Moderador: Senyores i senyors, aquesta xerrada és molt divertida i molt interessant, avui parlarem de coses reals que s'observen a Internet. Aquesta conversa és una mica diferent de les que estem acostumats a les conferències de Black Hat perquè parlarem de com els atacants guanyen diners amb els seus atacs.
Us mostrarem alguns atacs interessants que poden obtenir beneficis i us explicarem els atacs que realment van tenir lloc la nit que vam visitar Jägermeister i vam fer una pluja d'idees. Va ser divertit, però quan ens vam calmar una mica, vam parlar amb la gent de SEO i vam aprendre que molta gent està guanyant diners amb aquests atacs.
Només sóc un gerent intermedi sense cervell, així que renunciaré al meu seient i us presentaré en Jeremy i en Trey, que són molt més intel·ligents que jo. Hauria de tenir una introducció intel·ligent i divertida, però no ho tinc, així que mostraré aquestes diapositives.
A la pantalla es mostren diapositives que mostren Jeremy Grossman i Trey Ford.
Jeremy Grossman és el fundador i director tecnològic de WhiteHat Security, nomenat un dels 2007 millors CTO per InfoWorld el 25, cofundador del Web Application Security Consortium i coautor d'atacs de scripting entre llocs.
Trey Ford és el director de solucions arquitectòniques de WhiteHat Security, que té 6 anys d'experiència com a consultor de seguretat per a empreses Fortune 500 i un dels desenvolupadors de l'estàndard de seguretat de dades de targetes de pagament PCI DSS.
Crec que aquestes imatges compensen la meva falta d'humor. En qualsevol cas, espero que gaudiu de la seva presentació i després entengui com s'utilitzen aquests atacs a Internet per guanyar diners.
Jeremy Grossman: Bona tarda, gràcies a tots per venir. Aquesta serà una conversa molt divertida, encara que no veureu atacs de dia zero ni noves tecnologies genials. Intentarem que sigui entretingut i parlarem de les coses reals que passen cada dia i que permeten que els dolents guanyin molts diners.
No estem intentant impressionar-vos amb el que es mostra en aquesta diapositiva, sinó simplement explicar-vos què fa la nostra empresa. Per tant, White Hat Sentinel, o "Guardian White Hat" és:
- nombre il·limitat d'avaluacions: control i gestió experta dels llocs dels clients, la capacitat d'escanejar llocs independentment de la seva mida i freqüència de canvis;
- ampli abast de cobertura: exploració autoritzada de llocs per detectar vulnerabilitats tècniques i proves d'usuaris per identificar errors lògics en àrees comercials descobertes;
- eliminació de falsos positius: el nostre equip operatiu revisa els resultats i assigna la gravetat i la qualificació d'amenaça adequades;
- desenvolupament i control de qualitat: el sistema WhiteHat Satellite Appliance ens permet donar servei remot als sistemes clients mitjançant l'accés a la xarxa interna;
- millora i millora: l'escaneig realista us permet actualitzar el sistema de manera ràpida i eficient.
Per tant, auditem tots els llocs del món, tenim l'equip més gran de pentesters d'aplicacions web, fem entre 600 i 700 proves d'avaluació cada setmana i totes les dades que veureu en aquesta presentació provenen de la nostra experiència fent aquest tipus de treball. .
A la diapositiva següent veureu els 10 tipus d'atacs més comuns a llocs web globals. Això mostra el percentatge de vulnerabilitat a determinats atacs. Com podeu veure, el 65% de tots els llocs són vulnerables a scripts entre llocs, el 40% permet filtracions d'informació i el 23% són vulnerables a la falsificació de contingut. A més dels scripts entre llocs, són habituals les injeccions SQL i la notòria falsificació de sol·licituds entre llocs, que no s'inclou als deu primers llocs. Però aquesta llista conté atacs amb noms esotèrics, que es descriuen amb un llenguatge vague i l'especificitat dels quals és que van dirigits contra determinades empreses.
Aquests són defectes d'autenticació, defectes del procés d'autorització, filtracions d'informació, etc.
La diapositiva següent parla dels atacs a la lògica empresarial. Els equips de control de qualitat implicats en l'assegurament de la qualitat normalment no els presten atenció. Proven què ha de fer el programari, no què pot fer, i després podeu veure el que vulgueu. Els escàners, totes aquestes caixes blanques/negres/grises, totes aquestes caixes multicolors no són capaços de detectar aquestes coses en la majoria dels casos, perquè simplement es fixen en el context de què podria ser l'atac o què passa de manera similar quan succeeix. Els falta intel·ligència i no saben si alguna cosa va funcionar o no.
El mateix passa amb els tallafocs d'aplicacions IDS i WAF, que tampoc no detecten defectes de la lògica empresarial perquè les sol·licituds HTTP semblen completament normals. Us mostrarem que els atacs relacionats amb defectes de la lògica empresarial sorgeixen de manera totalment natural, no hi ha hackers, ni metapersonatges ni altres rareses, semblen processos naturals. El més important és que als dolents els encanten aquestes coses perquè els defectes de la lògica empresarial els fan diners. Utilitzen XSS, SQL, CSRF, però aquest tipus d'atacs són cada cop més difícils de dur a terme, i hem vist que han disminuït durant els darrers 3-5 anys. Però no desapareixeran per si mateixos, de la mateixa manera que el desbordament del buffer no desapareixerà. Tanmateix, els dolents estan pensant en com utilitzar atacs més sofisticats perquè creuen que els "dolents reals" sempre busquen guanyar diners amb els seus atacs.
Vull mostrar-vos trucs reals que podeu tenir en compte i utilitzar-los de la manera correcta per protegir el vostre negoci. Un altre propòsit de la nostra presentació és que potser us pregunteu sobre l'ètica.
Enquestes i votacions en línia
Per tant, per començar la nostra discussió sobre les mancances de la lògica empresarial, parlem d'enquestes en línia. Les enquestes en línia són la forma més habitual d'esbrinar o influir en l'opinió pública. Començarem amb un benefici de 0 dòlars i després veurem el resultat de 5, 6, 7 mesos d'esquemes fraudulents. Comencem fent una enquesta molt i molt senzilla. Ja sabeu que cada lloc web nou, cada bloc, cada portal de notícies realitza enquestes en línia. Dit això, cap nínxol és massa gran o massa estret, però volem veure l'opinió pública en àrees concretes.
M'agradaria cridar la vostra atenció sobre una enquesta realitzada a Austin, Texas. Com que un beagle d'Austin va guanyar el Westminster Dog Show, l'Austin American Statesman va decidir realitzar una enquesta en línia d'Austin's Best in Show per als propietaris de gossos de Texas central. Milers de propietaris van enviar fotos i van votar els seus preferits. Com tantes altres enquestes, no hi havia cap altre premi que els drets de presumir per a la teva mascota.
Per a la votació es va utilitzar una aplicació del sistema Web 2.0. Vau fer clic a "sí" si us agradava el gos i vau saber si era el millor gos de la raça o no. Així que heu votat diversos centenars de gossos publicats al lloc com a candidats al guanyador de l'espectacle.
Amb aquest mètode de votació, eren possibles 3 tipus d'engany. La primera és la votació sense fi, on votes el mateix gos una i altra vegada. És molt senzill. El segon mètode és la votació múltiple negativa, on votes un gran nombre de vegades contra un gos competidor. La tercera manera va ser que, literalment a l'últim minut de la competició, col·locaves un nou gos, el votaves, de manera que la possibilitat de rebre vots negatius fos mínima, i guanyes amb el 100% de vots positius.
A més, la victòria es va determinar com a percentatge i no pel nombre total de vots, és a dir, no es va poder determinar quin gos va rebre el nombre màxim de valoracions positives, només es va calcular el percentatge de valoracions positives i negatives d'un gos en particular. . Va guanyar el gos amb la millor relació positiu/negatiu.
L'amic del col·lega Robert "RSnake" Hansen li va demanar que l'ajudés a la seva Chihuahua Tiny a guanyar una competició. Coneixes Robert, és d'Austin. Ell, com un súper pirata informàtic, va arreglar el proxy de Burp i va seguir el camí de menys resistència. Va utilitzar la tècnica de trampes núm. 1, fent-la passar per un bucle Burp de diversos centenars o milers de sol·licituds, i això va portar al gos 2000 vots a favor i el va portar al primer lloc.
A continuació, va utilitzar la tècnica d'engany número 2 contra el competidor de Tiny, sobrenomenat Chuchu. En els últims minuts de la competició, va emetre 450 vots contra Chuchu, la qual cosa va reforçar encara més la posició de Tiny en 1r lloc amb una proporció de vots de més de 2:1, però pel que fa al percentatge de crítiques positives i negatives, Tiny encara va perdre. En aquesta diapositiva es veu la nova cara d'un cibercriminal, desanimat per aquest desenllaç.
Sí, va ser un escenari interessant, però crec que al meu amic no li va agradar aquesta actuació. Només volies guanyar el concurs de Chihuahua a Austin, però hi havia algú que va intentar piratejar-te i fer el mateix. Bé, ara li passo la trucada a en Trey.
Crear demanda artificial i guanyar diners amb ella
Trey Ford: El concepte de "DoS artificial" fa referència a diversos escenaris interessants diferents quan comprem entrades en línia. Per exemple, quan es reserva un seient especial en un vol. Això es pot aplicar a qualsevol tipus d'entrada, com ara un esdeveniment esportiu o un concert.
Per tal d'evitar compres repetides d'articles escassos com ara seients d'avió, articles físics, noms d'usuari, etc., l'aplicació bloqueja l'article durant un període de temps determinat per evitar conflictes. I aquí ve la vulnerabilitat associada a la possibilitat de reservar alguna cosa amb antelació.
Tots sabem sobre el temps mort, tots sabem com finalitzar la sessió. Però aquest defecte lògic particular ens permet seleccionar un seient en un vol i després tornar a fer la selecció de nou sense pagar res. Segur que molts de vosaltres aneu sovint de viatge de negocis, però per a mi això és una part essencial de la feina. Hem provat aquest algorisme en molts llocs: seleccioneu un vol, trieu un seient i només quan estigueu preparat, introduïu la vostra informació de pagament. És a dir, després d'haver escollit un lloc, es reserva per a vostè durant un període de temps determinat, des de diversos minuts fins a diverses hores, i durant aquest temps ningú més pot reservar aquest lloc. A causa d'aquest període d'espera, tens una oportunitat real de reservar tots els seients de l'avió simplement tornant a la pàgina web i reservant els seients que vulguis.
Així, apareix una opció d'atac DoS: repeteix automàticament aquest cicle per a cada seient de l'avió.
Ho hem provat en almenys dues grans companyies aèries. Podeu trobar la mateixa vulnerabilitat amb qualsevol altra reserva. Aquesta és una gran oportunitat per augmentar els preus de les teves entrades per a aquells que vulguin revendre-les. Per fer-ho, els especuladors només han de reservar les entrades restants sense cap risc de pèrdua monetària. D'aquesta manera, podeu "estavellar" el comerç electrònic que ven productes d'alta demanda: videojocs, consoles de jocs, iPhones, etc. És a dir, la falla existent en el sistema de reserves en línia permet a un atacant guanyar diners amb això o causar danys als competidors.
Desxifrat captcha
Jeremy Grossman: Ara parlem del captcha. Tothom coneix aquelles imatges molestes que embruten Internet i s'utilitzen per combatre el correu brossa. Potencialment, també podeu obtenir beneficis amb captcha. Captcha és una prova de Turing totalment automatitzada que us permet distingir una persona real d'un bot. Vaig descobrir moltes coses interessants mentre investigava l'ús del captcha.
Captcha es va utilitzar per primera vegada al voltant de 2000-2001. Els spammers volen eliminar el captcha per registrar-se als serveis de correu electrònic gratuïts Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. i enviar correu brossa. Atès que el captcha s'utilitza bastant àmpliament, ha aparegut tot un mercat de serveis que ofereixen evitar l'omnipresent captcha. En última instància, això comporta beneficis; un exemple seria enviar correu brossa. Hi ha 3 maneres de saltar el captcha, mirem-les.
El primer són els defectes en la implementació de la idea, o les mancances en l'ús del captcha.
Per tant, les respostes a les preguntes contenen massa poca entropia, com ara "escriu a què és igual 4+1". Les mateixes preguntes es poden repetir moltes vegades, i el ventall de respostes possibles és força reduït.
L'efectivitat del captcha es comprova d'aquesta manera:
- la prova s'ha de dur a terme en condicions en què la persona i el servidor estiguin allunyats l'un de l'altre,
la prova no ha de ser difícil per a l'individu; - la pregunta hauria de ser tal que una persona la pugui respondre en pocs segons,
Només ha de respondre aquell a qui es fa la pregunta; - respondre la pregunta ha de ser difícil per a l'ordinador;
- el coneixement de preguntes anteriors, respostes o la seva combinació no ha d'afectar la predictibilitat de la següent prova;
- la prova no ha de discriminar les persones amb discapacitat visual o auditiva;
- la prova no ha de tenir un esbiaixament geogràfic, cultural o lingüístic.
Com a resultat, crear un captcha "correcte" és bastant difícil.
El segon desavantatge del captcha és la possibilitat d'utilitzar el reconeixement òptic de caràcters OCR. Un tros de codi és capaç de llegir una imatge captcha per molt soroll visual que contingui, veure quines lletres o números la formen i automatitzar el procés de reconeixement. La investigació ha demostrat que la majoria de captchas es poden trencar fàcilment.
Donaré cites d'especialistes de l'Escola d'Informàtica de la Universitat de Newcastle, Regne Unit. Parlen de la facilitat per trencar el captcha de Microsoft: “el nostre atac va poder aconseguir una taxa d'èxit de segmentació del 92%, la qual cosa implica que l'esquema de captcha de MSN es pot trencar en el 60% dels casos segmentant la imatge i després reconeixent-la. ” Descriure el captcha de Yahoo va ser igual de fàcil: “el nostre segon atac va aconseguir un èxit de segmentació del 33,4%. Així, al voltant del 25,9% dels captchas es poden trencar. La nostra investigació suggereix que els spammers no haurien d'utilitzar mai mà d'obra humana barata per evitar el captcha de Yahoo, sinó confiar en un atac automatitzat de baix cost".
El tercer mètode per evitar captcha s'anomena "Turc mecànic" o "Turc". Ho vam provar amb el captcha de Yahoo immediatament després de la publicació, i fins avui no sabem, i ningú sap, com protegir-nos d'aquest atac.
Aquest és el cas en què tens un dolent que executarà un lloc "adult" o un joc en línia des d'on els usuaris demanen contingut. Abans que puguin veure la següent imatge, el lloc web del pirata informàtic farà una sol·licitud de fons a un sistema en línia que coneixeu, per exemple Yahoo o Google, agafarà el captcha d'allà i l'enviarà a l'usuari. I tan bon punt l'usuari respongui la pregunta, el pirata informàtic enviarà el captcha endevinat al lloc objectiu i mostrarà a l'usuari la imatge sol·licitada del seu lloc. Si teniu un lloc molt popular amb molt contingut interessant, podeu mobilitzar tot un exèrcit de persones que automàticament ompliran els captchas d'altres persones per vosaltres. Això és una cosa molt poderosa.
Tanmateix, no només les persones intenten evitar captchas, sinó que les empreses també utilitzen aquesta tècnica. Robert "RSnake" Hansen va parlar una vegada al seu bloc amb un "solucionador de captcha" romanès que va dir que podia resoldre de 300 a 500 captchas per hora a un ritme de 9 a 15 dòlars per mil captchas resolts.
Diu directament que els membres del seu equip treballen 12 hores al dia, resolent uns 4800 captchas durant aquest temps i, depenent de la dificultat que siguin els captchas, poden rebre fins a 50 dòlars al dia pel seu treball. Aquesta va ser una publicació interessant, però encara més interessants són els comentaris que els usuaris del blog van deixar sota aquesta publicació. Immediatament va aparèixer un missatge des del Vietnam, on un tal Quang Hung va informar sobre el seu grup de 20 persones, que van acceptar treballar per 4 dòlars per cada 1000 captchas endevinats.
El següent missatge era de Bangla Desh: "Hola! Espero que estigueu bé! Som una empresa líder de processament de Bangla Desh. Actualment, els nostres 30 operadors són capaços de resoldre més de 100000 captchas per dia. Oferim condicions excel·lents i una tarifa baixa: 2 dòlars per 1000 captchas endevinats de llocs de Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. Esperem més cooperació".
Un altre missatge interessant el va enviar un tal Babu: "Estic interessat en aquest treball, si us plau, truca'm per telèfon".
Així que és força interessant. Podem debatre fins a quin punt és legal o il·legal aquesta activitat, però el fet és que la gent en treu diners.
Aconseguir accés als comptes d'altres persones
Trey Ford: El següent escenari del qual parlarem és guanyar diners fent-se càrrec del compte d'una altra persona.
Tothom oblida les contrasenyes i, per a les proves de seguretat de les aplicacions, el restabliment de contrasenyes i el registre en línia representen dos processos de negoci diferents i centrats. Hi ha una gran bretxa entre la facilitat de restabliment de la contrasenya i la facilitat de registrar-se, per la qual cosa hauríeu d'esforçar-vos perquè el procés de restabliment de la contrasenya sigui el més senzill possible. Però si intentem simplificar-ho, sorgeix un problema perquè com més senzill és restablir una contrasenya, menys segur és.
Un dels casos més destacats va implicar el registre en línia mitjançant el servei de verificació d'usuaris de Sprint. Dos membres de l'equip de White Hat van utilitzar Sprint per registrar-se en línia. Hi ha un parell de coses que has de confirmar per demostrar que ets tu, començant per una cosa tan senzilla com el teu número de telèfon mòbil. Necessiteu un registre en línia per a coses com ara gestionar el vostre compte bancari, pagar serveis, etc. Comprar telèfons és molt convenient si ho pots fer des del compte d'una altra persona i després fer compres i fer molt més. Una de les opcions d'estafa és canviar l'adreça de pagament, demanar el lliurament de tot un munt de telèfons mòbils a la vostra adreça i la víctima es veurà obligada a pagar-los. Els maníacs perseguidors també somien amb aquesta oportunitat: afegir la funcionalitat de seguiment GPS als telèfons de les seves víctimes i fer un seguiment de tots els seus moviments des de qualsevol ordinador.
Per tant, Sprint ofereix algunes de les preguntes més senzilles per verificar la vostra identitat. Com sabem, la seguretat es pot garantir ja sigui per un rang molt ampli d'entropia, o per qüestions altament especialitzades. Et llegiré part del procés de registre de l'Sprint perquè l'entropia és molt baixa. Per exemple, hi ha una pregunta: "seleccioneu una marca de cotxe registrada a l'adreça següent" i les opcions de marca són Lotus, Honda, Lamborghini, Fiat i "cap de les anteriors". Digueu-me, quin de vosaltres té alguna de les anteriors? Com podeu veure, aquest desafiant trencaclosques és només una gran oportunitat perquè un estudiant universitari aconsegueixi telèfons barats.
Segona pregunta: "Quina de les persones següents viu amb tu o viu a l'adreça següent"? És molt fàcil respondre aquesta pregunta, encara que no coneguis gens aquesta persona. Jerry Stifliin: aquest cognom té tres "ays", hi arribarem en un segon: Ralph Argen, Jerome Ponicki i John Pace. El que és interessant d'aquesta llista és que els noms donats són absolutament aleatoris i tots estan subjectes al mateix patró. Si el calculeu, no tindreu cap dificultat per identificar el nom real, perquè difereix dels noms seleccionats aleatòriament en alguna cosa característica, en aquest cas les tres lletres "i". Per tant, Stayfliin clarament no és un nom aleatori, i és fàcil endevinar que aquesta persona és el vostre objectiu. És molt, molt senzill.
La tercera pregunta: "en quina de les ciutats enumerades no heu viscut mai o no heu utilitzat mai aquesta ciutat a la vostra adreça?" — Longmont, North Hollywood, Gènova o Butte? Tenim tres zones densament poblades al voltant de Washington DC, de manera que la resposta òbvia és North Hollywood.
Hi ha un parell de coses amb les quals cal tenir cura amb el registre en línia de Sprint. Com he dit abans, podríeu patir greument si un atacant pot canviar l'adreça d'enviament de les compres a la vostra informació de pagament. El que realment fa por és que tenim un servei de localització mòbil.
Amb ell, pots fer un seguiment dels moviments dels teus empleats, ja que la gent utilitza telèfons mòbils i GPS, i pots veure al mapa on es troben. Així que hi ha altres coses força interessants que succeeixen en aquest procés.
Com ja sabeu, quan es restableix una contrasenya, l'adreça de correu electrònic té prioritat sobre altres mètodes de verificació d'usuari i preguntes de seguretat. La següent diapositiva mostra molts serveis que ofereixen indicar la vostra adreça de correu electrònic si l'usuari té dificultats per iniciar sessió al seu compte.
Sabem que la majoria de la gent utilitza el correu electrònic i té un compte de correu electrònic. De sobte, la gent volia trobar una manera de guanyar diners amb això. Sempre trobareu l'adreça de correu electrònic de la víctima, la introduïu al formulari i tindreu l'oportunitat de restablir la contrasenya del compte que voleu manipular. A continuació, l'utilitzeu a la vostra xarxa i aquesta bústia es converteix en la vostra volta daurada, el lloc principal des del qual podeu robar tots els altres comptes de la víctima. Rebràs tota la subscripció de la víctima prenent possessió d'una sola bústia de correu. Deixa de somriure, això és seriós!
La diapositiva següent mostra quants milions de persones utilitzen els serveis de correu electrònic corresponents. La gent utilitza activament Gmail, Yahoo Mail, Hotmail, AOL Mail, però no cal que siguis un súper pirata informàtic per fer-se càrrec dels seus comptes, pots mantenir les mans netes mitjançant la subcontractació. Sempre pots dir que no hi té res a veure, no has fet res així.
Per tant, el servei en línia "Recuperació de la contrasenya" té la seva seu a la Xina, on pagueu perquè pirategin "el vostre" compte. Per 300 iuans, que són uns 43 dòlars, podeu provar de restablir la contrasenya d'una bústia de correu estrangera amb una taxa d'èxit del 85%. Per 200 iuans, o 29 dòlars, tindreu un èxit del 90% en restablir la contrasenya de la bústia del servei de correu electrònic de casa. Costa mil iuans, o 143 dòlars, piratejar la bústia de qualsevol empresa, però l'èxit no està garantit. També podeu subcontractar serveis de descoberta de contrasenyes per a 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Conferència BLACK HAT USA. Fes-te ric o mor: guanya diners en línia amb els mètodes Black Hat. Part 2 (l'enllaç estarà disponible demà)
Alguns anuncis 🙂
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, , 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com