Mikä on ihminen keskellä. Tekniset UKK

15.05.2022

18.10.2016 | Vladimir Khazov

FSB:n, tele- ja joukkoviestintäministeriön sekä teollisuus- ja kauppaministeriön suunnitelmat toteuttaa Yarovaya-lain säännökset venäläisten kirjeenvaihdon sieppaamisesta ja salauksen purkamisesta eivät ole enää vain suunnitelmia, vaan niitä aletaan jo toteuttaa. toimeen valmistelumääräyksellä Asiantuntijan mielipide sieppausmahdollisuudesta whatsapp viestit, Viber, Facebook Messenger, Telegram, Skype MITM-hyökkäyksillä ja tällaisen työkalun prototyypin esittely.

Kirjoitimme aiemmassa artikkelissa "laillisen" MITM-hyökkäyksen järjestämissuunnitelmasta. Tänään puhumme yksityiskohtaisemmin tällaisen hyökkäyksen periaatteesta ja sen toteuttamismenetelmistä.

Mikä on MITM-hyökkäys

Mies keskellä (MITM) tarkoittaa "mies keskellä". Tämä termi viittaa verkkohyökkäykseen, jossa hyökkääjä on Internetin käyttäjän ja hänen käyttämänsä sovelluksen välissä. Ei tietenkään fyysisesti, vaan erikoisohjelmiston avulla. Se esittelee itsensä käyttäjälle pyydettynä sovelluksena (tämä voi olla verkkosivusto tai Internet-palvelu), simuloi sen kanssa työskentelemistä ja tekee sen siten, että se antaa vaikutelman normaali operaatio ja tiedonvaihto.

Hyökkäyksen kohteena ovat käyttäjän henkilötiedot, kuten kirjautumistiedot erilaisia järjestelmiä, pankkitiedot ja korttien numerot, henkilökohtainen kirjeenvaihto ja muut luottamukselliset tiedot. Useimmissa tapauksissa heitä vastaan hyökätään rahoitussovelluksia(pankkiasiakkaat, verkkopankit, maksu- ja rahansiirtopalvelut), yritysten SaaS-palvelut, verkkokauppasivustot (verkkokaupat) ja muut sivustot, joissa järjestelmään kirjautuminen edellyttää valtuutusta.

Hyökkääjän saamia tietoja voidaan käyttää useisiin eri tarkoituksiin, mukaan lukien laittomat rahansiirrot, tilien vaihtaminen, henkilökohtaisen kirjeenvaihdon sieppaaminen, ostosten tekeminen jonkun toisen kustannuksella, kompromissi ja kiristys.

Lisäksi valtuustietojen varastamisen ja järjestelmän hakkeroinnin jälkeen rikolliset voivat asentaa haittaohjelmia yritysverkkoon. ohjelmisto järjestää henkisen omaisuuden (patentit, projektit, tietokannat) varkauksia ja aiheuttaa taloudellista vahinkoa poistamalla tärkeitä tietoja.

MITM-hyökkäystä voidaan verrata postimieheen, joka kirjeenvaihtoasi jakaessaan avaa kirjeen, kirjoittaa sen sisällön uudelleen henkilökohtaiseen käyttöön tai jopa väärentää käsialan, lisää jotain omaa ja sitten sulkee kirjekuoren ja toimittaa sen vastaanottajalle. kuin mitään ei olisi tapahtunut. Lisäksi, jos olet salannut kirjeen tekstin ja haluat välittää salauksen purkukoodin vastaanottajalle henkilökohtaisesti, postimies esittelee itsensä vastaanottajaksi siten, että et edes huomaa vaihtamista.

Kuinka MITM-hyökkäys suoritetaan

MITM-hyökkäyksen suorittaminen koostuu kahdesta vaiheesta: sieppauksesta ja salauksen purkamisesta.

Sieppaus

Hyökkäyksen ensimmäinen vaihe on siepata liikenne käyttäjältä aiottuun kohteeseen ja ohjata se hyökkääjän verkkoon.

Yleisin ja helpoin tapa siepata on passiivinen hyökkäys, jolloin hyökkääjä luo Wi-Fi-pisteitä vapaa pääsy(ilman salasanaa ja valtuutusta). Kun käyttäjä muodostaa yhteyden tällaiseen pisteeseen, hyökkääjä saa pääsyn kaikkeen sen läpi kulkevaan liikenteeseen ja voi poimia siitä mitä tahansa dataa siepatakseen.

Toinen menetelmä on aktiivinen sieppaus, joka voidaan suorittaa jollakin seuraavista tavoista:

IP-huijaus– paketin otsikossa olevan kohteen IP-osoitteen korvaaminen hyökkääjän osoitteella. Tämän seurauksena käyttäjät päätyvät hyökkääjän verkkosivustolle sen sijaan, että he kävisivät pyydetyssä URL-osoitteessa.

ARP-huijausta– isännän todellisen MAC-osoitteen korvaaminen hyökkääjän osoitteella uhrin ARP-taulukossa. Tämän seurauksena käyttäjän vaaditun solmun IP-osoitteeseen lähettämät tiedot päätyvät hyökkääjän osoitteeseen.

DNS-huijaus DNS-välimuistin tartunta, DNS-palvelimen tunkeutuminen ja verkkosivuston osoitteen täsmäytystietueen huijaus. Tämän seurauksena käyttäjä yrittää käyttää pyydettyä sivustoa, mutta saa hyökkääjän sivuston osoitteen DNS-palvelimelta.

Salauksen purku

Kun kaksisuuntainen SSL-liikenne on siepattu, sen salaus on purettava siten, että käyttäjä ja hänen pyytämänsä resurssi eivät huomaa häiriötä.

Tätä varten on useita menetelmiä:

HTTPS-huijaus– väärennetty varmenne lähetetään uhrin selaimeen, kun yhteys sivustoon muodostetaan HTTPS-protokollan kautta. Tämä sertifikaatti sisältää digitaalinen allekirjoitus vaarantunut sovellus, jolloin selain hyväksyy yhteyden hyökkääjään luotettavana. Kun tällainen yhteys on muodostettu, hyökkääjällä on pääsy kaikkiin uhrin syöttämiin tietoihin ennen kuin ne lähetetään sovellukseen.

SSL BEAST(selaimen hyväksikäyttö SSL/TLS:ää vastaan) – hyökkäys hyödyntää TLS-versioiden 1.0 ja 1.2 SSL-haavoittuvuutta. Uhrin tietokone on saastunut haitallisella JavaScriptillä, joka sieppaa verkkosovellukseen lähetetyt salatut evästeet. Tämä vaarantaa "salatekstilohkoketjutus"-salaustilan siten, että hyökkääjä saa salatut evästeet ja todennusavaimet.

SSL-kaappaus– väärennettyjen todennusavainten siirto käyttäjälle ja sovellukselle TCP-istunnon alussa. Tämä luo ulkonäön suojattu yhteys kun itse asiassa istuntoa ohjaa "mies keskellä".

SSL poistaminen– Alentaa yhteyden suojatusta HTTPS:stä tavalliseen HTTP:hen sieppaamalla sovelluksen käyttäjälle lähettämän TLS-todennuksen. Hyökkääjä tarjoaa käyttäjälle salaamattoman pääsyn sivustolle, samalla kun hän ylläpitää suojattua istuntoa sovelluksen kanssa, jolloin hän voi nähdä uhrin lähettämät tiedot.\

Suojaus MITM-hyökkäyksiä vastaan

Luotettava suojaus MITM-hyökkäyksiä vastaan on mahdollista, jos käyttäjä suorittaa useita ennaltaehkäiseviä toimia ja käyttää verkkosovelluskehittäjien salaus- ja todennusmenetelmien yhdistelmää.

Käyttäjän toimet:

Vältä yhteyden muodostamista Wi-Fi-pisteisiin, joissa ei ole salasanasuojausta. Poista ominaisuus käytöstä automaattinen yhteys tunnettuihin yhteyspisteisiin - hyökkääjä voi naamioida Wi-Fi-verkkonsa lailliseksi.
Kiinnitä huomiota selaimen ilmoitukseen menemisestä suojaamattomalle sivustolle. Tällainen viesti voi viitata hyökkääjän siirtymiseen väärennetylle verkkosivustolle tai ongelmiin laillisen verkkosivuston suojauksessa.
Lopeta istunto sovelluksella (logout), jos se ei ole käytössä.
Älä käytä julkisia verkkoja (kahviloita, puistoja, hotelleja jne.) luottamuksellisten tapahtumien suorittamiseen ( liikekirjeenvaihto, rahoitustapahtumat, ostokset verkkokaupoista jne.).
Käytä tietokoneellasi tai kannettavalla tietokoneellasi virustorjuntaa, jonka tietokannat ovat ajan tasalla, se auttaa suojaamaan haittaohjelmia vastaan.

Verkkosovellusten ja -sivustojen kehittäjien on käytettävä suojattua TLS-protokollat ja HTTPS, jotka vaikeuttavat suuresti huijaushyökkäyksiä salaamalla lähetetyt tiedot. Niiden käyttö estää myös liikenteen sieppauksen valtuutusparametrien ja pääsyavaimien saamiseksi.

Hyvänä käytäntönä pidetään TLS:n ja HTTPS:n suojaamista valtuutussivujen lisäksi myös kaikkien muiden sivuston osien osalta. Tämä vähentää mahdollisuutta, että hyökkääjä varastaa käyttäjän evästeet sillä hetkellä, kun hän selaa suojaamattomia sivuja valtuutuksen jälkeen.

Suojautuminen MITM-hyökkäyksiä vastaan on käyttäjän ja teleoperaattorin vastuulla. Käyttäjälle tärkeintä on olla menettämättä valppautta, käyttää vain hyväksi havaittuja Internet-yhteysmenetelmiä ja valita HTTPS-salauksella varustetut sivustot henkilökohtaisia tietoja siirrettäessä. Teleoperaattoreita voidaan suositella käyttämään Deep Packet Inspection (DPI) -järjestelmiä tietoverkkojen poikkeamien havaitsemiseen ja huijaushyökkäysten estämiseen.

Valtion virastot aikovat käyttää MITM-hyökkäystä kansalaisten suojelemiseen, ei vahingon aiheuttamiseen, toisin kuin hyökkääjät. Henkilökohtaisten viestien ja muun käyttäjäliikenteen sieppaus tapahtuu voimassa olevan lainsäädännön puitteissa oikeusviranomaisten päätöksellä terrorismin, huumekaupan ja muun kielletyn toiminnan torjumiseksi. Tavallisille käyttäjille "lailliset" MITM-hyökkäykset eivät aiheuta uhkaa.

Tarkoittaa tilannetta, jossa hyökkääjä voi lukea ja muokata haluamallaan tavalla kirjeenvaihtajien välillä vaihdettuja viestejä, eikä kukaan jälkimmäisistä voi arvata läsnäoloaan kanavalla.

Wikimedia Foundation. 2010.

Katso, mitä "mies keskellä (hyökkäys)" on muissa sanakirjoissa:

Mies keskellä hyökkäystä MITM-hyökkäys(eng. Man in the middle) termi kryptografiassa, joka kuvaa tilannetta, jossa kryptanalyytikko (hyökkääjä) pystyy lukemaan ja muokkaamaan vaihdettuja viestejä... ... Wikipedia

- ... Wikipedia

Kryptaanalyysi (kreikan sanasta κρυπτός piilotettu ja analysointi) on tiedettä menetelmistä, joilla saadaan salatun tiedon alkuperäinen merkitys ilman pääsyä tähän välttämättömään salaiseen tietoon (avaimeen). Useimmissa tapauksissa tämä tarkoittaa... ... Wikipediaa

Hakkerihyökkäys sanan suppeassa merkityksessä ymmärretään tällä hetkellä ilmauksella "Yrittää turvajärjestelmää", ja se pyrkii pikemminkin seuraavan termin Cracker-hyökkäys merkitykseen. Tämä tapahtui itse sanan "hakkeri" merkityksen vääristymisen vuoksi... Wikipedia

- (muista kreikkalaisista sanoista κρυπτός piilotettu ja analyysi) tiede menetelmistä salatun tiedon purkamiseksi ilman salauksen purkamiseen tarkoitettua avainta. Termin loi amerikkalainen kryptografi William F. Friedman vuonna 1920. Epävirallisesti... ... Wikipedia

Man-in-the-middle -hyökkäys on yleisnimi erilaisille tekniikoille, joilla pyritään saamaan liikennettä välittäjänä. Näiden tekniikoiden laajan valikoiman vuoksi on ongelmallista toteuttaa yksi ainoa työkalu näiden hyökkäysten havaitsemiseen, joka toimisi kaikissa mahdollisissa tilanteissa. Esimerkiksi mies-in-the-middle-hyökkäyksessä paikallisverkkoa vastaan käytetään yleensä ARP-huijausta (poisoning). Ja monet keskimmäisen hyökkäyksen havaitsemistyökalut valvovat Ethernet-osoiteparien muutoksia/tai raportoivat epäilyttävästä ARP-toiminnasta seuraamalla passiivisesti ARP-pyyntöjä/vastauksia. Mutta jos tätä hyökkäystä käytetään haitallisesti määritetyssä välityspalvelimessa, VPN:ssä tai muissa vaihtoehdoissa, jotka eivät käytä ARP-myrkytyksiä, tällaiset työkalut ovat avuttomia.

Tämän osion tarkoituksena on tarkastella joitain tekniikoita välimieshyökkäysten havaitsemiseksi sekä työkaluja, jotka on suunniteltu määrittämään, oletko MitM-hyökkäyksen kohteena. Erilaisten menetelmien ja toteutusskenaarioiden vuoksi 100-prosenttista havaitsemista ei voida taata.

1. Liikenteen muutoksen havaitseminen

Kuten jo mainittiin, mies-in-the-middle-hyökkäykset eivät aina käytä ARP-huijausta. Siksi, vaikka aktiivisuuden havaitseminen ARP-tasolla on suosituin tunnistusmenetelmä, enemmän yleismaailmallisella tavalla on liikenteen muutosten havaitseminen. Mitmcanary-ohjelma voi auttaa meitä tässä.

Ohjelman toimintaperiaate on, että se tekee "ohjaus"-pyyntöjä ja tallentaa vastaanotetut vastaukset. Sen jälkeen se toistaa samat pyynnöt tietyin väliajoin ja vertaa vastaanottamiaan vastauksia. Ohjelma on varsin älykäs, ja väärien positiivisten tulosten välttämiseksi se tunnistaa vastauksissa dynaamiset elementit ja käsittelee ne oikein. Heti kun ohjelma on havainnut jälkiä MitM-hyökkäystyökalujen toiminnasta, se raportoi tästä.

Esimerkkejä siitä, kuinka jotkin työkalut voivat "periä":

MITMf muuttaa oletuksena kaikki HTTPS-URL-osoitteet HTML-koodissa HTTP:ksi. Havaittu vertaamalla HTTP-sisältöä.
Zarp + MITMProxy, MITMProxyssa on toiminto, jonka avulla voit tyhjentää HTTP-pakkauksen, tätä käytetään siirretyn liikenteen läpinäkyvyyteen, tämä yhdistelmä havaitaan aiemmin olemassa olevan pakkauksen katoamisesta
Vastaaja, joka tunnistetaan äkillisistä muutoksista mDNS-vasteiden muunnoksessa: odottamaton vaste; vastaus on sisäinen, mutta ulkoista odotetaan; vastaus on eri kuin odotettu IP

MITMCanary vs MITMf:

MITMCanary vs Responder:

MITMCanary vs Zarp + MITMProxy:

Sudo pip asennus Cython sudo apt-get install python-kivy python-dbus sudo pip asennus plyer uuid urlopen analyysipyyntö simplejson datetime git klooni https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Kuten jo mainittiin, mitmcanaryn on alettava työskennellä ohjauskyselyjen kanssa. Voit tehdä tämän siirtymällä hakemistoon

CD-palvelu/

Ja suorita tiedosto setup_test_persistence.py:

Python2 setup_test_persistence.py

Tämä kestää jonkin aikaa - odota sen päättymistä. Virheilmoituksia ei pitäisi olla (jos näin on, sinulta puuttuu joitain riippuvuuksia).

Tulos on jotain tämän kaltaista:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Vanhempi kokoonpanoversio havaittu (0 14 sijaan) Määrityksen päivitys käynnissä. Tyhjennystuki laukaistu. Analysoidaan... Puhdistus valmis! Tallenna sisäänkirjautuminen /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (oletus, 1.9.2016, 20:27:38)

Kun tämä prosessi on valmis, suorita samassa hakemistossa (tämä käynnistää taustaprosessin):

Python2 main.py

Avaa sen jälkeen uusi pääteikkuna ja siirry loppuhakemistoon mitmcanarylla. Hakemistoni on bin/mitmcanary/, joten kirjoitan sisään

Cd bin/mitmcanary/

ja tee siellä:

Python2 main.py

Ensimmäinen ikkuna näyttää jotain tällaista:

Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py Tallenna sisäänkirjautuminen /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (oletus, 1.9.2016, 20:27:38) käyttäen socket-kuunteluun Tuiolle 127.0.0.1:3000 Nukkuu 60 sekuntia Nukkuu 60 sekuntia Nukkuu 60 sekuntia Nukkumaan 60 sekuntia Nukkumaan 60 sekuntia Nukkumaan 60 sekuntia

Nuo. Ohjelma tekee ohjauspyyntöjä kerran minuutissa ja etsii merkkejä mies-in-the-middle-hyökkäyksestä.

Toinen ikkuna sisältää myös tulosteen + tumma ikkuna avautuu ohjelman kirjoittajat kutsuvat tätä ikkunaa "graafiseksi käyttöliittymäksi":

Voit odottaa hetken ja surffata Internetissä varmistaaksesi, ettei ohjelma anna vääriä varoituksia.

Kokeillaan klassinen ohjelma ettercap.

Aloitan tavallisen MitM-hyökkäyksen ARP-huijauksella. mitmcanary ei reagoi etsaukseen itse. Mitmcanary-työkalu luo liikenteen itse, eli käyttäjän toimia ei tarvita. Jonkin ajan kuluttua näyttöön tulee yksi varoitus, jota ei vahvisteta myöhemmissä tarkastuksissa. Mutta samanlainen varoitus ilmestyy muutaman minuutin kuluttua. Ilman lisäanalyysiä minun on vaikea sanoa, onko tämä esimerkki väärästä positiivisesta - se näyttää paljon siltä. On täysin mahdollista, että tämä varoitus johtuu viestintähäiriöstä, joka johtuu liikenteen tarpeesta kulkea lisäreittejä tai huonolaatuisen Internet-yhteyteni erityispiirteistä.

Koska tulos ei ole ilmeinen (todennäköisemmin "ei" kuin "kyllä"), kokeillaan Bettercap-ohjelmaa, jossa on useita moduuleja. Minulla ei ole epäilystäkään siitä, kun käytät erilaisia Ettercap- ja/tai laajennuksia lisäohjelmia toiminnallisuuden laajentamiseksi "sytysimme" myös mitmcanarylle.

Kokeen puhtauden vuoksi käynnistän laitteiston uudelleen, käytän mitmcanarya hyökkäävässä koneessa ja Bettercap hyökkäävässä koneessa. Samanaikaisesti ei tarvitse tehdä uudelleen ohjauspyyntöjä hyökkäyksen kohteena olevalle koneelle - ne tallennetaan tiedostoon ohjelman mukana olevan hakemiston sisällä. Nuo. Käynnistä vain palvelu ja graafinen käyttöliittymä.

Ja hyökkäävässä koneessa käynnistämme Bettercapin jäsentimien ollessa käytössä:

Sudo bettercap -X

Näkyviin tulee yksittäisiä varoituksia, jotka näyttävät myös enemmän vääriltä positiivisilta.

Mutta suorita tämä komento:

Sudo bettercap -X --välityspalvelin

Hyökkääjä kone soittaa suuri määrä varoitukset mahdollisesta mies keskellä -hyökkäyksestä:

Joten mitä tehokkaampi man-in-the-middle -hyökkäystyökalu on, sitä enemmän se jättää liikenteeseen. Mitmcanaryn käytännön käyttö edellyttää, että seuraavat ehdot täyttyvät:

tee ensimmäiset pyynnöt luotetussa verkossa, kun olet varma, ettei liikenteen välittämisessä ole välittäjää;
muokkaa resursseja, joihin vahvistuspyyntöjä tehdään, koska ammattimainen hyökkääjä voi lisätä oletusresursseja poikkeuksiin, mikä tekee hänestä näkymätön tälle työkalulle.

2. ARP-huijauksen (ARP-välimuistimyrkytys) havaitseminen

Hyvin usein välimieshyökkäys paikallisverkkoon alkaa ARP-myrkytyksellä. Tästä syystä monet MitM-hyökkäysten havaitsemiseen suunnitellut työkalut perustuvat ARP-välimuistin muutosten seurantamekanismiin, joka määrittää vastaavuuden Ethernet- (MAC-osoitteet) ja IP-osoitteiden välillä.

Esimerkkinä tällaisista ohjelmista voidaan muistaa arpwatch, arpalert ja suuri määrä uusia ohjelmia. ArpON-ohjelma ei vain valvo ARP-välimuistin muutoksia, vaan myös suojaa sitä niiltä.

Suoritetaan esimerkiksi arpwatch debug-tilassa ilman, että luodaan haarukoita taustalle ja lähetettäisiin viestejä postitse. Sen sijaan viestit lähetetään stderr-osoitteeseen (normaali virhetuloste).

Sudo /usr/sbin/arpwatch -d

Käynnistetään Ettercap hyökkäävälle koneelle ja aloitetaan ARP-huijaus. Hyökkätyssä koneessa havaitsemme:

Arpwatch-ohjelma auttaa sinua saamaan nopeasti tiedon uusista laitteista, jotka on liitetty laitteeseesi paikallinen verkko, sekä muutokset ARP-välimuistiin.

Toinen työkalu ARP-huijauksen havaitsemiseen reaaliajassa on Ettercapilta itseltään plugin, jota kutsutaan arp_cop. Käynnistä Ettercap hyökkäyksen kohteena olevalla koneella seuraavasti:

Sudo ettercap -TQP arp_cop ///

Ja hyökkääjästä aloitamme ARP-myrkytyksen. Varoitukset alkavat heti näkyä hyökättyyn koneeseen:

3. DNS-huijauksen havaitseminen

DNS-huijaus tarkoittaa, että sinun ja määränpääsi välillä on välittäjä, joka voi muokata liikennettäsi. Kuinka voit havaita, että DNS-tietueita on väärennetty? Helpoin tapa tehdä tämä on verrata vastauksia luotettavalta nimipalvelimelta. Mutta pyyntöösi lähetetyn vastauksen merkinnät voidaan myös korvata...

Nuo. sinun on tarkistettava joko salatun kanavan kautta (esimerkiksi Torin kautta) tai käytä epätyypillisiä asetuksia (toinen portti, TCP UDP:n sijaan). Tätä varten XiaoxiaoPun sans-ohjelma on suunnilleen suunniteltu (ainakin minun käsitykseni mukaan). Pystyin käyttämään tätä ohjelmaa DNS-pyyntöjen uudelleenohjaamiseen Torin kautta ja ei-standardiasetusten kautta minun DNS-palvelin. En kuitenkaan saanut häntä näyttämään minulle DNS-vastausten huijausta koskevia viestejä. Ilman tätä ohjelman merkitys menetetään.

En löytänyt arvokkaampia vaihtoehtoja.

Periaatteessa, koska DNS-huijaukset valvovat yleensä vain porttia 53 ja vain UDP-protokollaa, jopa manuaalisesti riittää yksinkertaisesti DNS-huijauksen tosiasian tarkistaminen, vaikka tämä vaatii oman DNS-palvelimen, jossa on epätyypillinen kokoonpano. Esimerkiksi hyökkäävälle koneelle loin tiedoston dns.conf seuraavalla sisällöllä:

Paikallinen mi-al.ru

Nuo. kun pyydetään DNS-tietuetta mi-al.ru-verkkosivustolle, hyökkääjän koneen IP-osoite lähetetään todellisen IP-osoitteen sijaan.

Käyn hyökkäyskoneen päällä:

Sudo bettercap --dns dns.conf

Ja hyökätylle teen kaksi tarkistusta:

Dig mi-al.ru # ja dig mi-al.ru -p 4560 @185.117.153.79

Tulokset:

Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; yleiset valinnat: +cmd ;; Sain vastauksen: ;; ->> OTSIKKO<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; yleiset valinnat: +cmd ;; Sain vastauksen: ;; ->> OTSIKKO<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Voidaan nähdä, että "tavalliseen" DNS-pyyntöön lähetettiin paikallinen IP 192.168.1.48 ja kun DNS-pyyntöä epätyypillisestä portista lähetettiin oikea palvelimen IP.

Jos palvelin on määritetty käyttämään TCP:tä (UDP:n sijaan), komento näyttäisi tältä:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Selvästi puuttuu työkalu, joka itse valvoisi DNS-vastauksia liikenteessä, tarkistaisi ne uudelleen vaihtoehtoisen lähteen suhteen ja antaisi hälytyksen huijaustapauksissa.

Voit välttää oman etä-DNS:n perustamisen tekemällä nimipalvelinkyselyjä Torin kautta. Koska kaikki Tor-liikenne on salattua, tällä tavalla saadut DNS-vastaukset ovat välittäjän kykyjen ulkopuolella. Jos Toria ei ole vielä asennettu, asenna se.

Sudo apt-get install tor

Sudo pacman -S tor

Aloita palvelu:

Sudo systemctl start tor

Jos tarvitset sitä, lisää tämä palvelu käynnistykseen:

Sudo systemctl enable tor

Avaa tiedosto /etc/tor/torrc ja lisää siihen seuraavat rivit:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit,.onion

Kiinnitä huomiota numeroon 530. Tämä on portin numero 530:n sijaan, voit määrittää minkä tahansa muun (käyttämättömän) portin. Pääasia on muistaa se.

Tarkistamme uudelleen:

Kaivaa mi-al.ru # ja kaivaa mi-al.ru -p 530 @localhost

Nyt määritetään palvelimeksi paikallinen isäntä, ja kirjoita portin numero, jonka määritit /etc/tor/torrc-asetuksissa.

Kuten seuraavasta kuvakaappauksesta näet, DNS-huijaushyökkäys suoritetaan koneelle, jossa tarkistus tehtiin:

4. Etsi verkkoliitäntöjä promiscuous-tilassa

Jos paikallisverkossasi on (ja varsinkin jos se ilmestyy yhtäkkiä) laitteistoa promiscuous-tilassa, tämä on erittäin epäilyttävää, vaikka se ei selvästikään osoita mies-in-the-middle-hyökkäystä.

Tässä tilassa verkkokortin avulla voit vastaanottaa kaikki paketit riippumatta siitä, kenelle ne on osoitettu.

Normaalitilassa Ethernet-liitäntä käyttää linkkikerroksen pakettisuodatusta ja jos vastaanotetun paketin kohdeotsikossa oleva MAC-osoite ei vastaa nykyisen verkkoliitännän MAC-osoitetta eikä lähetetä, paketti hylätään. "Promiscuous"-tilassa verkkoliitännän suodatus on poistettu käytöstä ja kaikki paketit, mukaan lukien ne, joita ei ole tarkoitettu nykyiselle solmulle, sallitaan järjestelmään.

Useimmat käyttöjärjestelmät vaativat järjestelmänvalvojan oikeudet salliakseen promiscuous-tilan. Nuo. Verkkokortin asettaminen promiscuous-tilaan on tahallinen toiminta, joka voi palvella haistelua.

Verkkoliitäntöjen etsimiseen promiscuous-tilassa käytetään Ettercap-nimistä laajennusta search_promisc.

Esimerkki laajennuksen suorittamisesta:

Sudo ettercap -TQP search_promisc ///

Liitännäisen toiminta ei ole täysin luotettavaa, verkkoliitäntätilan määrittämisessä saattaa ilmetä virheitä.

Johtopäätös

Jotkut välimieshyökkäysmenetelmät jättävät paljon jälkiä, ja joitain (kuten passiivinen välityspalvelimen tunnistetietojen haku) on mahdotonta tai lähes mahdotonta havaita.

Halutun tuloksen saavuttamiseksi on lähes aina useita tapoja. Tämä koskee myös tietoturva-alaa. Joskus tavoitteen saavuttamiseksi voit käyttää raakaa voimaa, etsiä reikiä ja kehittää itse hyväksikäyttöä tai kuunnella, mitä verkon kautta lähetetään. Lisäksi viimeinen vaihtoehto on usein optimaalinen. Siksi tänään puhumme työkaluista, jotka auttavat saamaan verkkoliikenteestä meille arvokasta tietoa käyttämällä tähän MITM-hyökkäyksiä.

MITMf

Aloitetaan yhdestä mielenkiintoisimmista ehdokkaista. Tämä on koko kehys man-in-the-middle-hyökkäysten suorittamiseen, joka on rakennettu sergio-välityspalvelimen pohjalta. Hiljattain sisällytetty Kali Linuxiin. Asenna se itse kloonaamalla arkisto ja suorittamalla pari komentoa:

# setup.sh # pip install -r vaatimukset.txt

# pip install -rvaatimukset.txt

Sillä on arkkitehtuuri, joka on laajennettavissa laajennusten avulla. Tärkeimpien joukossa ovat seuraavat:

Huijaus - mahdollistaa liikenteen uudelleenohjauksen ARP/DHCP-huijauksilla, ICMP-uudelleenohjauksilla ja DNS-kyselyjen muokkaamisella;
Sniffer - tämä laajennus seuraa eri protokollien kirjautumisyrityksiä;
BeEFAutorun - voit käynnistää automaattisesti BeEF-moduuleja käyttöjärjestelmän ja asiakasselaimen tyypin perusteella;
AppCachePoison - suorittaa välimuistin myrkytyshyökkäyksen;
SessionHijacking - kaappaa istuntoja ja tallentaa tuloksena olevat evästeet Firefly-profiiliin;
BrowserProfiler - yrittää saada luettelon selaimen käyttämistä laajennuksista;
FilePwn - voit korvata HTTP:n kautta lähetetyt tiedostot Backdoor Factoryn ja BDFProxyn avulla;
Inject - lisää mielivaltaisen sisällön HTML-sivulle;
jskeylogger - upottaa JavaScript-näppäinloggerin asiakassivuille.

Jos tämä toiminto tuntuu sinusta riittämättömältä, voit aina lisätä oman ottamalla käyttöön sopivan laajennuksen.

PuttyRider

Toinen huomion arvoinen apuohjelma. Totta, toisin kuin kaikki muut nykyään harkitut työkalut, se on hyvin suppeasti erikoistunut. Kuten projektin kirjoittaja itse sanoo, hänet inspiroi tällaisen apuohjelman luomiseen se, että penetraatiotestien aikana tärkeimmät tiedot löytyivät Linux/UNIX-palvelimista, joihin ylläpitäjät liittyivät SSH/Telnet/rloginin kautta. Lisäksi useimmissa tapauksissa pääsy järjestelmänvalvojien koneeseen oli paljon helpompaa kuin kohdepalvelimelle. Kun olet tunkeutunut järjestelmänvalvojan koneeseen, jäljellä on vain varmistaa, että PuTTY on käynnissä, ja rakentaa tällä työkalulla takasilta hyökkääjälle.

Apuohjelman avulla voit kaapata järjestelmänvalvojan ja etäpalvelimen välistä "viestintää" (mukaan lukien salasanat), vaan myös suorittaa mielivaltaisia komentotulkkikomentoja tietyn istunnon aikana. Lisäksi kaikki tämä tapahtuu täysin avoimesti käyttäjälle (järjestelmänvalvojalle). Jos olet kiinnostunut teknisistä yksityiskohdista, esimerkiksi kuinka PuTTY otetaan käyttöön prosessissa, suosittelen lukemaan kirjoittajan esityksen.

Melko vanha apuohjelma, syntynyt yli kahdeksan vuotta sitten. Tarkoitettu kloonaamiseen varastamalla evästeitä. Istuntojen kaappaamiseen hänellä on perustaidot isäntien havaitsemisessa (jos se on kytketty avoimeen langattomaan verkkoon tai keskittimeen) ja ARP-myrkytysten suorittamiseen. Ainoa ongelma on, että nykyään, toisin kuin kahdeksan vuotta sitten, lähes kaikki suuret yritykset, kuten Yahoo tai Facebook, käyttävät SSL-salausta, mikä tekee tästä työkalusta täysin hyödyttömän. Tästä huolimatta Internetissä on edelleen riittävästi resursseja, jotka eivät käytä SSL:ää, joten on liian aikaista poistaa apuohjelma. Sen etuja ovat se, että se integroituu automaattisesti Firefoxiin ja luo erillisen profiilin jokaiselle siepatulle istunnolle. Lähdekoodi on saatavilla arkistosta, ja voit rakentaa sen itse käyttämällä seuraavaa komentosarjaa:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip istuntovaras

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev

# g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp

# setcap cap_net_raw,cap_net_admin=eip sessionthief

ProxyFuzz

ProzyFuzzilla ei ole mitään tekemistä suoraan MITM-hyökkäysten tekemisen kanssa. Kuten nimestä voi päätellä, työkalu on suunniteltu fuzzingiin. Tämä on pieni ei-deterministinen verkkofuzzeri, joka on toteutettu Pythonissa ja joka muuttaa satunnaisesti verkkoliikennepakettien sisältöä. Tukee TCP- ja UDP-protokollia. Voit määrittää sen sumentamaan vain yhden puolen. Se on kätevä, kun haluat nopeasti testata jotain verkkosovellusta (tai protokollaa) ja kehittää PoC. Käyttöesimerkki:

Python proxyfuzz -l -r -s

python proxyfuzz -l -r -s

Vaihtoehtoluettelo sisältää:

w - määrittää pyyntöjen määrän, jotka on lähetetty ennen fuzzingin alkamista;
c - sumea vain asiakas (muuten molemmat puolet);
s - sumea vain palvelin (muuten molemmat puolet);
u - UDP-protokolla (muuten käytetään TCP:tä).

Keskimmäinen

Apuohjelma MITM-hyökkäysten suorittamiseen eri protokollia vastaan, jotka esiteltiin DEF CON -konferenssissa. Alfa-versio tuki HTTP-protokollaa ja sen arsenaalissa oli kolme hienoa laajennusta:

plugin-beef.py - lisää Browser Exploitation Frameworkin (BeEF) kaikkiin paikallisverkosta tuleviin HTTP-pyyntöihin;
plugin-metasploit.py - upottaa IFRAME:n salaamattomiin (HTTP) pyyntöihin, mikä lataa selaimen hyväksikäyttöä Metasploitista;
plugin-keylogger.py - upottaa JavaScript onKeyPress -tapahtumakäsittelijän kaikkiin tekstikenttiin, jotka lähetetään HTTPS:n kautta, jolloin selain lähettää käyttäjän syöttämän salasanan merkki kerrallaan hyökkääjän palvelimelle ennen kuin koko lomake lähetetään.

Middler ei vain automaattisesti analysoi verkkoliikennettä ja löytää siitä evästeitä, vaan myös pyytää niitä itsenäisesti asiakkaalta, eli prosessi on automatisoitu maksimissaan. Ohjelma takaa kaikkien suojaamattomien tilien keräämisen tietokoneverkossa (tai julkisessa hotspotissa), jonka liikenteeseen sillä on pääsy. Jotta ohjelma toimisi oikein, järjestelmään on asennettava seuraavat paketit: Scapy, libpcap, readline, libdnet, python-netfilter. Valitettavasti arkistoa ei ole päivitetty pitkään aikaan, joten sinun on lisättävä uusia toimintoja itse.

Konsoliapuohjelma, jonka avulla voit tarkastella ja muokata HTTP-liikennettä interaktiivisesti. Tällaisten taitojen ansiosta apuohjelmaa eivät käytä vain testaajat/hakkerit, vaan myös tavalliset kehittäjät, jotka käyttävät sitä esimerkiksi verkkosovellusten virheenkorjaukseen. Sen avulla saat yksityiskohtaista tietoa siitä, mitä pyyntöjä sovellus tekee ja mitä vastauksia se saa. Mitmproxy voi myös auttaa tutkimaan joidenkin REST-sovellusliittymien, erityisesti huonosti dokumentoitujen, toiminnan erityispiirteitä.

Asennus on erittäin yksinkertaista:

$ sudo aptitude asenna mitmproxy

On syytä huomata, että mitmproxy mahdollistaa myös HTTPS-liikenteen sieppaamisen antamalla asiakkaalle itseallekirjoitetun varmenteen. Hyvä esimerkki liikenteen sieppauksen ja muokkaamisen asettamisesta löytyy täältä.

Dsniff

No, tämä apuohjelma on yleensä yksi ensimmäisistä asioista, jonka pitäisi tulla mieleen heti, kun kuulet sen
"MITM-hyökkäys". Työkalu on melko vanha, mutta sitä päivitetään edelleen aktiivisesti, mikä on hyvä uutinen. Sen kyvyistä ei ole mitään järkeä puhua sen 14 vuoden aikana, se on käsitelty Internetissä useammin kuin kerran. Esimerkiksi tällaisessa oppaassa:

tai ohjeet nettisivuiltamme:

Lopuksi..

Kuten tavallista, emme ole tarkastelleet kaikkia apuohjelmia, mutta vain suosituimpia, on myös monia vähän tunnettuja projekteja, joista saatamme joskus puhua. Kuten näette, työkaluista MITM-hyökkäysten suorittamiseen ei ole pulaa, ja mitä ei tapahdu kovin usein, yksi hienoista työkaluista on toteutettu Windowsille. Nix-järjestelmistä ei ole mitään sanottavaa - koko valikoima. Joten uskon, että voit aina löytää oikean työkalun varkauksiin
muiden ihmisten valtakirjat. Oho, eli testaukseen.

Jossa hyökkääjä, joka on liittynyt vastapuolten väliseen kanavaan, häiritsee lähetysprotokollaa poistamalla tai vääristäen tietoja.

Hyökkäysperiaate

Hyökkäys alkaa yleensä viestintäkanavan salakuuntelulla ja päättyy siihen, että kryptanalyytikko yrittää korvata siepatun viestin, poimia siitä hyödyllistä tietoa ja ohjata sen johonkin ulkoiseen resurssiin.

Oletetaan, että objekti A aikoo lähettää jotain tietoa objektille B. Objektilla C on tietoa käytetyn tiedonsiirtomenetelmän rakenteesta ja ominaisuuksista sekä C:n sieppaavan varsinaisen tiedon suunnitellusta lähetyksestä. Suorittaakseen hyökkäyksen C "näkyy" objektille A B:nä ja objektille B A:na. Objekti A, uskoen virheellisesti lähettävänsä tietoa B:lle, lähettää sen objektille C. Objekti C saatuaan tiedon, ja suorittaa sen kanssa joitain toimintoja (esimerkiksi kopioimalla tai muokkaamalla omiin tarkoituksiinsa) välittää tiedot vastaanottajalle itselleen - B; kohde B puolestaan uskoo, että tieto on saatu suoraan A:lta.

Esimerkki hyökkäyksestä

Haitallisen koodin ruiskuttaminen

Man-in-the-middle -hyökkäys mahdollistaa salausanalyytikon lisäämisen koodin sähköposteihin, SQL-lauseisiin ja verkkosivuille (eli mahdollistaa SQL-injektion, HTML-/skripti-injektion tai XSS-hyökkäykset) ja jopa muokata käyttäjien lataamia binaareja päästä käsiksi käyttäjän tilille tai muuttaa käyttäjän Internetistä lataaman ohjelman toimintaa.

Vähennä hyökkäystä

Termi "downgrade Attack" viittaa hyökkäykseen, jossa kryptanalyytikko pakottaa käyttäjän käyttämään vähemmän turvallisia toimintoja, protokollia, joita tuetaan edelleen yhteensopivuussyistä. Tämäntyyppinen hyökkäys voidaan suorittaa SSH-, IPsec- ja PPTP-protokollia vastaan.

Suojatakseen alemman tason hyökkäykseltä suojaamattomat protokollat on poistettava käytöstä ainakin yhdeltä puolelta. Pelkkä suojattujen protokollien tukeminen ja käyttäminen oletuksena ei riitä!

SSH V1 SSH V2:n sijaan

Hyökkääjä saattaa yrittää muuttaa palvelimen ja asiakkaan välisiä yhteysparametreja, kun niiden välille muodostetaan yhteys. Blackhat Conference Europe 2003:ssa pidetyn puheen mukaan kryptanalyytikko voi "pakottaa" asiakkaan aloittamaan SSH1-istunnon SSH2:n sijaan muuttamalla SSH-istunnon versionumeroksi "1.99" arvoksi "1.51", mikä tarkoittaa SSH V1:n käyttöä. . SSH-1-protokollassa on haavoittuvuuksia, joita kryptanalyytikot voivat hyödyntää.

IPsec

Tässä hyökkäysskenaariossa kryptanalyytikko johtaa uhrinsa harhaan ajattelemaan, että IPsec-istunto ei voi alkaa toisesta päästä (palvelimesta). Tämä johtaa siihen, että viestit lähetetään nimenomaisesti, jos isäntäkone on käynnissä palautustilassa.

PPTP

PPTP-istunnon parametrien neuvotteluvaiheessa hyökkääjä voi pakottaa uhrin käyttämään vähemmän turvallista PAP-todennusta, MSCHAP V1:tä (eli "palaamaan" MSCHAP V2:sta versioon 1) tai olemaan käyttämättä salausta ollenkaan.

Hyökkääjä voi pakottaa uhrinsa toistamaan PPTP-istunnon parametrien neuvotteluvaiheen (lähettää Terminate-Ack-paketin), varastaa salasanan olemassa olevasta tunnelista ja toistaa hyökkäyksen.

Julkinen viestintä suojaamatta tietojen tarkkuutta, luottamuksellisuutta, saatavuutta ja eheyttä

Tämän ryhmän yleisimmät viestintävälineet ovat sosiaalinen verkosto, julkinen sähköpostipalvelu ja pikaviestijärjestelmä. Viestintäpalvelua tarjoavan resurssin omistajalla on täysi määräysvalta kirjeenvaihtajien välillä vaihdettuun tietoon ja hän voi oman harkintansa mukaan tehdä hyökkäyksen vapaasti milloin tahansa.

Toisin kuin aikaisemmissa viestinnän teknisiin ja teknologisiin näkökohtiin perustuvissa skenaarioissa, tässä tapauksessa hyökkäys perustuu henkisiin näkökohtiin, nimittäin tietoturvavaatimusten huomiotta jättämisen käsitteen juurruttamiseen käyttäjien mieleen.

Auttaako salaus?

Tarkastellaan tavallista HTTP-tapahtumaa. Tässä tapauksessa hyökkääjä voi melko helposti jakaa alkuperäisen TCP-yhteyden kahdeksi uudeksi: toisen itsensä ja asiakkaan välille, toisen itsensä ja palvelimen välille. Tämä on melko helppoa, koska erittäin harvoin yhteys asiakkaan ja palvelimen välillä on suora, ja useimmissa tapauksissa ne ovat yhteydessä useiden välipalvelimien kautta. MITM-hyökkäys voidaan suorittaa millä tahansa näistä palvelimista.

Jos asiakas ja palvelin kuitenkin kommunikoivat HTTPS-protokollalla, joka tukee salausta, voidaan suorittaa myös man-in-the-middle -hyökkäys. Tämäntyyppinen yhteys käyttää TLS- tai SSL-salausta pyyntöjen salaamiseen, mikä näyttäisi suojaavan kanavaa haistamiselta ja MITM-hyökkäyksiltä. Hyökkääjä voi luoda kaksi itsenäistä SSL-istuntoa kullekin TCP-yhteydelle. Asiakas muodostaa SSL-yhteyden hyökkääjään, joka puolestaan luo yhteyden palvelimeen. Tällaisissa tapauksissa selain yleensä varoittaa, että varmenne ei ole luotettavan varmentajan allekirjoittama, mutta vanhentuneiden selainten tavalliset käyttäjät voivat helposti ohittaa tämän varoituksen. Lisäksi hyökkääjällä voi olla juurivarmentajan allekirjoittama varmenne (esimerkiksi tällaisia varmenteita käytetään joskus DLP:ssä), eikä se luo varoituksia. Lisäksi HTTPS:ää vastaan on olemassa useita hyökkäyksiä. Siten HTTPS-protokollaa ei voida pitää tavallisten käyttäjien suojattuna MITM-hyökkäyksiltä. [ ] On olemassa useita toimenpiteitä, jotka estävät jotkin MITM-hyökkäykset https-sivustoihin, erityisesti HSTS, joka kieltää http-yhteyksien käytön sivustoilta, varmenteiden kiinnitys ja HTTP-julkisen avaimen kiinnitys, jotka estävät varmenteiden korvaamisen.

MITM-hyökkäyksen havaitseminen

Välimieshyökkäyksen havaitsemiseksi sinun on analysoitava verkkoliikenne. Esimerkiksi SSL-hyökkäyksen havaitsemiseksi sinun tulee kiinnittää huomiota seuraaviin parametreihin:

Palvelimen IP-osoite
DNS-palvelin
X.509 - palvelimen varmenne
- Onko todistus itse allekirjoitettu?
- Onko sertifikaatti varmentajan allekirjoittama?
- Onko sertifikaatti peruutettu?
- Onko todistus muuttunut äskettäin?
- Ovatko muut Internetin asiakkaat saaneet saman varmenteen?

MITM-hyökkäyksen toteutukset

Lueteltujen ohjelmien avulla voidaan suorittaa man-in-the-middle -hyökkäyksiä, havaita niitä ja testata järjestelmän haavoittuvuuksia.

Katso myös

Aspidistra (englanniksi) - brittiläinen radiolähetin, jota käytettiin toisen maailmansodan "hyökkäyksen aikana", muunnelma MITM-hyökkäyksestä.
Babington Plot (englanniksi) - salaliitto Elizabeth I:tä vastaan, jonka aikana Walsingham sieppasi kirjeenvaihtoa.

Muut hyökkäykset

"Man in the Browser" on eräänlainen hyökkäys, jossa hyökkääjä pystyy välittömästi muuttamaan tapahtumaparametreja ja muuttamaan uhrille täysin läpinäkyviä sivuja.
Meet-in-the-middle -hyökkäys on kryptografinen hyökkäys, joka, kuten syntymäpäivähyökkäys, käyttää hyväkseen kompromissia ajan ja muistin välillä.
"Miss in the middle -hyökkäys" on tehokas menetelmä niin sanottuun mahdottomaan differentiaaliseen kryptausanalyysiin.
Välityshyökkäys on muunnelma MITM-hyökkäyksestä, joka perustuu siepatun viestin välittämiseen kelvolliselle vastaanottajalle, mutta ei sille, jolle viesti oli tarkoitettu.
Rootkit on ohjelma, joka on suunniteltu piilottamaan jälkiä hyökkääjän läsnäolosta.

Kirjoita arvostelu artikkelista "Man in the Middle Attack"

Kirjallisuus

Linkit

www.all.net/CID/Attack/Attack74.html
www.nag.ru/2003/0405/0405.shtml
www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Ote luonnehtii miestä keskellä hyökkäystä

"Quartire, quartire, logement", sanoi upseeri, katsoen alas pieneen mieheen alentuvalla ja hyväntahtoisella hymyllä. – Les Francais sont de bons enfants. Que diable! Voyons! Ne nous fachons pas, mon vieux, [Asuntoja, huoneistoja... Ranskalaiset ovat hyviä tyyppejä. Vittu, älkäämme riidelkö, isoisä.] - hän lisäsi taputtaen pelästynyttä ja hiljaista Gerasimia olkapäälle.
- Aca! Dites donc, on ne parle donc pas francais dans cette boutique? [No, eikö täällä kukaan puhu ranskaa?] hän lisäsi katsellen ympärilleen ja kohdatessaan Pierren silmät. Pierre vetäytyi ovesta.
Upseeri kääntyi jälleen Gerasimiin. Hän vaati Gerasimia näyttämään hänelle talon huoneet.
"Mestari on poissa, älkää ymmärtäkö... minun on sinun..." sanoi Gerasim yrittäen selventää sanojaan sillä, että hän puhui ne nurinpäin.
Hymyilevä ranskalainen upseeri levitti kätensä Gerasimin nenän eteen, saaden hänet tuntemaan, ettei hän ymmärtänyt häntä, ja ontuen käveli ovelle, jossa Pierre seisoi. Pierre halusi siirtyä pois piiloutuakseen häneltä, mutta juuri tuolloin hän näki Makar Alekseichin nojautuvan avoimesta keittiön ovesta pistooli käsissään. Hullun ovelalla Makar Alekseich katsoi ranskalaiseen ja nosti pistooliaan tähtäämään.
- Kyytiin!!! - humalainen huusi pistoolin liipaisinta painaen. Ranskalainen upseeri kääntyi huudon jälkeen ympäri, ja samalla hetkellä Pierre ryntäsi humalaisen miehen kimppuun. Pierren tarttuessa ja kohottaessaan pistooliin, Makar Alekseich löi lopulta sormellaan liipaisinta, ja kuului laukaus, joka oli kuurouttava ja peitti kaikki ruudin savulla. Ranskalainen kalpeni ja ryntäsi takaisin ovelle.
Pierre, joka oli unohtanut aikomuksensa olla paljastamatta ranskan kielen taitoaan, nappasi pistoolin ja heitti sen, juoksi upseerin luo ja puhui hänelle ranskaksi.
"Vous n"etes pas blesse? [Etkö ole haavoittunut?]", hän sanoi.
"Je crois que non", vastasi upseeri ja tunsi itsensä, "mais je l"ai manque belle cette fois ci", hän lisäsi osoittaen irtonaista kipsiä seinässä. "Quel est cet homme? [Ei näytä. .. mutta tämä, koska se oli lähellä. Kuka tämä mies on?] - upseeri sanoi katsoen ankarasti Pierreä.
"Ah, je suis vraiment au desespoir de ce qui vient d"arriver, [Ah, olen todella epätoivoinen tapahtuneesta]", Pierre sanoi nopeasti ja unohti roolinsa kokonaan. "C"est un fou, un malheureux qui ne savait pas ce qu"il faisait. [Tämä on onneton hullu, joka ei tiennyt mitä oli tekemässä.]
Upseeri lähestyi Makar Alekseichia ja tarttui häneen kauluksesta.
Makar Alekseich, hänen huulensa auki, kuin nukahtaisi, heilui, nojaten seinää vasten.
"Brigand, tu me la payeras", sanoi ranskalainen ja nosti kätensä.
– Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [Ryöväri, sinä maksat minulle tästä. Veljemme on armollinen voiton jälkeen, mutta me emme anna anteeksi pettureille”, hän lisäsi synkkä juhlallisuus kasvoissaan ja kauniilla energisellä eleellä.
Pierre jatkoi ranskaksi suostutellakseen upseeria olemaan rankaisematta tätä humalaista, hullua miestä. Ranskalainen kuunteli hiljaa, muuttamatta synkkää ulkonäköään, ja kääntyi yhtäkkiä Pierren puoleen hymyillen. Hän katsoi häntä hiljaa muutaman sekunnin ajan. Hänen komeat kasvonsa saivat traagisen lempeän ilmeen, ja hän ojensi kätensä.
"Vous m"avez sauve la vie! Pelastit henkeni. Olet ranskalainen", hän sanoi. Ranskalaiselle tämä johtopäätös oli kiistaton , m r Ramball "I capitaine du 13 me leger [Monsieur Rambal, 13. kevyen rykmentin kapteeni] - oli epäilemättä suurin asia.
Mutta vaikka tämä päätelmä ja siihen perustuva upseerin vakaumus oli kuinka kiistaton tahansa, Pierre piti tarpeellisena tuottaa hänelle pettymys.
"Je suis Russe, [olen venäläinen",] Pierre sanoi nopeasti.
"Ti ti ti, a d"autres, [kerro tämä muille", sanoi ranskalainen heiluttaen sormea nenänsä edessä ja hymyillen "Tout a l"heure vous allez me conter tout ca", hän sanoi. – Charme de rencontrer un maanmiehensä. Eh bien! qu"allons nous faire de cet homme? [Nyt kerrot minulle tämän kaiken. On erittäin mukavaa tavata maanmiehensä. No! Mitä meidän pitäisi tehdä tälle miehelle?] - hän lisäsi ja kääntyi Pierreen kuin hän olisi hänen veljensä Vaikka Pierre ei olisi ranskalainen, hän ei voinut luopua siitä, sanoi viimeiseen kysymykseen Pierre, kuka Makar Alekseich oli, selitti, että juuri ennen heidän saapumistaan humalainen, hullu mies varasti ladatun pistoolin, jota he eivät ehtineet ottaa häneltä pois, ja pyysi, että hänen tekonsa jätettäisiin rankaisematta.
Ranskalainen ojensi rintaansa ja teki kuninkaallisen eleen kädellään.
– Vous m"avez sauve la vie. Vous etes Francais. Vous me demandez sa grace? Je vous l"accorde. Qu"on emmene cet homme, [Sinä pelastit henkeni. Olet ranskalainen. Haluatko, että annan hänelle anteeksi? Annan hänelle anteeksi. Ota tämä mies pois", ranskalainen upseeri sanoi nopeasti ja tarmokkaasti tarttuen toisen kädestä. joka oli ansainnut hänet siitä, että hän pelasti henkensä ranskalaiselle Pierrelle, ja meni hänen kanssaan taloon.
Pihalla olleet sotilaat, kuullessaan laukauksen, menivät eteiseen kysyen, mitä oli tapahtunut, ja ilmaisivat olevansa valmiita rankaisemaan syyllisiä; mutta upseeri pysäytti heidät tiukasti.
"On vous demandera quand on aura besoin de vous, [tarvittaessa, sinulle kutsutaan", hän sanoi. Sotilaat lähtivät. Tilanhoitaja, joka oli tällä välin ehtinyt olla keittiössä, lähestyi poliisia.
"Capitaine, ils ont de la soupe et du gigot de mouton dans la cuisine", hän sanoi. - Faut il vous l "apporter? [Kapteeni, heillä on keittiössä keittoa ja paistettua lammasta. Haluatko tuoda sen?]
"Oui, et le vin, [Kyllä, ja viini",] sanoi kapteeni.

Ranskalainen upseeri ja Pierre astuivat taloon. Pierre piti velvollisuutenaan jälleen vakuuttaa kapteenille, ettei hän ollut ranskalainen ja halusi lähteä, mutta ranskalainen upseeri ei halunnut kuulla siitä. Hän oli niin kohtelias, ystävällinen, hyväntuulinen ja todella kiitollinen henkensä pelastamisesta, ettei Pierrellä ollut henkeä kieltäytyä hänestä ja istui hänen kanssaan eteiseen, ensimmäiseen huoneeseen, johon he tulivat. Vastauksena Pierren väitteelle, ettei hän ollut ranskalainen, kapteeni, joka ei ilmeisesti ymmärtänyt, kuinka näin imartelevasta tittelistä voi kieltäytyä, kohautti olkapäitään ja sanoi, että jos hän varmasti halusi siirtyä venäläiseksi, niin olkoon niin, mutta että hän, siitä huolimatta, kaikki ovat edelleen ikuisesti yhteydessä häneen kiitollisena hänen henkensä pelastamisesta.
Jos tälle miehelle olisi annettu ainakin jonkinlainen kyky ymmärtää muiden tunteita ja hän olisi arvannut Pierren tunteista, Pierre olisi luultavasti jättänyt hänet; mutta tämän miehen eloisa läpäisemättömyys kaikkeen, mikä ei ollut itse, voitti Pierren.
"Francais ou Prince russe incognito, [ranskalainen tai venäläinen prinssi incognito", sanoi ranskalainen katsoessaan Pierren likaisia mutta ohuita alushousuja ja sormusta kädessään. – Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [Olen sinulle velkaa henkeni ja tarjoan sinulle ystävyyttä. Ranskalainen ei koskaan unohda loukkaamista tai palvelusta. Tarjoan ystävyyteni sinulle, en sano enempää.]
Tämän upseerin äänen äänissä, ilmeissä ja eleissä oli niin paljon hyvää luonnetta ja jaloutta (ranskalaisessa mielessä), että Pierre, joka vastasi alitajuisesti hymyillen ranskalaisen hymyyn, puristi ojennettua kättä.
- Capitaine Ramball du treizieme leger, decore pour l "affaire du Sept, [Kapteeni Ramball, kolmastoista kevytrykmentti, kunnialegioonan sotapäällikkö syyskuun seitsemännen päivän asian puolesta", hän esitteli itsensä omahyväisellä, hallitsemattomalla hymyllä, joka ryppyi. hänen huulensa viiksiensä alla - Voudrez vous bien me dire a gift, a qui" j"ai l"honneur de parler aussi agreablement au lieu de rester a l"ambulance avec la balle de ce fou dans le corps [Oletko niin ystävällinen. kertoakseni minulle, kenen kanssa olen, minulla on kunnia puhua niin miellyttävästi sen sijaan, että olisin pukeutumispisteessä tämän hullun luodin kanssa?]
Pierre vastasi, ettei hän voinut sanoa nimeään, ja punastuen alkoi yrittää keksiä nimeä puhua syistä, miksi hän ei voinut sanoa tätä, mutta ranskalainen keskeytti hänet hätäisesti.
"De grace", hän sanoi. – Je comprends vos raisons, vous etes officier... officier superieur, peut être. Vous avez porte les armes contre nous. Ce n"est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [Täydellinen, kiitos. Ymmärrän sinua, olet upseeri... esikuntaupseeri, Ehkä palvelit meitä vastaan. Tämä ei ole minulle velkaa, ja minä olen sinun.] - hän lisäsi kysymyksen. Je ne demande pas davantage. Monsieur Pierre, kiitos... Parfait. C "est tout ce que je wish savoir. [Nimesi? En kysy mitään muuta. Monsieur Pierre, sanoitko? Hienoa. Siinä kaikki, mitä tarvitsen.]
Kun paistettua lammasta, munakokkelia, samovaari, vodkaa ja viiniä venäläisestä kellarista tuotiin, jotka ranskalaiset olivat tuoneet mukanaan, Rambal pyysi Pierreä osallistumaan tähän illalliseen ja heti, ahneesti ja nopeasti, kuin terve ja nälkäinen. henkilö, alkoi syödä, pureskeli nopeasti vahvoilla hampaillaan, löi jatkuvasti huuliaan ja sanoi, että erinomainen, hieno! [ihana, erinomainen!] Hänen kasvonsa olivat punaiset ja hien peitossa. Pierre oli nälkäinen ja osallistui mielellään illalliseen. Järjestäjä Morel toi kattilan lämpimällä vedellä ja laittoi siihen pullon punaviiniä. Lisäksi hän toi pullon kvassia, jonka hän otti keittiöstä testattavaksi. Tämä juoma oli jo ranskalaisten tiedossa ja sai nimensä. He kutsuivat kvassia limonade de cochoniksi (sianlihalimonadi), ja Morel kehui tätä limonade de cochonia, jonka hän löysi keittiöstä. Mutta koska kapteenilla oli viiniä Moskovan halki kulkiessaan, hän tarjosi kvassia Morelille ja otti pullon Bordeaux'ta. Hän kääri pullon kaulaa myöten lautasliinaan ja kaatoi itselleen ja Pierrelle viiniä. Tyytyväinen nälkä ja viini elvyttivät kapteenin entisestään, ja hän puhui lakkaamatta päivällisen aikana.
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m"avoir sauve... de cet enrage... J"en ai assez, voyez vous, de balles dans le corps. En voila une (hän osoitti kylkeään) Wagram et de deux a Smolensk", hän näytti arpia, joka oli poskellaan. - Et cette jambe, comme vous voyez, qui ne veut pas marcher. C"est a la grande bataille du 7 a la Moskowa que j"ai recu ca. Sacre dieu, c"etait beau. Il fallait voir ca, c"etait un deluge de feu. Vous nous avez taille une rude besogne; vous pouvez vous en vanter, nom d"un petit bonhomme. Et, ma parole, malgre l"atoux que j"y ai gagne, je serais pret a recommencer. Je plains ceux qui n"ont pas vu ca. [Kyllä, rakas herra Pierre, minun on sytytettävä hyvä kynttilän puolestanne, koska pelastit minut tältä hullulta. Näetkö, olen saanut tarpeekseni kehossani olevista luodeista. Tässä yksi lähellä Wagramia, toinen lähellä Smolenskia. Ja tämä jalka, näet, ei halua liikkua. Tämä tapahtui 7.:n suuren taistelun aikana Moskovan lähellä. NOIN! se oli mahtavaa! Sinun olisi pitänyt nähdä, että se oli tulipalo. Annoit meille vaikean työn, voit ylpeillä siitä. Ja Jumala, tästä valttikortista huolimatta (hän osoitti ristille), olisin valmis aloittamaan kaiken alusta. Olen pahoillani niitä kohtaan, jotka eivät tätä nähneet.]
"J"y ai ete, [minä olin siellä]", sanoi Pierre.
- Voi, vraiment! "Eh bien, tant mieux", sanoi ranskalainen. – Vous etes de fiers ennemis, tout de meme. La grande redoute a ete tenace, nom d"une pipe. Et vous nous l"avez fait cranement payer. J"y suis alle trois fois, tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. Oh!! c"etait beau, monsieur Pierre. Vos grenadiers ont ete superbes, tonnerre de Dieu. Je les ai vu six fois de suite serrer les rangs, et marcher comme a une revue. Les beaux hommes! Notre roi de Napoli, qui s"y connait a crie: bravo! Ah, ah! soldat comme nous autres! - hän sanoi hymyillen hetken hiljaisuuden jälkeen. - Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille. .. galants... - hän välähti hymyillen, - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [Bah, todella? Sitä parempi. Olette rajuja vihollisia, minun on myönnettävä. Iso redoubt kesti hyvin, helvetti. Ja sait meidät maksamaan kalliisti. Olen ollut siellä kolme kertaa, kuten näette minut. Kolme kertaa olimme aseilla, kolme kertaa meidät kaadettiin kuin korttisotilaat. Grenadierisi olivat mahtavia, Jumalalta. Näin, kuinka heidän joukkonsa sulkeutuivat kuusi kertaa ja kuinka he marssivat ulos kuin paraati. Ihania ihmisiä! Meidän napolilainen kuningas, joka söi koiran näissä asioissa, huusi heille: bravo! - Ha, ha, olet siis sotilasveljemme! - Niin paljon parempi, niin paljon parempi, herra Pierre. Kamalia taistelussa, ystävällisiä kaunokaisille, nämä ovat ranskalaiset, herra Pierre. Eikö ole?]
Kapteeni oli niin naiivisti ja hyväntahtoisen iloinen, täyssydäminen ja itseensä tyytyväinen, että Pierre melkein silmää silmiään katsoen häntä iloisesti. Luultavasti sana "galant" sai kapteenin ajattelemaan Moskovan tilannetta.