Moderátor: Dámy a pánové, toto povídání je velmi vtipné a velmi zajímavé, dnes budeme mluvit o skutečných věcech, které jsou pozorovány na internetu. Tento rozhovor se trochu liší od těch, na které jsme zvyklí na konferencích Black Hat, protože budeme mluvit o tom, jak útočníci vydělávají na svých útocích.
Ukážeme vám některé zajímavé útoky, které mohou přinést zisk, a povíme vám o útocích, které se skutečně odehrály tu noc, kdy jsme šli přes Jägermeister a probírali brainstorming. Byla to zábava, ale když jsme trochu vystřízlivěli, mluvili jsme s lidmi ze SEO a vlastně jsme se dozvěděli, že spousta lidí na těchto útocích vydělává.
Jsem jen střední manažer bez mozku, takže se vzdám svého místa a představím vám Jeremyho a Treye, kteří jsou mnohem chytřejší než já. Měl bych mít chytrý a zábavný úvod, ale nemám, takže místo toho ukážu tyto snímky.
Na obrazovce jsou zobrazeny snímky Jeremyho Grossmana a Treye Forda.
Jeremy Grossman je zakladatelem a technologickým ředitelem WhiteHat Security, v roce 2007 InfoWorldem jmenoval jednoho z 25 nejlepších CTO, spoluzakladatelem konsorcia Web Application Security Consortium a spoluautorem útoků na skriptování mezi weby.
Trey Ford je ředitelem architektonických řešení WhiteHat Security, který má 6 let zkušeností jako bezpečnostní konzultant pro společnosti z Fortune 500 a jeden z vývojářů standardu zabezpečení dat platebních karet PCI DSS.
Myslím, že tyto obrázky vynahrazují můj nedostatek humoru. V každém případě doufám, že se vám jejich prezentace bude líbit a pak pochopíte, jak se tyto útoky na internetu používají k vydělávání peněz.
Jeremy Grossman: Dobré odpoledne, děkuji vám všem, že jste přišli. Bude to velmi zábavná konverzace, i když neuvidíte zero-day útoky ani skvělé nové technologie. Pokusíme se, aby to bylo zábavné a budeme mluvit o skutečných věcech, které se dějí každý den a které umožňují padouchům vydělat spoustu peněz.
Nesnažíme se vás zaujmout tím, co je zobrazeno na tomto snímku, ale jednoduše vysvětlit, co naše společnost dělá. Takže White Hat Sentinel nebo „Guardian White Hat“ je:
- neomezený počet posouzení – kontrola a odborná správa klientských stránek, možnost skenovat stránky bez ohledu na jejich velikost a četnost změn;
- široký rozsah pokrytí - autorizované skenování stránek k odhalení technických zranitelností a uživatelské testování k identifikaci logických chyb v nekrytých obchodních oblastech;
- eliminace falešných poplachů – náš operační tým zkontroluje výsledky a přiřadí příslušné hodnocení závažnosti a ohrožení;
- vývoj a kontrola kvality - systém WhiteHat Satellite Appliance nám umožňuje vzdálenou obsluhu klientských systémů prostřednictvím přístupu do vnitřní sítě;
- vylepšení a vylepšení - realistické skenování umožňuje rychle a efektivně aktualizovat systém.
Takže auditujeme každý web na světě, máme největší tým pentesterů webových aplikací, každý týden provádíme 600–700 hodnotících testů a všechna data, která uvidíte v této prezentaci, pocházejí z našich zkušeností s tímto typem práce. .
Na dalším snímku vidíte 10 nejčastějších typů útoků na globální webové stránky. To ukazuje procento zranitelnosti vůči určitým útokům. Jak vidíte, 65 % všech webů je zranitelných vůči skriptování mezi weby, 40 % umožňuje únik informací a 23 % je zranitelných vůči falšování obsahu. Kromě skriptování mezi weby jsou běžné injekce SQL a notoricky známé falšování požadavků mezi weby, které není zahrnuto v naší desítce. Tento seznam však obsahuje útoky s esoterickými názvy, které jsou popsány vágním jazykem a jejichž specifikem je, že jsou namířeny proti určitým společnostem.
Jedná se o chyby ověřování, chyby procesu autorizace, úniky informací a tak dále.
Další snímek hovoří o útocích na obchodní logiku. QA týmy zapojené do zajišťování kvality jim obvykle nevěnují pozornost. Testují, co by měl software dělat, ne co umí, a pak můžete vidět, co chcete. Skenery, všechny tyto bílé/černé/šedé krabice, všechny tyto vícebarevné krabice nejsou schopny tyto věci ve většině případů detekovat, protože jsou jednoduše fixovány na kontext toho, co by útok mohl být nebo co se stane, když k němu dojde. Chybí jim inteligence a nevědí, zda vůbec něco fungovalo nebo ne.
Totéž platí pro aplikační firewally IDS a WAF, které také nedokážou detekovat chyby obchodní logiky, protože požadavky HTTP vypadají zcela normálně. Ukážeme vám, že útoky související s chybami obchodní logiky vznikají zcela přirozeně, neexistují žádní hackeři, žádní metaznaky ani jiné podivnosti, vypadají jako přirozeně se vyskytující procesy. Hlavní věc je, že padouši tyto věci milují, protože chyby v obchodní logice jim vydělávají peníze. Používají XSS, SQL, CSRF, ale provádění těchto typů útoků je stále obtížnější a viděli jsme, že za posledních 3–5 let jich ubylo. Ale nezmizí samy od sebe, stejně jako nezmizí přetečení bufferu. Padlí však přemýšlejí o tom, jak využít sofistikovanější útoky, protože věří, že „skuteční padouši“ se vždy snaží na jejich útocích vydělat.
Chci vám ukázat skutečné triky, které si můžete vzít na palubu a použít je správným způsobem k ochraně vašeho podnikání. Dalším účelem naší prezentace je, že vás možná zajímá etika.
Online ankety a hlasování
Abychom tedy začali naši diskusi o nedostatcích obchodní logiky, pojďme mluvit o online průzkumech. Online průzkumy veřejného mínění jsou nejčastějším způsobem, jak zjistit nebo ovlivnit veřejné mínění. Začneme se ziskem 0 USD a pak se podíváme na výsledek 5, 6, 7 měsíců podvodných schémat. Začněme tím, že uděláme velmi, velmi jednoduchý průzkum. Víte, že každý nový web, každý blog, každý zpravodajský portál provádí online průzkumy. To znamená, že žádný výklenek není příliš velký nebo příliš úzký, ale chceme vidět veřejné mínění v konkrétních oblastech.
Rád bych upozornil na jeden průzkum provedený v Austinu v Texasu. Protože austinský bígl vyhrál Westminsterskou výstavu psů, rozhodl se Austin American Statesman uspořádat online anketu Austin's Best in Show pro majitele psů ze středního Texasu. Tisíce majitelů zaslaly fotografie a hlasovaly pro své oblíbence. Stejně jako v mnoha jiných průzkumech nebyla pro vašeho mazlíčka žádná jiná cena než chlubení se právy.
K hlasování byla použita systémová aplikace Web 2.0. Kliknutím na „ano“, pokud se vám pes líbil, jste zjistili, zda je to nejlepší pes v plemeni nebo ne. Takže jste hlasovali pro několik stovek psů zveřejněných na webu jako kandidáty na vítěze výstavy.
Při tomto způsobu hlasování byly možné 3 druhy podvádění. První je nekonečné hlasování, kdy stále dokola hlasujete pro stejného psa. Je to velmi jednoduché. Druhým způsobem je negativní vícenásobné hlasování, kdy hlasujete ohromně mnohokrát proti konkurenčnímu psovi. Třetím způsobem bylo, že jste doslova na poslední chvíli soutěže umístili nového psa, zahlasovali pro něj, aby možnost získat negativní hlasy byla minimální, a vyhráli jste se 100% kladnými hlasy.
Vítězství bylo navíc určeno procentem, nikoli celkovým počtem hlasů, to znamená, že nebylo možné určit, který pes získal maximální počet kladných hodnocení, počítalo se pouze procento kladných a záporných hodnocení pro konkrétního psa. . Zvítězil pes s nejlepším poměrem kladných/negativních bodů.
Kamarádka kolegyně Robert "RSnake" Hansen ho požádala, aby pomohl její Chihuahua Tiny vyhrát soutěž. Znáš Roberta, je z Austinu. Jako super hacker opravil proxy server Burp a šel cestou nejmenšího odporu. Použil techniku cheatování č. 1, prošel to smyčkou Burp s několika stovkami nebo tisíci žádostí, což psovi přineslo 2000 kladných hlasů a vyneslo ho na 1. místo.
Dále použil cheatovací techniku č. 2 proti Tinyho konkurentovi, přezdívanému Chuchu. V posledních minutách soutěže dal 450 hlasů proti Chuchu, což Tinyho pozici na 1. místě ještě posílilo s poměrem hlasů více než 2:1, ale co do procenta pozitivních a negativních recenzí, Tiny stejně prohrál. Na tomto snímku vidíte novou tvář kyberzločince, kterého tento výsledek odradil.
Ano, byl to zajímavý scénář, ale myslím, že toto představení se mému příteli nelíbilo. Chtěl jsi jen vyhrát soutěž Čivava v Austinu, ale byl tu někdo, kdo se tě pokusil hacknout a udělat to samé. No, teď předám hovor Treyovi.
Vytvářet umělou poptávku a vydělávat na ní peníze
Trey Ford: Pojem „umělý DoS“ odkazuje na několik různých zajímavých scénářů, když kupujeme vstupenky online. Například při rezervaci speciálního místa v letu. To se může vztahovat na jakýkoli typ vstupenky, například na sportovní událost nebo koncert.
Aby se zabránilo opakovaným nákupům nedostatkových položek, jako jsou sedadla v letadlech, fyzické položky, uživatelská jména atd., aplikace položku na určitou dobu uzamkne, aby se předešlo konfliktům. A zde přichází na řadu zranitelnost spojená s možností si něco zarezervovat předem.
Všichni víme o timeoutu, všichni víme o ukončení relace. Tato konkrétní logická chyba nám však umožňuje vybrat si místo v letu a poté se vrátit a provést výběr znovu, aniž bychom cokoli platili. Určitě mnozí z vás často jezdí na služební cesty, ale pro mě je to podstatná součást práce. Tento algoritmus jsme testovali na mnoha místech: vyberete si let, zvolíte sedadlo a teprve až budete připraveni, zadáte své platební údaje. To znamená, že poté, co si vyberete místo, je pro vás rezervováno na určitou dobu - od několika minut do několika hodin, a během této doby si toto místo nemůže zarezervovat nikdo jiný. Díky této čekací době máte skutečnou příležitost zarezervovat si všechna místa v letadle jednoduchým návratem na místo a zarezervováním míst, která chcete.
Objeví se tedy možnost útoku DoS: tento cyklus se automaticky opakuje pro každé sedadlo v letadle.
Testovali jsme to nejméně na dvou velkých leteckých společnostech. Stejnou chybu zabezpečení můžete najít u jakékoli jiné rezervace. Je to skvělá příležitost, jak zvýšit ceny vašich vstupenek pro ty, kteří je chtějí prodat. K tomu spekulanti jednoduše potřebují zarezervovat zbývající vstupenky bez jakéhokoli rizika peněžní ztráty. Tímto způsobem můžete „nabourat“ elektronický obchod, který prodává vysoce žádané produkty – videohry, herní konzole, iPhony a tak dále. To znamená, že stávající chyba v online rezervačním nebo rezervačním systému umožňuje útočníkovi vydělat na něm peníze nebo způsobit škodu konkurentům.
Captcha dešifrování
Jeremy Grossman: Nyní pojďme mluvit o captcha. Každý zná ty otravné obrázky, které zasypávají internet a používají se k boji proti spamu. Z captcha můžete také potenciálně vydělávat. Captcha je plně automatizovaný Turingův test, který vám umožní odlišit skutečnou osobu od robota. Při zkoumání využití captcha jsem objevil spoustu zajímavých věcí.
Captcha byla poprvé použita v letech 2000-2001. Spammeři chtějí eliminovat captcha, aby se mohli zaregistrovat do bezplatných e-mailových služeb Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook atd. a posílat spam. Vzhledem k tomu, že captcha se používá poměrně široce, objevil se celý trh služeb, které nabízejí obejít všudypřítomné captcha. V konečném důsledku to přináší zisk – příkladem může být rozesílání spamu. Existují 3 způsoby, jak obejít captcha, pojďme se na ně podívat.
Prvním jsou nedostatky v implementaci nápadu nebo nedostatky v použití captcha.
Odpovědi na otázky tedy obsahují příliš malou entropii, například „napiš, čemu se rovná 4+1“. Stejné otázky se mohou opakovat mnohokrát a rozsah možných odpovědí je poměrně malý.
Účinnost captcha se kontroluje tímto způsobem:
- test by měl být proveden v podmínkách, kdy jsou osoba a server od sebe vzdáleni,
test by neměl být pro jednotlivce náročný; - otázka by měla být taková, aby na ni člověk mohl odpovědět během několika sekund,
Odpovídat by měl pouze ten, komu je otázka položena; - odpovědět na otázku musí být pro počítač obtížné;
- znalost předchozích otázek, odpovědí nebo jejich kombinace by neměla ovlivnit předvídatelnost dalšího testu;
- test nesmí diskriminovat osoby se zrakovým nebo sluchovým postižením;
- test nesmí být geograficky, kulturně nebo lingvisticky zaujatý.
Jak se ukazuje, vytvoření „správné“ captcha je poměrně obtížné.
Druhou nevýhodou captcha je možnost využití optického rozpoznávání znaků OCR. Kousek kódu je schopen číst obrázek captcha bez ohledu na to, kolik vizuálního šumu obsahuje, vidět, jaká písmena nebo čísla jej tvoří, a automatizovat proces rozpoznávání. Výzkum ukázal, že většinu captcha lze snadno rozluštit.
Uvedu citáty od specialistů z School of Computer Science na University of Newcastle, UK. Hovoří o snadném prolomení captcha od Microsoftu: „Náš útok dokázal dosáhnout úspěšnosti segmentace 92 %, což znamená, že schéma MSN captcha lze prolomit v 60 % případů segmentací obrazu a jeho následným rozpoznáním. “ Rozluštit captcha Yahoo bylo stejně snadné: „Náš druhý útok dosáhl úspěšnosti segmentace 33,4 %. Takto lze prolomit asi 25,9 % captchas. Náš výzkum naznačuje, že spammeři by nikdy neměli využívat levnou lidskou práci k obcházení captcha Yahoo, ale spíše by se měli spoléhat na nízkonákladový automatizovaný útok.“
Třetí způsob, jak obejít captcha, se nazývá „Mechanical Turk“ nebo „Turk“. Otestovali jsme to proti captcha Yahoo hned po zveřejnění a dodnes nevíme a nikdo neví, jak se proti takovému útoku chránit.
To je případ, kdy máte padoucha, který bude provozovat „dospělý“ web nebo online hru, odkud uživatelé požadují nějaký obsah. Než uvidí další obrázek, web, který hacker vlastní, odešle back-endový požadavek na online systém, který znáte, řekněme Yahoo nebo Google, odtamtud seber captcha a předá jej uživateli. A jakmile uživatel odpoví na otázku, hacker odešle uhodnutý captcha na cílovou stránku a ukáže uživateli požadovaný obrázek z jeho stránky. Pokud máte velmi oblíbený web se spoustou zajímavého obsahu, můžete zmobilizovat celou armádu lidí, kteří za vás automaticky vyplní cizí captcha. To je velmi silná věc.
Avšak nejen lidé se snaží obejít captcha, tuto techniku používají i podniky. Robert „RSnake“ Hansen jednou mluvil na svém blogu s rumunským „řešitelem captcha“, který řekl, že dokáže vyřešit 300 až 500 captch za hodinu rychlostí 9 až 15 dolarů za tisíc vyřešených captcha.
Přímo říká, že členové jeho týmu pracují 12 hodin denně, za tuto dobu vyřeší asi 4800 captch a podle toho, jak jsou captcha obtížná, mohou za svou práci dostat až 50 dolarů denně. Byl to zajímavý příspěvek, ale ještě zajímavější jsou komentáře, které pod tímto příspěvkem zanechali uživatelé blogu. Okamžitě se objevila zpráva z Vietnamu, kde jistý Quang Hung hlásil o své skupině 20 lidí, kteří souhlasili s prací za 4 dolary za 1000 uhodnutých captcha.
Další zpráva byla z Bangladéše: „Ahoj! Doufám, že jsi v pořádku! Jsme přední zpracovatelská společnost z Bangladéše. V současné době je našich 30 operátorů schopno vyřešit více než 100000 2 captch za den. Nabízíme vynikající podmínky a nízkou sazbu – 1000 dolary za XNUMX uhodnutých captcha ze stránek Yahoo, Hotmail, Mayspace, Gmail, Facebook atd. Těšíme se na další spolupráci."
Další zajímavou zprávu poslal jistý Babu: „Mám zájem o tuto práci, zavolejte mi prosím na telefon.“
Takže je to docela zajímavé. Můžeme polemizovat, jak moc je tato činnost legální či nelegální, ale faktem je, že na ní lidé skutečně vydělávají.
Získání přístupu k účtům jiných lidí
Trey Ford: Další scénář, o kterém si povíme, je vydělávání peněz převzetím cizího účtu.
Všichni zapomínají hesla a pro testování zabezpečení aplikací představují resetování hesla a online registrace dva odlišné, zaměřené obchodní procesy. Mezi snadností resetování hesla a snadným přihlášením je velká propast, takže byste se měli snažit, aby byl proces resetování hesla co nejjednodušší. Pokud se to ale pokusíme zjednodušit, nastává problém, protože čím jednodušší je resetování hesla, tím méně bezpečné.
Jeden z nejsledovanějších případů zahrnoval online registraci pomocí služby ověřování uživatelů Sprint. Dva členové týmu White Hat použili Sprint pro online registraci. Existuje několik věcí, které musíte potvrdit, abyste dokázali, že jste to vy, počínaje něčím tak jednoduchým, jako je vaše mobilní telefonní číslo. Online registraci potřebujete pro věci, jako je správa bankovního účtu, placení za služby a tak dále. Nákup telefonů je velmi pohodlný, pokud to můžete udělat z účtu někoho jiného a poté nakupovat a dělat mnohem víc. Jednou z možností podvodu je změna platební adresy, objednání doručení celé hromady mobilních telefonů na vaši adresu a oběť bude nucena za ně zaplatit. Stalking maniaci také sní o této příležitosti: přidání funkce sledování GPS do telefonů svých obětí a sledování každého jejich pohybu z jakéhokoli počítače.
Sprint tedy nabízí některé z nejjednodušších otázek k ověření vaší identity. Jak víme, bezpečnost může být zajištěna buď velmi širokým rozsahem entropie, nebo vysoce specializovanými problémy. Přečtu vám část registračního procesu Sprintu, protože entropie je velmi nízká. Například je zde otázka: „vyberte značku auta registrovanou na následující adrese“ a možnosti značky jsou Lotus, Honda, Lamborghini, Fiat a „nic z výše uvedeného“. Řekněte mi, kdo z vás má něco z výše uvedeného? Jak vidíte, tato náročná hádanka je pro vysokoškoláka jen skvělou příležitostí, jak získat levné telefony.
Druhá otázka: „Kdo z následujících lidí bydlí s vámi nebo bydlí na níže uvedené adrese“? Na tuto otázku je velmi snadné odpovědět, i když tohoto člověka vůbec neznáte. Jerry Stifliin – toto příjmení má v sobě tři „ays“, k tomu se dostaneme za vteřinu – Ralph Argen, Jerome Ponicki a John Pace. Na tomto seznamu je zajímavé, že uvedená jména jsou naprosto náhodná a všechna podléhají stejnému vzoru. Pokud si to spočítáte, pak nebudete mít potíže s identifikací skutečného jména, protože se od náhodně vybraných jmen něčím charakteristickým liší, v tomto případě třemi písmeny „i“. Stayfliin tedy zjevně není náhodné jméno a je snadné uhodnout, tato osoba je vaším cílem. Je to velmi, velmi jednoduché.
Třetí otázka: „ve kterém z uvedených měst jste nikdy nebydleli nebo nikdy nepoužili toto město ve své adrese?“ — Longmont, Severní Hollywood, Janov nebo Butte? Kolem Washingtonu DC máme tři hustě obydlené oblasti, takže zřejmou odpovědí je Severní Hollywood.
Existuje několik věcí, na které musíte být opatrní při online registraci Sprint. Jak jsem již řekl, můžete být vážně zraněni, pokud se útočníkovi podaří změnit dodací adresu pro nákupy ve vašich platebních údajích. Opravdu děsivé je, že máme službu Mobile Locator.
S ním můžete sledovat pohyb svých zaměstnanců, jak lidé používají mobilní telefony a GPS, a na mapě vidíte, kde se nacházejí. V tomto procesu se tedy dějí další docela zajímavé věci.
Jak víte, při resetování hesla má e-mailová adresa přednost před jinými metodami ověřování uživatelů a bezpečnostními otázkami. Následující snímek ukazuje mnoho služeb, které nabízejí uvedení vaší e-mailové adresy, pokud má uživatel potíže s přihlášením ke svému účtu.
Víme, že většina lidí používá e-mail a má e-mailový účet. Najednou lidé chtěli najít způsob, jak na tom vydělat. Vždy zjistíte emailovou adresu oběti, zadáte ji do formuláře a budete mít možnost resetovat heslo k účtu, se kterým chcete manipulovat. Ty pak použijete ve své síti a tato schránka se stane vaším zlatým trezorem, hlavním místem, odkud můžete ukrást všechny ostatní účty obětí. Obdržíte pouze jednu poštovní schránku a získáte celé předplatné oběti. Přestaň se usmívat, tohle je vážné!
Následující snímek ukazuje, kolik milionů lidí používá odpovídající e-mailové služby. Lidé aktivně používají Gmail, Yahoo Mail, Hotmail, AOL Mail, ale nemusíte být super hacker, abyste převzali jejich účty, můžete mít čisté ruce pomocí outsourcingu. Vždy můžete říct, že to s tím nemá nic společného, nic takového jste neudělali.
Online služba „Password Recovery“ tedy sídlí v Číně, kde za ně platíte za hacknutí „vašeho“ účtu. Za 300 juanů, což je asi 43 dolarů, se můžete pokusit resetovat heslo cizí poštovní schránky s 85% úspěšností. Za 200 juanů nebo 29 dolarů budete mít 90% úspěšnost při resetování hesla k poštovní schránce domácí e-mailové služby. Nabourat se do poštovní schránky jakékoli společnosti stojí tisíc juanů neboli 143 dolarů, ale úspěch není zaručen. Můžete také outsourcovat služby prolomení hesel pro 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN atd.
Konference BLACK HAT USA. Zbohatněte nebo zemřete: vydělávejte peníze online pomocí metod Black Hat. Část 2 (odkaz bude k dispozici zítra)
Nějaké inzeráty 🙂
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, , 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com