Про те, чим небезпечні відкриті точки доступу Wifi, про те, що можуть перехопити паролі.
Сьогодні розглянемо перехоплення паролів по Wi Fi та перехоплення куки по Wi Fi за допомогою програми.
Атака відбуватиметься за рахунок сніфінгу (Sniffing).
Sniffing- sniff перекладається як "Нюхати". Сніффінг дозволяє аналізувати мережну активність у мережі, переглядати які сайти відвідує користувач та перехоплювати паролі. Але може бути використано і в корисних цілях для прослуховування вірусів, які відправляють якісь дані в інтернет.
Спосіб показуватиму досить примітивний і простий. Насправді можна сильніше використовувати програму.
Офіційний сайт програми sniff.su (скопіюйте посилання та відкрийте в новій вкладці), завантажити його можна у розділі «Download».
Є версія для Windows, Unix системта для андроїд.
Розглядатимемо для Windows так як це сама популярна системаі тут найпросунутіша програма.
Ваш браузер або антивірус може лаятися, що програма небезпечна, але самі розумієте це хак програма, а на такі завжди буде реагувати.
Завантажується програма в zip архіві, програму потрібно лише розпакувати і в папку і користуватися встановлювати нічого не потрібно.
Програма має можливість влаштовувати різні Mitm атаки на Wi-Fi мережі.
Стаття написана чисто з метою ознайомлення, щоб показати на прикладі про небезпеку відкриту точок WiFiбудь-які зазначені дії, ви виконуєте на свій страх та ризик. І хочу нагадати про кримінальну відповідальність, яка захищає чужі дані.
Сервіс аві1пропонує дивовижно дешеві ціни на можливість замовити передплатників на свій профіль в Інстаграмі. Досягніть збільшення популярності в мережі або продажу вже зараз, не витрачаючи масу зусиль і часу.
Робота з програмою Intercepter NG
Отже, програма запускається через Intercepter-NG.exe.
Програма має англійський інтерфейс, але якщо ви впевнений користувач комп'ютера думаю ви розберетеся.
Внизу буде відео з налаштування (для тих, кому зручніше дивитися, ніж читати).
- Вибираєте потрібну мережуу вершині якщо їх у вас кілька.
- Перемикаєте тип Ethernet/WiFi, якщо у вас Wi Fi то необхідно вибрати значок Wi FI (ліворуч від вибору мережі)
- Натискаєте кнопку Scan Mode(значок радара)
- У порожньому полі клацаєте правою кнопкою мишки і натискаєте в контекстному меню Smart scan
— З'являться всі підключені пристрої до мережі
- Вибираєте жертву (можна виділити всіх із затиснутою клавішею Shift), тільки не відзначайте сам роутер, його Ip зазвичай 192.168.1.1
— Виділивши натискаємо правою кнопкою миші та натискаємо Add to nat
- Переходимо у вкладку Nat
- У Stealth ipбажано змінити останню цифру, на будь-яку не зайняту, це дозволить приховати вашу справжню IP.
— Ставимо галочки на SSl Stripі SSL Mitm.
- Натискаємо Settings(шестерні праворуч) .
— Ставимо галочку на Resurrection(Це дозволить перехоплювати паролі та куки шифрованого Https протоколу) та Знімаємо Spoof IP/Mac. Можна поставити галочку на Cookie KillerЗавдяки їй жертву викине з поточної сторінки наприклад соціальної мережі і жертві доведеться ввести заново пароль, а ми вже його перехопимо. Порівняйте налаштування з картинкою.
— Тут налаштування завершено, закриваємо налаштування на галочку.
— Налаштування завершено, можна приступати до атаки.
- Натискаєте вгорі кнопку Start/stop sniffing(трикутник), у тому ж вікні натискаємо значок радіації внизу Start/Stop ARP Poison
— Перейдіть у вкладку Password modeта натисніть правою кнопкою миші у вікні та виберіть Show Cookies(«Це дозволить показувати куки і паролі, що вводяться жертвами»)
Все, чекаємо коли хтось введе пароль.
Іноді трапляється, що перестає працювати інтернет, спробуйте спробувати самі зайти в інтернет, якщо не працює перезапустіть програму.
Зауважив, що не завжди виходить перехопити пароль, але по суті спрацьовує практично без відмови.
Ось власне і все, ми розглянули перехоплення паролів Wi-Fi і перехоплення куки по Wi-Fi.
Бережіть себе
Програма Wireshark стане чудовим помічником для тих користувачів, кому потрібно зробити детальний аналіз мережевих пакетів, – трафіку комп'ютерної мережі. Сніффер легко взаємодіє з такими поширеними протоколами, як netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6та багатьма іншими. Дозволяє при аналізі розділяти мережевий пакет на відповідні складові, згідно з певним протоколом, і видавати на екран легкочитану інформацію в числовому вигляді.
підтримує величезну кількість різноманітних форматів переданої та одержуваної інформації, здатний відкривати файли, які перебувають у користуванні інших утиліт. Принцип роботи у тому, що мережева картка перетворюється на широкомовний режим і починається перехоплення мережевих пакетів, що у зоні її видимості. Вміє працювати як програма для перехоплення пакетів wifi.
Як користуватися wireshark
Програма вивчає вміст інформаційних пакетів, які проходять через мережу. Щоб запустити і скористатися результатами роботи сніфера не потрібно ніяких специфічних знань, просто потрібно відкрити її в "Пуск" меню або клацнути по значку на робочому столі (її запуск нічим не відрізняється від будь-якої іншої Windows програми). Особлива функція утиліти дозволяє захоплювати інформаційні пакети, ретельно розшифровувати їх вміст і видавати користувачеві для аналізу.Запустивши wireshark, Ви побачите на екрані головне меню програми, розташоване у верхній частині вікна. За допомогою нього відбувається управління утилітою. Якщо вам потрібно завантажити файли, які зберігають дані про пакети, спіймані в попередніх сесіях, а також зберегти дані про інші пакети, здобуті в новому сеансі, то для цього вам знадобиться вкладка "File".
Щоб запустити функцію захоплення мережевих пакетів, користувач повинен натиснути на іконку "Capture", потім відшукати спеціальний розділ меню під назвою "Interfaces", за допомогою якого можна відкрити окреме вікно "Wireshark Capture Interfaces", де повинні будуть показані всі доступні мережеві інтерфейси, через які і буде зроблено захоплення потрібних пакетів даних. У тому випадку, коли програма (сніффер) здатна виявити лише один відповідний інтерфейс, вона видасть на екран всю важливу інформаціюпро нього.
Результати роботи утиліти є прямим доказом того, що навіть якщо користувачі самостійно не займаються (у даний моментчасу) передачею будь-яких даних, у мережі не припиняється обмін інформацією. Адже принцип роботи локальної мережіполягає в тому, що для підтримки її в робочому режимі кожен її елемент (комп'ютер, комутатор та інші пристрої) безперервно обмінюються один з одним службовою інформацією, тому для перехоплення таких пакетів і призначені подібні мережеві інструменти.
Є версія для Linux систем.
Варто зазначити, що сніффер дуже корисний для мережевих адміністраторівта служби комп'ютерної безпекиадже утиліта дозволяє визначити потенційно незахищені вузли мережі – ймовірні ділянки, які можуть бути атаковані хакерами.
Крім свого прямого призначення Wireshark може використовуватися як засіб для моніторингу та подальшого аналізу мережного трафіку з метою організації атаки на незахищені ділянки мережі, адже перехоплений трафік можна використовувати для досягнення різних цілей.
Що таке Intercepter-NG
Розглянемо суть функціонування ARP простому прикладі. Комп'ютер А (IP-адреса 10.0.0.1) та комп'ютер Б (IP-адреса 10.22.22.2) з'єднані мережею Ethernet. Комп'ютер А хоче переслати пакет даних на комп'ютер Б, IP-адреса комп'ютера Б йому відомий. Проте мережа Ethernet, до якої вони з'єднані, не працює з IP-адресами. Тому комп'ютера для здійснення передачі через Ethernet потрібно дізнатися адресу комп'ютера Б в мережі Ethernet (MAC-адреса в термінах Ethernet). Для цього завдання використовується протокол ARP. За цим протоколом комп'ютер А відправляє широкомовний запит, адресований всім комп'ютерам одному з ним широкомовному домені. Суть запиту: «комп'ютер з IP-адресою 10.22.22.2, повідомте свою MAC-адресу комп'ютеру з МАС-адресою (напр. a0:ea:d1:11:f1:01)». Мережа Ethernet доставляє цей запит всім пристроям у тому ж сегменті Ethernet, у тому числі й комп'ютеру Б. Комп'ютер Б відповідає комп'ютеру А на запит і повідомляє свою MAC-адресу (напр. 00:ea:d1:11:f1:11) Тепер, отримавши MAC-адресу комп'ютера Б, комп'ютер А може передавати будь-які дані через мережу Ethernet.
Щоб не було необхідності перед кожною відправкою даних задіяти протокол ARP, отримані MAC-адреси та відповідні IP адреси записуються в таблиці на деякий час. Якщо потрібно надіслати дані на той же IP, то немає необхідності щоразу опитувати пристрої у пошуках потрібного MAC.
Як ми тільки що побачили, ARP включає запит і відповідь. MAC-адреса з відповіді записується до таблиці MAC/IP. При отриманні відповіді він не перевіряється на справжність. Більше того, навіть не перевіряється, чи було зроблено запит. Тобто. на цільові пристрої можна надіслати відразу ARP-відповідь (навіть без запиту), з підміненими даними, і ці дані потраплять до таблиці MAC/IP і будуть використовуватися для передачі даних. Це і є суть атаки ARP-spoofing, яку іноді називають ARP травленням, травленням ARP кешу.
Опис атаки ARP-spoofing
Два комп'ютери (вузли) M і N у локальній мережі Ethernet обмінюються повідомленнями. Зловмисник X, що знаходиться в цій мережі, хоче перехоплювати повідомлення між цими вузлами. До застосування атаки ARP-spoofing на мережевому інтерфейсі вузла M ARP-таблиця містить IP та MAC адресу вузла N. Також на мережному інтерфейсі вузла N ARP-таблиця містить IP та MAC вузла M.
Під час атаки ARP-spoofing вузол X (зловмисник) відсилає дві ARP відповіді (без запиту) - вузлу M та вузлу N. ARP-відповідь вузлу M містить IP-адресу N та MAC-адресу X. ARP-відповідь вузлу N містить IP адресу M і MAC-адреса X.
Так як комп'ютери M і N підтримують мимовільний ARP, то після отримання ARP-відповіді вони змінюють свої ARP таблиці, і тепер ARP-таблиця M містить MAC адресу X, прив'язаний до IP-адреси N, а ARP-таблиця N містить MAC адресу X, прив'язаний до IP-адреси M.
Тим самим атака ARP-spoofing виконана, і тепер всі пакети (кадри) між M і N проходять через X. Наприклад, якщо M хоче передати пакет комп'ютеру N, то M дивиться у свою ARP-таблицю, знаходить запис з IP-адресою вузла N, вибирає звідти MAC-адресу (а там уже MAC-адресу вузла X) і передає пакет. Пакет надходить на інтерфейс X, аналізується ним, після чого перенаправляється вузлу N.
Багатьом користувачам комп'ютерних мереж, загалом, незнайоме таке поняття як «сніфер». Що таке сніффер, спробуємо і визначити, говорячи простою мовою непідготовленого користувача. Але для початку все одно доведеться заглибитися в визначення самого терміну.
Що таке sniffer з точки зору англійської мови та комп'ютерної техніки?
Насправді визначити сутність такого програмного чи програмно-апаратного комплексу зовсім нескладно, якщо просто перекласти термін.
Ця назва походить від англійського слова sniff (нюхати). Звідси й значення російськомовного терміна «Сніффер». Що таке sniffer у нашому розумінні? "Нюхач", здатний відстежувати використання мережного трафіку, а, простіше кажучи, шпигун, який може втручатися в роботу локальних або інтернет-орієнтованих мереж, витягуючи необхідну інформацію на основі доступу через протоколи передачі даних TCP/IP.
Аналізатор трафіку: як це працює?
Обмовимося відразу: сніффер, будь він програмним або умовно-програмним компонентом, здатний аналізувати і перехоплювати трафік (передані та прийняті дані) виключно через мережеві карти(Ethernet). Що виходить?
Мережевий інтерфейс не завжди виявляється захищеним файрволлом (знову ж таки - програмним або «залізним»), а тому перехоплення даних або даних, що передаються, стає всього лише справою техніки.
Усередині мережі інформація передається сегментами. Усередині одного сегмента передбачається розсилання пакетів даних всім пристроям, підключеним до мережі. Сегментарна інформація переадресовується на маршрутизатори (роутери), а потім на комутатори (світи) та концентратори (хаби). Відправлення інформації здійснюється шляхом розбиття пакетів, так що кінцевий користувач отримує всі частини з'єднаного разом пакета з різних маршрутів. Таким чином, «прослуховування» всіх потенційно можливих маршрутів від одного абонента до іншого або взаємодія інтернет-ресурсу з користувачем може дати не лише доступ до незашифрованої інформації, але й до деяких секретних ключів, які також можуть пересилатися в процесі взаємодії. І тут мережевий інтерфейс виявляється абсолютно незахищеним, бо відбувається втручання третьої особи.
Добрі наміри та зловмисні цілі?
Сніфери можна використовувати і на шкоду, і на благо. Не кажучи про негативний вплив, варто зазначити, що такі програмно-апаратні комплекси досить часто використовуються системними адміністраторами, які намагаються відстежити дії користувачів не тільки в мережі, а й їхню поведінку в інтернеті в плані ресурсів, активованих завантажень на комп'ютери або відправлення з них .
Методика, за якою працює мережевий аналізатор, досить проста. Сніффер визначає вихідний та вхідний трафік машини. При цьому не йдеться про внутрішній або зовнішній IP. Найголовнішим критерієм є так званий MAC-address, унікальний для будь-якого пристрою, підключеного до глобальної мережі. Саме щодо нього відбувається ідентифікація кожної машини в мережі.
Види сніферів
Але і за видами їх можна поділити на кілька основних:
- апаратні;
- програмні;
- апаратно-програмні;
- онлайн-аплети.
Поведінкове визначення присутності сніфера в мережі
Виявити той же сніфер WiFi можна по навантаженню на мережу. Якщо видно, що передача даних або з'єднання знаходиться не на тому рівні, який заявляється провайдером (або дозволяє роутер), слід звернути увагу відразу.
З іншого боку, провайдер може запустити програмний сніффер для відстеження трафіку без відома користувача. Але, як правило, користувач про це навіть не здогадується. Натомість організація, що надає послуги зв'язку та підключення до Інтернету, таким чином гарантує користувачу повну безпеку в плані перехоплення флуду, клієнтів, що самовстановлюються, різнорідних троянів, шпигунів тощо. Але такі засоби є скоріше програмними і особливого впливу на мережу або термінали не надають.
Онлайн-ресурси
А ось особливо небезпечним може бути аналізатор трафіку онлайн типу. На використанні сніферів побудовано примітивну систему злому комп'ютерів. Технологія в найпростішому варіанті зводиться до того, що спочатку зломщик реєструється на певному ресурсі, потім завантажує на сайт картинку. Після підтвердження завантаження видається посилання на онлайн-сніфер, яка пересилається потенційній жертві, наприклад, у вигляді електронного листаабо того ж SMS-повідомлення з текстом на кшталт «Вам прийшло вітання від того. Щоб відкрити картинку (листівку), натисніть посилання».
Наївні користувачі клацають за вказаним гіперпосиланням, внаслідок чого активується впізнання та передача зовнішньої IP-адреси зловмиснику. За наявності відповідної програми він зможе не тільки переглянути всі дані, що зберігаються на комп'ютері, але й легко змінити налаштування системи ззовні, про що локальний користувач навіть не здогадається, прийнявши таку зміну за вплив вірусу. Та ось тільки сканер під час перевірки видасть нуль погроз.
Як захиститись від перехоплення даних?
Будь то сніфер WiFi або будь-який інший аналізатор, системи захисту від несанкціонованого сканування трафіку все ж таки є. Умова одна: їх потрібно встановлювати лише за умови повної впевненості у прослуховуванні.
Такі програмні засобинайчастіше називають «антисніферами». Але якщо замислитися, це ті самі сніфери, що аналізують трафік, але блокують інші програми, які намагаються отримати
Звідси законне питання: а чи варто встановлювати таке ПЗ? Можливо, його злом з боку хакерів завдасть ще більшої шкоди, чи воно саме заблокує те, що має працювати?
У найпростішому випадку з Windows-системами як захист краще використовувати вбудований брендмауер (файрволл). Іноді можуть спостерігатися конфлікти з встановленим антивірусом, але це частіше стосується лише безкоштовних пакетів. Професійних покупних або щомісячно активованих версій таких недоліків позбавлено.
Замість післямови
Ось і все, що стосується поняття «сніффер». Що таке sniffer, здається, вже багато хто зрозумів. Насамкінець питання залишається в іншому: наскільки правильно такі речі використовуватиме рядовий користувач? Бо серед молодих користувачів іноді можна побачити схильність до комп'ютерного хуліганства. Вони думають, що зламати чужий «комп» - це щось на кшталт цікавого змагання чи самоствердження. На жаль, ніхто з них навіть не замислюється про наслідки, адже визначити зловмисника, який використовує той же онлайн-сніфер, дуже просто за його зовнішнім IP, наприклад, на сайті WhoIs. Як місце розташування, щоправда, буде вказано локацію провайдера, проте країна і місто визначаться точно. Ну а потім справа за малим: або дзвінок провайдеру з метою блокування терміналу, з якого здійснювався несанкціонований доступ, або підсудна справа. Висновки робіть самі.
При встановленій програмівизначення дислокації терміналу, з якого йде спроба доступу, справа і того простіше. Але наслідки можуть виявитися катастрофічними, адже далеко не всі користувачі використовують ті хе анонімайзери або віртуальні проксі-сервери і навіть не мають поняття, в Інтернеті. А варто було б повчитися…
УВАГА!Ця стаття написана лише з ознайомлювальною метою для фахівців у галузі IT безпеки. Перехоплення трафіку було з прикладу своїх пристроїв у власній локальної мережі. Перехоплення та використання особистих даних може каратися законом, тому ми не закликаємо використовувати цю статтю на шкоду оточуючих. Мир у всьому світі, допомагаємо один одному!
Всім привіт! У статті ми поговоримо про WiFi сніфер. Взагалі, цей тип програм призначений виключно для перехоплення трафіку в локальній мережі. Далі все одно як саме жертва підключена до маршрутизатора, по кабелю або по Wi-Fi. Хочу показати перехоплення трафіку на прикладі цікавої програми Intercepter-NG. Чому я вибрав її? Справа в тому, що це sniffer програма написана спеціально для Windows має досить привітний інтерфейс і проста у використанні. Та й Linux є не у всіх.
