Τα συστήματα κατασκόπευσης που έχουμε αναφέρει μέχρι στιγμής, αποτελούν μερικά από τα όπλα που έχουν στο οπλοστάσιό τους οι κυβερνήσεις και οι μυστικές τους υπηρεσίες για να εντοπίσουν έγκαιρα τους ”εχθρούς του κράτους”.
Η αλματώδης, όμως, εξάπλωση του Internet τα τελευταία δέκα χρόνια έχει αλλάξει, σε πάρα πολλούς τομείς, όχι μόνο τη ζωή των κατασκόπων και των παρανόμων, αλλά όλων μας. Οι αυξημένες δυνατότητες επικοινωνίας και ανταλλαγής δεδομένων που προσφέρει, έχουν ανοίξει νέους ορίζοντες στον τρόπο που ζούμε και εργαζόμαστε. Ειδικότερα στον επαγγελματικό τομέα, όπου στις πιο πολλές επιχειρήσεις σε κάθε γραφείο αντιστοιχεί πλέον και ένας υπολογιστής, το Internet και το ηλεκτρονικό ταχυδρομείο έχουν αλλάξει τον τρόπο επικοινωνίας των υπαλλήλων της εταιρείας μεταξύ τους και με τον ”έξω κόσμο”.
Οι υψηλές ταχύτητες σύνδεσης με το Internet, που προσφέρουν οι εταιρείες στους υπαλλήλους τους, χρησιμοποιούνται από τους τελευταίους πολύ συχνά όχι μόνο για επαγγελματικούς αλλά και για προσωπικούς λόγους. Για άλλους είναι το ηλεκτρονικό ταχυδρομείο, για άλλους η περιπλάνηση σε sites που τους ενδιαφέρουν, για κάποιους το κατέβασμα αρχείων μουσικής, σχεδόν όλοι πάντως έχουν εκμεταλλευτεί τη μεγάλη ταχύτητα πρόσβασης που έχουν στη δουλειά τους, για να ”ξεσκάσουν” λίγο.
Ετσι λοιπόν, οι packet sniffers, εκτός από τους hackers και τις κυβερνήσεις, απέκτησαν άλλο ένα πεδίο δράσης: την κατασκόπευση των υπαλλήλων μιας εταιρείας για λογαριασμό του εργοδότη.
Οπως έχουμε ήδη αναφέρει, στο εμπόριο κυκλοφορούν πολλά και διαφορετικά προγράμματα sniffing που καλύπτουν κάθε ανάγκη και βαλάντιο.
Το πιο παλιό και γνωστό πρόγραμμα αυτής της κατηγορίας είναι το tcpdump. Το tcpdump τρέχει σε λειτουργικό σύστημα UNIX και θεωρείται ο πατέρας των packet sniffers. H τρέχουσα έκδοσή του για UNIX είναι η 3.6 και βρίσκεται στο tcdump.org, ενώ υπάρχει επίσης και μια έκδοση για Windows στη διεύθυνση netgroup-serv.polito.it/analyzer/. H πρώτη υλοποίηση των προγραμμάτων υποκλοπής του FBI είναι πολύ πιθανό να στηρίχτηκε σε αυτό ή σε κάποιο αντίστοιχο πρόγραμμα για UNIX.
Για το UNIX υπάρχουν αρκετά ακόμη προγράμματα sniffing, με πιο γνωστά τα snort, SuperSniffer, trinux, karpski, και, το καλύτερο ίσως πρόγραμμα packet sniffing σε UNIX, το Ethereal που βρίσκεται στην έκδοση 0.8.2. Το γνωστό, στο χώρο, περιοδικό Phrack δημοσίευσε το 1998 στο τεύχος 45 ακόμη και τα βασικά μέρη του κώδικα για ένα τέτοιο πρόγραμμα. Ο κώδικας για το συγκεκριμένο packet sniffer, που λέγεται esniff, είναι γραμμένος για το λειτουργικό σύστημα SunOS, αλλά, καθώς οι packet sniffers είναι ούτως ή άλλως πολύ απλά προγράμματα, σίγουρα θα φανεί αρκετά διαφωτιστικός και σε όποιον ενδιαφέρεται να πάρει μια ιδέα για την τεχνική πλευρά.
Packet sniffers έχουν κυκλοφορήσει για πάρα πολλά λειτουργικά συστήματα (ακόμη και για το DOS υπήρχε το Gobbler), αλλά την ποικιλία που υπάρχει στα Windows, δύσκολα μπορεί να την ανταγωνιστεί άλλο λειτουργικό σύστημα. Το Ethereal υπάρχει και εδώ αλλά η εγκατάστασή του ακολουθεί τα πρότυπα του Unix και η σωστή ρύθμισή του απαιτεί αρκετή δουλειά. Αλλωστε, τα ίδια τα Windows (η έκδοση Server των NT/2000) περιέχουν ένα πρόγραμμα, το Network Monitor, το οποίο έχει αρκετές δυνατότητες. Στις λύσεις από τρίτους κατασκευαστές συμπεριλαμβάνεται το BlackICE, το LANExplorer, το LANDecoder, το Analyzer και το Sniffer της Network Associates, γνωστής από τα προγράμματα McAfee VirusScan και PGP(!!!).
Το πιο γνωστό πρόγραμμα packet sniffing, όμως, είναι αναμφισβήτητα το Etherpeek της εταιρείας Wildpackets (πρώην ‘'AG GROUP”). Είναι σχεδόν βέβαιο ότι τo Etherpeek είχε στο παρελθόν, πριν δημιουργηθεί το Carnivore, χρησιμοποιηθεί από το FBI, αλλά το κυριότερο μειονέκτημά του ως προς αυτό είναι ότι δεν υποστηρίζει καταγραφή πακέτων από χρήστες που έχουν συνδεθεί μέσω modem (RADIUS).
Η Wildpackets δημιουργήθηκε το 1990 και αρχικά κατασκεύαζε προγράμματα μόνο για υπολογιστές Macintosh. Από το 1996, όμως, τα προγράμματα της εταιρείας κυκλοφόρησαν και για υπολογιστές με λειτουργικό σύστημα Windows. Στο (δημοσιεύσιμο) τρέχον πελατολόγιο της εταιρείας συμπεριλαμβάνονται, μεταξύ άλλων, ονόματα μεγάλων εταιρειών από τους τομείς της υψηλής τεχνολογίας (Apple Computer, Cisco Systems, Microsoft, Ericsson, Lucent Technologies, Yahoo!, Xerox Corp., Motorola, 3Com, IBM, Novell) και τον αεροδιαστημικό (Boeing, Lockheed Martin, US Air Force, NASA), ακόμη και η υπηρεσία DARPA (Defence Advanced Research Projects Agency, Υπηρεσία Προηγμένων Αμυντικών Ερευνητικών Προγραμμάτων) του υπουργείου Αμύνης των Η.Π.Α (η ίδια υπηρεσία που ουσιαστικά δημιούργησε το ARPANet, τον πρόγονο του Internet).
Τα προϊόντα της εταιρείας στηρίζονται στην τεχνολογία Etherpeek, δηλαδή την τεχνολογία packet sniffing που χρησιμοποιεί το ομώνυμο πρόγραμμα. Το Etherpeek, που βρίσκεται στην έκδοση 4.1, θεωρείται το καλύτερο ίσως πρόγραμμα του είδους, καθώς οι δυνατότητές του (στις οποίες θα αναφερθούμε παρακάτω) είναι πραγματικά τεράστιες.
Η Wildpackets διαθέτει μάλιστα και μια περιορισμένη έκδοση του προγράμματός της δωρεάν. Η δοκιμαστική έκδοση, την οποία μπορείτε να βρείτε στη διεύθυνση wildpackets.com/products/demos, επιτρέπει την καταγραφή μέχρι 250 πακέτων ή μέχρι 30 δευτερολέπτων.
Κατά την παρουσίαση των πακέτων που έχουν καταγραφεί από το Etherpeek, εμφανίζονται επίσης πληροφορίες για τη διεύθυνση του αποστολέα, και του παραλήπτη, το μέγεθος, την ώρα, το είδος του πρωτοκόλλου καθώς και τα περιεχόμενα του πακέτου.
Το Etherpeek έχει τη δυνατότητα να εκτελεί ταυτόχρονα πολλές καταγραφές που στηρίζονται σε διαφορετικά φίλτρα και ρυθμίσεις. Ο χρήστης του προγράμματος έχει στη διάθεσή του μια τεράστια ποικιλία ρυθμίσεων, μέσω των οποίων μπορεί να ορίσει με μεγάλη ακρίβεια τις συνθήκες που πρέπει να πληρούνται για την έναρξη και τη λήξη της καταγραφής, καθώς και το είδος των δεδομένων και τα στοιχεία των υπολογιστών που θα παρακολουθηθούν.
Οι δυνατότητες ορισμού των φίλτρων είναι απεριόριστες. Το Etherpeek μπορεί να ρυθμιστεί έτσι, ώστε να καταγράψει και να ειδοποιήσει το χρήστη του για όλες τις επικοινωνίες ενός χρήστη ή όλες τις επικοινωνίες ενός χρήστη που περιέχουν κάποιες συγκεκριμένες λέξεις-κλειδιά, ή όλες τις επικοινωνίες ενός χρήστη προς ένα συγκεκριμένο site ή άτομο (e-mail) ή μόνο τα ηλεκτρονικά μηνύματα ή τις Internetικές διευθύνσεις και σελίδες που επισκέπτεται, ή μόνο τα δεδομένα που μεταφέρονται μέσω ενός προγράμματος (όπως το Napster), ενώ ακόμη είναι δυνατόν να ρυθμιστεί έτσι, ώστε να καταγράψει όλα passwords των χρηστών ή τα αρχεία που μεταφέρονται στο δίκτυο (MP3, DivX κ.τ.λ.).
Το Etherpeek προσφέρει επίσης και μια πληθώρα εργαλείων και στατιστικών με πολλές και ποικίλες δυνατότητες. Ετσι, μπορεί να εμφανίσει το όνομα των αρχείων που μεταφέρονται από και προς κάποιον υπολογιστή, εάν υπάρχει αυξημένη κίνηση (traffic) από κάποιον υπολογιστή του δικτύου (κατάχρηση bandwidth), ενώ τέλος η δυνατότητα δημιουργίας/τροποποίησης/αποστολής πακέτων στο δίκτυο παρέχει στον κάτοχο του προγράμματος μοναδικές δυνατότητες.
Το Etherpeek είναι ένα όπλο πραγματικά πανίσχυρο. Εάν μάλιστα η τεχνική υποδομή τού τοπικού δικτύου το επιτρέπει, τότε το Etherpeek επιτρέπει στον καθένα να καταγράψει λεπτομερώς ΟΛΑ τα δεδομένα που διακινούνται από και προς οποιονδήποτε υπολογιστή στο δίκτυο. Ετσι δίνεται πλέον σε οποιονδήποτε η δυνατότητα να μετατραπεί σε ”μεγάλο αδερφό” και να κατασκοπεύσει απαρατήρητος όλους τους συναδέλφους του.
Οπως, όμως, στο Carnivore, έτσι και στο Etherpeek, η ποιότητα των αποτελεσμάτων εξαρτάται άμεσα από το σημείο στο οποίο είναι εγκατεστημένος ο υπολογιστής που τρέχει το πρόγραμμα. Εάν η δικτύωση έχει γίνει μέσω hub, όπου όλα τα πακέτα δεδομένων διακινούνται σε όλο το δίκτυο, μέχρι να βρεθεί ο παραλήπτης τους, τότε ο κάθε υπολογιστής μπορεί να υποκλέψει όλα τα δεδομένα που διακινούνται στο δίκτυο.
Τα hubs, όμως, τον τελευταίο καιρό, τείνουν να αντικατασταθούν από τα switches. Η κύρια διαφορά των hubs από τα switches είναι ότι τα τελευταία προσφέρουν περισσότερο bandwidth σε κάθε υπολογιστή. Οι βελτιωμένες αυτές επιδόσεις οφείλονται στο γεγονός ότι το switch στέλνει τα πακέτα των δεδομένων μόνο στον υπολογιστή στον οποίον απευθύνονται. Ετσι λοιπόν, η χρήση των switches σημαίνει αυτόματα ότι, σε ένα τέτοιο δίκτυο, οι δυνατότητες παρακολούθησης μεταξύ συναδέλφων περιορίζονται αρκετά.
Το Etherpeek, όπως και η πλειοψηφία των εμπορικών προγραμμάτων packet sniffing, δεν απευθύνεται σε υπαλλήλους που επιθυμούν να κατασκοπεύσουν αλλήλους, αλλά κυρίως στους εργοδότες που θέλουν να παρακολουθούν τα τεκταινόμενα.
Τα περισσότερα switches παρέχουν και ένα επιπρόσθετο ”monitoring port” (θύρα παρακολούθησης), στο οποίο μεταφέρονται όλα τα πακέτα όλων των υπόλοιπων υπολογιστών. Ετσι, όποιος έχει πλήρη πρόσβαση στις τεχνικές εγκαταστάσεις των δικτύων, μπορεί να καταγράψει όλα τα δεδομένα χωρίς κανένα εμπόδιο. Οσο γι΄ αυτούς που δεν έχουν πρόσβαση στο hardware, ”το καλό το παλικάρι ξέρει κι άλλο μονοπάτι”. Οι νεότερες εκδόσεις διάφορων packet sniffers, όπως το ”Sniffer” της Network Associates και το ”Observer” της Network Instruments, διαθέτουν μια νέα τεχνολογία (η Network Associates την ονομάζει ”port roving”, ενώ η Network Instruments ”port looping”) που επιτρέπει τη συλλογή στοιχείων από οποιονδήποτε υπολογιστή σε ένα switched δίκτυο!
Εκτός όμως από τις προαναφερθείσες μεθόδους, η παρακολούθηση switched δικτύων είναι εφικτή για οποιονδήποτε κατέχει τις απαραίτητες γνώσεις:
- Η γνωστότερη μέθοδος είναι η MiM (Man-in-the-Middle), η οποία στηρίζεται στο γεγονός ότι για την αποστολή των πακέτων ARP χρησιμοποιείται buffer (προσωρινή μνήμη), με αποτέλεσμα να μπορεί κάποιος υπολογιστής να υποδυθεί κάποιον άλλο. Στο Internet μπορεί κανείς να βρει τον κώδικα για ένα σχετικό πρόγραμμα σε περιβάλλον UNIX.
- Η χρήση του πρωτοκόλλου IRDP (ICMP Router Discovery Protocol) για την προσθήκη ενός νέου router, μέσω του οποίου θα μεταφέρονται τα δεδομένα, είναι μια σχετικά νέα αλλά αρκετά διαδεδομένη μέθοδος ”παρεμβολής”.
- Πολλά switches δεν έχουν σχεδιαστεί για να προσφέρουν υψηλό επίπεδο ασφαλείας, δίνοντας έτσι σε κάποιον κακόβουλο τη δυνατότητα να τροφοδοτήσει το switch με ανύπαρκτες διευθύνσεις MAC προκαλώντας έτσι στο switch overflow και εξαναγκάζοντάς το να αλλάξει κατάσταση λειτουργίας σε ”repeating mode” με αποτέλεσμα όλα τα πακέτα να μεταδίδονται πλέον σε όλα τα ports.
- Οταν στόχος είναι ένας συγκεκριμένος υπολογιστής σε ένα δίκτυο, είναι δυνατόν να πλαστογραφηθεί η διεύθυνση MAC ενός υπολογιστή έτσι ώστε να εμφανίζεται στο δίκτυο με τα ίδια στοιχεία με αυτά του υπολογιστή-στόχου.
- Ένας ακόμη τρόπος υποκλοπής πακέτων είναι η μέθοδος ICMP Redirect, μέσω της οποίας είναι δυνατόν ένας υπολογιστής να στείλει ένα πλαστό μήνυμα για αλλαγή της πορείας των πακέτων έτσι ώστε τα δεδομένα να κάνουν μια ενδιάμεση στάση…
Οσον αφορά τα ασύρματα δίκτυα, τα πράγματα είναι ακόμη πιο εύκολα, καθώς το WEP (Wired Equivalent Privacy) που χρησιμοποιείται για την κρυπτογράφηση των ασύρματων μεταφορών σε δίκτυα της τάξης των 2Mbps, χρησιμοποιεί, για λόγους εξαγωγών, μόλις 40 bits, επιτρέποντας έτσι την αποκρυπτογράφηση των πληροφοριών σχεδόν σε πραγματικό χρόνο (real time).
Η Wildpackets, πάλι, ακολουθώντας τις εξελίξεις, ανακοίνωσε στα τέλη του 2000 την κυκλοφορία της νέας σειράς προγραμμάτων της με την ονομασία Airopeek. Το Airopeek, όπως φαίνεται και από την ονομασία του, στοχεύει στα ασύρματα δίκτυα και ειδικά σε αυτά που υποστηρίζουν το standard 802.11b. Το κόστος του Etherpeek είναι λιγότερο από 400.000 δρχ. (1.000 δολάρια), ενώ το κόστος του Airοpeek μόλις 2.000 δολάρια (!), σίγουρα ένα πολύ μικρό τίμημα για τις πληροφορίες που προσφέρει.
Aν στον πιο πολύ κόσμο οι δυνατότητες ενός προγράμματος της τάξης των χιλίων δολαρίων μοιάζουν εκπληκτικές, η κυκλοφορία του Silent Runner πρέπει να είναι αρκετή για να προκαλέσει δέος.
To Silent Runner είναι το τελευταίο δημόσια εμπορεύσιμο δημιούργημα της Raytheon, της γνωστής εταιρείας της πολεμικής βιομηχανίας. Το εν λόγω πρόγραμμα είναι γνήσιο παιδί των μυστικών υπηρεσιών, καθώς έχει δημιουργηθεί από δύο πρώην υπαλλήλους των μυστικών υπηρεσιών των Η.Π.Α. H Raytheon διαφημίζει το Silent Runner ως ένα ”παθητικό εργαλείο” που μπορεί να παρακολουθήσει τον τρόπο με τον οποίο μετακινούνται τα δεδομένα και να εντοπίσει εάν κάποιος υπολογιστής στέλνει και παίρνει δεδομένα που δεν θα έπρεπε, προσφέροντας έτσι το ανώτερο επίπεδο ”εσωτερικής ασφάλειας” που διαθέτει η βιομηχανία.
Το πρόγραμμα ανεβάζει τον πήχη ακόμη πιο ψηλά, καθώς, σύμφωνα με την κατασκευάστρια εταιρεία, είναι 100% μη ανιχνεύσιμο ενώ είναι και απολύτως νόμιμο, αφού δεν ανιχνεύει λέξεις-κλειδιά ανάμεσα στα πακέτα των δεδομένων, αλλά ”τάσεις”.
Το κοινό του Silent Runner είναι ιδιαίτερα περιορισμένο, αφού αποτελείται από τις εταιρείες εκείνες που όχι μόνο θέλουν να εξασφαλίσουν τη μεγαλύτερη δυνατή βεβαιότητα για την ασφάλεια των δεδομένων τους, αλλά είναι και διατεθειμένες να πληρώσουν αδρά για αυτήν την εξασφάλιση. Ετσι λοιπόν, όπως είναι φυσικό, τα διαθέσιμα στοιχεία για το Silent Runner είναι σχεδόν μηδενικά, καθώς τόσο η κατασκευάστρια εταιρεία, όσο και οι πελάτες της, έχουν κάθε λόγο να κρατήσουν το στόμα τους ερμητικά κλειστό.
Το κόστος του, όμως, μπορεί να δώσει μια μικρή αίσθηση για τις δυνατότητές του. Το Silent Runner κοστίζει μόλις 25.000 έως 65.000 δολάρια (9.000.000-24.000.000 δρχ.) και η εκπαίδευση σε αυτό περίπου άλλα τόσα.
Αλλά, όπως λέει και η παροιμία, ”Ο,τι πληρώνεις, παίρνεις”.
