2012年8月11日土曜日

[ハッキング手法との対応]④盗聴(sniffing)(1)




スニッフィングとは?

辞書的な意味で盗聴(Sniffing)とは、 "くんくんの種だ"、 "においを嗅ぐ"などの意味がある。辞書的な意味のようにハッキング技法として盗聴は、ネットワーク上で自分以外の相手のパケット交換を盗み聞きすることを意味する。簡単言って、ネットワークトラフィックを盗聴(eavesdropping)プロセスを盗聴ということができる。このような盗聴を行うことができるようにするツールをスニファ(Sniffer)と呼ばれ、スニファをインストールするには、電話盗聴装置を設置する過程に例えることができる。

TCP / IPプロトコルは、学術的な目的のためにインターネットが開始される以前から設計されたプロトコルであるため、セキュリティは大幅に考慮せずに開始された。代表的に、パケットの暗号化、認証などを考慮していなかったので、データの通信のセキュリティの基本的な要素の中の機密性、完全性等を保証することができなかった。特に盗聴は、セキュリティの基本的な要素の中の機密性を損なう攻撃方法である。

インターネットは文字通り広範なネットワークであり、公開されたネットワークである。パケットが送受信されるとき、パケットは複数のルータを経て行くようにされ、中間ISPのルータへのアクセス権を持つ人ならば、そのパケットを簡単に表現することができる。ところが問題は、そう容易に抽出することができる多くのパケットの内容は暗号化されていないということだ。

もちろんxDSL、ケーブルモデムなどを使用している一般家庭のユーザーがこれらのパケットを非常に容易に見ることができるわけではありません。そのためには、パケットが流れるネットワークの中間パスを得なければならない。電話に盗聴器を設置する過程を連想するとわかりやすいでしょう。直接盗聴しようとする電話に盗聴器を設置する方法、および中継回線に盗聴器を設置する方法がある。

二つの違いは、直接盗聴しようとする電話にインストールする場合、その電話の内容を盗聴することができるということ、中継回線にインストールする場合、その中継回線を介して接続されたすべての電話機の内容を盗聴することができるということがなるはずだが盗聴も同じである。

代表的なシナリオは次のとおりである。

(1)様々な攻撃手法を使って、実際の攻撃対象のシステムに管理者権限を得た後、スニッフィングツールをインストールしてスニッフィング
(2)攻撃対象の企業の他のホストへのアクセス権を得て出して、そのホストを使用して、盗聴
(3)ISPの機器のシステムのアクセス許可を得て出してスニッフィングツールをインストールしてスニッフィング

次は、このような盗聴技術を介してFTP接続を盗聴することで、ユーザーIDとパスワードを得た画面である。この場合、Etherealというツールを利用したもので、簡単に、そのサーバーにhackmeというpeace!パスワードを使用するユーザーが存在するという事実を知った。

もちろん、盗聴は、このような攻撃のためだけに使用されることはありません。ネットワークトラフィックの分析やトラブルシューティングなどに使用され、そのほかにも、ネットワーク上に行われる攻撃を検知する侵入検知システムに使われることができる。この記事では、攻撃手法としての盗聴を話そうとする。

実質的な盗聴攻撃の例

(1)ハブ環境での盗聴

ハブ(Hub)は、基本的に入ってきたパケットに対して、パケットが入ってきたポート以外のすべてのポートに対してパケットを送信するリピータ(Repeater)装置である。実は皆さんの企業ではハブを使用しており、あなたのシステムがそのハブに接続されている場合、あなたは望んでいた不要なかった間に続けて他の人のパケットを受けてみたのだ。

もちろん、ネットワークドライバ、OSカーネルなどのレベルでMACアドレスを見て、自分以外の人々のパケットは破棄されるので、それを簡単に感じることはなかっただろう。しかし、あなたのシステムのNICをpromiscuousモードで動作している場合、他の人々のパケットも捨てずに受け取ることができる。これで、スニッフィングツールを通じ、そのパケットを保存して分析するだけです。

次の図は、この内容を説明したのだ。すべてのパケットは、実際の受信対象ではなく、ホストにも送信されます。Promiscuousモードで動作するホストは、他の着信先のパケットも見ることができる。

(2)スイッチ環境での盗聴

スイッチは、基本的にLayer 2のヘッダ情報であるMACアドレスの情報を利用してパケットが任意の宛先に送信されかどうかを決定する。そのため、ハブの環境とは異なり、パケットは、実際の受信先のみに送信され、攻撃対象がいくらインタフェースをPromiscuousモードに設定したとしても、その内容を盗んで見ることはできません。

それでは、この場合、本当に安全なのだろうか...残念ながらそうではない。このようにスイッチを使用してスイッチング環境での盗聴テクニックが公開されています。その中のいくつかの攻撃手法は、次の原稿で紹介をする。

投稿者 時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)