Ο Έντουαρντ Σνόουντεν εργάζονταν ως συμβασιούχος αναλυτής-διαχειριστής συστημάτων στην NSA (National Security Agency – Υπηρεσία Εθνικής Ασφαλείας των ΗΠΑ). Πρόσφατα (24 Μαρτίου 2014) έκανε μία διαρροή από μία σειρά εσωτερικών επικοινωνιών του τμήματος του στην NSA για τακτικές στοχευμένων επιθέσεων σε διαχεριστές συστημάτων παγκοσμίως. Αυτές τις διαρροές θα αναλύσουμε εδώ.
Διαχειριστές Συστημάτων
Οι διαχειριστές συστημάτων ηλεκτρονικών υπολογιστών είναι υπεύθυνοι για τη σωστή και ασφαλή λειτουργία των υποδομών υπολογιστικών συστημάτων. Κατ’ επέκταση, οι διαχειριστές συστημάτων έχουν τη μέγιστη πρόσβαση σε όλες τις ηλεκρονικές υπηρεσίες και συναλλαγές του οργανισμού ή εταιρίας όπου εργάζονται. Αυτό περιλαμβάνει οποιαδήποτε εταιρία ή οργανισμό χρησιμοποιεί πληροφοριακά συστήματα. Από ένα μικρό ηλεκτρονικό κατάστημα μέχρι τραπεζικούς οργανισμούς, δίκτυα στρατιωτικής χρήσης, μυστικές υπηρεσίες (όπως ο Έ. Σνόουντεν), κάθε είδους δίκτυο επικοινωνίας (τηλεφωνικά, δορυφορικά, κτλ.).
Ανάλυση: (U) utility of «security conferences»
Όλοι οι διαχειριστές συστημάτων παρακολουθούν εξειδικευμένα συνέδρια ώστε να παραμένουν ενήμεροι για τις εξελίξεις και φυσικά για την ανταλλαγή γνώσεων και απόψεων. Το πρώτο μήνυμα που θα δούμε είναι από το σύστημα εσωτερικής αλληλογραφίας του τμήματος πληροφοριακών συστημάτων της NSA. Δεν είναι ιδιαίτερα σημαντικό αλλά μας κάνει μία γνωριμία με το προσωπικό του τμήματος, τους συναδέλφους του Έ. Σνόουντεν. Το μήνυμα ξεκινάει έτσι:
Αρχικά βλέπουμε ότι εστάλει στις 09:53 το πρωί της Τετάρτης 8 Φεβρουαρίου 2012 με τίτλο ‘»(U) utility of «security conferences»‘ δηλαδή ‘(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ) χρησιμότητα των «συνεδρίων ασφαλείας»‘ αναφερόμενο στα συνέδρια ασφαλείας που συμμετέχουν οι διαχεριστές υπολογιστικών συστημάτων. Όλο το περιεχόμενο του μηνύματος είναι κατηγοριοποιημένο ως «U//FOUO» (Unclassified – For Official Use Only, δηλαδή Χωρίς Διαβάθμιση – Μόνο για Υπηρεσιακή Χρήση) και όπως ήδη αναφέραμε είναι πολύ απλά γραμμένο. Η πρώτη παράγραφος είναι αυτή.
Μεταφρασμένη στα Ελληνικά μπορείτε να τη διαβάσετε στη συνέχεια.
=====================================================
Προειδοποίηση: Έχουν περάσει μερικά χρόνια από τη τελευταία φορά που πρακολούθησα ένα συνέδριο ασφαλείας (όπως Shmoocon/Defcon/Blackhat). Οι απόψεις μου δεν είναι αποτέλεσμα πρόσφατης προσωπικής εμπειρίας, αλλά από προηγούμενο ερέθισμα που έχει επιβεβαιωθεί από δεύτερο χέρι τα τελευταία χρόνια. Όταν πήγα πρώτη φορά στα συνέδρια Blackhat και Defcon, ήταν με μεγάλη προσδοκία, «θα παρακολουθήσω όλες τις παρουσιάσεις που μπορώ, θα απορροφήσω όσο περισσότερες γνώσεις μπορώ, και θα γίνω ένας φοβερός χάκερ». Ήταν μεγάλη απογοήτευση. Βρίσκεις τα πιο ενδιαφέροντα θέματα και περιλήψεις, περιμένεις σε ουρές να βρεις μια θέση, και βρίσκεις τον εαυτό σου να προσπαθεί να ακούσει κάποιον που δεν έχει τίποτα καινούργιο να πει. Οι περισσότερες παρουσιάσεις διαφημίζονται υπερβολικά με εκθετικό ρυθμό αναλογικά με τις πληροφορίες που προσφέρουν, οι περισσοτέρες «διαδραστικές παρουσιάσεις» τελειώνουν με κύρηγμα «Ω! Συμφορά στη κατάσταση της βιομηχανίας ασφαλείας!» και το κοινό αποχωρεί χωρίς κάτι περισσότερο από πρίν.
=====================================================
Συνεχίζοντας, το μήνυμα αυτό τελειώνει ως εξής:
Τη μετάφραση του τη βλέπετε εδώ:
=====================================================
Αν θέλεις να μάθεις νέα τρελά πράγματα, αρκετά συχνά, δε θα τα βρεις σε παρουσιάσεις ενός συνεδρίου. Γιατί να μη το συζητήσεις εδώ γύρω στην NSA, να βρεις άτομα σε γραφεία που κάνουν πράγματα που σε ενδιαφέρουν, και να τους ρωτήσεις για το πως κάνουν ότι κάνουν (ή να βρεις έναν μέντορα εκεί); Πέρα από τα στερεότυπα των ανθρώπων που δουλεύουν εδώ, πολλοί είναι φιλικοί και αρκετά ανοιχτοί ώστε να μοιραστούν τα κόλπα τους με άλλους. Έχουμε τη πολυτέλεια να δουλεύουμε με κάποιους από τους πιο φωτεινούς, έξυπνους, και στην αιχμή ανθρώπους, θα ήταν ντροπή οι άνθρωποι συνέχεια να παρακολουθούν συνέδρια με την ελπίδα να μάθουν ένα «νέο τρελό πράγμα», όταν υπάρχει εκθετικά περισσότερη γνώση γύρω τους κάθε μέρα στη δουλειά.
Με δεδομένο αυτό, υπάρχουν πάντα κάποιες εξαιρετικές παρουσιάσεις σε συνέδρια, αλλά, κατά τη ταπεινή μου γνώμη, δεν ισοσταθμίζει με τη συνολική έλλειψη περιεχομένου. Έτσι, γιατί είναι καλά αυτά τα συνέρδρια; Η προσωπική μου γνώμη είναι ότι η βασική λειτουργία τους είναι η κοινωνική επαφή και γνωριμία με *σχετικά* ομοϊδεάτες ανθρώπους. Είναι η δυνατότητα να χαλαρώσεις ένα Σαββατοκύριακο και να παίξεις με υπολογιστές και άλλους ανθρώπους. Για μερικούς, αυτό κάνει το κόστος ενός συνεδρίου να αξίζει, για άλλους μπορεί να είναι μεγάλη απογοήτευση… Όλα έχουν σχέση με το τι περιμένεις να κεδρίσεις από αυτό.
Διάθεση: :/ καλά
=====================================================
Ασφαλώς, αυτό το μήνυμα δεν έχει μεγάλο ενδιαφέρον. Όμως είναι η πρώτη μας γνωριμία με το άτομο που είναι ο συντάκτης των επόμενων μηνυμάτων που έχουν πολύ μεγάλο ενδιαφέρον.
Ανάλυση: (U) I hunt SIGINTs (part 1)
Αυτό το μήνυμα πλέον μας εισάγει στη πρόταση-αποστολή της NSA και τις οδηγίες της προς τους ειδικούς. Ο τίτλος του μεταφράζεται ως «Χωρίς Διαβάθμιση – Κυνηγάω Υποκλοπές Σημάτων (μέρος 1)» και όπως βλέπετε στη συνέχεια αποτελείται από τέσσερις σύντομες παραγράφους.
Το μήνυμα αυτό εστάλει την Πέμπτη 12 Δεκεμβρίου του 2012 στις 10:10 το πρωί και σε αντίθεση με το προηγούμενο δεν είναι διαθέσιμο σε όλους καθώς έχει διαβάθμιση «SECRET//SI//REL TO USA, FVEY» το οποίο σημαίνει «ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ, FIVE EYES». Το τελευταίο (FVEY – FIVE EYES) είναι μία συμφωνία ανταλλαγής πληροφοριών ανάμεσα στις πέντε χώρες ΗΠΑ, Ηνωμένο Βασίλειο, Καναδάς, Αυστραλία και Νέα Ζηλανδία. Στη συνέχεια μπορείτε να διαβάσετε μεταφρασμένες τις τέσσερις αυτές παραγράφους.
=====================================================
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Λοιπόν, οι υποκλοπές σημάτων είναι απλά τέλειες. Όσο και να διαμαρτυρόμαστε για το «Πρόβλημα Πολλών Δεδομένων», θέματα με τη συλλογή/επεξεργασία, τις κατηφείς υποδομές/ξεπερασμένες περιηγητές ιστού/λειτουργικά συστήματα, η δυνατότητα μας να αποσπούμε δεδομένα από τυχαία μέρη του διαδικτύου, να τα φέρνουμε στη βάση μας για να αξιολογούμε και να κατασκευάζουμε πληροφορίες από αυτά είναι απλά φοβερό!
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ένα από τα πιο απίστευτα πράγματα σχετικά με αυτό είναι το πόσα δεδομένα έχουμε στα δάχτυλα μας. Αν και *μόνο* μπορούσαμε να συλλέγουμε μόνο τα δεδομένα που χρειαζόμασταν… ναι, θα πληρούσαμε κάποιες από τις προϋποθέσεις μας, αλλά εδώ είναι ένας ολόκληρος κόσμο από ευκαιρίες που χάνουμε! Θα ήταν σα να πηγαίναμε ένα ταξίδι οδικώς με δεμένα τα μάτια όλη την ώρα, και να τα ανοίγαμε μόνο όταν ήμασταν στον προορισμό… ναι, ακόμα βλέπεις πράγματα, αλλά θα χάσεις όλο το ταξίδι!
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Έτσι αποφάσισα να γράψω μία μικρή σειρά (στοργικά ονομασμένη ‘Κυνηγάω…’) για πράγματα που προσπαθώ να κάνω με δεδομένα που φυσιολογικά δεν είναι χρήσιμα από μόνα τους, αλλά σκεπτόμενος για αυτά με ένα νέο τρόπο, γίνονται εξαιρετικά πολύτιμα. Τα ενδιαφέροντα μου τελευταία είναι η παθητική συλλογή για δυνατότητα αναγνώρισης/ενεργοποίησης Εκμετάλλευσης Δικτύων Υπολογιστών, και έτσι κατά κύριο λόγο για αυτό θα είναι τα πρώτα μηνύματα.
(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ//ΜΟΝΟ ΓΙΑ ΥΠΗΡΕΣΙΑΚΗ ΧΡΗΣΗ) Αν υπάρχουν κάποια θέματα που θέλει να δει συγκεκριμένα κάποιος, πείτε μου. Επίσης, αν κάποια από τις παρακάτω πληροφορίες είναι χρήσιμη, παρακαλώ ενημερώστε με για να βγάλω περισσότερα. Μέρος 2 – Κυνηγαώ διαχειριστές συστημάτων έρχεται σύντομα!
=====================================================
Ανάλυση: (U) I hunt sys admins (part 2)
Η διαβάθμιση είναι ασφαλώς ίδια με το προηγούμενο μέρος και εστάλει την ίδια ημέρα (Πέμπτη 12 Δεκεμβρίου 2012) στις 12:42 το μεσημέρι. Εδώ ξεκινάμε να μπαίνουμε σε μεγαλύτερο βάθος του τι κάνει στη καθημερινή του εργασία αυτός ο συνάδελφος του Έ. Σνόουντεν.
Και το παραπάνω μήνυμα αυτό μεταφρασμένο στα Ελληνικά μπορείτε να το διαβάσετε στη συνέχεια.
=====================================================
(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ//ΜΟΝΟ ΓΙΑ ΥΠΗΡΕΣΙΑΚΗ ΧΡΗΣΗ) Αυτή η ανάρτηση έχει σκοπό να παρέχει υπόβαθρο στο *γιατί* οι διαχειριστές συστημάτων είναι καλός στόχος για Υποκλοπές Σημάτων. Αν το γνωρίζετε ήδη, μπορείτε να παραλείψετε αυτό το μέρος και να προχωρήσετε στα επόμενα.
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ως μέλος της Ανάλυσης Υποκλοπών Σημάτων, ο γενικός μας στόχος είναι η να παράγουμε πληροφορίες που θα δωθούν σε άτομα που θα πάρουν αποφάσεις. Πως θα το κάνουμε αυτό, είναι όταν ο στόχος χρησιμοποιεί τεχνολογία για επικοινωνία, τη συλλέγουμε, αναλύουμε, και γράφουμε αναφορές για αυτή. Ακούγεται αρκετά εύκολο… εκτός όμως του ότι πρέπει να στοχεύουμε στα δίκτυα από τα οποία θα συλλέξουμε. Δε μπορούμε να συλλέγουμε τα πάντα συνέχεια, άρα αν ο στόχος αρχίσει να επικοινωνεί από ένα δίκτυο που δεν συλλέγουμε, θα υπάρχει κάποια χειρωνακτική εργασία που θα πρέπει να γίνει με τα πόδια για την οδήγηση του Τμήματος Υποκλοπών στη σωστή κατεύθυνση. Εδώ είναι το σημείο που θα συστήσω τους καλούς μου φίλους, τους διαχειριστές συστημάτων.
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Εκ των προτέρων, οι διαχειριστές συστημάτων δεν είναι ο τελικός μου στόχος. Ο τελικός μου στόχος είναι εξτρεμιστές/τρομοκράτες ή κυβερνητικοί που τυγχάνει να χρησιμοποιούν το δίκτυο που συντηρεί κάποιος διαχειριστής συστημάτων. Οι διαχειριστές συστημάτων είναι ένας δρόμος προς αυτό. Για παράδειγμα, υποθέτουμε ότι ο στόχος σας χρησιμοποιεί μία συσκευή κινητού τηλεφώνου σε ένα ξένο δίκτυο. Υπάρχουν περιπτώσεις όπου παθητικά συλλέγουμε τις κλήσεις/μηνύματα του προς τον κόσμο, αλλά θα ήταν *πραγματικά* πολύ ωραίο αν είχαμε πρόσβαση στις τοπικές εγκαταστάσεις από όπου θα μπορούσαμε να παρακολουθήσουμε σε ποιά κεραία είναι συνδεδεμένος κάθε στιγμή, ή να παρακολουθήσουμε όλη την κίνηση δεδομένων/κλήσεων που παράγει αυτή η συσκευή. Πολλές φορές, είναι δύσκολη η στοχευμένη υποδομή…γενικά θα χρειαστούμε ένα μεγάλο όγκο πληροφοριών για μία επιχείρηση, όπως:
* Τοπολογία του δικτύου που στοχεύουμε
* Στοιχεία πρόσβασης για τις συσκεύες του δικτύου
* Γνώση κατάστασης, όπως λίστες πρόσβασης που έχουν ρυθμιστεί ώστε να επιτρέπουν συγκεκριμένες ηλεκτρονικές διευθύνσεις IP να συνδεθούν σε συγκεκριμένες συσκευές για διαχείριση
* Γενική γνώση για το πως έχει στηθεί και ρυθμιστεί το δίκτυο
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Για να πάρουμε αυτά, ποιό είναι το ποιό κατάλληλο άτομο να στοχοποιήσουμε από αυτόν που κρατάει τα ‘κλειδία για το βασίλειο;’ Πολλές φορές, με το που βλέπω ένα στόχο να εμφανίζεται σε ένα νέο δίκτυο, ένας από τους πρώτους μου στόχους είναι, «Μπορούμε να κάνουμε Εκμετάλλευση Υπολογιστών για να πάρουμε πρόσβαση στους διαχειριστές συστημάτων σε αυτό το δίκτυο, έτσι ώστε να πάρουμε πρόσβαση στις εγκαταστάσεις που χρησιμοποιεί ο στόχος;»
«Ναι, γενικά είναι λογικό, αλλά πως θα εκμεταλευτείς τρωτά συστήματα για να πάρεις πρόσβαση σε έναν διαχειριστή συστημάτων;»
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Καλή ερώτηση, ευχαριστώ που ρώτησες. Τις περισσότερες φορές θα βασιστώ στο πρόγραμμα QUANTUM για να πάρω πρόσβαση στο λογαριασμό τους (ναι, θα μπορούσα να δοκιμάσω διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομίου, αλλά οι άνθρωποι έχουν γίνει εξυπνότεροι τα τελευταία 5-10 χρόνια… δεν είναι αξιόπιστο πια). Λοιπόν, για να βάλουμε σε λειτουργία τα μαγικά μας με το QUANTUM σε έναν διαχειριστή συστημάτων, θέλουμε κάποιου είδους στοιχεία ηλεκτρονικού ταχυδρομίου/facebook για αυτόν.
«Ξέρεις, θα *μπορούσες* απλά να δεις το ‘σημείο επαφής’ στη καταγραφή πληροφοριών που σχετίζεται με το εύρος διευθύνσεων IP/ονόματα διαδικτύου που έχουν…»
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ναι, θα μπορούσες να το κάνεις αυτό. Προσωπικά, δεν είχα και τεράστια επιτυχία με αυτό, γιατί τις περισσότερες φορές τύχαινε να βρίσκω την *επίσημη* διεύθυνση ηλεκτρονικού ταχυδρομίου τους που φιλοξενείται στο δίκτυο τους. Αυτό γενικά δεν είναι συνταγή επιτυχίας στο κόσμο του QUANTUM, αυτό που πραγματικά θα θέλαμε είναι μία προσωπική διεύθυνση ηλεκτρονικού ταχυδρομίου ή ένα λογαριασμό facebook στο στόχο. Υπάρχουν μερικοί τρόποι να το δοκιμάσεις αυτό: να ψάξεις στα σκουπίδια του τμήματος υποκλοπών για εναλλακτικές πληροφορίες, ή να κάνεις έξυπνες αναζητήσεις στο Google για να βρεις αν έχουν ποτέ αναρτήσει σε φόρουμ ή λίστες την επίσημη και ανεπίσημη διεύθυνση ηλεκτρονικού ταχυδρομίου σε κάποια υπογραφή… αλλά τι θα γίνονταν αν υπήρχε κάποιος καλύτερος τρόπος να το κάνεις;
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Άλλα διασκεδαστικά (εννοώ: χρήσιμα) πράγματα να βρεις για έναν διαχειριστή συστημάτων (από την δικιά μου οπτική γωνία) είναι:
* Σχέδια του δικτύου από τους σκληρούς δίσκους τους
* Στοιχεία πρόσβασης από αρχεία (από τα προγράμματα μας καταγραφής πλήκτρων)
* Πλήρης λίστες πελατών (ακόμα καλύτερα μαζί με τις ηλεκτρονικές διευθύνσεις τους)
* Ηλεκτρονικές συνομιλίες με εταιρίες που δίνουν λεπτομερή στοιχεία για το πως συνδέεται το εταιρικό δίκτυο με το διαδίκτυο. Συλλογή των επικοινωνιών τους. Αν συνδέονται με δορυφορικό ίντερνετ (VSAT) θα ψάξω το δίκτυο τους στο περιβάλλον του προγράμματος μας FORNSAT.
* Φωτογραφίες με γάτες σε αστείες στάσεις με διασκεδαστικές ατάκες
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Αλλά όλα αυτά καταλήγουν στην ανακάλυψη μιας διεύθυνσης ηλεκτρονικού ταχυδρομίου ή λογαριασμού facebook ώστε το πρόγραμμα QUANTUM να την πάρει και να εκμεταλλευτεί τα τρωτά σημεία και να δώσει πρόσβαση στον υπολογιστή του. Η επόμενη ενότητα θα αναλύσει τη στοχοποίηση διαχειριστών συστημάτων που χρησιμοποιούν telnet…
=====================================================
Ανάλυση: (U) I hunt admins that use telnet (part 3)
Το τρίτο μέρος έφτασε επίσης την ίδια ημέρα αλλά στις 16:09 και αφορά τους διαχειριστές συστημάτων που συνδέονται στα συστήματα που συντηρούν μέσω του προγράμματος πρόσβασης telnet. Σήμερα όλο και λιγότεροι το χρησιμοποιούν καθώς τα δεδομένα μεταφέρονται μη-κρυπτογραφημένα και οποιοσδήποτε βρίσκεται στο δίκτυο μπορεί να τα υποκλέψει με πολύ απλό τρόπο. Το μήνυμα ολόκληρο ήταν το παρακάτω.
Και αντίστοιχα, το παραπάνω μήνυμα μεταφρασμένο στα Ελληνικά μπορείτε να το διαβάσετε ακριβώς εδώ.
=====================================================
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Αν ένας στόχος βρίσκεται σε ένα δίκτυο που δεν έχω πρόσβαση, στη προηγούμενη ανάρτηση περιέργραψα ότι θα προσπαθήσω να πάρω πρόσβαση σε αυτό το δίκτυο στοχοποιώντας τον διαχειριστή συστημάτων. Για να στοχοποιήσω το διαχειριστή συστμάτων, είναι πιο εύκολο αν γνωρίζω την προσωπική διεύθυνση ηλεκτρονικου ταχυδρομίου του ή λογαριασμό facebook ώστε να του επιτεθώ με το πρόγραμμα QUANTUM. Το πιο δύσκολο κομμάτι είναι η ανακάλυψη του λογαριασμού του διαχειριστή συστημάτων που θα στοχεύσεις.
Τώρα, φύγε μαζί μου στη χώρα των ονείρων. Προσποιήσου ότι είχαμε μία βασική λίστα. Αυτή η βασική περιέχει τόνους από δίκτυα σε όλο τον κόσμο, και τους προσωπικούς λογαριασμούς των διαχειριστών συστημάτων του κάθε δικτύου. Και κάθε φορά που θέλεις να στοχεύσεις ένα νέο δίκτυο, απλώς βρίσκεις τον διαχειριστή που σχετίζεται με αυτό, βάζεις το λογαρισμό του στο QUANTUM, παίρνεις πρόσβαση στον υπολογιστή του και συνέχιζεις να παίρνεις πρόσβαση στο δίκτυο του. Δε θα ήταν υπέροχο;
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Καλά, σταματήστε να ονειρεύεστε φίλοι μου, νομίζω είναι δυνατό (τουλάχιστον εν μέρη). Και θα αρχίσουμε αυτή τη προσπάθεια κυνηγώντας διαχειριστές που χρησιμοποιούν telnet. Σε αυτό το σημείο, ελπίζω να λέτε, «Telnet?! Telnet?! Κανένας δεν πρέπει να χρησιμοποιεί telnet ακόμα!» Αυτή είναι σωστή αντίδραση, ωστόσο, το telnet (ως εργαλείο διαχείρισης στο διαδίκτυο) είναι ζωντανό και μια χαρά. Στη πραγματικότητα, είναι τόσο καλά και ζωντανό, που το πρόγραμμα μας DISCOROUTE είναι ένα εργαλείο που έχει σχεδιαστεί ώστε παθητικά να συλλέγει στοιχεία πρόσβασης από δρομολογητές που χρησιμοποιούν telnet και να τα καταγράφει μαζί με τα αρχεία ρύθμισης τους σε μία βάση δεδομένων (για την ιστορία, το DISCOROUTE είναι φοβερό, και θα πρέπει να το δοκιμάσετε αν έχετε ίχνος αγάπης για τις υποκλοπές σημάτων). Λοιπόν, τι να κάνουμε με τα αρχεία ρύθμισης των δρομολογητών;
Φίλε! Κατέγραψε όλα τα δίκτυα!!!
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ναι, αυτό είναι σίγουρα χρήσιμο να το κάνουμε με όλα τα αρχεία ρύθμισης των δρομολογητών, και είναι κάτι που πρέπει να γίνει. Αλλά η κατανόηση της τοπολογίας του δικτύου δεν είναι απαραίτητο ότι θα μας δώσει πρόσβαση σε αυτό το δίκτυο… όπως προανέφερα, η πρόσβαση στον υπολογιστή ενός διαχειριστή συστημάτων είναι συνήθως το χρυσό εισιτήριο στο δίκτυο. Λοιπόν, αυτό δημιουργεί ένα ερώτημα:
«Πως μπορούμε να χρησιμοποιήσουμε το αρχείο ρυθμίσεων του δρομολογητή για να ανακαλύψουμε τη προσωπική διεύθυνση ηλεκτρονικού ταχυδρομίου ή λογαριασμό facebook ενός διαχειριστή συστημάτων;»
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Για να το δείξω αυτό, τυχαία επέλεξα ένα δρομολογητή στη Κένυα… ο σύνδεσμος είναι ΟΧΙ ΓΙΑ ΞΕΝΟΥΣ, για αυτό στείλτε μου e-mail αν θέλετε να δείτε ολόκληρο το αρχείο ρύθμισης δρομολογητή. Για τώρα, απλώς κάνετε αντιγραφή/επικόλληση των σχετικών πεδίων. Πιθανές ασφαλείς υποθέσεις:
* Έχουμε ένα δρομολογητή, και αυτός ο δρομολογητής έχει έναν διαχειριστή
* Εφόσον έχουμε τα στοιχεία στο DISCOROUTE, ο διαχειριστής χρησιμοποιεί telnet για να συνδεθεί
* Ο διαχειριστής μάλλον δεν θέλει ο καθένας να μπορεί να συνδεθεί στο δρομολογητή
* Ο διαχειριστής ίσως να έχει ρυθμίσει λίστα πρόσβασης ώστε μόνο η δική του ηλεκτρονική διεύθυνση IP να μπορεί να συνδεθεί στο δρομολογητή
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Για την ώρα αυτές φαντάζουν αρκετά ασφαλείς υποθέσεις. Τώρα, ας δούμε πως αυτές εφαρμόζονται στο παράδειγμα μας με το δρομολογητή από τη Κένυα (αν δεν είστε γνώστης ρυθμίσεων δρομολογητών, μην ανησυχείτε, θα είναι πολύ απλό):
1) Πρώτον, ας δούμε το τερματικό vty (εννοώ το telnet) στις ρυθμίσεις του δρομολογητή, και αν υπάρχει λίστα πρόσβασης που να σχετίζεται με αυτό.
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ναι, για όλες τις συνδέσεις telnet, εφαρμόζεται η λίστα πρόσβασης #11… που βασικά σημαίνει, αν θέλεις να συνδεθείς με telnet σε αυτό το δρομολογητή, πρέπει να πληρείς τα κριτήρια που θέτει αυτή η λίστα πρόσβασης. (Ω, προτού το ξεχάσω, οι κωδικοί πρόσβασης με κρυπτογράφηση τύπου 7 είναι γελοίο να σπάσουν. Μπορείς να ψάξεις στο Google ‘cisco password 7 cracker’ και να βρεις σελίδες που σου επιτρέπουν να βάλεις το κρυπτογραφημένο κωδικό, και να το σπάσουν δωρεάν… ο καθένας μπορεί να βρει τον κωδικό πρόσβασης από αυτό το δρομολογητή. Και απλά για πλάκα, ο κωδικός πρόσβασης διαχειριστή για αυτό το δρομολογητή είναι επίσης κρυπτογραφημένος με τύπου 7!).
2) …τέλος πάντων, συνεχίζουμε με το λίστα πρόσβασης #11:
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Καλά, αυτό είναι σχετικά αυτονόητο. Αν θέλεις πρόσβαση με telnet σε αυτό το δρομολογητή, πρέπει να συνδέεσαι από μία από τις διευθύνσεις IP που επιτρέπει. Όσοι γνωρίζουν από δίκτυα γρήγορα θα κατάλαβαν, ότι ακόμα και αν έχεις τα στοιχεία πρόσβασης, και ξέρεις τις επιτρεπόμενες διευθύνσεις IP, ΔΕ ΜΠΟΡΕΙΣ απλώς να ξεγελάσεις τη διεύθυνση IP αποστολέα για να προσπαθήσεις να συνδεθείς στο δρομολογητή… διότι δε θα πάρεις ποτέ τις απαντήσεις. Γι’αυτό πρέπει στη πραγματικότητα να πάρεις πρόσβαση σε αυτές τις διευθύνσεις IP και να συνδεθείς σε αυτό το δρομολογητή από αυτές. Κατανοητό; Μμ.. καλά
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Θέλω λίγο να ρίξω ακόμα μία ματιά στις υποθέσεις μας παραπάνω. Υποθέσαμε ότι ένας διαχειριστής θα αφήσει τον εαυτό του να συνδεθεί, αλλά όχι άλλους. Έτσι, βάση αυτής της υπόθεσης και των πληροφοριών από το αρχείο ρυθμίσεων, μπορούμε να κάνουμε την εξής υπόθεση:
«Οι διεθύνσεις IP σε αυτή τη λίστα πρόσβασης πιθανόν ανήκουν σε οντότητες που διαχειρίζονται αυτό το δίκτυο της Κένυας.»
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ελπίζω αυτό να ακούγεται λογικό. Εδώ είναι το διασκεδαστικό κομμάτι… Γιατί να μην πάρουμε αυτές τις διευθύνσεις IP, και να ψάξουμε για *οποιονδήποτε* που ενεργά συνδέεται στους λογαριασμούς hotmail/yahoo/facebook/κτλ. από αυτές στο πρόσφατο παρελθόν; Με ότι αποτελέσματα έχεις, ξέρεις ότι έχεις μία πιθανή λίστα προσωπικών λογαριασμών από διαχειριστές αυτού του δικτύου της Κένυας! Από εδώ, αν θέλεις πρόσβαση σε αυτό το δίκτυο, απλά πάρε αυτά τα στοιχεία, βάλε τα στο QUANTUM, και συνέχισε με την επίθεση. Ζήτω! /εγώ πετάω κομφετί στον αέρα
«Καλά, αυτό ακούγεται σχετικά λογικό, αλλά και πάλι απαιτεί αρκετή δουλειά…»
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ναι, έχεις δίκιο… Αλλά εδώ έρχεται να μας σώσει η τεχνολογία «cloud» (ναι, το είπα, σταυρώστε με)… Όλα τα δεδομένα του DISCOROUTE είναι αποθηκευμένα στο GM-PLACE cloud της NSA. Όλα τα Atomic SIGINT Data Format (ASDF) αποθηκεύονται στο GM-PLACE cloud (τα ASDF είναι τα μετα-δεδομένα που παράγονται για σχεδόν κάθε επικοινωνία που συλλέγουμε στο μεγάλο κακό παθητικό σύστημα υποκλοπών μας). Έτσι, το μόνο που θα πρέπει να κάνει κάποιος είναι να γράψει ένα πρόγραμμα για ανάλυση που θα κάνει το παρακάτω:
-1) Διάβασε όλα τα αρχεία ρύθμισης δρομολογητών από το DISCOROUTE
—-1a) Βρες κάθε δρομολογητή που έχει λίστα πρόσβασης για επικοινωνία με telnet
—-1b) Δες τη λίστα πρόσβασης, σύλλεξε τις διευθύνσεις IP
—-1c) Αποθήκευσε αυτές τις διευθύνσεις σε μία λίστα
-2) Διάβασε όλα τα στοιχεία Ενεργών Χρηστών στο ASDF
—-2a) Ψάξε για πρόσβαση από Ενεργό Χρήστη από αυτές τις διευθύνσεις
—-2b) Πάρε όλους τους λογαριασμούς που βρήκες και αποθήκευσε τους σε μία λίστα
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Έτσι, συνδυάζοντας όλες αυτές τις πληροφορίες, καταλήγεις με μία λίστα από διευθύνσεις IP που πιθανόν ανήκουν σε διαχειριστές συστημάτων καθώς και μία λίστα από προσωπικούς λογαριασμoύς αυτών των διαχειριστών. Το μόνο που έχεις να κάνεις είναι να αποθηκεύσεις αυτές τις πληροφορίες σε μία βάση δεδομένων κάπου, και έχεις μία λίστα από δίκτυα μαζί με προσωπικούς λογαριασμούς από πιθανούς διαχειριστές των δικτύων αυτών! Έπειτα, όταν κάποιο από αυτά τα δίκτυα στοχοποιηθεί, όλη η επιχείρηση απόκτησης πρόσβασης είναι να ερωτηθεί αυτή η βάση δεδομένων, δες αν έχουμε κάποιο διαχειριστή ήδη για αυτό το δίκτυο, και αν έχουμε, αυτόματα στείλε τα στοιχεία του και έφυγες-έφυγες-Εκμετάλλευση Τρωτών Υπολοστικών Συστημάτων!
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Όλα αυτά μπορούν να γίνουν παίζοντας με τα δεδομένα που ήδη έχουμε στα δάχτυλα μας!!! Θυμηθείτε, το «Πρόβλημα τεχνολογίας Big Data» που έχουμε είναι ότι έχουμε πάρα πολλά δεδομένα… Το μόνο που έχουμε να κάνουμε είναι να βρούμε τρόπους να πάρουμε ανόμοια δεδομένα που δεν είναι σημαντικά από μόνα τους, αλλά όταν τα ενώσεις με το σωστό τρόπο γίνονται απλά φοβερά!
«Ναι, καλά, αυτά είναι ωραία, αλλά αυτό βασίζεται στους διαχειριστές που δεν είναι καλοί και χρησιμοποιούν telnet. *Εγώ* δε χρησιμοποιώ telnet και οι περισσότεροι που γνωρίζω δε χρησιμοποιούν telnet, δε θα μπορούσε ποτέ να μας εντοπίσει!»
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Σωστή παρατήρηση, αυτή η τεχνική ανάλυσης βασίζεται σε διαχειριστές που χρησιμοποιούν telnet. ΩΣΤΟΣΟ, έχω μία ιδέα για το πως να εντοπίσεις προσωπικούς λογαριασμούς από διαχειριστές που χρησιμοποιούν και SSH επίσης, για το οποίο θα μιλήσω στην επόμενη ανάρτηση μου (Κυνηγάω διαχειριστές που χρησιμοποιούν SSH)!
Διάθεση: Δολοπλοκίας
=====================================================
Ανάλυση: (U) I hunt admins that use SSH (part 3)
Το τρίτο μέρος εστάλει την επόμενη ημέρα (Πέμπτη 13 Δεκεμβρίου 2012) στις 14:41 το μεσημέρι και αφορά αντίστοιχη τεχνική ανάλυσης για την ανακάλυψη στοιχείων διαχειριστών συστημάτων που όμως χρησιμοποιούν το εργαλείο απομακρυσμένης διαχείρισης SSH που προσφέρει κρυπτογράφηση. Το SSH είναι το πιο συχνά χρησιμοποιούμενο εργαλείο σε αυτή τη κατηγορία σήμερα και για αυτό το λόγο όλο το έγγραφο έχει διαβάθμιση ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ. Βλέπετε το αυθεντικό μήνυμα εδώ.
Και εν συνεχεία είναι η μεταφρασμένη στα Ελληνικά έκδοση του.
=====================================================
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Καλώς ήρθες και πάλι σύντροφε! Χαίρομαι που σε ξαναβλέπω. Για να ξέρεις, μίλησα σε προηγούμενη ανάρτηση γιατί στοχεύω διαχειριστές συστημάτων όταν θέλω πρόσβαση σε ένα δίκτυο, και μίλησα στη προηγούμενη ανάρτηση για το πως μπορούμε να μάθουμε προσωπικά στοιχεία διαχειριστών συστημάτων (για στοχοποίηση) βασιζόμενοι σε αρχεία ρυθμίσεων δρομολογητών που παθητικά συλλέγουμε από συνδέσεις telnet. Αυτό ικετεύει για την προφανή ανταπάντηση:
«Ναι, αλλά αυτό δε θα δούλευε καν ενάντια σε έναν διαχειριστή που χρησιμοποιεί SSH, γιατί ποτέ δε θα βλέπαμε το περιεχόμενο από το αρχείο ρυθμίσεων! Είναι κρυπτογραφημένο!»
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Αυτό είναι απολύτως σωστό, ωστόσο, Επιλογές Υπάρχουν! Ακόμα πιστεύω ότι είναι δυνατό να εντοπίσεις το προσωπικό λογαριασμό ενός διαχειριστή (μερικές φορές) ακόμα και αν χρησιμοποιούν SSH. Πρώτον, αν δεν γνωρίζεται το SSH, παρακαλώ δείτε τις πληροφορίες που ευγενικά ανάρτησε μία από τις αγαπημένες μου διαδικτυακές προσωπικότητες, ███████████, βρίσκεται εδώ.
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Προτού δούμε τη μεθοδολογία, ας μιλήσουμε για το SSH για ένα λεπτό, και για κάποιες υποθέσεις που θα κάνουμε (εκ τον προτέρων προειδοποίηση: Υποθέτω ότι ψάχνουμε για SSH στην εικονική πόρτα 22. Είμαι σίγουρος ότι υπάρχουν τρόποι να το βρούμε και σε άλλες πόρτες, αλλά απλά για σαφήνεια, θα αναφέρομαι στις συνδέσεις SSH όπως ορίζονται για την εικονική πόρτα 22). Ας υποθέσουμε ότι χρησιμοποιείς SSH για να συνδεθείς σε έναν εξυπηρετητή.
(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ//ΜΟΝΟ ΓΙΑ ΥΠΗΡΕΣΙΑΚΗ ΧΡΗΣΗ) Υποθέτουμε ότι ο εξυπηρετητής στη διεύθυνση 1.2.3.4 έχει SSH που λειτουργεί στην εικονική πόρτα 22, θα ολοκληρώσει τα 3 στάδια σύνδεσης TCP, και ο εξυπηρετητής θα σου επιστρέψει κάποια πακέτα δεδομένων και κάτι σαν το παρακάτω μπορεί να εμφανιστεί:
(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ//ΜΟΝΟ ΓΙΑ ΥΠΗΡΕΣΙΑΚΗ ΧΡΗΣΗ) Εδώ είναι το σημείο που γράφεις το όνομα χρήστη… Θα προσποιηθούμε ότι έγραψες ‘admin’ και πάτησες Enter. Εν συνεχεία παίρνεις αυτό:
(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ//ΜΟΝΟ ΓΙΑ ΥΠΗΡΕΣΙΑΚΗ ΧΡΗΣΗ) Καλά, εδώ είναι το σημείο που το λάστιχο ακουμπάει στο δρόμο. Μία από τις δύο επιλογές υπάρχουν. Ή έχεις το σωστό κωδικό πρόσβασης, ή όχι. Ας αναλύσουμε τι θα συμβεί κάτω από κάθε περίπτωση. Αρχικά, ας προσποιηθούμε ότι ΔΕΝ έχεις το σωστό κωδικό πρόσβασης. Προσπαθείς ‘admin’ ως κωδικό πρόσβασης και πατάς Enter:
(ΧΩΡΙΣ ΔΙΑΒΑΘΜΙΣΗ//ΜΟΝΟ ΓΙΑ ΥΠΗΡΕΣΙΑΚΗ ΧΡΗΣΗ) Αν μαντεύεις τον κωδικό πρόσβασης, έχεις πιθανόν 3 προσπάθειες προτού ο εξυπηρετητής κλείσει τη σύνδεση σου, και θα πρέπει να επανασυνδεθείς ξανά. Ωστόσο, αν έχεις το σωστό κωδικό πρόσβασης, συνδέεσαι, μπορείς να εκτελέσεις εντολές για να κάνεις ότι θέλεις, και ο εξυπηρετητής θα επιστρέφει αποτελέσματα για όλες τις εντολές που πληκτρολογείς.
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ξέρω, αυτό ακούγεται πολύ απλό, αλλά αυτό έχει σημασία. Σκέψου πως θα φαίονταν όλο αυτό από το παθητικό σύστημα υποκλοπών μας. Πιθανότατα θα βλέπαμε κρυπτογραφημένα δεδομένα ανάμεσα από δύο διευθύνσεις IP, μία από τις εικονικές πόρτες θα ήταν η 22 (θα πούμε ότι αυτός είναι ο εξυπηρετητής). Τα δεδομένα ΠΡΟΣ ΤΗ ΠΟΡΤΑ 22 (στην πελάτης προς εξυπηρετητή κατεύθυνση) θα αποτελούνται από ένα όνομα χρήστη, ένα κωδικό πρόσβασης, και εντολές που πληκτρολογεί ο χρήστης (αν υποθέσουμε ότι ο χρήστης συνδέθηκε με επιτυχία). Για τα δεδομένα ΑΠΟ ΤΗ ΠΟΡΤΑ 22, λοιπόν… Εξαρτάται.
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Αν ο χρήστης δεν έχει τα σωστά στοιχεία, θα περιμένουμε την κατεύθυνση εξυπηρετητή προς πελάτη να αποτελείται από:
1) Αποστολή προειδοποιητικού μηνύματος
2) Αποστολή πεδίου εισαγωγής ονόματος χρήστη
3) Αποστολή πεδίου εισαγωγής κωδικού πρόσβασης
4) Δεύτερη αποστολή πεδίου εισαγωγής κωδικού πρόσβασης
5) Τρίτη αποστολή πεδίου εισαγωγής κωδικού πρόσβασης
6) Κλείσιμο της σύνδεσης αναγκάζοντας τον πελάτη να επανασυνδεθεί
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Αν ο χρήστης έχει τα σωστά στοιχεία σύνδεσης, ίσως να περιμένουμε η κατεύθυνση εξυπηρετητή προς πελάτη να αποτελείται από
1) Αποστολή προειδοποιητικού μηνύματος
2) Αποστολή πεδίου εισαγωγής ονόματος χρήστη
3) Αποστολή πεδίου εισαγωγής κωδικού πρόσβασης
4) Πέρασε; Αποστολή του αποτελέσματος από ότι εντολές πληκτρολογεί ο χρήστης
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Άρα, καθαρά βασισμένοι στη παραπάνω εκτίμηση, θα περιμέναμε οι αποτυχημένες προσπάθειες θα είναι πάντα μικρότερες (αυτό ως, αριθμός Bytes που μεταδόθηκαν) στην επικοινωνία της κατεύθυνσης από εξυπηρετητή προς τον πελάτη. Ωστόσο, επιτυχημένες προσπάθειες θα έχουν διαφορετικά μεγέθη, αλλά πιθανόν και σταθερά μεγαλύτερο μέγεθος (σε Bytes που μεταδόθηκαν) σε σύγκριση με τις αποτυχημένες προσπάθειες. Έτσι, μία υπόθεση που προτείνω είναι η εξής:
Μπορείς να υπολογίσεις-μαντέψεις πότε μία σύνδεση SSH ήταν επιτυχημένη ή όχι *ΚΑΘΑΡΑ* βασιζόμενος στο μέγεθος της επικοινωνίας από τον εξυπηρετητή προς τον πελάτη.
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Λοιπόν, φαντάσου ότι κάνεις κάποια ανάλυση, και καταλήγεις ότι 1500 Bytes είναι περίπου ένας καλός αριθμός για να χωρίζεις επιτυχημένες από αποτυχημένες συνδέσεις SSH. Κάθε SSH σύνδεση από τον εξυπηρετητή προς τον πελάτη κάτω από αυτό το νούμερο είναι μάλλον αποτυχημένη προσπάθεια, και κάθε SSH σύνδεση από τον εξυπηρετητή προς τον πελάτη πάνω από αυτό το μέγεθος είναι μάλλον επιτυχημένη προσπάθεια. Τι θα μπορούσες να κάνεις, οπλισμένος με γνώση σαν αυτή;
1) Θα μπορούσες να κάνεις λίστες από διευθύνσεις IP που συστηματικά κάνουν αποτυχημένες προσπάθειες σύνδεσης SSH σε διαφορετικούς εξυπηρετητές. Μετά θα μπορούσες να τους βάλεις σε μία λίστα από, «πιθανούς χρήστες που μαντεύουν/προσπαθούν να πάρουν πρόσβαση».
2) Θα μπορούσες επίσης να δημιουργήσεις λίστες από IP διευθύνσεις που φαίνεται να κάνουν επιτυχημένες SSH συνδέσεις σε εξυπηρετητές. (αχχχ, ναι, εδώ είναι που μπορούμε να περάσουμε καλά)
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Είμαι σίγουρος ότι υπάρχει πληθώρα πραγμάτων που μπορείς να κάνεις με τέτοιου είδους δεδομένα, αλλά ενδιαφέρομαι ιδιαίτερα για το #2 αυτή τη στιγμή. Βασισμένος καθαρά στα:
* ΑΠΟ την εικονική πόρτα 22
* Μέγεθος επικοινωνίας πάνω από 1500 Bytes
Μετά μπορώ να συμπεραίνω:
* IP διεύθυνση προορισμού = διαχειριστής
* IP διεύθυνση αποστολέα = εξυπηρετητής/δρομολογητής
* Ο διαχειριστής φαίνεται να έχει επιτυχημένη πρόσβαση
«Και;»
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Από εδώ, χρειάζεται απλώς να ανακυκλώσω τη μεθοδολογία μου από την προηγούμεη ανάρτηση! Μπορώ να ψάξω ΟΛΕΣ ΤΙΣ ΥΠΟΚΛΟΠΕΣ για συνδέσεις που ταιριάζουν με αυτά τα κριτήρια, να θερίσω μία λίστα «διευθύνσεων διαχειριστών», να τη χρησιμοποιήσω για να ψάξω όλα τα ASDF για οποιονδήποτε Ενεργό Χρήστη που έκανε συνδέσεις περίπου εκείνη την ώρα που γίνονταν η σύνδεση SSH, και τώρα έχω μία λίστα από προσωπικούς λογαριασμούς χρηστών που είναι μάλλον διαχειριστές της διεύθυνσης IP του εξυπηρετητή. Έτσι αν η διεύθυνση IP του εξυπηρετητή είναι ποτέ στο εύρος από κάποιο δίκτυο που θέλω πρόσβαση, δε χρειάζεται να αποκρυπτογραφήσω τη σύνδεση SSH του διαχειριστή, το μόνο που έχω να κάνω είναι να ελπίζω ότι κοίταξε το λογαριασμό facebook ή το ηλεκτρονικό του ταχυδρομίο περίπου την ίδια ώρα. Αν το έκανε, τα στοιχεία του θα σταλούν στο QUANTUM, και θα περιμένουμε για να πάρουμε πρόσβαση σε αυτό τον υπολογιστή.
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Ένας από τους λόγους για τους οποίους κοιτάω για Ενεργές Συνδέσεις περίπου την ίδια ώρα της SSH σύνδεσης, είναι γιατί θέλω να βρω λογαριασμούς που σχετίζονται με τον διαχειριστή συστημάτων, και όχι κάποιο τυχαίο άτομο που έτυχε να πάρει την ίδια διεύθυνση IP από το DHCP του παρόχου του κάποια άλλη ημέρα (ή κάτι τέτοιο).
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Οι προηγούμενες αναρτήσεις μας έδειξαν μερικούς διασκεδαστικούς τρόπους να θερίσουμε τη δύναμη του συστήματος υποκλοπών για να στοχεύσουμε διαχειριστές συστημάτων σε ξένα δίκτυα. Η επόμενη ανάρτηση μου θα δείξει έναν εξαιρετικά απλό τρόπο για να εντοπίζουμε πότε άλλοι άνθρωποι πέραν των εξουσιοδοτημένων διαχειριστών συστημάτων έχουν πρόσβαση σε ένα δρομολογητή (ω ναι, βρες μου λίγο κυβερνοχώρο!).
(ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Είμαι σίγουρος ότι υπάρχουν και άλλοι διασκεδαστικοί και καινοτόμοι τρόποι για αυτό, σας παρακαλώ να τους μοιραστείτε αν νομίζεται ότι υπάρχουν. Επίσης είστε ελεύθεροι να πάρετε οποιαδήποτε από τις παραπάνω σκέψεις/ιδέες και να τη χρησιμοποιήσετε για δικούς σας σκοπούς (όπως η Ασφάλεια Πληροφοριών της NSA που συντηρεί μία λίστα από διευθύνσεις IP που κάνουν αποτυχημένες προσπάθειες σύνδεσης στο σύστημα υποκλοπών;). Όπως πάντα, αν έχετε κάποια ερώτηση, ή θέλετε περισσότερες πληροφορίες, στείλτε μου ένα e-mail ή αφήστε ένα σχόλιο.
Διάθεση: πολύ όμορφος
=====================================================
Ανάλυση: (S//SI//REL) I hunt people who hack routers (part 5)
Η τελευταία ανάρτηση που διέρρευσε από το εν λόγω άτομο έγινε τη Παρασκευή 14 Δεκεμβρίου 2012 ώρα 13:08 το μεσημέρι και είναι το πέμπτο και τελευταίο μέρος της σειράς του. Ο τίτλος της είναι «Κυνηγάω ανθρώπους που κάνουν χάκινγκ σε δρομολογητές» και μπορείτε να το δείτε ολόκληρο εδώ.
Και όπως και στα προηγούμενα, μεταφρασμένο στα Ελληνικά είναι διαθέσιμο παρακάτω.
=====================================================
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Καλή Παρασκευή να έχετε αγαπητοί και πολύτιμοι συνάδελφοι της κοινότητας των υπηρεσιών πληροφοριών! Υπάρχει ένα θέμα συζητήσεων που άρχισε να ακούγεται στο χώρο των κυβερνο-επιθέσεων τελευταία, είναι για το χάκινγκ σε δρομολογητές (για αυτή την ανάρτηση, δεν μιλάω για τον οικιακό ADSL δρομολογητή, μιλάω για μεγάλους δρομολογητές, όπως CISCO/Juniper/Huawei που χρησιμοποιούν οι πάροχοι υπηρεσιών διαδικτύου (ISP) για τις υποδομές τους). Το χάκινγκ σε δρομολογητές ήταν καλή δουλειά για εμάς και τις πέντε-χώρες συνεργάτες μας για αρκετό καιρό τώρα, αλλά είναι εμφανές ότι και άλλες χώρες ακονίζουν τις ικανότητες τους για να μπούν στο χώρο. Προτού μπω σε λεπτομέρειες, ας δούμε τα πράγματα που μπορεί να κάνει κάποιος που έχει πρόσβαση σε ένα δρομολογητή:
* Μπορείς να προσθέσεις χρήστες, ώστε να σου επιτρέπει να συνδεθείς όποτε θέλεις
* Μπορείς να προσθέσεις-αλλάξεις κανόνες δρομολόγησης
* Μπορείς να προσθέσεις υποκλοπή επικοινωνιών… Φαντάσου να τρέχεις το πρόγραμμα καταγραφής Wireshark στο δρομολογητή ενός ISP… για να καταγράφει όλα τα στοιχεία πρόσβασης που περνάνε από εκεί(!)
* Μπορείς να μειώσεις τα επίπεδα κρυτογράφησης όλων των εικονικών ιδιωτικών δικτύων (VPN) που περνάνε από εκεί ώστε να μπορείς εύκολα να τα αποκρυπτογραφείς
* Μπορείς να εγκαταστήσεις άλλη έκδοση του λογισμικού του ώστε να κάνει ότι ακριβώς χρειάζεσαι
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Υπάρχει πληθώρα από πράγματα που μπορείς να κάνεις όταν πάρεις μη εξουσιοδοτημένη πρόσβαση σε ένα δρομολογητή… Αρκεί να πω, η πρόσβαση σε δρομολογητή είναι πολύ καλή για τον θύτη, και πολύ κακή για το θύμα. Έτσι, φυσικα και θα ΛΑΤΡΕΥΑΜΕ να γνωρίζουμε ποιές χώρες/παίχτες έχουν πρόσβαση σε ποιούς δρομολογητές (ειδικά αν είναι οι δικοί μας δρομολογητές). Και εν συνεχεία έρχεται το ερώτημα:
«Πως μπορείς να εντοπίσεις ότι κάποιος έχει μη εξουσιοδοτημένη πρόσβαση σε ένα δρομολογητή;»
(ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ//ΥΠΟΚΛΟΠΕΣ ΣΗΜΑΤΩΝ//ΣΧΕΤΙΚΟ ΜΕ ΤΙΣ ΗΠΑ) Υπάρχουν αρκετοί τρόποι για να πεις αν κάποιος άλλος έχει πρόσβαση στο δρομολογητή σου. Όπως, αν έχεις το δικαίωμα να συνδέεσαι στο δρομολογητή σου, μπορείς να συνδέεσαι συχνά, να τρέχεις διαγνωστικά εργαλεία, να κατεβάζεις το λογισμικό που τρέχει (ή, πιο γενικά το αρχείο του λειτουργικού συστήματος), να υπολογίζεις το hash (μαθηματική πράξη) του, και να το συγκρίνεις με το hash της έκδοσης που θα έπρεπε να είναι. Αλλά, πως βρίσκεις αν κάποιος έχει μη εξουσιοδοτημένη πρόσβαση σε ένα δρομολογητή που δεν σου ανήκει; Πως θα αναγνωρίσεις αν οι Κινέζοι έχουν πρόσβαση σε ένα δρομολογητή στη Ζιμπάμπουε; Αν είχες όλα τα παθητικά δεδομένα κίνησης δικτύων που συλλέγει το σύστημα υποκλοπών μας, πως θα το έκανες εσύ;
=====================================================
Και δυστυχώς, σε αυτό το σημείο ο Έ. Σνόουντεν θεώρησε ότι δεν πρέπει να διαρρεύσει περεταίρω λεπτομέρειες καθώς όπως (κατά λέξη) είπε:
Η υπόλοιπη ανάρτηση αφορά μεθόδους της NSA για εντοπισμό χωρών που έχουν μη εξουσιοδοτημένη πρόσβαση σε δρομολογητές. Το αφαιρέσα για να αποτρέψω αυτές τις χώρες από το να βελτιώσουν τη δυνατότητα τους να κάνουν χάκινγκ σε ξένους δρομολογητές και να κατασκοπεύουν ανθρώπους απαρατήρητα.
ΗΠΑ
#NSA #Εναντίον #Διαχειριστών #Συστημάτων #Αμυντικά #και #Στρατιωτικά #Θέματα