Pull to refresh

Comments 125

Возможно, я что-то не так понял, но почему прямо таки необходимо отправлять по сети каждый символ по мере набора?

потому что существуют интерактивные TUI интерфейсы

но проблема уже не актуальна ибо патч с фиксом уже релизнулся

возможно я что-то не так понял, но почему бы на экран удаленного терминала не выводить сразу то, что вводишь?

Потому что кто-нибудь увидит как минимум количество символов, а это на порядки облегчает брутфорс. А можно упороться и обучить модель на видимом тексте, который вы на этом же звонке вводили

так скрывать визуальное отображение символов не дело ssh.

ссш передает то, что вводишь. функция командной оболочки - скрыть символы, их количество и все что угодно.

получается, каждое нажатие кнопки удаленно - это отдельный запрос внутри потока. либо отдельный пакет от удаленного компа к целевому, не важно.

поэтому и ввели на транспортном уровне группировку, тайм-лаг и шифровку данных внутри ssh канала. разве нет?

p.s. прошлый мой вопрос неверно сформулировал. вернее должно быть так: "почему бы на удаленный терминал не передавать сразу то, что вводишь?"

так и было сделано. но это уязвимость, т.к. канал можно захватить, и пароли от нажатия клавиш - перехватить внутри канала

UFO just landed and posted this here

Зато в исходящем трафике вводимые байты прекраснейшим образом видны. Клиент тупой, и не понимает что прямо сразу их можно не отправлять.

UFO just landed and posted this here

Статья какая-то смесь из современного и 90-х.

По крайней мере, отображение звёздочек в консоли не видел с момента начала пользования линуксом, т.е. с конца нулевых.

А в плане SSH лучше использовать авторизацию по ключу. Так и пароль пересылаться не будет, и в принципе ключ подобрать сложнее.

По крайней мере, отображение звёздочек в консоли не видел с момента начала пользования линуксом, т.е. с конца нулевых.

Опция отображать звёздочки у su/sudo есть, у некоторых левых приложений это поведение по умолчанию (а иногда даже единственное). Но конечно да, это всё относительная экзотика. Остаётся анализ частотности нажатий клавиш.

А в плане SSH лучше использовать авторизацию по ключу. Так и пароль пересылаться не будет, и в принципе ключ подобрать сложнее.

SSH и не должен пересылать каждое нажатие на этапе ввода пароля к нему, так что описанный в статье вектор атаки тут не применим в любом случае (и в статье обратное не утверждается). То, что авторизация по ключу неплохо защищает от брутфорса правда, но к обсуждаемому тексту это отношения не имеет.

Некоторые сервера вместо штатной авторизации по паролю применяют авторизацию keyboard-interactive, которая как бы... интерактивная. Ну и даже если сервер нормальный и таким не страдает, при вводе пароля в том же sudo байты всё равно будут идти интерактивно.

Некоторые сервера вместо штатной авторизации по паролю применяют авторизацию keyboard-interactive

Интересно, впервые слышу о такой опции.

при вводе пароля в том же sudo байты всё равно будут идти интерактивно

Так я о том же говорю:

Опция отображать звёздочки у su/sudo есть, ... (без неё) Остаётся анализ частотности нажатий клавиш.

А в плане SSH лучше использовать авторизацию по ключу. Так и пароль пересылаться не будет, и в принципе ключ подобрать сложнее.

Речь идет не про установление SSH соединения, а про передачу секретов через уже установленное соединение.

Но тогда какое отношение имеет отображение звёздочек к SSH, если эти самые звёздочки (не)отображает приложение, с которым в данный момент работаешь на сервере?

И вообще, сложилось ощущение, что речь про обфускации только во время ввода пароля, но тогда непонятно, откуда SSH знает, что сейчас вводят пароль, если речь о сторонних приложениях?

Как я понимаю, если найросети передать в большом количестве тайминги нажатия то она потенциально сможет восстановить текст, а взломщик уже потом будет разбираться пароль это или не пароль.

Отображение "звёздочек" тут относится не к SSH, а к браузерам и другим программам где есть поля ввода пароля.

Отлично, теперь ещё и браузер появился. И какое отношение браузер имеет к SSH? Или мы про X11Forward? Тогда надо вообще все каналы внутри SSH обфусцировать. Но не уверен, что это понравится тем, кто использует SSH как VPN.

Никакого отношения нет, просто суть атаки та же самая. Да, статья написана странно и постоянно прыгает с одного на другое.

Вот под этим подпишусь. Читаю тут комментарии, и вижу, что не я один не понял большую часть статьи.

По идее если я ввожу в браузере логин/пароль, а потом жмакаю кнопку, пароль отсылается одним реквестом. Разве что какая то новомодная страничка вмешивается в процесс ввода пароля Javascript'ом и отсылает что то на сервер в процессе - но за такое руки отрывать...

Так речь и не про сеть, тут речь о том, что если кто-то стоит у вас за спиной и считает "звёздочки" на экране - он может значительно сократить сложность подбора пароля если запомнит ещё и интервалы между этими "звёздочками".

Вроде в статье речь именно про передачу по сети и MITM. Из за спины и нажимаемые кнопки можно подсмотреть.

если есть поле ввода пароля, то пароль передается не по буквам, а целиком, после того как ты нажал submit / enter
А отображение звездочек относится не к ssh а к tty, видимо

ключ обычно подходит к нескольким дверям. ключ сложно поменять при компроментации

Зачем использовать один ключ к нескольким сервисам? Как вы используете сэкономленные килобайты?

И в чем сложность замены ключа по сравнению со сменой пароля?

сложно раскатать .sshd/authorized_keys ? у большинства админов это вообще автоматизировано

Единственное что надо отслеживать у кого куда есть доступы чтобы все эти ключи на разных хостах стирать после компрометации.

Стереть ключ проще чем сменить пароль.

Стереть - не сильно проще. Нужно зайти на каждый хост, где есть ваш публичный ключ, и сделать некоторые действия.

Если хостов много

Главное не забыть никого ;)

так то можно и вход по паролю забыть отключить и прочие файрволлы с fail2ban'ами настроить

Как раз пароль поменять сложнее, так как подразумевается, что паролем может пользоваться несколько человек, и его смена аффектит еще кого-то.

Ключи изначально более гибкий механизм, и каждый может свой индивидуальный ключ делать, чтобы точечно отключать тех, кому доступ уже закрыт

формат публичного ключа позволяет положить туда комментарий, чтобы знать чей он и откуда приехал

Я про ситуацию когда на Х машин есть доступ по ключу K. Этот ключ честно угнали и теперь мы хотим на всех хостах выпилить этот самый ключ. Ручками ходить на N (> X) машин и искать на каких из них прописан этот ключ как минимум неудобно и потенциально уязвимо к человеческому фактору.

Если ключ честно угнали, то одно из первых действий угонщика - зайти с этим ключом на все ваши сервера и подбросить туда свой.

Если у вас адванцед секурити, то ключи не должны лежать в $HOME
Раскладывайте их админом в /etc/ssh/keys и пользователи не смогут сами ключи ложить, только через админа.
А у админа какой-нить скрипт или ансибл
И все.
Это в любом случае проще чем с паролями, ибо скомпроментированный пароль ты подсмотреть не можешь и распознать не можешь

По крайней мере, отображение звёздочек в консоли не видел с момента начала пользования линуксом, т.е. с конца нулевых.

echo -e "Defaults\tpwfeedback" | sudo tee -a /etc/sudoers.d/0pwfeedback
Выйти-войти в сессию
cat /etc/sudoers.d/0pwfeedback
Удалить звездочки
sudo rm /etc/sudoers.d/0pwfeedback

Но зачем?

Так то, я sudo везде настраивают, чтобы не спрашивал пароль, ибо безопасности не сильно добавляет, а бесит неимоверно. Да и на большинстве машин у моего пользователя просто нет пароля. А там где есть, этот пароль вставляется из менеджера паролей через буфер обмена, т.е. тоже фиг отследишь по сетевым пакетам.

Ну и не одним sudo полон мир. А как же clickhouse-client или passwd? Или вот я захожу по SSH на BMC контроллер сервера, оттуда в консоль сервера, там стандартное приветствие для ввода логина и пароля. Там тоже предлагаете включать звёздочки?

Т.е. я про то, что по крайней мере в мире Линукс не отображение звёздочек в консоли является стандартом де-факто. И чтоб это глобально по всей системе изменить, надо довольно много усилий.

В некоторых дистрибутивах Linux звёздочки в терминале отображаются по умолчанию. Обычная свисто......ка

Ну и не одним sudo полон мир. А как же clickhouse-client или passwd?

passwd - изменяет пароль пользователя
https://manpages.ubuntu.com/manpages/jammy/ru/man1/passwd.1.html
Может sshpass?
Non-interactive ssh password authentication
https://packages.ubuntu.com/jammy/sshpass

И чем вас смутил passwd? Вы никогда пароль не меняли?

А вот как раз sshpass'у я не понял, как поможет обфускация времени между пакетами. Он и так одним пакетом пароль отправляет.

Чтобы использовать авторизацию по ключу - ее надо как то включить а для это войти по паролю (и помнить что ее надо включить). Ну или нужно при установке системы иметь возможность сразу где то взять публичный ключ админа каким то дружественным к пользователю способом (нет - вбить его руками это НЕ дружественный способ). В Ubuntu вот реализовали решение для этого, нашли способ где эти ключи брать, а потом выяснилось что могут быть скажем так неприятные побочные эффекты, пусть решаемые - https://habr.com/ru/articles/771688/

Не обязательно.
Для этого могут быть свои инфраструктурные автоматизированные инструменты.

Это если корпоративный деплоймент или какие то отдельные штуки дистрибутива.

А людям - лень. Решение Ubuntu - требует от них минимум геммороя.

что там сложного
ансибл бесплатный. чеф бесплатный. scp/rsync в конце концов навелосипедить...

Не совсем понятно, какую опастность это влечет для SSH

В протоколе давно используются динамические ключи для каждой сессии, а в пределах сессии вы не наберете нужную для дешифрации информацию.

Опознания пользователя? Ну так он отправляет свой ключ в начале сессии, всегда одинаковый.

ps звездочки видел только в интерфейсах мейнфреймов и в 1200бод соединениях.

Это нужно не для дешифрации сессии. Идея в том, что если я, например, захожу на SSH-сервер и ввожу там пароль от sudo, чтобы обновить пакеты, то по таймингам пакетов с буквами пароля можно попытаться восстановить сам пароль — а так как он такой же, как и пароль самого пользователя, то с ним можно сразу же наведаться на сервер, и ничего расшифровывать не надо.

Врядли. Дело в том, что пароль судо вы будете вводить как "устоявшуюся конфигурацию", тоесть с одинаковой скоростью. а елси пароль для вас новый - то вы будете его вводить по буквам и тут вообще не угадаешь с длительностью.

Плюс вам надо как-то узнать где вы тут пароль судо вводите во всей сессии.

Исследования явно проводилося не для рандомного пароля, а для слов языка.

Ну вот в статье как раз и утверждается, что даже устоявшаяся конфигурация все равно имеет свой рисунок тайминга, и то что для вас "одинаковая скорость", для компа - "дактилактический отпечаток".

отпечаток - да. ибо оно устоявшееся. но кореляция с другими командами - неа.

Но блин. отпечаток ваш хост ид. вы его шлете каждый раз вообще без вопросов.

Еще одна причина отключить аутентификацию в SSH по паролю

Не панацея: пароль может быть и от третьих ресурсов.

Еще одна причина использовать двухфакторку для доступа к третьим ресурсам :)

Опознания пользователя? Ну так он отправляет свой ключ в начале сессии, всегда одинаковый.

Это ключ одинаковый. А пользователь (человек!) может работать с разных машин в разных концах мира, и его всё равно можно будет опознать по таймингам. Это может сыграть ключевую роль в идентификации и поимке киберпреступников, к примеру.

Наконец то, кто-то написал про это. Теперь я не буду выглядеть дураком когда попытаюсь объяснить что такое тайминг атака на ssh. Это даже глазом видно, по индикации на ethernet разъеме.

Ой! Я вас умоляю! Вы кому-то объясняете "что такое тайминг атака на SSH"??? Да куче людей нужно объяснять, что пароли не нужно писать на стикере и клеить на мониторе!

Был свидетелем когда у одного крупного провайдера в телеграмм группе, видел как инженеры друг дружке пересылали пароли от доступа к магистральному оборудованию....у меня аж глаз дергаться стал.

А самое смешное - что при этом этот провайдер вполне себе работает, деньги крутятся, прибыль идет. Убытки от проблем в защите информации - или нулевые или терпимые...

Более того, если подумать - то сверхсложный пароль, который надо получать по какой-то сложной процедуре (придти в три кабинета, собрать три подписи) - это уже угроза безопасности, так как пароль-то не просто так нужен, для развлечения, а для исправления реальной проблемы. И нет доступного пароля = вполне себе угроза безопасности "недоступность ресурса". Как бы сами себя паранойей заDoSили...

А надо просто думать про то, чего стоит альтернатива.

Знаю вот одну контору где вообще чуть ли не все включая аналитиков, продактов и прочих юзают скрипт который подключения к корпоративному VPN восстанавливает возможность подключатся к интернету. Потому что работать - надо. А работать так - нельзя. (те кто не юзают скрипт - юзают более другие решение).

При этом до логичного решение дать доступ к интернету ЧЕРЕЗ корп-VPN (c MITM'ом сертификатов да, все равно процедура установки софта для доступа(там VPN еще кое что) - включает установку корневых сертификатов), при этом проверяя на важные вещи но не мешая работать - додуматься похоже сложно.

Ах да, пароли к VPN'у и к сервисам внутренним надо еще и менять регулярно и они должны удовлетворять правилам по сложности.... Ну они удовлетворяют, а то что, в результате появляются пароли вида Qwerty$@1/Qwerty$@2/Qwerty$@3.... которые при этом лежат в файлике рядом с ярлыками запуска рабочего VPN - это уже другое. При всем том - для использования VPN нужен еще и аппаратный крипто-токен, несколько десятков раз неверный пароль = к звонку в техподдержку а потом - визиту в офис этой или одной из дочерних структур где под роспись сбросят токен.

О, про пароли - моя больная мозоль. Но раньше я ощущал себя каким-то фриком и странным пророком, который говорит "разрешайте пароли попроще", в то время как все прогрессивное человечество уверено, что надо бы подлиннее. Но вот недавно нашел "отсылку к авторитету" рекомендации NIST - https://pages.nist.gov/800-63-FAQ/#q-b05 (эта и следующая). Своими словами и кратко - "отвалите от юзеров, ваши требования длинных и сложных паролей, которые нужно менять раз в два дня делают только хуже".

А откуда Вы знаете что это были пароли, а не шифрованный вариант оных?

К сожалению знаю ;) Я был руководитель этих балбесов.

Эти вечные качели между безопасностью и удобством. Если не позволять инженерам пользоваться менеджерами паролей - будут пересылать в телеге или в файлике на гуглодоках. Если юзера пережать с политикой длины и частоты смены пароля - актуальный пароль будет написан на стикере и приклеен на монитор или снизу к клаве. Основано на реальных событиях (с)

Вопрос где писать пароли, кроме как на стикере монитора? Я вот не могу запомнить 3 разных меняющихся каждый месяц 12 значных пароля, а менеджеры паролей запрещены по безопасности.

Когда у меня был такой адовый ад на работе, то я для себя выработал логику обновления паролей, согласно этой логике забыть пароль сложно.

В вашем случае могу порекомендовать запомнить 3 пароля а в конце(/начале) каждого из них добавлять предыдущий месяц в текстовом формате. Ну както так...включите фантазию. Или например добавлять номер месяца в 16-тиричной (8-ми\ двоичной) системе. В этом случае пароль запоминать каждый месяц необязательно, достаточно запомнить систему.

Так они проверяют пароли, что новые не должны быть слишком похожи на старые. То есть просто добавлять/менять часть пароля нельзя.

Да и плюс некоторые пароли генерируются из вне, их нельзя сменить самому на то что хочешь.

  1. Если "они" проверяют пароли на "похожесть", значит они их хранят не в виде хешей с солью, а в виде текста - НАРУШЕНИЕ БЕЗОПАСНОСТИ.

  2. Если "они" генерируют пароли, а не вы из своей головы - НАРУШЕНИЕ БЕЗОПАСНОСТИ.

    Безопасники у вас так себе, только создают вид работы и параллельно создают сложности для людей, ничего общего с безопасностью тут нет.

Да нет никаких нарушений безопасности (если не считать нарушением само существование тупой политики паролей).

Хранить в виде текста нельзя актуальные пароли, а вот запрета хранения устаревших и более не работающих я в рекомендациях не видел. Откуда они возьмутся? Очень просто, при смене пароля же надо ввести старый!

Кстати, если сравнивать не с N последними, а просто с последним паролем - то и вовсе хранить ничего не надо.

Про генерацию то же самое, в большинстве случаев пароль до сервера всё равно идёт в открытом виде по шифрованному соединению, в чём проблема один раз передать его в том же виде по тому же соединению в обратную сторону? Никакой разницы.

  1. Они проверяют как понимаю текущий и прошлый пароль. Их можно сравнить так как в момент смены требуется оба.

  2. Проблема в генерации паролей - то что одним пользователем пользуется несколько человек и соотвественно просто менять пароль нельзя.

А так абсолютно согласен, что у нас в крупнейшем банке страны безопасники в основном заняты созданием сложностей для людей и ухудшением безопасности.

одним пользователем пользуется несколько человек

О_о

Постоянная ситуация на самом деле. Большинство b2b-сервисов даже не догадываются что у их клиентов может быть несколько сотрудников или даже подрядчиков: дают всего одну учётку на клиента.

У нас все из-за дурацких требований безопасности, что на стендах ближе к прому пользователей заводят только из расчета один человек - одна учетка. А если надо проверять под разными ролями, то пользуйся учеткой от коллеги.

значит они их хранят не в виде хешей с солью, а в виде текста

Не значит. Они могут ваш новый пароль несколько (сотен) раз менять и смотреть не совпал ли хеш с предыдущим(и) ;)

Не понял, куда менять, как менять, как они поймут, что старый пароль jun23MahSup4rP@ssw0rd слишком похож на новый dec23MahSup4rP@ssw0rd ?

Новый пароль известен, генерируем все похожие на него пароли, хешируем и сравниваем со старым. Да, тоже вариант.

Не понял, куда менять, как менять

John the ripper как-то понимает же.

В вашем пароле просматриваются такие лексемы:
-- слова из словаря
-- числа
-- слова из словаря с очевидными подстановками

Распарсить новый парол на лексемы. Нетривиально, да.
Составить правило для перебора - можно и автоматически, да.
Прогнать несколько (сотен, или тысяч..) итераций подбора пароля. Тривиально, да.

Но я уверен, что так никто не будет заморачиваться ;)

В чем проблема к первому случаю? Эвристика по паролю.

Существуют хэши, которые имеют малое отличие при таковом же у хэшируемого текста. Очень давно читал, что такие в dspam используются. Не знаю, правда, как у них со стойкостью.

Вопрос где писать пароли, кроме как на стикере монитора?

На стикере монитора и под клавой. Часть пароля там, часть там. Символ между частями пароля запомнить ;)

В этом случае можно использовать какое-нибудь мнемоническое правило, в зависимости от номера месяца и названия ресурса.

Но, вообще, если запрещают менеджеры паролей и требуют смены раз в месяц - то стикеры закономерный итог такой политики.

К этому оборудованию обычно нет доступа из интернета. И даже если получить доступ к внутренней сети, то можно оказаться не в том VLAN. Возможно, что те пароли вообще временные, на время настройки и ввода в эксплуатацию, а потом их поменяют. Скажу больше, особенно в телефонии много на каком оборудовании вообще telnet используется, ssh в принципе нет. Где-то мало того что telnet, так еще и без пароля, даже так. Где-то к любой циске подходи, тыкай консоль и делай что хочешь, порой даже дверца шкафа не то что на ключ не закрыта, а снята и убрана подальше. Кого попало в машинный зал не пускают, но есть подрядчики и арендаторы со своими собственными стойками в зале, а это практически кто попало ходит, можно сказать.

Интересная тема. Где-то видел статью про распознавание пин-кода в банкомате по звуку клавиш с помощью очень точного направленного микрофона

Херажсе! Плюс еще одна паранойя ;)

Интересно, как на вектор атаки влияет TCP_NODELAY 0 ? Разве несколько нажатых клавиш по умолчанию не будут батчится в один пакет, что в разы усложнит реализацию подобной атаки?

Пользователя нужно очень сильно хотеть деанонимизировать даже таким ненадежным способом, который в целом остается "хайли лайкли". Пока такой фигерпринт не введут в уловный кодекс можно БЫ спать спокойно, но ведь такая же толпа доброхотов все всегда кого то хочет деанонить. они не понимают что эти старания приведут к поимке максимум одного злодея на 100ню вообще непричастных.

Что качается пароля - а зачем в пароле английские слова вообще? Не научены ееще рандомные пароли? более того я не понимаю: чем временной паттерн пароля QWERTY отличается от паттерна ASDFGH, разница будет микроскопическая - брут будет не 100 лет а 50, ага.

а потом легко распознать этого человека по таймингу буквенных пар, на какой бы клавиатуре он ни работал

У одного человека на qwerty и dvorak совсем разные характеры набора

Предлагаю всем желающим угадать мой 8-символьный пароль. Паузы такие:

  • 137 мс

  • 136 мс

  • 137 мс

  • 136 мс

  • 136 мс

  • 137 мс

  • 136 мс

Либо месье пианист
Либо месье шутит
Так то по одному эпизоду, конечно же, ничего угадать нельзя. Но, если представить, что товарищи не поленились записать траффик за год, и они умеют отличать ssh от торрентов, да еще и это повсеместное увлечение нейросетями.. Не время улыбаться.

у вас моторика среднего пальца развита хуже, чем указательного.

Как вы по этим таймингам определили, что он пальцами набирал? Может у него тентакли.

А это не тайминги, это условия задачи - набирать пароль пальцами =)
ну и очень большие и равные промежутки - я бы сказал, использует два пальца разных рук, неторопясь.

Тут ногами можно быстрее наклацать.

ну и очень большие и равные промежутки

137 мс большой промежуток? Это 8 равномерных нажатий за секунду. С вероятностью 1/50 пароль 8 звездочек (или других одинаковых символов) ;)

Подтверждаю, у меня для реального пароля, набираемого машинально десятью пальцами, средний промежуток между нажатиями порядка 170мс, а при отсчитывании нужного количества нажатий одной клавиши - как раз около 130.

для человека, который набирает вслепую, еще и свой собственный пароль, это большие и равномерные промежутки. Если набирать соседними пальцами, промежуток может быть быстрее.
300 символов в минуту - скорость набора среднестатистического текста среднестатистической секретаршей. Это 5 символов в секунду.
400-500 символов в минут - скорость набора человека, который немного тренировался в клавагонки. 7 в секунду.
Но это вообще текст, а не известный пароль, который зачастую еще и делается удобным для набора, и в среднестатистическом тексте уже зачастую тормозит не скорость набора, а скорость чтения.

В известном пароле какие-то символы должны нажиматься быстрее, какие-то медленнее. А такая равномерность прям подозрительна, и я бы сказал что для такой равномерности, моя идея - это двумя пальцами разных рук какие-то одинаковые клавиши, или рядом. типа 10101010 или 10293847

Сервер ssh в одном городе, клиент ssh в другом. Между этими двумя точками штук пять промежуточных маршрутизаторов, принадлежащих разным провайдерам.
Внимание, вопрос - кто, кроме сотрудника одного из провайдеров, может перехватить трафик для анализа?

Любой кто на соседнем этаже незаметно подключится к ethernet кабелю от вас к провайдеру, например.

кроме сотрудника одного из провайдеров, может перехватить трафик для анализа?

Еще один сотрудник провайдера. Устроиться в сотрудники провайдера с доступом в домовые свитчи - задача для джуниор админа несложная.
Было бы что красть...

тут было заявление про Nagel's algorithm, но оно было неверным, а верное стало писать лень ;)

Но суть в том, что в SSH автоматически включается Nagel's и передаваемые символы начинают группироваться и объединяться, что портит хакерам весь праздник.

"Любой кто на соседнем этаже незаметно подключится к ethernet кабелю от вас к провайдеру, например. " - веселый у вас провайдер - у мну (на меди) (витая, не кокс) при смене вин-дров надо было звонить провайдеру , и как минимум сказать на кого договор, что-бы сменить MAC . с оптикой веселей - мигры из подьезда удивлялись "что медь перестала работать" (пару раз слушал набор номера по треньканью на телефоне) про ссш глумился - на своем самосборном роутере (I atom, gentoo) вломил 31 значный пароль и 4096 ключ, что-бы не городить периферию для коробки (- su по ssh для дженты - ну за год выучил как не компилировать систему раз в квартал :-) ) а на работе - в одном прекрасном месте "РеклАгентсво" админ (сапог) учюдил менять пароли (и для дезигнеров) раз в мес - пароли были и под клавой, и на экране, гемора много, толку мало

Не понял причём тут MAC, во1 можно пассивно слушать трафик (иголки в кабель), во2 можно в разрыв воткнуть 2 сетевушки, каждая в promiscuous mode (т.е. ловит вообще все пакеты, а не только те, где DSTMAC с её собственным совпадает или бродкасты).

Это только Ваши фантазии. В реальности такое не реально сделать - выйдите на лестничную клетку и попробуйте подцепится, а потом фоточки нам представьте.

Всё это просто страшилки - в бытовых условиях многоквартирного дома отзеркалить трафик - требуется конкретно попотеть, и скоро ждать привета от провайдера.

И у провадера нет группы быстрого реагирования, у него только монтажники (очень) медленного реагирования

Перехват хеша пароля и скачиваемого файла простыми крокодилами . Автор: Андрей Жуков
Перехват хеша пароля и скачиваемого файла простыми крокодилами . Автор: Андрей Жуков

Можно купить книжку почитать в конце концов

Это - лабороторные условия. И фотошоп никто не отменял. Еще раз говорю - выйдите на лестничную клетку и попытайтесь такое повторить.

А кто сказал что это будет делать я или скажем сосед-кулххакер, с сетевухой за 5 баксов. Сделать это может кто то более компетентный и оснащенный каким нить монитором трафика промышленным. "не реально сделать " и "конкретно попотеть " это две большие разницы, факт в том что технически это возможно.

Витая провайдера ведущая в принадлежащее мне помещение проходит через абсолютно не закрытую клемную коробку, там даже иголок не надо, но я боюсь трогать - как бы совсем не развалилось.

Итак, у меня есть потребность заломать Вас. Я выяснил в какой квартире вы находитесь. Часов в 6 утра я сажусь на лавочку рядом с Вашим подъездом и жду выйдите ли Вы. Скажем до 10 часов Вы не вышли - я делаю вывод, что вы остались дома. Я достаю из своей машины стремянку и тех. средства. Поднимаюсь на ваш этаж, подхожу к этажной коробке и вижу что в направлении двери тамбура, за которой находится Ваша квартира идет две витые пары (не оптика - смысла тогда вообще нет). Какая же витая пара Ваша?
Я подкинул монетку и решил к какой подключаюсь. Прицепил крокодилы и начал дампить трафик. Какова вероятность что Вы введете критичные данные в ближайший час или через два часа или через три? Вероятность отлова будет повышаться с течением времени, поэтому, что бы существенно повысить вероятность нужно продержаться существенное время. Было бы неплохо оставить оборудование и уйти и забрать через сутки или сидеть рядом с подъездом и перегонять трафик непосредственно себе. Если коробка металлическая - удаленно снимать не выйдет. Если коробки нет - тем более не выйдет. Если срослось и какая то коробка осталась значит нужно мне оставить свое оборудование и уйти. И какова гарантия, что оборудование будет на месте, когда я вернусь?

Далее, вот мой провайдер использует L2TP с шифрованием - нужно будет вскрыть ключ, что бы декапсулировать пакеты. Возможно у Вас не так - но все одно вероятность блакополучной добычи критичных данных стремительно падает.

Далее, если органам нужны Ваши данные они по любому их добудут, но вот вариант с хакером-одиночкой и перехват Вашего трафика по кабелю ничтожно вероятен.

Все имеет свою вероятность - человек может выпасть из окна 11 этажа и остаться жив. Так же и с перехватом трафика вне локальной сети.

С шифрованием-то всё понятно, но не все провайдеры его используют.

Как я уже подсказал выше: увидеть и подключиться к моим парам - вообще не проблема, стремянки не надо (если рост не метр с шапкой). Проблема скорее домофон но мы прекрасно знаем что она решаема. Коробка пластиковая, вообще не закрытая, можно туда засунуть роутер или малинку - и если кто их и заметит то только я сам. Собственно именно эти факты несколько и будят мою фантазию именно в этой области, когда гляжу на эту коробку. Но вообще, меня зовут Неуловимый Джо - могу скинуть скан паспорта (нет конечно) :) :) :)

Тут я с Вами полностью согласен - все сводится к неуловимости Джо...

сегодня у меня целый день в подьезде суета. говорят - газовщики. проверю вечером коробку :)

выйдите на лестничную клетку и попытайтесь такое повторить.

Нужно одеть спецовку, желательно с логотипом какого-нибудь местного провайдера, и взять ящик с какими-то инструментами. И никто вам ни слова не скажет.

Посмотрите на обложку книги из поста NutsUnderline - человек в капюшоне. Кто в трезвом разуме будет торчать в подъезде в спецовке провайдер в капюшоне на голове? Ибо разумный хакер (преступник) будет пытаться скрыть лицо, поскольку любопытных пенсионеров полно и это сразу вызовет любопытство - а чего это он торчит в подъезде целый день и лицо прячет?

Зачем торчать весь день и с парашютом за спиной в капюшоне? Пришел, повозился 5 минут, подключил что нужно, ушел. Бдительным пенсионерам сказал про плановые работы. Через пару дней забрал.
Или же просто устроился на работу к провайдеру.

Ну нет тут извините, че прям во всем книжки следовать. Самое ржачное - у емня есть черное худи, может вообще это я там на обложке :) :) :)

Но доля истины есть в обоих случаях: да логично одеть спецовку, да есть именно такие люди (конкретно в моем подьзде) которые докопаются и до человека в спецовке (проверенный факт). Именно поэтому я за это не особо беспокоюсь :)

борода,усы, немного грима.

Вы ж понимаете, что подобный случай взлома явно делается в условиях, когда планируется с этого взлома получить сумму которая явно покрывает подобные мелочи?

Зачем капюшон? У нас половина пенсионеров и 3/4 сотрудников разных служб в масках ходят, ибо ОРВИ...

Вот лично у меня дома:

  1. выйти в коридор между квартирами

  2. открыть ящик с проводами (он без замка)

  3. Вынуть кабель, идущий ко мне домой, из бочки, которой он соединяется с хвостом от провайдера.

  4. воткнуть мой кабель и кабель от провайдера в бочку, к которой уже подсоединены девайсы, как на картинке выше.

Делов на полминуты.

а я вообще с трудом расшифровал этот поток мыслей

Кто-то ещё вводит пароли сам? Уже лет 10 пользуюсь KeePassXC, пароль набирается автоматически либо вставляется из буфера.

Я не думаю, что существует много веб-приложений, которые отправляют каждый символ. Обычно, отправляется текст целиком. Никому не нужно столько траффика, когда чуть ли не на каждый чих будет отправляться запрос на сервер.

Так и статья ведь не про веб-приложения.

«Не набирайте тексты в интернете» звучит как укол в сторону набора текста на сайтах, о чём говорит и последний абзац:

Отсюда вывод: не нужно набирать тексты в интернете. Лучше набрать сообщение в офлайновой программе (в «Блокноте», например), а в браузер/мессенджер вставить копипастом.

Сами себе противоречите, да ещё и минусуете почём зря.

Интернет не ограничивается сайтами. А зачем автор добавил этот абзац, я без понятия (хотя, на сайтах вполне могут быть такие скрипты, что отправляют нажатые кнопки). Но в целом то статья про ssh.

ПС. Если что, я не умею минусовать.

Sign up to leave a comment.