Метка: ettercap ng mitm

Скажу пару слов о концепции активной системы. До настоящего времени в сети витала идея перехвата проходящих данных через узлы tor. В этом случае система имеет пассивную концепцию сбора информации, и её операторы вынуждены довольствоваться теми, которые попадут в их «сети». Однако, о внутренних ресурсах сети tor можно получить куда больше информации, если для её сбора использовать концепцию активной системы мониторинга.

Обязательным условием для нормального обмена информацией с внешними интернет-ресурсами через exit node является наличие ответа от веб-сервера, который наша выходная нода должна в обязательном порядке доставить до tor-абонента. В противном случае, если через ноду идут только запросы к веб-серверам, остающиеся без ответа, ты можешь понять, что имеет место DDoS атака.

Тема деанонимизации пользователя и описание её техник требуют отдельного времени, но можно сделать вывод, что ряд её техник могут помочь в получении информации об актуальных ресурсах. Задача нетривиальная, и подойти к её решению можно разными способами. В данном случае всё зависит от фантазии владельца exit node. Например, можно использовать техники социальной инженерии и спровоцировать (от имени администратора запрашиваемого ресурса) пользователя сети tor отправить какую-либо информацию о себе и посещённых ресурсах. В качестве альтернативного средства можно попытаться загрузить на компьютер пользователя сети tor какую-либо «полезную нарузку», например ZeUS, CarberP или Meterpteter.

Традиционные веб-технологии также могут помочь в решении данной задачи. Например, cookies, которые владельцы веб-сайтов используют для получения статической информации о посетителях. Необходимо отметить, что cookies обладают ограниченным временем жизни и, кроме того, пользователь может удалить их в любой момент. По этой причине разработчики идут на различные уловки, чтобы повысить время жизни и объём информации, хранимой в cookie-файлах.

Одним из способов является использования хранилища Flash, в таком случае информация хранится в LSO-файлах (local shared objects), которые схожи с cookie-файлами и тоже хранятся локально на компьютере пользователя. Кроме того, существует ещё более мощный инструмент для работы с cookies — JavaScript-библиотека evercookie. Данная библиотека предоставляет возможность создавать трудноудаляемые cookies путём использования одновременно обычных HTTP-cookie, LSO-файлов и HTML5.

И как ты понял, всю эту информацию можно извлечь активной системой мониторинга.

Большой интерес для спецслужб США представляет трафик интернет из России

Бывший сотрудник Booz Allen Hamilton и подрядчик Агентства Национальной Безопасности США Эдвард Сноуден раскрыл новые подробности о слежке американских спецслужб за российским интернет-трафиком. Так, в четверг, 4 июля Сноуден предоставил журналистам из Германии очередную порцию секретных документов Агентства национальной безопасности США (АНБ).

Из документов следует, что АНБ и GCHQ имели неограниченный доступ к одному из крупнейших мировых интернет-узлов DE-CIX, расположенному в Франкфурте-на-Майне (Германия). Через этот узел ежедневно проходит больше интернет-трафика, чем через аналогичные точки в других городах (до 2,5 ТБ/с).

Несмотря на то, что в документах не уточняется, каким именно образом спецслужбы осуществляли слежку, становится ясно, что основной интерес для них представлял интернет-трафик из России, так как именно через DE-CIX проходит основная часть данных из РФ, стран Восточной Европы и Ближнего Востока.

Браузеры блокируют поддельные цифровые сертификаты Google от спецслужб Франции

Компании Microsoft, Mozilla и Opera Software поддержали решение Google блокировать цифровые сертификаты, с помощью которых спецслужбы Франции совместно с АНБ могли осуществлять слежку за госслужащими. Цифровые сертификаты выдал французский центр сертификации, который напрямую подчиняется агентству по защите информации и сетей ANSSI (Agence nationale de la securite des systemes d’information). Поддельный сертификат Google устанавливался на сетевом маршрутизаторе и мог использоваться для подделки пакетов в адрес ряда сайтов Google, включая google.com и youtube.com, фишинговых атак и MiTM-атак.

Компания Google первой заблокировала эти сертификаты для пользователей браузера Chrome. Такое решение было принято после четырехдневного расследования. В понедельник аналогичным образом поступили Microsoft, Mozilla и Opera Software.

Агентство ANSSI объяснило инцидент «ошибкой из-за человеческого фактора… возникшей во время процесса по усилению общей информационной безопасности министерства финансов».

Аналогичные инциденты с выпуском поддельных сертификатов происходили и раньше. В середине 2011 года турецкий центр сертификации Turktrust выдал поддельный сертификат Google. Его обнаружили в декабре 2012 года и заблокировали в январе 2013 года. Сейчас реакция разработчиков оказалась более оперативной.

в последнее время мне начали задавать много вопросов, как подключить приватную АС, что это такое и для чего она нужна…

Скажу стразу, у этой услуги двойное назначение и если лох придет её подключать в офис какого-нибудь оператора связи, его просто не поймут что он хочет подключить.

В настоящее время амеры подключают эту услугу на Амазоне, называется она у них Amazon Direct Connect и выглядит примерно так

но кроме успешной регистрации на сайте Амазона вам ещё потребуется включиться в порт одного из провайдеров-партнёров Амазона, их список приведен так же на сайте.

Но что делать, если мы живем не в Америке, и из местных провайдеров есть лишь один Ростелеком? — тогда проще написать запрос руководителю местного отделения на подключение с использованием приватной АС, потому как мальчики и девочки, подключающие на улице население к сети интернет, вас просто не поймут, о чём вы вообще у них просите.