Inwigilacja, detektywistyka, szpiegostwo, kontrinwigilacja


Inwigilacja, detektywistyka, szpiegostwo, kontrinwigilacja

Inwigilacja i komputer

Komputery można "prześwietlić" na bardzo wiele sposobów. Podstawowym sposobem jest kontakt fizyczny. Starsze systemy operacyjne (DOS, Win3.xx, Win 95, Win 98) w zasadzie nie były zabezpieczane hasłem, lub można je było obejść bez żadnego wysiłku. Windows loguje się za pomocą nazwy użytkownika i hasła. Każdemu użytkownikowi przypisany jest jeden plik gdzie są przechowywane hasła. Jeśli użytkownikiem jest Adam, to hasło jest zapisane w pliku adam.pwl. plik ten zapisany jest w katalogu Windows, wystarczy go usunąć (logując się z dyskietki) i nasz użytkownik już nie ma już hasła. Inaczej jest w nowszych systemach, niemniej jednak zawsze istnieje możliwość odpalenia systemu z dyskietki, bądź płyty CD i wyciągnięcie hasła odpowiednim programem z odpowiedniego pliku na dysku (gdzieś przecież jest zapisane). Ponadto nowe systemy takie jak Windows 2000, XP zapisują swoje hasła w rejestrze (SAM - Security Account Manager) z rejestru można je odczytać programem LC4 do pobrania za strony www.atstake.com. Istnieją również inne metody łamania haseł, ale nie będę ich opisywał, bowiem są to metody mniej skuteczne, bardziej czasochłonne, całkowicie pozbawione finezji, a efekt jest uzależniony od mocy obliczeniowej komputera (metody brute force - polegające na podstawianiu słownika lub ciągu znaków według wcześniej zdefiniowanego algorytmu).

Ważne jest samo hasło. Bezpieczne hasło powinno się składać z cyfr, oraz małych i dużych liter. Im dłuższe, tym trudniej je złamać. Hasło powinno być zmieniane 2 razy w miesiącu. Można też korzystać ze specjalnego oprogramowania generującego hasła jednorazowe. Taka metoda wydaje się dość pewna. Przechowywanie haseł, to też nasz stary problem. Widziałem kartki naklejone na monitor z hasłem dostępu............. nie będę tego komentował.

Sieć komputerowa jest bardzo podatna na "niekontrolowany nasłuch". Istnieje wiele programów do analizy ruchu w sieci. Najlepszym z nich jest moim zdaniem dsniff. Dsniff to pakiet narzędzi przeznaczonych do penetrowania sieci lokalnych. Programy wchodzące w skład pakietu Dsniff:

Arpspoof - Przekierowuje pakiety wysyłane przez nadawcę do adresata tak, ze po drodze przechodzą one przez komputer intruza. Dzięki temu możliwe jest sniffowanie w sieciach z przełącznikami.
Dnsspoof - Wysyła sfałszowane odpowiedzi na zapytania DNS (przydatne przy atakach typu man in the middle).
Dsniff - Sniffer wyposażony w możliwość interpretowania wielu popularnych protokółów, takich jak FTP, Telnet, SMTP, HTTP, POP, poppas, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MSCHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSOL, Meeting, Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL Net, Sybase.
Filesnarf - Narzędzie zapisujące pliki przesyłane przy użyciu protokołu NFS.
Macof - Narządzie służące do przepełniania pamięci switcha (MAC flooding). Powoduje to, że switch zaczyna działać jak zwykły hub - co ułatwia sniffowanie.
Mailsnarf - Zapisuje emaile przesyłane przy użyciu protokołów POP i SMTP.
Msgsnarf - Zapisuje treści wiadomości przesyłanych przy użyciu komunikatorów internetowych i IRC-a.
Tcpkill - Zamyka połączenia TCP.
tcpnice – Zwalnia (zmniejsza szybkość) połączenia TCP.
urlsnarf - Wypisuje adresy URL znalezione w sniffowanym ruchu HTTP.
webspy - Przekazuje znalezione adresy URL do lokalnej przeglądarki Netscape, pozwalając na śledzenie (w czasie rzeczywistym) stron, po których surfuje ofiara.
sshmitm - Program będący serwerem pośredniczącym dla połączeń SSH (jednocześnie je snifuje).



webmitm - Program będący serwerem pośredniczącym dla połączeń HTTP i HTTPS przekierowanych przez dnsspoof (jednocześnie je snifuje). Dsniff działa w środowisku linux. Praca polega na nasłuchiwaniu wszystkich pakietów docierających do karty sieciowej komputera podsłuchującego. Dsniff potrafi wyciągnąć wszystkie hasła, oraz wiadomości np. e-mail jakie są wysyłane z innych komputerów. Także pod systemy windows istnieje szereg aplikacji służących do analizy ruchu w sieci, oraz wyciągania haseł, bądź wiadomości e-mail. Podstawową biblioteką pod Windowsy umożliwiającą przestawienie karty sieciowej w tryb nasłuchujący (tryb promiscuous -to jest taki, w którym karta ignoruje adres odbiorcy zapisany w ramce i przetwarza wszystkie ramki) jest pakiet WinPcap. Warto więc używać programów szyfrujących, typu PGP (choć i PGP jest złamane, niemniej jednak sposób jest dostępny naprawdę tylko nielicznym). Na potrzeby zwykłego użytkownika można pobrać certyfikat ze strony: Certyfikaty niekwalifikowane zaufane 128 bitowy klucz wystarczy aby zabezpieczyć się przed konkurencją.

Kolejną możliwością jest pomiar pola elektromagnetycznego emitowanego przez sprzęt. Można w ten sposób uzyskać dane z odległości nawet do 100 m. Przeciwdziałaniem na tą metodę jest sprzęt (ale i pomieszczenie) wykonany w technologii Tempest. Na zastosowanie, jak i sprzedaż takiej technologii trzeba mieć zezwolenie ABW. Koszt takiego komputera jest ok. 10 razy wyższy niż zwykłego.

Bardzo ważne jest zabezpieczenie sieci od strony Internetu. Sprzętowy Firewall oraz najnowsze oprogramowanie antywirusowe to podstawa. Ciekawe opracowanie na temat niebezpieczeństw z internetu znajduje się: www.sans.org najnowszy raport o stanie bezpieczeństwa w internecie w Polsce przeczytasz tu: Bezpieczeństwo w Internecie - Raport 2004. Więcej o Bezpieczeństwie w Internecie

Można również czytać kalwiaturę na odległość analizując wahania napięcia w sieci. Metoda pozwala ujawnić każdy wciskany przycisk na klawiaturze. Pozdrawiam wszystkich użytkowników sieci W-LAN. Ta technologia rozwija się bardzo szybko, niemniej jednak algorytm szyfrowania dostępu do sieci to około godzina pracy odpowiedniego programu. Jedynym rozsądnym, ale i tak nie zapewniającym pełnego bezpieczeństwa jest dodatkowe ukrycie takiej sieci tak aby użytkownik musiał wpisać jej nazwę.



Szpiegostwo, inwigilacja w informatyce

©gconsultant all right reaserved