Je dnešná autentizácia bezpečná? - 2. časť
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama

Je dnešná autentizácia bezpečná? - 2. časťJe dnešná autentizácia bezpečná? - 2. časť

 

Je dnešná autentizácia bezpečná? - 2. časť

Google       Google       5. 9. 2005       6 700×

V prvom rade si prečítajte 1. diel, navazuje na tento! Teraz sa vráťme do pozície užívateľa, ktorý sa snaží identifikovať služby a zisťuje ich vlastnosti...

Reklama
Reklama

Z pohľadu užívateľa

Dajme tomu, že sa vám podarilo viac či menej služieb úspešne identifikovať, ktoré využívate a z dostupných informácií, ktorými bývajú najčastejšie domovské stránky daných produktov, ste zistili, či služba šifruje komunikáciu a na akom princípe uskutočňuje autentizáciu. Teraz sa budeme zaoberať prípadom, keď zistíte, že služba šifrovanie nevyužíva. Aby ste pochopili význam nebezpečenstva, ktoré vám hrozí urobíte najlepšie, keď si sami skúsite, čoho je potencionálny útočník schopný. Najjednoduchším zpôsobom, ako obísť sieťovú autentizáciu, je použitie snifferu a odchytenie hesla právoplatného užívateľa. To je oveľa jednoduchšie, než by sa mohlo zdať. Ako sniffer je možné použiť produkt ettercap (sourceforge.net/ettercap), ktorý ponúka špičkový výkon, veľa štandardných funkcií, ďalšie užitočné plug-iny a naviac využíva GTK interface pre užívateľa, ktorý má rád grafické prostredie. Pre konzolového užívateľa je vedľa klasického rozhrania prichystané i rozhranie využívajúce ncurses. Program dokáže rôzne druhy sniffov, či už je to o ARP sniffingu užitočný hlavne na prepínaných sieťach, IP sniffing alebo MAC sniffing. V prípade, že na vašej sieti beží služba arpwatch, ktorá sleduje zmeny na sieti a vy sa pokúsite o ARP sniffing, bude arpwatch hlásiť množstvo neštandardných situácií, hlavne flip-flop sniffové stroje. Preto asi radšej na svoje aktivity najskôr upozornite správcu.

Tak a teraz už k samotnému testovaniu nešifrovaných služieb. Myslíte si, že je vaša pošta pred cudzími očami v bezpečí? Skúste zapnúť sniffer a ako source adresu vyberte poštový server a ako destination vyberte svoj systém a zapnete sniffovanie (typ zvoľte podľa požiadaviek siete). Teraz na svojom stroji skúste prijať/odoslať poštu. Vidíte výsledky? To, čo vidíte, môže vidieť ktokoľvek na vašej sieti, prípadne kto má do vašej sieti prístup. Situácia však môže byť i horšia. Je možné i zaznamenať kompletnú komunikáciu medzi serverom a klientom, inými slovami si urobíte kópie emailov. Čo sa stane v prípade, ak poštou odosielate citlivé informácie, zásadné pre chod vašej firmy?

Tak pozrime sa na chod protokolu FTP. Opäť si zapnete sniffer a pokúste sa pripojiť k ľubovoľnému FTP serveru. Vidíte vaše meno a heslo? Ak áno môže ho vidieť i ktokoľvek iný vo vašej sieti, prípadne na ceste medzi vami a serverom, ale túto situáciu už skutočne neovplyvníte. Čo sa stane v prípade, keď sťahujete citlivé údaje z firemného ftp serveru, o ktorom si myslíte, alebo vám všetci tvrdia, že je zabezpečený?

Dobre, ale niektorí si povedia, a čo ak obmedzia prístup iba na povolené IP adresy? I proti tomuto tvrdeniu je možné vzniesť námietku, pretože IP adresa môže byť veľmi jednoducho zfalšovaná či podvrhnutá. Teraz sa ešte pozrieme na HTTP komunikáciu, aby sme si ukázali, že ani tento druh prenosu nie je príliš bezpečný. V prostredí webu sa používa mnoho autentizačných metód. Niektoré sú založené na funkciách servera, niektoré na skriptovacích jazykoch, ktoré na serveri fungujú. Veľmi často sa však používa HTTP autentizácia, najčastejšie typu basic. S týmto druhom autentizácie sa určite každý už niekedy stretol. Bohužiaľ i tento typ autentizácie je veľmi jednoduché prekonať a obísť. Opäť teda spustíme náš obľúbený ettercap a budeme „chytať“ komunikáciu medzi webovým serverom a klientom. V okne prehliadača otvoríme stránku a pokúsime sa vstúpiť do najakej autorizovanej oblasti, ktorá je chránená HTTP autentifikáciou. Ak po ruke nemáte tak komfortný nástroj akým je ettercap, ktorý nám naservíruje všetky heslá ako na tácke, a máte k dispozícii iba starý dobrý sniffer, dostanete výstup podobný tomuto: GET/adresar1/adresar2HTTP/1.0 Autorization:Basic upravena podoba hesla

Keďže heslo nie je šifrované, ale iba upravené na prenos po sieti, je získanie jeho podoby otázkou niekoľkých minút. Stačí nám k tomu napríklad skriptovací jazyk PHP, Perl a pod. Skúste napríklad Perl a base_decode64, alebo jeho podobu v PHP. Ďalšou perličkou programu ettercap je plug-in, ktorý umožňuje zachytávať všetky kopírované súbory cez protokol HTTP.

Existujú taktiež rôzne autentizačné metódy, ktoré využívajú sessions, cookies, alebo napríklad hasshov md5 algoritmus. Všetky uvedené metódy sú viac či menej bezpečné, ale nemá cenu ich tu siahodlho popisovať. Za chvíľku sa pozrieme na metódu, ktorá je pri správnej implementácii zo všetkých uvedených najbezpečnejšia. Ak vás moje predchádzajúce riadky dostali do depresie a zmocnil sa vás pocit, že žiadne dáta nie sú v bezpečí, tak žiadnu paniku. Nikdy to nie je až tak zlé, ako to na prvý pohľad vyzerá. Existujú totiž metódy, ako svoje údaje chrániť a ako nahradiť nebezpečné služby ich bezpečnejšími alternatívami.

V ďalšej časti si predvedieme krátky prehľad alternatívnych služieb.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Hlasování bylo ukončeno    
0 hlasů
Google
Autor študuje aplikovanú informatiku na FI MUNI v Brne. Zaobera sa programovanim, sietami a bezpecnostou. Pracuje ako programator na projekte www.antiskola.eu a www.drbubo.com
Web    

Nové články

Obrázek ke článku Hackerský kongres přiveze v září do Prahy špičky světové kryptoanarchie

Hackerský kongres přiveze v září do Prahy špičky světové kryptoanarchie

Hackerský kongres HCPP16 pořádá od 30. září do 2. října nezisková organizace Paralelní Polis již potřetí, a to ve stejnojmenném bitcoinovém prostoru v pražských Holešovicích. Letos přiveze na třídenní konferenci přes 40 většinou zahraničních speakerů – lídrů z oblastí technologií, decentralizované ekonomiky, politických umění a aktivismu. Náměty jejich přednášek budou také hacking, kryptoměny, věda, svoboda nebo kryptoanarchie.

Reklama
Reklama
Obrázek ke článku ICT PRO školení zaměřené nejenom na ICT

ICT PRO školení zaměřené nejenom na ICT

Dovolte, abychom se představili. Jsme zaměstnanci společnosti ICT Pro, profesionálové v oblasti poskytování komplexních ICT služeb. Neboli služeb spojených s informačními a komunikačními technologiemi, které dnes - ve 21. století - tvoří  nedílnou součást běžného provozu všech moderních firem.

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032016 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý