Šodien es nodemonstrēšu, kā tieši hakeri pārtver datus starp lietotāju un serveri, piekļūstot klāt gan cilvēku privātajai informācijai, gan arī parolēm. Tas ir viens no baisākajiem drošības caurumiem, jo tam joprojām ir pakļauti lielākā daļa tīklu un arī iekārtu. Tāpat tas ir īpaši bīstams arī tāpēc, ka, lai tas varētu notikt, hakerim nav jānosūta lietotājam nekāds links, uz kuru viņam būtu jāuzspiež virsū. Hakeriem nav nepieciešama arī pieeja pie lietotāja datora. Viss, kas ir nepieciešams, hakerim ir jāatrodas vienā tīklā ar lietotāju.
Lielākā daļa tīklu strādā tā: ir interneta pieslēgums, aiz tā ir rūteris, kam parasti pieslēgti divi (vai vairāk) stacionārie datori, iespējams kāds portatīvais dators vai telefons caur Wi-Fi. Tātad, ja hakeris var uzminēt Wi-Fi paroli, vai arī viņš var ar vadu kādā brīvā portā pieslēgties šim tīklam klāt, viņš var pārķert datus no jebkuras no šīm tīklā pieslēgtajām iekārtām. Un viņš var ne tikai pārķert datus, bet arī pamanīt, kādi dati starp iekārtām tiek sūtīti. Šis drošības caurums saucās ARP spoofing. Tā ir metode, kā datoram vari izlikties, ka Tu esi rūteris, un tajā pašā laikā rūterim izliksies, ka Tu esi dators. Tādā veidā visa informācija, kas ies no vienas iekārtas uz otru, ies caur Tevi. Un Tu varēsi visu gan pārķert, gan arī izsekot.
Manā video piemērā parādīšu demonstrāciju. Man ir atvērts Kali Linux, kas strādā kā atsevišķa kastīte šajā lokālajā tīklā. Un man ir mans Windows dators. Es no Windows datora aiziešu uz lapu ambex.lv/projects/logintest/ un norādīšu lietotāja vārdu un paroli. Bet pirms to darīšu, es Kali Linux norādīšu, lai visa informācija, kas iet caur manu Windows datoru un rūteri, tiktu pārtverta, lai es varētu redzēt, kas tur notiek. Lai to izdarītu, es Kali Linux atvēršu ettercap-graphical programmu. Es norādīšu savu paroli, un es uzstādīšu, lai viņš izveido savienojumu. Tālāk es norādīšu, ka es vēlos noskenēt, kādi ir host šajā lokālajā tīklā. Un viņš atrod četrus host. Katram no tiem man tiek uzrādīta MAC adrese un IP adrese. Tātad es jau zinu, ka mana Windows datora IP adrese ir ar 102 beigās. Un es zinu, ka rūteris ir ar IP adresi, kam beigās ir 1. No tā es varu izsecināt, kurš host ir dators un kurš ir rūteris. Tagad es norādīšu, lai šis rūteris pienāk kā target 1. Es ar peli uzklikšķinu uz rūtera rindiņas un lejā nospiežu pogu Add to Target 1. Un mans Windows dators būs kā target 2. Es iezīmēju datora rindiņu un nospiežu pogu Add to Target 2 . Tagad es aktivizēšu ARP poisoning. Šādā veidā es aizsūtīju tādas samākslotas pakas gan uz rūteri, gan arī uz šo Windows datoru. Un tā es piemānīju viņus – rūterim pateicu, ka es esmu dators, bet datoram pateicu, ka es esmu rūteris. Līdz ar to visa informācija, kas ies starp rūteri un Windows datoru, ies caur manu Linux kastīti. Tagad es šajā Windows kastītē norādīšu, ka mani sauc Andris, un mana parole ir abc123456 un nospiežu Enter. Tagad es pārslēdzos uz šo Linux kastīti un es redzu, ka ir norādīts lietotājs Andris un parole abc123456. Es tikko pārķēru datus bez fiziskas piekļuves pie Windows iekārtai, man nevajadzēja nekādu paroli, un man nebija jāsūta nekāda informācija lietotājam. Būtībā es varu teikt, ka pilnīgi pasīvi esmu piekļuvis pie šīs informācijas.
Patiesībā ar šo ARP poisoning var realizēt ne tikai datu pārķeršanu, bet arī datu transformāciju. Tas ir mazliet sarežģītāk, bet tas arī ir iespējams. Bet svarīgākais, kas šeit jāsaprot, ir tas, ka šo lapu es atveru kā Not secure. Es to atvēru caur http protokolu, un tāpēc arī šie dati nav kriptēti. Ja šie dati būtu kriptēti (izmantojot https), nekas netiktu noķerts, jo šī programma nevarētu saprast, kas tur ir. Un tomēr jāņem vērā, ka arī gadījumā, kad izmantojam tikai kriptētus datus, hakeriem tāpat ir iespēja zināt, uz kādiem serveriem tieši dati tiek nosūtīti un no kādiem tiek saņemti, vai cik daudz šie dati ir kopumā.
Ir arī citas iespējas, piemēram, DNS poisoning, kad Tu vari izlikties par citu lapu. Lielākā daļa cilvēku, kas ielogojas Facebook, viņi pārlūka adreses laukā raksta facebook.com. Un problēma ir tāda, ka, ja Tavs pārlūks nav pietiekami gudrs, viņš nepāradresēs automātiski uz https lapu. Viņš no sākuma mēģinās atvērt http lapu. Un šajā brīdī hakerim būs iespēja aizvirzīt lietotāju uz savu lapu, kaut gan lapas adrese joprojām būs facebook.com. Šajā situācijā lietotājam ir ļoti grūti ievērot, ka tā ir viltus lapa, un viņš neapzināti padarītu redzamus savus datus hakerim.
Ko varam darīt? Nr. 1 ir jāizmanto tikai šifrēti savienojumi. Vēl labāks risinājums ir VPN, jo caur to pat hakerim nebūs iespēja noķert, uz kādiem serverim šie savienojumiem notiek. Un šī DNS hakošana būs jau daudz sarežģītāka. Otrs ieteikums ir novērst svešu cilvēku piekļuvi Jūsu tīklam. Rūpējaties, lai Wi-Fi parole ir maksimāli gara – es teiktu, ka tai jābūt vismaz 20 simbolus garai. Un tāpat rūpēties par to, lai neviens fiziski pie Jūsu tīkla nevar pieslēgties. Vienā no iepriekšējiem video es rādīju, cik ātri var lauzt vaļā paroles, ja Tu jau esi ticis iekšā tīklā. Un tad, izmantojot ARP poisoning jeb spoofing, Tu vari pārķert datus starp datoriem vienā tīklā. Tas ir liels drošības caurums, kurā var paveikt daudz nevēlamas darbības. Tāpēc mans aicinājums ir rūpēties par savu tīklu. Labākais veids, kā pasargāt tīklu pret šo ARP poisoning, ir izmantot statiskās ARP tabulas. Tās ir iekšējās tabulas, ko uzstāda pašā rūterī un citās konfigurācijās, kur katrai IP adresei, kas atrodas lokāli, ir sava predefinēta MAC adrese. Tādā veidā šī spoofing nestrādās. Protams, šo īstenot var tikai IT speciālisti, kuri orientējas savā tīklā. Bet cilvēkiem, kuri nav IT speciālisti, es iesaku uzturēt garu paroli un visu izmantot kriptētu. Tas nozīmē, ka pilnīgi visam jābūt šifrētam vai nu caur VPN vai https.