Miskolci Egyetem Gépészmérnöki és Informatika Kar Mérnök informatikus szak Jegyzőkönyv Biztonság és védelem a számítástechnikában Cain&Abel szoftver Készítette: Deme Gábor Jurák Dávid 2011. május 13.
Tartalomjegyzék 1. Feladat leírás... 3 2. Bevezetés, rövid ismertetés a programról... 3 3. Jelszavak ellopása, feltörése... 4 4. Áttekintés a szoftverről... 5 5. Szolgáltatások... 6 5.1. Decoders... 6 5.2. Cracker... 7 5.3. Network... 9 5.4. Wireless... 9 5.5. Sniffer... 9 5.5.1. Működése és annak háttere... 10 5.5.2. Miért aggódhatnak a felhasználók?... 10 6. Man-in the Middle attack... 11 6.1. MiN attack Cain&Abel használatával... 13 Támadás megvalósításának lépései... 13 Kapott eredmények vizsgálata... 15 7. Összegzés... 17 Miskolci Egyetem, IIT oldal 2
1. Feladat leírás A mi feladatunk az volt, hogy egy biztonsági szoftvert (jelen esetben a Cain és Abel) szolgáltatásait és működését mutassuk be. Majd szimuláljunk egy man in the middle támadást két fizikai számítógép között vagy egy virtuális gépen. 2. Bevezetés, rövid ismertetés a programról Manapság a jelszó mindennek a kulcsa legtöbbször egyetlen jelszó megszerzése elég a támadónak a célja eléréséhez. Nem véletlen, hogy rengeteg módját kísérletezték ki a jelszavak ellopásának: a hálózat lehallgatása, a hitelesítő folyamatok becsapása, a jelszófájl ellopása és visszafejtése (ennek ezer fajta matematikai megvalósítása), intelligens és kevésbé intelligens próbálgatás, közbeékelődéses támadás, a billentyűleütések rögzítés vagy kifigyelése, az emberek becsapása, megvesztegetése, stb. stb. Ingyenes szoftverekkel (pl. Cain & Abel) könnyedén lehet tanúsítványokat generálni, amelyek olyan szinten hasonlítanak az eredeti megfelelőjükre, hogy a felhasználók megtévesztésére igencsak alkalmasak lehetnek. Igazából a Cain csak a tanúsítványhoz tartozó hash értéket nem tudja hamisítani, ez viszont sok esetben nem biztos, hogy feltűnik a felhasználóknak, amikor például egy védett weboldalt böngésznek. Ha tehát a támadónak sikerül "beépülnie" a kliens számítógép és a megtekintett weboldalt vagy a webes alkalmazást kiszolgáló szerver közé, akkor ilyen egyszerűen generált tanúsítványok segítségével elhitetheti a felhasználóval, hogy az eredeti, biztonságos weboldalon tartózkodik. A Cain & Abel -t hálózati rendszergazdák, tanárok, biztonsági szakemberek, törvényszéki személyeknek, biztonsági szoftvert árusítóknak, és professzionális behatolási ellenőrzésre tervezték, azoknak, akik etikusan képesek használni a programot. Ingyenes Cain and Abel segít visszaszerezni az elveszett jelszavakat több módon. A Cain and Abel átvizsgálja a hálózatot és megvizsgálja a protokollt, valamint VOIP-mentéseket készít és wireless hálózati kulcsokat gyűjt. VoIP felvételt is támogat. Miskolci Egyetem, IIT oldal 3
Aki esetleg nem tudná, hogy mi is az a VoIP. Az Internet Protokoll feletti hangátvitel elterjedt nevén VoIP, Voice over IP vagy IP-telefónia a távközlés egy olyan formája, ahol a beszélgetés nem a hagyományos telefonhálózaton, hanem az interneten vagy más, szintén IP-alapú adathálózaton folyik. Ez tehát azt is jelenti, hogy privát VoIP kiépítése minden további nélkül lehetséges egy helyi hálózaton. Sok különböző protokoll létezik ennek megvalósítására, ezeket összességükben szokás VoIPprotokolloknak hívni. Az egyik legrégebbi, kísérleti kezdeményezés az ARPANET-re 1973-ban kitalált Network Voice Protocol. 3. Jelszavak ellopása, feltörése A program ismertetése előtt elengedhetetlen ezen témakör említése, tárgyalása, mely szükségesek annak működésének megértéséhez. A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt, mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. A jelszavakat általában a következő módszerrel titkosítják: A jelszóból létrehoznak egy fix hosszúságú jelsorozatot, bizonyos hash nevezetű függvény(ek) segítségével. Minden különböző jelszóhoz különböző hash jelsorozat generálódik (persze a hash fix hosszúsága miatt ez nem minden esetben teljesül), a legkisebb változtatásnál is szinte az egész jelsorozat teljesen más lesz. Az algoritmust viszont nem lehet megfordítani, így ezzel a módszerrel nem kapjuk meg a jelszavakat, csak az egyik irányba működik a dolog. A jelszótörő programok működése a következő: Előállítják a kipróbálandó jelszóból a hash függvény segítségével a fix hosszúságú jelsorozatot, majd ezt hasonlítják össze a password fájlban lévő, jelszóval, amire szintén rá van eresztve a hash algoritmus. Ha megegyezik a két hash jelsorozat, akkor megtalálta a jelszót. Ha nem, akkor jöhet a következő lehetőség. Miskolci Egyetem, IIT oldal 4
Milyen jelszavakat is szeretnek a hackerek? Azon kívül, hogy a megfejtetteket... Bizony, ha az emberek maguknak generálnak jelszót, akkor sokan beleesnek a "kutyámneve" csapdába. Gyakran az emberek olyan jelszót találnak ki amire egy kis háttérnyomozás után rá lehet jönni. Például, foglalkozás, az említett kutyám/macskám/lovam/barátnőm/barátom neve, utca neve ahol lakik, személyi szám vagy más igazolvány szám, neki vagy családtagja születési éve kombinálva, stb. Vagy ha nem is ilyen egyszerűket, akkor közismert jelszavakat. Ezeket a gyakrabban használt jelszavakat a hackerek tudják, és ezekkel próbálkoznak először. 4. Áttekintés a szoftverről A szoftvert azoknak készítették, akik képesek etikusan használni, mint biztonsági szakemberek, rendszergazdák, törvényszéki szakértőknek. Cain&Abel egy Microsoft Windows operációs rendszerre fejlesztett ingyenes biztonsági alkalmazás, amely autentikációs módszerek, protokollok, cache metódusok gyengeségeit használja ki. A fő feladata, hogy segítsen a felhasználónak visszaállítani a jelszavakat, igazoló adatokat különféle forrásokból, és néhány nem alapértelmezett eszközt is biztosít a Windows felhasználónak. Legfrissebb verziója a 4.90.40-es verzió 2011/04/07, amelyet az www.oxid.it weboldalról tölthetünk le. A szoftverhez készült egy részletes Manuals is, amely segíthet a program használatának megismerésében. Az online Manuals-t Mozilla böngészőből sikerült elérni, Google Chrome-al nem működött megfelelően. De a szoftver telepítése után offline is elérhető a telepített gépen. A szoftver telepítéséhez rendszergazdai (root) jogosultság szükséges, és a telepítés végén felkínált WinPcap szoftvert is telepíteni kell a szoftver megfelelő működéséhez. Beállítani a konfigurációs felületen a hálózati lehetőségekre ad módot. Miskolci Egyetem, IIT oldal 5
5. Szolgáltatások 5.1. Decoders A Windowsban vannak olyan tárolt jelszavak, konfigurációk, amelyek működéséhez, beállításaihoz köthetőek. A decoders, mint neve is mutatja, képes ezen állományokból, bejegyzésekből összegyűjteni, megfejteni ezeket az információkat. A Windows biztonsági alrendszeréhez kapcsolható szolgáltatások közül az egyik legfontosabb ilyen szolgáltatás a LSA (Local Security Authority), amely az lsass.exeben lakik. Feladata, hogy kommunikáljon a kernel módú Security Reference Monitorral. Azaz a SRM által kernel szinten generált audit üzeneteket elhelyezze az Event Log-ban és a biztonsági házirendet (security policy) kezelje a számítógépen függetlenül attól, hogy egyedülálló számítógépről beszélünk, vagy tartományba léptetettről. Feladata még, hogy access tokeneket generáljon a bejelentkező felhasználók számára, amelyekről a későbbiekben ejtünk majd szót. Ide kapcsolható a Logon Process (winlogon.exe), amely a felhasználók bejelentkeztetését végzi, valamint ő kérdezi meg az LSA-t, hogy a megadott felhasználói név-jelszó páros létezik-e és a biztonsági házirend alapján jogosult-e a felhasználó az adott típusú belépésre (interaktív, rendszerszolgáltatásként, terminál server-en keresztül, ). A Security Account Manager felelős a felhasználói adatbázis kezeléséért, amely a registry egy rejtett részén található. Tartományi felhasználók esetében ezt a feladatot az Active Directory végzi. Minden felhasználó belépésekor egy access token-t kap az LSA-tól. Minden általa indított process örökli ezt a tokent. A token tartalmazza a felhasználó SID-jét (Security Identifier, egyedi azonosító), hogy milyen csoportokhoz tartozik, privilégiumait, elsődleges csoportját, stb. Ennyi információ elég is az ACL-el védett objektumokhoz történő hozzáférések leellenőrzéséhez. Miskolci Egyetem, IIT oldal 6
A rendszerszolgáltatások futhatnak a Local System (SYSTEM) account alatt, de újabb Windows-ok esetében Local Service és Network Service account-ok alatt is. Ezek természetesen kevesebb privilégiummal rendelkeznek, mint a SYSTEM. A privilégiumok objektumhoz nem köthető jogosultságok. A privilégiumok témaköre azonban jócskán átlépné ezen írás korlátait. Tipikus végfelhasználói programok a Word, az Outlook, az Internet Explorer vagy éppen az Acrobat Reader. A decoders menüpont az LSA Secrets (Local Security Authority - lokális biztonsági azonosítók), mint LSA adatbázis. Ez az adatbázis tartalmazza a rendszer biztonságos működésére vonatkozó beállításokat. Cain&Abel ezen információkból minél többet kigyűjt, melyek fontosak lehetnek számunkra (Felhasználónév/jelszó páros és további adatok), az alábbiak esetében: levelezőprogramok Wifi beállítások internet kapcsolatok IE7 böngésző tárolt jelszavak Jelszó boksz-ok (csillagozott passok) 5.2. Cracker A különböző jelszavak visszafejtését teszi lehetővé, támogatja a legtöbb HASH algoritmust és számos titkosítási módszert. Kipróbálásra került Windows account jelszó visszafejtésére és látható egy példa is MD5 Hash törésére. Hash Típusok: MD2, MD4, MD5, SHA1, SHA2 (256 bit), SHA2 (384 bit), SHA2 (512 bit), RIPEMD160. Titkosítási algoritmusok: PWL files, Cisco-IOS Type-5 enable passwords, Cisco PIX enable passwords, APOP-MD5, CRAM-MD5, LM, LM + Challenge, NTLM, NTLM + Challenge, NTLM Session Security, NTLMv2, RIPv2-MD5, OSPF-MD5, VRRP-HMAC-96, VNC-3DES, MS-Kerberos5 Pre-Auth, RADIUS Shared Secrets, IKE Pre-Shared Keys, Microsoft SQL Server 2000, Microsoft SQL Server 2005, Oracle, Oracle-TNS-DES, Oracle-TNS-3DES, Oracle-TNS-AES128, Oracle-TNS- AES192, MySQL323, MySQLSHA1, SIP-MD5, WPA-PSK, WPA-PSK-AUTH, CHAP-MD5, MS- CHAPv1, MS-CHAPv2. Miskolci Egyetem, IIT oldal 7
Példa egy MD5 Hash visszafejtésére: Először generáltam egy kitalált szóból egy MD5 Hash-t. Természetesen egyszerű, rövid szót találtam ki, hogy a brute-force törés ne tartson sokáig. 1. Webcím, ahol használtam az MD5 generátort: 2. cable szóból MD5 Hash generálása 3. Cracker, MD5 Hashes-nél hozzáadtam a kívánt Hexa kódot, majd Brute-foce törést indítottam rá. Eredménye pedig a hash-ből visszafejtett szó lett. A töréshez használhatunk password szótárt is, ha úgy gondoljuk, hogy az célravezetőbb, mert a brute-foce időigényesebb, de ha nem a megszokottan használt jelszavat törünk, akkor a brute-force célravezetőbb. Miskolci Egyetem, IIT oldal 8
