Ember a támadásokban. Műszaki GYIK

Szinte mindig többféleképpen is elérheti a kívánt eredményt. Ez vonatkozik az információbiztonság területére is. Néha a cél elérése érdekében brutálisan kereshet, önállóan kereshet lyukakat és szagokat fejleszthet, vagy meghallgathatja a hálózaton keresztül továbbított tartalmat. Az utóbbi lehetőség gyakran a legjobb. Éppen ezért ma olyan eszközökről fogunk beszélni, amelyek segítenek számunkra értékes információkat fogni a hálózati forgalomból, ehhez MITM támadásokat használva.

MITMf

Kezdjük az egyik érdekesebb jelölttel. Ez egy teljes keret a középső támadásokhoz, a sergio-proxyra épülve. Nemrég bekerült a Kali Linuxba. A telepítéshez csak klónozza a tárolót, és futtassa néhány parancsot:

# setup.sh # pip install -r követelmények.txt

Beépülő modulokkal bővíthető architektúrája van. A főbbek közé tartoznak a következők:

• Spoof - lehetővé teszi a forgalom átirányítását ARP / DHCP hamisítással, ICMP átirányításokkal és DNS-lekérdezések módosításával;
• Sniffer – ez a bővítmény figyeli a különböző protokollok bejelentkezési kísérleteit;
• BeEFAutorun - lehetővé teszi a BeEF modulok automatikus futtatását az operációs rendszer és a kliens böngésző típusa alapján;
• AppCachePoison - gyorsítótár-mérgezési támadást hajt végre;
• SessionHijacking – eltéríti a munkameneteket, és elmenti a fogadott sütiket a firelis profilba;
• BrowserProfiler - megpróbálja lekérni a böngésző által használt bővítmények listáját;
• FilePwn - lehetővé teszi a HTTP-n keresztül küldött fájlok cseréjét a Backdoor Factory és a BDFProxy használatával;
• Inject – tetszőleges tartalmat szúr be egy HTML oldalba;
• jskeylogger – JavaScript keyloggert szúr be az ügyféloldalakba.

Ha ez a funkció nem elegendő az Ön számára, akkor a megfelelő kiterjesztéssel bármikor hozzáadhatja a sajátját.

putty rider

Egy másik figyelemre méltó segédprogram. Igaz, az összes többi manapság figyelembe vett eszközzel ellentétben ez nagyon szűken specializálódott. Amint a projekt szerzője maga mondja, egy ilyen segédprogram létrehozásához az inspirálta, hogy a penetrációs tesztek során a legfontosabb adatok a Linux / UNIX szervereken találhatók, amelyekhez az adminisztrátorok SSH / Telnet / rlogin segítségével csatlakoztak. És a legtöbb esetben a rendszergazdák gépéhez való hozzáférés sokkal könnyebb volt, mint a célszerver elérése. Miután behatoltak a rendszergazda gépébe, nem kell mást tenni, mint megbizonyosodni arról, hogy a PuTTY fut, és ezzel az eszközzel visszafelé hidat építeni a támadó felé.

A segédprogram nem csak az adminisztrátor és a távoli szerver közötti "kommunikáció" (beleértve a jelszavakat) szimatolását teszi lehetővé, hanem tetszőleges shell-parancsok végrehajtását is egy adott munkameneten belül. És mindez a felhasználó (adminisztrátor) számára abszolút átláthatóan fog megtörténni. Ha érdeklik a technikai részletek, például, hogyan valósul meg a PuTTY folyamat megvalósítása, ajánlom figyelmébe a szerző előadását.

Egy meglehetősen régi segédprogram, amely több mint nyolc éve született. Úgy tervezték, hogy a munkameneteket cookie-k ellopásával klónozza. A munkamenet-eltérítéshez alapvető készségekkel rendelkezik a gazdagépek észlelésében (nyitott vezeték nélküli hálózathoz vagy hubhoz való csatlakozás esetén) és az ARP-mérgezés végrehajtásában. A probléma csak az, hogy ma, ellentétben a nyolc évvel ezelőttivel, szinte minden nagyvállalat, mint a Yahoo vagy a Facebook, használ SSL titkosítást, ami teljesen használhatatlanná teszi ezt az eszközt. Ennek ellenére még mindig van elég olyan erőforrás a weben, amely nem használ SSL-t, így még korai lenne leírni a segédprogramot. Előnyei közé tartozik, hogy automatikusan integrálódik a Firefoxba, és külön profilt hoz létre minden elfogott munkamenethez. A forráskód elérhető a tárolóban, és saját maga is elkészítheti a következő parancsok segítségével:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip üléstolvaj

Proxy Fuzz

A ProzyFuzznak semmi köze közvetlenül a MITM támadásokhoz. Ahogy a névből is sejthető, az eszközt fuzzingra tervezték. Ez egy pythonban megvalósított kis, nem determinisztikus hálózati fuzzer, amely véletlenszerűen változtatja meg a hálózati forgalmi csomagok tartalmát. Támogatja a TCP és UDP protokollokat. Konfigurálható úgy, hogy csak az egyik oldalon fuzz. Hasznos, ha gyorsan kell tesztelnie néhány hálózati alkalmazást (vagy protokollt), és ki kell fejlesztenie egy PoC-t. Használati példa:

Python proxyfuzz -l -r -o

Az opciók listája a következőket tartalmazza:

• w - beállítja a fuzzing megkezdése előtt elküldött kérések számát;
• c - csak az ügyfelet fuzzolja meg (egyébként mindkét oldalt);
• s - csak a szerver fuzz-ja (egyébként mindkét oldal);
• u - UDP protokoll (egyébként TCP-t használnak).

A Középső

A DEF CON konferencián bemutatott segédprogram különféle protokollok elleni MITM támadások végrehajtására. Az alfa verzió támogatta a HTTP protokollt, és három nagyszerű bővítményt tartalmazott az arzenáljában:

• plugin-beef.py – beilleszti a Böngésző Kihasználási Keretrendszert (BeEF) a helyi hálózatról érkező HTTP-kérésekbe;
• plugin-metasploit.py – titkosítatlan (HTTP) kérésekbe injektál egy IFRAME-et, amely betölti a böngésző exploitjait a Metasploitból;
• plugin-keylogger.py – JavaScript onKeyPress eseménykezelőt szúr be minden HTTPS-en keresztül küldött szövegmezőbe, így a böngésző karakterenként elküldi a felhasználó jelszavát a támadó szerverének, mielőtt a teljes űrlapot elküldené.

A Middler nemcsak automatikusan elemzi a hálózati forgalmat és talál benne cookie-kat, hanem önállóan is kéri azokat a klienstől, vagyis a folyamat maximálisan automatizált. A program garantálja az összes nem védett fiók begyűjtését a számítógépes hálózaton (vagy nyilvános hotspoton), amelyek forgalmához hozzáfér. A program megfelelő működéséhez a következő csomagokat kell telepíteni a rendszerre: Scapy, libpcap, readline, libdnet, python-netfilter. Sajnos az adattárat hosszú ideje nem frissítették, így Önnek kell új funkciókat hozzáadnia.

Konzolsegédprogram, amely lehetővé teszi a HTTP-forgalom interaktív vizsgálatát és módosítását. Az ilyen készségeknek köszönhetően a segédprogramot nem csak a penetrációs tesztelők / hackerek használják, hanem a hétköznapi fejlesztők is, akik például webes alkalmazások hibakeresésére használják. Segítségével részletes információkat kaphat arról, hogy az alkalmazás milyen kéréseket küld, és milyen válaszokat kap. Ezenkívül a mitmproxy segíthet megtanulni egyes REST API-k működését, különösen a rosszul dokumentáltakat.

A telepítés rendkívül egyszerű:

$ sudo aptitude install mitmproxy

$ pip mitmproxy telepítése

$ easy_install mitmproxy

Érdemes megjegyezni, hogy a mitmproxy lehetővé teszi a HTTPS-forgalom lehallgatását is azáltal, hogy önaláírt tanúsítványt ad ki az ügyfélnek. Jó példa található a forgalom elfogásának és módosításának konfigurálására.

Elfogó-NG

Furcsa lenne, ha ez a legendás hangszer nem szerepelne értékelésünkben. Még ha soha nem is használtad, valószínűleg hallottál róla (és csak jobban meg kell ismerned) – ez elég gyakori a magazin oldalain. Nem fogom teljesen leírni a funkcióját - először is érdekel minket a MITM, másodszor pedig egy ilyen leírás az egész cikket felöleli.

Továbbra is csak a tagok számára elérhető

1. lehetőség: Csatlakozzon a "webhely" közösséghez, hogy elolvassa az oldalon található összes anyagot

A meghatározott időszakban a közösséghez való tagság hozzáférést biztosít az ÖSSZES Hacker anyaghoz, növeli a személyes kumulatív kedvezményt, és lehetővé teszi, hogy professzionális Xakep Score értékelést gyűjtsön!

A középső támadás a forgalomhoz közvetítőként való hozzáférést célzó különféle technikák általános neve. A technikák sokfélesége miatt problémás egyetlen olyan eszközt megvalósítani e támadások észlelésére, amely minden lehetséges helyzetben működne. Például egy helyi hálózat elleni ember a középső támadás során az ARP-hamisítást (mérgezést) gyakran használják. És sok közbeeső támadásészlelő eszköz figyeli az Ethernet-címpár változásait / vagy gyanús ARP-tevékenységet jelent az ARP-kérések/válaszok passzív figyelésével. De ha ezt a támadást rosszindulatúan konfigurált proxyszerveren, VPN-en vagy más lehetőségeken használják, amikor nincs ARP-mérgezés, akkor az ilyen eszközök tehetetlenek.

Ennek a szakasznak az a célja, hogy megvizsgáljon néhány technikát a köztes támadások észlelésére, valamint néhány eszközt, amelyek célja annak megállapítása, hogy Ön MitM támadás alatt áll-e. A különféle módszerek és megvalósítási forgatókönyvek miatt a 100%-os észlelés nem garantálható.

1. Forgalommódosítás észlelése

Mint már említettük, az ARP-hamisítást nem mindig használják a köztes támadásoknál. Ezért, míg az ARP szintű tevékenységészlelés a legnépszerűbb észlelési módszer, a forgalommódosítások észlelése általánosabb módszer. Ebben segíthet nekünk a mitmcanary program.

A program elve az, hogy "ellenőrzési" kéréseket hajt végre, és a kapott válaszokat elmenti. Ezt követően meghatározott időközönként megismétli ugyanazokat a kéréseket, és összehasonlítja a kapott válaszokat. A program meglehetősen intelligens, és a hamis pozitívumok elkerülése érdekében észleli a dinamikus elemeket a válaszokban, és helyesen dolgozza fel azokat. Amint a program rögzítette a MitM támadásokhoz használt eszközök tevékenységének nyomait, beszámol róla.

Példák arra, hogy egyes eszközök hogyan „örökölhetnek”:

• A MITMf alapértelmezés szerint a HTML-kódban lévő összes HTTPS URL-t HTTP-re változtatja. HTTP-tartalom összehasonlításával észlelve.
• Zarp + MITMProxy , MITMProxy rendelkezik egy olyan funkcióval, amely lehetővé teszi a HTTP-tömörítés törlését, ez az átvitt forgalom átláthatóságára szolgál, ezt a köteget a korábban meglévő tömörítés eltűnése észleli.
• Responder , az mDNS-válasz fordításának hirtelen változásai által észlelt: váratlan válasz; a válasz belső, de külső várható; a válasz eltér a várt IP-től

• MITMCanary vs MITMF:

• MITMCanary vs Responder:

• MITMCanary vs Zarp + MITMProxy:

sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen elemzési kérés simplejson datetime git klón https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Mint már említettük, a mitmcanary munkáját ellenőrzési kérésekkel kell kezdeni. Ehhez lépjen a könyvtárba

cd szerviz/

És futtassa a fájlt setup_test_persistence.py:

Python2 setup_test_persistence.py

Ez eltart egy ideig – várja meg a végét. Nem szabad hibaüzenetet megjeleníteni (ha igen, akkor hiányzik néhány függőség).

