Moderador: señoras y señores esta charla es muy divertida y muy interesante, hoy vamos a hablar de cosas reales que se observan en Internet. Esta conversación es un poco diferente a las que estamos acostumbrados a las conferencias Black Hat porque vamos a hablar sobre cómo los atacantes ganan dinero con sus ataques.
Le mostraremos algunos ataques interesantes que pueden generar ganancias y le contaremos sobre los ataques que realmente tuvieron lugar la noche que revisamos Jägermeister e hicimos una lluvia de ideas. Fue divertido, pero cuando nos recuperamos un poco, hablamos con la gente de SEO y de hecho descubrimos que mucha gente está ganando dinero con estos ataques.
Solo soy un gerente intermedio estúpido, así que cederé mi asiento y les presentaré a Jeremy y Trey, que son mucho más inteligentes que yo. Debería tener una introducción inteligente y divertida, pero no la tengo, así que en su lugar mostraré estas diapositivas.
En la pantalla se muestran diapositivas que muestran a Jeremy Grossman y Trey Ford.
Jeremy Grossman es el fundador y director de tecnología de WhiteHat Security, nombrado uno de los 2007 principales CTO por InfoWorld en 25, cofundador del Web Application Security Consortium y coautor de ataques de secuencias de comandos entre sitios.
Trey Ford es el Director de Soluciones Arquitectónicas de WhiteHat Security, tiene 6 años de experiencia como consultor de seguridad para empresas Fortune 500 y uno de los desarrolladores del estándar de seguridad de datos de tarjetas de pago PCI DSS.
Creo que estas imágenes compensan mi falta de humor. En cualquier caso, espero que disfrutes su presentación y luego entiendas cómo se utilizan estos ataques en Internet para ganar dinero.
Jeremy Grossman: Buenas tardes, gracias a todos por venir. Esta será una conversación muy divertida, aunque no verás ataques de día cero ni nuevas tecnologías interesantes. Intentaremos hacerlo entretenido y hablar sobre las cosas reales que suceden todos los días y que permiten a los malos ganar mucho dinero.
No intentamos impresionarlo con lo que se muestra en esta diapositiva, sino simplemente explicarle lo que hace nuestra empresa. Entonces, White Hat Sentinel o “Guardian White Hat” es:
- número ilimitado de evaluaciones: control y gestión experta de los sitios de los clientes, capacidad de escanear sitios independientemente de su tamaño y frecuencia de cambios;
- amplio alcance de cobertura: escaneo autorizado de sitios para detectar vulnerabilidades técnicas y pruebas de usuarios para identificar errores lógicos en áreas comerciales descubiertas;
- eliminar falsos positivos: nuestro equipo operativo revisa los resultados y asigna la clasificación de gravedad y amenaza adecuada;
- desarrollo y control de calidad: el sistema WhiteHat Satellite Appliance nos permite dar servicio de forma remota a los sistemas de los clientes a través del acceso a la red interna;
- mejora y mejora: el escaneo realista le permite actualizar el sistema de manera rápida y eficiente.
Por lo tanto, auditamos todos los sitios del mundo, tenemos el equipo más grande de pentesters de aplicaciones web, realizamos entre 600 y 700 pruebas de evaluación cada semana y todos los datos que verá en esta presentación provienen de nuestra experiencia en este tipo de trabajo. .
En la siguiente diapositiva verá los 10 tipos de ataques más comunes en sitios web globales. Esto muestra el porcentaje de vulnerabilidad a ciertos ataques. Como puede ver, el 65% de todos los sitios son vulnerables a secuencias de comandos entre sitios, el 40% permiten la fuga de información y el 23% son vulnerables a la suplantación de contenido. Además de las secuencias de comandos entre sitios, son comunes las inyecciones de SQL y la notoria falsificación de solicitudes entre sitios, que no está incluida en nuestro top ten. Pero esta lista contiene ataques con nombres esotéricos, que se describen en un lenguaje vago y cuya especificidad es que están dirigidos contra determinadas empresas.
Se trata de fallos de autenticación, fallos en el proceso de autorización, fugas de información, etc.
La siguiente diapositiva habla de ataques a la lógica empresarial. Los equipos de control de calidad involucrados en el aseguramiento de la calidad generalmente no les prestan atención. Prueban lo que debería hacer el software, no lo que puede hacer, y luego puedes ver lo que quieras. Los escáneres, todos estos cuadros blancos/negros/grises, todos estos cuadros multicolores no son capaces de detectar estas cosas en la mayoría de los casos, porque simplemente están obsesionados con el contexto de lo que podría ser el ataque o lo que sucede similar cuando sucede. Carecen de inteligencia y no saben si algo funcionó o no.
Lo mismo ocurre con los firewalls de aplicaciones IDS y WAF, que tampoco detectan fallas en la lógica empresarial porque las solicitudes HTTP parecen completamente normales. Le mostraremos que los ataques relacionados con fallas en la lógica de negocios surgen de manera completamente natural, no hay piratas informáticos, metacaracteres u otras rarezas, parecen procesos que ocurren naturalmente. Lo principal es que a los malos les encantan estas cosas porque las fallas en la lógica empresarial les hacen ganar dinero. Usan XSS, SQL, CSRF, pero este tipo de ataques son cada vez más difíciles de realizar, y hemos visto que han disminuido en los últimos 3-5 años. Pero no desaparecerán por sí solos, del mismo modo que el desbordamiento del buffer no desaparecerá. Sin embargo, los malos están pensando en cómo utilizar ataques más sofisticados porque creen que los "verdaderos malos" siempre buscan ganar dinero con sus ataques.
Quiero mostrarte trucos reales que puedes adoptar y utilizar de la manera correcta para proteger tu negocio. Otro propósito de nuestra presentación es que quizás te estés preguntando sobre la ética.
Encuestas y votaciones en línea
Entonces, para comenzar nuestra discusión sobre las deficiencias de la lógica empresarial, hablemos de las encuestas en línea. Las encuestas en línea son la forma más común de conocer o influir en la opinión pública. Comenzaremos con una ganancia de $0 y luego veremos el resultado de 5, 6, 7 meses de esquemas fraudulentos. Empecemos haciendo una encuesta muy, muy sencilla. Usted sabe que cada nuevo sitio web, cada blog, cada portal de noticias realiza encuestas en línea. Dicho esto, ningún nicho es demasiado grande o demasiado estrecho, pero queremos ver la opinión pública en áreas específicas.
Me gustaría llamar su atención sobre una encuesta realizada en Austin, Texas. Debido a que un beagle de Austin ganó la Exposición Canina de Westminster, el Austin American Statesman decidió realizar una encuesta en línea sobre los Best in Show de Austin para los dueños de perros del centro de Texas. Miles de propietarios enviaron fotografías y votaron por sus favoritas. Como tantas otras encuestas, no hubo más premio que el derecho a presumir para su mascota.
Para la votación se utilizó una aplicación del sistema Web 2.0. Hiciste clic en "sí" si te gustaba el perro y averiguaste si era el mejor perro de la raza o no. Entonces votó por varios cientos de perros publicados en el sitio como candidatos para el ganador del espectáculo.
Con este método de votación eran posibles 3 tipos de trampas. La primera es la votación sin fin, en la que se vota por el mismo perro una y otra vez. Es muy sencillo. El segundo método es la votación múltiple negativa, en la que se vota una gran cantidad de veces contra un perro competidor. La tercera forma era que, literalmente en el último minuto de la competencia, colocabas un nuevo perro, votabas por él, de modo que la posibilidad de recibir votos negativos fuera mínima, y ganabas al recibir el 100% de votos positivos.
Además, la victoria se determinó como un porcentaje, y no por el número total de votos, es decir, no se pudo determinar qué perro recibió el número máximo de calificaciones positivas, solo se calculó el porcentaje de calificaciones positivas y negativas para un perro en particular. . Ganó el perro con la mejor relación de puntuación positiva/negativa.
El amigo de su colega Robert "RSnake" Hansen le pidió que ayudara a su chihuahua Tiny a ganar un concurso. Ya conoces a Robert, es de Austin. Él, como un súper hacker, arregló el proxy Burp y siguió el camino de menor resistencia. Utilizó la técnica de trampa número 1, ejecutándola a través de un bucle Burp de varios cientos o miles de solicitudes, y esto le dio al perro 2000 votos a favor y lo llevó al 1er lugar.
Luego, utilizó la técnica de trampa número 2 contra el competidor de Tiny, apodado Chuchu. En los últimos minutos de la competencia, emitió 450 votos contra Chuchu, lo que fortaleció aún más la posición de Tiny en el 1er lugar con una proporción de votos de más de 2:1, pero en términos del porcentaje de críticas positivas y negativas, Tiny aún así perdió. En esta diapositiva se ve la nueva cara de un cibercriminal, desanimado por este resultado.
Sí, fue un escenario interesante, pero creo que a mi amigo no le gustó esta actuación. Solo querías ganar la competencia de Chihuahua en Austin, pero hubo alguien que intentó hackearte y hacer lo mismo. Bueno, ahora le paso la palabra a Trey.
Crear demanda artificial y ganar dinero con ella.
Trey Ford: El concepto de "DoS artificial" se refiere a varios escenarios diferentes e interesantes cuando compramos billetes online. Por ejemplo, al reservar un asiento especial en un vuelo. Esto puede aplicarse a cualquier tipo de entrada, como un evento deportivo o un concierto.
Para evitar compras repetidas de artículos escasos como asientos de avión, artículos físicos, nombres de usuario, etc., la aplicación bloquea el artículo durante un cierto período de tiempo para evitar conflictos. Y aquí viene la vulnerabilidad asociada a la posibilidad de reservar algo con antelación.
Todos sabemos sobre el tiempo de espera, todos sabemos cómo finalizar la sesión. Pero este particular fallo lógico nos permite seleccionar un asiento en un vuelo y luego volver a realizar la selección de nuevo sin pagar nada. Seguramente muchos de vosotros vais a menudo en viajes de negocios, pero para mí esto es una parte imprescindible del trabajo. Hemos probado este algoritmo en muchos lugares: usted selecciona un vuelo, elige un asiento y solo cuando esté listo ingresa su información de pago. Es decir, después de haber elegido un lugar, se le reserva por un período de tiempo determinado, desde varios minutos hasta varias horas, y durante este tiempo nadie más puede reservar este lugar. Debido a este período de espera, tienes una oportunidad real de reservar todos los asientos del avión simplemente regresando al sitio web y reservando los asientos que desees.
Aparece así una opción de ataque DoS: repetir automáticamente este ciclo para cada asiento del avión.
Hemos probado esto en al menos dos aerolíneas importantes. Puedes encontrar la misma vulnerabilidad con cualquier otra reserva. Esta es una gran oportunidad para subir los precios de tus entradas para aquellos que quieran revenderlas. Para ello, los especuladores simplemente necesitan reservar los billetes restantes sin ningún riesgo de pérdida monetaria. De esta manera, puede "colapsar" el comercio electrónico que vende productos de alta demanda: videojuegos, consolas de juegos, iPhones, etc. Es decir, la falla existente en el sistema de reservas o reservas online permite a un atacante ganar dinero con él o causar daños a los competidores.
descifrado captcha
Jeremy Grossman: Ahora hablemos de captcha. Todo el mundo conoce esas molestas imágenes que abundan en Internet y que se utilizan para combatir el spam. Potencialmente, también puedes obtener ganancias del captcha. Captcha es una prueba de Turing totalmente automatizada que permite distinguir a una persona real de un bot. Descubrí muchas cosas interesantes mientras investigaba el uso de captcha.
Captcha se utilizó por primera vez alrededor de 2000-2001. Los spammers quieren eliminar el captcha para registrarse en los servicios de correo electrónico gratuitos Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. y enviar spam. Dado que el captcha se utiliza ampliamente, ha aparecido todo un mercado de servicios que ofrecen evitar el omnipresente captcha. En última instancia, esto genera ganancias; un ejemplo sería el envío de spam. Hay 3 formas de evitar el captcha, veámoslas.
La primera son las fallas en la implementación de la idea o las deficiencias en el uso del captcha.
Por lo tanto, las respuestas a preguntas contienen muy poca entropía, como “escribe a qué es igual 4+1”. Las mismas preguntas pueden repetirse muchas veces y el rango de posibles respuestas es bastante pequeño.
La eficacia del captcha se comprueba de esta forma:
- la prueba debe realizarse en condiciones en las que la persona y el servidor estén alejados entre sí,
la prueba no debería ser difícil para el individuo; - la pregunta debe ser tal que una persona pueda responderla en unos pocos segundos,
Sólo debe responder aquel a quien se le hace la pregunta; - responder la pregunta debe resultar difícil para la computadora;
- el conocimiento de preguntas y respuestas anteriores o su combinación no debe afectar la previsibilidad de la siguiente prueba;
- la prueba no debe discriminar a personas con discapacidad visual o auditiva;
- la prueba no debe estar sesgada geográfica, cultural o lingüísticamente.
Resulta que crear un captcha "correcto" es bastante difícil.
La segunda desventaja del captcha es la posibilidad de utilizar el reconocimiento óptico de caracteres OCR. Un fragmento de código es capaz de leer una imagen captcha sin importar cuánto ruido visual contenga, ver qué letras o números la forman y automatizar el proceso de reconocimiento. Las investigaciones han demostrado que la mayoría de los captchas se pueden descifrar fácilmente.
Daré citas de especialistas de la Facultad de Ciencias de la Computación de la Universidad de Newcastle, Reino Unido. Hablan de la facilidad para descifrar el captcha de Microsoft: “nuestro ataque logró una tasa de éxito de segmentación del 92%, lo que implica que el esquema de captcha de MSN se puede descifrar en el 60% de los casos segmentando la imagen y luego reconociéndola. " Descifrar el captcha de Yahoo fue igual de fácil: “nuestro segundo ataque logró un éxito de segmentación del 33,4%. Por tanto, alrededor del 25,9% de los captchas se pueden descifrar. Nuestra investigación sugiere que los spammers nunca deberían utilizar mano de obra humana barata para eludir el captcha de Yahoo, sino confiar en un ataque automatizado de bajo coste".
El tercer método para eludir el captcha se llama "Turco mecánico" o "Turco". Lo probamos con el captcha de Yahoo inmediatamente después de su publicación, y hasta el día de hoy no sabemos, ni nadie sabe, cómo protegernos contra tal ataque.
Este es el caso en el que tienes un tipo malo que administra un sitio "para adultos" o un juego en línea desde donde los usuarios solicitan algún contenido. Antes de que puedan ver la siguiente imagen, el sitio que posee el hacker realizará una solicitud de back-end a un sistema en línea con el que esté familiarizado, digamos Yahoo o Google, tomará el captcha de allí y se lo pasará al usuario. Y tan pronto como el usuario responda la pregunta, el hacker enviará el captcha adivinado al sitio de destino y le mostrará al usuario la imagen solicitada de su sitio. Si tiene un sitio muy popular con mucho contenido interesante, puede movilizar a todo un ejército de personas que automáticamente completarán los captchas de otras personas por usted. Esto es algo muy poderoso.
Sin embargo, no sólo las personas intentan eludir los captchas; las empresas también utilizan esta técnica. Robert “RSnake” Hansen habló una vez en su blog con un “solucionador de captchas” rumano que dijo que podía resolver de 300 a 500 captchas por hora a un precio de 9 a 15 dólares por cada mil captchas resueltos.
Dice directamente que los miembros de su equipo trabajan 12 horas al día, resolviendo alrededor de 4800 captchas durante este tiempo y, dependiendo de lo difíciles que sean los captchas, pueden recibir hasta 50 dólares al día por su trabajo. Esta fue una publicación interesante, pero aún más interesantes son los comentarios que los usuarios del blog dejaron debajo de esta publicación. Inmediatamente apareció un mensaje desde Vietnam, donde un tal Quang Hung informó sobre su grupo de 20 personas, que aceptaron trabajar por 4 dólares por cada 1000 captchas adivinados.
El siguiente mensaje era de Bangladesh: “¡Hola! ¡Espero que estés bien! Somos una empresa de procesamiento líder de Bangladesh. Actualmente, nuestros 30 operadores son capaces de resolver más de 100000 captchas al día. Ofrecemos excelentes condiciones y una tarifa baja: $2 por 1000 captchas adivinados de sitios de Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. Esperamos una mayor cooperación".
Otro mensaje interesante lo envió un tal Babu: “Estoy interesado en este trabajo, por favor llámame por teléfono”.
Entonces es bastante interesante. Podemos debatir qué tan legal o ilegal es esta actividad, pero el hecho es que la gente realmente gana dinero con ella.
Obtener acceso a las cuentas de otras personas
Trey Ford: El siguiente escenario del que hablaremos es ganar dinero haciéndonos cargo de la cuenta de otra persona.
Todo el mundo olvida las contraseñas y, para las pruebas de seguridad de las aplicaciones, el restablecimiento de contraseñas y el registro en línea representan dos procesos empresariales distintos y centrados. Existe una gran brecha entre la facilidad para restablecer su contraseña y la facilidad para registrarse, por lo que debe esforzarse por hacer que el proceso de restablecimiento de contraseña sea lo más simple posible. Pero si intentamos simplificarlo surge un problema porque cuanto más sencillo es restablecer una contraseña, menos segura es.
Uno de los casos más destacados involucró el registro en línea utilizando el servicio de verificación de usuarios de Sprint. Dos miembros del equipo White Hat utilizaron Sprint para registrarse en línea. Hay un par de cosas que debes confirmar para demostrar que eres tú, comenzando con algo tan simple como tu número de celular. Necesita registrarse en línea para cosas como administrar su cuenta bancaria, pagar servicios, etc. Comprar teléfonos es muy conveniente si puedes hacerlo desde la cuenta de otra persona y luego realizar compras y hacer mucho más. Una de las opciones de estafa es cambiar la dirección de pago, solicitar la entrega de un montón de teléfonos móviles a su dirección y la víctima se verá obligada a pagar por ellos. Los maníacos acosadores también sueñan con esta oportunidad: agregar la funcionalidad de rastreo GPS a los teléfonos de sus víctimas y rastrear cada uno de sus movimientos desde cualquier computadora.
Por eso, Sprint ofrece algunas de las preguntas más sencillas para verificar tu identidad. Como sabemos, la seguridad puede garantizarse mediante una gama muy amplia de entropía o mediante cuestiones altamente especializadas. Te leeré parte del proceso de registro del Sprint porque la entropía es muy baja. Por ejemplo, hay una pregunta: "seleccione una marca de automóvil registrada en la siguiente dirección" y las opciones de marca son Lotus, Honda, Lamborghini, Fiat y "ninguna de las anteriores". Díganme, ¿quién de ustedes tiene alguno de los anteriores? Como puede ver, este desafiante rompecabezas es simplemente una gran oportunidad para que un estudiante universitario obtenga teléfonos baratos.
Segunda pregunta: “¿Cuál de las siguientes personas vive con usted o vive en la dirección que figura a continuación”? Es muy fácil responder a esta pregunta, incluso si no conoces a esta persona en absoluto. Jerry Stifliin: este apellido tiene tres "ay", llegaremos a eso en un segundo: Ralph Argen, Jerome Ponicki y John Pace. Lo interesante de esta lista es que los nombres dados son absolutamente aleatorios y todos están sujetos al mismo patrón. Si lo calcula, no tendrá ninguna dificultad para identificar el nombre real, porque se diferencia de los nombres seleccionados al azar en algo característico, en este caso las tres letras “i”. Por lo tanto, Stayfliin claramente no es un nombre aleatorio y es fácil adivinar que esta persona es su objetivo. Es muy, muy simple.
La tercera pregunta: "¿En cuál de las ciudades enumeradas nunca has vivido o nunca has utilizado esta ciudad en tu dirección?" – ¿Longmont, North Hollywood, Génova o Butte? Tenemos tres áreas densamente pobladas alrededor de Washington DC, por lo que la respuesta obvia es North Hollywood.
Hay un par de cosas con las que debes tener cuidado al registrarte en línea en Sprint. Como dije antes, podrías sufrir graves daños si un atacante logra cambiar la dirección de envío de compras en tu información de pago. Lo que realmente da miedo es que tenemos un servicio de Localización de Móviles.
Con él, puedes rastrear los movimientos de tus empleados, ya que las personas usan teléfonos móviles y GPS, y puedes ver en el mapa dónde se encuentran. Hay otras cosas bastante interesantes que suceden en este proceso.
Como sabes, al restablecer una contraseña, la dirección de correo electrónico tiene prioridad sobre otros métodos de verificación de usuario y preguntas de seguridad. La siguiente diapositiva muestra muchos servicios que ofrecen indicar su dirección de correo electrónico si el usuario tiene dificultades para iniciar sesión en su cuenta.
Sabemos que la mayoría de la gente usa el correo electrónico y tiene una cuenta de correo electrónico. De repente la gente quiso encontrar una manera de ganar dinero con ello. Siempre descubrirás la dirección de correo electrónico de la víctima, la ingresarás en el formulario y tendrás la oportunidad de restablecer la contraseña de la cuenta que deseas manipular. Luego lo usas en tu red y ese buzón se convierte en tu bóveda dorada, el lugar principal desde donde puedes robar todas las demás cuentas de la víctima. Recibirá la suscripción completa de la víctima tomando posesión de un solo buzón. ¡Deja de sonreír, esto es serio!
La siguiente diapositiva muestra cuántos millones de personas utilizan los servicios de correo electrónico correspondientes. La gente usa activamente Gmail, Yahoo Mail, Hotmail, AOL Mail, pero no es necesario ser un súper hacker para hacerse cargo de sus cuentas; puede mantener las manos limpias subcontratando. Siempre puedes decir que no tiene nada que ver con eso, que no hiciste nada de eso.
Entonces, el servicio en línea "Recuperación de contraseña" tiene su sede en China, donde usted paga para que hackeen "su" cuenta. Por 300 yuanes, que son alrededor de 43 dólares, puedes intentar restablecer la contraseña de un buzón extranjero con una tasa de éxito del 85%. Por 200 yuanes, o 29 dólares, tendrás un 90% de éxito al restablecer la contraseña del buzón de tu servicio de correo electrónico residencial. Cuesta mil yuanes, o 143 dólares, piratear el buzón de correo de cualquier empresa, pero el éxito no está garantizado. También puede subcontratar servicios de descifrado de contraseñas para 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Conferencia BLACK HAT USA. Hazte rico o muere: gana dinero online usando métodos Black Hat. Parte 2 (el enlace estará disponible mañana)
Algunos anuncios 🙂
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, , 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com