Модератор: дами и господа, този разговор е много забавен и много интересен, днес ще говорим за реални неща, които се наблюдават в интернет. Този разговор е малко по-различен от тези, с които сме свикнали на конференциите на Black Hat, защото ще говорим за това как нападателите печелят пари от своите атаки.
Ще ви покажем някои интересни атаки, които могат да донесат печалба, и ще ви разкажем за атаките, които всъщност се случиха през нощта, когато разгледахме Jägermeister и направихме мозъчна атака. Беше забавно, но когато изтрезнехме малко, говорихме с хората от SEO и всъщност научихме, че много хора печелят пари от тези атаки.
Аз съм просто безмозъчен среден мениджър, така че ще отстъпя мястото си и ще ви запозная с Джереми и Трей, които са много по-умни от мен. Трябва да имам умно и забавно въведение, но не го правя, така че вместо това ще покажа тези слайдове.
На екрана се показват слайдове, показващи Джереми Гросман и Трей Форд.
Джеръми Гросман е основател и главен технологичен директор на WhiteHat Security, обявен за един от 2007-те най-добри технически директора от InfoWorld през 25 г., съосновател на Консорциума за сигурност на уеб приложенията и съавтор на скриптови атаки между сайтове.
Трей Форд е директор Архитектурни решения в WhiteHat Security, който има 6 години опит като консултант по сигурността на компании от Fortune 500 и един от разработчиците на PCI DSS стандарта за сигурност на данните за разплащателни карти.
Мисля, че тези снимки компенсират липсата ми на хумор. Във всеки случай се надявам да се насладите на тяхното представяне и след това да разберете как тези атаки се използват в Интернет за печелене на пари.
Джереми Гросман: Добър ден, благодаря на всички, че дойдохте. Това ще бъде много забавен разговор, въпреки че няма да видите zero-day атаки или страхотни нови технологии. Просто ще се опитаме да го направим забавно и да говорим за истинските неща, които се случват всеки ден и позволяват на лошите да правят много пари.
Ние не се опитваме да ви впечатлим с това, което е показано на този слайд, а просто обясняваме какво прави нашата компания. И така, White Hat Sentinel или „Guardian White Hat“ е:
- неограничен брой оценки – контрол и експертно управление на клиентски сайтове, възможност за сканиране на сайтове независимо от техния размер и честота на промени;
- широк обхват на покритие - оторизирано сканиране на сайтове за откриване на технически уязвимости и потребителско тестване за идентифициране на логически грешки в непокрити бизнес области;
- елиминиране на фалшиви положителни резултати – нашият оперативен екип преглежда резултатите и присвоява подходящата степен на тежест и заплаха;
- разработка и контрол на качеството - системата WhiteHat Satellite Appliance ни позволява да обслужваме дистанционно клиентски системи чрез достъп до вътрешната мрежа;
- подобрение и подобрение - реалистичното сканиране ви позволява бързо и ефективно да актуализирате системата.
И така, ние проверяваме всеки сайт в света, имаме най-големия екип от пентестери на уеб приложения, правим 600-700 теста за оценка всяка седмица и всички данни, които ще видите в тази презентация, идват от нашия опит в този вид работа .
На следващия слайд виждате 10-те най-често срещани вида атаки на глобални уебсайтове. Това показва процента на уязвимост към определени атаки. Както можете да видите, 65% от всички сайтове са уязвими на междусайтови скриптове, 40% позволяват изтичане на информация, а 23% са уязвими на подправяне на съдържание. В допълнение към междусайтовите скриптове, SQL инжекциите и прословутото фалшифициране на междусайтови заявки, което не е включено в нашите топ десет, са често срещани. Но този списък съдържа атаки с езотерични имена, които са описани с неясен език и чиято специфика е, че са насочени срещу определени компании.
Това са пропуски при удостоверяване, дефекти в процеса на авторизация, изтичане на информация и т.н.
Следващият слайд говори за атаки срещу бизнес логиката. QA екипите, участващи в осигуряването на качеството, обикновено не им обръщат внимание. Те тестват какво трябва да прави софтуерът, а не какво може, и след това можете да видите каквото искате. Скенерите, всички тези бели/черни/сиви кутии, всички тези многоцветни кутии не са в състояние да открият тези неща в повечето случаи, защото те просто са фиксирани върху контекста на това какво може да бъде атаката или какво се случва подобно, когато се случи. Липсва им интелигентност и не знаят дали нещо изобщо е проработило или не.
Същото важи и за защитните стени на приложенията IDS и WAF, които също не успяват да открият грешки в бизнес логиката, тъй като HTTP заявките изглеждат напълно нормални. Ще ви покажем, че атаките, свързани с грешки в бизнес логиката, възникват напълно естествено, няма хакери, няма метасимволи или други странности, те изглеждат като естествено възникващи процеси. Основното нещо е, че лошите харесват тези неща, защото недостатъците в бизнес логиката им правят пари. Те използват XSS, SQL, CSRF, но тези видове атаки стават все по-трудни за извършване и виждаме, че са намалели през последните 3-5 години. Но те няма да изчезнат сами, точно както препълването на буфера няма да изчезне. Лошите обаче обмислят как да използват по-сложни атаки, защото вярват, че „истинските лоши момчета“ винаги търсят да спечелят пари от своите атаки.
Искам да ви покажа истински трикове, които можете да вземете на борда и да ги използвате по правилния начин, за да защитите бизнеса си. Друга цел на нашата презентация е, че може да се чудите за етиката.
Онлайн анкети и гласуване
И така, за да започнем нашето обсъждане на недостатъците на бизнес логиката, нека поговорим за онлайн анкети. Онлайн анкетите са най-честият начин да разберете или да повлияете на общественото мнение. Ще започнем с печалба от $0 и след това ще разгледаме резултата от 5, 6, 7 месеца измамни схеми. Нека започнем, като направим едно много, много просто проучване. Знаете, че всеки нов уебсайт, всеки блог, всеки новинарски портал провежда онлайн проучвания. Въпреки това никоя ниша не е твърде голяма или твърде тясна, но искаме да видим общественото мнение в конкретни области.
Бих искал да насоча вниманието ви към едно проучване, проведено в Остин, Тексас. Тъй като гонче от Остин спечели изложбата за кучета в Уестминстър, американският държавник от Остин реши да проведе онлайн анкета за най-доброто в шоуто в Остин за собственици на кучета в Централен Тексас. Хиляди собственици изпратиха снимки и гласуваха за своите фаворити. Подобно на толкова много други проучвания, нямаше друга награда, освен да се хвалите за вашия домашен любимец.
За гласуване е използвано приложение на системата Web 2.0. Щракнахте върху „да“, ако харесвате кучето и разбрахте дали е най-доброто куче в породата или не. Така че гласувахте за няколкостотин кучета, публикувани на сайта като кандидати за победител в шоуто.
При този метод на гласуване бяха възможни 3 вида измами. Първият е безкрайният вот, при който гласувате за едно и също куче отново и отново. Много е просто. Вторият метод е отрицателно многократно гласуване, при което гласувате огромен брой пъти срещу състезаващо се куче. Третият начин беше, че буквално в последната минута на състезанието поставихте ново куче, гласувахте за него, така че възможността да получите отрицателни гласове беше минимална и спечелихте, като получихте 100% положителни гласове.
Освен това победата се определя като процент, а не от общия брой гласове, тоест не можете да определите кое куче е получило максимален брой положителни оценки, изчислява се само процентът положителни и отрицателни оценки за конкретно куче . Кучето с най-добро съотношение положителен/отрицателен резултат спечели.
Приятелят на колегата Робърт "RSnake" Хансен го помоли да помогне на нейното Чихуахуа Тини да спечели състезание. Познаваш Робърт, той е от Остин. Той, като супер хакер, поправи Burp проксито и тръгна по пътя на най-малкото съпротивление. Той използва техника за измама №1, като я прокара през Burp цикъл от няколкостотин или хиляди заявки и това донесе на кучето 2000 гласа за и го отведе до 1-во място.
След това той използва техника за измама № 2 срещу конкурента на Tiny, по прякор Chuchu. В последните минути на състезанието той даде 450 гласа срещу Chuchu, което допълнително затвърди позицията на Tiny на 1-во място със съотношение на гласовете над 2:1, но по отношение на процента положителни и отрицателни отзиви Tiny все пак загуби. На този слайд виждате новото лице на киберпрестъпник, обезсърчен от този резултат.
Да, беше интересен сценарий, но мисля, че моят приятел не хареса това изпълнение. Ти просто искаше да спечелиш състезанието за чихуахуа в Остин, но имаше някой, който се опита да те хакне и направи същото. Е, сега обръщам обаждането към Трей.
Създаване на изкуствено търсене и правене на пари от него
Трей Форд: Концепцията за „изкуствен DoS“ се отнася до няколко различни интересни сценария, когато купуваме билети онлайн. Например при запазване на специално място в полет. Това може да се отнася за всеки тип билет, като например спортно събитие или концерт.
За да се предотвратят многократни покупки на дефицитни артикули като места в авиокомпанията, физически артикули, потребителски имена и др., приложението заключва артикула за определен период от време, за да предотврати конфликти. И тук идва уязвимостта, свързана с възможността да резервирате нещо предварително.
Всички знаем за таймаут, всички знаем за прекратяване на сесията. Но този конкретен логически недостатък ни позволява да изберем място за полет и след това да се върнем, за да направим избора отново, без да плащаме нищо. Със сигурност много от вас често пътуват по работа, но за мен това е съществена част от работата. Тествахме този алгоритъм на много места: избирате полет, избирате място и едва когато сте готови, въвеждате данните си за плащане. Тоест, след като сте избрали място, то е запазено за вас за определен период от време - от няколко минути до няколко часа, като през това време никой друг не може да резервира това място. Поради този период на изчакване имате реална възможност да резервирате всички места в самолета, като просто се върнете на уебсайта и резервирате местата, които искате.
Така се появява опция за DoS атака: автоматично повторете този цикъл за всяко място в самолета.
Тествахме това на поне две големи авиокомпании. Можете да намерите същата уязвимост с всяка друга резервация. Това е чудесна възможност да повишите цените на вашите билети за тези, които искат да ги препродадат. За да направят това, спекулантите просто трябва да резервират оставащите билети без риск от парична загуба. По този начин можете да "сринете" електронната търговия, която продава продукти с голямо търсене - видео игри, игрови конзоли, iPhone и т.н. Тоест, съществуващият недостатък в системата за онлайн резервация или резервация позволява на нападателя да спечели пари от нея или да причини щети на конкурентите.
Captcha дешифриране
Джереми Гросман: Сега нека поговорим за captcha. Всеки знае тези досадни снимки, които затрупват интернет и се използват за борба със спама. Потенциално можете също да печелите от captcha. Captcha е напълно автоматизиран тест на Тюринг, който ви позволява да различите истински човек от бот. Открих много интересни неща, докато проучвах използването на captcha.
Captcha е използвана за първи път около 2000-2001 г. Спамерите искат да премахнат captcha, за да се регистрират за безплатни имейл услуги Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook и др. и изпращайте спам. Тъй като captcha се използва доста широко, се появи цял пазар от услуги, които предлагат заобикаляне на вездесъщата captcha. В крайна сметка това носи печалба - пример за това е изпращането на спам. Има 3 начина за заобикаляне на captcha, нека ги разгледаме.
Първият е недостатъците в изпълнението на идеята или недостатъците в използването на captcha.
По този начин отговорите на въпроси съдържат твърде малко ентропия, като например „напишете на какво е равно 4+1“. Едни и същи въпроси могат да се повтарят много пъти, а диапазонът от възможни отговори е доста малък.
Ефективността на captcha се проверява по следния начин:
- тестът трябва да се проведе в условия, при които лицето и сървърът са отдалечени един от друг,
тестът не трябва да бъде труден за индивида; - въпросът трябва да е такъв, че човек да може да отговори в рамките на няколко секунди,
Трябва да отговаря само този, към когото е зададен въпросът; - отговорът на въпроса трябва да е труден за компютъра;
- познаването на предишни въпроси, отговори или тяхната комбинация не трябва да влияе върху предвидимостта на следващия тест;
- тестът не трябва да дискриминира хората със зрителни или слухови увреждания;
- тестът не трябва да бъде географски, културно или езиково предубеден.
Както се оказва, създаването на „правилна“ captcha е доста трудно.
Вторият недостатък на captcha е възможността за използване на OCR оптично разпознаване на знаци. Фрагмент от код може да прочете captcha изображение, независимо колко визуален шум съдържа, да види какви букви или цифри го образуват и да автоматизира процеса на разпознаване. Изследванията показват, че повечето captcha могат лесно да бъдат разбити.
Ще дам цитати от специалисти от Училището по компютърни науки към Университета на Нюкасъл, Великобритания. Те говорят за лекотата на кракване на Microsoft captcha: „нашата атака успя да постигне успеваемост на сегментиране от 92%, което означава, че схемата MSN captcha може да бъде кракната в 60% от случаите чрез сегментиране на изображението и след това разпознаване. ” Разбиването на captcha на Yahoo беше също толкова лесно: „втората ни атака постигна успех на сегментиране от 33,4%. Така около 25,9% от captcha могат да бъдат кракнати. Нашето изследване предполага, че спамерите никога не трябва да използват евтин човешки труд, за да заобиколят captcha на Yahoo, а по-скоро да разчитат на евтина автоматизирана атака.
Третият метод за заобикаляне на captcha се нарича „Mechanical Turk“ или „Turk“. Тествахме го срещу captcha на Yahoo веднага след публикуването и до ден днешен не знаем и никой не знае как да се предпазим от такава атака.
Такъв е случаят, когато имате лош човек, който ще управлява сайт за „възрастни“ или онлайн игра, откъдето потребителите искат някакво съдържание. Преди да успеят да видят следващата снимка, сайтът, който хакерът притежава, ще отправи заявка към онлайн система, която познавате, да речем Yahoo или Google, ще вземе captcha от там и ще я пусне на потребителя. И веднага щом потребителят отговори на въпроса, хакерът ще изпрати познатата captcha на целевия сайт и ще покаже на потребителя исканата снимка от неговия сайт. Ако имате много популярен сайт с много интересно съдържание, можете да мобилизирате цяла армия от хора, които автоматично ще попълват captcha на други хора вместо вас. Това е много силно нещо.
Въпреки това, не само хората се опитват да заобиколят captcha; фирмите също използват тази техника. Робърт „RSnake“ Хансен веднъж говори в блога си с румънски „разрешител на captcha“, който каза, че може да разреши от 300 до 500 captcha на час при цена от 9 до 15 долара за хиляда разрешени captcha.
Той директно казва, че членовете на неговия екип работят по 12 часа на ден, решавайки около 4800 captcha през това време и в зависимост от това колко трудни са captcha, те могат да получат до $50 на ден за работата си. Това беше интересна публикация, но още по-интересни са коментарите, които потребителите на блога оставиха под тази публикация. Веднага се появи съобщение от Виетнам, където определен Куанг Хунг съобщи за своята група от 20 души, които се съгласиха да работят за $4 за 1000 познати captcha.
Следващото съобщение беше от Бангладеш: „Здравейте! Дано си добре! Ние сме водеща компания за обработка от Бангладеш. В момента нашите 30 оператора са в състояние да разрешават повече от 100000 2 captcha на ден. Предлагаме отлични условия и ниска цена - $1000 за XNUMX познати captcha от сайтове на Yahoo, Hotmail, Mayspace, Gmail, Facebook и др. Очакваме по-нататъшно сътрудничество."
Друго интересно съобщение беше изпратено от определен Бабу: „Интересувам се от тази работа, моля, обадете ми се по телефона.“
Така че е доста интересно. Можем да спорим колко законна или незаконна е тази дейност, но факт е, че хората всъщност правят пари от нея.
Получаване на достъп до акаунти на други хора
Трей Форд: Следващият сценарий, за който ще говорим, е правенето на пари чрез поемане на сметка на някой друг.
Всеки забравя пароли, а за тестване на сигурността на приложенията нулирането на пароли и онлайн регистрацията представляват два отделни, фокусирани бизнес процеса. Има голяма разлика между лекотата на нулиране на вашата парола и лекотата на регистрация, така че трябва да се стремите да направите процеса на нулиране на паролата възможно най-прост. Но ако се опитаме да го опростим, възниква проблем, защото колкото по-лесно е да нулирате парола, толкова по-малко сигурна е тя.
Един от най-известните случаи включваше онлайн регистрация с помощта на услугата за проверка на потребителя на Sprint. Двама членове на екипа на White Hat използваха Sprint за онлайн регистрация. Има няколко неща, които трябва да потвърдите, за да докажете, че сте вие, като започнете с нещо толкова просто като номера на вашия мобилен телефон. Имате нужда от онлайн регистрация за неща като управление на вашата банкова сметка, плащане на услуги и т.н. Купуването на телефони е много удобно, ако можете да го направите от акаунта на някой друг и след това да правите покупки и да правите много повече. Една от опциите за измама е да промените адреса за плащане, да поръчате доставка на цял куп мобилни телефони до вашия адрес и жертвата ще бъде принудена да ги плати. Преследващите маниаци също мечтаят за тази възможност: добавяне на функция за GPS проследяване към телефоните на жертвите им и проследяване на всяко тяхно движение от всеки компютър.
И така, Sprint предлага някои от най-простите въпроси за потвърждаване на вашата самоличност. Както знаем, сигурността може да бъде осигурена или чрез много широк диапазон от ентропия, или чрез силно специализирани въпроси. Ще ви прочета част от процеса на регистрация в Sprint, защото ентропията е много ниска. Например, има въпрос: „изберете марка автомобил, регистрирана на следния адрес“, а опциите за марка са Lotus, Honda, Lamborghini, Fiat и „нито една от горните“. Кажете ми, кой от вас има някое от горните? Както можете да видите, този предизвикателен пъзел е просто чудесна възможност за студент да получи евтини телефони.
Втори въпрос: „Кой от следните хора живее с вас или живее на адреса по-долу“? Много е лесно да отговорите на този въпрос, дори ако изобщо не познавате този човек. Джери Стифлийн - това фамилно име има три "ай" в него, ще стигнем до това след секунда - Ралф Арген, Джеръм Поники и Джон Пейс. Интересното в този списък е, че дадените имена са абсолютно произволни и всички те са обект на един и същ модел. Ако го изчислите, тогава няма да имате затруднения да идентифицирате истинското име, защото то се различава от произволно избраните имена по нещо характерно, в случая трите букви „i“. По този начин Stayfliin очевидно не е случайно име и е лесно да се познае, че този човек е вашата цел. Това е много, много просто.
Третият въпрос: „в кой от изброените градове никога не сте живели или никога не сте използвали този град във вашия адрес?“ — Лонгмонт, Северен Холивуд, Генуа или Бът? Имаме три гъсто населени района около Вашингтон, така че очевидният отговор е Северен Холивуд.
Има няколко неща, за които трябва да внимавате при онлайн регистрацията на Sprint. Както казах преди, може да бъдете сериозно наранени, ако нападател успее да промени адреса за доставка за покупки във вашата информация за плащане. Това, което наистина е страшно, е, че имаме услуга за мобилен локатор.
С него можете да следите движението на вашите служители, тъй като хората използват мобилни телефони и GPS и можете да видите на картата къде се намират. Така че има някои други доста интересни неща, които се случват в този процес.
Както знаете, когато нулирате парола, имейл адресът има предимство пред другите методи за проверка на потребителя и въпроси за сигурност. Следващият слайд показва много услуги, които предлагат да посочите вашия имейл адрес, ако потребителят има затруднения с влизането в своя акаунт.
Знаем, че повечето хора използват имейл и имат имейл акаунт. Изведнъж хората поискаха да намерят начин да правят пари от това. Винаги ще откриете имейл адреса на жертвата, ще го въведете във формуляра и ще имате възможност да нулирате паролата за акаунта, който искате да манипулирате. След това го използвате във вашата мрежа и тази пощенска кутия става вашият златен трезор, основното място, от което можете да откраднете всички други акаунти на жертвата. Ще получите целия абонамент на жертвата, като завладеете само една пощенска кутия. Спрете да се усмихвате, това е сериозно!
Следващият слайд показва колко милиона души използват съответните имейл услуги. Хората активно използват Gmail, Yahoo Mail, Hotmail, AOL Mail, но не е нужно да сте супер хакер, за да поемете акаунтите им, можете да поддържате ръцете си чисти чрез аутсорсинг. Винаги можете да кажете, че няма нищо общо с това, не сте направили нищо подобно.
И така, онлайн услугата „Възстановяване на парола“ е базирана в Китай, където плащате за тях, за да хакнат „вашият“ акаунт. За 300 юана, което е около $43, можете да опитате да нулирате паролата на чужда пощенска кутия с 85% успех. За 200 юана, или $29, ще имате 90% успех в нулирането на паролата на вашата пощенска кутия за домашна електронна поща. Хакването на пощенската кутия на която и да е компания струва хиляда юана, или 143 долара, но успехът не е гарантиран. Можете също така да възложите услуги за разбиване на пароли за 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN и др.
Конференция ЧЕРНА ШАПКА САЩ. Станете богати или умрете: правете пари онлайн с помощта на методите на Black Hat. Част 2 (връзката ще бъде достъпна утре)
Малко реклами 🙂
Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, , 30% отстъпка за потребителите на Habr за уникален аналог на сървъри от начално ниво, който беше измислен от нас за вас: (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).
Dell R730xd 2 пъти по-евтин? Само тук в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за
Източник: www.habr.com