Valami ehhez hasonló lesz a kimenet:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Régebbi konfigurációs verzió észlelve (14 helyett 0) A konfiguráció frissítése folyamatban van. Tisztítónapló kilőve. Elemzés... A tisztítás befejeződött! Bejelentkezés rögzítése /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (alapértelmezett, 2016. szeptember 1., 20:27:38)

A folyamat befejezése után ugyanabban a könyvtárban hajtsa végre a következőt (ez elindít egy háttérfolyamatot):

Python2 main.py

Ezután nyisson meg egy új terminálablakot, és váltson át a gyökérkönyvtárra a mitmcanary segítségével. A könyvtáram a bin/mitmcanary/, ezért belépek

cd bin/mitmcanary/

és ott hajtsd végre:

Python2 main.py

Az első ablakban valami ilyesmi jelenik meg:

Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py Bejelentkezés rögzítése /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (alapértelmezett, 2016. szeptember 1., 20:27:38) segítségével aljzathallgatáshoz Tuio 127.0.0.1:3000 Alvás 60 másodpercig Alvás 60 másodpercig Alvás 60 másodpercig Alvás 60 másodpercig Alvás 60 másodpercig Alvás 60 másodpercig

Azok. a program percenként egyszer vezérlési kérelmet ad le, és keresi bennük a köztes támadás jeleit.

A második ablakban is van egy kimenet + egy sötét ablak nyílik meg, a program szerzői ezt az ablakot „grafikus felületnek” nevezik:

Várhat egy kicsit, böngészhet az interneten, hogy megbizonyosodjon arról, hogy a program nem ad téves riasztásokat.

Próbáljuk ki a klasszikus Ettercap programot.

Rendszeres MitM támadást futtatok ARP hamisítással. A mitmcanary magára a maratásra nem reagál. A mitmcanary eszköz maga generálja a forgalmat, azaz nincs szükség felhasználói beavatkozásra. Egy idő után egyetlen figyelmeztetés jelenik meg, amelyet a következő ellenőrzések során nem erősítenek meg. De néhány perc múlva ugyanaz a figyelmeztetés jelenik meg. További elemzés nélkül nehéz megmondani, hogy ez egy téves pozitív példa-e – nagyon hasonlít ehhez. Elképzelhető, hogy ezt a figyelmeztetést egy kapcsolathiba okozza, amely a forgalomnak további útvonalakon való áthaladásának szükségességéből fakad, vagy a rossz internetkapcsolatom sajátosságai miatt.

Mivel az eredmény nem egyértelmű (inkább "nem", mint "igen"), akkor próbáljuk ki a Bettercap programot, amely többféle modullal rendelkezik. Nincs kétségem afelől, hogy ha különféle Ettercap-bővítményeket és/vagy kiegészítő programokat használunk a funkcionalitás bővítésére, a mitmcanary-ra is „világítunk”.

A kísérlet tisztasága érdekében újraindítom a berendezést, futtatom a Mitmcanary-t a támadott gépen, a Bettercap-et pedig a támadón. Ugyanakkor a megtámadott gépen nem szükséges újból vezérlési kéréseket végrehajtani - a program a könyvtáron belül egy fájlba menti őket. Azok. elég elindítani a szolgáltatást és a grafikus felületet.

A támadógépben pedig a Bettercap-et fogjuk futtatni úgy, hogy az elemzők engedélyezettek:

Sudocap -X

Külön figyelmeztetések jelennek meg, amelyek szintén inkább hamis pozitívnak tűnnek.

De futtassa ezt a parancsot:

sudo bettercap -X --proxy

A megtámadott gépen nagyszámú figyelmeztetést ad egy lehetséges ember a közepén támadásról:

Tehát minél funkcionálisabb a „man-in-the-middle” támadási eszköz, annál több nyomot hagy a forgalomban. A mitmcanary gyakorlati használatához a következő feltételeknek kell teljesülniük:

• első kéréseket küldjön egy megbízható hálózaton, ha biztos abban, hogy nincs közvetítő a forgalom továbbításában;
• szerkessze azokat az erőforrásokat, amelyekhez az ellenőrzési kérelmeket küldik, mivel a professzionális támadó alapértelmezett erőforrásokat adhat hozzá a kivételekhez, ami láthatatlanná teszi őt az eszköz számára.

2. ARP-hamisítás (ARP-gyorsítótár-mérgezés) észlelése

A helyi hálózat ellen elkövetett köztes támadás nagyon gyakran ARP-mérgezéssel kezdődik. Ez az oka annak, hogy sok MitM-támadások észlelésére tervezett eszköz az ARP-gyorsítótár változásainak nyomon követésére szolgáló mechanizmuson alapul, amelyben az Ethernet (MAC-címek) és az IP-címek közötti megfelelések vannak hozzárendelve.

Ilyen programok például az arpwatch , az arpalert és számos új program. Az ArpON program nemcsak figyeli az ARP gyorsítótár változásait, hanem meg is védi azokat.

Példaként futtassuk az arpwatch-ot hibakeresési módban anélkül, hogy a háttérben elágazásokat hoznánk létre, és nem küldenénk üzeneteket e-mailben. Ehelyett az üzenetek az stderr-nek (normál hibakimenet) kerülnek elküldésre.

sudo /usr/sbin/arpwatch -d

A támadó gépen futtassa az Ettercap-et, és indítsa el az ARP-hamisítást. A megtámadott gépen megfigyeljük:

Az arpwatch program segít gyorsan tájékozódni a helyi hálózathoz csatlakoztatott új eszközökről, valamint az ARP gyorsítótár változásairól.

