Zabronione narzędzia sieciowe

Programy do szpiegowania w sieci, podsłuchiwania sieci bezprzewodowych i do obchodzenia niektórych ograniczeń związanych z dostępem dial-up - dajemy Ci narzędzia, które są bardzo przydatne, ale niewłaściwie użyte mogą być niebezpieczne.

Programy do szpiegowania w sieci, podsłuchiwania sieci bezprzewodowych i do obchodzenia niektórych ograniczeń związanych z dostępem dial-up - dajemy Ci narzędzia, które są bardzo przydatne, ale niewłaściwie użyte mogą być niebezpieczne.

W poprzednim numerze naszego czasopisma (6/2002) przedstawiliśmy zestaw programów spełniających wiele użytecznych funkcji, mających jednak i drugie oblicze. Niewłaściwie użyte, mogłyby posłużyć do kradzieży danych, haseł lub ingerencji w oprogramowanie chronione prawami autorskimi. Dzisiaj kolejne programy z szarej strefy. Większość z nich może służyć do szpiegowania w sieci, a więc aktualne pozostają wszystkie nasze ostrzeżenia. W każdym przypadku przeczytaj dokładnie nie tylko opis programu w treści artykułu, ale również wskazówki dołączone do samych programów. Zastanów się, czy korzyści, jakie możesz osiągnąć, są większe od ryzyka, na jakie się ewentualnie narażasz.

Specjalne narzędzia

Pożyteczne oprogramowanie może być czasem niebezpieczne. Na pewno wtedy, gdy wpadnie w niepowołane ręce lub będzie używane w niewłaściwy albo niezgodny z przeznaczeniem sposób. Niektóre programy mogą być niebezpieczne również dlatego, że można ich używać w sposób niezgodny z prawem. Warto wtedy wiedzieć, jakie mogą być konsekwencje. Przedstawiamy Ci osiem takich programów. Objaśnimy, jak używać ich w pożytecznych celach.

Powiemy też, z jakim ryzykiem się to wiąże, co jest zabronione i co musisz wiedzieć, by ustrzec się przed niebezpieczeństwem.

I tym razem większość programów jest przeznaczona dla zaawansowanych użytkowników komputerów.

Ethereal 0.9.0

Klasyczny sniffer sieciowy

Wykrywa i analizuje ruch w sieci.

System Windows 95/98/Me, NT 4, 2000, XP i Linux

Język angielski

Cena bezpłatny (freeware)

Adres www.ethereal.com

Plik ethereal.exe do Windows, 6,5 MB i ethereal-0.9.0.tar.GZ do Linuksa, 2,6 MB

Obserwacja ruchu w sieci - za pomocą programu Ethereal można odczytać niekodowane hasła, np. przesyłane do serwerów POP3.

Obserwacja ruchu w sieci - za pomocą programu Ethereal można odczytać niekodowane hasła, np. przesyłane do serwerów POP3.

Ethereal jest programem analizującym do większości popularnych protokółów sieciowych. Obok TCP/IP obsługuje też między innymi IPX/SPX, SMB i Netbios. Pracując w środowisku Windows, potrzebuje bezpłatnego programu przechwytującego Winpcap, który należy zainstalować w pierwszej kolejności (http://netgroup-serv.polito.it/winpcap, 680 KB). Wersja do Linuksa to kod źródłowy, który trzeba samodzielnie skompilować. W pliku readme pakietu instalacyjnego zamieszczono angielskojęzyczną instrukcję kompilacji.

Obsługa programu jest stosunkowo prosta. Za pomocą polecenia Capture | Start możesz zdefiniować kartę sieciową i reguły filtrowania. Po kliknięciu przycisku OK program rejestruje ruch w sieci aż do momentu kliknięcia przycisku Stop. Informacje są wyświetlane w trzyczęściowym oknie.

Ryzyko Możesz używać programu do obserwacji ruchu w sieci, jednak podsłuchiwanie jest w każdym przypadku nielegalne. Poza tym komputery z uruchomionym programem Ethereal można wykryć - na przykład bezpłatnym programem Promiscan (www.securityfriday.com, 260 KB).

Ettercap 0.6.3.1

Sniffer w sieci z przełącznikiem

Działa tylko z Linuksem i nadaje się przede wszystkim do analizy protokółów w sieciach pracujących z przełącznikami. W niektórych przypadkach program może wykrywać luki w systemach zabezpieczeń.

System Linux i Windows

Język angielski

Cena bezpłatny (freeware)

Adres http://ettercap.sourceforge.net

Plik ettercap-0.6.3.1.tar.gz, 440 KB

Za pomocą programów takich ja Ettercap można manipulować tablicami ARP komputera. Wszystkie pakiety danych kierowane są wówczas do określonego komputera.

Za pomocą programów takich ja Ettercap można manipulować tablicami ARP komputera. Wszystkie pakiety danych kierowane są wówczas do określonego komputera.

Sieci, w których stosuje się przełączniki, uchodzą powszechnie za dobrze zabezpieczone przed podsłuchem. Na podstawie adresu karty sieciowej przełącznik ustala źródło i adres przeznaczenia pakietu danych i kieruje pakiet w określone miejsce. Inne komputery w sieci "nie zauważają" w ogóle tego przekazu, a tradycyjne programy do analizy ruchu w sieci, np. Ethereal, nie pokazują niczego. Takie sieci mają jednak słabe strony, które administrator powinien znać. Programy typu Ettercap stosują mianowicie specjalną metodę dotarcia do danych - infekowanie ARP (Address Resolution Protocol, protokół TCP/IP stosowany do konwertowania adresów IP na adresy fizyczne, inaczej adresy DLC, takie jak adresy ethernetowe). Program tak manipuluje tabelami ARP komputera-hosta odpowiedzialnymi za kierowanie ruchem pakietów w sieci, że wszystkie pakiety trafiają najpierw do komputera, w którym działa Ettercap. Dopiero potem są wysyłane do miejsca przeznaczenia. Ettercap pokazuje w tym momencie adresy IP docelowych komputerów i rodzaj zastosowanego protokółu. W razie potrzeby można podejrzeć zawartość pakietów lub zapisać ją w dzienniku.

Ettercapa można używać do wykrywania zagrożeń w sieci, jednak sam jest też zagrożeniem. Ponieważ odfiltrowuje hasła ze strumienia danych i zapisuje je w dzienniku, może służyć jako narzędzie do szpiegowania. Funkcja ta jest dostępna dla większości popularnych typów połączeń, jak Telnet, ftp, pop, ICQ i SMB. Niekodowane nazwy użytkowników i hasła wyświetlane są na monitorze otwartym tekstem. Można też analizować połączenia SSL - nawet podobno bezpieczne połączenia SSH1 lub HTTP-SSL nie stanowią problemu dla Ettercapa. W ten sposób przechwytuje się hasła wysyłane przez użytkowników, jednakże program musi być uruchomiony przed zainicjowaniem połączenia.

Program przechwytuje klucz publiczny przekazany przez serwer, zastępuje go samodzielnie wygenerowanym kluczem i przekazuje klientowi. Klient wysyła wówczas jednorazowy klucz do sesji, zaszyfrowany wygenerowanym przez siebie kluczem prywatnym. Mając te informacje, można śledzić na ekranie odkodowany przebieg całej sesji.

Program może także służyć do ochrony przed podsłuchem - polecenie menu check for other poisoner sprawia, że Ettercap zaczyna poszukiwać innych szpiegów w sieci. W efekcie program wyświetla adresy IP innych komputerów w sieci, które również stosują metodę infekowania ARP.

Ryzyko Program może być stosowany do kontroli działania sieci i poprawności zabezpieczeń, ale także jako narzędzie szpiegowskie. Niezależnie od możliwości naruszenia prawa w zakresie ochrony danych, wiele firm kategorycznie zabrania stosowania tego rodzaju programów w swoich sieciach.

Ettercap nie jest - przynajmniej według deklaracji jego twórców - żadnym zagrożeniem dla funkcjonowania sieci lub pracujących w niej urządzeń. Jednak w naszym teście okazało się, że w wyniku problemu z konfiguracją połączenia SSL testowany komputer nie mógł później nawiązać żadnego połączenia SSL.


Zobacz również