Bezpečnost v IT - SPOK.CZ | SSL/SSH

Běžná komunikace po internetu probíhá nešifrovaně. Za předpokladu, že by nikdo neměl přístup k datům na cestě mezi příjemcem a odesílatelem by to nevadilo. Problém je v tom, že to nelze nikdy stoprocentně zaručit. Nejsnažší cesta vede přes zachytávání paketů na lokální síti příjemce nebo odesílatele. Méně běžné je zachycení komunikace v síťových centrech, kde mu zamezuje vhodně zvolenou síťovou topologií. Zachytáváním paketů (eavesdropping) se myslí nastavní síťové karty nebo jiného zařízení do zvláštního režimu, kdy zpracovává nejen pakety určené jí, ale i všechny, které procházejí médiem, ke kterému je připojená - např. koaxiální kabel.

Následující seznam paketů zachycuje filtrovanou komunikaci klienta při vybírání pošty přes pop3.

18:35:23.178859 < 192.168.1.2.1141 > 62.24.69.33.pop-3: . 1:1(0) ack 1 win 17520 (DF)
18:35:23.316898 < 192.168.1.2.1141 > 62.24.69.33.pop-3: P 1:17(16) ack 42 win 17479 (DF)
18:35:23.320069 < 192.168.1.2.1141 > 62.24.69.33.pop-3: P 17:32(15) ack 83 win 17438 (DF)
18:35:23.427467 < 192.168.1.2.1141 > 62.24.69.33.pop-3: P 32:38(6) ack 114 win 17407 (DF)
18:35:23.431077 < 192.168.1.2.1141 > 62.24.69.33.pop-3: P 38:44(6) ack 128 win 17393 (DF)
18:35:23.524842 < 192.168.1.2.1141 > 62.24.69.33.pop-3: P 44:50(6) ack 489 win 17032 (DF)
18:35:23.530749 < 192.168.1.2.1141 > 62.24.69.33.pop-3: F 50:50(0) ack 503 win 17018 (DF)
18:35:23.532208 < 192.168.1.2.1141 > 62.24.69.33.pop-3: . 51:51(0) ack 504 win 17018 (DF)

Mnohem zajímavější je jejich obsah zobrazený v binární podobě

Zakroužkovaně je uživatelské jméno (syndicate) a heslo (ah664497). Protože poštovní schránka byla prázdná není vidět text žádného emailu. K zachytávání paketů přitom není potřeba ani žádný speciální software nebo zkušenosti hackera. Stačí obvyklé utility pro sledování síťového provozu. Na stejném principu funguje zachytávání paketů pro přenos souborů FTP, vybírání pošty IMAP a posílání pošty SMTP nebo vzdálené přihlášení do systému TELNET. To všchno jsou protokoly, které přenášejí data jako "otevřený" text.

Řešení spočívá ve dvou přístupech:

• vhodnou síťovou topologií se dosáhne toho, že je fyzicky obtížné odposlechnout paket
• šifrovat veškerá přenesená data, takže odposlech je bezpředmětný

Protože první možnost se dá aplikovat vždy jen v malém úseku na cestě mezi odesílatelem paketů a jejich příjemcem budeme se zabývat dále už jen druhou možností.

SSL a SSH

Hlavní myšlenka SSL (Secure Socket Layer) spočívá v tom, že než se přenese první bajt skutečných dat "domluví" se obě strany na parametrech šifrování. Skutečná data se pak přenáší zašifrovaná některou ze spolehlivých šifer. SSL přitom přímo nedefinuje konkrétní šifrovací algoritmus. Pro autentizaci lze použít jak veřejné klíče, tak tunelovaná hesla, nebo klíče přenesené nějterou z blokových šifer.

SSH je metoda vzdáleného přístupu na server. Ve spojení s použitím veřejných klíčů se jedná o velmi spolehlivé zabezpečení komunikace.

Následující obrázek ukazuje obsah odchycených paketů z prvního příkladu, ale se zapnutým SSL.

Je vidět, že heslo není rozpoznatelné. Zajímavý je nárust dat způsobený počátečním navázaním SSL spojení před zahájením přenosu.

18:37:06.759146 < 192.168.1.2.1143 > 62.24.69.33.pop3s: . 1:1(0) ack win 17520 (DF)
18:37:06.761440 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 1:109(108)ack 1 win 17520 (DF)
18:37:06.921887 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 109:291(182)ack 763 win 16758 (DF)
18:37:07.242422 < 192.168.1.2.1143 > 62.24.69.33.pop3s: . 291:291(0) ack 806 win 16715 (DF)
18:37:07.244303 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 291:328(37) ack 866 win 16655 (DF)
18:37:07.248455 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 328:364(36) ack 928 win 16593 (DF)
18:37:07.350192 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 364:391(27) ack 980 win 16541 (DF)
18:37:07.355226 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 391:418(27) ack 1015 win 16506 (DF)
18:37:07.437556 < 192.168.1.2.1143 > 62.24.69.33.pop3s: P 418:445(27) ack 1397 win 16124 (DF)
18:37:07.450177 < 192.168.1.2.1143 > 62.24.69.33.pop3s: F 445:445(0) ack 1432 win 16089 (DF)
18:37:07.450985 < 192.168.1.2.1143 > 62.24.69.33.pop3s: . 446:446(0) ack 1433 win 16089 (DF)

Ze seznamu přenesených paketů je vidět, že byly odeslány o tři navíc, než v první nešifrované ukázce. Místo protokolu pop3 se objevuje pop3s. V následující tabulce je seznam nešifrovaných protokolů a jejich šifrovaných protějšků:

Echelon:

Bezesporu nejpropracovanější systém odposlechu na světě je Echelon. Byl založen v sedmdesátých letech paktem anglicky mluvících států. Největší rozvoj prodělal v letech devadesátých. V současnosti je schopen zachytit podstatnou část (mluví se až o 70%) komunikace po internetu. Dosahuje toho sledováním jak mikrovlnných a satelitních signálů, tak optických spojů. Zachycená data jsou pak filtrována na klíčová slova a vzorce vět. Hlavní využití je dnes v oblasti ekonomické špionáže. Od roku 1999 se systémem Echelon zabývá komise evropského parlamentu, protože jsou jím poškozovány hlavně země EU (kromě Británie).

Autor: Ing. Filip Sedlář, SPOK.CZ, s.r.o. - publikováno 8/2001