Egy másik eszköz a valós idejű ARP-hamisítás észlelésére maga az Ettercap által nevezett plugin arp_cop. A megtámadott gépen futtassa az Ettercap programot a következőképpen:

sudo ettercap -TQP arp_cop ///

És a támadón kezdjük el az ARP-maratást. A megtámadott gépen azonnal megjelennek a figyelmeztetések:

3. DNS-hamisítás észlelése

A DNS-hamisítás azt jelzi, hogy van egy közvetítő Ön és a cél között, aki módosíthatja a forgalmat. Hogyan állapítható meg, hogy a DNS-rekordokat hamisították? Ennek legegyszerűbb módja, ha összehasonlítja egy megbízható névszerver válaszait. De végül is a kérésére küldött válasz bejegyzései is helyettesíthetők ...

Azok. vagy titkosított csatornán (például Toron keresztül) kell ellenőriznie, vagy nem szabványos beállításokat kell használnia (egy másik port, TCP az UDP helyett). A XiaoxiaoPu sans programja hozzávetőlegesen erre szolgál (legalábbis, ahogy én értem). Ezzel a programmal sikerült átirányítanom a DNS-lekérdezéseket Toron keresztül és nem szabványos beállításokon keresztül a DNS-kiszolgálómra. De soha nem tudtam rávenni, hogy mutasson üzeneteket a DNS-válaszok hamisításáról. E nélkül pedig elveszik a program értelme.

Nem találtam jobb alternatívát.

Elvileg, tekintettel arra, hogy a DNS-hamisítók általában csak az 53-as portot és csak az UDP-protokollokat figyelik, még manuálisan is elegendő egyszerűen ellenőrizni a DNS-hamisítás tényét, bár ehhez saját DNS-kiszolgáló szükséges, nem szabványos konfigurációval. Például a támadó gépen létrehoztam a fájlt dns.conf a következő tartalommal:

Helyi mi-al.ru

Azok. DNS rekord kérésekor a mi-al.ru webhelyhez a valódi IP helyett a támadó gépének IP-címe kerül elküldésre.

A támadógépen futok:

sudo bettercap --dns dns.conf

A megtámadottakon pedig két ellenőrzést végzek:

Dig mi-al.ru # és dig mi-al.ru -p 4560 @185.117.153.79

Eredmények:

Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; globális beállítások: +cmd ;; választ kaptam: ;; ->>Fejléc<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; globális beállítások: +cmd ;; választ kaptam: ;; ->>Fejléc<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Látható, hogy „normál” DNS-lekérdezéshez a 192.168.1.48 helyi IP-t küldték el, a DNS lekérdezésekor pedig egy atipikus porton a megfelelő szerver IP-t küldik.

Ha a szerver TCP-vel (nem UDP-vel) való együttműködésre lett beállítva, akkor a parancs így néz ki:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Nyilvánvalóan hiányzik egy olyan eszköz, amely magában a forgalomban nyomon követné a DNS-válaszokat, még egyszer ellenőrizné azokat egy alternatív forráshoz képest, és hamisítás esetén riasztást adna.

A saját távoli DNS beállításának elkerülése érdekében lekérdezheti a névszervert a Toron keresztül. Mivel az összes Tor-forgalom titkosított, az így kapott DNS-válaszok túl kemények egy közvetítő számára. Ha a Tor még nincs telepítve, akkor telepítse.

sudo apt-get install tor

Sudo pacman -S tor

Indítsa el a szolgáltatást:

sudo systemctl start tor

Ha szüksége van rá, adja hozzá ezt a szolgáltatást az induláshoz:

sudo systemctl enable tor

Fájl megnyitása /etc/tor/torrcés add hozzá a következő sorokat:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit, .onion

Ügyeljen az 530-as számra. Ez a portszám, 530 helyett bármilyen más (nem foglalt) portot megadhat. A legfontosabb, hogy emlékezzen rá.

Ismét ellenőrizzük:

Dig mi-al.ru # és dig mi-al.ru -p 530 @localhost

Most megadjuk szerverként helyi kiszolgáló, és írja be a portszámot az /etc/tor/torrc fájlban megadottak szerint.

Amint az a következő képernyőképen látható, DNS-hamisítási támadást hajtanak végre azon a gépen, amelyen az ellenőrzést elvégezték:

4. Keressen hálózati interfészeket promiscuous módban

Ha a helyi hálózaton van (és különösen, ha hirtelen megjelent) a berendezés promiszkuális módban, ez nagyon gyanús, bár nem utal egyértelműen a köztes támadásra.

Ebben az üzemmódban a hálózati kártya lehetővé teszi az összes csomag fogadását, függetlenül attól, hogy kinek szól.

Normál állapotban az Ethernet interfész kapcsolati rétegű csomagszűrést használ, és ha a fogadott csomag célfejlécében szereplő MAC-cím nem egyezik az aktuális hálózati interfész MAC-címével, és nem kerül szórásra, akkor a csomag eldobásra kerül. Promiscuous módban a szűrés a hálózati interfészen le van tiltva, és minden csomag, beleértve azokat is, amelyeket nem az aktuális gazdagépnek szánt, bekerül a rendszerbe.

A legtöbb operációs rendszer rendszergazdai jogosultságokat igényel a promiszkuális mód engedélyezéséhez. Azok. a hálózati kártya promiszkuális üzemmódba állítása tudatos cselekedet, amely a szippantás célját szolgálhatja.

Hálózati interfészek kereséséhez promiscuous módban van egy Ettercap beépülő modul search_promisc.

Példa a beépülő modul indítására:

sudo ettercap -TQP search_promisc ///

A beépülő modulok működése nem teljesen megbízható, előfordulhatnak hibák a hálózati interfész mód meghatározásában.

Következtetés

Egyes „man-in-the-middle” támadási módszerek sok nyomot hagynak maguk után, míg néhányat (például a hitelesítő adatok passzív keresése egy proxy-n) lehetetlen vagy szinte lehetetlen észlelni.

Attack "man in the middle" (Eng. Man in the middle, MitM-attack) - egy kifejezés a kriptográfiában, olyan helyzetet jelöl, amikor a támadó tetszés szerint képes elolvasni és módosítani a levelezők által váltott üzeneteket, és ez utóbbiak egyike sem találgatni a csatornán való jelenlétéről.

Kommunikációs csatorna kompromittálására szolgáló módszer, amelyben a támadó a felek közötti csatornához csatlakozva aktívan beavatkozik az átviteli protokollba, törli, torzítja az információkat vagy hamis információkat állít fel.

Támadás elve:

Tegyük fel, hogy az "A" objektum azt tervezi, hogy bizonyos információkat küld a "B" objektumnak. A "C" objektum ismeri az alkalmazott adatátviteli módszer szerkezetét és tulajdonságait, valamint a "C" elfogni tervezett tényleges információ tervezett továbbításának tényét.

Támadás végrehajtásához a „C” „A” objektum „B”-ként, a „B” objektum pedig „A”-ként jelenik meg. Az "A" objektum, tévesen azt gondolva, hogy információt küld "B"-nek, elküldi a "C" objektumnak.

A "C" objektum, miután megkapta az információt, és bizonyos műveleteket végrehajtott vele (például másolás vagy módosítás a saját céljaira), elküldi az adatokat magának a címzettnek - "B"; A "B" objektum pedig úgy véli, hogy az információt közvetlenül "A"-tól kapta.

Példa a MitM támadásra:

Tegyük fel, hogy Alice pénzügyi gondokkal küzd, és egy azonnali üzenetküldő program segítségével úgy dönt, hogy egy üzenet küldésével pénzt kér Johntól:

Alice: John, szia!
Alice: Kérem küldje el a titkosítási kulcsot, van egy kis kérés!
János: Helló! Várjunk csak!

Ekkor azonban X úr, aki a forgalmat szimatolóval elemezte, észrevette ezt az üzenetet és a "titkosító kulcs" szavakat, kíváncsiságot keltett. Ezért döntött úgy, hogy elfogja a következő üzeneteket, és lecseréli azokat a szükséges adatokkal, és amikor megkapta a következő üzenetet:

János: Itt van a kulcsom: 1111_D

Lecserélte John kulcsát a sajátjára, és üzenetet küldött Alice-nek:

János: Itt van a kulcsom: 6666_M

Alice, aki nem tudja, és azt hiszi, hogy ez John kulcsa, a privát kulcsot használja 6666_M, titkosított üzeneteket küld Johnnak:

Alice: John, bajban vagyok, és sürgősen pénzre van szükségem, kérem, utaljon át 300 dollárt a számlámra: Z12345. Köszönöm. p.s. Kulcsom: 2222_A

Miután megkapta az üzenetet, X úr dekódolja azt a kulcsával, elolvassa, és örvendve megváltoztatja Alice számlaszámát és titkosítási kulcsát a sajátjára, titkosítja az üzenetet a kulccsal 1111_D, és üzenetet küld Johnnak:

Alice: John, problémáim vannak, és sürgősen pénzre van szükségem, kérem, utaljon át 300 dollárt a számlámra: Z67890. Köszönöm. p.s. Kulcsom: 6666_A

Miután megkapta az üzenetet, John visszafejti a kulcs segítségével. 1111_D, és kétségtelenül pénzt utal át a számlára Z67890...

És így Mr. X 300 dollárt keresett az ember a közepén támadással, de Alice-nek most meg kell magyaráznia, hogy nem kapta meg a pénzt... És John? Johnnak be kell bizonyítania Alice-nek, hogy ő küldte őket...

Végrehajtás:

Hasonló típusú támadást használnak egyes szoftvertermékek a hálózat hallgatására, például:

NetStumbler- egy program, amellyel sok hasznos adatot gyűjthet a vezeték nélküli hálózatról, és megoldhat néhány, a működésével kapcsolatos problémát. A NetStumbler lehetővé teszi a hálózat hatótávolságának meghatározását, és segít pontosan irányítani az antennát a nagy távolságokra történő kommunikációhoz. Minden talált hozzáférési pontnál megtudhatja a MAC-címet, a jel-zaj arányt, a szolgáltatás nevét és a biztonságának mértékét. Ha a forgalom nincs titkosítva, akkor hasznos lesz a program azon képessége, hogy észlelje a jogosulatlan kapcsolatokat.

szippantás- egy programcsomag a hálózat-audit és a behatolás ellenőrzésére, passzív hálózatfigyelést biztosít az érdeklődésre számot tartó adatok (jelszavak, e-mail címek, fájlok stb.) kereséséhez, a hálózati forgalom lehallgatásához, amely általában nem hozzáférhető elemzés céljából (pl. , kapcsolt hálózaton), valamint MITM támadások szervezésének lehetősége az SSH és HTTPS munkamenetek elfogására a PKI hiányosságait kihasználva.

Káin és Ábel- egy ingyenes program, amely lehetővé teszi az elveszett jelszavak helyreállítását a Windows család operációs rendszereihez. Számos helyreállítási mód támogatott: brute-force brute force feltörés, szótárválasztás, csillagokkal rejtett jelszavak megtekintése stb. Lehetőségek vannak a jelszó-észlelésre is az információs csomagok elfogásával és azok későbbi elemzésével, a hálózati beszélgetések rögzítésével, a gyorsítótár elemzésével és egyebekkel.

Ettercap- egy szippantó, csomagelfogó és regisztrátor helyi Ethernet hálózatokhoz, amely támogatja számos protokoll aktív és passzív elemzését, valamint saját adatok "bedobását" egy meglévő kapcsolatba és "menet közbeni" szűrést anélkül, hogy megzavarná a kapcsolat szinkronizálását. . A program lehetővé teszi az SSH1, HTTPS és más biztonságos protokollok lehallgatását, és lehetőséget biztosít a jelszavak visszafejtésére a következő protokollokhoz: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA- a vezeték nélküli kliensek biztonságának felmérésére szolgáló segédprogramok, egy vezeték nélküli szippantó, amely a 802.11 Probe Request keretek passzív hallgatásával lehetővé teszi az ügyfelek és az általuk preferált / megbízható hálózatok felfedezését. Ezután az egyik kért hálózathoz létrehozható egy hamis hozzáférési pont, amelyhez az automatikusan csatlakozhat. A magas szintű hamis szolgáltatások felhasználhatók személyes adatok ellopására vagy a gazdagép ügyféloldali sebezhetőségeinek kihasználására.

légzsák- egy programkészlet, amely a WiFi-hackelés szakértői szerint a legjobb eszköz a különféle 802.11-es keretek generálására. Az AirJack számos segédprogramot tartalmaz, amelyek célja a rejtett ESSID észlelése, a munkamenet-lezáró keretek hamis MAC-fel küldése, a MitM támadások végrehajtása és módosítása.

