Meniul
AcasăInstrucțiuni

Cum să interceptați o sesiune wifi. Experiment: cum să furați date personale folosind Wi-Fi gratuit. Protejarea cookie-urilor de hacking

Despre pericolele punctelor de acces Wifi deschise, despre cum pot fi interceptate parolele.

Astăzi ne vom uita la interceptarea parolelor prin Wi-Fi și la interceptarea cookie-urilor prin Wi-Fi folosind programul.

Atacul va avea loc din cauza Adulmecând.

Adulmecând— sniff se traduce prin „Sniff”. Sniffing vă permite să analizați activitatea rețelei pe Internet, să vedeți ce site-uri vizitează utilizatorul și să interceptați parolele. Dar poate fi folosit și în scopuri utile, pentru ascultarea virușilor care trimit orice date pe Internet.


Metoda pe care o voi arăta este destul de primitivă și simplă. De fapt, puteți folosi programul mai puternic.
Site-ul oficial al programului sniff.su (copiați linkul și deschideți-l într-o filă nouă), îl puteți descărca în secțiunea "Descarca".
Există o versiune pentru Windows, sisteme Unix și pentru Android.
Vom lua în considerare pentru Windows, deoarece acesta este cel mai popular sistem și programul de aici este cel mai avansat.
Browserul sau antivirusul dvs. se pot plânge că programul este periculos, dar dumneavoastră înșivă înțelegeți că acesta este un program de hack și va răspunde întotdeauna la astfel de hack-uri.
Programul este descărcat într-o arhivă zip, trebuie doar să dezarhivați programul într-un folder și să îl utilizați, nu este nevoie să instalați nimic.
Programul are capacitatea de a organiza diverse atacuri Mitm asupra rețelelor Wi-Fi.
Articolul este scris doar în scop informativ, pentru a arăta prin exemplu pericolele hotspot-urilor WiFi deschise. Efectuați orice acțiuni specificate pe propriul risc și risc. Și vreau să vă reamintesc despre răspunderea penală pentru protejarea datelor altor persoane.

Serviciu avi1 oferă prețuri uluitor de ieftine pentru posibilitatea de a comanda abonați la profilul tău Instagram. Obțineți o popularitate sau vânzări online crescute chiar acum, fără a cheltui mult efort și timp.

Lucrul cu programul Intercepter NG

Deci, programul este lansat prin Intercepter-NG.exe.
Programul are o interfață în limba engleză, dar dacă sunteți un utilizator sigur de computer, cred că vă veți da seama.

Mai jos va fi un videoclip despre configurare (pentru cei care preferă să vizioneze decât să citească).
— Selectați rețeaua dorită în partea de sus, dacă aveți mai multe dintre ele.
— Schimbați tipul Ethernet/WiFi, dacă aveți Wi Fi, atunci trebuie să selectați pictograma Wi FI (în stânga selecției rețelei)

- Apasa butonul Modul de scanare(pictogramă radar)
— Într-un câmp gol, faceți clic dreapta și faceți clic în meniul contextual Scanare inteligenta
— Vor apărea toate dispozitivele conectate la rețea
— Selectați victima (puteți selecta pe toată lumea în timp ce țineți apăsată tasta Shift), pur și simplu nu marcați routerul în sine, IP-ul său este de obicei 192.168.1.1
- După ce ați selectat, faceți clic dreapta și faceți clic Adaugă la nat


- Accesați fila Nat
- ÎN IP stealth Este recomandabil să schimbați ultima cifră cu oricare neocupată, aceasta vă va ascunde IP-ul real.
- Pune o bifă Banda SSLȘi SSL Mitm.


— Faceți clic Setări(dintele din dreapta).
- Pune o bifă Înviere(Acest lucru vă va permite să interceptați parolele și modulele cookie ale protocolului Https criptat) și Eliminați Falsificare IP/Mac. Puteți bifa caseta Ucigașul de prăjituri, datorită acesteia, victima va fi dat afară din pagina curentă, de exemplu o rețea de socializare, iar victima va trebui să introducă din nou parola, iar noi o vom intercepta. Comparați setările cu imaginea.


— Aici configurarea este completă, închideți setările cu o bifă.
— Configurarea este completă, puteți începe atacul.
— Apăsați butonul din partea de sus Începe/oprește adulmecare(triunghi), în aceeași fereastră faceți clic pe pictograma radiației din partea de jos Pornire/Oprire ARP Poison
— Accesați fila Modul parolăși faceți clic dreapta în fereastră și selectați Afișați cookie-uri(„Acest lucru va permite afișarea cookie-urilor și parolelor introduse de victime”)
Gata, asteptam sa introduca cineva parola.
Uneori se întâmplă ca Internetul să nu mai funcționeze, încercați să accesați singur internetul, dacă nu funcționează, reporniți programul.
Am observat că nu este întotdeauna posibilă interceptarea unei parole, dar de fapt funcționează aproape fără eșec.

Asta e tot, ne-am uitat la interceptarea parolelor prin Wi-Fi și la interceptarea cookie-urilor prin Wi-Fi.

aveți grijă de dumneavoastră

Mulți utilizatori nu realizează că completând un login și o parolă atunci când se înregistrează sau se autorizează pe o resursă de Internet închisă și apăsând ENTER, aceste date pot fi ușor interceptate. Foarte des sunt transmise prin rețea într-o formă nesecurizată. Prin urmare, dacă site-ul la care încercați să vă conectați folosește protocolul HTTP, atunci este foarte ușor să captați acest trafic, să îl analizați folosind Wireshark și apoi să utilizați filtre și programe speciale pentru a găsi și decripta parola.

Cel mai bun loc pentru a intercepta parolele este nucleul rețelei, unde traficul tuturor utilizatorilor merge către resurse închise (de exemplu, mail) sau în fața routerului pentru a accesa Internetul, la înregistrarea pe resurse externe. Am instalat o oglindă și suntem gata să ne simțim ca un hacker.

Pasul 1. Instalați și lansați Wireshark pentru a capta traficul

Uneori, pentru a face acest lucru, este suficient să selectăm doar interfața prin care intenționăm să captăm trafic și să facem clic pe butonul Start. În cazul nostru, facem captură printr-o rețea fără fir.

Captarea traficului a început.

Pasul 2. Filtrarea traficului POST capturat

Deschidem browserul și încercăm să ne conectăm la o resursă folosind un nume de utilizator și o parolă. Odată ce procesul de autorizare este încheiat și site-ul este deschis, nu mai captăm trafic în Wireshark. Apoi, deschideți analizorul de protocol și vedeți un număr mare de pachete. Aici renunță majoritatea profesioniștilor IT pentru că nu știu ce să facă în continuare. Dar cunoaștem și suntem interesați de pachete specifice care conțin date POST care sunt generate pe mașina noastră locală atunci când completăm un formular pe ecran și trimise către un server la distanță atunci când facem clic pe butonul „Autentificare” sau „Autorizare” din browser.

Introducem un filtru special în fereastră pentru a afișa pachetele capturate: http.cerere.metoda == “POST"

Și vedem, în loc de mii de pachete, doar unul cu datele pe care le căutăm.

Pasul 3. Găsiți numele și parola utilizatorului

Faceți rapid clic dreapta și selectați elementul din meniu Urmărește TCP Steam


După aceasta, textul va apărea într-o nouă fereastră care restabilește conținutul paginii în cod. Să găsim câmpurile „parolă” și „utilizator”, care corespund parolei și numelui de utilizator. În unele cazuri, ambele câmpuri vor fi ușor de citit și nici măcar criptate, dar dacă încercăm să captăm trafic atunci când accesăm resurse foarte cunoscute precum Mail.ru, Facebook, VKontakte etc., atunci parola va fi criptată:

HTTP/1.1 302 găsit

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"

Set-Cookie: parola= ; expiră=Joi, 07-Nov-2024 23:52:21 GMT; cale=/

Locație: loggedin.php

Lungimea conținutului: 0

Conexiune: aproape

Tip de conținut: text/html; set de caractere=UTF-8

Astfel, in cazul nostru:

Nume de utilizator: networkguru

Parola:

Pasul 4. Determinați tipul de codificare pentru a decripta parola

De exemplu, accesați site-ul web http://www.onlinehashcrack.com/hash-identification.php#res și introduceți parola noastră în fereastra de identificare. Mi s-a dat o listă de protocoale de codificare în ordinea priorității:

Pasul 5. Decriptarea parolei utilizatorului

În această etapă putem folosi utilitarul hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

La ieșire am primit o parolă decriptată: simplepassword

Astfel, cu ajutorul Wireshark, nu putem doar să rezolvăm problemele de funcționare a aplicațiilor și serviciilor, ci și să ne încercăm ca un hacker, interceptând parolele pe care utilizatorii le introduc în formularele web. De asemenea, puteți afla parolele pentru căsuțele poștale ale utilizatorilor folosind filtre simple pentru afișare:

  • Protocolul POP și filtrul arată astfel: pop.request.command == „USER” || pop.request.command == „PASS”
  • Protocolul și filtrul IMAP vor fi: imap.request conține „login”
  • Protocolul este SMTP și va trebui să introduceți următorul filtru: smtp.req.command == „AUTH”

și utilități mai serioase pentru decriptarea protocolului de codare.

Pasul 6: Ce se întâmplă dacă traficul este criptat și folosește HTTPS?

Există mai multe opțiuni pentru a răspunde la această întrebare.

Opțiunea 1. Conectați-vă când conexiunea dintre utilizator și server este întreruptă și captați traficul în momentul în care se stabilește conexiunea (SSL Handshake). Când se stabilește o conexiune, cheia de sesiune poate fi interceptată.

Opțiunea 2: puteți decripta traficul HTTPS folosind fișierul jurnal cu cheia de sesiune înregistrat de Firefox sau Chrome. Pentru a face acest lucru, browserul trebuie configurat să scrie aceste chei de criptare într-un fișier jurnal (exemplu bazat pe FireFox) și ar trebui să primiți acel fișier jurnal. În esență, trebuie să furați fișierul cheie de sesiune de pe hard diskul altui utilizator (ceea ce este ilegal). Ei bine, atunci captează traficul și folosește cheia rezultată pentru a-l decripta.

Clarificare. Vorbim despre browserul web al unei persoane a cărei parolă încearcă să o fure. Dacă ne referim la decriptarea propriului trafic HTTPS și dorim să exersăm, atunci această strategie va funcționa. Dacă încercați să decriptați traficul HTTPS al altor utilizatori fără acces la computerele lor, acest lucru nu va funcționa - adică atât criptare, cât și confidențialitate.

După ce primiți cheile conform opțiunii 1 sau 2, trebuie să le înregistrați în WireShark:

  1. Accesați meniul Editare - Preferințe - Protocoale - SSL.
  2. Setați indicatorul „Reasamblați înregistrările SSL care acoperă mai multe segmente TCP”.
  3. „Lista de chei RSA” și faceți clic pe Editare.
  4. Introduceți datele în toate câmpurile și scrieți calea în fișier cu cheia

WireShark poate decripta pachetele care sunt criptate folosind algoritmul RSA. Dacă se folosesc algoritmii DHE/ECDHE, FS, ECC, sniffer-ul nu ne va ajuta.

Opțiunea 3. Obțineți acces la serverul web pe care îl folosește utilizatorul și obțineți cheia. Dar aceasta este o sarcină și mai dificilă. În rețelele corporative, în scopul depanării aplicațiilor sau al filtrarii conținutului, această opțiune este implementată în temeiul legal, dar nu în scopul interceptării parolelor utilizatorilor.

