální síť, Oběť, Běžný set, Síťová technika, Adresa, Wi-fi síť, Záškodník, Síťový protokol, Síťová komunikace, Běžná komunikace, Síťová data, První start, Běžný laptop, Připojený klient, Aktivní zařízení, Podnik

36 komentářů

Nejnovější komentáře

  • HostingerCZ 12. 4. 2016 19:31:32
    Začnou se zajímat ne jen o bezpečnost..to mi věř," slova typu provedli...
  • shadow_warior 7. 4. 2016 14:05:19
    to stejne umel cain a abel pres 10ti lety a bez nejakeho okecavani na...
  • miser 6. 4. 2016 16:37:16
    Pro mě sice zcela nudné téma, ale hodnotím snahu o tvorbu původního...
Určitě si přečtěte

Jak převést PDF do Wordu: 3 způsoby, které můžete použít

Jak převést PDF do Wordu: 3 způsoby, které můžete použít

** Využít můžete přímo Word v rámci balíčku Office ** Zdarma lze využít Google Dokumenty, neporadí si ale s formátováním ** Obrátit se také můžete na specializované stránky

11.  8.  2017 | Vladislav Kluska | 9

Obří skládačka: Na Floridě staví nejsilnější raketu pro cestu ke Slunci

Obří skládačka: Na Floridě staví nejsilnější raketu pro cestu ke Slunci

** Na Mys Canaveral dorazily přídavné boostery pro raketu Delta IV Heavy ** V létě 2018 vynese raketa do vesmíru kosmickou sondu Parker Solar Probe ** Sonda prolétne okolo Slunce

10.  8.  2017 | Petr Kubala | 7

USB zařízení je možné odposlouchávat ze sousedního portu

USB zařízení je možné odposlouchávat ze sousedního portu

** Crosstalk byl dřív problém paralelních portů, dnes se ho pokusili prověřit na USB ** Zařízení ze sousedního USB portu může odposlouchávat to vedlejší ** Mohou vznikat záškodnické flašky nebo třeba USB lampičky

14.  8.  2017 | Adam Harmada | 18

Zrušený evropský roaming je brutální vražda virtuálních operátorů

Zrušený evropský roaming je brutální vražda virtuálních operátorů

** Když EU rušila roaming, šla přes mrtvoly ** Tou největší jsou virtuální operátoři ** Vlastně je překvapivé, že už nepadají jeden po druhém

12.  8.  2017 | Filip Kůžel | 85


Aktuální číslo časopisu Computer

Velký test NVMe a SATA SSD

Máte slabý signál
Wi-Fi? Poradíme!

Jak umělá inteligence opravuje fotky

Kupujete dron? Ty levné se nevyplatí