Можливості Intercepter-NG
Як ви знаєте, у локальній мережі постійно використовується обмін даними між роутером та кінцевим клієнтом. За бажання ці дані можна перехоплювати та використовувати у своїх цілях. Наприклад, можна перехопити куки, паролі чи інші цікаві дані. Відбувається все дуже просто – комп'ютер надсилає запит до інтернету та отримує дані разом із відповіддю від центрального шлюзу чи маршрутизатора.
Програма запускає певний режим, у якому комп'ютер клієнт починає надсилати запити з даними не так на шлюз, саме на пристрій із програмою. Тобто можна сказати, що він плутає роутер з комп'ютером зловмисника. Ця атака ще називається ARP спуфінгом. Далі, з другого комп'ютера, всі дані застосовуються у своїх цілях.
Після отримання даних починається процес сніфінгу, коли програма намагається вивудити з пакетів потрібну інформацію: паролі, логіки, кінцеві web-ресурс, сторінки в інтернеті, що відвідуються, і навіть листування в месенджерах. Але є невеликий мінус у тому, що така картина чудово працює при незашифрованих даних. При запиті на HTTPS сторінки потрібні танці з бубном. Наприклад, програма може за запитом клієнта на DNS сервер, підкладати адресу свого фальшивого сайту, де може ввести логін і пароль для входу.
Звичайна атака
Для початку нам потрібно завантажити програму. Деякі браузери можуть сваритися, якщо ви спробуєте завантажити програму з офіційного сайту – sniff.su. Але можете скуштувати. Якщо вам ліньки проходити цей захист, то ви можете завантажити програму з GitHub .
- Залежно від того, як ви підключені до мережі, у лівому верхньому куті відображатиметься відповідний значок – натискаємо по ньому;
- Потрібно вибрати свій працюючий мережевий модуль. Я вибрав з тим, у якого вже надано локальні IP, тобто мою IP адресу;
- На порожній області натискаємо правою кнопочкою і далі запускаємо "Smarty Scan";
- Далі ви побачите список IP адрес, а також MAC та додаткову інформаціюпро пристрої в мережі. Достатньо вибрати одну з цілей атаки, натиснути по ній і далі зі списку вибрати "Add as Target", щоб програма закріпила пристрій. Після цього натискаємо кнопку запуску в правому верхньому кутку вікна;
- Заходимо до розділу «MiTM mode» та натискаємо на значок радіації;
- Процес запуску запущено, тепер, щоб переглянути логіни та паролі – перейдіть у третю вкладку;
- На другій вкладці ви побачите всі передані дані;
Як бачите тут можна тільки побачити та засікти перехоплені ключі та імена користувачів, а також ті сайти, які відвідала ціль.
Перехоплення Cookies
Якщо хтось не знає, то кукі це тимчасові дані, які дозволяють нам постійно не вводити облікові дані на форумах. соціальних мережахта інших сайтах. Можна сказати – це така тимчасова перепустка. Ось їх також можна перехоплювати за допомогою цієї програми.
Все робиться досить просто, після запуску звичайної атаки переходимо в третю вкладку, натискаємо правою кнопкою вільного поля і вибираємо «Show Cookies».
Ви повинні побачити потрібні куки. Використовувати їх дуже просто – просто натискаємо по потрібному сайту правою кнопочкою і далі вибираємо Open in browser. Після цього відкриється саме сайт із чужої облікової сторінки.
Отримання логіну та паролю
Швидше за все після запуску програми клієнт вже сидітиме в тій чи іншій облікового запису. Але можна змусити його знову ввести логін та пароль. Оскільки куки власними силами не вічні – це цілком нормальна практика. Для цього використовується програма Cookie Killer. Після запуску у клієнта повністю видаляються старі куки і йому доводиться вводити логін і пароль знову, ось тут і включається перехоплення. З цього приводу є окрема інструкція:
