Odchytavani nešifrovaných mailů

[Martin]

Zdravím, chci se zeptat, jaká je pravděpodobnost (či jak je složité), tajně odchytávat komunikaci mezi mail. klientem a serverem.

Faktické věci:
- server ani klient nejsou napadeni virem
- klient se připojuje k "lokální síti" u sebe doma (tj. notebook -> WIFI router - anténa na poskytovatele internetu "kamsi"

Zajímá mne, jak je reálně složite např. odchytnout text emailu a přílohu, která bude ve Wordu, PDFku,...

Berme v úvahu jen ty situace, kdy není pachatel infiltrován v lokální síti. Zkrátka nemám heslo k WIFI a do domova cíle mého útkou nemám ani přístup. Jediné co znám je to, kdo je jeho ISP...


Díky za názory

[Reklama]

[hmmm]

Velmi obecne plati, ze pokud vidis pakety mezi klientem a serverem, tak neni problem z nich cist nesifrovane maily.
Jen jde o to, jak se dostat k tem paketum.

[Petr Krčmář]

Obecně je to triviální. Zvlášť u ISP, kteří tahají linky vzduchem, protože se tam v drtivé většině nepoužívá žádné šifrování na linkové vrstvě. Ať už už Wi-Fi nebo u jiných pojítek, lítají pakety otevřeně. Pokud totiž nějaký ISP zkusí po cestě šifrovat, začnou ho uživatelé zasypávat stížnostmi na pomalý ping při hrách. Protože se nešifruje, stačí se dostat blízko signálu a prostě poslouchat. U Wi-Fi k tomu stačí notebook se správným chipsetem.

Obecně platí, že jakákoliv komunikace opouštějící místní drátovou síť jde do světa a může ji číst kdokoliv. Nezbývá než citlivé věci šifrovat.

[Sten]

Možností je spousta a záleží hlavně na motivaci útočníka

Nejjednodušší je odposlouchávat spojení jeho ISP, pokud je to ISP přes WiFi nebo Ethernet. Napojit se na kabely ADSL nebo UPC je také možnost, akorát bacha na to, že jejich krabičky mají alarm. Prolomit se do domácí sítě nemusí být složité, pokud tam je WPS nebo je to „šifrované“ WEPem, případně pokud je heslo něco triviálního (ESSID, jméno výrobce WiFi krabičky nebo nějaký text vytištěný na ní, křestní jméno nebo příjmení obyvatele bytu, jméno zvířete ap.). Ani zavirovat počítač nemusí být moc složité, stačí třeba před dveřmi oběti nechat jakoby ztracenou kabelku obsahující flash diskem s vhodným obsahem.

Co se týče legálnosti, všechno tohle je samozřejmě nezákonné

[Martin]

Ano ano, všemu principielně rozumím, sám jsem jednou pro ladění nějaké mé aplikace instalvoal WireShark/PacketSniffer a odchytával svou vlastní komunikaci (odpadá tedy problém s "nabouráním" do sítě) ale i tak jsem měl problém se v tom všem ze začátku vyznat. Plaintext na portu X z IP adresy XY jsem viděl, ale odchytnutí těla mejlu (kde je v Base64 zakodovaná příloha), obzlášť v útočníkovi absolutně neznámém čase je podle mě komplikované.

Pokud bych to realizoval já, tak bych asi udělal toto:
- naboural komunikaci mezi anténou "oběťi" a ISP  - (tento krok neovládám, jak je to "pracé" ?)
- odchytával veškerou komunikaci na portu 25
- nechal to běžet např. měsíc (neboť útočník přesně neví co hledá a zdali to vůbec bude posláno a kdy)
- pak bych hledat začátky a konce mejlů a vytvářel z nich EML zprávy, které poté otevíral a četl v např. Thunderbirdu

Stále mi ten úkol připadá jen pro velice pokročilého IT specialistu, který tím zabije dost času...

[Reklama]

[X125]

Vždyť je to jako všechno v životě: když něco umíš, je to brnkačka. Když něco neumíš, zdá se to složité.

[Martin]

Ano, vždyť také nepíšu, že to umím, spíš mě zajímá názor někoho, kdo to umí, kolik reálně zabere času se do takové komunikace (mezi ISP a domovem oběťi) nabourat. Samotné "odchytávání" už je jen otázka času, jak slouho se nechá "tajný" počítač-packetožrout puštěný. Zpracování dat (např. v jednom velkém souboru) si umím odhadnout i zrealizovat sám.

[yos3f]

Pokial ide o postu klient -> server co takto odchytit pakety a nasledne ich replikovat?

[Sten]

naboural komunikaci mezi anténou "oběťi" a ISP  - (tento krok neovládám, jak je to "pracé" ?)

Stačí umístit svoji anténu někam, kde jde zachytávat komunikace mezi obětí a ISP (protože v tomto případě stačí komunikace od klienta k ISP, tak to jde i za anténou ISP, s dostatečně citlivou směrovou anténou to může být klidně i o několik kilometrů dál), přepnout WiFi do Monitor módu a spustit tcpdump nebo Wireshark. To je úplně všechno. Klient ani ISP nemají možnost zjistit, že je někdo poslouchá, takže můžete poslouchat, jak dlouho chcete.

[j]

Plaintext na portu X z IP adresy XY jsem viděl, ale odchytnutí těla mejlu (kde je v Base64 zakodovaná příloha), obzlášť v útočníkovi absolutně neznámém čase je podle mě komplikované.

Pokud bych to realizoval já, tak bych asi udělal toto:
- naboural komunikaci mezi anténou "oběťi" a ISP  - (tento krok neovládám, jak je to "pracé" ?)
- odchytával veškerou komunikaci na portu 25
- nechal to běžet např. měsíc (neboť útočník přesně neví co hledá a zdali to vůbec bude posláno a kdy)
- pak bych hledat začátky a konce mejlů a vytvářel z nich EML zprávy, které poté otevíral a četl v např. Thunderbirdu

Stále mi ten úkol připadá jen pro velice pokročilého IT specialistu, který tím zabije dost času...

Je to naprosto trivialni ...
Cokoli na wifi krom wpa2 je na par minut, pak muzes poslouchat jak dlouho chces => zapnes si trebas i jen ten wireshark, nastavis mu filtr, ze te zajima komunikace na port 25 ... a tu si ukladas na disk nebo lepe .... Zacatky a konce mailu hledat nemusis ... ty si klidne muzes komunikaci rovnou preposilat ma vlastni MTA, kterej to rovnou bude ukladat jako textovy soubory jednotlivych mailu, samo vcetne priloh => otevres libovolnym klientem (trebas pres IMAP).

Zvladne kazdy decko ktery umi pouzit google.

Dokonce si na to muzes stahnout komplet hotovy srtipty - staci spustit, a o vic se nestaras, pak si jen projdes nasosany maily.

[JardaP .]

xplico.

[JarinBarin]

Jeste dobry zminit ze i pres mailovyho klienta se casto pripojuje pres TLS/SSL (gmail napr.)... takze v tom pripade neodchytis nic.

[JarinBarin]

Tak az ted sem si precetl titulek... tak nic.

[Martin]

Ok, tak to je opravdu snadné,

děkuji za odpovědi.

(využít k to nechci, šlo mě jen o ten princip - resp "míru pracnosti")

[Mirek Prýmek]

(využít k to nechci, šlo mě jen o ten princip - resp "míru pracnosti")

Řekl bych, že cokoli nevyžaduje nějaký manuální zásah (tj. je to nějaká standardizovaná komunikace), na to existuje nějaký nástroj, který zvládne použít jakýkoli děcko, pokud si ho najde. A je lepší předpokládat, že najde