Arvutiteaduse instituut
  1. Kursused
  2. 2023/24 kevad
  3. Andmeturve (LTAT.06.002)
EN
Logi sisse

Andmeturve 2023/24 kevad

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Praktikum 8 - Võrguliikluse pealtkuulamine

Käesolevas praktikumis uurime, kuidas on võimalik lokaalses võrgus liiklust pealt kuulata ning mängime läbi kaks reaalset rünnet SSH man-in-the-middle ja turvamata võrguliikluse pealtkuulamine ARP spoofingu abil ning vaatame HTTPS vahendusrünnet.

Käesolevas praktikumi juhendis on kohustuslikud käsud enamasti värvilistes kastides, kus esimene märk (# või $) näitab, kelle õigustes tuleks seda käivitada, et vältida hilisemaid probleeme (nt tavakasutaja tahab muuta faili, mis loodi kogemata root'i õigustes).

0. Ettevalmistuseks

Käesolevas praktikumis kasutame juba varasemalt tuttavat Linux Mint virtuaalmasinat. Selleks, et saaksite teiste samas kohalikus võrgus asuvate masinatega koostööd teha, ühendage Mint virtuaalmasin otse lokaalsesse võrku muutes virtuaalse võrgu adapteri tüübiks Bridged Adapter.

0.1. Käivita Virtualbox.

0.2. Virtuaalmasina seadete all muuda võrguadapteri tüübiks Bridged Adapter ja võrgukaardiks valida Intel Ethernet Connection ... või näiteks Intel (R) Dual Band Wireless-AC 8260 vastavalt sellele, millise nimega adapteriga (kaabliga või Wi-Fi-ga) on teie host arvuti ühendatud Internetti. Näited töötavad stabiilsemalt ja väiksemate vigadega kui kasutate praktikumi sooritamiseks kaabliühendust. Kui kaabliühendus siiski eriolukorras saadaval pole, peaksid näited enamasti töötama ka üle Wi-Fi ühenduse.

0.3. Täiendavalt soovitame anda Linux Mint virtuaalmasinale 3 GB RAM (muutmälu), sest siis töötab virtuaalmasin stabiilsemalt (kui teil on ainult 4 GB RAM siis peaks 2GB ka sobiv olema).

0.4. Käivita Linux Mint virtuaalmasin ja logige sisse. Kui käivitamine võtab kauem kui tavaliselt siis on teil võrguadapter valesti seadistatud (käivitamise ajal SHIFT+F1 või CTRL+ALT+F1 avab tekstilise vaate ja F7, F8 või CTRL+ALT+F7 viib tagasi graafilisse vaatesse). Tuletame meelde, et bridge mode on lubatud ainult koduste Wi-Fi võrkude puhul (ei tööta eduroam ega enamik teiste enterprise turvalisusega traadita võrguühenduste puhul). Alternatiivina saate praktikumi sooritada telefoni hotspot kasutades. Arvutiklassis on kasutada Andmeturve-2GHz ja Andmeturve-5GHz Wi-Fi, mille parooliks on aine kood.

0.5. Kontrollige, et teie Linux Mint virtuaalmasinale anti marsruuteri poolt IP-aadress (käsk ip a). Lisaks avage Linux Mint virtuaalmasinas käesolev praktikumijuhend: Applications -> Firefox -> courses.cs.ut.ee -> Andmeturve -> Praktikumid -> Praktikum 8.

0.6. Kui vahetate virtuaalmasina võrgu ühendumise tüüpi või host arvutis Wi-Fi võrku, võib olla vaja sundida virtuaalmasinat uuendama oma võrguseadistust. Vajadusel saate sundida Linux operatsioonisüsteemi draiverit võrgukaardi seadistust uuendama käskudega:

  • $ sudo ifconfig enp0s3 down
  • $ sudo ifconfig enp0s3 up

või

  • sudo systemctl restart NetworkManager

ÕIS-i parooli vahetamine

Tänases praktikumis katsetame SSH vahendusrünnet, mis võimaldab teada saada teie TÜ kasutajatunnuse ja parooli. Käesolevas praktikumis ründame iseennast, kuid kui midagi läheb valesti, siis on võimalik, et teie ÕIS'i parool võib lekkida (keegi teine seda näha). Seega on soovitatav enne järgmiste tegevuste juurde asumist oma ÕIS'i parool ära vahetada ajutise parooli vastu või kui niikuinii oli plaanis turvakaalutlustel parooli vahetada, siis on tekkinud sobilik hetk selleks. Pärast praktikumi saate vajadusel oma parooli tagasi muuta. Parooli saate vahetada lehel https://parool.ut.ee/ või https://passwd.ut.ee/.

Rohkem infot: https://wiki.ut.ee/display/AA/Parooli+vahetamine.

1. Pakettide pealtkuulamine Wireshark abil

NB! Järgnev tegevus toimub Linux Mint virtuaalmasinas.

Wireshark abil saab näha kõiki pakette, mis võrguliidesest läbi käivad. Selleks, et Wireshark saaks võrguliidest pealt kuulata, tuleb ta käivitada root õigustes. Selleks andke käsud: 

$ sudo apt update
$ sudo apt install wireshark
$ sudo wireshark

Vajutage Wiresharki tööriistaribal nupule Capture -> (hammasratta märk) Options... ja alustage pakettide püüdmist sellel võrguliidesel, mille IP aadressi te eelnevalt juba välja selgitasite (tõenäoliselt enp0s3 või eth0), käsuga Start.

Otsitava informatsiooni väljafiltreerimiseks võib kasutada erinevaid filtreid (trükkida Wiresharki filtriribale), kasutage ENTER filtri kinnitamiseks ja x tühistamiseks:
ip.addr == 192.168.1.153 - Näitab ainult pakette, mille lähte- või siht-IP-aadress on 192.168.1.153.
tcp.port == 22 - Näitab ainult pakette, mille TCP lähte või siht-pordiks on 22.
http.request.method == "POST" - Näitab ainult HTTP POST-meetodiga tehtud päringute pakette. Nende päringutega saadetakse tavaliselt kasutaja sisestatud infot (näiteks sisselogimised, submission box jne...)
Erinevaid filtreid saab kombineerida loogiliste tehetega: && (ja), || (või), != (ei ole).

1.1. Proovime nüüd oma Linux Mint virtuaalmasinas liikuvaid pakette Wireshark abil üles leida. Avage veebilehitseja ja külastage lehte http://andmeturve-lab.appspot.com. Sisestage seal olevatele sisendväljadele oma eesnimi, perenimi ja sõnum ning vajutage submit.

  • Minge tagasi Wiresharki ja pange filtriks http.request.method == "POST" ning ENTER selle rakendamiseks. Uurige leitud paketti lähemalt ja leidke sealt üles oma eesnimi ja sõnum. Kas perenimi ehk Parool on nähtav? Miks?
    • Sulgege veebilehitseja.

1.2. Järgmiseks soovime pealt kuulata telnet ühendust. Selleks on meil vaja mingit telnet-serverit kuhu ühenduda. Lihtsuse huvides kasutame hetkel teie enda Linux Mint virtuaalmasinat. Installeerige sinna telnet server: 

sudo apt install xinetd telnetd tcpd

Seejärel muutke konfiguratsioonifaili inetd.conf käsuga sudo nano /etc/inetd.conf. Lisage sinna üks rida (kui faili ei eksisteeri, siis loogegi üherealine fail): 

telnet stream tcp nowait telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd

Seejärel muutke konfiguratsioonifaili xindetd.conf käsuga sudo nano /etc/xinetd.conf. Tulemus võiks välja näha selline: 

# Simple configuration file for xinetd
#
# Some defaults, and include /etc/xinetd.d/
defaults
{
# Please note that you need a log_type line to be able to use log_on_success
# and log_on_failure. The default is the following :
# log_type = SYSLOG daemon info
instances = 60
log_type = SYSLOG authpriv
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}

includedir /etc/xinetd.d

Viimaks: 

sudo /etc/init.d/xinetd restart

Sulgege Wireshark -> Stop and Quit without Saving. Käivitage Wireshark uuesti, kuid nüüd valige kuulatavaks liideseks Any. 

$ sudo wireshark
# Valige käivitamisel liideseks Any

Võtke teine terminal, tehke telnet enda Mint virtuaalmasinasse 192.168.XX.MMM (teie Mint masina IP) ning logige sisse praktikum 7 loodud kasutajaga tudeng ja parooliga 1234567890: 

$ telnet 192.168.XX.MMM

Küsitakse kasutajat ja parooli tudeng ja 1234567890. Järgnevalt mõned käsud, et väljundi hiljem ära tunneksite: hostname, ip a, ls ja logige välja (exit).

Uurige nüüd, kas teil õnnestub Wireshark abil üles leida telneti paketid ning telneti teel kasutatud käskude sisu lugeda (Filtreerimise vihjeks: tcp.port == 23). Telnet paketi peal tehke parem hiireklahv ja Follow -> TCP Stream -> saate näha loetaval kujul telnet kanalis saadetud ja vastu võetud liiklust (telnet on krüpteerimata liiklus ja seega kõik, kellel on edastuskanalile ligipääs, saavad pealt kuulata sarnaselt HTTP ühendusele).

1.3. Edasi testime krüpteeritud liiklust ssh ühendusega. Logige ssh abil oma Mint masinasse: 

$ ssh tudeng@192.168.XX.MMM

Kasutajana: tudeng Parool: 1234567890: Andke seal samuti mõned käsud ja logige välja.

Uurige sarnaselt telnet-i pealtkuulamise ülesandega nüüd, kas teil õnnestub Wireshark abil lugeda krüpteeritud SSH pakette. (Filtreerimise vihjeks: ssh kasutab porti 22). Kuna SSH paketid on krüpteeritud, siis paketi sisu peaks olema loetamatul kujul.

1.4. Lõpetage aktiivne pakettide püüdmine vajutades punast värvi nupule, mille nimeks on "Stop capturing packets".

2 Rünne: ARP spoofing ja turvamata veebilehed

Järgmisena vaatame, kuidas on võimalik ARP-i võltsimise abil internetiühendust pealt kuulata ilma ohvri arvutile ligipääsu omamata.

ARP on protokoll, mis seob IPv4 võrguaadressi füüsilise seadme aadressiga. Enamasti tõlgib ARP-tabel IP-aadressi sobiva võrgukaardi MAC-aadressiks. ARP töötab alati ühes kinnises võrgus ehk kohtvõrgus. ARP poolt saadetud paketid on autentimata ja seega saab ründaja välja saata ARP-pakette kellegi teise nimel. Järgmisena proovimegi tekitada niisugust rünnet.

Järgnevas juhendis läheb teil vaja kahte erinevat füüsilist masinat (kui teil kahte eri seadet pole võib A ohvriks kasutada ka enda host operatsioonisüsteemi, aga siis ei ole rünnak nii efektne). Praktikumiruumis on soovitatav kasutada lauaarvutit täiendava eraldiseisva seadmena või enda nutiseadet, mis on ühendatud Andmeturve-5GHz Wi-Fi-sse. Rünnak töötab stabiilsemana, kui üks osapool on kaabliga ühendatud (näiteks ründaja) ning ohver Wi-Fi kasutaja. Kui mõlemad osapooled on Wi-Fi-ga ühendatud, võib juhtuda, et ohvril kaob üldse interneti ühendus ära ja tekib nö Denial-Of-Service rünnak. Kodus tegijatel on sellisel juhul soovitatav ohvriks valida enda host arvuti ja selle IP aadress.

  • A - ohver - teie host arvuti või muu enda seade oma koduses Wi-Fi-s.
  • R - ründaja - R - teie Linux Mint virtuaalmasin ühendatud samasse Wi-Fi-sse. Ohvril ja ründajal peavad loomulikult jälle olema erinevad IP-aadressid.

Ründaja R - Lülitage sisse IP pakettide ruutimine ja välja rp_filter ning ICMP redirectide saatmine: 

$ sudo su -
# apt update
# apt install dsniff 
# apt install tcpdump
# echo "1" > /proc/sys/net/ipv4/ip_forward
# echo "0" > /proc/sys/net/ipv4/conf/enp0s3/rp_filter
# echo "0" > /proc/sys/net/ipv4/conf/enp0s3/send_redirects

Ründaja R - käivitab arpspoofi: 

# arpspoof -i enp0s3 -r -t 192.168.XX.YYY 192.168.XX.ZZZ

NB! 192.168.XX.YYY juures XX ja YYY tuleb asendada teie marsruuteri IP-aadressiga. Enamasti marsruuteri IP-aadressi saate teada kui sisestate Linux Mint virtuaalmasinas käsu ip r ja vaatate esimest rida default. Windows masinas leiab sama info üles käsurealt cmd käsuga ipconfig ning kasutatava adapteri juures tuleks üles leida rida Default Gateway. 192.168.XX.ZZZ juures XX ja ZZZ tuleb asendada tegeliku ohvri A ip-aadressi elementidega. Host arvuti ip aadressi leidmiseks on lihtsaim viis kasutada käsku ipconfig (Windows host) või ip a Linux host. Marsruuteri aadressi leidmiseks võib kasutada oma võrgutehnoloogilisi teadmisi ja seadme IP-aadressist marsruuteri oma tuletada või siis kasutada saiti: http://whatsmyrouterip.com/. Näiteks juhendi koostaja kodune Telia standardne võrgulahendus andis hostaarvutile aadressiks 192.168.1.217 (XX = 1 ja ZZZ = 217) ning marsruuteri aadress on sealjuures 192.168.1.1 (YYY = 1). Kogu käsk oleks siis arpspoof -i enp0s3 -r -t 192.168.1.1 192.168.1.217.

Selle käsu tulemusena võltsitakse ohvri (192.168.XX.ZZZ) MAC aadressi marsruuteri (-t 192.168.XX.YYY) ARP tabelis. Nüüd suunatakse kogu liiklus, mis välisvõrgust saadetakse, ohvri arvutisse läbi ründaja arvuti ning on seega ründaja poolt pealtkuulatav. Kasutatud parameeter -r ütleb programmile, et tuleks kasutada reverse spoof-i ehk kõik, mis on suunatud 192.168.XX.ZZZ masinast interneti gateway-le 192.168.XX.YYY saadetakse ka spoofijale.

Ründaja R proovib ohvri liiklust pealt kuulata, käivitades uues terminalis allpool oleva tcpdump käsu. Hetke pärast proovime pealtkuulamist ka Wiresharki abil. 

# tcpdump -e -A host 192.168.XX.ZZZ

Ründaja R peaks nüüd kasutama wireshark'i liidest enp0s3, et jälgida ohvri liiklust. Vajutage "Capture -> Options .. -> (enp0s3) Start"

Ohver A peaks nüüd käivitama veebilehitseja ja külastama mõnda lehekülge üle HTTP (mitte HTTPS, näiteks http://andmeturve-lab.appspot.com/ või http://www.bioneer.ee/) PS! Firefoxis lehe täielikuks värskendamiseks kasutage klahvikombinatsiooni <CTRL>+F5, ainult F5 kontrollib, et leht pole muutunud ja laeb selle võimalusel ainult puhvrist. Kui http://andmeturve-lab.appspot.com/ andmeid ei kuvata wireshark väljundis siis kasutab ohvri arvuti IPv6-aadresse võrku ühendamiseks. Võime need ajutiselt välja lülitada eemaldades linnukese Windowsis vastavate võrguseadete eest. Nüüd võite uuesti proovida http://andmeturve-lab.appspot.com/ lehte külastada.

Kui ohvril üldse veebilehte ei avata siis kahjuks teie võrguseadistus ei kannata ARP spoofi ja peaksite ründajana kasutama kaabliga võrguühendust või ohvrina kasutama Linux Mint host arvutit või teist virtuaalmasinat (bridge mode).

Seejärel, et teil nüüd wireshark kokku ei jookseks (infot tuleb kogu aeg juurde), vajutage wireshark aknas ristkülikukujulist nuppu "Stop capturing packets" ja asume kogutud informatsiooni analüüsimisosa juurde. Wireshark filter peab olema: ip.addr == 192.168.XX.ZZZ && http. Juhul kui wireshark ei kuva POST päringut, siis katkestage eelmine arpspoof (CTRL + C) ja proovige uuesti arpspoofi (samuti peate Wireshark lindistamist ja ohvri tegevust kordama).

NB! Proovige pealt kuulata ka HTTPS ühendust https://andmeturve-lab.appspot.com. Kuidas see liiklus Wiresharkis välja näeb? Vihjeks on TLS.

  • Ülesanne 1: Tehke ekraanipilt olukorrast, kus on näha Wireshark aknas ohvri arvuti ja marsruuteri vahelist HTTP liiklust lehele http://andmeturve-lab.appspot.com/ nii, et salajane lahter "Perenimi" vastaks teie nimele (PS! Ärge kasutage täpitähti). Samal ekraanivaatel peab olema näha ka (terminalis) arpspoof käsu hetke väljund. Kui http://andmeturve-lab.appspot.com/ ei õnnestu pealt kuulata, võite kasutada ka http://www.bioneer.ee/ aadressi pealtkuulamiseks, seal võite näiteks otsinguaknasse panna oma nime.

NB!! Katkestage aktiivne arpspoof käsuga CTRL+C (pärast mida kulub ~10 sekundit millal peatatakse aktiivne arp spoof).

NB2!! Kui keelasite ohvril ajutiselt IPv6 siis kindlasti ärge unustage IPv6 linnukest ohvrile tagasi panemast. Vastasel korral võivad teil tekkida hiljem võrguprobleemid (anomaaliad), mida te ei oska seostada ja lahendada andmeturve ainega.

3. SSH vahendusrünne

HOIATUS: Käesoleva harjutuse (ründe) eduka sooritamisega üle VPN ühenduse (vajalik adalberg.ut.ee ühendamiseks väljaspoolt TÜ võrku) võib esineda probleeme, et ARP spoof ei suuna liiklust ründajale ja/või VPN ühendus krüpteerib täiendavalt pealtkuulamiseks vajalikud paketid. Väljaspool klassiruumi tegijad võite siiski katsetada kas see teil töötab või mitte ja raporteerida aine õppejõududele ning me siis vastavalt täiendame jooksvalt juhendit alternatiivsete täiendavate tegevustega kui probleem esineb paljudel

Vahendusrünne (man-in-the-middle) on rünne, kus ründaja vahendab andmesidet ja seetõttu saab seda pealt kuulata või modifitseerida. Vahendusründe kohta saate täpsemalt lugeda vastavast Wikipedia artiklist ja SSH lehelt.

  • R - vahendusrünne. Linux Mint virtuaalmasin

Installeerime praktikumiks vajalikud tarkvarapaketid. Järgmised käsud peab käivitama root kasutaja õigustes (sudo su -): 

$ sudo su -
# ping adalberg.ut.ee
# apt update
# apt install git
# git clone https://github.com/jtesta/ssh-mitm
# cd ssh-mitm
# ./install.sh
-> Küsitakse korra "Y" vajutamist 
# ./start.sh
# arpspoof -r -t 192.168.XX.YYY 192.168.XX.ZZZ
  • A - ohver Siinkohal võiks kasutada host arvutit Windows'ga (sobib ka muu OS) (ehk siis ZZZ on host-arvuti IP) või kellel on kasutada siis ideaalis mõni muu füüsiliselt eraldiseisev arvuti (talle määratud IP-ga 192.168.XX.MMM).

A - logib windowsis Putty-t kasutades (Host Name: adalberg.ut.ee port:22) või Linuxis käsurealt: 

$ ssh <TÜ_kasutajatunnus>@adalberg.ut.ee

tõenäoliselt hoiatatakse, et hosti võti on muutunud, lugege veateadet ning sisestage vajadusel käsk ssh-keygen -f "/home/kasutaja/.ssh/known_hosts" -R adalberg.ut.ee , et veateatest vabaneda. Windowsis Putty-t kasutades valige Connect Once.

R - jälgib liiklust. Otsige üles vale ja õige parool, mille A sisestas. Selleks otsige seansside infot /home/ssh-mitm/log/ kaustast või failist /var/log/auth.log. PS! kaust on /home/ssh-mitm/ mitte /root/ssh-mitm/ kus te vaikimisi olete.

