Комментарии 87
Вау, теперь школьникам будет легче взламывать вконтакты их одноклассников.
Да по моему школьники уже давным давно используют этот софт, для меня было очень странно увидеть с таким запозданием новость об этой и подобных программах на хабре, только сейчас! На том же 4пда эта и подобная программы валяются уже давно, по крайней мере ещё осенью всё это успешно протестировал, попугал друзей и удалил!
В армии скрипткидди прибыло, спасибо нам их так не хватало ;-)
Проверил на домашней точке доступа.
Телефон Desire HD + Ноутбук любимой жены. Сессия Facebook со страничкой жены успешно перехватилась.
Телефон Desire HD + Ноутбук любимой жены. Сессия Facebook со страничкой жены успешно перехватилась.
Настройка «Только https» спасет человечество.
В блоге автора программы описан интересный факт: ни мобильный сайт Facebook (m.facebook.com), ни официальное приложение под Android не используют HTTPS, независимо оt настроек. Пост был написан осенью прошлого года, нe знаю поменялось ли что-либо с тех пор — но если не поменялось, то при логине с телефона настройка не спасет.
Думал, что почитаю о технических подробностях реализации. В итоге — очередная статья для кулхацкеров.
На первой же странице подробно описан процесс.
Первой странице чего?
Статьи.
Если есть передатчик, работающий на некоторой частоте и «шпионский» приемник, на той же частоте, то ничего не мешает нам тоже получать данные. Другое дело, что они зашифрованы. Умея дешифровать сигнал, можно ловить все, что угодно душе.
Если есть передатчик, работающий на некоторой частоте и «шпионский» приемник, на той же частоте, то ничего не мешает нам тоже получать данные. Другое дело, что они зашифрованы. Умея дешифровать сигнал, можно ловить все, что угодно душе.
Какой именно статьи? Я не увидел технических деталей ни в статье на хабре, ни в блоге автора программы, лишь инструкции по установке программы, список поддерживаемых моделей, реклама DroidSheep Guard.
Или, судя по термину «страница» (в html-статьях нет страниц), есть какая-то PDF-ка с технической статьёй? В таком случае я её не нашёл, поделитесь ссылкой?
Я не совсем точно выразился, то что можно прослушивать незащищённые сети — понятно. Меня интересуют детали того, что программа делает в защищённой сети. В местной статье на эту тему есть лишь один абзац:
«Для защищенных WPA/WPA2 Wi-Fi-сетей программа использует DNS-Spoofing атаки.
ARP-Spoofing означает, что она заставляет все устройства в сети думать, что DroidSheep — маршрутизатор, и пропускает все данные через себя. Это может оказать существенное влияние на скорость работы сети, так что пользуйтесь с осторожностью.»
Остаётся неясным, зачем тут DNS-Spoofing, а также почему это будет оказывать влияние на скорость работы сети. Да, вики по ключевым словам посмотрел.
Или, судя по термину «страница» (в html-статьях нет страниц), есть какая-то PDF-ка с технической статьёй? В таком случае я её не нашёл, поделитесь ссылкой?
Я не совсем точно выразился, то что можно прослушивать незащищённые сети — понятно. Меня интересуют детали того, что программа делает в защищённой сети. В местной статье на эту тему есть лишь один абзац:
«Для защищенных WPA/WPA2 Wi-Fi-сетей программа использует DNS-Spoofing атаки.
ARP-Spoofing означает, что она заставляет все устройства в сети думать, что DroidSheep — маршрутизатор, и пропускает все данные через себя. Это может оказать существенное влияние на скорость работы сети, так что пользуйтесь с осторожностью.»
Остаётся неясным, зачем тут DNS-Spoofing, а также почему это будет оказывать влияние на скорость работы сети. Да, вики по ключевым словам посмотрел.
Первой была мысль: ставить такого рода приложение на рутованный телефон уже русская рулетка. Однако, оказалось что этот проект open source (GPL 3) и паранойя практически сошла на нет. Вывод: юзабельно!
Какая-то это неправильная паранойя, что она сходит лишь от этого факта.
Логично, что она сходит от того, что можно посмотреть лично, как работает вся эта радость и убедиться в том, что ничего опасного там нет. Я уже даже не знаю, как можно более эффективно выгнать паранойю.
Я уверен, что maxvodo успел проверить все исходники и убедиться в отсутствии «закладок» и «backdoor»-ов.
Теперь и я со спокойной душой могу ставить себе эту софтину.
Теперь и я со спокойной душой могу ставить себе эту софтину.
VPN спасет от таких случайных связей.
впн надо во первых купить, во вторых настроить, и я очень сомневаюсь что большинство пользователей мобильных устройств этим займутся, так что угроза очень даже серьезна.
У нас в универе заблокированы все порты кроме 80. Даже пинги не проходят и 443 порт. Так что vpn даже тяжеловато.
а кто мешает поднять VPN на 80ом?
OpenVPN не входит в стандартную поставку android, a pptp и l2tp не поддерживают настройку портов. Понятноедело что те кто ставят кастомные прошивки еще смогут себя защитить, но большинство пользователей окажутся под угрозой.
Обычный VPN в андроиде 2.3 (или даже ниже) по умолчанию. Его поднять на 80 порту нельзя? (я реально не знаю)
А OpenVPN в Циане и прочих сборках имеется, правда у меня не удалось его завести: требуется импортировать в телефон сертификат определённого формата, но даже после этого служба выдавала ошибку, соответствующую некорректному формату сертификата.
А OpenVPN в Циане и прочих сборках имеется, правда у меня не удалось его завести: требуется импортировать в телефон сертификат определённого формата, но даже после этого служба выдавала ошибку, соответствующую некорректному формату сертификата.
Зачем покупать vpn?
Для защищенных WPA/WPA2 Wi-Fi-сетей программа использует DNS-Spoofing атаки.
Ну т.е. https все равно спасает.
Ну т.е. https все равно спасает.
DroidSheep Guard кто нибудь уже опробовал?
А прога-защитик как работает?
+5 к паранойе
Я еще air-crack поднимал.
Неужели с любым телефоном работает? То есть с любым железом.
На сколько я понимаю, нужно переводить интерфейс в неразборчивый режим, что на компе даже не со всем WI-FI чипами работает. Или просто телефон становится шлюзом?
На сколько я понимаю, нужно переводить интерфейс в неразборчивый режим, что на компе даже не со всем WI-FI чипами работает. Или просто телефон становится шлюзом?
Месяца 3 юзаю в своих целях, безвредных: Р
HTTPS наше всё!
как же хорошо не иметь ничего из вышеперечисленного…
> Для защищенных WPA/WPA2 Wi-Fi-сетей программа использует DNS-Spoofing атаки.
ARP-Spoofing означает, что она заставляет все устройства в сети думать, что DroidSheep — маршрутизатор, и пропускает все данные через себя.
Таки DNS-Spoofing в сабже или ARP?
ARP-Spoofing означает, что она заставляет все устройства в сети думать, что DroidSheep — маршрутизатор, и пропускает все данные через себя.
Таки DNS-Spoofing в сабже или ARP?
DNS-Spoofing через ARP-Spoofing. ARP-cпуфится ip DNS-сервера и при резолве подсовывается ip MitM хоста.
Обычный ARP спуфинг там, подменяется IP адрес шлюза по умолчанию, так ведь проще :)
А если подменять DNS, ну увидите вы DNS траффик, что с ним делать то? нам же HTTP нужен.
А если подменять DNS, ну увидите вы DNS траффик, что с ним делать то? нам же HTTP нужен.
Вот насчёт DNS-спуфинга у меня и недоумение. Ведь:
1) Зачем он нужен, если достаточно заспуфить адрес шлюза?
2) У DNS есть кэш. То есть при начале спуфинга, если пользователь уже сидит вконтактике, нужно ждать долго, прежде чем кэш протухнет и клиент сделает новый DNS-запрос. И после того как мы отсоединимся, фэйковые записи останутся в кэше клиента, он не сможет подключаться к сайтам и заподозрит что-то
3) DNS-сервер может быть вообще не в этом сегменте сети, то есть заспуфить его с помощью ARP может не получиться
1) Зачем он нужен, если достаточно заспуфить адрес шлюза?
2) У DNS есть кэш. То есть при начале спуфинга, если пользователь уже сидит вконтактике, нужно ждать долго, прежде чем кэш протухнет и клиент сделает новый DNS-запрос. И после того как мы отсоединимся, фэйковые записи останутся в кэше клиента, он не сможет подключаться к сайтам и заподозрит что-то
3) DNS-сервер может быть вообще не в этом сегменте сети, то есть заспуфить его с помощью ARP может не получиться
А ещё. Некоторые сайты используют SSL, например mail.google.com. А теперь вопрос, если человек заходит на главную страницу Google (без SSL), его куки компрометируются и под его логином становится возможным зайти на главную. Сможет ли злоумышленник теперь с этими куками зайти в защищённые SSL разделы сайта?
Ну или зашёл на главную страницу банка залогиненный. Куки спалились и злодей после этого может зайти и на защищённые разделы, типа интернет банка.
Иными словами делают ли нынешние веб разработчики разные наборы кук для защищённых и не защищённых SSL разделов сайта?
Гуру веб, просветите?
Ну или зашёл на главную страницу банка залогиненный. Куки спалились и злодей после этого может зайти и на защищённые разделы, типа интернет банка.
Иными словами делают ли нынешние веб разработчики разные наборы кук для защищённых и не защищённых SSL разделов сайта?
Гуру веб, просветите?
Насколько я помню, когда заходишь например в gmail то SSL проходит обязательно. Думаю есть защищенные куки.
Для gmail вроде не получается с теми куками в почту зайти (по крайней мере с телефона). Но вот после сниффинга кук с главной страницы яндекса (на которую человек заходит по http) удается зайти в почту яндекса (то что в самой почте в настройках включён SSL помехи не создает).
В какой-то мере решением данной проблемы является гостевая зона (в ней клиенты не могут взаимодействовать друг с другом), работает даже в распространённых недорогих длинках, типа DIR-300.
И да, хотелось бы всё-таки почитать технические детали. А также стандартные способы защиты.
В какой-то мере решением данной проблемы является гостевая зона (в ней клиенты не могут взаимодействовать друг с другом), работает даже в распространённых недорогих длинках, типа DIR-300.
И да, хотелось бы всё-таки почитать технические детали. А также стандартные способы защиты.
Нужно выставлять secure флаг (Indicates that the cookie should only be transmitted over a secure HTTPS connection from the client. When set to TRUE, the cookie will only be set if a secure connection exists. On the server-side, it's on the programmer to send this kind of cookie only on secure connection). Ну и само собой httponly флаг нужно не забывать ставить, дабы минимизировать возможный выхлоп злодеев при XSS-атаках.
Угу. Но чтобы после аутентификации через SSL пользователь оставался аутентифицированным и на незащищённых разделах сайта (например главная страница), нужен ещё один набор кук, который он сможет передавать по plain-http-соединениям, не так ли?
То есть после аутентификации нужно устанавливать два набора кук. Один secure, а другой нет. И в защищённых разделах сайта требовать наличия именно secure кук. Такими сложностями кто-то заморачивается?
То есть после аутентификации нужно устанавливать два набора кук. Один secure, а другой нет. И в защищённых разделах сайта требовать наличия именно secure кук. Такими сложностями кто-то заморачивается?
НЛО прилетело и опубликовало эту надпись здесь
А AVG антивирус сказал якобы это вирус
Капитан Очевидность просит дополнить, что она спуфит любой* шлюз. Если это какой-нибудь DIR-300, то я буду получать данные и с компов, подключённых проводом к нему, а если Wi-Fi-роутер — всего лишь точка доступа, то я получаю доступ и к проводным клиентам, которые ходят через общий со мной шлюз.
*если админ не настроил изоляцию клиентов
Да, и когда я включаю перехват у себя дома, то начинаются некислые провалы в хождении пакетов (даже при том, что у меня сейчас в сети только один компьютер).
*если админ не настроил изоляцию клиентов
Да, и когда я включаю перехват у себя дома, то начинаются некислые провалы в хождении пакетов (даже при том, что у меня сейчас в сети только один компьютер).
Если это какой-нибудь DIR-300, то я буду получать данные и с компов, подключённых проводом к нему
По умолчанию встроенный свич не ведет себя как хаб, а маршрутизирует фреймы только между задействованными участниками. Не так уж легко заставить DIR-300 включить широковещательный режим, чтобы с wi-fi можно было прослушать проводной трафик. А некислые провалы начинаются из-за того самого arp-spoofing, который перекладывает функцию маршрутизатора на ваш андроидофон ради перехвата трафика. Это два разных механизма, которые не следует путать.
Проверил. Точка доступа ZyXEL Keenetic Lite, телефон — GalaxyS II, 2.3.4 официал. Не работает ((
После запуска программы на телефоне с ноутбука вообще не смог зайти на FB. Как только нажал «STOP»- FB сразу откликнулся. Проверил 4 раза подряд. (wifi wpa2)
Не было такого?
Не было такого?
НЛО прилетело и опубликовало эту надпись здесь
«Торжественно клянусь, что замышляю только шалость!»
Никогда не пользуюсь публичными Wi-Fi сетями.
Никогда не пользуюсь публичными Wi-Fi сетями.
Бедный Иннокентий, не повезло бедолаге.
Для защищенных WPA/WPA2 Wi-Fi-сетей программа использует DNS-Spoofing атаки.
ARP-Spoofing означает, что она заставляет все устройства в сети думать, что DroidSheep — маршрутизатор, и пропускает все данные через себя
При чём тут WPA/WPA2? Я так полагаю, DNS-Spoofing или ARP-Spoofing потребуется независимо от наличия\отсутствия шифрования в сети на канальном уровне.
Если необходимо мониторить незашифрованные (без SSL, мобильные версии сайтов) соединения уж лучше использовать aircrack. Хотя, с ним приходится ещё повозиться, чтоб под андроид поставить. Но у некоторых это получается
Нет, в случае открытого соединения вовсе необязательно применять какие либо ухищрения чтобы получить трафик предназначающийся другим пользователям, он передается «по воздуху» — а значит во все стороны, достаточно просто послушать эфир.
А вот в случае использования WPA/WPA2 на физическом уровне используется механизм изоляции клиентов, и даже поймав чужой пакет (будучи подключенным к сети) вы не сможете расшифровать его, так как он зашифрован другим ключем, именно из за этого необходимо получить пропустить его через себя на канальном уровне.
А вот в случае использования WPA/WPA2 на физическом уровне используется механизм изоляции клиентов, и даже поймав чужой пакет (будучи подключенным к сети) вы не сможете расшифровать его, так как он зашифрован другим ключем, именно из за этого необходимо получить пропустить его через себя на канальном уровне.
Что-то я делаю не так — у меня чего-то не перехватывает. Кстати от таких перехватов есть и контрсредство — wifi protector (тоже требует рута, сидит в фоне и если кто пытается перехватить показывает).
Такие новости надо ставить в ровень с рекламой детсткой порнографии. А «афтаров» сиих творений — к химической кастрации.
tcpdump в красивом обрамлении. :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Перехват аккаунтов пользователей в Wi-Fi-сетях с Android