Gegevens onderscheppen met Wireshark

Zoals hierboven vermeld is één van de manieren om een wachtwoord te onderscheppen “sniffing”. Dit kan met behulp van een programma als Wireshark. Dit programma vangt de pakketten op die door de netwerkkaart van je computer gaan en geeft deze weer. Als je op internet je aanmeldt op een website moet je computer je gegevens doorsturen naar de website. Deze gegevens zullen dus te vinden zijn in het pakket dat je computer verstuurt naar de website om je in te loggen. Met Wireshark kan je dat pakket opvangen en inspecteren. Als een website geen gebruik maakt van HTTPS, maar nog het oudere en onveiligere protocol HTTP gebruikt kan je zo de gegevens in het pakket aflezen. Het gevaar hierbij is dat dit pakket ook door iemand anders kan opgevangen worden onderweg naar de bestemming (webserver van de website) en dat deze persoon ook je gegevens kan lezen.


Voorbeeld oefening

Open een terminalvenster op de Ubuntu vm.
Hierin geef je volgende commando’s in:

  • sudo apt install wireshark → Azerty123→ J

  • sudo wireshark → Azerty123

Deze commando’s zullen wireshark geïnstalleerd en gestart hebben.
Minimaliseer dit venster nog even, start Firefox op en ga naar volgende website:

Nu open je Wireshark opnieuw en kan je kiezen van welke netwerkkaart je de pakketten wil onderscheppen. In dit voorbeeld kies je “ens160”.

Netwerk-adapter

Eens je hier bent stel je Wireshark in om te filteren op http pakketten zodat we niet alle overbodige pakketten te zien krijgen.

Capture_aan

Nu de capture gestart is kan je eens proberen inloggen met zelfgekozen gegevens. Na dat je op "login" hebt geklikt zal je computer de gegevens die je hebt ingevuld (gebruikersnaam en wachtwoord) doorsturen naar de webserver. Dit kunnen we nu zien in Wireshark.

In Wireshark zal je een pakket zien waar bij info: “POST…” staat. Een POST pakket is een pakket waarbij de gebruiker gegevens terugstuurt naar de website, dit is dus interessant voor ons. Door erop te klikken kan je het pakket bekijken:

Is er nog geen POST pakket dan probeer je nog eens in te loggen

Pakket_info

Onderaan vind je de inhoud van het pakket. Je klikt “HTML Form URL Encoded: …” open en daar zie je dan alle gegevens van het formulier dat je net hebt doorgestuurd. Zoals je kan zien staan je gebruikersnaam en wachtwoord daar ook tussen.

Stop de capture en sluit Wireshark, Firefox en het terminalvenster.