Offengelegte Anmeldedaten finden

Einführung

In dieser Herausforderung schlüpfen Sie in die Rolle eines Netzwerksicherheitsspezialisten, der ein potenzielles Datenleck in Ihrem Unternehmen untersucht. Ihre Aufgabe ist es, den Netzwerkverkehr mit Wireshark zu analysieren, um festzustellen, ob Benutzeranmeldedaten im Klartext übertragen wurden. Dies könnte erklären, wie sensible Informationen kompromittiert wurden.

Die Herausforderung erfordert die Untersuchung von Paketaufzeichnungsdateien (PCAP) der jüngsten Netzwerkkommunikation, um nach offengelegten Anmeldedaten zu suchen. Durch die Anwendung von Paketanalysetechniken identifizieren Sie Instanzen, in denen Benutzernamen und Passwörter möglicherweise ohne ordnungsgemäße Verschlüsselung übertragen wurden. Dies unterstreicht die kritische Bedeutung sicherer Protokolle beim Umgang mit Authentifizierungsdaten.

Offengelegte Anmeldedaten finden

Ihr Unternehmen hat ein potenzielles Datenleck entdeckt. Als Netzwerksicherheitsspezialist müssen Sie den jüngsten Netzwerkverkehr analysieren, um festzustellen, ob Benutzeranmeldedaten im Klartext übertragen wurden, was das Leck erklären könnte.

Aufgaben

• Erstellen Sie einen Anzeigenfilter, um HTTP-Pakete zu finden, die die Wörter 'user', 'pass' oder 'login' enthalten.
• Identifizieren und extrahieren Sie alle offengelegten Anmeldedaten.
• Dokumentieren Sie die entdeckten Anmeldedaten im erforderlichen Format.

Anforderungen

• Öffnen Sie die Paketaufzeichnungsdatei unter /home/labex/project/network_analysis/company_traffic.pcap mit Wireshark.

• Erstellen Sie einen Anzeigenfilter, der nur HTTP-Pakete anzeigt, die mögliche Anmeldedaten enthalten könnten.

• Ihr Filter muss in den HTTP-Paketen nach den Wörtern 'user', 'pass' oder 'login' suchen.

• Speichern Sie Ihren Filter zur Überprüfung, indem Sie nach dem Testen der Funktionalität auf die Schaltfläche "+" in der Filterleiste klicken.

• Sobald Sie die Anmeldedaten gefunden haben, speichern Sie diese in einer Datei namens /home/labex/project/network_analysis/found_credentials.txt in folgendem Format:

  username: [found username]
  password: [found password]

Beispiele

Wenn Sie den richtigen Filter anwenden, sollte Wireshark nur Pakete anzeigen, die Anmeldedaten enthalten. Das könnte etwa so aussehen:

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

Bei der Untersuchung der Paketdetails sollten Sie die Anmeldedaten im Klartext sehen können:

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Ihre Datei found_credentials.txt sollte wie folgt aussehen:

username: labby
password: hacker

Hinweise

• Starten Sie Wireshark über das Terminal mit dem Befehl wireshark.
• Um die Paketaufzeichnungsdatei zu öffnen, nutzen Sie File > Open und navigieren Sie zum Speicherort der Datei.
• Die Leiste für den Anzeigenfilter befindet sich oben im Wireshark-Fenster.
• Um nach mehreren Begriffen mit einer ODER-Logik zu suchen, verwenden Sie das Pipe-Symbol (|).
• Denken Sie daran, dass HTTP-Daten in verschiedenen Teilen des Pakets erscheinen können; suchen Sie daher im gesamten Paketinhalt.
• Wireshark-Filter unterscheiden standardmäßig zwischen Groß- und Kleinschreibung.
• Sie können die Datei mit den Anmeldedaten mit jedem Texteditor wie nano oder gedit erstellen.

Zusammenfassung

In dieser Herausforderung habe ich gelernt, wie man Wireshark verwendet, um den Netzwerkverkehr zu analysieren und potenzielle Sicherheitslücken im Zusammenhang mit der Offenlegung von Anmeldedaten zu identifizieren. Die Aufgabe bestand darin, eine PCAP-Datei des Unternehmensnetzwerkverkehrs zu untersuchen, um Instanzen zu lokalisieren, in denen Benutzeranmeldedaten im Klartext übertragen wurden, was ein entdecktes Datenleck erklären könnte.

Durch sorgfältige Paketinspektion entdeckte ich HTTP-Verkehr mit unverschlüsselten Anmeldeinformationen, speziell eine POST-Anfrage, die Benutzernamen und Passwortwerte im Klartext enthielt. Diese Übung verdeutlichte die kritische Bedeutung der Verwendung verschlüsselter Protokolle (wie HTTPS) für die Übertragung sensibler Informationen, da unverschlüsselte Anmeldedaten leicht von böswilligen Akteuren, die den Netzwerkverkehr überwachen, abgefangen und missbraucht werden können.