Pull to refresh
  • by relevance
  • by date
  • by rating

Наглядная демонстрация перехвата VoIP-звонков

Information Security *
Британский эксперт по безопасности Питер Кокс (Peter Cox) опубликовал пример программы-перехватчика SIPtap для стандартного протокола SIP. Программа демонстрирует, насколько слабо защищены VoIP-звонки от прослушки. Этот специалист в принципе не соглашается со своими коллегами, которые считают, что VoIP сложнее прослушать, чем обычные телефонные разговоры. По его мнению, наоборот, здесь гораздо проще, особенно если трафик не зашифрован.

Питер Кокс объясняет, что для перехвата VoIP-трафика достаточно иметь доступ к интернет-каналу в любом месте, где идёт VoIP-трафик от объекта слежки. Это может быть ISP-провайдер объекта, WiFi-хотспот, корпоративная сеть объекта или персональный компьютер объекта, заражённый шпионским ПО.

В простенькой программке Кокса каждый звонок записывается в виде wav-файла и отправляется наблюдателю. Модуль мониторинга программы SIPtap сгенерировал страничку-календарь со ссылками на все разговоры. Указаны дата и время разговора, координаты получателя, Call ID, продолжительность в секундах. Выложены также все wav-файлы.



Питер говорит, что написал эту программу после разговора с Филом Циммерманом, автором PGP, который сейчас занимается разработкой софта Zfone для стойкой криптозащиты VoIP-трафика.

Кстати, сам Питер Кокс зарабатывает мастер-классами по защите VoIP и корпоративных сетей, его программу называют примитивной и написанной в рекламных целях.
Total votes 20: ↑18 and ↓2 +16
Views 5.2K
Comments 9

Вышла новая сборка бесплатного сниффера 0x4553-Intercepter

Information Security *
Список изменений можно посмотреть на официальном сайте — intercepter.nerf.ru

[0x4553-Intercepter] позволяет:

# Перехватывать пароли следующих типов: ICQ\IRC\AIM\ftp\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\WWW\NNTP\CVS\TELNET\MRA\DC++\VNC\MySql\Oracle
# Перехватывать сообщения таких IM систем как: ICQ\AIM\JABBER\YAHOO\MSN\GADU-GADU\IRC\MRA
# Менять MAC адреса сетевых карт.
# Просматривать трафик в сыром виде, с возможностью фильтрации.
# Специальный eXtreme режим для перехвата данных на не определенных портах.
# Сохранять пакеты в файл pcap формата и проводить оффлайн анализ дампов.
# Удаленный анализ трафика через RPCAP демона.
# Встроенный ARP poison.
# Перехват и сохранение в eml формате POP3SMTP сообщений.

Работает на Windows 9xNT(2KXP2k3Vista).

Детали работы программы описаны в файле-помощи внутри архива программы. Демонстрация основных функций представлена в двух видео-туториалах:

intercepter.nerf.ru/intercepter_tutor1.zip
1. ARP Poison
2. Remote Capture
3. ARP Defender

intercepter.nerf.ru/intercepter_tutor2.zip
1. eXtreme mode
2. MAC Changing
3. PCAP Offline Analyzing

Скачать 0x4553-Intercepter — intercepter.nerf.ru/0x4553-Intercepter.v076.zip

UPD: Технические вопросы и баг-репорты просьба задавать на форуме программы intercepter.mybb3.org
или по почте intercepter.mail@gmail.com
Total votes 98: ↑75 and ↓23 +52
Views 18K
Comments 54

Сниффер витой пары из Wi-Fi роутера

DIY
Tutorial
image

Трафик проходящий по витой паре может быть прослушан абсолютно незаметно для участников соединения.
В этом посте будет показано как изготовить автономный сниффер с возможностью сохранения дампа на диск и управляемый по Wi-Fi.

Читать дальше →
Total votes 188: ↑172 and ↓16 +156
Views 44K
Comments 122

Новая версия сниффера 0x4553-Intercepter 0.8 + 0x4553-NAT

Lumber room
Долгожданное обновление сниффера Intercepter'а, помимо мелких исправлений был включен режим DHCP сервера.

Он имеет минимально необходимый функционал и выдает компьютерам в сети указанные настройки, быстрее чем это делает существующий DHCP сервер. Если вдруг легитимный сервер успеет выдать настройки раньше, то Intercepter
отошлет специальный ответ клиенту, после чего клиент возобновит процедуру запроса настроек.

Основным назначением данного режима является скрытая выдача ложной конфигурации сети для перехвата трафика.



Скрытность заключается в использовании несуществующих MAC и IP адреса, а так же в выдаче несуществующего шлюза, который в свою очередь будет роутить пакеты, что позволит перехватывать и обрабатывать данные.
Читать дальше →
Total votes 26: ↑19 and ↓7 +12
Views 955
Comments 2

Защита от несанкционированного копирования приложений Blackberry PlayBook

Information Security *
В этой статье я покажу, что защиты как таковой на данный момент практически нет. То есть, если вы разрабатываете приложение, вы должны понимать, что практически все ваши know how могут быть раскрыты без особых ухищрений. Я продемонстрирую это на примере, возьму собственное приложение и попытаюсь получить его исходники.
Читать дальше →
Total votes 42: ↑37 and ↓5 +32
Views 2.9K
Comments 29

О некоторых приемах атаки Man in the middle

Information Security *
Немного Википедии: атака «человек посередине» (англ. Man in the middle, MitM-атака) — термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.
В этой статье будет рассмотрен прием пассивной атаки на http-соединение, без модификации проходящей информации. Итак, каким-то способом вы смогли вклиниться физически или удалённо в канал передачи данных, настроили bridge или просто получили root-управление шлюзом. Руткит поставили, базы с исходниками слили, вебшелл залили, в cron часовую бомбу заложили, и что теперь?
Читать дальше →
Total votes 47: ↑33 and ↓14 +19
Views 37K
Comments 12

Перехват WEB трафика через протокол WPAD при помощи Intercepter-NG

Information Security *
WPAD — WebProxy Auto-Discovery. Протокол автоматического получения настроек прокси в локальной сети, поддерживается практически всеми веб-браузерами и рядом других приложений.

В кратце суть его работы такова: если клиент использует DHCP для получения IP адреса, то и за урлом с настройкой прокси он обращается к своему DHCP серверу. Если DHCP не настроен на выдачу WPAD конфигурации или в сети не используется DHCP как таковой, то клиент пробует разрешить сетевое имя вида wpad.localdomain используя DNS. Если такое имя не найдено, то делается последняя попытка поиска имени 'WPAD' через NetBios. Если имя не найдено, клиент пробует соединиться напрямую, но если кто-то в сети сказал что он имеет имя 'WPAD', то клиент соединяется по 80 порту на IP ответившего хоста и затем пытается загрузить файл wpad.dat, в котором должны находиться настройки прокси.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 28K
Comments 2

Подмена файлов в HTTP трафике

Information Security *
Помимо пассивного прослушивания трафика, MiTM атаки могут предоставить больше возможностей, вплоть до выполнения произвольного кода на стороне жертвы. При этом не требуется эксплуатация уязвимостей, а требуется лишь терпение и подходящие условия. Речь идет о подмене файлов в HTTP трафике.
Читать дальше →
Total votes 41: ↑35 and ↓6 +29
Views 23K
Comments 45

Принудительный разрыв HTTP сессий при MiTM

Information Security *
Как правило, при перехвате трафика средствами mitm имеется две различные возможности
заполучить доступ к некоему web ресурсу, к которому обращается атакуемый. Наиболее предпочтительно перехватить момент авторизации и получить логин и пароль открытым текстом, что позволит в любое время иметь доступ на данный ресурс.

Второй, наименее предпочтительный вариант, это перехват куков уже активной сессии, логина и пароля мы не получаем, но
зато можем подставить эти самые куки в свой браузер и получить доступ к ресурсу на время действия сессии.
Читать дальше →
Total votes 16: ↑10 and ↓6 +4
Views 12K
Comments 3

О «карманном» перехвате в предпоследний раз

Information Security *
Под андроид существует немало различных программ, реализующих тот или иной функционал по перехвату и анализу трафика.
В большинстве своем это однозадачные утилиты, выполняющие 1-2 функции (droidsheep, faceniff), хотя есть и комплексные тулкиты с большим заявленным набором функций (dsploit).

У программ первого типа недостатком является именно их однозадачность, а программы второго типа грешат избытком бесполезных возможностей и запутанностью интерфейса.
Читать дальше →
Total votes 63: ↑61 and ↓2 +59
Views 76K
Comments 31

Создаем Свой Sniffer/FireWall/Parental control/ SpyWare/Клиент для компьютерного Клуба. Технология LSP

Information Security *C++ *
Sandbox

Создаем Свой Sniffer/FireWall/Parental control/ SpyWare/Клиент для компьютерного Клуба. Технология LSP




Provider).

Недавно один знакомый выявил желание что ему для Электронного зала (библиотеки) нужна программа которая будет контролировать доступ к компьютерам и считать автоматически кто чего и почем.
Так как денег в бюджете за 2012 год не оказалось, знакомый дал отбой. Но идеей контроля доступа уже зажегся. Начал думать, как это можно сделать.
Больше всего меня беспокоил один вопрос. Как блокировать HTTP трафик если пользователь платит только за аренду компьютера, а не за аренду компьютера с интернетом?
На просторах интернета нашел интереснейшую статью о LSP и вот представляю ее перевод с некоторыми изменениями.

Кому интересно прошу под кат.
Читать дальше →
Total votes 26: ↑20 and ↓6 +14
Views 31K
Comments 19

MiTM атака на SSH

Information Security *
В новой версии Intercepter-NG появилась возможность провести полноценную атаку на SSH-2 протокол.

Атакующий получает данные авторизации пользователя и логирует весь сеанс связи, запуск команд и результат их выполнения.
Для этого Intercepter перенаправляет трафик жертвы на свой собственный ssh сервер и в случае успешной авторизации
проксирует соединение до оригинального сервера.
Читать дальше →
Total votes 76: ↑60 and ↓16 +44
Views 42K
Comments 79

Особенности получения пакетов через raw socket в Linux

Configuring Linux *
Tutorial

Linux (в отличии, к примеру, от FreeBSD) позволяет использовать сырые сокеты не только для отправки, но и для получения данных. В этом месте существуют интересные грабли, на которые я наступил. Теперь спешу показать их тем, кто еще на знает, чтобы каждый, используя свой любимый язык программирования, будь то C++ или Python, мог опробовать их в деле.

Суть граблей изображена на рисунке, чтобы те, кто уже в курсе, не тратили свое время.
Читать дальше →
Total votes 34: ↑26 and ↓8 +18
Views 27K
Comments 9

Пару слов о перехвате HTTP/HTTPS трафика iOS приложений

Information Security *Debugging *Reverse engineering *
Tutorial
В этой статье я расскажу о простом методе заработка в сети перехвата HTTP/HTTPS трафика iOS приложений, включая трафик приложений использующих certificate pinning (а это например Twitter, Facebook и куча других приложений). От прочих методов, где бедным людям рекомендуют в командной строке руками генерировать какие-то сертификаты и куда-то их запихивать, этот метод отличается (относительной) безгеморройностью, хотя кое-какие телодвижения сделать конечно прийдется.
Читать дальше →
Total votes 32: ↑27 and ↓5 +22
Views 46K
Comments 17

Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту

Information Security *
Данный пост является логическим продолжением исследований, начатых в тыц и тыц.

В первом посте я писал о старом добром SMB Relay в контексте современных условий эксплуатации.
Второй пост затрагивал новую технику под названием SMB Hijacking с помощью которой можно выполнить код даже если исходящая SMB сессия использует Kerberos.

В этот раз речь пойдет об очередной технике, в основе которой лежит классический NTLM Relay.
Читать дальше →
Total votes 33: ↑30 and ↓3 +27
Views 31K
Comments 16

Обзор новых функций Intercepter-NG

Information Security *
Год ожиданий не прошел напрасно и он компенсируется достаточно интересными функциями, появившимися в новой версии инструмента. Релиз состоялся раньше намеченного срока и часть ранее планируемых функций в него не вошли из-за того, что появились куда более важные нововведения.

В новой версии присутствует ранее продемонстрированная атака на Active Directory (Ldap Relay), функция Java Injection, эксплоит для уязвимости HeartBleed, Plugin Detector, но заострить внимание я хотел бы на совсем других вещах.
Читать дальше →
Total votes 49: ↑47 and ↓2 +45
Views 36K
Comments 21

Как мы делали мониторинг запросов mongodb

okmeter.io corporate blog Programming *MongoDB *Go *

Использование монги в production — достаточно спорная тема.
С одной стороны все просто и удобно: положили данные, настроили репликацию, понимаем как шардировать базу при росте объема данных. С другой стороны существует достаточно много страшилок, Aphyr в своем последнем jepsen тесте сделал не очень позитивные выводы.


По факту оказывается, что есть достаточно много проектов, где mongo является основным хранилищем данных, и нас часто спрашивали про поддержку mongodb в окметр. Мы долго тянули с этой задачей, потому что сделать "осмысленный" мониторинг на порядок сложнее, чем просто собрать какие-то метрики и настроить какие-нибудь алерты. Нужно сначала разобраться в особенностях поведения софта, чтобы понять, какие именно показатели отслеживать.


Как раз про сложности и проблемы я и хочу рассказать на примере реализации мониторинга запросов к mongodb.

Читать дальше →
Total votes 25: ↑23 and ↓2 +21
Views 13K
Comments 8

Сохранение трафика от сниффера Mikrotik'а

System administration *Network technologies *
Sandbox

Про то как снять NetFlow с микротика с сохранением трафика на сервере в Инете найти не сложно. Но понадобилось сохранить и содержимое трафика, а вот тут возникли небольшие сложности.
В принципе, про сам режим sniffer'а все очень доступно описано на вики Микротика, сложности возникли с сохранением трафика на внешний сервер.


Дело в том, что перехваченные пакеты микротик готов отправляет на сервер, но инкапсулируя их в протокол Tazmen Sniffer Protocol (TZSP). А вот как потом извлечь их для работы, скажем, с тем же tcpdump'ом, вот это задача. Гугленье показало, что этот протокол "из коробки" понимает Wireshark, но тот же гугл сказал, что Wireshark не сохраняет принятые данные в файл. А это очень нужно было.

Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 17K
Comments 1

Создание прослушивающего приложения для просмотра трафика мобильной MMORPG

.NET *Game development *Reverse engineering *
Это вторая часть цикла статей про разбор сетевого трафика мобильной MMORPG. Примерные темы цикла:

  1. Разбор формата сообщений между сервером и клиентом.
  2. Написание прослушивающего приложения для просмотра трафика игры в удобном виде.
  3. Перехват трафика и его модификация при помощи не-HTTP прокси-сервера.
  4. Первые шаги к собственному («пиратскому») серверу.

В этой части я опишу создание прослушивающего приложения (sniffer), который позволит нам фильтровать события по их типу и источнику, выводить информацию о сообщении и выброчно сохранять их для анализа, а также немного залезу в исполняемый файл игры («бинарник»), чтобы найти вспомогательную информацию и добавить поддержку Protocol Buffers в приложение. Заинтересовавшихся прошу под кат.
Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 8.4K
Comments 1
1