Просто о сложном, интересно о простом
Как провайдер может украсть ваши пароли
04/06/2019
Вас когда-нибудь посещали мысли о том, что у банковских работников? имеющих доступ к данным клиентов, есть возможность оформить на вас кредит? Или вы беспокоились о том, что официант может чихнуть в суп, когда вы его не видите? А может вы переживаете о том, что у провайдера есть прямой доступ к абонентскому трафику и любой сотрудник волен украсть ваши пароли?
Конечно о том, как обстоят дела в банке и на кухне лучше спрашивать у официанта и клерка, зато о внутренней «кухне» провайдера рассказать сможем.
Конечно о том, как обстоят дела в банке и на кухне лучше спрашивать у официанта и клерка, зато о внутренней «кухне» провайдера рассказать сможем.
Вас когда-нибудь посещали мысли о том, что у банковских работников? имеющих доступ к данным клиентов, есть возможность оформить на вас кредит? Или вы беспокоились о том, что официант может чихнуть в суп, когда вы его не видите? А может вы переживаете о том, что у провайдера есть прямой доступ к абонентскому трафику и любой сотрудник волен украсть ваши пароли?
Конечно о том, как обстоят дела в банке и на кухне лучше спрашивать у официанта и клерка, зато о внутренней «кухне» провайдера рассказать сможем.
Конечно о том, как обстоят дела в банке и на кухне лучше спрашивать у официанта и клерка, зато о внутренней «кухне» провайдера рассказать сможем.
Самые близкие люди
Самые близкие люди
Начнем с тех, чья работа быть к абоненту ближе всех. В каждой компании этих людей называют по-разному, но характер работ у них схож: подключение, установка и настройка клиентского оборудования, помощь абонентам, установка коммутаторов доступа (штуки, к которым подключаются домашние роутеры). В нашем примере это будет техник Петя.
Если Петя замыслит украсть ваш логин и пароль от vk.com, ему понадобится:
- круглосуточный доступ к коммутатору, который обычно находится на техническом этаже дома (чтобы подключить свой ноутбук);
- знание внутренних учетных записей (для доступа на сам коммутатор);
- умение настраивать коммутатор (чтобы отзеркалить на свой ноутбук все, что вы делаете в интернете)
Помимо вышеперечисленного ему потребуется перехватить трафик именно в тот момент, когда вы будете вводить логин и пароль.
А еще полученный трафик надо проанализировать, чтобы вычленить из него десяток символов, составляющих ваш логин и пароль. И все это будет оправдано только при условии, что ваш логин и пароль передаются на сервер в незашифрованном виде (в современном интернете такое можно встретить на любительских сайтах, да и то редко).
Минусы в реализации этого способа
А еще полученный трафик надо проанализировать, чтобы вычленить из него десяток символов, составляющих ваш логин и пароль. И все это будет оправдано только при условии, что ваш логин и пароль передаются на сервер в незашифрованном виде (в современном интернете такое можно встретить на любительских сайтах, да и то редко).
Минусы в реализации этого способа
- сложно получить круглосуточный доступ к коммутатору т.к. их устанавливают в местах, куда имеют доступ только сотрудники управляющей компании
- сложность в получении доступа к внутренним учетным записям позволяющим настраивать коммутатор
- требуется немалый багаж знаний для настройки сетевого оборудования и анализа трафика
- большая вероятность того, что слитый трафик будет зашифрован.
Самые вежливые люди
Как работает и обучается
Очевидно, что работая техником, Петр вряд ли сможет узнать ваш пароль. Теперь представим, что он работает в технической поддержке, чтобы получить более широкие возможности для реализации своего замысла.
Как инженер технической поддержки Петр уже легально может управлять коммутатором доступа и даже зеркалировать абонентский трафик на какой-нибудь сервер, где он сможет его проанализировать.
Как инженер технической поддержки Петр уже легально может управлять коммутатором доступа и даже зеркалировать абонентский трафик на какой-нибудь сервер, где он сможет его проанализировать.
Остается нерешенной проблема с отловом момента, в который вы введете логин и пароль. Смотреть и анализировать трафик в режиме реального времени Петя может, а вот куда-то записывать его — нет. Ведь у него нет прав, чтобы сохранять слитый трафик на сервере.
Получается, что в арсенале Петра только урезанный доступ на коммутаторы, абонентское оборудование и расписанная по минутам рабочая смена, без возможности долго анализировать абонентский трафик.
Минусы в реализации этого способа:
Получается, что в арсенале Петра только урезанный доступ на коммутаторы, абонентское оборудование и расписанная по минутам рабочая смена, без возможности долго анализировать абонентский трафик.
Минусы в реализации этого способа:
- требуется набор знаний по настройке сетевого оборудования и анализа трафика;
- требуется большое количество времени на отлов момента ввода логина и пароля от нужного сайта;
- слитый трафик по прежнему остается зашифрован
Самые незаметные люди
Самые незаметные люди
Но наш герой не расстроился, а пошел дальше, потратив пару пару лет на изучение сетей и погружение в IT. Теперь он не просто Петя, а Петр Батькович — системный администратор. Может еще не все, но уже многое.
Например, он может создать отдельный канал связи от коммутатора доступа, до неприметного сервера. В этот канал связи он будет зеркалировать абонентский трафик и записывать его на сервере. Права доступа и необходимые навыки для этого у него есть.
Но тут появляется другая загвоздка — у части провайдеров есть процесс валидации сети. Это значит, что некая система регулярно проверяет настройки оборудования на соответствие тому, что отражено в базе оплаченных клиентами услуг. И если она находит каналы связи, которые клиенты не покупали, то эти настройки откатываются.
В результате получаем следующие минусы
Посмотрим на ситуацию со стороны: Петр тратит несколько лет на получение необходимых знаний, затем пару лет карабкается по карьерной лестнице, чтобы попасть в нужную компанию и нужный отдел. Затем он проводит большое количество работы по сливу и отсеиванию нужного трафика.
И вот он получил ваши логин и пароль, но они во все еще зашифрованы. Если Петр найдет универсальный способ расшифровывать хэшированные данные, то станет серьезной угрозой безопасности интернета. Ведь многие веб-приложения используют способы защиты основанные именно на алгоритме хэширования.
Если подытожить, получается, что все попытки нарушить приватность со стороны провайдера настолько ресурсозатратны, что становятся совсем непривлекательными. Злоумышленникам вряд ли захочется заморачиваться, да и усилия того явно не стоят. Другое дело социальная инженерия. Но это уже дело совсем других ребят.
Но тут появляется другая загвоздка — у части провайдеров есть процесс валидации сети. Это значит, что некая система регулярно проверяет настройки оборудования на соответствие тому, что отражено в базе оплаченных клиентами услуг. И если она находит каналы связи, которые клиенты не покупали, то эти настройки откатываются.
В результате получаем следующие минусы
- Петру придется регулярно перенастраивать оборудование, чтобы сливать ваш трафик;
- количество слитого за сутки трафика очень велико т. е. еще до процедуры анализа уйдет уйма времени, чтобы отсеять нужную информацию (основная масса трафика — это котики и прочие прелести интернета).
Посмотрим на ситуацию со стороны: Петр тратит несколько лет на получение необходимых знаний, затем пару лет карабкается по карьерной лестнице, чтобы попасть в нужную компанию и нужный отдел. Затем он проводит большое количество работы по сливу и отсеиванию нужного трафика.
И вот он получил ваши логин и пароль, но они во все еще зашифрованы. Если Петр найдет универсальный способ расшифровывать хэшированные данные, то станет серьезной угрозой безопасности интернета. Ведь многие веб-приложения используют способы защиты основанные именно на алгоритме хэширования.
Если подытожить, получается, что все попытки нарушить приватность со стороны провайдера настолько ресурсозатратны, что становятся совсем непривлекательными. Злоумышленникам вряд ли захочется заморачиваться, да и усилия того явно не стоят. Другое дело социальная инженерия. Но это уже дело совсем других ребят.
Понравилась статья? Поделись с другом!
