Пароли на блюдечке: dsniff
Конечно, с помощью утилиты tcpdump можно без проблем определить тип используемой сети, однако что вы скажете о получении главных жемчужин компьютерного мира – паролей? Для этих целей можно приобрести чудовищный по предоставляемым возможностям программный пакет SnifferPro или воспользоваться более дешевыми средствами, например, CaptureNet, разработанным Лаврентием Никулой (Laurentiu Nicula). Однако лучше всего прибегнуть к программе Дага Сонга (Dug Song). Он разработал одно из наиболее сложных средств перехвата паролей – программу dsniff.
Зачастую можно встретить приложения, в которых в качестве паролей используется незашифрованный текст. Кроме того, подобная конфиденциальная информация хранится далеко не в лучшем месте. Примерами таких приложений могут послужить следующие: FTP, telnet, POP, SNMP, HTTP, NNTP, ICQ, IRC, Socks, NFS (сетевая файловая система– Network File System), mountd, rlogin, IMAP, AIM, XI1, CVS, Napster, Citrix ICA, pcAnywhere, NAI Sniffer, Microsoft SMB и Oracle SQL. В большинстве перечисленных выше приложений либо используются незашифрованные пользовательские имена и пароли, либо применяются упрошенные алгоритмы шифрования, сокрытия и декодирования, которые нельзя рассматривать как серьезную преграду для взломщиков. Именно в этом случае можно ощутить всю мощь программы dsniff.
С помощью программы dsniff можно прослушать трафик любого сетевого сегмента независимо от того, относится ли он к сети с множественным доступом или же к сети с коммутацией пакетов. Эту программу можно получить по адресу http://naughty.monkey.org/~dugsong/dsniff/, а затем выполнить ее компиляцию. С Web-узла компании еЕуе (http://www.eeye.com) можно также загрузить и попробовать в действии версию этой программы для платформы Win32. В этом случае потребуется установить также и библиотеку WinPcap, которая, однако, может вызвать некоторые проблемы в системах с конфликтом драйверов. Эту библиотеку можно найти по адресу http://netgroup-serv.polito.it/winpcap/.
При запуске программы dsniff в системе Linux будут получены все незашифрованные или простые пароли сетевого сегмента.
[root@mybox dsniff-1.8] dsniff --------------- 05/21/00 10:49:10 bob › unix-server (ftp) USER bob PASS dontlook --------------- 05/21/00 10:53:22 karen › lax-cisco (telnet) karen supersecret --------------- 05/21/00 11:01:11 karen › lax-cisco (snmp) [version 1] private
Кроме средства перехвата паролей dsniff, в состав пакета входят разнообразные средства поиска других слабых мест, такие как mailsnarf и webspy. Mailsnarf представляет собой небольшое приложение, позволяющее собирать все почтовые сообщения и отображать их содержимое на экране, как если они были написаны вами лично, webspy – это мощная утилита, которая окажется полезной, если требуется определить, какие страницы в Web посетили пользователи. При этом в Web-браузере автоматически будут отображаться Web-страницы, которые были просмотрены определенным пользователем.
[root]# mailsnarf From stu@hackingexposed.com Mon May 29 23:19:10 2000 Message-ID: 0017Olbfca02$790cca90$6433a8cO@foobar.com Reply-To: "Stuart McClure" stu@hackingexposed.com From: "Stuart McClure" stu@hackingexposed.com To: "George Kurtz" george@hackingexposed.com References: 0022Olbfc729$7d7ffe70$ab8dOb!8@JOC Subject: Re: conference call Date: Mon, 29 May 2000 23:44:15-0700 MIME-Version: 1.0 Content-Type: multipart/ALTernative; boundary="– =_NextPart_000_0014_01BFC9C7.CC970F30" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 5.00.2919.6600 X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6600 This is a multi-part message in MIME format. ---=_NextPart_000_0014_01BFC9C7.CC970F30 Content-Type: text/plain; charset="iso-8859-l" Content-Transfer-Encoding: quoted-printable Have you heard the latest one about the… [content censored here] – Stu
Чтение почтовых сообщений ваших соседей может показаться забавным занятием, однако не забывайте о том, что подобные действия вряд ли можно назвать законными.
Контрмеры: защита от dsniff
Традиционным способом защиты от перехвата незашифрованных паролей является переход от сетевой топологии Ethernet с множественным доступом к сети с коммутацией пакетов. Однако как вы узнали из предыдущих разделов, такая мера практически не способна предотвратить атаки с применением программы dsniff.
В этом случае ко всему сетевому трафику лучше всего применить один из алгоритмов шифрования. Воспользуйтесь преимуществами SSH для туннелирования всего трафика или возможностями средств, в которых реализованы алгоритмы шифрования по открытому ключу (PKI – Public Key Infrastructure), например продуктами компании Entrust Technologies. Это позволит выполнить сквозное шифрование всего потока сетевых данных.