5.3. Network Ez a funkció segít kideríteni, hogy mi található a hálózaton. A megnevezett IP címek, eszköz nevek segítségével a hálózat menedzselését segíti elő. Az egyes IP-kről, tartományokról rengeteg információhoz juttatunk hozzá, mint: Userek, csoportok azonosítása Meghajtók, megosztási (elérési) útvonalak Szolgáltatások, azok futási állapotai Rendszerleíró bejegyzések 5.4. Wireless A vezeték nélküli hálózatokat érzékeli, Wireless Local Area Networks (WLAN)használható 802.11x. a WinPcap protokoll driverét használja, nem a Windows-ét AirPcap driver segítségével kiegészíthető működése, akár WEP megszerzésére is képes lesz. 5.5. Sniffer A hálózaton áramló adatok gyűjtésére és megfigyelésére alkalmas, amelyet sok esetben információlopásra vagy egyéb illegális cselekményre használnak fel. A szimatolók ellen a hálózati forgalom titkosítása jelenthet védelmet, amely ugyan az átáramló adatok megszerzését nem gátolja meg, de a valódi információtartalom visszafejtését belátható időn belül lehetetlenné teheti. Miskolci Egyetem, IIT oldal 9
5.5.1. Működése és annak háttere Mielőtt megvizsgálnánk, hogyan is működik a sniffer, először nézzük meg, mi is teszi lehetővé a működésüket. Pl. web-böngészés közben a számítógépek állandóan kommunikálnak egymással. Nyilvánvaló, hogy a felhasználó képes figyelemmel kísérni a számítógépe be- és kimeneti adatforgalmát. Emellett a legtöbb PC helyi hálózatba van kötve, azaz több számítógéppel osztják még a kapcsolatot. Ha ez a hálózat nem kapcsolt (azaz nem switchekre kapcsolódnak a gépek), egy csomag, melyet egy szegmens adott gépének címeznek, a szegmens összes gépén keresztülmegy. Ez azt jelenti, hogy egy számítógép tulajdonképpen az egész hálózat adatforgalmát látja, de ignorálja, hacsak más utasítást nem kap. A sniffer működése során megmondja a számítógépnek, pontosabban a hálózati kártyának, hogy ne ignorálja a többi számítógépnek címzett forgalmat, hanem figyeljen rá. Ez a hálókártya válogatás nélküli módba kapcsolásával érhető el. Amint a hálózati kártya ilyen állapotba kerül (ez adminisztrátor vagy root jogot igényel), a számítógép láthatja az egész szegmens adatforgalmát. A program ezután elkezdi olvasni a beérkező információkat. Az adatok különféle formátumban utaznak a hálózaton: csomagokban, frame-ekben, vagy egyéb specifikált formátumokban. Mivel ezek a szabályok szigorúan kötöttek, a sniffer szét tudja válogatni, és dekódolni a lényeges információkat: forrás és célszámítógép, célport és adat - mindent, ami két számítógép között történik. 5.5.2. Miért aggódhatnak a felhasználók? Egy tipikus LAN-on csomagok ezrei cserélődnek a különböző gépek között minden percben - ez bőséges anyag egy támadó számára. Minden sebezhető, ami plaintext formában lett elküldve a hálózaton: jelszavak, web csomagok, adatbázislekérdezések, stb., stb... Egy sniffert könnyedén be lehet állítani, hogy egy specifikus forgalmat figyeljen, pl. az emaileket. Miután a forgalmat lehallgatta, a cracker gyorsan hozzájuthat a számára szükséges információkhoz: loginnevek, jelszavak és üzenetek. A felhasználók pedig sohasem tudják meg, mi is történt - hiszen a snifferek nem okoznak károkat vagy zavart a hálózat működésében. Miskolci Egyetem, IIT oldal 10
6. Man-in the Middle attack A Man-in the Middle attack (MiN - középre állásos támadás) lényege az, hogy az a számítógép, aki középen áll egy hálózatban, az minden rajta átmenő hálózati forgalmat lehallgat, sőt, adott esetben meg is hamisítja azt. Switchelt hálózatban az útválasztókon (router) keresztül megfelelően kivitelezhető ez a támadástípus. Ha abból indulunk ki, hogy egy router-hardveren nem fut sem a Windows, sem a Linux, sem semmilyen értelmes operációs rendszer, arra a következtetésre juthatunk, hogy nincs olyan pont a hálózatban, ahol egy középső ember minden forgalmat lehallgathatna, meghamisíthatna. Hacsak ki nem cseréli az egyik routert. Tehát nincs mitől félnünk. Vagy mégis? A megoldást ugyanis az ARP-protokoll (Gratious ARP) adja a kezünkbe. Ez az a csomag, amit új IP-cím felvételekor minden gép szétküld a hálózatban (broadcast), mégpedig kettős céllal: megállapítani, hogy az IP-címet használja-e már valaki ha még nem használt a cím, az összes többi gép ARP-cache bejegyzését frissíteni (ha van mit) Az ARP (Address Resolution Protocol, azaz címfeloldási protokoll) a számítógépes hálózatokon használatos módszer arra, hogy egy berendezés hozzájusson egy másik berendezés hardware-címéhez, ha annak csak az IP-címe ismeretes. Az IPv4 és az Ethernet széles körű elterjedtsége miatt általában IP-címek és Ethernet-címek közötti fordításra használják. Tehát röviden az ARP egy IP címhez köti egy hardware MAC címét. Az alábbi ábrán két kommunikáló felet láthatunk. Az A jelű gép MAC-addresse az egyszerű felismerhetőség érdekében legyen AA-AA-AA-AA-AA-AA, míg a B jelűé BB- BB-BB-BB-BB-BB. IP-címeik pedig 172.16.0.100 (A gép) és 172.16.0.200 (B gép). Miután A és B gép felvette egymással IP-n a kapcsolatot, mindegyikük ARPgyorstárolójában megtalálható a másik fél IP-címe és a hozzá ARP-vel megtalált MAC-address. Ezt az állapotot mutatja az ábra. Miskolci Egyetem, IIT oldal 11
A rosszindulatú támadás nem csak a lehallgatásra irányulhat, hanem a felek közötti kommunikáció is megzavarható, meghamisítható. A támadó célja, hogy saját számítógépével beilleszkedjen e kettő (vagy több) közé, vagyis az A gép H-t (Hacker) tekintse B-nek, és B szintén H-t higgye A-nak. A Hacker gépének a két gyanútlan gép IP-címeit nem lehet beállítani, mivel az IP-cím ütközést okozna. Kész lebukás, ráadásul nem is célravezető, mert egy pillanatig sem hiszi egyetlen gép sem, hogy H valóban A. (Vagy B. Nézőpont kérdése.) A hiba oka, hogy normális esetben a Gratious ARP címzésmódja broadcast, pontosan azért, hogy mindenki meghallja. Csak úgy lehetne becsapni A-t és B-t, ha A becsapását nem hallaná B, míg B átveréséről nem értesülne A. Tehát broadcast helyett unicast címzéssel, csak az éppen célbavett áldozatnak kell eljuttatni az ARPcsomagot. Ilyet azonban az operációs rendszerünk önként nem fog tenni, csak ha rásegítünk neki! A Network Monitor teljes verziójával tetszőleges Ethernet-csomag készíthető, sőt, a hálózatba küldhető. De kész eszköz található e célra a http://sectools.org/ címen, amely képes arra, hogy így átírja A és B ARP cache-ét: Miskolci Egyetem, IIT oldal 12
A minden B-nek szánt csomag Ethernet-fejlécébe címzettként H MAC-addressét írja be, így a switch az adatokat H-hoz továbbítja. Ott el lehet olvasni valamilyen monitorprogrammal, majd továbbküldeni most már B felé. A http://sectools.org/ oldalon olyan eszközöket is találunk, amelyek erre az infrastruktúrára épülve magas szintű protokollok olvasgatását, sőt írását is lehetővé teszik (SMB). Ezek ellen úgy védekezhetünk, ha a fontosabb gépekre az ARP-gyorstárban állandó bejegyzéseket helyezünk el, vagy a teljes ARP-t letiltjuk gépeinken. Ez azonban nem minden operációs rendszernél lehetséges, hiszen az ARP-gyorstár mérete általában korlátozott. 6.1. MiN attack Cain&Abel használatával A feladat kiírása szerint szimulációt kellett volna végezni, de éles környezetben való kipróbálása vonzóbb volt, így ezt ismertetem. A támadás során csak hálózat figyelését végeztem, ezzel is sok tapasztalatra szert téve. A gépek közötti kommunikációja feletti átvételre nem került sor, mivel további szoftverekre lett volna szükség az ARP tábla átírásához és az üzenetek kinyeréséhez, módosításához a továbbítás során. Támadás megvalósításának lépései 1. A hálózaton található hosztok kerültek feltérképezésre. (Sniffer/Hosts/Start Sniffer/Add to lists) Az internet protokollok kontextusában a hoszt olyan számítógépet jelent, amely kétirányú kapcsolatot tud létesíteni az internetre csatlakoztatott többi számítógéppel. Ezeknek a gépeknek van speciális hoszt számuk, ami a hálózati számukkal kiegészítve adja ki az IP-címüket. Miskolci Egyetem, IIT oldal 13