PRIMĂ

VIDEO: Wireshark Packet Sniffing nume de utilizator, parole și pagini web

Utilizatorii de internet sunt atât de neglijenți încât pierderea datelor confidențiale este la fel de ușoară ca și decojirea perelor. Publicația 42.tut a efectuat un experiment pentru a arăta câte „găuri” există în rețelele Wi-Fi publice. Concluzia este dezamăgitoare: oricine fără abilități și cunoștințe speciale poate crea un dosar complet despre o persoană care utilizează doar o rețea fără fir deschisă.

Am instalat mai multe aplicații pentru experiment. Ele diferă în funcție de funcționalitate, dar esența lor este aceeași - să colecteze tot ceea ce trece prin rețeaua la care este conectat dispozitivul. Niciunul dintre programe nu se poziţionează drept „piratat”, „hacker” sau ilegal - pot fi descărcate online fără probleme. Experimentul a fost realizat într-un centru comercial cu Wi-Fi gratuit.

Interceptare

Ne conectăm la Wi-Fi: nu există parolă, numele rețelei conține cuvântul „gratuit”. Începem scanarea, unul dintre programe găsește imediat 15 conexiuni la rețea. Pentru toată lumea puteți vedea adresa IP, adresa MAC, pentru unii - numele producătorului dispozitivului: Sony, Samsung, Apple, LG, HTC...

Laptopul „victimă” îl găsim printre dispozitive. Ne conectăm la el - datele care trec prin rețea încep să apară pe ecran. Toate informațiile sunt structurate în timp; există chiar și un vizualizator încorporat de date interceptate.

Identificarea utilizatorului

Continuăm să urmărim. Un joc online a început în mod clar pe laptopul partenerului său: comenzile de program sunt trimise în mod constant în rețea, sunt primite informații despre situația de pe câmpul de luptă. Poți vedea poreclele adversarilor tăi, nivelurile lor de joc și multe altele.

Un mesaj sosește de la „VKontakte”. Într-una dintre specificațiile detaliate ale mesajelor, constatăm că ID-ul utilizatorului este vizibil în fiecare dintre ele. Dacă îl inserați în browser, se va deschide contul persoanei care a primit mesajul.

În acest moment, „victima” scrie un răspuns la mesaj și clar nu are idee că ne uităm la fotografiile de pe contul său. Una dintre aplicațiile rețelelor sociale dă un semnal - putem asculta acest sunet în player.

Parole și mesaje

Fotografiile și sunetele nu sunt tot ceea ce poate fi „transferat” la Wi-Fi-ul disponibil. De exemplu, unul dintre programe are o filă separată pentru a urmări corespondența pe rețelele de socializare și mesagerie instant. Mesajele sunt decriptate și sortate în funcție de momentul trimiterii.

A arăta corespondența altcuiva este dincolo de bine și de rău. Dar funcționează. Ca o ilustrare, iată o parte din dialogul autorului textului, surprins de computerul de urmărire de pe dispozitivul „victimă”.

Un alt program „stochează” separat toate modulele cookie și informațiile despre utilizator, inclusiv parolele. Din fericire, în formă criptată, dar se oferă imediat să instaleze un utilitar care le va decripta.

concluzii

Aproape orice informație poate fi pierdută prin Wi-Fi. Multe rețele publice nu oferă deloc protecție și, uneori, chiar și o parolă. Aceasta înseamnă că oricine poate intercepta traficul colegilor, prietenilor sau străinilor.

Cea mai sigură cale de ieșire din această situație este una: nu transmiteți nicio informație importantă prin rețelele publice. De exemplu, nu trimiteți numere de telefon și parole în mesaje și nu plătiți cu un card de plată în afara casei. Riscul de a pierde datele personale este extrem de mare.

V-ați întrebat vreodată cum unele site-uri web își personalizează vizitatorii? Acest lucru poate fi exprimat, de exemplu, în amintirea conținutului „coșului” (dacă acest nod este destinat vânzării de mărfuri) sau în modul de completare a câmpurilor unui formular. Protocolul HTTP care stă la baza funcționării World Wide Web nu are mijloacele de a urmări evenimentele de la o vizită la un site la altul, așa că a fost dezvoltat un add-on special pentru a putea stoca astfel de „stări”. Acest mecanism, descris în RFC 2109, inserează bucăți speciale de date cookie în cererile și răspunsurile HTTP care permit site-urilor web să-și urmărească vizitatorii.

Datele cookie pot fi stocate pe durata sesiunii de comunicare ( pe sesiune), rămânând în RAM pentru o sesiune și fiind șters atunci când browserul este închis, sau chiar după ce a trecut o anumită perioadă de timp. În alte cazuri, acestea sunt permanente ( persistent), rămânând pe hard diskul utilizatorului ca fișier text. Acestea sunt de obicei stocate în directorul Cookies (%windir%\Cookies pe Win9x și %userprofile%\Cookies pe NT/2000). Nu este greu de ghicit că, după capturarea cookie-urilor pe Internet, un atacator poate uzurpa identitatea utilizatorului unui anumit computer sau poate colecta informații importante conținute în aceste fișiere. După ce ați citit următoarele secțiuni, veți înțelege cât de ușor este de făcut.

Interceptarea cookie-urilor

Cea mai directă metodă este interceptarea cookie-urilor pe măsură ce acestea sunt transmise prin rețea. Datele interceptate pot fi apoi utilizate atunci când vă conectați la serverul corespunzător. Această problemă poate fi rezolvată folosind orice utilitar de interceptare a pachetelor, dar unul dintre cele mai bune este programul lui Lavrenty Nikula ( Laurentiu Nicula) SpyNet/PeepNet. SpyNet include două utilitare care funcționează împreună. Program CaptureNet captează pachetul în sine și îl stochează pe disc, iar utilitarul PeepNet deschide fișierul și îl convertește într-un format care poate fi citit de om. Următorul exemplu este un fragment dintr-o sesiune de comunicare reconstruită de PeepNet, în timpul căreia cookie-ul servește la autentificarea și controlul accesului la paginile vizualizate (numele au fost schimbate pentru a păstra anonimatul).

GET http://www.victim.net/images/logo.gif HTTP/1.0 Accept: */* Referrer: http://www.victim.net/ Gazdă: www.victim.net Cookie: jrunsessionid=96114024278141622; cuid=TORPM!ZXTFRLRlpWTVFISEblahblah

Exemplul de mai sus arată un fragment de cookie plasat într-o solicitare HTTP care vine la server. Cel mai important este domeniul cuid=, care specifică un identificator unic utilizat pentru autentificarea utilizatorului pe nodul www.victim.net. Să presupunem că după aceasta atacatorul a vizitat nodul victim.net, a primit propriul său identificator și un cookie (presupunând că nodul nu plasează datele cookie în memoria virtuală, ci le scrie pe hard disk). Atacatorul își poate deschide propriul cookie și poate înlocui ID-ul câmpului cuid= cu acesta din pachetul capturat. În acest caz, la conectarea la serverul victim.net, el va fi perceput ca utilizatorul ale cărui date cookie au fost interceptate.

Capacitatea de program PeepNet reluarea întregii sesiuni de comunicare sau a fragmentului acesteia facilitează foarte mult implementarea atacurilor de acest tip. Folosind un buton Du-te să-l ia! Puteți prelua din nou paginile pe care le-a vizualizat un utilizator folosind datele cookie-urilor capturate anterior de CaptureNet. În caseta de dialog utilitar PeepNet puteți vedea informații despre comenzile finalizate de cineva. Aceasta utilizează datele cookie interceptate de CaptureNet pentru autentificare. Observați cadrul situat în colțul din dreapta jos al casetei de dialog cu datele sesiunii și linia care urmează linia Cookie:. Acestea sunt datele cookie utilizate pentru autentificare.

Este un truc destul de frumos. În plus, utilitatea CaptureNet poate oferi o înregistrare completă decriptată a traficului, care este aproape echivalentă cu capabilitățile utilităților profesionale, cum ar fi Sniffer Pro de la Network Associates, Inc. Cu toate acestea, utilitatea SpyNetȘi mai bine - îl poți obține gratuit!

Contramăsuri

Ar trebui să fiți atenți la site-urile care utilizează cookie-uri pentru autentificare și stocarea informațiilor sensibile de identificare. Un instrument care poate ajuta la securitate este Cookie Pal de la Kookaburra Software, care poate fi găsit la http://www.kburra.com/cpal.html. Acest produs software poate fi configurat pentru a genera mesaje de avertizare pentru utilizator atunci când un site Web încearcă să utilizeze mecanismul cookie. În acest caz, puteți „privi în culise” și puteți decide dacă aceste acțiuni ar trebui permise. Internet Explorer are încorporat un mecanism cookie. Pentru a o activa, lansați aplicația Opțiuni Internet în Panoul de control, accesați fila Securitate, selectați elementul Zona Internet, setați modul Nivel personalizat și, pentru date cookie permanente și temporare, setați comutatorul la Solicitare. Configurarea utilizării cookie-urilor în browserul Netscape se face folosind comanda Editare › Preferințe › Avansatși setarea modului Avertizează-mă înainte de a accepta un cookie sau Dezactivare module cookie (Fig. 16.3). Când acceptați un cookie, trebuie să verificați dacă este scris pe disc și să vedeți dacă site-ul Web colectează informații despre utilizatori.

Când vizitați un site care utilizează cookie-uri pentru autentificare, trebuie să vă asigurați că numele de utilizator și parola pe care le furnizați inițial sunt cel puțin criptate SSL. Apoi aceste informații vor apărea în fereastra programului PeepNet, cel puțin nu sub formă de text simplu.

Autorii ar prefera să evite în întregime cookie-urile dacă multe site-uri web vizitate frecvent nu ar necesita această opțiune. De exemplu, pentru serviciul Microsoft Hotmail popular la nivel mondial, cookie-urile sunt necesare pentru înregistrare. Deoarece acest serviciu folosește mai multe servere diferite în timpul procesului de autentificare, adăugarea acestora în zona Site-uri de încredere nu este atât de ușoară (acest proces este descris în secțiunea „Utilizarea cu înțelepciune a zonelor de securitate: o soluție comună la problema de control Activex”). În acest caz, desemnarea *.hotmail.com va ajuta. Cookie-urile nu sunt o soluție perfectă la problema incompletității protocolului HTML, dar abordările alternative par a fi și mai rele (de exemplu, adăugarea unui identificator la adresa URL, care poate fi stocat pe serverele proxy). Până când apare o idee mai bună, singura opțiune este să vă controlați cookie-urile folosind metodele enumerate mai sus.

Capturați cookie-uri prin URL

Să ne imaginăm ceva groaznic: utilizatorii de Internet Explorer fac clic pe hyperlinkuri special create și devin potențiale victime, riscând să le fie interceptate cookie-urile. Bennett Haselton ( Bennett Haselton) și Jamie McCarthy ( Jamie McCarthy) de la organizația de adolescenți Peacefire, care pledează pentru libertatea comunicării prin internet, a publicat un scenariu care dă viață acestei idei. Acest script preia cookie-uri de pe computerul client atunci când utilizatorul acestuia face clic pe un link conținut în această pagină. Ca urmare, conținutul cookie-ului devine disponibil pentru operatorii site-urilor web.

Această caracteristică poate fi exploatată în scopuri nefaste prin încorporarea etichetelor IFRAME în codul HTML al unei pagini Web, al unui e-mail HTML sau al postării unui grup de știri. Următorul exemplu, oferit de consultantul de securitate Richard M. Smith, demonstrează capacitatea de a utiliza mânerele IFRAME cu un utilitar dezvoltat de Peacefire.