Insecure in Security – ”Hur proxy kan användas för att undersöka trafik från smartphones”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på McAfee, en del av Intel Security, i Sverige.

Veckans sammandrag handlar om hur du kan avlyssna trafiken från en smartphone.

Hur proxy kan användas för att undersöka trafik från smartphones
Det är äntligen sommar, och vi som inte har tagit ledigt upptäcker plötsligt att vi har mer tid över åt att jobba på spännande projekt. För några veckor sedan diskuterade jag potentiella projekt med en kollega och han frågade hur han på ett enkelt sätt kunde spåra trafik från mobilen, t ex från en iphone eller android telefon. Det finns en mängd anledningar till varför  man skulle vilja ta en närmare titt på dessa typer av telefoner.

Mobiltelefoner och installerade applikationer skickar en mängd data som du kanske inte är medveten om, vilket påpekades i den senaste rapporten från NPR i USA. Kostnadsfria applikationer är traditionellt sett en stor källa till problemen. Jag hör ofta att det sägs att ’om appen eller tjänsten är gratis, är du produkten’, vilket betyder att appen kommer samla in data om dig och skicka vidare till en tredje part. Mycket av datainsamlingen är relativt transparent som att kontaktinformation såsom email-adresser samlas för att senare användas i marknadsföringssyften. Annan insamling av data kan ske utan användarens tillstånd, genom en app som körs i bakgrunden och fångar in data som kreditkortsnummer, adresser, telefonnummer, lösenord med mera. Malware till smartphones ökar ständigt och är ofta inriktade mot Android-enheter. Bank-trojaner, Dialers och datastölds malware är mycket vanligt. Mobiltelefoner är i synnerhet intressanta måltavlor för utvecklare av malware eftersom att den genomsnittliga användaren inte har någon enkel metod att få inblick i systemet.

På en vanlig dator kan vi enkelt samla in och övervaka datatrafiken genom att använda någon typ av ’sniffer’ som tcpdump eller ’wireshark’. Det är lite svårare med mobiltelefoner som inte har någon nätverkskontakt. Istället behöver du avlyssna trafiken någon annanstans för att ha möjlighet att undersöka den. Jag antar att de flesta inte har tillgång till någon typ av existerande nätverksinfrastruktur, såsom IPS, brandvägg, switch med en spegelport eller existerande webbproxy. Om du har det så är det ganska enkelt att samla in trafiken och trycka ut den på en monitor. Egentligen, om du vill göra en fullösning och spara på pengarna så kan du enkelt använda Sharktap eller köpa en billig Switch som stödjer portspegling som Netgear GS105E v2 som kan införskaffas för under 300 kr. Enheterna skulle behöva installeras fysiskt i nätverket mellan din iphone.

Jag tänkte gå igenom några sätt som gör att du snabbt och enkelt kan övervaka vilka typer av anslutningar som sker.

Det finns ett flertal sätt att avlyssna trafik. Som nämnts ovan, kan du spegla eller fånga upp trafiken, du kan även fånga det direkt på telefonen (det är möjligt att installera tcpdump på Android-telefoner), eller så kan du använda en proxy. Vi kommer att sätta upp tre typer av proxy och därmed göra en ’Man in the middle’ attack på oss själva.

Metod 1: Använd McAfee Web Gateway Trial
Här kommer vi att sätta upp en virtuell maskin i VMWare för att användas som proxy för vår McAfee Web Gateway (MWG). Uppsättningen tar bara ett par minuter, och du kan enkelt övervaka web trafiken utan problem. Låt oss börja.

Först och främst behöver du en trial licens: Registrera dig häroch du kommer att få en 30 dagars licens av MWG. När du har fått dina inloggningsuppgifter och din licens, ladda ned 7.4.x iso-filen och skapa en ny virtuell maskin. När du har installerat den virtuella maskinen, behöver du göra följande konfigurationsalternativ:

• OS: Linux 2.6.x kernel 64-bit
  
• RAM: 512Mb är mer än tillräckligt
  
• DISK: 30Gb (allt kommer inte att användas)
  
• Nätverk: Ställ in ‘bridged mode’ och ge det en IP-adress
  

När det är färdigt så är ska du boota din VM från ISO. Välj default-inställningar och systemet kommer att börja installeras. När installationen är avslutad så startar värden om och du kommer att gå igenom en snabb installation. Konfigurera med en IP-adress, nätmask, default gateway och de primär dns. Mina ser ut så här:

Välj default för allt annat, ställ in lösenordet, och när du ser mwgappl login:peka webläsaren mot http:<IP-address>:4711 och logga in med användarnamn: admin lösenord: webgateway

Du kommer bli välkomnad av en installations-wizard, ladda upp licensen, välj tidszon, och kontrollera att dina nätverksinställningar är korrekta, speciellt network gateway och dns-inställningarna. Ändra lösenord och avsluta installationen. Klicka på ’spara ändringar’ uppe till höger, och vi är klara.

Konfigurera din mobil så att den använder din nya proxy, på IOS gör du det under inställningar – wifi – och klicka på det blåa ‘i’ till höger om nätverket, spara dina enheters nuvarande IP-adress till senare, skrolla ner längst ned så kommer du att se proxy-inställningarna. Peka den mot IP-adressen på din MWG och välj port 9090. 

Nu är den installerad och klar att övervaka trafik. På MWG, klicka på troubleshooting> Rule tracing central. Lägg till IP-adressen från din enhet, och klicka på ’Go’. Sök runt på din telefon så kommer du att se alla URL:er som din enhet får åtkomst till.

Om du vill ha fler detaljer kan du gå till paketspårning, och generera ett paket för analys i wireshark och andra verktyg. Glöm inte att kolla ’diagram och tabeller’ under ’Dashboard’ där du kan få en bra överblick över de URL:er, filtyper, och annat som MWG har fångat upp från din enhet.

För att gå vidare kan du skapa några anpassade regler, möjliggöra SSL-kryptering, göra malware scanning, eller implementera verktyget i ett transparent läge för fullständig trafikövervakning.

Metod 2: Använd Linux, NTOP och mitmproxy
Om du vill prova något mer avancerat, kan du ställa in en webbproxy genom att endast använda verktyg för open source. I det här fallet har jag använt Ubuntu, men instruktionerna ska fungera för Kali Linux VM som vi skapade i ett tidigare blogginlägg. Fördelen att bygga det själv är att du kan övervaka trafiken genom ett flertal olika verktyg, så att du kan titta på samma data på olika sätt.

Till att börja med ska du ladda ned och installera Ubuntu 14.04 LTS in i en virtuell maskin (du kan även göra det på en annan laptop om du vill). Jag rekommenderar att ha åtminstone två nätverksgränssnitt anslutna i bridge mode.  Förutom det kan du köra allt med default-inställningar. Öppna en terminal, och börja installera användbara saker.

Installera Ntopng.

Ntop är ett verktyg för att rita upp och övervaka nätverkstrafik och jag använder det regelbundet både privata och på jobbet. För att installera, ange följande kommandon:

sudo su

apt-get update

wget http://www.nmon.net/packages/ubuntu/x64/ntopng/ntopng_1.1.4-7825_amd64.deb

dpkg -i ntopng_1.1.4-7825_amd64.deb

Notera: steget ovan kommer att ge dig error, få inte panik, nästa steg fixar det

apt-get -f install

wget http://www.nmon.net/packages/ubuntu/all/ntopng-data/ntopng-data_1.1.4-7825_all.deb

dpkg -i ntopng-data_1.1.4-7825_all.deb 

ntop är installerad, starta genom att skriva in

ntopng -

och nu kan du öppna en webläsare till 127.0.0.1:3000 och logga in med användarnamn: admin lösenord: admin. Om du rotar runt i gränssnittet så kommer du börja se data från din Ubuntu box som ritas upp.

Nu ska vi lägga till en riktigt behändig proxy-applikation som kallas mitmproxy för att samla in trafik från en iphonek. Installationen är enkel: apt-get installera mitmproxy

Det var allt. För att köra proxyn, skriv in: mitmproxy

Konfigurera nu din mobilenhet till den nya proxy, som beskrivs i metod 1, genom att använda IP-adressen från Ubuntu och port 8080. Om du söker igenom eller öppnar appar kommer trafiken att börja flöda. 

För bästa effekt behöver du installera ett ssl-certifikat, vilket mitmproxy har förenklat via en webbapp. När du endå är på deras webbplats så rekommenderar jag att du spanar in alla andra coola saker som du kan göra med den. När du surfar genom proxy så kommer ntop att ge information om protokoll, applikationer, geolokalisering och mer. Det är enkelt att lägga till fler funktioner för att avlyssna och rapportera på olika typer av trafik.

Metod 3: Skapa en åtkomstpunkt på din laptop (OS X)
Det här är en metod som jag använder väldigt ofta, både för att den är praktisk och enkel att använda. Om du har en Mac, kan du använda funktionen ’internetdelning’ för att samla in all trafik som kommer från din trådlösa värdenhet. Genom att göra det agerar vi inte som en proxy som i metod 1 och 2, utan som en åtkomstpunkt. Det betyder att du inte behöver konfigurera några proxyinställningar. Nackdelen är att du är något begränsad när det kommer till att övervaka ssl-trafik. Installationen är enkel. Anslut din Mac till ett trådbundet nätverk, och dela ut det via din trådlösa adapter. Apple förklarar hur man gör här.

Anslut din mobil till åtkomstpunkten och nu är du igång. Du kan använda hur många applikationer du vill för att avlyssna och övervaka trafik, Wireshark, Squidman, ntop, mitmproxy, med flera. En liknande installation är även möjlig på både Windows och Linux.

Jag hoppas att du kan få användning av de här metoderna för att få en djupare förståelse av vad din smartphone egentligen gör. Att veta vad dina värdar håller på med och vilka anslutningar som görs från din enhet är avgörande för att säkra ditt nätverk. Ta några få timmar till att experimentera för att se vad olika apparna faktiskt gör, vilken eventuell information kan de läcka om din organisation. Alla dessa lösningar är inte begränsade till mobilenheter, du kan också testa vanliga datorer och andra nätverksenheter.

Om du har några kommentarer, tar jag gärna emot feedback på min mail: james_tucker@mcafee.com