På gr af den forbedrede NDIS 6.x API i Vista og Windows 7, er det meget
nemt at sætte en trådløs NIC i Monitor Mode med MS Network Monitor - når
det understøttes af hardware'en. Meget nemmere end med Wireshark.
Nyere NIC kan sættes i 3 modes: normal mode - hvor det kun er datapakker
med NIC'ens Mac adresse der viderebehandles i OS'et, Promiscuous Mode -
hvor det er alle datapakkerne som NIC'en kan opsnappe fra kabel, hub
eller AP der viderebehandles i OS'et, og så Monitor Mode - hvor det
trådløse NIC henter alle datapakker den kan opsnappe som radiosignal fra
rummet der viderebehandles i OS'et.
Man kan endvidere indstille NIC'en i Capture, i NM, til kun at aflytte
nærmere bestemte pakker på de frekvenser (f.eks 802.11b, kanal, osv) der
er interessante, for på den måde spare resourcer, og opsamle de
ukrypterede datapakker indenfor radiorækkevidde i en fil.
Er der så nogen der har benyttet et nærliggende AP (Hot Spot) til at
logge på via en ukrypteret logon process, så fanger NIC'en pakkerne,
hvorefter NM behandler og gemmer pakkerne. Både de pakker der kommer
trådløst fra AP'en, og de pakker der kommer trådløst fra klienterne.
Et eksempel. Her er et link til en Capture fil, som er sniffet med NM,
hvor jeg "logger på" hos Datatid.dk over en åben AP derhjemme. Jeg har
ingen logon konto der, men pakken med oplysning om bruger-id (pladder)
og password (balle) kommer til at ligge i filen. Logon sker heller ikke
der over en sikker forbindelse til Datatid.dk.
http://users.cybercity.dk/~dsl487543/Datatid.cap
Filen kan både læses med NM (v3.4) og med Wireshark (v1.4.1). For
nemmest at finde pakken med oplysningen, bør man benytte et display
filter.
Filter i Wireshark, Mac OS X 10.5.8 kan se sådan ud:
http.request.method contains "POST"
Filter i NM, Windows Vista SP1 kan se sådan ud:
[fyld].protocol.HTTP.Request.Command=="POST"
Se bort fra [fyld]. Den er med her, fordi NNTP ikke kan li' et "." først
på linien.
Både Wireshark og NM checker syntaksen. I NM, når man skriver et filter,
starter man med det første "." og derefter får man menuer til at vælge
fra. Meget brugervenligt.
Har du hentet ovennævnte .cap fil og fundet logon info, men stadig mener
der er en forsvindende lille sikkerhedsrisiko, fordi det er kompliceret,
så kan det gøres endnu nemmere.
Israeleren Nir Sofer har bl.a skrevet et lille program, SniffPass.exe
som kan hentes fra hans HP her:
http://nirsoft.net/
Jeg har brugt lidt tid med at læse hans blog, og han virker seriøs, så
selv om Symantic advarer mod SniffPass som HackTool.SniffPass på deres
HP:
<
http://www.symantec.com/security_response/writeup.jsp?docid=2010-011515
-5548-99>
Kort link:
http://tinyurl.com/39xxjdn
-så tror jeg ikke der er noget der tyder på den indeholder malware. Jeg
har dog ikke prøvet den.
Fordelen ved SniffPass er, efter beskrivelsen, at den kan benytte NM3's
interface til at indstille det trådløse NIC i MM. Og så behøver man
heller ikke lave et filter, selv om det er forholdsvis nemt.
Det er efterhånden så nemt at sniffe bruger-id og passwords over
ukrypterede forbindelser, at der bør advares på det kraftigste mod at
man logger på sådanne tjenester som Version2, Datatid osv via
ukrypterede AP ved Hot Spots, Gratis Danmark i S-tog eller busser m.fl.
Jeg mener det en skandale, at disse tjenester ikke advarer mod det, i
stedet for at pege fingre ad andre bl.a Fjæsbog, som man oplevede
Version2 gøre det. Eller i det mindste bruge HTTPS under logon, som
Hotmail gør. Den tjeneste er osse gratis.
--
Banned from Version2.dk for writing a Firesheep script.