Поиск открытых учетных данных

Введение

В этом испытании вы примерите на себя роль специалиста по сетевой безопасности, расследующего возможную утечку данных в вашей компании. Ваша задача — проанализировать сетевой трафик с помощью Wireshark, чтобы выяснить, передавались ли учетные данные пользователей в открытом виде, что могло бы объяснить компрометацию конфиденциальной информации.

Испытание потребует от вас изучения файлов захвата пакетов (PCAP) недавних сетевых коммуникаций для поиска незащищенных учетных данных. Применяя методы анализа пакетов, вы выявите случаи, когда имена пользователей и пароли могли передаваться без надлежащего шифрования, что подчеркивает критическую важность безопасных протоколов для обработки данных аутентификации.

Поиск открытых учетных данных

Ваша компания обнаружила потенциальную утечку данных. Как специалист по сетевой безопасности, вы должны проанализировать недавний сетевой трафик, чтобы определить, передавались ли какие-либо учетные данные пользователей в открытом виде.

Задачи

• Создать фильтр отображения для поиска HTTP-пакетов, содержащих слова 'user', 'pass' или 'login'
• Идентифицировать и извлечь обнаруженные учетные данные
• Задокументировать найденные учетные данные в требуемом формате

Требования

• Откройте файл захвата пакетов, расположенный по пути /home/labex/project/network_analysis/company_traffic.pcap, используя Wireshark

• Создайте фильтр отображения, который покажет только HTTP-пакеты, содержащие возможную информацию об учетных данных

• Ваш фильтр должен искать слова 'user', 'pass' или 'login' в HTTP-пакетах

• Сохраните ваш фильтр для проверки, нажав кнопку «+» на панели фильтров после того, как убедитесь в его работоспособности

• Как только вы найдете учетные данные, сохраните их в файл с именем /home/labex/project/network_analysis/found_credentials.txt в следующем формате:

  username: [found username]
  password: [found password]

Примеры

При применении правильного фильтра Wireshark должен отображать только пакеты, содержащие информацию об учетных данных. Вы можете увидеть что-то вроде этого:

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

При изучении деталей пакета вы сможете увидеть учетные данные в открытом виде:

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Ваш файл found_credentials.txt должен выглядеть так:

username: labby
password: hacker

Подсказки

• Запустите Wireshark из терминала с помощью команды wireshark
• Чтобы открыть файл захвата пакетов, используйте File > Open и перейдите к местоположению файла
• Панель фильтра отображения находится в верхней части окна Wireshark
• Для поиска нескольких терминов с использованием логики «ИЛИ» используйте символ вертикальной черты (|)
• Помните, что данные HTTP могут появляться в разных частях пакета, поэтому ищите по всему содержимому пакета
• Фильтры Wireshark по умолчанию чувствительны к регистру
• Вы можете создать файл с учетными данными, используя любой текстовый редактор, например nano или gedit

Резюме

В этом испытании я научился использовать Wireshark для анализа сетевого трафика и выявления потенциальных уязвимостей безопасности, связанных с раскрытием учетных данных. Задача заключалась в изучении PCAP-файла сетевого трафика компании для поиска случаев передачи учетных данных пользователей в открытом виде, что могло объяснить обнаруженную утечку данных.

Благодаря тщательному изучению пакетов я обнаружил HTTP-трафик, содержащий незашифрованную информацию для входа, а именно POST-запрос, включающий текстовые значения имени пользователя и пароля. Это упражнение подчеркнуло критическую важность использования зашифрованных протоколов (таких как HTTPS) для передачи конфиденциальной информации, поскольку незашифрованные учетные данные могут быть легко перехвачены и использованы злоумышленниками, отслеживающими сетевой трафик.