RSS

Χριστουγεννιάτικες ιστορίες “παράνοιας”!

06 Dec

Μερικές ώρες πριν αποχαιρετήσουμε για πάντα το 2009 και ενώ οι ρυθμοί της πόλης είχαν αρχίσει να πέφτουν περιμένοντας την αλλαγή του χρόνου, ο κύριος “Π” αποφάσισε να κάνει μια μεσημεριανή βόλτα στην στολισμένη Αθήνα. Σύνηθες αξεσουάρ σε τέτοιες “εξορμήσεις” αποτελεί ένα netbook που ο κύριος “Π” δεν αποχωρίζεται *σχεδόν* ποτέ.

Παρά τον εορταστικό στολισμό του κέντρου της Αθήνας, ο μεσημεριανός ήλιος και η ζέστη δεν θύμιζαν σε τίποτα Χριστούγεννα, έτσι ο κύριος “Π” αφού εντόπισε μια καφετέρια κοντά στο Σύνταγμα, αποφάσισε να κάτσει σε ένα τραπεζάκι *έξω* ώστε να απολαύσει τον μεσημεριανό καφέ του, χαζεύοντας τον κόσμο που έκανε τα ψώνια της τελευταίας στιγμής. Μετά όμως από μερικές γουλιές καφέ και φανερά εκνευρισμένος, αναφωνώντας λέξεις που δεν μπορούμε να επαναλάβουμε, θυμήθηκε ότι έπρεπε απ’ το πρωί να έχει στείλει ένα *πάρα πολύ* επείγον e-mail. Έτσι, άνοιξε στην τσάντα που μέσα είχε το netbook και αφού το έβγαλε απ’ τη θήκη, πάτησε το κουμπί power on!Για καλή του τύχη στην ευρύτερη περιοχή υπήρχαν αρκετά διαθέσιμα δίκτυα και μάλιστα ξεκλείδωτα🙂.

Ο κύριος “Π” δεν ήθελε σε καμία περίπτωση να πέσει θύμα κάποιου επιτήδειου cracker που εκείνη την ώρα μπορεί και να sniffαρε το δίκτυο που είχε συνδεθεί. Έτσι, σκέφτηκε να χρησιμοποιήσει το συγκεκριμένο ασύρματο δίκτυο, όχι για να συνδεθεί απευθείας στο λογαριασμό webmail του, αλλά για να το μετατρέψει σε ένα κρυπτογραφημένο κανάλι επικοινωνίας μεταξύ του μικρού του netbook και ενός μηχανήματος που μένει μόνιμα ανοιχτό στο σπίτι εκτελώντας χρέη server (τρέχοντας CentOS 5.4) και πολύ συχνά χρησιμοποιείτε για περιπτώσεις SSH tunneling όπως αυτή (βλ. TotalXAKER τευχος 28, σελίδα 130.). Αφού τελικά απ’ την σκέψη πέρασε στην πράξη, επετεύχθη η σύνδεση με τον server που βρισκόταν στο σπίτι και το ssh tunnel “σκάφτηκε”.

Ο κύριος “Π” όμως, δεν σταμάτησε εδώ!

Όντας παρανοϊκός λάτρης της προστασίας των προσωπικών δεδομένων και χωρίς δεύτερη σκέψη, αποφάσισε να χρησιμοποιήσει μια ακόμα δικλείδα ασφαλείας η οποία είναι το πρωτόκολλο SSL (το γνωστό https:// μπροστά απ’ τα sites) ώστε να συνδεθεί στο λογαριασμό webmail που διατηρεί και να στείλει επιτέλους το πολυπόθητο email.

Για να μη σας τα πολυλογούμε, το email στάλθηκε με απόλυτη επιτυχία και ο κύριος “Π” ανακουφισμένος αποσυνδέθηκε απ’ τον απομακρυσμένο υπολογιστή του σπιτιού του, *χωρίς* όμως να αποσυνδεθεί απ’ το ασύρματο δίκτυο που βρισκόταν. Ο λόγος που παρέμεινε συνδεδεμένος εκεί, είναι μάλλον προφανής σε όλους! Ήθελε να διαπιστώσει ιδίοις όμμασι τα επίπεδα προσωπικής ασφάλειας που τηρούν καθημερινά χρήστες οι οποίοι συνδέονται σε ένα άγνωστο (προς αυτούς) ασύρματο δίκτυο ενώ παράλληλα πίνουν τον καφέ του ή συζητούν με κάποιο/α φίλο/η τους.

Ο ήρωας μας λοιπόν, αφού άνοιξε ένα τερματικό στο linuxάκι, του ενεργοποίησε την GTK έκδοση του ettercap και στη συνέχεια όρισε σαν network interface το δίκτυο με την ονομασία “wlan0” στο οποίο ήταν και ο ίδιος συνδεδεμένος.

Σίγουρα μπορείς να μάθεις πολλά χρήσιμα πράγματα όντας μέλος ενός δικτύου του οποίου οι χρήστες πιθανώς να μην ακουστά τη λέξη ασφάλεια” , σκέφτηκε!

Έτσι, η σκέψη του έγινε πράξη! Σαν πρώτο βήμα αναγνωριστικό, αποφάσισε να ελέγξει όλους τους συνδεδεμένους χρήστες του ασύρματου δικτύου εκείνη τη στιγμή. Οι mac addresses που καταγράφηκαν στην λίστα του ettercap ξεπερνούσαν τις 20 (μπορεί και 25) και όλες είχαν ip

192.168.1.***

Αφού λοιπόν περιπλανήθηκε λίγο στο menu του ettercap, ενεργοποίησε την επιλογή που θα του έδινε τη δυνατότητα για Man In The Middle (MITM) σε συνδυασμό με Arp Poisoning. θύματα του προφανώς, οι *πάντες* μέσα στο δίκτυο.

Το ettercap αποκρίθηκε θετικά στις προσταγές του δίνοντας σαν αποτέλεσμα κάτι σαν τις παρακάτω εγγραφές:

ARP poisoning victims:

GROUP 1 : ANY (all the hosts in the list)

GROUP 2 : ANY (all the hosts in the list)

Σειρά έχουν, τα διαθέσιμα pluggins! Ένα από τα pluggins που χρησιμοποιήθηκαν κατά τη διάρκεια αυτής της επίθεσης, ονομάζεται “remote browser” και αποστέλλει στον κύριο “Π” *κάθε* ιστοσελίδα που επισκέπτεται *κάθε* συνδεδεμένος χρήστης του συγκεκριμένου ασύρματου δικτύου που έχει τεθεί για έλεγχο. Έτσι χωρίς πολλές σκέψεις και κωλυσιεργία πάτησε “start snif” και το sniffάρισμα του δικτύου ξεκίνησε!

Τα πρώτα δευτερόλεπτα φάνηκαν να περνούν βασανιστικά αργά και ο κύριος “Π” άρχισε να αμφιβάλει σχετικά με την αποτελεσματικότητα της εν’ λόγο επίθεσης. Όμως τελικά η πρώτη σελίδα εμφανίστηκε και μαζί με αυτή ακολούθησαν κι άλλες! Η αγωνία έφυγε και ένα μεγάλο χαμόγελο επιτυχίας άρχισε να σκιαγραφείτε σιγά σιγά στο πρόσωπο του.

REMOTE COMMAND: mozilla -remote openurl(http://www.google.com/)
REMOTE COMMAND: mozilla -remote openurl(http://www.google.gr/)

Για αρκετά λεπτά ο κύριος “Π” κοίταγε απορημένος τις ιστοσελίδες που “περνούσαν” μπροστά απ τα μάτια του, από το twitter μέχρι το facebook και απ’ το youtube μέχρι το Google καθώς επίσης και πολλά άλλα sites πονηρού ή μη περιεχομένου! Το χειρότερο αυτής της υπόθεσης ήταν ότι ο παρεμβαλλόμενος κύριος “Π” μπορούσε με ευκολία να διαβάσει μέχρι και τα posts που έκαναν οι συνδεδεμένοι χρήστες στα διάφορα sites που επισκεπτόντουσαν. Αυτό βλέπετε, ήταν κάτι που τον προβλημάτισε πολύ βυθίζοντας τον σε σκέψεις.

Άραγε, ποσό επιπόλαια βλέπει ο καθένας τα ευαίσθητα προσωπικά δεδομένα του και έτσι ελαφρά τη καρδία, συνδέετε σε όποιο ασύρματο δίκτυο βρει μπροστά του;” σκέφτηκε.

Καθώς ο όγκος πληροφοριών που περνούσε από μπροστά απ’ τα μάτια του αυξανόταν με ρυθμούς αριθμητικής προόδου άρχισε να προβληματίζεται έντονα για δεύτερη φορά. Αυτή τη φορά όμως, επειδή μέχρι στιγμής δεν είχε συναντήσει κανένα password από σελίδες όπως Hotmail, Paypal, Facebook δηλαδή που χρησιμοποιούν το πρωτόκολλο κρυπτογράφησης SSL κατά την αυθεντικοποίηση του χρήστη.

Μα, τι στο καλό συμβαίνει;” – Μονολόγησε

Αφού σταμάτησε λοιπόν το sniffάρισμα μπήκε στο κατάλογο /etc με σκοπό να ελέγξει την κατάσταση του αρχείου etter.conf. Όλα όμως στην επίμαχη ενότητα με τα iptables έδειχναν φυσιολογικά. Έπειτα σκέφτηκε να ενεργοποιήσει (ξανά!) το IP Forwording (βλ. TotalXAKER τευχος 28) ώστε να μετατρέψει το μικρο του netbook σε router. Πάλι τζίφος!! Κανένα κρυπτογραφημένο password δε μπόρεσε να δει😦

Περίεργο, αφού έχω κάνει όλες τις απαραίτητες αλλαγές και ρυθμίσεις, γιατί δε λειτουργεί σωστά;” Σκέφτηκε.

Κοιτώντας απορημένος και απογοητευμένος τα αποτελέσματα του προηγούμενου scanαρίσματος διαπίστωσε ότι τουλάχιστον το 85% των χρηστών επισκεπτόταν το Facebook. Χμμ, ήταν τόσο κοντά στο να αποκτήσει τους κωδικούς πρόσβασης, αλλά συγχρόνως τόσο μακριά. Βλέπετε, το ettercap συνέχιζε να του κάνει τα ναζάκια του και να αρνείται κατηγορηματικά στο να τον βοηθήσει να “γραπώσει” τα passwords.

Εμφανώς τσαντισμένος και πίνοντας 2 ακόμα γουλιές καφέ, βάζει το μυαλό του να σκεφτεί! Τι θα μπορούσε να κάνει ώστε να καταφέρει να “ψαρέψει” αλλιώς τους κωδικούς. Xμμ αυτό ήταν! Του ήρθε η ιδέα!

Ο κύριος “Π” θυμήθηκε ότι ,για καλή του τύχη, κάπου μέσα στους φακέλους του είχε και έναν που λεγόταν “Desktop Phising” και ο οποίος μέσα περιείχε τους κώδικές που είχαν παρουσιαστεί στο τεύχος 29 του totalXAKER.

Αφού, δε μπορούσε με άλλον τρόπο να αποκτήσει τα passwords αποφάσισε να χρησιμοποιήσει μια μέθοδο που θα έμοιαζε αρκετά με το desktop phising αλλά αυτή τη φορά δε θα χρειαζόταν αλλάζει κανένα αρχείο hosts. Θα έκανε Dns Spoofing με θέμα του φυσικά το site του Facebook.

O κύριος “Π” βλέπετε, γνώριζε καλά ότι η εξαπάτηση μεσώ DNS Spoofing αποτελεί έναν πολύ απλό και εύκολο τρόπο ώστε να γίνει redirection (ανακατεύθυνση) από κάπου (πχ το site του Facebook) κάπου άλλου (πχ στο netbook του κυριου “Π”) χωρίς να φυσικά να χρειάζεται να ανακατευτεί με hosts file. Ίσως αυτή να ήταν η ιδανική λύση που έψαχνε!

Έτσι έβαλε μπρος το μεγαλεπήβολο σχέδιο του.
Χωρίς πολλούς ενδοιασμούς, “μπήκε” στο κατάλογο /usr/share/ettercap/ και στο αρχειο “etter.dns” έκανε μια εγγραφή:

http://www.facebook.com A 192.168.1.123

Φυσικά, όπου 192.168.1.123, αντιστοιχούσε στην ip που είχε πάρει εκείνη τι στιγμή απ’ το δίκτυο. Στη συνεχεία άνοιξε πάλι το ettercap αλλά επέλεξε αυτή τη φορά το pluggin με την ονομασία “dns_spoof” και το sniffarisma άρχισε ξανά! Πλέον, κάθε φορά που κάποιος χρήστης του δικτύου θα “ζητούσε” να μεταβεί στο επίσημο site του facebook, θα του γινόταν εκτροπή στην ip 192.168.1.123 όπου πίσω απ’ αυτή βρισκόταν ο κύριος “Π” και φυσικά ότι username και password χρησιμοποιούσε, θα καταγραφόταν!

Κάθισε λοιπόν αναπαυτικά στην καρέκλα του, παίρνοντας το ποτήρι με τον καφέ στο χέρι (ώστε να μη τραβάει τα βολέματα) και περίμενε μέχρι να τσιμπήσει το ψάρι. Οι πρώτοι ανυποψίαστοι θαμώνες του facebook συνδέθηκαν και άρχισαν να του δίνουν “απλόχερα” τα usernames και τα password τους, χωρίς να μπορούν να αντιληφθούν την υπαρξη αυτής της πλαστής σελίδας. Ο κύριος “Π” βλέποντας αυτό το θέαμα, ήθελε να τους φωνάξει να μη συνδέονται στο Facebook, μιας και όλα τα passwords καταγραφόντουσαν απ’ τον ίδιο!

Δεν άντεξε. Έκλεισε το netbook και το έβαλε στην τσάντα. Αφού ζήτησε το λογαριασμό έφυγε απ’ την καφετέρια πολύ σκεπτικός και φανερά προβληματισμένος. Μέσα σε λιγότερο από μίση ώρα είχε καταφέι να μαζέψει τα passwords σε περισσότερα από 20 άτομα που θέλησαν να συνδεθούν με το facebook.

Άραγε, τι θα γινόταν αν έκανε κάτι αντίστοιχο αλλά με στόχο του αυτή τη φορά αντί για το Facebook, το paypal? Η απάντηση μάλλον θα ήταν προφανής και μονολεκτική .. Χαός!

Αντί του επιλόγου.
Μπορεί ο συγκεκριμένος κύριος “Π” να ήταν ηθικός και να μη χρησιμοποίησε όλες αυτές τις τεχνικές με σκοπό να βλάψει ή να εξαπατήσει τους συνανθρώπους του, όμως ποτέ δε μπορείτε να είστε σίγουροι για το ποιος βρίσκετε πίσω από μια τέτοια επίθεση και πως μπορεί να χρησιμοποιήσει όσα προσωπικά στοιχειά σας συλλέξει (Email, κωδικόυς, αριθμούς πιστωτικών καρτών). Για το λόγο αυτό καλό ηταν πριν συνδεθείτε και χρησιμοποιήσετε ένα ελεύθερο ασύρματο δίκτυο να έχετε λάβει όλα τα απαραίτητα μέτρα προφύλαξης.

 
Leave a comment

Posted by on December 6, 2011 in It's Greek to Me

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: