Førende: mine damer og herrer, denne tale er meget sjov og meget interessant, i dag skal vi tale om virkelige ting, der observeres på internettet. Denne samtale er lidt anderledes end dem, vi er vant til ved Black Hat-konferencer, fordi vi kommer til at tale om, hvordan angribere tjener penge på deres angreb.
Vi viser dig nogle interessante angreb, der kan give overskud, og fortæller dig om de angreb, der faktisk fandt sted den aften, hvor vi gik over Jägermeister og brainstormede. Det var sjovt, men da vi blev ædru, talte vi med SEO-folkene og lærte faktisk, at mange mennesker tjener penge på disse angreb.
Jeg er bare en hjerneløs mellemleder, så jeg vil opgive min plads og præsentere dig for Jeremy og Trey, som er meget klogere end mig. Jeg burde have en smart og sjov introduktion, men det har jeg ikke, så jeg viser disse slides i stedet for.
Slides, der viser Jeremy Grossman og Trey Ford, vises på skærmen.
Jeremy Grossman er grundlægger og teknologichef for WhiteHat Security, udnævnt til en af de 2007 bedste CTO'er af InfoWorld i 25, medstifter af Web Application Security Consortium og medforfatter af cross-site scripting-angreb.
Trey Ford er Director of Architectural Solutions hos WhiteHat Security, som har 6 års erfaring som sikkerhedskonsulent for Fortune 500 virksomheder og en af udviklerne af PCI DSS betalingskort datasikkerhedsstandard.
Jeg synes, at disse billeder kompenserer for min mangel på humor. Under alle omstændigheder håber jeg, at du nyder deres præsentation og derefter forstår, hvordan disse angreb bruges på internettet til at tjene penge.
Jeremy Grossman: God eftermiddag, tak til alle, fordi I kom. Dette bliver en meget sjov samtale, selvom du ikke vil se zero-day angreb eller fede nye teknologier. Vi vil bare prøve at gøre det underholdende og tale om de virkelige ting, der sker hver dag, og som gør det muligt for skurke at tjene mange penge.
Vi forsøger ikke at imponere dig med, hvad der vises på denne slide, men blot forklare, hvad vores virksomhed gør. Så White Hat Sentinel eller "Guardian White Hat" er:
- ubegrænset antal vurderinger – kontrol og ekspertstyring af klientwebsteder, evnen til at scanne websteder uanset deres størrelse og hyppighed af ændringer;
- bredt dækningsområde - autoriseret scanning af websteder for at opdage tekniske sårbarheder og brugertest for at identificere logiske fejl i afdækkede forretningsområder;
- eliminering af falske positiver – vores operationelle team gennemgår resultaterne og tildeler den passende alvorligheds- og trusselsvurdering;
- udvikling og kvalitetskontrol - WhiteHat Satellite Appliance-systemet giver os mulighed for at fjernservicere klientsystemer gennem adgang til det interne netværk;
- forbedring og forbedring - realistisk scanning giver dig mulighed for hurtigt og effektivt at opdatere systemet.
Så vi reviderer alle websteder i verden, vi har det største hold af webapplikations-pentestere, vi laver 600-700 vurderingstests hver uge, og alle de data, du vil se i denne præsentation, kommer fra vores erfaring med denne type arbejde .
På næste slide ser du de 10 mest almindelige typer angreb på globale websteder. Dette viser procentdelen af sårbarhed over for visse angreb. Som du kan se, er 65 % af alle websteder sårbare over for cross-site scripting, 40 % tillader informationslækage, og 23 % er sårbare over for indholdsspoofing. Ud over cross-site scripting er SQL-injektioner og den berygtede cross-site anmodningsforfalskning, som ikke er inkluderet i vores top ti, almindelige. Men denne liste indeholder angreb med esoteriske navne, som beskrives ved hjælp af et vagt sprog, og hvis specificitet er, at de er rettet mod visse virksomheder.
Disse er autentificeringsfejl, godkendelsesprocesfejl, informationslækker og så videre.
Det næste slide taler om angreb på forretningslogik. QA-teams involveret i kvalitetssikring er normalt ikke opmærksomme på dem. De tester, hvad softwaren skal gøre, ikke hvad den kan, og så kan du se, hvad du vil. Scannere, alle disse hvide/sorte/grå bokse, alle disse flerfarvede bokse er ikke i stand til at opdage disse ting i de fleste tilfælde, fordi de simpelthen er fikseret på konteksten af, hvad angrebet kunne være, eller hvad der sker på samme måde, når det sker. De mangler intelligens og ved ikke, om noget overhovedet virkede eller ej.
Det samme gælder IDS- og WAF-applikationsfirewalls, som heller ikke kan opdage forretningslogiske fejl, fordi HTTP-anmodninger ser helt normale ud. Vi vil vise dig, at angreb relateret til forretningslogiske fejl opstår helt naturligt, der er ingen hackere, ingen metakarakterer eller andre mærkværdigheder, de ligner naturligt forekommende processer. Det vigtigste er, at de onde elsker disse ting, fordi fejlene i forretningslogikken giver dem penge. De bruger XSS, SQL, CSRF, men disse typer angreb bliver stadig sværere at udføre, og vi har set, at de er faldet over de sidste 3-5 år. Men de forsvinder ikke af sig selv, ligesom bufferoverløb ikke forsvinder. Men de onde tænker på, hvordan de kan bruge mere sofistikerede angreb, fordi de tror, at de "rigtige onde" altid søger at tjene penge på deres angreb.
Jeg vil gerne vise dig rigtige tricks, som du kan tage ombord og bruge dem på den rigtige måde for at beskytte din virksomhed. Et andet formål med vores oplæg er, at du måske undrer dig over etik.
Online afstemninger og afstemning
Så for at begynde vores diskussion af manglerne ved forretningslogik, lad os tale om online undersøgelser. Online meningsmålinger er den mest almindelige måde at finde ud af eller påvirke den offentlige mening. Vi starter med et overskud på $0 og ser derefter på resultatet af 5, 6, 7 måneders svigagtige ordninger. Lad os starte med at lave en meget, meget simpel undersøgelse. Du ved, at hver ny hjemmeside, hver blog, hver nyhedsportal udfører online undersøgelser. Når det er sagt, er ingen niche for stor eller for snæver, men vi ønsker at se den offentlige mening på specifikke områder.
Jeg vil gerne henlede din opmærksomhed på en undersøgelse udført i Austin, Texas. Fordi en Austin-beagle vandt Westminster Dog Show, besluttede Austin American Statesman at gennemføre en online Austin's Best in Show-afstemning for Central Texas-hundeejere. Tusindvis af ejere indsendte billeder og stemte på deres favoritter. Som så mange andre undersøgelser var der ingen anden præmie end at prale af dit kæledyr.
En Web 2.0-systemapplikation blev brugt til at stemme. Du klikkede "ja", hvis du kunne lide hunden og fandt ud af, om det var den bedste hund i racen eller ej. Så du stemte på flere hundrede hunde, der blev lagt ud på siden som kandidater til vinderen af udstillingen.
Med denne afstemningsmetode var 3 typer snyd mulige. Den første er den endeløse afstemning, hvor man stemmer på den samme hund igen og igen. Det er meget enkelt. Den anden metode er negativ multiple voting, hvor man stemmer enormt mange gange mod en konkurrerende hund. Den tredje måde var, at du bogstaveligt talt i sidste øjeblik af konkurrencen placerede en ny hund, stemte på den, så muligheden for at modtage negative stemmer var minimal, og du vandt ved at modtage 100 % positive stemmer.
Desuden blev sejren bestemt som en procentdel, og ikke af det samlede antal stemmer, det vil sige, du kunne ikke bestemme, hvilken hund der fik det maksimale antal positive vurderinger, kun procentdelen af positive og negative vurderinger for en bestemt hund blev beregnet . Hunden med det bedste positive/negative scoreforhold vandt.
Kollega Robert "RSnake" Hansens ven bad ham hjælpe hende Chihuahua Tiny med at vinde en konkurrence. Du kender Robert, han er fra Austin. Han, som en super hacker, fiksede Burp-proxyen og fulgte den mindste modstands vej. Han brugte snydeteknik #1, kørte den gennem en Burp-løkke med flere hundrede eller tusinde anmodninger, og dette bragte hunden 2000 upvotes og bragte ham til 1. pladsen.
Dernæst brugte han snydeteknik nr. 2 mod Tinys konkurrent, med tilnavnet Chuchu. I de sidste minutter af konkurrencen afgav han 450 stemmer mod Chuchu, hvilket yderligere styrkede Tinys position på 1. pladsen med et stemmeforhold på mere end 2:1, men i forhold til procentdelen af positive og negative anmeldelser tabte Tiny alligevel. På dette dias ser du det nye ansigt af en cyberkriminel, modløs af dette resultat.
Ja, det var et interessant scenarie, men jeg tror, at min ven ikke kunne lide denne forestilling. Du ville bare vinde Chihuahua-konkurrencen i Austin, men der var nogen, der forsøgte at hacke dig og gøre det samme. Nå, nu vender jeg opkaldet til Trey.
At skabe kunstig efterspørgsel og tjene penge på det
Trey Ford: Begrebet "kunstig DoS" refererer til flere forskellige interessante scenarier, når vi køber billetter online. For eksempel ved reservation af et særligt sæde på en flyvning. Dette kan gælde enhver form for billet, såsom en sportsbegivenhed eller en koncert.
For at forhindre gentagne køb af knappe genstande såsom flysæder, fysiske genstande, brugernavne osv. låser applikationen varen i en vis periode for at forhindre konflikter. Og her kommer sårbarheden i forbindelse med muligheden for at reservere noget på forhånd.
Vi kender alle til timeout, vi kender alle til at afslutte sessionen. Men denne særlige logiske fejl giver os mulighed for at vælge et sæde på en flyvning og derefter vende tilbage for at foretage valget igen uden at betale noget. Mange af jer tager sikkert ofte på forretningsrejser, men for mig er det en væsentlig del af jobbet. Vi har testet denne algoritme mange steder: du vælger en flyafgang, vælger et sæde, og først når du er klar, indtaster du dine betalingsoplysninger. Det vil sige, at efter du har valgt en plads, er den reserveret til dig i en vis periode – fra flere minutter til flere timer, og i denne tid kan ingen andre booke denne plads. På grund af denne venteperiode har du en reel mulighed for at reservere alle pladserne på flyet ved blot at vende tilbage til hjemmesiden og bestille de sæder, du ønsker.
Således vises en DoS-angrebsmulighed: gentag automatisk denne cyklus for hvert sæde i flyet.
Vi har testet dette på mindst to store flyselskaber. Du kan finde den samme sårbarhed med enhver anden booking. Dette er en fantastisk mulighed for at hæve priserne på dine billetter for dem, der ønsker at videresælge dem. For at gøre dette skal spekulanter blot bestille de resterende billetter uden nogen risiko for pengetab. På denne måde kan du "crash" e-handel, der sælger produkter med høj efterspørgsel - videospil, spillekonsoller, iPhones og så videre. Det vil sige, at den eksisterende fejl i online booking- eller reservationssystemet tillader en angriber at tjene penge på det eller forårsage skade på konkurrenter.
Captcha-dekryptering
Jeremy Grossman: Lad os nu tale om captcha. Alle kender de irriterende billeder, der ligger på internettet og bruges til at bekæmpe spam. Potentielt kan du også tjene penge på captcha. Captcha er en fuldautomatisk Turing-test, der giver dig mulighed for at skelne en rigtig person fra en bot. Jeg opdagede en masse interessante ting, mens jeg undersøgte brugen af captcha.
Captcha blev første gang brugt omkring 2000-2001. Spammere ønsker at fjerne captchaen for at registrere sig til gratis e-mail-tjenester Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook osv. og sende spam. Da captcha bruges ret meget, er der dukket et helt marked af tjenester op, der tilbyder at omgå den allestedsnærværende captcha. I sidste ende giver dette profit - et eksempel ville være at sende spam. Der er 3 måder at omgå captchaen på, lad os se på dem.
Den første er fejlene i implementeringen af ideen eller mangler i brugen af captcha.
Således indeholder svarene på spørgsmål for lidt entropi, såsom "skriv hvad 4+1 er lig med." De samme spørgsmål kan gentages mange gange, og rækken af mulige svar er ret lille.
Effektiviteten af captcha kontrolleres på denne måde:
- testen skal udføres under forhold, hvor personen og serveren er fjernt fra hinanden,
testen bør ikke være vanskelig for den enkelte; - spørgsmålet skal være sådan, at en person kan besvare det inden for få sekunder,
Kun den, som spørgsmålet stilles til, skal svare; - at besvare spørgsmålet må være svært for computeren;
- viden om tidligere spørgsmål, svar eller deres kombination bør ikke påvirke forudsigeligheden af den næste test;
- testen må ikke diskriminere mod personer med syns- eller hørehandicap;
- testen må ikke være geografisk, kulturelt eller sprogligt forudindtaget.
Som det viser sig, er det ret svært at oprette en "korrekt" captcha.
Den anden ulempe ved captcha er muligheden for at bruge OCR optisk tegngenkendelse. Et stykke kode er i stand til at læse et captcha-billede, uanset hvor meget visuel støj det indeholder, se hvilke bogstaver eller tal der danner det og automatisere genkendelsesprocessen. Forskning har vist, at de fleste captchas nemt kan knækkes.
Jeg vil give citater fra specialister fra School of Computer Science ved University of Newcastle, UK. De taler om letheden ved at knække Microsoft captchaen: "vores angreb var i stand til at opnå en segmenteringssuccesrate på 92%, hvilket indebærer, at MSN captcha-skemaet kan knækkes i 60% af tilfældene ved at segmentere billedet og derefter genkende det. ” At knække Yahoos captcha var lige så let: “vores andet angreb opnåede en segmenteringssucces på 33,4 %. Således kan omkring 25,9% af captchas knækkes. Vores forskning tyder på, at spammere aldrig bør bruge billig menneskelig arbejdskraft til at omgå Yahoos captcha, men snarere stole på et billigt automatiseret angreb."
Den tredje metode til at omgå captcha kaldes "Mechanical Turk" eller "Turk". Vi testede det mod Yahoos captcha umiddelbart efter offentliggørelsen, og den dag i dag ved vi ikke, og ingen ved, hvordan vi beskytter mod et sådant angreb.
Dette er tilfældet, hvor du har en dårlig fyr, der vil køre et "voksen" websted eller et onlinespil, hvorfra brugere anmoder om noget indhold. Inden de kan se det næste billede, vil webstedet, hackeren ejer, lave en back-end-anmodning til et online-system, du er bekendt med, f.eks. Yahoo eller Google, gribe captchaen derfra og sende den til brugeren. Og så snart brugeren besvarer spørgsmålet, vil hackeren sende den gættede captcha til målstedet og vise brugeren det ønskede billede fra hans websted. Hvis du har en meget populær side med en masse interessant indhold, kan du mobilisere en hel hær af mennesker, som automatisk vil udfylde andres captchas for dig. Dette er en meget stærk ting.
Men ikke kun folk forsøger at omgå captchas; virksomheder bruger også denne teknik. Robert "RSnake" Hansen talte engang på sin blog med en rumænsk "captcha solver", som sagde, at han kunne løse fra 300 til 500 captchas i timen med en hastighed på 9 til 15 dollars pr. tusinde løste captchas.
Han siger direkte, at hans teammedlemmer arbejder 12 timer om dagen og løser omkring 4800 captchas i løbet af denne tid, og afhængigt af hvor svære captchaerne er, kan de modtage op til $50 om dagen for deres arbejde. Dette var et interessant indlæg, men endnu mere interessant er de kommentarer, som blogbrugere efterlod under dette indlæg. Der dukkede straks en besked op fra Vietnam, hvor en vis Quang Hung rapporterede om sin gruppe på 20 personer, som gik med til at arbejde for $4 per 1000 gættede captchas.
Den næste besked var fra Bangladesh: “Hej! Håber du er okay! Vi er en førende forarbejdningsvirksomhed fra Bangladesh. I øjeblikket er vores 30 operatører i stand til at løse mere end 100000 captchas om dagen. Vi tilbyder fremragende forhold og en lav pris - $2 for 1000 gættede captchas fra Yahoo, Hotmail, Mayspace, Gmail, Facebook osv. websteder. Vi ser frem til yderligere samarbejde."
En anden interessant besked blev sendt af en vis Babu: "Jeg er interesseret i dette arbejde, ring venligst til mig på telefonen."
Så det er ret interessant. Vi kan diskutere, hvor lovlig eller ulovlig denne aktivitet er, men faktum er, at folk rent faktisk tjener penge på det.
Få adgang til andres konti
Trey Ford: Det næste scenarie, vi vil tale om, er at tjene penge ved at overtage en andens konto.
Alle glemmer adgangskoder, og til applikationssikkerhedstest repræsenterer nulstilling af adgangskoder og online registrering to forskellige, fokuserede forretningsprocesser. Der er en stor kløft mellem, hvor let det er at nulstille din adgangskode, og det lette at tilmelde dig, så du bør stræbe efter at gøre processen til nulstilling af adgangskode så enkel som muligt. Men hvis vi forsøger at forenkle det, opstår der et problem, fordi jo nemmere det er at nulstille en adgangskode, jo mindre sikker er den.
En af de mest højprofilerede sager involverede online registrering ved hjælp af Sprints brugerverifikationstjeneste. To White Hat-teammedlemmer brugte Sprint til online registrering. Der er et par ting, du skal bekræfte for at bevise, at du er dig, begyndende med noget så simpelt som dit mobiltelefonnummer. Du har brug for onlineregistrering til ting som at administrere din bankkonto, betale for tjenester og så videre. At købe telefoner er meget praktisk, hvis du kan gøre det fra en andens konto og derefter foretage køb og gøre meget mere. En af fidusmulighederne er at ændre betalingsadressen, bestille levering af en hel masse mobiltelefoner til din adresse, og offeret vil blive tvunget til at betale for dem. Stalkende galninger drømmer også om denne mulighed: at tilføje GPS-sporingsfunktionalitet til deres ofres telefoner og spore hver deres bevægelse fra enhver computer.
Så Sprint tilbyder nogle af de enkleste spørgsmål til at bekræfte din identitet. Som vi ved, kan sikkerheden sikres enten ved en meget bred vifte af entropi eller ved højt specialiserede problemer. Jeg vil læse dig en del af Sprint-registreringsprocessen, fordi entropien er meget lav. For eksempel er der et spørgsmål: "vælg et bilmærke, der er registreret på følgende adresse," og mærkemulighederne er Lotus, Honda, Lamborghini, Fiat og "ingen af ovenstående." Fortæl mig, hvem af jer har noget af ovenstående? Som du kan se, er dette udfordrende puslespil bare en fantastisk mulighed for en universitetsstuderende at få billige telefoner.
Andet spørgsmål: "Hvem af følgende personer bor hos dig eller bor på nedenstående adresse"? Det er meget nemt at besvare dette spørgsmål, selvom du slet ikke kender denne person. Jerry Stifliin - dette efternavn har tre "ays" i sig, vi kommer til det om et sekund - Ralph Argen, Jerome Ponicki og John Pace. Det interessante ved denne liste er, at de angivne navne er helt tilfældige, og de er alle underlagt det samme mønster. Hvis du beregner det, vil du ikke have nogen problemer med at identificere det rigtige navn, fordi det adskiller sig fra de tilfældigt udvalgte navne i noget karakteristisk, i dette tilfælde de tre bogstaver "i". Stayfliin er således tydeligvis ikke et tilfældigt navn, og det er nemt at gætte, denne person er dit mål. Det er meget, meget enkelt.
Det tredje spørgsmål: "i hvilken af de nævnte byer har du aldrig boet eller aldrig brugt denne by i din adresse?" — Longmont, North Hollywood, Genova eller Butte? Vi har tre tætbefolkede områder omkring Washington DC, så det åbenlyse svar er North Hollywood.
Der er et par ting, du skal være forsigtig med med Sprint online registrering. Som jeg sagde før, kan du blive alvorligt såret, hvis en angriber er i stand til at ændre leveringsadressen for køb i dine betalingsoplysninger. Det, der virkelig er skræmmende, er, at vi har en Mobile Locator-tjeneste.
Med den kan du spore dine medarbejderes bevægelser, da folk bruger mobiltelefoner og GPS, og du kan se på kortet, hvor de befinder sig. Så der er nogle andre ret interessante ting, der sker i denne proces.
Som du ved, når du nulstiller en adgangskode, har e-mailadressen forrang over andre metoder til brugerbekræftelse og sikkerhedsspørgsmål. Det næste slide viser mange tjenester, der tilbyder at angive din e-mailadresse, hvis brugeren har svært ved at logge ind på sin konto.
Vi ved, at de fleste bruger e-mail og har en e-mail-konto. Pludselig ville folk finde en måde at tjene penge på det. Du vil altid finde ud af offerets e-mailadresse, indtaste den i formularen, og du vil have mulighed for at nulstille adgangskoden til den konto, du vil manipulere. Du bruger det så på dit netværk, og den postkasse bliver din gyldne hvælving, det vigtigste sted, hvorfra du kan stjæle alle ofrets andre konti. Du modtager hele offerets abonnement ved at tage kun én postkasse i besiddelse. Stop med at smile, det her er alvorligt!
Det næste dias viser, hvor mange millioner mennesker der bruger de tilsvarende e-mail-tjenester. Folk bruger aktivt Gmail, Yahoo Mail, Hotmail, AOL Mail, men du behøver ikke at være en super hacker for at overtage deres konti, du kan holde dine hænder rene ved at outsource. Du kan altid sige, at det ikke har noget med det at gøre, du har ikke gjort sådan noget.
Så onlinetjenesten "Password Recovery" er baseret i Kina, hvor du betaler for, at de hacker "din" konto. For 300 yuan, hvilket er omkring $43, kan du prøve at nulstille en udenlandsk postkasseadgangskode med en succesrate på 85%. For 200 yuan, eller $29, vil du have 90 % succes med at nulstille adgangskoden til din hjemmemail-tjenestepostkasse. Det koster tusind yuan, eller $143, at hacke sig ind i enhver virksomheds postkasse, men succes er ikke garanteret. Du kan også outsource adgangskodeknækningstjenester til 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN osv.
Konference BLACK HAT USA. Bliv rig eller dø: Tjen penge online ved hjælp af Black Hat-metoder. Del 2 (link vil være tilgængeligt i morgen)
Nogle annoncer 🙂
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, , 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com