Ellenzék:

Az ilyen típusú támadások elkerülése érdekében elegendő, ha az "A" és "B" előfizetők megbízható csatornán átadják egymásnak a nyilvános titkosítási kulcsok digitális aláírását. Ezután a kulcsaláírások titkosítási munkamenetekben történő összehasonlításakor megállapítható, hogy az adatok melyik kulccsal lettek titkosítva, és hogy a kulcsokat hamisították-e.

2016.10.18. | Vlagyimir Kazov

Az FSZB, a Távközlési és Tömegkommunikációs Minisztérium, valamint az Ipari és Kereskedelmi Minisztérium tervei a Yarovaja törvény rendelkezéseinek végrehajtására az oroszok levelezésének lehallgatása és visszafejtése tekintetében már nem csak tervek, hanem már kezdenek megvalósulni. a WhatsApp, Viber, Facebook Messenger, Telegram, Skype üzenetek MITM támadásokkal történő lehallgatásának lehetőségéről szóló szakértői vélemény elkészítésére irányuló megbízással, valamint egy ilyen eszköz prototípusának bemutatásával.

Egy korábbi cikkünkben írtunk a "legitim" MITM támadás megszervezésének tervéről. Ma részletesebben foglalkozunk egy ilyen támadás elvével és annak végrehajtásával.

Mi az a MITM támadás?

Man In The Middle (MITM) fordítása "ember a közepén". Ez a kifejezés hálózati támadásra utal, amikor a támadó egy internetfelhasználó és az általa elért alkalmazás között van. Természetesen nem fizikailag, hanem speciális szoftverek segítségével. A kért alkalmazás (lehet weboldal vagy internetes szolgáltatás) bemutatja a felhasználónak, utánozza a vele végzett munkát, úgy csinálja, hogy az a normál működés, információcsere benyomását keltse.

A támadás célpontja a felhasználó személyes adatai, például a különböző rendszerekbe való bejelentkezési adatok, banki adatok és kártyaszámok, személyes levelezés és egyéb bizalmas információk. A legtöbb esetben pénzügyi alkalmazásokat (banki ügyfelek, online bankok, fizetési és pénzátutalási szolgáltatások), vállalati SaaS-szolgáltatásokat, e-kereskedelmi oldalakat (online áruházak) és egyéb olyan oldalakat támadnak meg, ahol a rendszerbe való belépéshez engedély szükséges.

A támadó által megszerzett információkat különféle célokra használhatják fel, beleértve az illegális pénzátutalásokat, számlaváltást, személyes levelezés lehallgatását, valaki más költségére történő vásárlást, kompromisszumot és zsarolást.

Ráadásul a bűnözők a hitelesítő adatok ellopása és a rendszer feltörése után rosszindulatú szoftvereket telepíthetnek a vállalati hálózatra, hogy megszervezzék a szellemi tulajdon (szabadalmak, tervek, adatbázisok) eltulajdonítását, és fontos adatok törlésével gazdasági károkat okozzanak.

A MITM-támadás egy olyan postáshoz hasonlítható, aki az Ön levelezésének kézbesítése közben felbontja a levelet, átírja annak tartalmát személyes használatra, vagy akár kézírást hamisítva hozzáad valamit a sajátjából, majd lezárja a borítékot és kézbesíti. a címzettnek mintha mi sem történt volna . Sőt, ha titkosította a levél szövegét, és személyesen szeretné tájékoztatni a címzettet a visszafejtő kódról, a postás úgy mutatkozik be címzettként, hogy Ön észre sem veszi a helyettesítést.

Hogyan hajtják végre a MITM támadást

A MITM támadás végrehajtása két fázisból áll: elfogásból és visszafejtésből.

• Lehallgatás

A támadás első szakasza a felhasználótól a célpont felé irányuló forgalom elfogása, és a támadó hálózatára történő irányítása.

Az elfogás leggyakoribb és legegyszerűbb módja a passzív támadás, amikor a támadó ingyenes hozzáféréssel (jelszó és engedély nélkül) hoz létre Wi-Fi-pontokat. Abban a pillanatban, amikor a felhasználó csatlakozik egy ilyen ponthoz, a támadó hozzáfér az összes azon áthaladó forgalomhoz, és bármilyen adatot kinyerhet onnan elfogás céljából.

A második módszer az aktív elfogás, amely a következő lehetőségek egyikével hajtható végre:

IP-hamisítás– a csomag fejlécében a cél IP-cím helyettesítése a támadó címével. Ennek eredményeként a felhasználók ahelyett, hogy a kért URL-re mennének, a támadó webhelyére kerülnek.

ARP hamisítás– a gazdagép valódi MAC-címének helyettesítése a támadó címével az áldozat ARP-táblájában. Ennek eredményeként a felhasználó által a kívánt csomópont IP-címére küldött adatok eljutnak a támadó címére.

DNS-hamisítás - a DNS-gyorsítótár megfertőzése, a DNS-kiszolgáló behatolása és a webhely címének egyezési rekordjának meghamisítása. Ennek eredményeként a felhasználó megpróbál hozzáférni a kért webhelyhez, de megkapja a támadó helyének címét a DNS-kiszolgálótól.

• Dekódolás

Az elfogás után a kétirányú SSL forgalmat vissza kell fejteni, és ezt úgy kell megtenni, hogy a felhasználó és az általa kért erőforrás ne vegye észre az interferenciát.

Erre több módszer is létezik:

HTTPS hamisítás– hamis tanúsítványt küldenek az áldozat böngészőjének, amikor HTTPS protokollon keresztül létrejön a kapcsolat az oldallal. Ez a tanúsítvány tartalmazza a feltört alkalmazás digitális aláírását, ami miatt a böngésző megbízhatóként fogadja el a támadóval való kapcsolatot. Miután létrejött egy ilyen kapcsolat, a támadó hozzáfér minden, az áldozat által bevitt adathoz, mielőtt átadná azokat az alkalmazásnak.

SSL BEAST(böngésző kihasználása SSL/TLS ellen) – a támadás a TLS 1.0-s és 1.2-es verziójában található SSL-sebezhetőséget használja ki. Az áldozat számítógépét rosszindulatú JavaScript fertőzte meg, amely elfogja a webalkalmazásnak küldött titkosított sütiket. Ez veszélyezteti a "titkosszöveg blokkláncolás" titkosítási módot oly módon, hogy a támadó megkapja a visszafejtett cookie-kat és a hitelesítési kulcsokat.

SSL-eltérítés– hamis hitelesítési kulcsok továbbítása a felhasználónak és az alkalmazásnak a TCP-munkamenet kezdetekor. Ez biztonságos kapcsolat látszatát kelti, holott valójában a "középen lévő ember" irányítja a munkamenetet.

SSL kivonás- Leminősíti a kapcsolatot a biztonságos HTTPS-ről egyszerű HTTP-re azáltal, hogy elfogja az alkalmazás által a felhasználónak küldött TLS-hitelesítést. A támadó titkosítatlan hozzáférést biztosít a felhasználónak az oldalhoz, miközben ő maga biztonságos munkamenetet tart fenn az alkalmazással, lehetőséget adva az áldozat továbbított adatainak megtekintésére.\

MITM támadások elleni védelem

A MITM-támadások elleni megbízható védelem akkor lehetséges, ha a felhasználó számos megelőző intézkedést hajt végre, és a webalkalmazás-fejlesztők titkosítási és hitelesítési módszereinek kombinációját alkalmazza.

Felhasználói műveletek:

• Kerülje a jelszavas védelemmel nem rendelkező Wi-Fi hotspotokhoz való csatlakozást. Kapcsolja ki az automatikus kapcsolatot az ismert hozzáférési pontokhoz – a támadó legitimnek álcázhatja a Wi-Fi-hálózatát.
• Ügyeljen a böngésző értesítésére a nem biztonságos webhelyre való átállásról. Egy ilyen üzenet azt jelezheti, hogy Ön egy támadó hamis webhelyére került, vagy problémák vannak egy legitim webhely védelmével.
• Fejezze be a munkamenetet az alkalmazással (kijelentkezés), ha az nincs használatban.
• Ne használjon nyilvános hálózatokat (kávézó, park, szálloda stb.) bizalmas tranzakciókhoz (üzleti levelezés, pénzügyi tranzakciók, vásárlások online áruházakban stb.).
• Használjon naprakész vírusirtót számítógépén vagy laptopján, ez segít megvédeni a rosszindulatú szoftvereket használó támadásokat.

A webalkalmazások és webhelyek fejlesztőinek a biztonságos TLS és HTTPS protokollokat kell használniuk, amelyek nagymértékben megnehezítik a hamisítási támadásokat a továbbított adatok titkosításával. Ezenkívül használatuk megakadályozza a forgalom elfogását az engedélyezési paraméterek és hozzáférési kulcsok megszerzése érdekében.

Jó gyakorlatnak tekinthető, hogy a TLS-t és a HTTPS-t nem csak az engedélyezési oldalak, hanem a webhely összes többi szakasza esetében is védik. Ez csökkenti annak esélyét, hogy egy támadó ellopja a felhasználó cookie-jait, miközben bejelentkezés után nem biztonságos oldalakon navigál.

A MITM támadások elleni védelem a felhasználó és a távközlési szolgáltató felelőssége. A felhasználó számára a legfontosabb, hogy ne veszítse el az éberségét, csak bevált módszert használjon az internethez, és válasszon HTTPS-titkosítással rendelkező webhelyeket a személyes adatok átviteléhez. A távközlési szolgáltatóknak ajánlható a Deep Packet Inspection (DPI) rendszerek használata az adathálózatok anomáliáinak észlelésére és a hamisítási támadások megelőzésére.

A kormányzati szervek azt tervezik, hogy a MITM támadást a polgárok védelmére használják, és nem károkozásra, ellentétben a támadókkal. A személyes üzenetek és egyéb felhasználói forgalom lehallgatása a hatályos jogszabályok keretein belül, az igazságügyi hatóságok döntése alapján történik a terrorizmus, a kábítószer-kereskedelem és egyéb tiltott tevékenységek leküzdése érdekében. A hétköznapi felhasználók számára a "jogos" MITM támadások nem veszélyesek.

Az MTProto egy eredeti módszert alkalmaz a már sérülékeny mobilkapcsolat megbízhatóságának és a nagy méretű fájlok (például fotók, videók és dokumentumok legfeljebb 1 GB méretű) kézbesítésének gyorsítására. Jelen dokumentum célja, hogy elmagyarázza rendszerünk részleteit, és lefedje az első pillantásra nehezen érthető elemeket.

A részletes protokolldokumentáció ezen az oldalon érhető el. Ha bármilyen kérdése van - írjon Twitter.

Jegyzet: Minden MTProto-val titkosított üzenet mindig a következő adatokat tartalmazza, amelyeket a visszafejtés során ellenőriznek annak érdekében, hogy a rendszer biztonságos legyen az ismert problémákkal szemben:

• munkamenet azonosító - session id;
• üzenet hossza - üzenet hossza;

Jegyzet 2: Tekintse meg a , és használatával kapcsolatos további megjegyzéseket módosított rendszer .

Miért nem használod az X-et [a választásod]

Bár kétségtelenül léteznek más módok is ugyanazon kriptográfiai célok elérésére, úgy gondoljuk, hogy a jelenlegi megoldás biztonságos és sikeres a másodlagos célunk, vagyis a nem biztonságos hírnökök teljesítése a kézbesítés sebessége és stabilitása tekintetében.

Miért támaszkodik a klasszikus kriptoalgoritmusokra?

Inkább jól ismert algoritmusokat használunk azokból az időkből, amikor az átviteli teljesítmény és a feldolgozási teljesítmény ritkán párosult. Éppen ezek az algoritmusok vannak jelentős hatással a mobileszközökre szánt alkalmazások mai fejlesztésére, és arra kényszerítik szerzőiket, hogy megszabaduljanak az ismert hiányosságoktól. Az ilyen algoritmusok gyengeségei is jól ismertek, és évtizedek óta használják ki a támadók. Ezeket az algoritmusokat használjuk ebben a megvalósításban, mert véleményünk szerint bármely ismert támadás kudarchoz vezet. Örömmel látnánk azonban ennek ellenkezőjére utaló bizonyítékokat (eddig nem volt ilyen eset) a rendszerünk fejlesztése érdekében.

Biztonsági szakértő vagyok, és úgy gondolom, hogy a protokollja nem biztonságos.

Te is részt vehetsz a versenyünkön: Pavel Durov 200 000 dollárt ajánl fel bitcoinban annak, aki elsőként feltöri az MTProto-t. Elolvashatja a hirdetményt és a Verseny GYIK-jét. Ha bármilyen más észrevétele van, szívesen meghallgatjuk őket [e-mail védett].

Védelem ismert támadások ellen

Ismert egyszerű szövegű támadások

A definíció szerint az egyszerű szöveges támadás a kriptoanalitikus támadások egyik fajtája, amelyben a támadó a szöveg mindkét verziójával rendelkezik: titkosított és eredeti. Az MTProto-ban használt AES IGE ellenáll az ilyen támadásoknak. Ezenkívül az MTProto egyszerű szövege mindig tartalmazza a szerver sót és a munkamenet-azonosítót.

Adaptív egyszerű szöveges támadás

A definíció szerint az adaptívan megválasztott egyszerű szöveges támadás a kriptográfiai elemzésben egy olyan támadás, amely feltételezi, hogy a kriptoanalizátor kiválaszthatja a nyílt szöveget, és megszerezheti a megfelelő rejtjelezett szöveget. Az MTProto IGE módban használja az AES-t, amely biztonságos az ilyen támadások ellen. Az IGE köztudottan sebezhető a blokkszerűen adaptív támadásokkal szemben, de az MTProto ezt a következő módon javítja. Minden titkosítandó egyszerű szöveges üzenet a következő adatokat tartalmazza, amelyeket a visszafejtés során ellenőriznek:

• szerver só (64 bites) - szerver só (64 bites);
• üzenet sorszáma - üzenet sorszáma;
• üzenetküldési idő - idő.

Ezen felül az egyszerű szöveg cseréjéhez a megfelelő AES-kulcsot és az auth_key függvénytől függő inicializálási vektort is kell használnia. Ez teszi az MTProto-t ellenállóvá az adaptív egyszerű szöveges támadásokkal szemben.

Választott titkosított szöveges támadások

Definíció szerint a rejtjelezett szöveges támadás olyan kriptográfiai támadás, amelyben a kriptoanalizátor információkat gyűjt a rejtjelről úgy, hogy kitalálja a rejtjelezett szöveget, és egy ismeretlen kulccsal visszafejti. Egy ilyen támadás során a támadó egy vagy több ismert titkosított szöveget bevihet a rendszerbe, és egyszerű szövegeket kaphat. Ezekkel az adatokkal a támadó megpróbálhatja visszaállítani a visszafejtéshez használt kulcsot. Az MTProto-ban minden alkalommal, amikor egy üzenet visszafejtésre kerül, a rendszer ellenőrzi, hogy az msg_key megegyezik-e a visszafejtett adatok SHA-1-jével. A nyílt szöveg (dekódolt adatok) mindig tartalmaz információkat az üzenet hosszáról, sorszámáról és a szerver sójáról is. Ez érvényteleníti a titkosított szöveges támadásokat.

A támadások újrajátszása

A visszajátszási támadások lehetetlenek, mert minden egyszerű szöveges üzenet tartalmaz egy szerversót, egy egyedi üzenetazonosítót és egy sorszámot.

Támadás "Ember a közepén" (MitM)

A Telegramnak két kommunikációs módja van: a kliens-szerver titkosítást használó rendszeres csevegés, valamint a végpontok közötti titkosítást használó titkos csevegés, amely védve van a köztes támadásoktól. A Telegram kliensekbe beépített RSA nyilvános kulcsú algoritmusnak köszönhetően a kliens és a szerver közötti adatátvitel védve van az ilyen támadásokkal szemben a Diffie-Hellman kulcsgenerálás során. Ezt követően, ha a beszélgetőpartnerek kliensei megbíznak a szerverszoftverben, a köztük zajló titkos chateket a szerver megvédi a köztes támadásoktól. Főleg azoknak, akik Nem megbízik a szerverben, a titkos kódok összehasonlítása elérhető az alkalmazásban. A kulcsok képként jelennek meg. A megjelenített kulcsok összehasonlításával a felhasználók ellenőrizhetik, hogy nem történt-e ember a középső támadás.

Titkosítás

IGE-t használsz? Feltörték!

Igen, IGE-t használunk, de a mi megvalósításunkban minden rendben van vele. Az a tény, hogy nem használjuk az IGE-t a rendszerünk más elemeivel együtt ugyanúgy, mint a MAC, értelmetlenné teszi az IGE feltörését. Az IGE, csakúgy, mint a közös titkosított szöveg blokkláncolási (CBC) mód, blokkonként adaptív támadásoknak van kitéve. Az adaptív támadások azonban csak akkor jelentenek veszélyt, ha ugyanazt a kulcsot több üzenetben is használják (ami nem így van).

Az adaptív támadások még elméletileg is lehetetlenek az MTProto-ban, mert az üzenetek visszafejtéséhez először teljesen be kell gépelni azokat, mivel az üzenet kulcsa a tartalmától függ. Ami a maladaptív CPA-támadásokat illeti, az IGE védett tőlük, csakúgy, mint a CBC.