Sulla decrittazione e analisi dei dati trasmessi nelle reti degli operatori di telecomunicazioni in tempo reale. I dipartimenti stanno ora studiando le possibili soluzioni tecniche per attuare questa proposta.
Una delle opzioni di decrittazione in discussione è l'installazione di apparecchiature sulle reti degli operatori in grado di eseguire un attacco MITM (Man in the Middle). Per analizzare il traffico non crittografato e già decrittografato, si propone di utilizzare i sistemi DPI, già utilizzati dalle società di telecomunicazioni per filtrare i siti vietati.
Letteralmente subito dopo la comparsa di queste informazioni, l'iniziativa è stata criticata dalla comunità Internet. In particolare, il difensore civico “profilo” in una conversazione con una stazione radio "Mosca parla" ha definito inaccettabile la decrittazione del traffico utente.
Fondatore della Internet Defense Society nel suo account Facebook analizzato in dettaglio i metodi proposti dalle autorità.
"MITM è un tipo attacco hacker, che consiste nel fatto che l'aggressore P è inserito in un canale criptato tra gli utenti A e B, e quando A e B pensano di crittografarsi reciprocamente i messaggi, in realtà li stanno crittografando tutti a P, che apre il messaggi, quindi li crittografa nuovamente e li invia", ha spiegato l'esperto.
Il problema nell'esecuzione di questo compito, come scrive Volkov, è il fatto che viene utilizzato per Internet Software un tentativo di falsificare un certificato per crittografare nuovamente il contenuto sembra una frode. Quando sistema operativo oppure il browser rileva che viene presentato un certificato falso, lo bloccheranno immediatamente.
In una conversazione con Gazeta.Ru, Volkov ha osservato che la nuova iniziativa dei dipartimenti sembra più realistica dell’archiviazione completa dei dati, ma “è ancora lontana dall’essere fattibile qui e ora”.
A sua volta, il principale analista di virus di ESET Russia ritiene che da un punto di vista tecnico le proposte dell'FSB, del Ministero delle telecomunicazioni e delle comunicazioni di massa e del Ministero dell'industria e del commercio siano reali. “Finora le iniziative si sono limitate all’analisi del traffico non crittografato e alla raccolta di informazioni di base sugli utenti. La nuova proposta potrebbe richiedere ai fornitori e agli utenti di installare uno speciale certificato digitale per analizzare il traffico crittografato, ad esempio HTTPS", ha detto a Gazeta.Ru.
Alieni criptati
Il direttore dell'agenzia di informazione e analisi TelecomDaily ha dichiarato a Gazeta.Ru che decrittografare il traffico non è un processo facile. "I ministeri che si assumono questo compito non comprendono appieno che potrebbero non essere in grado di farcela", ha aggiunto.
L'analista ha osservato che la questione delle attività delle società straniere responsabili delle comunicazioni con gli utenti è ancora irrisolta. Prima di tutto stiamo parlando sui messenger con crittografia end-to-end.
“Non vedo alcun cambiamento in termini di collaborazione con organizzazioni che, da un punto di vista legale, non sono in Russia. Ma con le nostre aziende è più facile: puoi sempre fare pressione su di loro", ha osservato Kuskov.
Nel pacchetto di emendamenti antiterrorismo si parla, oltre agli operatori di telecomunicazioni, dei cosiddetti organizzatori della diffusione delle informazioni. Per loro, dal 2014 a Legislazione russa ha un proprio registro, che è mantenuto da .
Attualmente l'elenco comprende circa 70 elementi. Tra loro mezzi di comunicazione sociale"VKontakte", "Odnoklassniki", "My Circle" e "Rambler", strutture di archiviazione "Yandex.Disk", "[email protected]", portali "Khakhbrahabr". “Roem”, il sito di incontri “Mamba”, il servizio video RuTube, la piattaforma blog LiveInternet, la scheda immagini “Dvach” e altri.
Durante l'intero periodo della sua attività, nel registro non è stato incluso un solo portale o messenger straniero.
«Se tali piani delle autorità iniziano ad essere attuati, allora appariranno messaggeri contenenti protezione aggiuntiva dagli attacchi MITM. Ad esempio, mescolando una chiave segreta nella crittografia e distribuendola tra gli abbonati. In poche parole, la password concordata dai partecipanti alla corrispondenza", ha detto a Gazeta.Ru il direttore della divisione sicurezza del gruppo di società Softline.
Come rompere HTTPS
Un metodo di crittografia ben noto non è solo end-to-end, ma anche HTTPS, un protocollo sicuro utilizzato dai siti web.
Allo stesso tempo, più tardi, parlando con "Sciame", capo della Information Democracy Foundation, che si occupa di questioni relative all’indipendenza informatica della Runet all’interno della Repubblica islamica dell’Iran, ha definito tale idea “una sciocchezza”.
Kuskov, in una conversazione con Gazeta.Ru, ha anche definito improbabile un possibile passo verso la completa sostituzione delle importazioni.
“Le comunicazioni cellulari attualmente sono importate al 100%. Non è semplice stazioni base, ma un complesso hardware e software. Al momento è impossibile sostituire tutto questo.
Fino a quando non verrà fatto un passo serio da parte del Ministero delle Comunicazioni e del Ministero dell'Industria e del Commercio, non ci si aspetta nulla di buono in questa direzione. Non vedo azioni concrete che ci permettano di affermare che la Russia possa passare alle apparecchiature domestiche nel prossimo futuro”, ha concluso l’esperto di telecomunicazioni.
Operatori comunicazioni mobili ha rifiutato di commentare. Il Ministero delle Telecomunicazioni e delle Comunicazioni di massa non ha risposto alla richiesta di Gazeta.Ru.
La compressione HTTP, utilizzata dalla maggior parte dei siti per ridurre la dimensione dei dati trasferiti, può diventare un serio rischio per la sicurezza se il sito utilizza HTTPS. Lo hanno affermato gli esperti di sicurezza Dimitris Karakostas e Dionysis Zindros. I ricercatori sono riusciti a migliorare lo sfruttamento di una falla nota da tempo che consente di accelerare la decrittazione del traffico HTTPS e hanno utilizzato un attacco contro i codici a blocchi in una connessione SSL/TLS.
L’attacco, chiamato BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), sfrutta i difetti nell’algoritmo di compressione gzip/DEFLATE. L’attacco è diventato noto per la prima volta nel 2013. Alla conferenza Black Hat USA, i ricercatori Angelo Prado, Neal Harris e Yoel Gluck hanno parlato di attacchi ai cifrari di flusso SSL/TLS come RC4.
Dimostrazione di un nuovo approccio al funzionamento implementato in un framework open source codice sorgente Rupture, presentato la scorsa settimana al Black Hat Asia.
Nel rapporto gli esperti hanno dimostrato due attacchi riusciti contro Gmail e la chat di Facebook.
Per effettuare un attacco BREACH, un attaccante deve essere in grado di intercettare traffico di rete vittime. Questo può essere fatto attraverso Reti Wi-Fi o attraverso l'accesso alle apparecchiature del provider Internet. L'aggressore dovrebbe inoltre scoprire una parte vulnerabile dell'applicazione che accetta input tramite URL di parametri e restituisce tali dati in una risposta crittografata.
Nel caso di Gmail, una ricerca sul sito si è rivelata tale applicazione dispositivi mobili. Se query di ricerca effettuato per conto di un utente autorizzato, alla risposta viene allegato anche un token di autenticazione. Questo token verrà crittografato all'interno della risposta. Tuttavia, ogni volta che la stringa di ricerca corrisponde a una parte del token, la dimensione della risposta al client sarà inferiore, poiché le stringhe identiche nella risposta verranno compresse.
Un utente malintenzionato potrebbe forzare l'invio da parte dell'applicazione client un gran numero di richieste e quindi indovinare tutti i caratteri del token di autenticazione.
Il framework Rupture consente di iniettare un codice speciale in ogni richiesta HTTP non crittografata aperta dal browser della vittima. Il codice inserito fa sì che il browser client effettui connessioni all'applicazione HTTPS vulnerabile in sfondo. Ciò è necessario per sferrare con successo un attacco ai codici a blocchi, che creano molto “rumore” durante la crittografia dei dati. Per eliminare la spazzatura, i ricercatori hanno inviato le stesse richieste più volte di seguito e hanno analizzato la differenza nella dimensione delle risposte ricevute. Gli esperti sono riusciti anche a utilizzare la parallelizzazione lato browser, cosa che ha notevolmente accelerato l’attacco contro i codici a blocchi nelle connessioni TLS.
Molti utenti non si rendono conto che inserendo login e password al momento della registrazione o dell'autorizzazione su una risorsa Internet chiusa e premendo INVIO, questi dati possono essere facilmente intercettati. Molto spesso vengono trasmessi in rete in forma non protetta. Pertanto, se il sito a cui stai tentando di accedere utilizza il protocollo HTTP, è molto semplice acquisire questo traffico, analizzarlo utilizzando Wireshark e quindi utilizzare filtri e programmi speciali per trovare e decrittografare la password.
Il posto migliore per intercettare le password è il nucleo della rete, dove il traffico di tutti gli utenti va verso risorse chiuse (ad esempio la posta) o davanti al router per accedere a Internet, quando si registrano su risorse esterne. Installiamo uno specchio e siamo pronti a sentirci un hacker.
Passaggio 1. Installa e avvia Wireshark per acquisire il traffico
A volte, per fare ciò, è sufficiente selezionare solo l'interfaccia attraverso la quale intendiamo acquisire il traffico e fare clic sul pulsante Start. Nel nostro caso, stiamo catturando tramite una rete wireless.
È iniziata la cattura del traffico.
Passaggio 2. Filtraggio del traffico POST catturato
Apriamo il browser e proviamo ad accedere ad alcune risorse utilizzando un nome utente e una password. Una volta completato il processo di autorizzazione e aperto il sito, interrompiamo l'acquisizione del traffico in Wireshark. Successivamente, apri l'analizzatore di protocollo e visualizza un gran numero di pacchetti. È qui che la maggior parte dei professionisti IT si arrende perché non sa cosa fare dopo. Ma conosciamo e siamo interessati a pacchetti specifici che contengono dati POST che vengono generati sul nostro computer locale durante la compilazione di un modulo sullo schermo e inviati a un server remoto quando facciamo clic sul pulsante "Accedi" o "Autorizzazione" nel browser.
Inseriamo un filtro speciale nella finestra per visualizzare i pacchetti catturati: http.richiesta.metodo == “INVIARE"
E vediamo, invece di migliaia di pacchetti, solo uno con i dati che stiamo cercando.
Passaggio 3. Trova il login e la password dell'utente
Fare rapidamente clic con il pulsante destro del mouse e selezionare la voce dal menu Segui TCP Steam
Successivamente, il testo apparirà in una nuova finestra che ripristina il contenuto della pagina nel codice. Troviamo i campi “password” e “utente”, che corrispondono alla password e al nome utente. In alcuni casi, entrambi i campi saranno facilmente leggibili e nemmeno crittografati, ma se stiamo cercando di catturare traffico quando accediamo a risorse molto conosciute come Mail.ru, Facebook, VKontakte, ecc., la password verrà crittografata:
HTTP/1.1 302 Trovato
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Set-Cookie: password= ; scade=Gio 07-Nov-2024 23:52:21 GMT; percorso=/
Posizione: loggato.php
Lunghezza contenuto: 0
Connessione: chiusa
Tipo di contenuto: testo/html; set di caratteri=UTF-8
Quindi, nel nostro caso:
Nome utente: networkguru
Parola d'ordine:
Passaggio 4. Determinare il tipo di codifica per decrittografare la password
Andiamo ad esempio sul sito http://www.onlinehashcrack.com/hash-identification.php#res e inserisci la nostra password nella finestra di identificazione. Mi è stato fornito un elenco di protocolli di codifica in ordine di priorità:
Passaggio 5. Decifrare la password dell'utente
A questo punto possiamo utilizzare l'utilità hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
In uscita abbiamo ricevuto una password decriptata: simplepassword
Pertanto, con l'aiuto di Wireshark, non solo possiamo risolvere problemi nel funzionamento di applicazioni e servizi, ma anche provare noi stessi come hacker, intercettando le password che gli utenti inseriscono nei moduli web. Puoi anche trovare le password per cassette postali utenti che utilizzano semplici filtri per visualizzare:
- Il protocollo e il filtro POP hanno questo aspetto: pop.request.command == "USER" || pop.request.command == "PASSA"
- Il protocollo e il filtro IMAP saranno: imap.request contiene "login"
- Protocollo SMTP e dovrai inserire il seguente filtro: smtp.req.command == "AUT"
e utilità più serie per decrittografare il protocollo di codifica.
Passaggio 6: cosa succede se il traffico è crittografato e utilizza HTTPS?
Esistono diverse opzioni per rispondere a questa domanda.
Opzione 1. Connettiti quando la connessione tra l'utente e il server viene interrotta e acquisisci il traffico nel momento in cui viene stabilita la connessione (SSL Handshake). Quando viene stabilita una connessione, la chiave di sessione può essere intercettata.
Opzione 2: puoi decrittografare il traffico HTTPS utilizzando il file di registro della chiave di sessione registrato da Firefox o Chrome. Per fare ciò, il browser deve essere configurato per scrivere queste chiavi di crittografia in un file di registro (esempio basato su Firefox) e dovresti ricevere quel file di registro. In sostanza, devi rubare il file della chiave di sessione da disco rigido un altro utente (che è illegale). Bene, allora cattura il traffico e usa la chiave risultante per decrittografarlo.
Una precisazione. Stiamo parlando del browser web di una persona di cui stanno cercando di rubare la password. Se intendiamo decrittografare il nostro traffico HTTPS e vogliamo esercitarci, allora questa strategia funzionerà. Se stai tentando di decrittografare il traffico HTTPS di altri utenti senza accedere ai loro computer, questo non funzionerà: questa è sia crittografia che privacy.
Dopo aver ricevuto le chiavi in base all'opzione 1 o 2, è necessario registrarle in WireShark:
- Vai al menu Modifica - Preferenze - Protocolli - SSL.
- Imposta il flag "Riassembla i record SSL che si estendono su più segmenti TCP".
- "Elenco chiavi RSA" e fare clic su Modifica.
- Inserisci i dati in tutti i campi e scrivi il percorso nel file con la chiave
Wireshark è un potente analizzatore di rete che può essere utilizzato per analizzare il traffico che passa attraverso l'interfaccia di rete del tuo computer. Potrebbe essere necessario per rilevare e risolvere problemi di rete, eseguire il debug di applicazioni Web, programmi di rete o siti. Wireshark ti consente di visualizzare completamente il contenuto di un pacchetto a tutti i livelli, così puoi capire meglio come funziona la rete a basso livello.
Tutti i pacchetti vengono acquisiti in tempo reale e forniti in un formato di facile lettura. Il programma supporta un sistema di filtraggio molto potente, evidenziazione dei colori e altre funzionalità che ti aiuteranno a trovare i pacchetti giusti. In questo tutorial vedremo come utilizzare Wireshark per analizzare il traffico. Recentemente, gli sviluppatori hanno iniziato a lavorare sul secondo ramo del programma Wireshark 2.0, sono state apportate molte modifiche e miglioramenti, soprattutto all'interfaccia. Questo è ciò che useremo in questo articolo.
Prima di passare a considerare le modalità di analisi del traffico, è necessario considerare in modo più dettagliato quali funzionalità supporta il programma, con quali protocolli può funzionare e cosa può fare. Ecco le caratteristiche principali del programma:
- Cattura pacchetti in tempo reale da interfacce di rete cablate o di altro tipo, nonché leggi da un file;
- Sono supportate le seguenti interfacce di acquisizione: Ethernet, IEEE 802.11, PPP e interfacce virtuali locali;
- I pacchetti possono essere filtrati in base a molti parametri utilizzando i filtri;
- Tutti i protocolli conosciuti sono evidenziati nell'elenco con colori diversi, ad esempio TCP, HTTP, FTP, DNS, ICMP e così via;
- Supporto per l'acquisizione del traffico delle chiamate VoIP;
- La decrittografia del traffico HTTPS è supportata se è disponibile un certificato;
- Decrittografia del traffico WEP e WPA reti wireless con una chiave e una stretta di mano;
- Visualizzazione delle statistiche sul carico di rete;
- Visualizza il contenuto del pacchetto per tutti i livelli di rete;
- Visualizza l'ora di invio e ricezione dei pacchi.
Il programma ha molte altre funzionalità, ma queste sono le principali che potrebbero interessarti.
Come usare Wireshark
Presumo che tu abbia già installato il programma, ma in caso contrario puoi installarlo dai repository ufficiali. Per fare ciò, digita il comando in Ubuntu:
sudo apt installa wireshark
Dopo l'installazione, puoi trovare il programma nel menu principale della distribuzione. È necessario eseguire Wireshark con diritti di superutente, altrimenti non sarà in grado di analizzare i pacchetti di rete. Questo può essere fatto dal menu principale o tramite terminale usando il comando per KDE:
E per Gnome/Unity:
La finestra principale del programma è divisa in tre parti: la prima colonna contiene un elenco di interfacce di rete disponibili per l'analisi, la seconda - opzioni per l'apertura di file e la terza - guida.
Analisi del traffico di rete
Per avviare l'analisi, selezionare un'interfaccia di rete, ad esempio eth0, e fare clic sul pulsante Inizio.
Successivamente si aprirà la finestra successiva, già con un flusso di pacchetti che passano attraverso l'interfaccia. Anche questa finestra è divisa in più parti:
- Parte in alto- si tratta di menu e pannelli con vari pulsanti;
- Elenco dei pacchetti- lo stream viene visualizzato successivamente pacchetti di rete che analizzerai;
- Contenuto del pacco- subito sotto c'è il contenuto del pacco selezionato, suddiviso in categorie a seconda del livello di trasporto;
- Prestazioni reali- in fondo viene visualizzato il contenuto del pacco in forma reale, e anche sotto forma di HEX.
Puoi fare clic su qualsiasi pacchetto per analizzarne il contenuto:
Qui vediamo un pacchetto di richiesta DNS per ottenere l'indirizzo IP del sito, nella richiesta stessa viene inviato il dominio e nel pacchetto di risposta riceviamo la nostra domanda insieme alla risposta.
Per una visualizzazione più comoda è possibile aprire il pacchetto in una nuova finestra facendo doppio clic sulla voce:
Filtri Wireshark
Scorrere manualmente i pacchetti per trovare quelli che ti servono è molto scomodo, soprattutto con un thread attivo. Pertanto, per questo compito è meglio utilizzare i filtri. C'è una riga speciale sotto il menu per inserire i filtri. Puoi fare clic Espressione per aprire il progettista filtri, ma ce ne sono molti, quindi esamineremo quelli più basilari:
- ip.dst- indirizzo IP di destinazione;
- ip.src- indirizzo IP del mittente;
- indirizzo.ip- IP del mittente o del destinatario;
- ip.proto- protocollo;
- tcp.dstport- porto di arrivo;
- tcp.srcport- porta del mittente;
- ip.ttl- Filtro TTL, determina la distanza di rete;
- http.request_uri- l'indirizzo del sito richiesto.
Per specificare la relazione tra un campo e un valore in un filtro, è possibile utilizzare i seguenti operatori:
- == - equivale;
- != - non uguale;
- < - meno;
- > - Di più;
- <= - minore o uguale;
- >= - maggiore o uguale;
- partite- espressione regolare;
- contiene- contiene.
Per combinare più espressioni puoi utilizzare:
- && - entrambe le espressioni devono essere vere per il pacchetto;
- || - una delle espressioni potrebbe essere vera.
Ora diamo uno sguardo più da vicino a diversi filtri utilizzando esempi e proviamo a comprendere tutti i segni delle relazioni.
Per prima cosa filtriamo tutti i pacchetti inviati a 194.67.215.. Digita una stringa nel campo filtro e fai clic su Fare domanda a. Per comodità, i filtri Wireshark possono essere salvati utilizzando il pulsante Salva:
ip.dst == 194.67.215.125
E per ricevere non solo i pacchetti inviati, ma anche quelli ricevuti in risposta da questo nodo, puoi combinare due condizioni:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Possiamo anche selezionare file di grandi dimensioni trasferiti:
http.lunghezza_contenuto > 5000
Filtrando il Content-Type possiamo selezionare tutte le immagini che sono state caricate; eseguiamo l'analisi Traffico Wireshark, pacchetti che contengono la parola immagine:
http.content_type contiene un'immagine
Per cancellare il filtro, è possibile premere il pulsante Chiaro. Succede che non sempre conosci tutte le informazioni necessarie per il filtraggio, ma vuoi solo esplorare la rete. Puoi aggiungere qualsiasi campo di un pacchetto come colonna e visualizzarne il contenuto nella finestra generale di ciascun pacchetto.
Ad esempio, voglio visualizzare il TTL (time to live) di un pacchetto come una colonna. Per fare ciò, apri le informazioni sul pacchetto, trova questo campo nella sezione IP. Allora chiama menù contestuale e seleziona l'opzione Applica come colonna:
Allo stesso modo, puoi creare un filtro in base a qualsiasi campo desiderato. Selezionalo e visualizza il menu contestuale, quindi fai clic Applica come filtro O Preparare come filtro, quindi seleziona Selezionato per visualizzare solo i valori selezionati, oppure Non selezionato per rimuoverli:
Il campo specificato ed il suo valore verranno applicati o, nel secondo caso, inseriti nel campo filtro:
In questo modo puoi aggiungere al filtro un campo di qualsiasi pacchetto o colonna. C'è anche questa opzione nel menu contestuale. Per filtrare i protocolli, puoi usarne di più condizioni semplici. Ad esempio, analizziamo il traffico Wireshark per i protocolli HTTP e DNS:
Un'altra caratteristica interessante del programma è l'utilizzo di Wireshark per tracciare una sessione specifica tra il computer dell'utente e il server. Per fare ciò, apri il menu contestuale del pacchetto e seleziona Segui il flusso TCP.
Si aprirà quindi una finestra in cui troverai tutti i dati trasferiti tra il server e il client:
Diagnosi dei problemi di Wireshark
Forse ti starai chiedendo come utilizzare Wireshark 2.0 per rilevare problemi sulla tua rete. Per fare ciò, nell'angolo in basso a sinistra della finestra c'è un pulsante rotondo; quando si fa clic su di esso, si apre una finestra Strumenti Expet. In esso, Wireshark raccoglie tutti i messaggi di errore e i problemi di rete:
La finestra è suddivisa in schede quali Errori, Avvisi, Avvisi, Chat. Il programma può filtrare e trovare molti problemi di rete e qui puoi vederli molto rapidamente. Anche qui sono supportati i filtri Wireshark.
Analisi del traffico Wireshark
Puoi capire molto facilmente cosa hanno scaricato gli utenti e quali file hanno visualizzato se la connessione non era crittografata. Il programma fa un ottimo lavoro nell'estrazione dei contenuti.
Per fare ciò, devi prima interrompere la cattura del traffico utilizzando il quadrato rosso sul pannello. Quindi apri il menu File -> Esporta oggetti -> HTTP:
