Saldırılardaki adam. Teknik SSS

Neredeyse her zaman istenen sonucu çeşitli şekillerde elde edebilirsiniz. Bu aynı zamanda bilgi güvenliği alanı için de geçerlidir. Bazen, hedefe ulaşmak için kaba davranabilir, bağımsız olarak delikler arayabilir ve boşluklar geliştirebilir veya ağ üzerinden iletilenleri dinleyebilirsiniz. İkinci seçenek genellikle en iyisidir. Bu nedenle bugün, bunun için MITM saldırılarını kullanarak ağ trafiğinden bizim için değerli bilgileri yakalamamıza yardımcı olacak araçlardan bahsedeceğiz.

MıTMf

Daha ilginç adaylardan biriyle başlayalım. Bu, sergio-proxy üzerine inşa edilmiş, ortadaki adam saldırıları için eksiksiz bir çerçevedir. Son zamanlarda Kali Linux'a dahil edildi. Kendiniz yüklemek için depoyu klonlayın ve birkaç komut çalıştırın:

# setup.sh # pip kurulumu -r gereksinimleri.txt

Eklentiler ile genişletilebilen bir mimariye sahiptir. Ana olanlar arasında şunlar yer alır:

• Sahte - ARP / DHCP sahtekarlığı, ICMP yönlendirmeleri kullanarak trafiği yeniden yönlendirmenize ve DNS sorgularını değiştirmenize olanak tanır;
• Sniffer - bu eklenti, çeşitli protokoller için oturum açma girişimlerini izler;
• BeEFAutorun - işletim sistemi türüne ve istemci tarayıcısına göre BeEF modüllerini otomatik olarak çalıştırmanıza olanak tanır;
• AppCachePoison - bir önbellek zehirlenmesi saldırısı gerçekleştirir;
• SessionHijacking - oturumları ele geçirir ve alınan çerezleri firelis profiline kaydeder;
• BrowserProfiler - tarayıcı tarafından kullanılan eklentilerin bir listesini almaya çalışır;
• FilePwn - HTTP üzerinden gönderilen dosyaları Backdoor Factory ve BDFProxy kullanarak değiştirmenize olanak tanır;
• Inject - rastgele içeriği bir HTML sayfasına enjekte eder;
• jskeylogger - İstemci sayfalarına bir JavaScript keylogger enjekte eder.

Bu işlevsellik sizin için yeterli değilse, uygun uzantıyı uygulayarak her zaman kendinizinkini ekleyebilirsiniz.

macun sürücüsü

Dikkate değer başka bir yardımcı program. Doğru, bugün ele alınan diğer tüm araçların aksine, çok dar bir şekilde uzmanlaşmıştır. Projenin yazarının kendisinin de söylediği gibi, penetrasyon testleri sırasında en önemli verilerin yöneticilerin SSH / Telnet / rlogin aracılığıyla bağlandığı Linux / UNIX sunucularında bulunması gerçeğinden ilham alarak böyle bir yardımcı program yaratmaya karar verdi. Ve çoğu durumda, yöneticilerin makinesine erişmek, hedef sunucuya erişmekten çok daha kolaydı. Sistem yöneticisinin makinesine girdikten sonra geriye kalan tek şey, PuTTY'nin çalıştığından emin olmak ve bu aracı kullanarak saldırgana karşı bir ters köprü oluşturmaktır.

Yardımcı program, yalnızca yönetici ile uzak sunucu (şifreler dahil) arasındaki "iletişimi" algılamakla kalmaz, aynı zamanda belirli bir oturumda rasgele kabuk komutlarının yürütülmesine de izin verir. Ve tüm bunlar, kullanıcı (yönetici) için kesinlikle şeffaf bir şekilde gerçekleşecektir. PuTTY sürecinin uygulanmasının nasıl gerçekleştiği gibi teknik detaylarla ilgileniyorsanız, yazarın sunumunu okumanızı tavsiye ederim.

Sekiz yıldan daha uzun bir süre önce doğmuş oldukça eski bir yardımcı program. Çerezleri çalarak oturumları klonlamak için tasarlanmıştır. Oturum korsanlığı için, ana bilgisayarları tespit etme (açık bir kablosuz ağa veya hub'a bağlanma durumunda) ve ARP zehirlenmesi gerçekleştirme konusunda temel becerilere sahiptir. Tek sorun, bugün, sekiz yıl öncesinin aksine, Yahoo veya Facebook gibi neredeyse tüm büyük şirketlerin SSL şifrelemesi kullanması, bu da bu aracı tamamen işe yaramaz hale getiriyor. Buna rağmen, Web'de hala SSL kullanmayan yeterli kaynak var, bu nedenle yardımcı programı iptal etmek için çok erken. Avantajları arasında, otomatik olarak Firefox'a entegre olması ve ele geçirilen her oturum için ayrı bir profil oluşturması yer alır. Kaynak kodu depoda mevcuttur ve aşağıdaki komut dizisini kullanarak kendiniz oluşturabilirsiniz:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip oturum hırsızı

Proxy Tüyü

ProzyFuzz'un doğrudan MITM saldırılarıyla hiçbir ilgisi yoktur. Adından da anlaşılacağı gibi, araç tüylenme için tasarlanmıştır. Bu, ağ trafiği paketlerinin içeriğini rastgele değiştiren, python'da uygulanan, belirleyici olmayan küçük bir ağ fuzzer'dır. TCP ve UDP protokollerini destekler. Yalnızca bir tarafı tüylendirmek için yapılandırılabilir. Bazı ağ uygulamalarını (veya protokollerini) hızlı bir şekilde test etmeniz ve bir PoC geliştirmeniz gerektiğinde kullanışlıdır. Kullanım örneği:

Python proxyfuzz -l -R -P

Seçenekler listesi şunları içerir:

• w - bulanıklaştırma başlamadan önce gönderilen isteklerin sayısını ayarlar;
• c - yalnızca müşteriyi şaşırtın (aksi takdirde her iki taraf da);
• s - yalnızca sunucuyu belirsizleştirir (aksi takdirde her iki taraf da);
• u - UDP protokolü (aksi takdirde TCP kullanılır).

aracı

Çeşitli protokollerde MITM saldırıları gerçekleştirmek için bir yardımcı program olan DEF CON konferansında sunuldu. Alfa sürümü, HTTP protokolünü destekledi ve cephaneliğinde üç harika eklenti vardı:

• plugin-beef.py - Tarayıcı Kullanım Çerçevesini (BeEF) yerel ağdan gelen herhangi bir HTTP isteğine ekler;
• plugin-metasploit.py - Metasploit'ten tarayıcı açıklarını yükleyen bir IFRAME isteğine şifrelenmemiş (HTTP) ekler;
• plugin-keylogger.py - HTTPS üzerinden gönderilecek tüm metin alanları için bir JavaScript onKeyPress olay işleyicisi enjekte ederek tarayıcının, formun tamamı gönderilmeden önce kullanıcının şifresini karakter karakter saldırganın sunucusuna göndermesine neden olur.

Aracı, yalnızca ağ trafiğini otomatik olarak analiz etmekle ve içindeki çerezleri bulmakla kalmaz, aynı zamanda bunları müşteriden bağımsız olarak ister, yani süreç maksimuma otomatikleştirilir. Program, trafiğine erişimi olan bilgisayar ağındaki (veya genel etkin noktadaki) tüm korumasız hesapların toplanmasını garanti eder. Programın düzgün çalışması için sistemde şu paketlerin kurulu olması gerekir: Scapy, libpcap, readline, libdnet, python-netfilter. Ne yazık ki depo uzun süredir güncellenmedi, bu nedenle yeni işlevleri kendiniz eklemeniz gerekecek.

HTTP trafiğini etkileşimli olarak incelemenizi ve değiştirmenizi sağlayan bir konsol yardımcı programı. Bu tür beceriler sayesinde, yardımcı program yalnızca penetrasyon test cihazları / bilgisayar korsanları tarafından değil, aynı zamanda onu örneğin web uygulamalarında hata ayıklamak için kullanan sıradan geliştiriciler tarafından da kullanılır. Uygulamanın hangi istekleri yaptığı ve hangi yanıtları aldığı hakkında detaylı bilgi almak için kullanılabilir. Ayrıca mitmproxy, bazı REST API'lerinin, özellikle yetersiz belgelenmiş olanların nasıl çalıştığını öğrenmenize yardımcı olabilir.

Kurulum son derece basittir:

$ sudo aptitude kurulum mitmproxy

$ pip kurulum mitmproxy

$ easy_install mitmproxy

Mitmproxy'nin istemciye kendinden imzalı bir sertifika vererek HTTPS trafiğini kesmenize de izin verdiğini belirtmekte fayda var. Trafik durdurma ve değiştirmenin nasıl kurulacağına dair iyi bir örnek bulunabilir.

Önleyici-NG

İncelememizde bu efsanevi enstrümanın yer almaması garip olurdu. Hiç kullanmamış olsanız bile, muhtemelen duymuşsunuzdur (ve sadece daha iyi tanımanız gerekir) - derginin sayfalarında oldukça yaygındır. İşlevselliğini tam olarak açıklamayacağım - birincisi, MITM ile ilgileniyoruz ve ikincisi, böyle bir açıklama tüm makaleyi kaplayacak.

Yalnızca üyelere açık olmaya devam ediyor

Seçenek 1. Sitedeki tüm materyalleri okumak için "site" topluluğuna katılın

Belirtilen süre boyunca topluluğa üyelik, TÜM Hacker malzemelerine erişmenizi, kişisel kümülatif indiriminizi artırmanızı ve profesyonel bir Xakep Puanı puanı kazanmanızı sağlar!

Ortadaki adam saldırısı, bir aracı olarak trafiğe erişmeyi amaçlayan çeşitli tekniklerin genel adıdır. Bu tekniklerin çok çeşitli olması nedeniyle, bu saldırıları tespit etmek için olası tüm durumlar için çalışacak tek bir araç uygulamak sorunludur. Örneğin, yerel bir ağda ortadaki adam saldırısında ARP spoofing (zehirleme) yaygın olarak kullanılır. Ve birçok ortadaki adam saldırı tespit aracı, Ethernet adres çifti değişikliklerini izler / veya ARP isteklerini/yanıtlarını pasif olarak izleyerek şüpheli ARP etkinliğini bildirir. Ancak bu saldırı, ARP zehirlenmesi kullanılmadığında kötü niyetli olarak yapılandırılmış bir proxy sunucusu, VPN veya diğer seçenekler üzerinde kullanılırsa, bu tür araçlar çaresizdir.

Bu bölümün amacı, ortadaki adam saldırılarını tespit etmek için bazı tekniklerin yanı sıra bir MitM saldırısı altında olup olmadığınızı belirlemek için tasarlanmış bazı araçlara bakmaktır. Metodolojilerin ve uygulama senaryolarının çeşitliliği nedeniyle %100 tespit garanti edilemez.

1. Trafik değişikliği tespiti

Daha önce de belirtildiği gibi, ARP sahtekarlığı ortadaki adam saldırılarında her zaman kullanılmaz. Bu nedenle, ARP düzeyinde aktivite tespiti en popüler tespit yöntemi iken, trafik değişikliği tespiti daha genel bir yöntemdir. Mitmcanary programı bu konuda bize yardımcı olabilir.

Programın prensibi "kontrol" istekleri yapmak ve alınan cevapları kaydetmektir. Ardından belirli aralıklarla aynı istekleri tekrarlar ve alınan yanıtları karşılaştırır. Program oldukça akıllıdır ve yanlış pozitiflerden kaçınmak için yanıtlardaki dinamik öğeleri algılar ve bunları doğru bir şekilde işler. Program, MitM saldırıları için araçların etkinliğinin izlerini kaydeder kaydetmez, bunu bildirir.

Bazı araçların nasıl "miras alabileceğine" ilişkin örnekler:

• MITMf , varsayılan olarak HTML kodundaki tüm HTTPS URL'lerini HTTP olarak değiştirir. HTTP içeriği karşılaştırılarak algılandı.
• Zarp + MITMProxy , MITMProxy HTTP sıkıştırmasını temizlemenize izin veren bir özelliğe sahiptir, bu iletilen trafiğin şeffaflığı için kullanılır, bu paket önceden var olan sıkıştırmanın ortadan kalkmasıyla algılanır
• mDNS yanıt çevirisindeki ani değişikliklerle algılanan Yanıtlayıcı: beklenmeyen yanıt; yanıt içseldir, ancak dışsal olması beklenir; yanıt beklenen IP'den farklı

• MITMCanary ve MITMF:

• MITMCanary ve Yanıtlayıcı:

• MITMCanary ve Zarp + MITMPProxy:

sudo pip Cython'u kurun Sudo apt-get kurulumu python-kivy python-dbus Sudo pip kurulumu plyer uuid urlopen analiz isteği simplejson datetime git klonu https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Daha önce de belirtildiği gibi, mitmcanary'nin çalışması kontrol istekleri ile başlatılmalıdır. Bunu yapmak için dizine gidin

cd servisi/

Ve dosyayı çalıştırın setup_test_persistence.py:

Python2 setup_test_persistence.py

Bu biraz zaman alacak - sonuna kadar bekleyin. Hiçbir hata mesajı görüntülenmemelidir (eğer öyleyse, bazı bağımlılıkları kaçırıyorsunuz demektir).

Bunun gibi bir şey çıktı olacak:

[e-posta korumalı]:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Daha eski yapılandırma sürümü algılandı (14 yerine 0) Yapılandırma yükseltiliyor. Temizleme günlüğü ateşlendi. Analiz ediliyor... Tasfiye tamamlandı! Kayıt girişi /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (varsayılan, 1 Eylül 2016, 20:27:38)

Bu işlemi bitirdikten sonra, aynı dizinde yürütün (bu, bir arka plan işlemi başlatacaktır):

Python2 ana.py

Bundan sonra, yeni bir terminal penceresi açın ve mitmcanary ile kök dizine geçin. Dizinim bin/mitmcanary/, bu yüzden giriyorum

cd kutusu/mitmcanary/

ve orada yürütün:

Python2 ana.py

İlk pencere şöyle bir şey gösterecektir:

[e-posta korumalı]:~/bin/mitmcanary/service$ python2 main.py Kayıt girişi /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (varsayılan, 1 Eylül 2016, 20:27) :38) kullanarak 127.0.0.1:3000'de Tuio için soket dinleme için 60 saniye uykuda 60 saniye uykuda 60 saniye uykuda 60 saniye uykuda 60 saniye uykuda 60 saniye uykuda

Onlar. program dakikada bir kontrol istekleri yapar ve bunlarda ortadaki adam saldırısının belirtilerini arar.

İkinci pencerede de bir çıkış var + karanlık bir pencere açılıyor, programın yazarları bu pencereye “grafik arayüz” diyorlar:

Programın herhangi bir yanlış uyarı vermediğinden emin olmak için bir süre bekleyebilir, internette gezinebilirsiniz.

Klasik Ettercap programını deneyelim.

ARP sahtekarlığı ile düzenli bir MitM saldırısı yürütüyorum. mitmcanary asitlemenin kendisine tepki vermez. Mitmcanary aracı trafiği kendisi oluşturur, yani herhangi bir kullanıcı işlemi gerekmez. Bir süre sonra, sonraki kontrollerde onaylanmayan tek bir uyarı belirir. Ancak birkaç dakika sonra aynı uyarı çıkıyor. Ek analiz olmadan, bunun bir yanlış pozitif örneği olup olmadığını söylemekte zorlanıyorum - buna çok benziyor. Bu uyarının, trafiğin ek rotalardan geçmesi gerektiğinden kaynaklanan bir bağlantı hatasından veya zayıf İnternet bağlantımın özelliklerinden kaynaklanmış olması muhtemeldir.

Sonuç açık olmadığından ("evet" yerine "hayır" yerine), çeşitli modüllere sahip Bettercap programını deneyelim. İşlevselliği genişletmek için çeşitli Ettercap eklentileri ve / veya ek programlar kullanırken, mitmcanary için de "aydınlanacağımızdan" şüphem yok.

Deneyin saflığı için ekipmanı yeniden başlatıyorum, saldırıya uğrayan makinede mitmcanary ve saldıran makinede Bettercap çalıştırıyorum. Aynı zamanda, saldırıya uğrayan makinede kontrol isteklerinin tekrar yapılmasına gerek yoktur - bunlar program ile dizindeki bir dosyaya kaydedilir. Onlar. servisi ve grafik arayüzü başlatmak yeterlidir.

Saldıran makinede, Bettercap'i ayrıştırıcılar etkinken çalıştıracağız:

Sudokap -X

Daha çok yanlış pozitif gibi görünen ayrı uyarılar görünür.

Ancak bu komutu çalıştırmak:

sudo bettercap -X --proxy

Saldırıya uğrayan makinede, olası bir ortadaki adam saldırısı hakkında çok sayıda uyarıya neden olur:

Yani ortadaki adam saldırı aracı ne kadar işlevsel olursa trafikte o kadar çok iz bırakır. Mitmcanary'nin pratik kullanımı için aşağıdaki koşulların karşılanması gerekir:

• trafik iletiminde aracı olmadığından emin olduğunuzda güvenilir bir ağda ilk istekleri yapın;
• Profesyonel bir saldırgan istisnalara varsayılan kaynakları ekleyebileceğinden, doğrulama isteklerinin yapıldığı kaynakları düzenleyin, bu da onu bu araç için görünmez hale getirir.

2. ARP sahtekarlığının tespiti (arp önbellek zehirlenmesi)

Çoğu zaman, yerel bir ağda ortadaki adam saldırısı ARP zehirlenmesiyle başlar. MitM saldırılarını tespit etmek için tasarlanan birçok aracın, Ethernet (MAC adresleri) ve IP adresleri arasındaki yazışmaların atandığı ARP önbelleğindeki değişiklikleri izlemek için bir mekanizmaya dayanmasının nedeni budur.

Bu tür programlara örnek olarak arpwatch , arpalert ve çok sayıda yeni program verilebilir. ArpON programı, ARP önbellek değişikliklerini yalnızca izlemekle kalmaz, aynı zamanda onlardan korur.

Örnek olarak arka planda fork oluşturmadan ve mail ile mesaj göndermeden arpwatch'ı debug modunda çalıştıralım. Bunun yerine, mesajlar stderr'e gönderilir (standart hata çıkışı).

sudo /usr/sbin/arpwatch -d

Saldıran makinede Ettercap'i çalıştırın ve ARP sahtekarlığını başlatın. Saldırıya uğrayan makinede şunu gözlemliyoruz:

Arpwatch programı, yerel ağınıza bağlı yeni cihazların yanı sıra ARP önbelleğindeki değişiklikleri hızlı bir şekilde öğrenmenize yardımcı olacaktır.

Gerçek zamanlı ARP sahtekarlığını tespit etmek için başka bir araç, Ettercap'ın kendi adı verilen bir eklentisidir. arp_polis. Saldırıya uğrayan makinede Ettercap'i şu şekilde çalıştırın:

sudo etercap -TQP arp_cop ///

Ve saldırganda, ARP-etching'e başlayalım. Saldırıya uğrayan makinede hemen uyarılar görünmeye başlar:

3. DNS Sahtekarlığı Tespiti

DNS sahtekarlığı, sizinle hedef arasında trafiğinizi değiştirebilecek bir aracı olduğunu gösterir. DNS kayıtlarının sahte olduğunu nasıl anlayabilirsiniz? Bunu yapmanın en kolay yolu, güvendiğiniz bir ad sunucusunun yanıtlarıyla karşılaştırmaktır. Ama sonuçta, isteğinize gönderilen yanıttaki girişler de değiştirilebilir ...

Onlar. ya şifreli bir kanal üzerinden (örneğin Tor aracılığıyla) kontrol etmeniz ya da standart olmayan ayarlar kullanmanız (başka bir bağlantı noktası, UDP yerine TCP) gerekir. XiaoxiaoPu'nun sans programı yaklaşık olarak bunun için tasarlanmıştır (en azından benim anladığım kadarıyla). DNS sorgularını Tor üzerinden ve standart olmayan ayarlar aracılığıyla DNS sunucuma yönlendirmek için bu programı kullanmayı başardım. Ancak, DNS yanıtı sahtekarlığıyla ilgili mesajları bana göstermesini hiçbir zaman sağlayamadım. Ve bu olmadan programın anlamı kaybolur.

Daha iyi alternatifler bulamadım.

Prensip olarak, DNS sahtekarlarının genellikle yalnızca 53 numaralı bağlantı noktasını ve yalnızca UDP protokolünü izlediği göz önüne alındığında, standart olmayan bir yapılandırmaya sahip kendi DNS sunucunuzu gerektirmesine rağmen, manuel olarak bile DNS sahtekarlığı olgusunu kontrol etmek yeterlidir. Örneğin, saldıran makinede dosyayı ben oluşturdum. dns.conf aşağıdaki içerikle:

Yerel mi-al.ru

Onlar. mi-al.ru sitesi için bir DNS kaydı talep edildiğinde, gerçek IP yerine saldırganın makinesinin IP'si gönderilecektir.

Saldıran makinede koşuyorum:

sudo bettercap --dns dns.conf

Ve saldırıya uğradığımda iki kontrol yapıyorum:

Mi-al.ru #'yi kazın ve mi-al.ru'yu kazın -p 4560 @185.117.153.79

Sonuçlar:

[e-posta korumalı]:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; genel seçenekler: +cmd ;; cevap geldi: ;; ->>BAŞLIK<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [e-posta korumalı]:~$ dig mi-al.ru -p 4560 @185.117.153.79 ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; genel seçenekler: +cmd ;; cevap geldi: ;; ->>BAŞLIK<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

“Normal” bir DNS sorgusu için yerel IP 192.168.1.48'in gönderildiği ve atipik bir bağlantı noktasında DNS sorgulanırken doğru sunucu IP'sinin gönderildiği görülebilir.

Sunucu (UDP yerine) TCP ile çalışacak şekilde yapılandırılmışsa, komut şöyle görünür:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Açıkçası, trafiğin kendisinde DNS yanıtlarını izleyecek, bunları alternatif bir kaynağa karşı iki kez kontrol edecek ve kimlik sahtekarlığı durumunda alarm verecek bir araç eksikliği var.

Kendi uzak DNS'inizi kurmaktan kaçınmak için, isim sunucusunu Tor aracılığıyla sorgulayabilirsiniz. Tüm Tor trafiği şifreli olduğundan, bu şekilde alınan DNS yanıtları bir aracı için çok zordur. Tor zaten kurulu değilse kurun.

sudo apt-get kurulum tor

Sudo pacman -S tor

Hizmeti başlatın:

sudo systemctl tor'u başlat

İhtiyacınız varsa, bu hizmeti başlatmaya ekleyin:

sudo systemctl tor'u etkinleştir

Açık dosya /etc/tor/torrc ve oraya aşağıdaki satırları ekleyin:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSonekler .exit, .onion

530 sayısına dikkat edin. Bu port numarasıdır, 530 yerine başka (boş) bir port belirtebilirsiniz. En önemlisi, bunu hatırla.

Tekrar kontrol ediyoruz:

Mi-al.ru #'u kazın ve mi-al.ru'yu kazın -p 530 @localhost

Şimdi sunucu olarak belirtiyoruz yerel ana bilgisayar, ve port numarasını /etc/tor/torrc.conf dosyasında belirtilen şekilde yazın.

Aşağıdaki ekran görüntüsünden de görebileceğiniz gibi, kontrolün yapıldığı makineye DNS spoofing saldırısı gerçekleştiriliyor:

4. Karışık modda ağ arayüzlerini arayın

Yerel ağınız rastgele modda ekipmana sahipse (ve özellikle aniden ortaya çıktıysa), ortadaki adam saldırısını açıkça göstermese de bu çok şüphelidir.

Bu modda, ağ kartı, kime adreslendiklerine bakılmaksızın tüm paketleri almanıza izin verir.

Normal durumda, Ethernet arabirimi bağlantı katmanı paket filtreleme kullanır ve alınan paketin hedef başlığındaki MAC adresi mevcut ağ arabiriminin MAC adresiyle eşleşmiyorsa ve yayınlanmıyorsa paket atılır. Rastgele modda, ağ arabiriminde filtreleme devre dışı bırakılır ve mevcut ana bilgisayara gönderilmeyenler de dahil olmak üzere tüm paketlerin sisteme girmesine izin verilir.

Çoğu işletim sistemi karışık modu etkinleştirmek için yönetici hakları gerektirir. Onlar. bir ağ kartını rastgele moda sokmak, koklama amacına hizmet edebilecek bilinçli bir eylemdir.

Karışık modda ağ arayüzlerini aramak için, adında bir Ettercap eklentisi var. search_promisc.

Eklenti başlatma örneği:

sudo etercap -TQP search_promisc ///

Eklenti işlemi tamamen güvenilir değildir, ağ arayüzü modunun belirlenmesinde hatalar olabilir.

Çözüm

Bazı ortadaki adam saldırı yöntemleri çok fazla iz bırakır ve bazılarının (örneğin, pasif olarak bir proxy üzerinde kimlik bilgilerini arama) tespit edilmesi imkansızdır veya neredeyse imkansızdır.

Saldırı "ortadaki adam" (İng. Ortadaki adam, MitM saldırısı) - bir saldırganın muhabirler tarafından istediği zaman değiş tokuş edilen mesajları okuyabildiği ve değiştirebildiği ve ikincisinin hiçbirinin yapamadığı bir durumu ifade eden kriptografide bir terim kanaldaki varlığını tahmin edin.

Karşı taraflar arasındaki bir kanala bağlanan bir saldırganın iletim protokolüne aktif olarak müdahale ettiği, bilgileri sildiği, çarpıttığı veya yanlış bilgiler empoze ettiği bir iletişim kanalını ele geçirme yöntemi.

Saldırı prensibi:

Diyelim ki "A" nesnesi "B" nesnesine bazı bilgiler göndermeyi planlıyor. "C" nesnesi, kullanılan veri aktarım yönteminin yapısı ve özellikleri ile "C"nin yakalamayı planladığı gerçek bilgilerin planlanan iletimi gerçeği hakkında bilgi sahibidir.

Bir saldırı gerçekleştirmek için, "C", "A" nesnesine "B" olarak ve "B" nesnesine "A" olarak "temsil edilir". Yanlışlıkla "B" ye bilgi gönderdiğine inanan "A" nesnesi, onu "C" nesnesine gönderir.

Bilgileri alan ve onunla bazı eylemler gerçekleştiren (örneğin, kendi amaçları için kopyalama veya değiştirme) "C" nesnesi, verileri alıcının kendisine - "B" gönderir; "B" nesnesi ise, bilginin kendisi tarafından doğrudan "A" dan alındığına inanıyor.

Bir MitM saldırısı örneği:

Alice'in mali sıkıntı içinde olduğunu ve bir anlık mesajlaşma programı kullandığını ve John'a bir mesaj göndererek bir miktar para istemeye karar verdiğini varsayalım:

alice: John, merhaba!
alice: Lütfen şifreleme anahtarını gönderin, küçük bir istek var!
John: Merhaba! Bir saniye bekle!

Ancak bu sırada sniffer ile trafiği analiz ederken bu mesajı ve "şifreleme anahtarı" kelimesini fark eden Bay X merak uyandırdı. Bu nedenle, aşağıdaki mesajları yakalamaya ve bunları ihtiyaç duyduğu verilerle değiştirmeye karar verdi ve şu mesajı aldığında:

John: İşte anahtarım: 1111_D

John'un anahtarını kendisininkiyle değiştirdi ve Alice'e bir mesaj gönderdi:

John: İşte anahtarım: 6666_M

Alice, habersiz ve bunun John'un anahtarı olduğunu düşünerek, özel anahtarı kullanıyor 6666_M, John'a şifreli mesajlar gönderir:

alice: John, başım dertte ve acilen paraya ihtiyacım var, lütfen hesabıma 300$ aktarın: Z12345. Teşekkür ederim. not; Anahtarım: 2222_A

Mister-X mesajı aldıktan sonra anahtarıyla şifresini çözer, okur ve sevinerek Alice'in hesap numarasını ve şifreleme anahtarını kendisininkiyle değiştirir, mesajı anahtarla şifreler. 1111_D ve John'a bir mesaj gönderir:

alice: John, sorunlarım var ve acilen paraya ihtiyacım var, lütfen hesabıma 300$ aktar: Z67890. Teşekkür ederim. not; Anahtarım: 6666_A

John, mesajı aldıktan sonra anahtarı kullanarak mesajın şifresini çözer. 1111_D, ve hiç şüphesiz, hesaba para aktaracak Z67890...

Ve böylece Bay X, ortadaki adam saldırısını kullanarak 300 dolar kazandı, ancak Alice şimdi parayı almadığını açıklamak zorunda... Ya John? John, onları kendisinin gönderdiğini Alice'e kanıtlamak zorundadır...

Uygulama:

Bazı yazılım ürünlerinde ağı dinlemek için benzer bir saldırı türü kullanılır, örneğin:

NetStumbler- bir kablosuz ağ hakkında pek çok yararlı veri toplayabileceğiniz ve çalışmasıyla ilgili bazı sorunları çözebileceğiniz bir program. NetStumbler, ağın menzilini belirlemenize ve uzun mesafelerde iletişim için anteni doğru bir şekilde yönlendirmenize yardımcı olur. Bulunan her erişim noktası için MAC adresini, sinyal-gürültü oranını, hizmetin adını ve güvenlik derecesini öğrenebilirsiniz. Trafik şifrelenmemişse, programın yetkisiz bağlantıları tespit etme yeteneği faydalı olacaktır.

dsniff- ağ denetimi ve penetrasyon kontrolleri için bir dizi programdır, ilgilenilen verileri (parolalar, e-posta adresleri, dosyalar vb.) aramak için pasif ağ izleme sağlar, analiz için normalde erişilemeyen ağ trafiğine müdahale eder (örneğin , anahtarlamalı bir ağda) ve ayrıca PKI'nın eksikliklerinden yararlanarak SSH ve HTTPS oturumlarını engellemek için MITM saldırıları düzenleme olasılığı.

Kayin ve Habil- Windows ailesinin işletim sistemleri için kayıp parolaları kurtarmanıza izin veren ücretsiz bir program. Birkaç kurtarma modu desteklenir: kaba kuvvet kaba kuvvet kırma, sözlük seçimi, yıldız işaretleriyle gizlenmiş şifreleri görüntüleme, vb. Ayrıca, bilgi paketlerini yakalayarak ve sonraki analizlerini yaparak, ağ konuşmalarını kaydederek, önbellek analizini ve diğerlerini kullanarak parola algılama seçenekleri de vardır.

Eter kapağı- birçok protokolün aktif ve pasif analizini destekleyen, ayrıca mevcut bir bağlantıya kendi verilerini "atmayı" ve bağlantının senkronizasyonunu bozmadan "anında" filtrelemeyi destekleyen yerel Ethernet ağları için bir algılayıcı, paket önleyici ve kayıt sorumlusudur. . Program, SSH1, HTTPS ve diğer güvenli protokolleri engellemenize izin verir ve aşağıdaki protokoller için şifrelerin şifresini çözme yeteneği sağlar: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA- kablosuz istemcilerin güvenliğini değerlendirmek için bir dizi yardımcı program, 802.11 Araştırma İsteği çerçevelerini pasif olarak dinleyerek istemcileri ve onların tercih edilen / güvenilir ağlarını keşfetmenizi sağlayan bir kablosuz algılayıcıdır. Ardından, istenen ağlardan biri için otomatik olarak bağlanabileceği sahte bir erişim noktası oluşturulabilir. Üst düzey sahte hizmetler, kişisel verileri çalmak veya ana bilgisayardaki istemci tarafı güvenlik açıklarından yararlanmak için kullanılabilir.

hava girişi- WiFi korsanlığı alanındaki uzmanlara göre, çeşitli 802.11 çerçeveleri oluşturmak için en iyi araç olan bir dizi program. AirJack, gizli bir ESSID'yi algılamak, sahte bir MAC ile oturum sonlandırma çerçeveleri göndermek, MitM saldırıları gerçekleştirmek ve onu değiştirmek için tasarlanmış bir dizi yardımcı program içerir.

Muhalefet:

Bu tür saldırılardan kaçınmak için "A" ve "B" abonelerinin güvenilir bir kanal kullanarak ortak şifreleme anahtarlarının dijital imzalarını birbirlerine aktarmaları yeterlidir. Ardından, şifreleme oturumlarında anahtar imzalarını karşılaştırırken, verilerin hangi anahtarla şifrelendiğini ve anahtarların sahte olup olmadığını belirlemek mümkün olacaktır.

18.10.2016 | Vladimir Hazov

FSB, Telekom ve Kitle İletişim Bakanlığı ve Sanayi ve Ticaret Bakanlığı'nın Yarovaya Yasası hükümlerini Rus yazışmalarının dinlenmesi ve şifresinin çözülmesi açısından uygulamaya yönelik planları artık sadece plan değil, şimdiden uygulanmaya başlıyor. WhatsApp, Viber, Facebook Messenger, Telegram, Skype mesajlarının MITM saldırıları kullanılarak ele geçirilme olasılığı hakkında uzman görüşü hazırlanması ve böyle bir aracın prototipinin gösterilmesi talimatıyla faaliyete geçirildi.

Önceki bir makalede "meşru" bir MITM saldırısı düzenleme planı hakkında yazmıştık. Bugün böyle bir saldırının ilkesi ve nasıl uygulanacağı üzerinde daha ayrıntılı olarak duracağız.

MITM saldırısı nedir

Ortadaki Adam (MITM), "ortadaki adam" olarak tercüme edilir. Bu terim, bir saldırganın bir İnternet kullanıcısı ile eriştiği uygulama arasında olduğu bir ağ saldırısını ifade eder. Elbette fiziksel olarak değil ama özel bir yazılım yardımıyla. Kullanıcıya istenen uygulama tarafından sunulur (bir web sitesi veya bir İnternet hizmeti olabilir), onunla çalışmayı taklit eder, normal çalışma ve bilgi alışverişi izlenimi verecek şekilde yapar.

Saldırının hedefi, kullanıcının çeşitli sistemlere giriş bilgileri, banka bilgileri ve kart numaraları, kişisel yazışmalar ve diğer gizli bilgiler gibi kişisel verileridir. Çoğu durumda, finansal uygulamalar (banka müşterileri, çevrimiçi bankalar, ödeme ve para transferi hizmetleri), şirket SaaS hizmetleri, e-ticaret siteleri (çevrimiçi mağazalar) ve sisteme girmek için yetkilendirme gerektiren diğer siteler saldırıya uğrar.

Bir saldırgan tarafından elde edilen bilgiler, yasa dışı para transferleri, hesap değiştirme, kişisel yazışmalara müdahale, başkasının pahasına satın alma, taviz verme ve şantaj dahil olmak üzere çeşitli amaçlar için kullanılabilir.

Ayrıca, kimlik bilgilerini çaldıktan ve sistemi hackledikten sonra suçlular, fikri mülkiyet hırsızlığını (patentler, tasarımlar, veritabanları) organize etmek ve önemli verileri silerek ekonomik zarara neden olmak için şirket ağına kötü amaçlı yazılımlar yükleyebilir.

Bir MITM saldırısı, yazışmanızın teslimi sırasında mektubu açan, kişisel kullanım için içeriğini yeniden yazan ve hatta el yazısını taklit ederek kendine ait bir şeyler ekleyen ve ardından zarfı mühürleyip teslim eden bir postacıya benzetilebilir. hiçbir şey olmamış gibi muhatabına. Ayrıca, mektubun metnini şifrelediyseniz ve şifre çözme kodunu muhatabına şahsen bildirmek istiyorsanız, postacı kendisini muhatap olarak sunacak, böylece ikameyi fark etmeyeceksiniz.

Bir MITM saldırısı nasıl gerçekleştirilir?

Bir MITM saldırısının yürütülmesi iki aşamadan oluşur: müdahale ve şifre çözme.

• durdurma

Saldırının ilk aşaması, kullanıcıdan amaçlanan hedefe giden trafiği kesmek ve onu saldırganın ağına yönlendirmektir.

Engellemenin en yaygın ve en kolay yolu, bir saldırganın ücretsiz erişime sahip (şifre ve yetkilendirme olmadan) Wi-Fi noktaları oluşturduğu pasif bir saldırıdır. Bir kullanıcı böyle bir noktaya bağlandığı anda, saldırgan oradan geçen tüm trafiğe erişebilir ve müdahale için buradan herhangi bir veriyi çıkarabilir.

İkinci yöntem, aşağıdaki seçeneklerden biriyle gerçekleştirilebilen aktif müdahaledir:

IP sahtekarlığı– paket başlığındaki hedef IP adresinin saldırganın adresi ile değiştirilmesi. Sonuç olarak, kullanıcılar istenen URL'ye gitmek yerine kendilerini saldırganın sitesinde bulurlar.

ARP sahtekarlığı– ana bilgisayarın gerçek MAC adresinin, kurbanın ARP tablosundaki saldırganın adresiyle değiştirilmesi. Sonuç olarak, kullanıcı tarafından gerekli düğümün IP adresine gönderilen veriler, saldırganın adresine ulaşır.

DNS sahtekarlığı - DNS önbelleğini etkilemek, DNS sunucusuna sızmak ve web sitesi adresinin eşleşme kaydını yanıltmak. Sonuç olarak, kullanıcı istenen siteye erişmeye çalışır, ancak saldırganın site adresini DNS sunucusundan alır.

• şifre çözme

Engellemenin ardından çift yönlü SSL trafiğinin şifresi çözülmeli ve bu, kullanıcı ve onun talep ettiği kaynak girişimi fark etmeyecek şekilde yapılmalıdır.

Bunun için birkaç yöntem vardır:

HTTPS sahtekarlığı– siteye HTTPS protokolü aracılığıyla bir bağlantı kurulduğunda kurbanın tarayıcısına sahte bir sertifika gönderilir. Bu sertifika, güvenliği ihlal edilmiş uygulamanın dijital imzasını içerir ve bu, tarayıcının saldırganla bağlantıyı güvenilir olarak kabul etmesine neden olur. Böyle bir bağlantı kurulduğunda, saldırgan, uygulamaya geçmeden önce kurban tarafından girilen tüm verilere erişebilir.

SSL CANAVARI(SSL/TLS'ye karşı tarayıcı istismarı) – saldırı, TLS 1.0 ve 1.2 sürümlerindeki bir SSL güvenlik açığından yararlanır. Kurbanın bilgisayarına, web uygulamasına gönderilen şifrelenmiş tanımlama bilgilerini engelleyen kötü amaçlı JavaScript bulaşmıştır. Bu, "şifreli metin bloğu zincirleme" şifreleme modunu, saldırganın şifresi çözülmüş çerezleri ve kimlik doğrulama anahtarlarını alacağı şekilde tehlikeye atar.

SSL kaçırma– TCP oturumunun başlangıcında kullanıcıya ve uygulamaya sahte kimlik doğrulama anahtarlarının iletilmesi. Bu, aslında "ortadaki adam" oturumun denetimindeyken güvenli bir bağlantı görüntüsü verir.

SSL sıyırma- Uygulama tarafından kullanıcıya gönderilen TLS kimlik doğrulamasını engelleyerek bağlantıyı güvenli HTTPS'den düz HTTP'ye düşürür. Saldırgan, kullanıcıya siteye şifresiz erişim sağlarken, kendisi de uygulamayla güvenli bir oturum sürdürür ve kurbanın iletilen verilerini görme fırsatı elde eder.\

MITM saldırılarına karşı koruma

MITM saldırılarına karşı güvenilir koruma, kullanıcı birkaç önleyici eylemde bulunduğunda ve web uygulaması geliştiricileri tarafından şifreleme ve kimlik doğrulama yöntemlerinin bir kombinasyonunu kullandığında mümkündür.

Kullanıcı işlemleri:

• Parola koruması olmayan Wi-Fi erişim noktalarına bağlanmaktan kaçının. Bilinen erişim noktalarına otomatik bağlantıyı kapatın - bir saldırgan, Wi-Fi'nizi yasalmış gibi gösterebilir.
• Güvenli olmayan bir siteye geçişle ilgili tarayıcı bildirimine dikkat edin. Böyle bir mesaj, bir saldırganın sahte sitesine götürüldüğünüzü veya meşru bir sitenin korunmasıyla ilgili sorunlar olduğunu gösterebilir.
• Kullanımda değilse uygulamayla oturumu sonlandırın (çıkış yapın).
• Gizli işlemler (iş yazışmaları, finansal işlemler, çevrimiçi mağazalardan alışverişler vb.) için halka açık ağları (kafe, park, otel vb.) kullanmayın.
• Bilgisayarınızda veya dizüstü bilgisayarınızda güncel bir antivirüs kullanın, kötü amaçlı yazılım kullanan saldırılara karşı korunmanıza yardımcı olacaktır.

Web uygulamalarının ve web sitelerinin geliştiricileri, iletilen verileri şifreleyerek kimlik sahtekarlığı saldırılarını büyük ölçüde karmaşıklaştıran TLS ve HTTPS güvenli protokollerini kullanmalıdır. Ayrıca kullanımları, yetkilendirme parametrelerini ve erişim anahtarlarını elde etmek için trafiğin kesilmesini önler.

Sadece yetkilendirme sayfaları için değil, sitenin diğer tüm bölümleri için TLS ve HTTPS'yi korumak iyi bir uygulama olarak kabul edilir. Bu, bir saldırganın oturum açtıktan sonra güvenli olmayan sayfalarda gezinirken kullanıcının çerezlerini çalma şansını azaltır.

MITM saldırılarına karşı koruma, kullanıcının ve telekom operatörünün sorumluluğundadır. Kullanıcı için en önemli şey, uyanıklığını kaybetmemek, yalnızca kanıtlanmış İnternet erişim yöntemlerini kullanmak ve kişisel verileri aktarmak için HTTPS şifrelemeli siteleri seçmektir. Telekom operatörlerine, veri ağlarındaki anormallikleri tespit etmek ve sahtekarlık saldırılarını önlemek için Derin Paket İnceleme (DPI) sistemlerini kullanmaları önerilebilir.

Devlet kurumları, MITM saldırısını saldırganların aksine vatandaşları korumak ve zarar vermek için kullanmayı planlıyor. Kişisel mesajların ve diğer kullanıcı trafiğinin dinlenmesi, yürürlükteki mevzuat çerçevesinde gerçekleştirilmekte olup, terör, uyuşturucu kaçakçılığı ve diğer yasaklanmış faaliyetlerle mücadele için adli makamların kararı ile gerçekleştirilmektedir. Sıradan kullanıcılar için "meşru" MITM saldırıları tehlikeli değildir.

MTProto, artık savunmasız olan mobil bağlantıda güvenilirlik ve büyük dosyaların (örneğin, 1 GB boyutuna kadar fotoğraflar, videolar ve belgeler) tesliminde hız elde etmek için orijinal bir yöntem kullanır. Bu belge, sistemimizin detaylarını açıklamak ve ilk bakışta anlaşılması zor olan unsurları kapsamak amacıyla hazırlanmıştır.

Ayrıntılı protokol belgeleri bu sayfada mevcuttur. Herhangi bir sorunuz varsa - yazın twitter.

Not: MTProto ile şifrelenen her mesaj, sistemi bilinen sorunlara karşı güvenli hale getirmek için şifre çözme sırasında kontrol edilecek olan aşağıdaki verileri her zaman içerir:

• oturum tanımlayıcısı - oturum kimliği;
• mesaj uzunluğu - mesaj uzunluğu;

Not 2: kullanımıyla ilgili ek yorumları görün ve değiştirilmişşema .

Neden X [sizin seçiminiz] kullanmıyorsunuz?

Aynı kriptografik hedeflere ulaşmanın başka yolları da şüphesiz mevcut olsa da, mevcut çözümün hem güvenli olduğuna hem de teslimat hızı ve istikrar açısından güvensiz habercilerden daha iyi performans gösterme ikincil hedefimizde başarılı olduğuna inanıyoruz.

Neden klasik kripto algoritmalarına güveniyorsunuz?

Verim ve işlem gücünün nadiren eşleştiği günlerden kalma iyi bilinen algoritmaları kullanmayı tercih ediyoruz. Günümüzün mobil cihazlar için uygulama geliştirmesinde önemli bir etkiye sahip olan ve yazarlarını bilinen eksikliklerden kurtulmaya zorlayan bu algoritmalardır. Bu tür algoritmaların zayıf yönleri de iyi bilinmektedir ve saldırganlar tarafından onlarca yıldır kullanılmaktadır. Bu algoritmaları bu uygulamada kullanıyoruz çünkü inandığımız gibi bilinen herhangi bir saldırıyı başarısızlığa götürüyorlar. Ancak, sistemimizi iyileştirmek için aksi yönde herhangi bir kanıt görmekten memnuniyet duyarız (şimdiye kadar böyle bir durum olmamıştır).

Ben bir güvenlik uzmanıyım ve protokolünüzün güvensiz olduğuna inanıyorum.

Yarışmamıza katılabilirsiniz: Pavel Durov, MTProto'yu hackleyen ilk kişiye 200.000 dolarlık bitcoin teklif ediyor. Duyuruyu ve Yarışma SSS bölümünü okuyabilirsiniz. Başka yorumlarınız varsa, onları duymak isteriz [e-posta korumalı].

Bilinen saldırılara karşı koruma

Bilinen Düz Metin Saldırıları

Tanıma göre, düz metin saldırısı, saldırganın metnin her iki versiyonuna da sahip olduğu bir tür kriptanalitik saldırıdır: şifreli ve orijinal. MTProto'da kullanılan AES IGE bu tür saldırılara karşı dirençlidir. Ek olarak, MTProto'daki düz metin her zaman sunucu tuzunu ve oturum kimliğini içerir.

Uyarlanabilir Düz Metin Saldırısı

Tanıma göre, uyarlamalı olarak seçilmiş bir düz metin saldırısı, kriptanalizde, kriptanalistin düz metni seçebileceğini ve karşılık gelen şifreli metni elde edebileceğini varsayan bir tür saldırıdır. MTProto, bu tür saldırılara karşı güvenli olan IGE modunda AES kullanır. IGE'nin bloğa uyarlanabilir saldırılara karşı savunmasız olduğu biliniyor, ancak MTProto bunu aşağıdaki şekilde düzeltir. Şifrelenecek her düz metin mesajı, şifre çözme sırasında kontrol edilen aşağıdaki verileri içerir:

• sunucu tuzu (64-bit) - sunucu tuzu (64-Bit);
• mesaj sıra numarası - mesaj sıra numarası;
• mesaj gönderme zamanı - zaman.

Bunun da ötesinde, düz metni değiştirmek için, doğru AES anahtarını ve auth_key'e bağlı başlatma vektörünü de kullanmanız gerekir. Bu, MTProto'yu uyarlanabilir düz metin saldırılarına karşı dirençli hale getirir.

Seçilmiş şifreli metin saldırıları

Tanım olarak, bir şifreli metin saldırısı, bir kriptanalistin şifreli metni tahmin ederek ve bilinmeyen bir anahtarla şifresini çözerek bir şifre hakkında bilgi topladığı bir kriptografik saldırıdır. Böyle bir saldırıda, saldırgan bir veya daha fazla bilinen şifreli metni sisteme girerek düz metinleri elde edebilir. Saldırgan bu verilerle şifre çözme için kullanılan anahtarı kurtarmayı deneyebilir. MTProto'da, bir mesajın şifresi her çözüldüğünde, msg_key'in şifresi çözülen verinin SHA-1'iyle eşleşip eşleşmediğini görmek için bir kontrol yapılır. Düz metin (şifresi çözülmüş veri) ayrıca her zaman mesajın uzunluğu, sıra numarası ve sunucunun tuzu hakkında bilgiler içerir. Bu, şifreli metin saldırılarını geçersiz kılar.

Tekrar saldırıları

Tekrar saldırıları imkansızdır çünkü her düz metin mesajı bir sunucu tuzu, benzersiz bir mesaj kimliği ve bir sıra numarası içerir.

"Ortadaki adam"a saldırın (MitM)

Telegram'ın iki iletişim modu vardır: istemci-sunucu şifreleme kullanan normal sohbetler ve uçtan uca şifreleme kullanan ve ortadaki adam saldırılarına karşı korunan gizli sohbetler. İstemci ile sunucu arasındaki veri aktarımı, Diffie-Hellman anahtar üretimi sırasında Telegram istemcilerinde yerleşik olan RSA genel anahtar algoritması sayesinde bu tür saldırılardan korunur. Bundan sonra, muhatapların istemcileri sunucu yazılımına güveniyorsa, aralarındaki gizli sohbetler sunucu tarafından ortadaki adam saldırılarına karşı korunur. Özellikle olanlar için Olumsuz sunucuya güvenir, uygulamada gizli kodların bir karşılaştırması mevcuttur. Anahtarlar görüntü olarak işlenir. İşlenen anahtarları karşılaştırarak, kullanıcılar bir ortadaki adam saldırısının gerçekleşmediğini doğrulayabilir.

şifreleme

IGE kullanıyor musunuz? Hacklendi!

Evet, IGE kullanıyoruz, ancak uygulamamızda her şey yolunda. IGE'yi sistemimizin diğer öğeleriyle birlikte MAC'in yaptığı gibi kullanmamamız, IGE'yi hacklemeyi anlamsız kılıyor. IGE, tıpkı ortak şifreli metin blok zincirleme (CBC) modu gibi, blok bazında uyarlanabilir saldırılara tabidir. Ancak uyarlanabilir saldırılar, yalnızca aynı anahtar birden fazla mesajda kullanıldığında bir tehdittir (durum böyle değildir).

Adaptif saldırılar MTProto'da teorik olarak bile imkansızdır, çünkü mesajların şifresini çözmek için önce tam olarak yazılmalıdır çünkü mesajın anahtarı içeriğine bağlıdır. Uyumsuz CPA saldırılarına gelince, IGE ve CBC bunlardan korunur.