2. Beállítom a hálózati kártyára az APR-t, hogy minden csomagot ami van a hálózaton, figyelje és értelmezze (APR/Add to lists/a megfelelő IP párosítások kiválasztása) 3. Elindítom az APR-t, és várom, hogy a hálózaton forgalom generálódjon, melyet fel tudok majd használni elemzés céljából (Start APR) Miskolci Egyetem, IIT oldal 14
Nem kellett sokáig várnom, mivel az éles környezet a kollégium hálózata volt, és mivel több-száz hoszt volt a hálózaton, rövid idő alatt sikerült hasznosítható információhoz jutnom. Kapott eredmények vizsgálata Látogatások az alábbi oldalakra (ezek csak a domain nevek, al-oldalakra még több hivatkozás, több IP címről is): facebook.com, ncore.cc, bithumen.ru, google.com, freemail.hu, indavideo.hu, freee.hu, hggw.hotgames.hu, pokerstrategy.com, youtube.com, startlapjatekok.hu, google-analytics.com Sikerült elcsípni egy olyan oldalt, ami nem alkalmaz Hash kódolást, és a jelszó plaintextben látható volt, és a nickname-el szabad hozzáférésem volt az oldalon a user adataihoz (nevéhez, üzeneteihez, stb.), jogosultságaihoz. Biztonsági okból nem nevezem meg az oldalt, de sajnos még ma is rengeteg hasonló ilyen oldal üzemel, még akkor is, ha nagy felhasználói adatbázissal rendelkeznek. Ez magas biztonsági kockázatot jelent, és kérdéseket vethet fel, hogy vajon az általunk használt oldalak megfelelően kezelik jelszavainkat. Miskolci Egyetem, IIT oldal 15
Az oldalak legnagyobb része, ahol a hasznos információaz account volt, a user nevét is már egy ID-vel azonosította és ahhoz kötött Hash jelszót használt. Ez már jóval biztonságosabb átvitel, hiszen nem tudjuk a belépéskor használt user nevére következtetni egy számsorból, igaz a Hash jelszó visszafejtésével és az IP cím beazonosításával az account nevét is hamar kideríthetjük. 2 db TELNET kapcsolatra is fény derült, igaz a kapcsolatok szöveges nézeti fájljából nem sok mindenre tudtam következtetni, de mint adat, ez is felhasználhatók valaki ellen, ha rossz és értő kezekbe kerül. Egy darab SNMPv2-es kommunikáció is történt a vizsgált időszakban. Továbbá a szoftver több VoIP adatátvitelt is rögzített, melyek 1 másodperces időtartamúak voltak (már amelyiket tudta értelmezni), a rögzített hangok alapján (méretük, jellemzőik, lejátszott hang) közel azonosak voltak. Vonal létrejöttekor vagy szakadáskor hallható hanghoz hasonlítottak, de pontosan nem tudtam beazonosítani őket, de különböző IP címeken cserélődtek ezek a csomagok. Elképzelhetőnek tartom, hogy a hangalapú hívások titkosítva lettek, csak ezen rövid (induló) jel került oly módon továbbításra, amit értelmezni tudott a szoftver. Miskolci Egyetem, IIT oldal 16
7. Összegzés A szoftver rendkívül jól használható biztonsági rések, problémák megtalálásához és jelszavak visszafejtéséhez, hálózati funkciónak révén rengeteg lehetőséget kínál a biztonsági szakembereknek. Használata először kicsit nehézkes, tisztában kell lenni a használt funkciókkal, az ott használt fogalmakkal. A programhoz videómegosztó portálokon található tutorial, illetve a már említett Manuals is nagy segítséget jelent. Használata során etikusan járjunk el, mivel a megszerzett jelszavak, információk értékesek lehetnek felhasználóiknak, melyeket nem szívesen tudnának mások kezében! Miskolci Egyetem, IIT oldal 17