Intervju

Norsk program sniffer SSL-trafikk

Alternativ tekst mangler
Ole André Vadla Ravnås. Bilde: privat

For noen uker siden la Vadla Ravnås ut verktøyet oSpy, som lar deg overvåke hva som foregår internt i en prosess. Programmet kan lage lister over I/O-trafikken til et program, og så lenge krypteringen foregår med de interne Windows-bibliotekene vil du også kunne se den dekrypterte versjonen av data som sendes over nettet.

Ta det helt med ro, programmet er ikke utviklet som et cracker-verktøy, men som et hjelpemiddel for utviklere som må finne ut hvordan ulike protokoller virket. Vadla Ravnås brukte selv en tidlig betaversjon av verktøyet da han ville synkronisere Windows Mobile-telefonen sin med Linux.

- Jeg fant ut at Windows Mobile 5-baserte enheter bruker en RPC-variant av NDIS som heter Remote NDIS, i dette tilfellet over USB, og at det fantes en Linux-driver som implementerte dette. Microsoft har publisert en spesifikasjon på RNDIS 1.0, men det jeg fant ut var at disse enhetene snakker en modifisert versjon av RNDIS 1.0. Etter endel sniffing, og etter å ha skrevet en applikasjon for å analysere USB-trafikken, visste jeg hvilke endringer det var snakk om, og kunne implementere disse i Linux, forteller Vadla Ravnås.

Da han sendte koden inn til utviklerne av SynCE, en ActiveSync-klone for Linux, fikk han med en gang nye arbeidsoppgaver på prosjektet. Disse krevde mer sniffing av trafikk, og det ble klart at han trengte et bedre verktøy enn det som fantes på markedet. Og dermed ble idéen til oSpy født.


Flere bruksområder

- oSpy overvåker programvare på API-nivå. Brukergrensesnittet injiserer agenten inn i kjørende prosesser, og når denne er injisert vil den fange opp funksjonskall til flere APIer, og logge disse til et delt minneområde. Brukergrensesnittet presenterer dataene til brukeren, og analyserer gjerne dataene dersom det kjenner til protokollen, forteller Vadla Ravnås. En av protokollene oSpy forstår, er den som ligger bak Windows Live Messenger.

I april 2005 brukte han noen av de samme teknikkene som ligger i oSpy til forskning på MSN Messengers webcam codec. Den gangen ble resultatet biblioteket libmimic, som var den første åpne implementasjonen av den proprietære webcam-codecen som blir brukt i Windows Live Messenger.

Alternativ tekst mangler
Bruk av oSpy til å spore en Windows Live Messenger-samtale.

Den siste versjonen av oSpy overvåker også programmers bruk av WinCrypt API-et, som mange applikasjoner bruker for å kryptere og hashe tekst før det sendes over nettverket. Det gjør det meget lett å finne ut hva et program gjør med data før det sendes over nettverket.

oSpy kan også brukes til å simulere et nettverksmiljø med brannmurer eller nettverksproblemer som kan hindre programmet å få tak i maskinen det ønsker. Det støtter også regler slik at man kan simulere den nettverkssituasjonen man ønsker uten store vanskeligheter.


Enkelt i bruk

Man trenger ikke mye erfaring for å ta i bruk oSpy, men litt kjennskap til hvordan Windows-programmering fungerer er nok ikke å forakte. Likevel vil dette verktøyet kunne hjelpe til betraktelig når det gjelder å åpne proprietære protokoller.

På programmets hjemmeside ligger det også klar flere demonstrasjonsvideoer, der man kan se hvordan programmet skal brukes. Det tar som under ett minutt å sette opp logging av f.eks. Windows Live Messenger, og man kan lagre logger for senere analyse.

Programmet ligger åpent tilgjengelig på Google Code. Der kan du også se på såkalte screencasts, som gir deg en gjennomgang i bruken av programmet.

Kommentarer (9)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen