Darren eldhús: Góðan daginn, við erum á hliðarlínunni á DefCon ráðstefnunni í skála tölvuþrjótahópsins Hack 5, og mig langar að kynna einn af uppáhalds tölvuþrjótunum mínum, DarkMatter, með nýju þróuninni hans sem heitir WiFi Kraken.
Síðast þegar við hittumst varstu með risastóran bakpoka með "Kaktus" toppaðan með ananas á bakinu og það voru geggjaðir tímar!
Athugasemd þýðanda: Mike setti alvöru ananas á Cactus tækið sitt - hnakka til WiFi Pineapple, tölvuþrjótatæki til að stöðva þráðlaus samskipti, sjá mynd frá BlackHat 2017 ráðstefnunni.
Mike Spicer: Já, alveg brjálaðir tímar! Þannig að þetta verkefni fer undir myllumerkinu WiFi Kraken og táknar nýja kynslóð tækni á sviði eftirlits með þráðlausum netum. Þegar ég bjó til WiFi Cactus öðlaðist ég mikla færni og ákvað að nota það sem ég lærði í raun, nota það til að ná hagnýtum markmiðum í nýju verkefni. Í dag kynni ég þér Kraken!
Darren eldhús: og hvað er þetta Kraken? Hvers vegna er þess þörf og hver er tilgangurinn með þessari þróun?
Mike Spicer: Markmiðið er að geta tekið öll gögnin í einu, allar 50 WiFi rásirnar á 2.4 -5 gígahertz bilinu, samtímis.
Darren eldhús: afhverju notarðu ekki bara eina útvarpsrás til að hlera öll gögnin?
Athugasemd þýðanda: Mike Spicer er skapari WiFi Cactus, tækis til að fylgjast með 50 þráðlausum samskiptarásum sem notaðar eru af fartækjum sem staðsettar eru í radíus 100 m. WiFi Cactus var fyrst kynntur almenningi á BlackHat ráðstefnunni þann 27. júlí 2017. Heimildartengill:
Mike Spicer: þetta er frekar vandræðalegt. Horfðu á umhverfið sem við erum í núna - í þessu herbergi gætu auðveldlega verið 200-300 manns með fullt af tækjum í samskiptum á mismunandi rásum. Ef ég hlusta bara á eina rás gæti ég saknað mikilvægra upplýsinga sem sendar eru á annarri rás á sama tíma. Ef þú reynir að hlusta á allar rásir þarftu að eyða miklum tíma í að hoppa frá einni rás til annarrar. Cactus leysir þetta vandamál með því að leyfa þér að hlusta á allar þessar rásir á sama tíma.
Darren eldhús: Hvaða vandamál þurfti Kraken að glíma við?
Mike Spicer: Eitt stærsta vandamálið var 100 megabita Ethernet tengið sem ég tengdi við tækið mitt og bandbreiddina sem ég var ekki sáttur við. Þegar þú ert með 2 talstöðvar sem gera 300 megabita með 802.11 endaútvörpum, mun það að ýta á of mikið af gögnum takmarka afköst verulega. Þess vegna vildi ég stækka móttöku- og sendingarrásina. Í næstu útgáfu af Cactus breytti ég úr 100 megabita rofa yfir í gigabita rofa, sem jók afköst um 10 sinnum.
Með Kraken tók ég alveg nýja nálgun - ég tengi beint við PCI Express strætó.
Darren eldhús: um PCIE - Ég sé heilan helling af útvarpseiningum hér, sem þessi álloftnetshorn standa út úr.
Mike Spicer: já, þetta er áhugaverð verkfræðilausn sem byggir á hlutum sem keyptir voru á Amazon, ég þurfti að glíma við að leggja snúrurnar og sprautamála loftnetin svört.
Grunnurinn er þráðlaus örgjörva millistykki fyrir Android tæki MediaTek MT 6752, og það áhugaverðasta er notkun Linux kjarna driversins. Þetta þýðir að ég get fylgst með rásum, ég get sprautað gögnum, gert alla þessa flottu hluti sem við tölvuþrjótar elskum að gera með þráðlausum kortum.
Darren eldhús: já, ég sé 11 kort hér fyrir þráðlausa B, G, A, C.
Mike Spicer: á bilinu 2,4-5 GHz, 20 og 40.
Darren eldhús: mínus „tuttugu“ og plús „fjörutíu“. Þannig er hægt að nota mismunandi samskiptasvið og samsetningar þeirra. Þetta er eitthvað sem við töluðum þegar um þegar við ræddum notkun á einum útvarpsskanni sem hoppar yfir mismunandi útvarpsrásir. Þú hlustar á rás 1 og missir af öllu sem er að gerast á sama tíma á rás 6, hlustar á rás 2 og missir af restinni og svo framvegis. Segðu mér, hversu margar samsetningar af tíðnum, rásum, böndum getur tækið þitt unnið úr samtímis?
Mike Spicer: Samkvæmt nýjustu útreikningum er fjöldi rása sem fylgst er með samtímis 84. Kannski mun einhver geta fylgst með fleiri rásum, en samsetningarnar sem ég notaði gefa þessa tölu. Hins vegar gerir þetta verkefni þér kleift að hlusta á aðeins 14 þeirra, næstum eins marga og Cactus leyfir, en aðeins færri. Ég vona að ég geti beitt einhverjum af lausnunum frá Cactus til Kraken til að gera það skilvirkara.
Darren eldhús: segðu mér hvað þú notar til að fanga?
Mike Spicer: Ég nota Kismet hugbúnað - það er netskynjari, pakkaþefur og innbrotsskynjunarkerfi fyrir 802.11 þráðlaus staðarnet. Þetta er ótrúlegur allt-í-einn hugbúnaður sem gerir mér kleift að sinna næstum öllum verkefnum fyrir DefCon, frábær stöðugur og hefur netviðmót. Það getur skannað þráðlaus net, tilkynnt hvað er að gerast þar, til dæmis, nú sérðu rauða línu á skjánum, sem þýðir að notendatæki eru að framkvæma handaband. Þessi hugbúnaður vinnur úr fjarskiptagögnum í rauntíma. Eitt af vandamálunum sem ég gat leyst með hjálp þessa hugbúnaðar á þessu tæki er rauntíma gagnasýn, það er að segja ég sé á skjánum hvað er að gerast með þráðlausa netið núna.
Darren eldhús: og þú þarft ekki að vera með Cactus bakpokann þinn til að gera þetta. Svo, hvað nákvæmlega er í svarta kassanum í Kraken?
Mike Spicer: Þetta er í rauninni sett af USB3.0 þráðlausum kortum því ég er að tengjast beint við PCIE rútuna.
Darren eldhús: það er, þú ert að nota alvöru tölvu með ATX móðurborði. Þetta er mjög líkt alfa útgáfu tækisins sem notað var fyrir mörgum árum, samanstendur af 6 kortum með USB2.0, sem notaði ATX móðurborð með 14 USB tengjum og þurfti að bæta við USB millistykki til að vinna með PCIE kortum. Jafnframt komu upp vandamál með afköst. Hvað er uppsett í þessu tæki? Ég sé Intel.
Mike Spicer: já, hann notar Intel i5 örgjörva, fjórða kynslóð, ekkert dýrt, ég tók það sem ég átti. Ég er með auka móðurborð með mér þannig að ef eitthvað bilar get ég einfaldlega skipt um það þannig að ég er tilbúinn að leysa vandamál sem kunna að koma upp. Fyrir Kraken notaði ég ódýrustu fyllinguna sem til er úr tilbúnum hlutum. Þetta er ekki Pelican líkami, ég notaði það sem ég kalla Condition 1, þessi líkami er grjótharður og $150 ódýrari en Pelican. Allt uppsetningin kostaði mig minna en $700.
Darren eldhús: og fyrir 700 kall gerðir þú frábæran sniffer fyrir þráðlaus net sem geta miklu meira en eitt útvarp. Hvernig gekkstu að því að leysa bandbreiddarvandann með því að nota ekki Ananas?
Mike Spicer: núna erum við með tvö USB3.0 og ég ætla að segja eitthvað um móðurborðið. Ef þú lítur hér, þá er ein USB rótarmiðstöð sem er með rútuútbúnaði, svo allt fer í gegnum eitt 5 gígabita USB tengi. Þetta er mjög þægilegt því þetta er eins og að vera með 250 tæki tengd einum strætó, en það er ekki frábært hvað varðar bandbreidd. Þess vegna fann ég þessi 7 porta PCIE USB kort með 5 gígabita bandbreidd hvert og sameinaði þau í eina sameiginlega rás með mikilli bandbreidd - um 10 gígabita á sekúndu í gegnum PCIE rútuna.
Næsti flöskuháls er SSD sem notaður er í gegnum 6 GB SATA, svo að meðaltali fékk ég 500 megabæti á sekúndu, eða 4 gígabit.
Darren eldhús: og þú talaðir líka um hvað ætti að kalla frammistöðu þína.
Mike Spicer: Ég kallaði það "Ég veit hvað þú gerðir síðasta sumar - 3 ára DefCon þráðlaus netvöktun."
Darren eldhús: og hvers konar umferð, hvaða gögnum fylgdist þú með á síðustu þremur DefCon ráðstefnum?
Mike Spicer: Það áhugaverðasta sem ég fann var API leki. Alls voru 2 slík tilvik, einn leki kom frá norska fyrirtækinu met.no, þróunaraðila WeatherAPI veðurspáforritsins, og varðaði tíma sólarupprásar og sólarlags. Þetta forrit sendi HTTP beiðni þar sem helstu breytur lekans voru breiddar- og lengdargráður, svo það er algjörlega skaðlaust.
Darren eldhús: það er, hver sem er með MAC-tölu einstaks síma gæti stöðvað þessa beiðni...
Mike Spicer: já, og sláðu inn gögnin þín til að breyta sólarupprásartímanum.
Darren eldhús: úps!
Mike Spicer: alveg rétt, úps...ég fann annað svipað weather.com app sem gerir það sama, það er ZTE skjáborðsgræjan, og þegar ég uppgötvaði það þá sló ég í gegn.
Darren eldhús: jæja, já, þeir hafa skýra nálgun - af hverju að vera að skipta sér af HTTP aðgengi, það eru bara veðurgögn, engar persónulegar upplýsingar...
Mike Spicer: já, en málið er að þegar þau eru sett upp biðja flest þessara forrita þig um að leyfa aðgang að upplýsingum um staðsetningu þína og þú gefur þeim þetta tækifæri, þar sem þú ert viss um að persónuleg gögn þín séu örugg. Reyndar getur upplýsingaleki í gegnum HTTP grafið algjörlega undan trausti þínu á slíkum API.
Darren eldhús: þú hefðir átt að sjá heilan helling af einstökum tækjum hér!
Mike Spicer: já, það eru mörg, mörg tæki á þráðlausa netinu! Í fyrri DefCon hrundi Kismet þjóninum vegna þess að hann var að vinna úr gögnum frá brjálæðislegum fjölda tækja samtímis á WiFi netinu. Fjöldi tækja skráðra á netinu náði 40 þúsund! Ég hef aldrei nennt að telja heildarfjöldann af einstökum tækjum sem ég hef tekið því það er eins og að horfa niður í endalausa kanínuholu.
Darren eldhús: Jæja, já, þú ert á DefCon eftir allt saman! MDK3, MDK4 eru í gangi hér, fullt af MAC vistföngum poppar upp o.s.frv.
Mike Spicer: já, þegar fólk byrjar að keyra ESP32 örstýringuna sína á sama tíma, þá brestur helvítið laus.
Darren eldhús: eru einhverjar upplýsingar um Kraken á GitHub eða á blogginu þínu?
Mike Spicer: já, ég setti kóðann inn vegna þess að þegar ég gerði smá greiningu á mótteknum gögnum gat Wireshark ekki ráðið við það, vegna þess að þegar þú ert með skrá sem er 2,3,5 Gb að stærð og þú vilt skoða HTTP beiðnina, þá þarf að bíða í 30 mínútur. Ég er einmana strákur sem geri bara umferðargreiningu og ég er ekki með teymi til að gera það fyrir mig, þannig að ég verð að sinna starfi mínu eins vel og hægt er. Ég skoðaði nokkur verkfæri og talaði við atvinnurekendur, en vörur þeirra uppfylltu ekki þarfir mínar. Að vísu var ein undantekning - Network Miner forritið þróað af NETRESEC hópnum. Fyrir þremur árum síðan gaf verktaki mér ókeypis eintak af þessum kóða, ég sendi honum athugasemdir mínar, þeir uppfærðu hugbúnaðinn og núna virkar forritið fullkomlega og tryggir að ekki séu allir netpakkar unnar, heldur aðeins þeir sem eru sendir þráðlaust.
Það skiptir sjálfkrafa umferð í hluta og sýnir DNS, HTTP, skrár af hvaða gerð sem hægt er að setja saman aftur. Það er tölvuréttartól sem getur kafað djúpt í forrit.
Þetta forrit virkar frábærlega með stórum skrám, en ég keyrði samt bara sérsniðin fyrirspurnasett í því, og ég þurfti líka að finna út alla SSID kóðana sem notaðir eru á DefCon þráðlausa netinu. Svo ég skrifaði mitt eigið tól sem heitir Pcapinator, sem ég mun kynna í ræðu minni á föstudaginn. Ég hef líka sett það á síðuna mína á github.com/mspicer, svo þú getur athugað hvort það virkar.
Darren eldhús: sameiginleg umræða og prófun á vörum okkar er frábært, einn af lykileiginleikum samfélags okkar.
Mike Spicer: já, ég elska það þegar fólk segir við mig: "Hvað finnst þér um þetta eða hitt?" og ég segi: "Nei krakkar, ég hef ekki hugsað um neitt svoleiðis, þetta er helvíti góð hugmynd!" Sama og með Kraken - hugmyndin mín var einfaldlega að festa öll þessi loftnet hérna, kveikja á kerfinu og setja það einhvers staðar út í horn í 6 tíma þar til rafhlaðan klárast og ná allri staðbundinni WiFi umferð.
Darren eldhús: jæja, ég er mjög spenntur að hitta þig og þið komuð á Hack 5 til að sjá hvað Mike hefur gert fyrir okkur öll!
Nokkrar auglýsingar 🙂
Þakka þér fyrir að vera hjá okkur. Líkar þér við greinarnar okkar? Viltu sjá meira áhugavert efni? Styðjið okkur með því að leggja inn pöntun eða mæla með því við vini, , einstök hliðstæða upphafsþjóna, sem var fundið upp af okkur fyrir þig: (fáanlegt með RAID1 og RAID10, allt að 24 kjarna og allt að 40GB DDR4).
Dell R730xd 2x ódýrari í Equinix Tier IV gagnaveri í Amsterdam? Aðeins hér í Hollandi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frá $99! Lestu um
Heimild: www.habr.com