Sniffing: Odposlech datové komunikace

Jiří Obr ml., 06. březen 2009 06:25 4 komentářů
Rubriky: Security

Žena
Sniffing je technika, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace. V tomto článku si popíšeme, co s touto metodou zvládne rozhněvaný zaměstnanec nebo šikovný hacker a co proti tomu můžeme dělat.

Listening

Rozhněvaný zaměstnanec firmy nebo hacker může umístit odposlouchávací jednotku na strategické místo a odposlouchávat firemní komunikaci, např. mezi vývojovým oddělením a vedením firmy. Tyto informace může poté zpeněžit u konkurenční společnosti. Obdobně může vedení firmy odposlouchávat své zaměstnance a kontrolovat jejich činnost.

Pro odposlech datové komunikace (sniffing) existuje hned několik způsobů, ale de facto ke každému typu odposlechu je zapotřebí sniffer, softwarové vybavení (a v jistých případech i upravený hardware), které takové odposlouchávaní umožní.

Sniffing v drátových ethernetových sítích

Nyní se zaměříme na sniffing v drátových ethernetových sítích, jenž je oproti např. Wi-Fi sniffingu podstatně jednodušší. Nastíníme si modelové příklady užití sniffingu především v podnikové síti, které se z hlediska obsažených informací řadí do TOP 10 spolu s dalšími typy sociálních či datových sítí (např. vládní a armádní sítě, sítě úřadů a institucí, komunikační sítě a portály). A také si uvedeme některé z možností aktivní či pasivní obrany.

Správce sítě

Hned na úvod musíme zmínit rozhněvaného správce sítě nebo administrátora, kteří mohou cílový systém/síť ohrozit přímo a bez větší námahy. Tito lidé by tedy již z principu měli být důvěryhodní a loajální zaměstnanci Vaší firmy. Na kvalitu těchto lidí má přímý vliv vstupní pohovor, personální agentura nebo např. tzv. dozor, jenž se správci věnuje po dobu jeho zkušební lhůty. Vězte, že pokud si ve své firmě zaměstnáte správce ‘sniffera‘, který k Vám již se zlým úmyslem nastoupil, bude jeho odhalení velice obtížné. Takový člověk, který má navíc patřičná oprávnění a pověření, si po své záškodnické činnosti umí většinou i uklidit. A pátrání po takovém člověku může být boj s větrnými mlýny. Jako prevence se pro tento typ průniku hodí jedno české přísloví: „Důvěřuj, ale prověřuj!“. Pokud se Vám dotyčného přece jen podaří vypátrat, pomohou Vám následně dobře vypracované pracovní smlouvy nebo české zákony o neoprávněném odposlouchávání dat.

Výše uvedený odstavec lze v praxi aplikovat na libovolný typ průniku a pro všechny platí, že čím vyšší práva útočník získá nebo již má, tím těžší bude jeho dopadení.

Fyzický (nebo hardwarový) Man-In-the Middle

Druhým možným typem nejsnadnějšího odposlouchávání z hlediska implementace je fyzický (nebo také hardwarový) ´Man-In-the-Middle´. Tato metoda je typická pro osoby, které mají fyzický přístup k topologii Vaší firemní sítě. Ano, napadá Vás to správně! Může to být klidně i ‘nevinná‘ uklízečka, která právě odposlechla citlivá data z Vaší probíhající on-line firemní porady. Pro tento typ odposlouchávání bude útočníkovi postačovat notebook s dvěma sítovými kartami nebo odposlouchávací můstek a přímý přístup do patřičného uzlu Vaší sítě (tedy racku, fyzické kabeláži, stroji...). Vhodná obrana proti tomuto útoku je důkladné zabezpečení fyzického přístupu k uzlům a síti samotné. A když už je myšlenka absolutní kontroly přístupu nesplnitelná, je stále ještě možné doplnit potencionálně slabě zabezpečené prostory o nějaký další bezpečnostní systém (jako např. CCTV v kombinaci s PIR).

Sniffing v ostatních sítích

Packet sniffing

Nyní se přesuňme na další typ „čmuchání“, tentokrát již softwarového rázu. Každé síťové rozhraní, každá síťová karta naslouchá v defaultním režimu pouze paketům, které jsou určené jen pro ni samotnou. Toto nastavení je však možné vhodnou úpravou nebo změnou ovladače obrátit v útočníkův prospěch. Uvedením síťového rozhraní do tzv. promiskuitního módu umožňuje odposlechnutí a uložení všech nebo vybraných příchozích dat, která by jinak rozhraní ignorovalo. Tento druh sniffingu je možný v síti, kde síťový hardware (etherswitch, router...) rozesílá pakety do celé sítě a data jsou zpracovávána pouze tím počítačem, pro která jsou určena. V takové síti mohou být data odposlechnuta i počítačem, pro který nebyla určena. Obranou jsou v tomto případě vhodně volené aktivní prvky a jiné součásti sítě, které minimalizují všesměrové vysílání dat.

Klasický Man-In-the-Middle

Další mnohem sofistikovanější metodou odposlechu je ‘klasický ´Man-In-the-Middle´ s použitím techniky ARP cache poisoning často také nazývaný MAC address spoofing. Díky této metodě se může sniffer postavit mezi dva počítače, servery nebo libovolné aktivní prvky. Následně mohou být data zachycena a zpracována. Při této metodě může útočník také nepozorovaně data pozměňovat nebo spojení úplně přerušit. Celá tato technika spočívá v přesvědčení protistrany, že její komunikace probíhá s žádanou důvěryhodnou stranou. Obrana proti tomuto útoku je jako v předchozím případě závislá na užitých aktivních prvcích ve Vaší síti. Mnoho nových typů směrovačů a přepínačů má již integrované funkce ověření a detekce falšovaní MAC adres zabudované.

Hacker by v cizí síti mohl použít mnoho programů od Netcatu až po extrémní nástroje jako je třeba Core Impact. Otázkou je, jak moc si přeje zůstat utajen. Sniffing je obecně považován za nedestruktivní tichou a pasivní činnost.

Lokální sniffing

V neposlední řadě nesmíme zapomenout na odposlouchávání přímé, lokální. Sniffer se nemusí vyskytovat pouze mezi dvěma počítači, ale může být umístěn mezi TCP/IP ovladačem systému a síťovým hardwarem na počítači vybrané oběti. Takovýto (většinou low-level) software pak sbírá předem určená data a ukládá je, nebo rovnou odesílá útočníkovi. Mimo rámec packet sniffingu může také sniffer zachytávat stisky kláves. Jelikož se jedná o software instalovaný na konkrétních počítačích, bylo třeba jej sem nejdříve dopravit a následně nainstalovat. To může být provedeno lokálně osobou, která má k danému stroji přístup. Druhou možností je vzdálené napadení, které je úspěšné v momentě, kdy není Váš systém řádně aktualizován a obsahuje staré verze aplikací jako např. antivirový software, firewall apod. V prvém případě většinou postačuje mít zaheslované uživatelské účty a zapnutý (a samozřejmě také heslem chráněný) spořič obrazovky. Ne každý si vždy vzpomene svůj počítač řádně uzamknout. Posouzení, jestli je Vaše pracoviště právě to bezpečné, ponechávám raději na Vás. Pokud si nejste jisti, pomůže Vám specializovaný software pro detekci a odstraňování záškodnických aplikací. Příklady těchto aplikací naleznete o něco níže.

Metod průniku a následného sniffingu v napadeném systému je daleko více, než jsme si zde právě popsali. Nicméně zde uvedené patří k těm základním a hojně užívaným technikám, které může hacker, potažmo zaměstnanec využít.

Jak se proti sniffingu bránit?

„‘Bezpečná‘ síť je ta, která nemá žádné uživatele. A ‘bezpečný‘ počítač je ten, který není připojen v žádné síti.“ Uživatel bohužel nemůže udělat nic 100% účinného, aby se ochránil proti krádeži svých odeslaných dat. Pokud však dodrží několik základních pravidel, možnost, že bude odposloucháván se značně sníží. Základním předpokladem bezpečnosti je odeslat data tak, aby je mohl přečíst pouze ten, komu jsou data adresována. Odeslaná data můžeme zabezpečit vhodným šifrováním a vhodným způsobem autentizace, ověřením integrity. Pro tyto účely lze využít šifrování dat skrze SSL certifikáty, odesílání emailu podepsaných PGP/GPG klíčem a systémem certifikátů. Existuje také mnoho softwaru, který má za cíl prověřit Váš počítač a odstranit škodlivý software včetně snifferů nebo trojských koňů. Jako příklad si uveďme freeware SpyBot Search & Destroy nebo placený Adware Spyware Removal.

Pokud si chcete prověřit, jaká data a kam Váš počítač odesílá a přijímá, můžete použít programy jako Ettercap, Nmap, Wireshark (dříve známý jako Ethereal), CommView, tcpdump pro OS Linux nebo Network Monitor pro OS Windows.

Úskalí nastává, pokud zaměstnavatel odposlouchává i soukromou komunikaci svých zaměstnanců. Pokud by zaměstnanec v tomto případě nahlásil zaměstnavatele úřadu pro ochranu osobních údajů, nebo policii, vystavuje se zaměstnavatel pokutě, případně může být i potrestán odnětím svobody až na jeden rok. Neoprávněné odposlouchávání dat je trestná činnost dle § 239 trestního zákona (porušování tajemství dopravovaných zpráv), případně podle § 240 trestního zákona č. 151/2000 Sb. o telekomunikacích definuje v § 84 dílu 12 telekomunikační tajemství a ochranu osobních a zprostředkovacích dat. Předmětem telekomunikačního tajemství je obsah zpráv přepravovaných nebo jinak zprostředkovaných telekomunikačními zařízeními a sítěmi s výjimkou zpráv určených veřejnosti, provozní doklady popisující obsah přepravovaných zpráv a data související s poskytováním telekomunikačních složek, zejména údaje o účastnících telekomunikačního spojení. Podobně zákon č. 29/2000 Sb. o poštovních službách definuje v § 16 hlavy III. poštovní tajemství a podmínky mlčenlivosti nositelů poštovního tajemství. Porušování uvedených tajemství podléhá trestnímu zákonu.

Autor článku pracuje aktuálně ve společnosti IGNUM jako Senior specialista technické podpory. Převážně se zajímá o analýzu funkcí datových a komunikačních sítí a s nimi spojených bezpečnostních problémů. Ve volném čase pak obrací svou pozornost na kvalitní japonské anime, především z dílny studia Ghibli.


Komentáře

Luboš Doležel 09. březen 2009 00:07

Po dlouhé době kvalitní článek :-)

X-Frox #2
X-Frox 11. březen 2009 18:37

Velice zajímavý článek, doufám že se dočkáme i pokračování na toto téma.

Jirka #3
Jirka 27. květen 2014 15:50

Jakým způsobem může být uživatel sniffingem napaden při užití wireless network?

Pepa #4
Pepa 19. září 2014 12:19

tak ako ja pri ethernete teda ako sa psie v clanku.

Dobra ochrana je VPN, existuju aj zadarmo.


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Policie odložila prověřování IT na ministerstvu zemědělství

ČTK , 24. leden 2017 17:00

Policisté přestali zkoumat okolnosti, za jakých ministerstvo zemědělství nakupovalo v letech 2005 až...

Více 0 komentářů

Výrobce obrazovek LG Display vykázal ve čtvrtletí rekordní zisk

ČTK , 24. leden 2017 13:00

Jihokorejskému výrobci obrazovek LG Display vzrostl ve čtvrtém čtvrtletí provozní zisk na rekordních...

Více 0 komentářů

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Starší zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů