Je dnešná autentizácia bezpečná? - 2. časť
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Je dnešná autentizácia bezpečná? - 2. časťJe dnešná autentizácia bezpečná? - 2. časť

 

Je dnešná autentizácia bezpečná? - 2. časť

Google       Google       5. 9. 2005       8 615×

V prvom rade si prečítajte 1. diel, navazuje na tento! Teraz sa vráťme do pozície užívateľa, ktorý sa snaží identifikovať služby a zisťuje ich vlastnosti...

Z pohľadu užívateľa

Dajme tomu, že sa vám podarilo viac či menej služieb úspešne identifikovať, ktoré využívate a z dostupných informácií, ktorými bývajú najčastejšie domovské stránky daných produktov, ste zistili, či služba šifruje komunikáciu a na akom princípe uskutočňuje autentizáciu. Teraz sa budeme zaoberať prípadom, keď zistíte, že služba šifrovanie nevyužíva. Aby ste pochopili význam nebezpečenstva, ktoré vám hrozí urobíte najlepšie, keď si sami skúsite, čoho je potencionálny útočník schopný. Najjednoduchším zpôsobom, ako obísť sieťovú autentizáciu, je použitie snifferu a odchytenie hesla právoplatného užívateľa. To je oveľa jednoduchšie, než by sa mohlo zdať. Ako sniffer je možné použiť produkt ettercap (sourceforge.net/ettercap), ktorý ponúka špičkový výkon, veľa štandardných funkcií, ďalšie užitočné plug-iny a naviac využíva GTK interface pre užívateľa, ktorý má rád grafické prostredie. Pre konzolového užívateľa je vedľa klasického rozhrania prichystané i rozhranie využívajúce ncurses. Program dokáže rôzne druhy sniffov, či už je to o ARP sniffingu užitočný hlavne na prepínaných sieťach, IP sniffing alebo MAC sniffing. V prípade, že na vašej sieti beží služba arpwatch, ktorá sleduje zmeny na sieti a vy sa pokúsite o ARP sniffing, bude arpwatch hlásiť množstvo neštandardných situácií, hlavne flip-flop sniffové stroje. Preto asi radšej na svoje aktivity najskôr upozornite správcu.

Tak a teraz už k samotnému testovaniu nešifrovaných služieb. Myslíte si, že je vaša pošta pred cudzími očami v bezpečí? Skúste zapnúť sniffer a ako source adresu vyberte poštový server a ako destination vyberte svoj systém a zapnete sniffovanie (typ zvoľte podľa požiadaviek siete). Teraz na svojom stroji skúste prijať/odoslať poštu. Vidíte výsledky? To, čo vidíte, môže vidieť ktokoľvek na vašej sieti, prípadne kto má do vašej sieti prístup. Situácia však môže byť i horšia. Je možné i zaznamenať kompletnú komunikáciu medzi serverom a klientom, inými slovami si urobíte kópie emailov. Čo sa stane v prípade, ak poštou odosielate citlivé informácie, zásadné pre chod vašej firmy?

Tak pozrime sa na chod protokolu FTP. Opäť si zapnete sniffer a pokúste sa pripojiť k ľubovoľnému FTP serveru. Vidíte vaše meno a heslo? Ak áno môže ho vidieť i ktokoľvek iný vo vašej sieti, prípadne na ceste medzi vami a serverom, ale túto situáciu už skutočne neovplyvníte. Čo sa stane v prípade, keď sťahujete citlivé údaje z firemného ftp serveru, o ktorom si myslíte, alebo vám všetci tvrdia, že je zabezpečený?

Dobre, ale niektorí si povedia, a čo ak obmedzia prístup iba na povolené IP adresy? I proti tomuto tvrdeniu je možné vzniesť námietku, pretože IP adresa môže byť veľmi jednoducho zfalšovaná či podvrhnutá. Teraz sa ešte pozrieme na HTTP komunikáciu, aby sme si ukázali, že ani tento druh prenosu nie je príliš bezpečný. V prostredí webu sa používa mnoho autentizačných metód. Niektoré sú založené na funkciách servera, niektoré na skriptovacích jazykoch, ktoré na serveri fungujú. Veľmi často sa však používa HTTP autentizácia, najčastejšie typu basic. S týmto druhom autentizácie sa určite každý už niekedy stretol. Bohužiaľ i tento typ autentizácie je veľmi jednoduché prekonať a obísť. Opäť teda spustíme náš obľúbený ettercap a budeme „chytať“ komunikáciu medzi webovým serverom a klientom. V okne prehliadača otvoríme stránku a pokúsime sa vstúpiť do najakej autorizovanej oblasti, ktorá je chránená HTTP autentifikáciou. Ak po ruke nemáte tak komfortný nástroj akým je ettercap, ktorý nám naservíruje všetky heslá ako na tácke, a máte k dispozícii iba starý dobrý sniffer, dostanete výstup podobný tomuto: GET/adresar1/adresar2HTTP/1.0 Autorization:Basic upravena podoba hesla

Keďže heslo nie je šifrované, ale iba upravené na prenos po sieti, je získanie jeho podoby otázkou niekoľkých minút. Stačí nám k tomu napríklad skriptovací jazyk PHP, Perl a pod. Skúste napríklad Perl a base_decode64, alebo jeho podobu v PHP. Ďalšou perličkou programu ettercap je plug-in, ktorý umožňuje zachytávať všetky kopírované súbory cez protokol HTTP.

Existujú taktiež rôzne autentizačné metódy, ktoré využívajú sessions, cookies, alebo napríklad hasshov md5 algoritmus. Všetky uvedené metódy sú viac či menej bezpečné, ale nemá cenu ich tu siahodlho popisovať. Za chvíľku sa pozrieme na metódu, ktorá je pri správnej implementácii zo všetkých uvedených najbezpečnejšia. Ak vás moje predchádzajúce riadky dostali do depresie a zmocnil sa vás pocit, že žiadne dáta nie sú v bezpečí, tak žiadnu paniku. Nikdy to nie je až tak zlé, ako to na prvý pohľad vyzerá. Existujú totiž metódy, ako svoje údaje chrániť a ako nahradiť nebezpečné služby ich bezpečnejšími alternatívami.

V ďalšej časti si predvedieme krátky prehľad alternatívnych služieb.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Hlasování bylo ukončeno    
0 hlasů
Google
Autor študuje aplikovanú informatiku na FI MUNI v Brne. Zaobera sa programovanim, sietami a bezpecnostou. Pracuje ako programator na projekte www.antiskola.eu a www.drbubo.com
Web    

Nové články

Obrázek ke článku Stavebnice umělé inteligence 1

Stavebnice umělé inteligence 1

Článek popisuje první část stavebnice umělé inteligence. Obsahuje lineární a plošnou optimalizaci.  Demo verzi je možné použít pro výuku i zájmovou činnost. Profesionální verze je určena pro vývojáře, kteří chtějí integrovat popsané moduly do svých systémů.

Obrázek ke článku Hybridní inteligentní systémy 2

Hybridní inteligentní systémy 2

V technické praxi využíváme často kombinaci různých disciplín umělé inteligence a klasických výpočtů. Takovým systémům říkáme hybridní systémy. V tomto článku se zmíním o určitém typu hybridního systému, který je užitečný ve velmi složitých výrobních procesech.

Obrázek ke článku Jak vést kvalitně tým v IT oboru: Naprogramujte si ty správné manažerské kvality

Jak vést kvalitně tým v IT oboru: Naprogramujte si ty správné manažerské kvality

Vedení týmu v oboru informačních technologií se nijak zvlášť neliší od jiných oborů. Přesto však IT manažeři čelí výzvě v podobě velmi rychlého rozvoje a tím i rostoucími nároky na své lidi. Udržet pozornost, motivaci a efektivitu týmu vyžaduje opravdu pevné manažerské základy a zároveň otevřenost a flexibilitu pro stále nové výzvy.

Obrázek ke článku Síla týmů se na home office může vytrácet. Odborníci radí, jak z pracovních omezení vytěžit maximum

Síla týmů se na home office může vytrácet. Odborníci radí, jak z pracovních omezení vytěžit maximum

Za poslední rok se podoba práce zaměstnanců změnila k nepoznání. Především plošné zavedení home office, které mělo být zpočátku jen dočasným opatřením, je pro mnohé už více než rok každodenní realitou. Co ale dělat, když se při práci z domova ztrácí motivace, zaměstnanci přestávají komunikovat a dříve fungující tým se rozpadá na skupinu solitérů? Odborníci na personalistiku dali dohromady několik rad, jak udržet tým v chodu, i když pracovní podmínky nejsou ideální.

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý