ブラックハットUSAカンファレンス。 金持ちになるか死ぬか: ブラックハット手法を使用してオンラインでお金を稼ぐ。 パート 1

モデレーター： 皆さん、この講演はとても面白くて興味深いものです。今日はインターネット上で観察される実際の出来事について話します。 この会話は、攻撃者が攻撃からどのように収益を上げるかについて話すため、Black Hat カンファレンスで慣れ親しんだものとは少し異なります。

利益を生み出す可能性のある興味深い攻撃をいくつか紹介し、イェーガーマイスターを調査してブレインストーミングを行った夜に実際に発生した攻撃について説明します。 楽しかったですが、少し落ち着いてから SEO 担当者と話をしたところ、実際に多くの人がこれらの攻撃でお金を稼いでいることを知りました。

私はただの頭の悪い中間管理職なので、席を譲って、私よりもずっと賢いジェレミーとトレイを紹介します。 賢くて楽しい紹介が必要ですが、そうではないので、代わりにこれらのスライドを示します。

ジェレミー・グロスマンとトレイ・フォードを映したスライドがスクリーンに映し出される。
Jeremy Grossman は、WhiteHat Security の創設者兼最高技術責任者であり、2007 年に InfoWorld によってトップ 25 の CTO に選ばれ、Web Application Security Consortium の共同創設者であり、クロスサイト スクリプティング攻撃の共著者でもあります。

Trey Ford は、WhiteHat Security のアーキテクチャ ソリューション ディレクターであり、フォーチュン 6 企業のセキュリティ コンサルタントとして 500 年の経験があり、PCI DSS ペイメント カード データ セキュリティ標準の開発者の XNUMX 人です。

これらの写真が私のユーモアの欠如を補ってくれていると思います。 いずれにせよ、彼らのプレゼンテーションを楽しんでいただき、これらの攻撃がインターネット上でどのようにしてお金を稼ぐのかを理解していただければ幸いです。

ジェレミー・グロスマン: こんにちは。皆さん、お越しいただきありがとうございます。 ゼロデイ攻撃やクールな新技術については触れられませんが、これは非常に楽しい会話になります。 私たちはただ面白くして、悪者が大金を稼ぐことを可能にする毎日起こっている本当の出来事について話します。

このスライドに示されている内容で印象を残そうとしているのではなく、単に当社の事業内容を説明するだけです。 つまり、ホワイト ハット センチネル、または「ガーディアン ホワイト ハット」は次のとおりです。

• 無制限の評価 - クライアント サイトの制御と専門家による管理、サイズや変更の頻度に関係なくサイトをスキャンする機能。
• 広範囲のカバー範囲 - 技術的な脆弱性を検出するためのサイトの許可されたスキャンと、未発見のビジネス領域での論理エラーを特定するためのユーザーテスト。
• 誤検知の排除 - 当社の運用チームが結果をレビューし、適切な重大度と脅威の評価を割り当てます。
• 開発と品質管理 - WhiteHat Satellite Appliance システムにより、内部ネットワークへのアクセスを通じてクライアント システムにリモートでサービスを提供できるようになります。
• 改善と改善 - 現実的なスキャンにより、システムを迅速かつ効率的に更新できます。

そのため、私たちは世界中のすべてのサイトを監査し、Web アプリケーション侵入テスターの最大のチームを擁し、毎週 600 ～ 700 件の評価テストを行っています。このプレゼンテーションで表示されるすべてのデータは、この種の作業を行った経験から得られています。 。
次のスライドでは、グローバル Web サイトに対する最も一般的な 10 種類の攻撃を示します。 これは、特定の攻撃に対する脆弱性の割合を示します。 ご覧のとおり、全サイトの 65% がクロスサイト スクリプティングに対して脆弱で、40% が情報漏洩を許容し、23% がコンテンツ スプーフィングに対して脆弱です。 クロスサイト スクリプティングに加えて、SQL インジェクションや、トップ XNUMX には含まれていない悪名高いクロスサイト リクエスト フォージェリも一般的です。 しかし、このリストには難解な名前の攻撃が含まれており、曖昧な言葉で説明されており、その特異性は特定の企業に向けられているということです。

これらは、認証の欠陥、認可プロセスの欠陥、情報漏洩などです。

次のスライドでは、ビジネス ロジックに対する攻撃について説明します。 品質保証に携わる QA チームは通常、これらのことに注意を払いません。 ソフトウェアが何ができるかではなく、ソフトウェアが何をすべきかをテストするので、必要なものは何でも見ることができます。 スキャナー、これらすべての白/黒/グレーのボックス、これらすべての多色のボックスは、ほとんどの場合、これらのものを検出できません。なぜなら、それらは、攻撃がどのようなものであるか、または攻撃が発生した場合に同様のことが起こるかというコンテキストに固執しているだけだからです。 彼らには知性が欠けており、何かがうまくいったかどうかもわかりません。

同じことが IDS および WAF アプリケーション ファイアウォールにも当てはまりますが、HTTP リクエストはまったく正常に見えるため、ビジネス ロジックの欠陥も検出できません。 ビジネス ロジックの欠陥に関連する攻撃は完全に自然に発生し、ハッカーやメタキャラクター、その他の奇妙なものは存在せず、自然に発生するプロセスのように見えることを示します。 重要なことは、ビジネス ロジックの欠陥が彼らに利益をもたらすため、悪者はこれらのことを好むということです。 XSS、SQL、CSRF が使用されますが、この種の攻撃は実行がますます困難になってきており、過去 3 ～ 5 年で減少していることが確認されています。 ただし、バッファ オーバーフローが解消されないのと同様、自然に消えることはありません。 しかし、「本当の悪者」は常に攻撃で金儲けをしようとしていると信じているため、悪者たちはより高度な攻撃を使用する方法を考えています。

ビジネスを守るために取り入れて、正しい方法で使用できる本当のトリックを紹介したいと思います。 私たちのプレゼンテーションのもう XNUMX つの目的は、倫理について疑問に思っているかもしれないということです。

オンライン投票と投票

ビジネス ロジックの欠点についての議論を始めるために、オンライン アンケートについて話しましょう。 オンライン世論調査は、世論を調べたり、世論に影響を与えたりする最も一般的な方法です。 利益 0 ドルから始めて、5、6、7 か月にわたる不正行為の結果を見ていきます。 とてもとても簡単なアンケートから始めましょう。 すべての新しい Web サイト、すべてのブログ、すべてのニュース ポータルがオンライン アンケートを実施していることはご存知でしょう。 とはいえ、ニッチが大きすぎたり狭すぎたりすることはありませんが、私たちは特定の分野での世論を知りたいと考えています。

テキサス州オースティンで行われたある調査に注目していただきたいと思います。 オースティンのビーグル犬がウェストミンスター ドッグ ショーで優勝したため、オースティンのアメリカン ステイツマンは、セントラル テキサスの犬の飼い主を対象にオンラインでオースティンのベスト イン ショー投票を実施することにしました。 何千人ものオーナーが写真を投稿し、お気に入りに投票しました。 他の多くの調査と同様、あなたのペットを自慢する権利以外に賞品はありませんでした。

投票にはWeb2.0システムのアプリケーションを使用しました。 その犬が気に入った場合は「はい」をクリックし、その犬種の中で最も優れた犬であるかどうかを確認しました。 ショーの勝者候補として、サイトに投稿された数百頭の犬に投票したんですね。

この投票方法では3種類の不正行為が可能でした。 100 つ目は、同じ犬に何度も投票する無限投票です。 とてもシンプルです。 XNUMX 番目の方法は否定的な複数投票で、競合する犬に対して膨大な回数投票します。 XNUMX 番目の方法は、文字通りコンテストの最後の瞬間に、新しい犬を配置し、それに投票することで、否定票を受け取る可能性を最小限に抑え、XNUMX% の肯定票を受け取って勝ちました。

さらに、勝利は投票総数ではなくパーセンテージとして決定されました。つまり、どの犬が最大数の肯定的な評価を得たかを決定することはできず、特定の犬に対する肯定的な評価と否定的な評価の割合のみが計算されました。 。 ポジティブ/ネガティブスコアの比率が最も高かった犬が勝ちました。

同僚のロバート「RSnake」ハンセンさんの友人は、彼女のチワワのタイニーがコンテストで優勝するのを手伝ってほしいと頼んだ。 ロバートはオースティン出身です。 彼はスーパーハッカーのように、Burp プロキシを修正し、最も抵抗の少ない道をたどりました。 彼は不正行為テクニック #1 を使用し、数百または数千のリクエストのげっぷループを実行しました。これにより、犬は 2000 の賛成票を獲得し、1 位になりました。

続いて、タイニーのライバル、通称チュチュに対して、騙し技その2を使用。 コンテストの最後の数分で、彼は Chuchu に対して 450 票を投じ、得票率 1 対 2 以上で Tiny の 1 位の地位をさらに強化しましたが、肯定的なレビューと否定的なレビューの割合という点では、Tiny は依然として負けました。 このスライドでは、この結果に意気消沈したサイバー犯罪者の新たな顔が見られます。

はい、興味深いシナリオでしたが、友人はこのパフォーマンスが気に入らなかったようです。 あなたはオースティンで開催されるチワワのコンテストで優勝したかっただけですが、あなたをハッキングして同じことをしようとした誰かがいたのです。 それでは、電話をトレイに渡します。

人為的な需要を生み出し、それでお金を稼ぐ

トレイ・フォード： 「人工 DoS」の概念は、オンラインでチケットを購入する際のいくつかの異なる興味深いシナリオを指します。 たとえば、飛行機の特等席を予約するとき。 これは、スポーツ イベントやコンサートなど、あらゆる種類のチケットに適用できます。

航空座席、物理的なアイテム、ユーザー名などの希少なアイテムの繰り返し購入を防ぐために、アプリケーションは競合を防ぐためにアイテムを一定期間ロックします。 そして、ここで、事前に何かを予約する機能に関連する脆弱性が発生します。

タイムアウトについては誰もが知っており、セッションの終了についても知っています。 しかし、この特別な論理的欠陥により、私たちは何も支払わずにフライトの座席を選択し、戻って再度選択することができます。 出張が多い方も多いと思いますが、私にとっては欠かせない仕事です。 私たちはこのアルゴリズムを多くの場所でテストしました。フライトを選択し、座席を選択し、準備ができて初めて支払い情報を入力します。 つまり、場所を選択すると、その場所は数分から数時間までの一定期間、あなたのために予約され、この間、他の人はその場所を予約できません。 この待ち時間があるため、Web サイトに戻って希望の座席を予約するだけで、飛行機のすべての座席を予約することができます。

したがって、DoS 攻撃オプションが表示されます。飛行機の座席ごとにこのサイクルを自動的に繰り返します。

私たちはこれを少なくとも XNUMX つの主要航空会社でテストしました。 他の予約でも同じ脆弱性が見つかる可能性があります。 チケットを転売したい人にとっては、チケットの価格を引き上げる絶好の機会です。 これを行うには、投機家は金銭的損失のリスクを負うことなく、残りのチケットを予約するだけで済みます。 このようにして、ビデオ ゲーム、ゲーム機、iPhone など、需要の高い製品を販売する電子商取引を「クラッシュ」させることができます。 つまり、オンライン予約または予約システムに存在する欠陥により、攻撃者がそこから収益を上げたり、競合他社に損害を与えたりすることが可能になります。

キャプチャの復号化

ジェレミー・グロスマン: 次に、キャプチャについて話しましょう。 インターネット上に散らばる迷惑な画像がスパム対策に使用されていることは誰もが知っています。 潜在的に、キャプチャからも利益を得ることができます。 Captcha は完全に自動化されたチューリング テストで、本物の人間とボットを区別することができます。 キャプチャの使用について調査しているときに、多くの興味深いことを発見しました。

キャプチャは 2000 ～ 2001 年頃に初めて使用されました。 スパマーは、Gmail、Yahoo Mail、Windows Live Mail、MySpace、FaceBook などの無料電子メール サービスに登録するために、キャプチャを排除したいと考えています。 そしてスパムを送信します。 キャプチャは非常に広く使用されているため、ユビキタスなキャプチャをバイパスするサービスの市場全体が登場しています。 最終的に、これは利益をもたらします。例としては、スパムの送信などが挙げられます。 キャプチャを回避するには 3 つの方法があります。それぞれを見てみましょう。

XNUMX つ目は、アイデアの実装における欠陥、またはキャプチャの使用における欠陥です。
したがって、質問に対する回答には、「4+1 が何に等しいかを書きなさい」などのエントロピーが少なすぎます。 同じ質問が何度も繰り返される可能性があり、可能な回答の範囲は非常に狭いです。

キャプチャの有効性は次の方法でチェックされます。

• テストは、人間とサーバーが互いに離れている状況で実行する必要があります。
  テストは個人にとって難しいものであってはなりません。
• 質問は数秒以内に答えられるものでなければなりません。
  質問された人だけが答えるべきです。
• 質問に答えるのはコンピュータにとっては難しいに違いありません。
• 以前の質問、回答、またはそれらの組み合わせに関する知識は、次のテストの予測可能性に影響を与えるべきではありません。
• テストでは視覚障害や聴覚障害のある人を差別してはなりません。
• テストは地理的、文化的、または言語的に偏っていてはなりません。

結局のところ、「正しい」キャプチャを作成するのは非常に困難です。

キャプチャの XNUMX 番目の欠点は、OCR 光学式文字認識を使用する可能性があることです。 コードの一部は、キャプチャ画像に含まれる視覚的なノイズに関係なく、キャプチャ画像を読み取り、それを構成する文字や数字を確認し、認識プロセスを自動化することができます。 研究によると、ほとんどのキャプチャは簡単に解読できることがわかっています。

英国ニューカッスル大学コンピューター サイエンス学部の専門家からの言葉を引用します。 彼らは、Microsoft キャプチャのクラッキングの容易さについて語ります。「私たちの攻撃では、92% のセグメント化成功率を達成できました。これは、MSN キャプチャ スキームは、画像をセグメント化して認識することによって 60% のケースでクラッキングできることを意味します。」 」 Yahoo のキャプチャの解読も同様に簡単でした。「33,4 回目の攻撃では、セグメンテーションの成功率が 25,9% に達しました。 したがって、キャプチャの約 XNUMX% が解読される可能性があります。 私たちの調査によると、スパム送信者は Yahoo のキャプチャを回避するために安価な人力を決して使用すべきではなく、むしろ低コストの自動攻撃に頼るべきです。」

キャプチャをバイパスする XNUMX 番目の方法は、「Mechanical Turk」または「Turk」と呼ばれます。 私たちは公開直後に Yahoo のキャプチャに対してテストしましたが、今日に至るまで、そのような攻撃から保護する方法はわかりませんし、誰も知りません。

これは、ユーザーがコンテンツをリクエストする「アダルト」サイトやオンライン ゲームを運営する悪者がいる場合です。 次の写真が表示される前に、ハッカーが所有するサイトは、Yahoo や Google などの使い慣れたオンライン システムにバックエンド リクエストを送信し、そこからキャプチャを取得してユーザーに送ります。 ユーザーが質問に答えるとすぐに、ハッカーは推測したキャプチャをターゲット サイトに送信し、サイトから要求された画像をユーザーに表示します。 興味深いコンテンツがたくさんある非常に人気のあるサイトの場合、大勢の人々を動員して、他の人のキャプチャを自動的に入力してもらうことができます。 これは非常に強力なことです。

ただし、キャプチャを回避しようとする人だけではなく、企業もこの手法を使用しています。 ロバート「RSnake」ハンセンはかつてルーマニアの「キャプチャ ソルバー」とブログで話し、彼は 300 時間あたり 500 ～ 9 のキャプチャを解決でき、解決されたキャプチャ 15 件あたり XNUMX ～ XNUMX ドルのレートで解決できると述べました。

同氏は、チームメンバーは 12 日 4800 時間働いており、この間に約 50 件のキャプチャを解決しており、キャプチャの難易度に応じて、その仕事に対して 20 日あたり最大 4 ドルを受け取ることができると直接述べています。 これは興味深い投稿でしたが、さらに興味深いのは、この投稿の下にブログ ユーザーが残したコメントです。 すぐにベトナムからメッセージが届き、あるクアン・フン氏が1000人のグループについて報告し、彼らは推測XNUMX件のキャプチャごとにXNUMXドルで働くことに同意した。

次のメッセージはバングラデシュからでした。「こんにちは！ 大丈夫だといいですね！ 当社はバングラデシュの大手加工会社です。 現在、当社の 30 人のオペレーターは、100000 日あたり 2 件を超えるキャプチャを解決することができます。 当社は、Yahoo、Hotmail、Mayspace、Gmail、Facebook などのサイトからの 1000 件の推定キャプチャに対して XNUMX ドルという、優れた条件と低料金を提供します。 さらなる協力を期待しています。」

もう一つ、あるバブさんから「この仕事に興味があるので電話してください」という興味深いメッセージが送られてきました。

とても興味深いですね。 この活動がどの程度合法であるか違法であるかについては議論することができますが、実際に人々がそれでお金を稼いでいることは事実です。

他の人のアカウントにアクセスする

トレイ・フォード： 次に説明するシナリオは、他人のアカウントを乗っ取ってお金を稼ぐことです。

誰もがパスワードを忘れてしまいます。アプリケーションのセキュリティ テストでは、パスワードのリセットとオンライン登録が XNUMX つの異なる焦点を絞ったビジネス プロセスを表します。 パスワードのリセットの簡単さとサインアップの簡単さの間には大きな隔たりがあるため、パスワードのリセットプロセスをできるだけ簡単にするように努める必要があります。 しかし、パスワードのリセットを単純化しようとすると、問題が発生します。パスワードのリセットが単純であればあるほど、安全性が低下するからです。

最も注目を集めた事件の XNUMX つは、Sprint のユーザー認証サービスを使用したオンライン登録に関するものでした。 ホワイトハット チームの XNUMX 人のメンバーは、オンライン登録に Sprint を使用しました。 あなたがあなたであることを証明するには、携帯電話番号などの簡単なことから始めて、確認する必要があることがいくつかあります。 銀行口座の管理やサービスの支払いなどにはオンライン登録が必要です。 携帯電話の購入は、他の人のアカウントから購入できれば非常に便利です。その後、購入したり、さらに多くのことを行うことができます。 詐欺の選択肢の XNUMX つは、支払い先住所を変更し、あなたの住所に大量の携帯電話の配送を注文することで、被害者はその代金を支払うことになります。 ストーカーマニアもこの機会を夢見ています。被害者の携帯電話に GPS 追跡機能を追加し、あらゆるコンピューターから被害者のあらゆる動きを追跡します。

そこで、Sprint では、身元を確認するための最も簡単な質問をいくつか提供しています。 ご存知のとおり、セキュリティは非常に広範囲のエントロピーによって、または高度に専門化された問題によって確保できます。 エントロピーが非常に低いため、Sprint の登録プロセスの一部を読み上げます。 たとえば、「次の住所に登録されている自動車ブランドを選択してください」という質問があり、ブランドの選択肢は、ロータス、ホンダ、ランボルギーニ、フィアット、および「上記のいずれでもない」です。 教えてください、あなたの中で上記のいずれかに当てはまる人はいますか? ご覧のとおり、この挑戦​​的なパズルは、大学生にとって安価な携帯電話を手に入れる絶好の機会です。

XNUMX番目の質問: 「あなたと同居している人、または下記の住所に住んでいる人は次のうち誰ですか?」 この人のことをまったく知らない場合でも、この質問に答えるのは非常に簡単です。 ジェリー・スティフリン - この姓には XNUMX つの「ay」が含まれています。ラルフ・アーゲン、ジェローム・ポニッキー、ジョン・ペイスです。 このリストの興味深い点は、指定された名前が完全にランダムであり、すべて同じパターンに従うことです。 計算してみると、本名を特定するのは難しくありません。それは、ランダムに選択された名前とは何らかの特徴、この場合は「i」の XNUMX 文字が異なるためです。 したがって、Stayfliin は明らかにランダムな名前ではなく、この人物があなたのターゲットであることは簡単に推測できます。 とてもとてもシンプルです。

XNUMX 番目の質問: 「リストにある都市のうち、住んだことがない、または住所でこの都市を使用したことがないのはどれですか?」 — ロングモント、ノースハリウッド、ジェノア、それともビュート? ワシントン DC の周囲には人口密集地域が XNUMX つあるため、明らかな答えはノース ハリウッドです。

Sprint のオンライン登録では、注意する必要があることがいくつかあります。 前に述べたように、攻撃者が支払い情報内の購入先住所を変更できる場合、深刻な被害を受ける可能性があります。 本当に恐ろしいのは、Mobile Locator サービスがあるということです。

これを使用すると、従業員が携帯電話や GPS を使用しているため、従業員の移動を追跡し、従業員がどこにいるかを地図上で確認できます。 このプロセスでは、他にも非常に興味深いことがいくつか起こります。

ご存知のとおり、パスワードをリセットするときは、電子メール アドレスが他のユーザー確認方法や秘密の質問よりも優先されます。 次のスライドは、ユーザーがアカウントにログインできない場合に電子メール アドレスを示すことを提供する多くのサービスを示しています。

ほとんどの人が電子メールを使用し、電子メール アカウントを持っていることは承知しています。 突然、人々はそれからお金を稼ぐ方法を見つけようとしました。 被害者の電子メール アドレスを常に見つけてフォームに入力すると、操作したいアカウントのパスワードをリセットする機会が得られます。 その後、それをネットワーク上で使用すると、そのメールボックスが黄金の保管庫となり、被害者の他のすべてのアカウントを盗むことができる主な場所になります。 たった XNUMX つのメールボックスを占有するだけで、被害者のサブスクリプション全体を受け取ることになります。 笑わないでください、これは深刻です!

次のスライドは、何百万人が対応する電子メール サービスを使用しているかを示しています。 人々は Gmail、Yahoo Mail、Hotmail、AOL Mail を積極的に使用していますが、アカウントを乗っ取るのにスーパー ハッカーである必要はなく、アウトソーシングすることで手を汚さずに済みます。 いつでも、それは関係ない、あなたはそのようなことはしていないと言えます。

つまり、オンライン サービス「Password Recovery」は中国に拠点を置き、「あなたの」アカウントをハッキングするために料金を支払います。 300 元（約 43 ドル）を支払えば、85% の成功率で外国のメールボックスのパスワードのリセットを試すことができます。 200 元 (29 ドル) を支払えば、自宅の電子メール サービスのメールボックスのパスワードのリセットは 90% 成功します。 企業のメールボックスをハッキングするには千元（143ドル）の費用がかかりますが、成功が保証されているわけではありません。 163、126、QQ、Yahoo、捜狐、新浪、TOM、Hotmail、MSN などのパスワード解析サービスを外注することもできます。

ブラックハットUSAカンファレンス。 金持ちになるか死ぬか: Black Hat の手法を使用してオンラインでお金を稼ぎます。 パート 2 (リンクは明日公開されます)

いくつかの広告 🙂

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 開発者向けのクラウド VPS は 4.99 ドルから, Habr ユーザーは、当社があなたのために発明した、エントリーレベルのサーバーに似たユニークな製品を 30% 割引でご利用いただけます。 VPS (KVM) E5-2650 v4 (6 コア) 10GB DDR4 240GB SSD 1Gbps 20 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

Dell R730xdは2倍安い？ ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com