Samkvæmt skilgreiningu Wikipedia er dauður dropi samsærisverkfæri sem þjónar til að skiptast á upplýsingum eða sumum hlutum á milli fólks sem notar leynilegan stað. Hugmyndin er sú að fólk hittist aldrei – en það skiptist samt á upplýsingum til að viðhalda rekstraröryggi.
Felustaðurinn ætti ekki að vekja athygli. Þess vegna nota þeir oft næðislega hluti í offline heiminum: lausan múrstein í veggnum, bókasafnsbók eða dæld í tré.
Það eru mörg dulkóðunar- og nafnleyndarverkfæri á netinu, en sú staðreynd að nota þessi verkfæri vekur athygli. Að auki geta þeir verið lokaðir á vettvangi fyrirtækja eða stjórnvalda. Hvað skal gera?
Hönnuður Ryan Flowers lagði til áhugaverðan valkost -
Það kemur í ljós að hvaða vefþjónn sem er gerir þér kleift að vista nánast hvaða skilaboð sem er í skránni. Blóm veltu fyrir sér hvernig ætti að nota þetta.
Hann býður upp á þennan möguleika:
- Taktu textaskrá (leynileg skilaboð) og reiknaðu kjötkássa (md5sum).
- Við umritum það (gzip+uuencode).
- Við skrifum í notendaskrána með því að nota vísvitandi ranga beiðni til netþjónsins.
Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt
[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh
Til að lesa skrá þarftu að framkvæma þessar aðgerðir í öfugri röð: afkóða og pakka niður skránni, athuga kjötkássa (hægt er að senda hassið á öruggan hátt yfir opnar rásir).
Rýmum er skipt út fyrir =+=
þannig að engin bil séu í heimilisfanginu. Forritið, sem höfundur kallar CurlyTP, notar base64 kóðun, eins og viðhengi í tölvupósti. Beiðnin er gerð með lykilorði ?transfer?
svo að viðtakandinn geti auðveldlega fundið það í annálunum.
Hvað sjáum við í loggunum í þessu tilfelli?
1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"
Eins og áður hefur komið fram, til að fá leynileg skilaboð þarftu að framkvæma aðgerðirnar í öfugri röð:
Remote machine
[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue
[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g
Ferlið er auðvelt að gera sjálfvirkan. Md5sum passar, og innihald skráarinnar staðfestir að allt hafi verið afkóðuað rétt.
Aðferðin er mjög einföld. „Tilgangurinn með þessari æfingu er bara að sanna að hægt er að flytja skrár í gegnum saklausar litlar vefbeiðnir og það virkar á hvaða vefþjóni sem er með textaskrám. Í meginatriðum er sérhver vefþjónn felustaður!“ skrifar Flowers.
Auðvitað virkar aðferðin aðeins ef viðtakandinn hefur aðgang að netþjónaskrám. En slíkur aðgangur er til dæmis veittur af mörgum gestgjöfum.
Hvernig á að nota það?
Ryan Flowers segist ekki vera sérfræðingur í upplýsingaöryggi og mun ekki taka saman lista yfir mögulega notkun fyrir CurlyTP. Fyrir hann er það bara sönnun á hugmyndinni um að hægt sé að nota þau kunnuglegu verkfæri sem við sjáum á hverjum degi á óhefðbundinn hátt.
Reyndar hefur þessi aðferð ýmsa kosti fram yfir aðrar „felur“ netþjóna eins og
Þetta er ein af leiðunum til að senda skilaboð í gegnum þjónustuskrár. Þú getur munað hvernig sum háþróuð fyrirtæki voru notuð til að setja
Hugmyndin var sú að aðeins vefhönnuðir myndu sjá þetta páskaegg, þar sem venjuleg manneskja myndi ekki horfa á hausana eða HTML kóðann.
Heimild: www.habr.com