Moderatore: signore e signori, questo discorso è molto divertente e molto interessante, oggi parleremo di cose reali che si osservano su Internet. Questa conversazione è un po' diversa da quelle a cui siamo abituati alle conferenze Black Hat perché parleremo di come gli aggressori guadagnano dai loro attacchi.
Ti mostreremo alcuni attacchi interessanti che possono portare profitto e ti parleremo degli attacchi realmente avvenuti la notte in cui siamo andati da Jägermeister e abbiamo fatto un brainstorming. È stato divertente, ma quando ci siamo calmati un po', abbiamo parlato con gli esperti SEO e abbiamo scoperto che molte persone guadagnano da questi attacchi.
Sono solo un intermediario senza cervello, quindi cederò il mio posto e ti presenterò a Jeremy e Trey, che sono molto più intelligenti di me. Dovrei avere un'introduzione intelligente e divertente, ma non la faccio, quindi mostrerò invece queste diapositive.
Sullo schermo vengono mostrate diapositive che mostrano Jeremy Grossman e Trey Ford.
Jeremy Grossman è il fondatore e chief technology officer di WhiteHat Security, nominato uno dei 2007 migliori CTO da InfoWorld nel 25, co-fondatore del Web Application Security Consortium e coautore di attacchi di cross-site scripting.
Trey Ford è il direttore delle soluzioni architettoniche presso WhiteHat Security, che ha 6 anni di esperienza come consulente di sicurezza per aziende Fortune 500 e uno degli sviluppatori dello standard di sicurezza dei dati delle carte di pagamento PCI DSS.
Penso che queste immagini compensino la mia mancanza di umorismo. In ogni caso spero che vi piaccia la loro presentazione e che poi capiate come vengono utilizzati questi attacchi su Internet per fare soldi.
Jeremy Grossman: Buon pomeriggio, grazie a tutti per essere venuti. Sarà una conversazione molto divertente, anche se non vedrai attacchi zero-day o nuove tecnologie interessanti. Cercheremo solo di renderlo divertente e di parlare delle cose reali che accadono ogni giorno e che permettono ai cattivi di fare un sacco di soldi.
Non stiamo cercando di impressionarti con ciò che viene mostrato in questa slide, ma semplicemente spieghiamo cosa fa la nostra azienda. Quindi, White Hat Sentinel, o “Guardian White Hat” è:
- numero illimitato di valutazioni – controllo e gestione esperta dei siti dei clienti, capacità di scansionare i siti indipendentemente dalle loro dimensioni e dalla frequenza delle modifiche;
- ampio ambito di copertura: scansione autorizzata dei siti per rilevare vulnerabilità tecniche e test utente per identificare errori logici nelle aree aziendali non coperte;
- eliminazione dei falsi positivi: il nostro team operativo esamina i risultati e assegna il livello appropriato di gravità e minaccia;
- sviluppo e controllo qualità - il sistema WhiteHat Satellite Appliance ci consente di assistere da remoto i sistemi clienti attraverso l'accesso alla rete interna;
- miglioramento e miglioramento: la scansione realistica consente di aggiornare il sistema in modo rapido ed efficiente.
Quindi, controlliamo ogni sito nel mondo, abbiamo il team più grande di pentesters di applicazioni web, eseguiamo 600-700 test di valutazione ogni settimana e tutti i dati che vedrai in questa presentazione provengono dalla nostra esperienza in questo tipo di lavoro .
Nella diapositiva successiva vengono visualizzati i 10 tipi più comuni di attacchi ai siti Web globali. Mostra la percentuale di vulnerabilità a determinati attacchi. Come puoi vedere, il 65% di tutti i siti è vulnerabile al cross-site scripting, il 40% consente la fuga di informazioni e il 23% è vulnerabile allo spoofing dei contenuti. Oltre al cross-site scripting, sono comuni le SQL injection e la famigerata falsificazione delle richieste cross-site, che non è inclusa nella nostra top ten. Ma questa lista contiene attacchi dai nomi esoterici, che vengono descritti con un linguaggio vago e la cui specificità è che sono diretti contro determinate aziende.
Si tratta di difetti di autenticazione, difetti del processo di autorizzazione, fughe di informazioni e così via.
La diapositiva successiva parla degli attacchi alla logica aziendale. I team di QA coinvolti nell'assicurazione della qualità di solito non prestano loro attenzione. Testano cosa dovrebbe fare il software, non cosa può fare, e poi puoi vedere quello che vuoi. Gli scanner, tutte queste scatole bianche/nere/grigie, tutte queste scatole multicolori non sono in grado di rilevare queste cose nella maggior parte dei casi, perché sono semplicemente fissati sul contesto di ciò che potrebbe essere l'attacco o su cosa succede di simile quando avviene. Mancano di intelligenza e non sanno se qualcosa ha funzionato oppure no.
Lo stesso vale per i firewall applicativi IDS e WAF, che non riescono a rilevare i difetti della logica aziendale perché le richieste HTTP sembrano del tutto normali. Vi mostreremo che gli attacchi legati a difetti della logica aziendale si verificano in modo del tutto naturale, non ci sono hacker, metacaratteri o altre stranezze, sembrano processi naturali. La cosa principale è che i cattivi amano queste cose perché i difetti nella logica aziendale fanno loro guadagnare soldi. Utilizzano XSS, SQL, CSRF, ma questi tipi di attacchi stanno diventando sempre più difficili da realizzare e abbiamo visto che sono diminuiti negli ultimi 3-5 anni. Ma non scompariranno da soli, così come non scomparirà il buffer overflow. Tuttavia, i criminali stanno pensando a come utilizzare attacchi più sofisticati perché credono che i "veri cattivi" cerchino sempre di trarre profitto dai loro attacchi.
Voglio mostrarti dei veri e propri trucchi che puoi adottare e utilizzarli nel modo giusto per proteggere la tua attività. Un altro scopo della nostra presentazione è che potresti interrogarti sull'etica.
Sondaggi e votazioni online
Quindi, per iniziare la nostra discussione sulle carenze della logica aziendale, parliamo dei sondaggi online. I sondaggi online sono il modo più comune per conoscere o influenzare l’opinione pubblica. Inizieremo con un profitto di $ 0 e poi esamineremo il risultato di 5, 6, 7 mesi di schemi fraudolenti. Cominciamo facendo un sondaggio molto, molto semplice. Sai che ogni nuovo sito web, ogni blog, ogni portale di notizie conduce sondaggi online. Detto questo, nessuna nicchia è troppo grande o troppo ristretta, ma vogliamo vedere l’opinione pubblica in aree specifiche.
Vorrei attirare la vostra attenzione su un sondaggio condotto ad Austin, in Texas. Poiché un beagle di Austin ha vinto il Westminster Dog Show, l'Austin American Statesman ha deciso di condurre un sondaggio online Best in Show di Austin per i proprietari di cani del Texas centrale. Migliaia di proprietari hanno inviato foto e votato le loro preferite. Come tanti altri sondaggi, non c'era altro premio se non il diritto di vantarsi per il tuo animale domestico.
Per la votazione è stata utilizzata un'applicazione di sistema Web 2.0. Hai cliccato su "sì" se il cane ti piaceva e hai scoperto se era il miglior cane della razza oppure no. Quindi hai votato diverse centinaia di cani pubblicati sul sito come candidati per il vincitore dello spettacolo.
Con questo metodo di voto erano possibili 3 tipi di imbroglio. Il primo è il voto infinito, in cui si vota più e più volte per lo stesso cane. È molto semplice. Il secondo metodo è il voto multiplo negativo, in cui si vota un numero enorme di volte contro un cane concorrente. Il terzo modo era che, letteralmente all'ultimo minuto della competizione, piazzavi un nuovo cane, lo votavi, in modo che la possibilità di ricevere voti negativi fosse minima, e vincevi ricevendo il 100% di voti positivi.
Inoltre, la vittoria è stata determinata in percentuale e non dal numero totale di voti, ovvero non è stato possibile determinare quale cane ha ricevuto il numero massimo di valutazioni positive, è stata calcolata solo la percentuale di valutazioni positive e negative per un particolare cane . Ha vinto il cane con il miglior rapporto punteggio positivo/negativo.
L'amico del collega Robert "RSnake" Hansen gli ha chiesto di aiutare il suo Chihuahua Tiny a vincere una competizione. Conosci Robert, è di Austin. Lui, come un super hacker, ha corretto il proxy Burp e ha seguito il percorso di minor resistenza. Ha usato la tecnica di imbroglio n. 1, eseguendo un Burp loop di diverse centinaia o migliaia di richieste, e questo ha portato al cane 2000 voti positivi e lo ha portato al 1° posto.
Successivamente, ha utilizzato la tecnica di imbroglio n. 2 contro il concorrente di Tiny, soprannominato Chuchu. Negli ultimi minuti della competizione ha espresso 450 voti contro Chuchu, cosa che ha ulteriormente rafforzato la posizione di Tiny al 1° posto con un rapporto di voto superiore a 2:1, ma in termini di percentuale di recensioni positive e negative Tiny ha comunque perso. In questa diapositiva potete vedere il nuovo volto di un criminale informatico, scoraggiato da questo risultato.
Sì, era uno scenario interessante, ma penso che al mio amico non sia piaciuta questa performance. Volevi solo vincere la competizione dei chihuahua ad Austin, ma c'era qualcuno che ha cercato di hackerarti e fare la stessa cosa. Bene, ora passo la chiamata a Trey.
Creare una domanda artificiale e guadagnarci sopra
Trey Ford: Il concetto di "DoS artificiale" si riferisce a diversi scenari interessanti quando acquistiamo i biglietti online. Ad esempio, quando si prenota un posto speciale su un volo. Questo può applicarsi a qualsiasi tipo di biglietto, come un evento sportivo o un concerto.
Per evitare acquisti ripetuti di articoli scarsi come posti aerei, articoli fisici, nomi utente, ecc., l'applicazione blocca l'articolo per un certo periodo di tempo per evitare conflitti. E qui entra in gioco la vulnerabilità legata alla possibilità di prenotare qualcosa in anticipo.
Sappiamo tutti del timeout, sappiamo tutti di terminare la sessione. Ma questo particolare difetto logico ci permette di selezionare un posto su un volo e poi tornare a fare nuovamente la selezione senza pagare nulla. Sicuramente molti di voi vanno spesso in viaggio d'affari, ma per me questa è una parte essenziale del lavoro. Abbiamo testato questo algoritmo in molti posti: selezioni un volo, scegli un posto e solo quando sei pronto inserisci le informazioni di pagamento. Cioè, dopo aver scelto un posto, ti verrà riservato per un certo periodo di tempo, da alcuni minuti a diverse ore, e durante questo periodo nessun altro potrà prenotare questo posto. Grazie a questo periodo di attesa, hai una reale opportunità di prenotare tutti i posti sull'aereo semplicemente tornando sul sito e prenotando i posti che desideri.
Appare così un'opzione di attacco DoS: ripetere automaticamente questo ciclo per ogni posto dell'aereo.
Lo abbiamo testato su almeno due delle principali compagnie aeree. Puoi riscontrare la stessa vulnerabilità con qualsiasi altra prenotazione. Questa è una grande opportunità per aumentare il prezzo dei tuoi biglietti per chi vuole rivenderli. Per fare ciò, gli speculatori devono semplicemente prenotare i biglietti rimanenti senza alcun rischio di perdita monetaria. In questo modo, puoi “crash” e-commerce che vende prodotti molto richiesti: videogiochi, console di gioco, iPhone e così via. Cioè, la falla esistente nel sistema di prenotazione o prenotazione online consente a un utente malintenzionato di trarne profitto o di causare danni alla concorrenza.
Decrittazione captcha
Jeremy Grossmann: Ora parliamo di captcha. Tutti conoscono quelle fastidiose immagini che ingombrano Internet e vengono utilizzate per combattere lo spam. Potenzialmente, puoi anche trarre profitto dal captcha. Captcha è un test di Turing completamente automatizzato che ti consente di distinguere una persona reale da un bot. Ho scoperto molte cose interessanti mentre facevo ricerche sull'uso del captcha.
Il captcha è stato utilizzato per la prima volta intorno al 2000-2001. Gli spammer vogliono eliminare il captcha per registrarsi ai servizi di posta elettronica gratuiti Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, ecc. e inviare spam. Poiché il captcha è ampiamente utilizzato, è apparso un intero mercato di servizi che offrono la possibilità di aggirare l'onnipresente captcha. In definitiva, ciò porta profitto: un esempio potrebbe essere l'invio di spam. Esistono 3 modi per aggirare il captcha, diamo un'occhiata a loro.
Il primo sono i difetti nell'implementazione dell'idea o le carenze nell'uso del captcha.
Pertanto, le risposte alle domande contengono troppo poca entropia, come ad esempio “scrivi a quanto è uguale 4+1”. Le stesse domande possono essere ripetute più volte e la gamma delle possibili risposte è piuttosto ridotta.
L'efficacia del captcha viene verificata in questo modo:
- il test dovrebbe essere effettuato in condizioni in cui la persona e il server sono distanti l'uno dall'altro,
il test non dovrebbe essere difficile per l'individuo; - la domanda dovrebbe essere tale che una persona possa rispondere entro pochi secondi,
Dovrebbe rispondere solo colui a cui viene posta la domanda; - rispondere alla domanda deve essere difficile per il computer;
- la conoscenza delle domande, delle risposte precedenti o della loro combinazione non dovrebbe influenzare la prevedibilità del test successivo;
- il test non deve discriminare le persone con disabilità visive o uditive;
- il test non deve essere influenzato da fattori geografici, culturali o linguistici.
A quanto pare, creare un captcha “corretto” è piuttosto difficile.
Il secondo svantaggio del captcha è la possibilità di utilizzare il riconoscimento ottico dei caratteri OCR. Un pezzo di codice è in grado di leggere un'immagine captcha indipendentemente dalla quantità di rumore visivo che contiene, vedere quali lettere o numeri la compongono e automatizzare il processo di riconoscimento. La ricerca ha dimostrato che la maggior parte dei captcha può essere facilmente violata.
Fornirò citazioni di specialisti della School of Computer Science dell'Università di Newcastle, nel Regno Unito. Parlano della facilità di craccare il captcha di Microsoft: “Il nostro attacco è riuscito a raggiungere una percentuale di successo della segmentazione del 92%, il che significa che lo schema captcha di MSN può essere craccato nel 60% dei casi segmentando l'immagine e poi riconoscendola. " Craccare il captcha di Yahoo è stato altrettanto semplice: “il nostro secondo attacco ha ottenuto un successo di segmentazione del 33,4%. Pertanto, circa il 25,9% dei captcha può essere violato. La nostra ricerca suggerisce che gli spammer non dovrebbero mai utilizzare manodopera umana a basso costo per aggirare il captcha di Yahoo, ma piuttosto fare affidamento su un attacco automatizzato a basso costo."
Il terzo metodo per aggirare il captcha si chiama “Mechanical Turk” o “Turk”. Lo abbiamo testato con il captcha di Yahoo subito dopo la pubblicazione e fino ad oggi non sappiamo, e nessuno sa, come proteggersi da un simile attacco.
Questo è il caso in cui hai un cattivo che gestirà un sito "per adulti" o un gioco online da cui gli utenti richiedono alcuni contenuti. Prima che possano vedere l'immagine successiva, il sito di proprietà dell'hacker farà una richiesta di back-end a un sistema online che conosci, ad esempio Yahoo o Google, prenderà il captcha da lì e lo trasmetterà all'utente. E non appena l'utente risponde alla domanda, l'hacker invierà il captcha indovinato al sito di destinazione e mostrerà all'utente l'immagine richiesta dal suo sito. Se hai un sito molto popolare con molti contenuti interessanti, puoi mobilitare un intero esercito di persone che compileranno automaticamente i captcha di altre persone per te. Questa è una cosa molto potente.
Tuttavia, non solo le persone cercano di aggirare i captcha; anche le aziende utilizzano questa tecnica. Robert "RSnake" Hansen una volta ha parlato sul suo blog con un "risolutore captcha" rumeno che ha detto che poteva risolvere da 300 a 500 captcha all'ora ad una velocità compresa tra 9 e 15 dollari per mille captcha risolti.
Dice direttamente che i membri del suo team lavorano 12 ore al giorno, risolvendo circa 4800 captcha durante questo periodo e, a seconda di quanto siano difficili i captcha, possono ricevere fino a 50 dollari al giorno per il loro lavoro. Questo è stato un post interessante, ma ancora più interessanti sono i commenti che gli utenti del blog hanno lasciato sotto questo post. Immediatamente è apparso un messaggio dal Vietnam, dove un certo Quang Hung ha riferito del suo gruppo di 20 persone, che hanno accettato di lavorare per 4 dollari ogni 1000 captcha indovinati.
Il messaggio successivo veniva dal Bangladesh: “Ciao! Spero che tu stia bene! Siamo un'azienda leader nella lavorazione del Bangladesh. Attualmente i nostri 30 operatori sono in grado di risolvere più di 100000 captcha al giorno. Offriamo condizioni eccellenti e una tariffa bassa: $ 2 per 1000 captcha indovinati da siti Yahoo, Hotmail, Mayspace, Gmail, Facebook, ecc. Attendiamo con ansia un’ulteriore collaborazione”.
Un altro messaggio interessante è stato inviato da un certo Babu: “Sono interessato a questo lavoro, per favore chiamami al telefono”.
Quindi è piuttosto interessante. Possiamo discutere su quanto sia legale o illegale questa attività, ma il fatto è che le persone effettivamente ne guadagnano.
Ottenere l'accesso agli account di altre persone
Trey Ford: Il prossimo scenario di cui parleremo è quello di guadagnare denaro rilevando il conto di qualcun altro.
Tutti dimenticano le password e, per i test di sicurezza delle applicazioni, la reimpostazione delle password e la registrazione online rappresentano due processi aziendali distinti e mirati. C'è un grande divario tra la facilità di reimpostare la password e la facilità di registrarsi, quindi dovresti cercare di rendere il processo di reimpostazione della password il più semplice possibile. Ma se proviamo a semplificarlo sorge un problema perché più è semplice reimpostare una password, meno è sicura.
Uno dei casi più eclatanti riguardava la registrazione online utilizzando il servizio di verifica degli utenti di Sprint. Due membri del team White Hat hanno utilizzato Sprint per la registrazione online. Ci sono un paio di cose che devi confermare per dimostrare che sei tu, a cominciare da qualcosa di semplice come il tuo numero di cellulare. Hai bisogno della registrazione online per cose come la gestione del tuo conto bancario, il pagamento dei servizi e così via. Acquistare telefoni è molto conveniente se puoi farlo dall'account di qualcun altro e poi fare acquisti e fare molto altro. Una delle opzioni della truffa è cambiare l'indirizzo di pagamento, ordinare la consegna di un sacco di telefoni cellulari al tuo indirizzo e la vittima sarà costretta a pagarli. Anche i maniaci dello stalking sognano questa opportunità: aggiungere la funzionalità di tracciamento GPS ai telefoni delle loro vittime e monitorare ogni loro movimento da qualsiasi computer.
Pertanto, Sprint offre alcune delle domande più semplici per verificare la tua identità. Come sappiamo, la sicurezza può essere garantita sia da un range molto ampio di entropia, sia da questioni altamente specializzate. Ti leggerò parte del processo di registrazione dello Sprint perché l'entropia è molto bassa. Ad esempio, c'è una domanda: "seleziona un marchio automobilistico registrato al seguente indirizzo" e le opzioni del marchio sono Lotus, Honda, Lamborghini, Fiat e "nessuno dei precedenti". Ditemi, chi di voi ha qualcosa di cui sopra? Come puoi vedere, questo avvincente puzzle è solo una grande opportunità per uno studente universitario di ottenere telefoni economici.
Seconda domanda: “Quale delle seguenti persone vive con te o abita all'indirizzo sotto indicato”? È molto facile rispondere a questa domanda, anche se non conosci affatto questa persona. Jerry Stifliin - questo cognome contiene tre "ays", ci arriveremo tra un secondo - Ralph Argen, Jerome Ponicki e John Pace. La cosa interessante di questo elenco è che i nomi dati sono assolutamente casuali e sono tutti soggetti allo stesso modello. Se lo calcoli, non avrai difficoltà a identificare il vero nome, perché differisce dai nomi selezionati casualmente in qualcosa di caratteristico, in questo caso le tre lettere “i”. Pertanto, Stayfliin non è chiaramente un nome casuale ed è facile indovinare che questa persona è il tuo obiettivo. È molto, molto semplice.
La terza domanda: "in quale delle città elencate non hai mai vissuto o non hai mai usato questa città nel tuo indirizzo?" — Longmont, North Hollywood, Genova o Butte? Abbiamo tre aree densamente popolate intorno a Washington DC, quindi la risposta ovvia è North Hollywood.
Ci sono un paio di cose a cui devi prestare attenzione con la registrazione online di Sprint. Come ho detto prima, potresti rimanere gravemente ferito se un utente malintenzionato fosse in grado di modificare l'indirizzo di spedizione per gli acquisti nelle informazioni di pagamento. Ciò che è veramente spaventoso è che disponiamo di un servizio di localizzazione mobile.
Con esso puoi monitorare gli spostamenti dei tuoi dipendenti, poiché le persone utilizzano telefoni cellulari e GPS, e puoi vedere sulla mappa dove si trovano. Quindi ci sono alcune altre cose piuttosto interessanti che accadono in questo processo.
Come sai, quando si reimposta una password, l'indirizzo email ha la precedenza sugli altri metodi di verifica dell'utente e sulle domande di sicurezza. La diapositiva successiva mostra molti servizi che offrono di indicare il proprio indirizzo email se l'utente ha difficoltà ad accedere al proprio account.
Sappiamo che la maggior parte delle persone utilizza la posta elettronica e dispone di un account di posta elettronica. All'improvviso le persone volevano trovare un modo per trarne profitto. Scoprirai sempre l'indirizzo email della vittima, lo inserirai nel modulo e avrai la possibilità di reimpostare la password dell'account che desideri manipolare. Quindi la usi sulla tua rete e quella casella di posta diventa il tuo caveau d'oro, il luogo principale da cui puoi rubare tutti gli altri account della vittima. Riceverai l'intero abbonamento della vittima prendendo possesso di una sola casella di posta. Smettila di sorridere, è una cosa seria!
La diapositiva successiva mostra quanti milioni di persone utilizzano i servizi di posta elettronica corrispondenti. Le persone utilizzano attivamente Gmail, Yahoo Mail, Hotmail, AOL Mail, ma non devi essere un super hacker per prendere il controllo dei loro account, puoi tenere le mani pulite esternalizzando. Puoi sempre dire che non c'entra niente, non hai fatto niente del genere.
Quindi, il servizio online “Recupero password” ha sede in Cina, dove paghi per hackerare il “tuo” account. Per 300 yuan, ovvero circa 43 dollari, puoi provare a reimpostare la password di una casella di posta straniera con una percentuale di successo dell'85%. Per 200 yuan, o $ 29, avrai il 90% di successo nel reimpostare la password della casella di posta del servizio di posta elettronica di casa. Violare la casella di posta di qualsiasi azienda costa mille yuan, ovvero 143 dollari, ma il successo non è garantito. Puoi anche esternalizzare i servizi di cracking delle password per 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, ecc.
Conferenza BLACK HAT USA. Diventa ricco o muori: guadagna soldi online usando i metodi Black Hat. Parte 2 (il link sarà disponibile domani)
Alcuni annunci 🙂
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, , Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com