Предупреждение В статье описаны приключения один из моих друзей .
Фон
События происходят в далёком третьем году.Я жил в одной комнате студенческого общежития с соседом-первокурсником, который, как и я, учился в Центре информатики и вычислений и интересовался информационными технологиями.
Для ясности в дальнейшем я буду называть его Н.
Этот товарищ любил заняться мелким онлайн-хулиганством, например, найти чей-то простой пароль ВКонтакте и сменить аватарку, или написать что-нибудь пошлое в своем статусе.
Я этого не одобрял, но ничего не делал.
К тому же теоретических знаний у него было меньше, чем нужно для подобных действий, поэтому он использовал в основном готовые программы, слабо разбираясь в том, как они работают — я это еще больше не одобрял.
Сам я тоже не был гуру, но, по крайней мере, старался изучить теорию, прежде чем использовать «волшебные» скрипты и программы.
Что ж, свою деятельность он направил скорее в конструктивное, а не деструктивное русло.
И я считал себя достаточно защищенным от сетевых атак, так как знаю основы компьютерной грамотности, не использую дату рождения или номер телефона в качестве паролей, своевременно обновляю ОС и программное обеспечение и не Запускаю ничего из Интернета.
И вот однажды он отправляет мне электронное письмо и лукаво улыбается.
И в письме есть файл, и в файле табличка с большинством моих паролей.
Самых ценных паролей (для почты и доменов) не оказалось, но у меня все равно проблема, потому что как же быть - вроде все правильно сделал, а тут такой провал, и я даже не знаю где моя проблема и что нужно исправить! Я его спрашиваю, он отказывается объяснить, где и как он их взял.
Анализ показал, что многие из присланных мне паролей совпадают со многими паролями, сохраненными в Opera Wand, поэтому я установил мастер-пароль для Wand в Opera. Меняю все пароли, скачиваю Cure It Live CD, перезагружаю компьютер, запускаю полную проверку.
Проходит ночь, а вирусы не обнаруживаются.
Скачиваю аналогичный продукт от Лаборатории Касперского - результат тот же.
В голову приходит мысль, что он мог использовать Live CD, чтобы украсть wand.dat — мой диск не зашифрован.
N говорит, что я не правильно угадал, но на всякий случай поставил пароль в биосе на загрузку и на смену загрузочного носителя.
В голове рождается план страшной мести (тем более, что руки уже давно чесались сделать что-то подобное, но сдерживали моральные нормы – и тут вроде бы есть оправдание: «он первый начал»).
Записываю Live CD с каким-нибудь мини-Linux, тестирую на своем компьютере, все работает. Я гуглил расположение ключевых файлов Windows. На следующий день, пока N сдает экзамен, я запираюсь в комнате и загружаю его компьютер с Live CD, который приготовил накануне.
Я копирую каталог %AppData% на свою флэшку, также копирую файлы реестра SAM и SYSTEM и выключаю компьютер.
На своем компьютере я расшифровываю пароли от его Opera Wand; пароль электронной почты также есть.
Один из них соответствует его паролю для входа в Windows. Также в почтовом ящике с помощью поиска по словам «пароль», «пароль» нахожу пароли от сервисов, которые после каждого изменения присылают пароль открытым текстом на почту.
Пишу ему ответное письмо с его паролями.
Через некоторое время у меня происходит разрыв связи между ICQ и Jabber. Поняв, что у него тоже есть база данных моей Миранды, я восстанавливаю пароли ко всем используемым протоколам обмена мгновенными сообщениями и устанавливаю плагин шифрования базы данных для Миранды.
После нескольких часов переговоров договариваемся об обмене информацией о методах «взлома».
Оказалось, что несколько недель назад, пока меня не было за компьютером, он скопировал мой %APPDATA% на флэшку.
И в тот день я решил пройтись по этому каталогу с помощью программ расшифровки.
Оказалось, что пока я обдумывал какие-то сложные варианты, он просто копировал каталог - насколько проще? С тех пор мой компьютер блокируется после двух минут бездействия, а также вручную, когда я вспоминаю.
Этот инцидент никак не повлиял на добрососедские отношения, так как никто не использовал чужие пароли в плохих целях, а оба лишь получили дополнительный опыт. Кроме того, мы договорились в дальнейшем не использовать физический доступ к компьютеру соседа, поскольку опыта это уже не принесет, а защита ПК от физического доступа уже выходит за рамки того, что нам интересно.
История
Прошел месяц.И снова вижу, как N узнала пароль от почты своей одноклассницы, и с упорством, достойным лучшего применения, сбрасывает ее контактный пароль и пишет от ее имени всякие вещи от ее имени на стене, в сообщениях друзьям и т. д. Она выздоравливает ей пароль ВКонтакте по электронной почте, и он меняет его обратно.
Она даже не знает, как изменить пароль своей электронной почты (этому ей тоже нет оправдания).
И снова у меня зачесались руки сделать что-то плохое, и здесь снова есть моральное оправдание - сам N здесь неграмотных оскорбляет, а значит, если я получу доступ к его паролям, ничего плохого в этом не будет.
Поскольку мы договорились не использовать физический доступ к компьютеру, а также потому, что повторять трюк с Live CD уже будет неинтересно, нужен менее тривиальный метод.
Взгляд падает на пару переключателей и кучу проводов, по которым в нашей комнате работает интернет.
Модификация сетевой инфраструктуры
Изначально конфигурация сети была следующей:
IP-адреса статические, N выходит в интернет через шлюз 10.25.6.1. Сижу за отдельным роутером для экспериментов.
Таким образом, у меня есть сеть 192.168.0.0/24 для размещения необходимых машин.
Прежде всего, вам нужен роутер, который будет использоваться жертвой, а не провайдером.
Конечно, выделить для этого отдельную машину нет возможности, поэтому все делаю в VirtualBox. Внутренний IP-адрес виртуального роутера будет 10.25.6.1 (поскольку именно по этому адресу будет подключаться жертва), что делать с внешним? Он не может получать интернет от роутера провайдера, поэтому тогда диапазоны адресов внешней и внутренней сети будут совпадать.
Пусть внешний интерфейс будет подключен к моей частной сети: 192.168.0.0/24. В результате: В VirtualBox установлен Debian, адрес внутреннего интерфейса: 10.25.6.1, внешнего: 192.168.0.u. Настраиваем на нем NAT. Поскольку ноутбук с VirtualBox на самом деле имеет только один сетевой адаптер, вам придется схитрить.
В настройках виртуальной машины соединим оба интерфейса виртуальной машины с единственным интерфейсом реальной машины.
Таким образом, в одном аппаратном сегменте теперь сосуществуют две логические сети: 192.168.0.0/24 и фейковая 10.25.6.0/24. Не стоит делать это на постоянной основе, но в данном случае ничего страшного не произошло.
Также создаем еще одну виртуальную машину, которая будет играть роль жертвы, пока все не будет отлажено; также подключаем его в режиме моста к той же внутренней сети.
Сейчас сеть выглядит так (красными стрелками показан маршрут пакетов от виртуальной жертвы в Интернет): 
У реальной жертвы вместо первых двух стрелок будет одна стрелка прямо к выключателю - это произойдет, если переключить провод N от комнатного выключателя на свой, и жертва заметит лишь кратковременный обрыв связь.
Сразу видно много вещей, за которые меня наверняка повесят сетевики:
- В двух логических сетях используется один свитч, в результате пакет проходит через этот свитч дважды.
То есть получается путь с самопересечением
- Пакет во время своего пути проходит через две разные сети 10.25.6.0/24, сначала через поддельную, затем через настоящую.
- Трассировка маршрута от жертвы до какого-либо сервера в Интернете дважды покажет адрес 10.25.6.1, крайне нетипичная ситуация.
Выключив виртуальную машину жертвы, переключаем кабель N от основного выключателя на свой, через несколько секунд получаем куки ВКонтакте.
Вводя куки в ваш браузер, мы завершаем сеанс (здесь можно было бы быть поосторожнее, но черт с ним!).
Через несколько минут пароль от ВКонтакте был получен.
Схема сети в «боевом» состоянии: 
Но простое прослушивание трафика ничего не даст, большинство сайтов передают пароли по протоколу https, поэтому максимум, что я получу - это пароль от ВКонтакте, который он потом восстановит по электронной почте, мне нужно что-то поинтереснее.
выводы
- используйте пароль BIOS или шифрование данных на жестком диске (TrueCrypt)
- короткое время активации блокировки компьютера из-за неактивности
- Вебмастерам: не передавайте важные данные по http, используйте шифрование.
Дуров, ты слышишь?
- Пользователям: не используйте сайты, которые передают ваши пароли через http.
- Не будьте «плохими парнями», возможно, ваш сосед просто ждет повода
Продолжение
Обход HTTPS Теги: #tcpdump #vkontakte #http #HTTPS #SSL #VirtualBox #информационная безопасность-
10 Лет Школе Анализа Данных Яндекса
19 Oct, 24
