Przed prezentacją udało mi się przygotować kilka dodatkowych pokazów "przydatnych" programów. Niestety w czasie prezentacji nie udało się ich przedstawić z powodów czasowych i technicznych. Dlatego dołączam filmiki. Aby je odtworzyć należy dwukrotnie nacisnąć przycisk odtwarzania.
W poniższych filmach gość (Windows XP), znajdujący się w QEMU jest za każdym razem obiektem podsłuchu lub ataku, prowadzonego przez hosta (Gentoo Linux 2006.1) - czyli przez programy "luzem", nie w QEMU.
Interfejsy sieciowe zarówno gościa jak i hosta są "wpięte" do mostu ("switcha programowego") br0.
Program ggniuff jest doskonałym narzędziem dla leniwych i wścibskich administratorów oraz hackerów: nie tylko podsłuchuje wszelkie rozmowy prowadzone przez gadu-gadu do których ma dostęp i wypisuje je na konsole (a także wysyłane za pośrednictwem gg SMSy i wiele innych rzeczy) ale jeszcze zapisuje je do pliku wraz z dokładną datą i czasem. Znakomite narzędzie do inwigilacji typu "uruchom i zapomnij".
Program webmitm przeprowadza atak typu man (lub monkey) in the middle, co oznacza, że wcina się pomiędzy dwie strony (szyfrowanego SSLem) połączenia i umoźliwia prowadzenie podsłuchu, a konkretnie łowi wszelkie przekazywane hasła. Atak uda się jedynie pod warunkiem, że użytkownik nabierze się na nasz fałszywy certyfikat wystawiony na samym początku pracy z programem oraz, że nie zorientuje się, że padł ofiarą ataku dnsspoof i zamiast z serwerem łączy sie z komputerem atakującego. Jednak na ogół nie ma z tym większego problemu ponieważ liczba świadomych użytkowników jest wciąż jeszcze bardzo mała.
Program został zmodyfikowany przeze mnie aby łapał także hasła wpisywane do USOSweba oraz do kilku popularnych portali. Na prośbę mieszkańców akademika modyfikacja nie zostanie ujawniona... :-) Polecam jednak zapisywanie certyfikatów na stałe w przeglądarkach.
Program bardzo podobny do poprzedniego, tylko tym razem podsłuchuje a nawet pozwala przejąć sesję SSH. Oficjalnie dostępna wersja działa tylko z przestarzałym protokołem SSH1 i tylko jeśli stosuje się najstarszą metodę autoryzacji polegającą na wysyłaniu pełnych haseł.
Dlatego należy koniecznie używać tylko wersji SSH2, najlepiej w połączeniu z autoryzacją przez klucze publiczne. Dobrze mieć też zapisane sygnatury serwerów i natychmiast przerwać łączenie po otrzymaniu komunikatu o ich zmianie, takiego jak na filmie.
Program webspy jest wspaniałym narzędziem podglądania tego, co użytkownicy widzą w swoich przeglądarkach. W dodatku, w przeciwieństwie do ataków typu MITM, jest on prawie nieinwazyjny i wymaga tylko pasywnego dostępu do przesyłanych danych. Stosowanie przez dłuższy czas może być bardzo zabawne, podobno może również uzależnić. ;-)
Niestety program, przynajmniej w najnowszej wersji dostępnej w popularnych dystrybucjach jest bardzo niestarannie napisany i zawiera całą masę błędów.
Jednym z najbardziej dotkliwych jest fakt, że webspy nie rozpoznaje tak zwanych wirtualnych hostów (nagłówek Host w HTTP) i zawsze wysyła do naszej przeglądarki numer IP.
Co ciekawe kod, który powinien rozpoznawać nazwę hosta jest obecny w programie tylko nie działa poprawnie.
Ponieważ większość "naprawdę atrakcyjnych wizualnie stron", które przeglądają użytkownicy i na ogół wcale nie chcieliby się tym chwalić, korzysta właśnie z wirtualnego hostingu, bardzo niewiele można zobaczyć (głównie komunikaty o błędach albo strony dostawców internetu). Ten błąd jest na tyle powszechny, że można go nawet zobaczyć w większości dostępnych w Internecie filmów i prezentacji na ten temat. Na szczęście przygotowując się do tej prezentacji udało mi się ten błąd (i kilka innych przy okazji) poprawić, co można zobaczyć na filmie. Poprawek nie ujawniam z tych samych powodów co wyżej. Dementuję także pogłoski, że to dlatego, że są one jeszcze brzydsze od oryginalnego kodu... ;-)