  • Ülesanne 2: Tehke masinas R ekraanipilt olukorrast, kus teie isiklik TÜ kasutajatunnus ja parool on paljastunud ehk näiteks kasutajatunnus "alop" ja parool "1234567890". NB! Parooli koha võite pildilt osaliselt ära katta.

Katkestage arpspoof aktiivsed ründed CTRL+C klahvikombinatsiooniga ja SSH-man-in-the-middle programm järgmiste käskudega: 

# cd /root/ssh-mitm
# ./stop.sh

4. HTTPS vahendusrünne

Käesolevas praktikumis vaatlesime, kuidas pealt kuulata HTTP ja SSH ühendusi. Koduses ülesandes vaatleme lihtsustatud kujul kuidas toimub HTTPS pealtkuulamine. Käesolev näide on sarnane olukorrale, kus agressiivne-antiviiruse tarkvara (või pahalane või suurkorporatsioon) soovib analüüsida HTTPS päringute sisu. Enne käesoleva ülesande juurde asumist on soovitatav ära lahendada praktikum 7 ülesanded.

  1. Võite vastava ülesande lahendamiseks oma Linux Mint virtuaalmasina võrguühenduse tagasi muuta NAT ühenduse tüübiks.
  2. Minge lehele https://docs.mitmproxy.org/stable/ ja tutvuge järgmiste alampeatükkidega (lugege ja saage aru, käske sisestada pole veel vaja):
    1. Overview (Introduction, Installation, Feature)
    2. Tools (mitmproxy, mitmdup, mitmweb)
    3. Core concepts (How mitmproxy works, Modes of Operation, Certificates)
  3. Avage Linux Mint virtuaalmasinas veebleht https://mitmproxy.org/.
    1. Sealt valige Download Linux Binaries ja salvestage see enda virtuaalmasinasse.
    2. Pakkige vastav mitmproxy-10.2.4-linux.tar.gz fail lahti Downloads kausta -> parem hiireklahv failil failihalduris ja Extract Here.
  4. Avage käsurida ja seal liikuge kausta kuhu te mitmproxy binaarid lahti pakkisite (näiteks cd /home/kasutaja/Downloads/mitmproxy-10.2.4-linux.
    1. Seal vaadake, et mitm failidel oleks käivitusõigused ls -la.
    2. Käivitage mitmweb käsuga ./mitmweb (Kui esimesel korral jääb Firefox laadima, siis aitab CTRL+C käsurelt ja mitmweb uuesti käivitamine enamasti.)
  5. Avage veebilehitseja (soovitavalt Firefox).
    1. Seadistage Firefox kasutama proxy ka turvatud SSL (tuntud ka kui HTTPS) ühendustele.
      1. Sisestage aadressiribale about:preferences -> kerige alla lõppu kuni Network Settings ja sealt nupp Settings.
      2. Valige Manual proxy configuration ja HTTP Proxy, HTTPS Proxy seadistada localhost port 8080.
  6. Nüüd avage veebilehitsejas aadress http://127.0.0.1:8081/.
    1. Peaks avanema mitmproxy webconsole.
    2. Jätke mitmweb vaheleht veebilehitsejas avatuks.
  7. Külastage uuel vahelehel Firefox veebilehitsejas lehekülgi https://courses.cs.ut.ee/ ja https://intra.cs.ut.ee/:
    1. https://courses.cs.ut.ee/ võiksite saada veateate HTTP Strict Transport Security (HSTS)
    2. courses.cs.ut.ee is most likely a safe site, but a secure connection could not be established. This issue is caused by mitmproxy, which is either software on your computer or your network.
    3. Kuigi mõlemad leheküljed kasutavad HSTS parameetrit siis veebilehitseja on teadlik antud infost ainult pärast seda, kui kasutaja on vastavat lehte vähemalt korra HTTPS-iga külastanud (courses.cs.ut.ee peaksite olema varem enamasti külastanud).
  8. Külasta nüüd lehte mitm.it ja valige Linux ning laadige enda arvutisse mitmproxy-ca-cert.pem.
    1. Valige Show Instructions ja täitke käsud või importige CA sertifikaat käsitsi veebilehitsejasse nagu praktikumis 3 tegime.
    2. Kuna Ubuntu vaikimis veebilehtitseja on Firefox, siis täitke ära ka Firefox (does not use the OS root certificates) osa. Kui saate importimisel errori, veenduge, et valisite Certificate Manager'is Authorities akna.
  9. Külastage nüüd uuesti veebilehte (võib olla vaja Firefox sulgeda ja uuesti avada, et uued sertifikaadid toimiksid).
    1. https://courses.cs.ut.ee/ (veateadet ei tohiks olla)
    2. https://intra.cs.ut.ee/ (veateadet ei tohiks olla)
  10. Minge lehele https://ois2.ut.ee (webproxy aktiivne) ja logige sisse TÜ kasutajatunnuse ja parooliga.
    1. Tutvuge ka lehekülje sertifikaadiga? Mida märkate?
      1. Vihje lehekülg kasutab nüüd originaal sertifikaadi asemel mitmproxy tarkvara poolt loodud ja signeeritud sertifikaati. Kuna sarnaselt praktikumile 3 me lisasime vastava CA sertifikaadi veebilehitsejasse siis me enam veateateid ei saa. Sarnast süsteemi kasutavad mitmed antiviirused või muud pahalased, kes soovivad heausksete kasutajate veebiliiklust pealt kuulata.
  11. Otsige üles mitmproxy webconsole vaheleht ja seal tutvuge Flow vaatega
    1. Proovige üles leida ÕISi sisselogimise kasutajatunnus ja parool (vihje: method=POST)
    2. Liikuge Start vaatesse ja esimesse otsinguaknasse sisestage sõne login
    3. Teile peaks kuvatama kõiki aadresse, mis sisaldavad sõne "login". Otsige nende seast nüüd ülesse kirje, mis sisaldab teie pealtkuulatud ÕISi kasutajatunnust ja parooli.
  • Ülesanne 3: Esitage mitmproxy programmist täissuuruses ekraanivaade, kus on näha teie ÕIS kasutajatunnus ja osaline lekkinud parool.

Esitada Praktikum8:

Praktikumi ülesannete lahendamine annab neli punkti ja esitamiseks on kaks nädalat alates praktikumi toimumisajast (Te personaalne tähtaeg on vahemikus 15-18. aprill)

  • Ülesanne 1: Tehke ekraanipilt olukorrast, kus on näha Wireshark aknas ohvri arvuti ja marsruuteri vahelist HTTP liiklust lehele http://andmeturve-lab.appspot.com/ nii, et salajane lahter "Perenimi" vastaks teie nimele (PS! Ärge kasutage täpitähti). Samal ekraanivaatel peab olema näha ka (terminalis) arpspoof käsu hetkeväljund. Kui http://andmeturve-lab.appspot.com/ ei õnnestu pealt kuulata võite kasutada ka http://www.bioneer.ee/ aadressi pealtkuulamiseks, kuid seal ei saa te mugavalt enda nime kuhugi sisestada. - 2p
  • Ülesanne 2: Tehke masinas R ekraanipilt olukorrast, kus teie isiklik TÜ kasutajatunnus ja parool on paljastunud ehk näiteks kasutajatunnus "alop" ja parool "1234567890". NB! Parooli koha võite pildilt osaliselt ära katta. - 1p
  • Ülesanne 3: Esitage mitmproxy programmist täissuuruses ekraanivaade, kus on näha teie ÕIS kasutajatunnus ja osaline lekkinud parool. - 1p

Esitada aine moodle keskkonda. Otselink: https://moodle.ut.ee/mod/assign/view.php?id=1271561

Lisamaterjalid

  • ARP ehk Address Resolution Protocol
    • ARP Wikipedia artikkel
    • ARP-spoofing
    • ARP Poisoning Attack and Mitigation Techniques
  • Man-in-the-middle-attack
    • Wikipedia man-in-the-middle ründe kohta käiv artikkel
    • OWASP man-in-the-middle ründe kirjeldus
  • DNS
    • DNS ehk Domain Name System
    • DNS spoofing
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused