moderator: mine damer og herrer, denne foredraget er veldig morsomt og veldig interessant, i dag skal vi snakke om virkelige ting som er observert på Internett. Denne samtalen er litt annerledes enn de vi er vant til på Black Hat-konferanser fordi vi skal snakke om hvordan angripere tjener penger på angrepene deres.
Vi skal vise deg noen interessante angrep som kan gi overskudd, og fortelle deg om angrepene som faktisk fant sted den kvelden vi gikk over Jägermeister og brainstormet. Det var gøy, men da vi ble edru, snakket vi med SEO-folkene og fikk faktisk vite at mange tjener penger på disse angrepene.
Jeg er bare en hjerneløs mellomleder, så jeg gir opp plassen min og introduserer deg for Jeremy og Trey, som er mye smartere enn meg. Jeg burde ha en smart og morsom introduksjon, men det har jeg ikke, så jeg viser disse lysbildene i stedet.
Lysbilder som viser Jeremy Grossman og Trey Ford vises på skjermen.
Jeremy Grossman er grunnlegger og teknologisjef for WhiteHat Security, kåret til en av de 2007 beste CTOene av InfoWorld i 25, medgründer av Web Application Security Consortium og medforfatter av skriptangrep på tvers av nettsteder.
Trey Ford er Director of Architectural Solutions hos WhiteHat Security, som har 6 års erfaring som sikkerhetskonsulent for Fortune 500-selskaper og en av utviklerne av PCI DSS betalingskortdatasikkerhetsstandard.
Jeg tror disse bildene veier opp for min mangel på humor. Uansett håper jeg du liker presentasjonen deres og deretter forstår hvordan disse angrepene brukes på Internett for å tjene penger.
Jeremy Grossman: God ettermiddag, takk alle sammen for at dere kom. Dette blir en veldig morsom samtale, selv om du ikke vil se zero-day angrep eller kule nye teknologier. Vi vil bare prøve å gjøre det underholdende og snakke om de virkelige tingene som skjer hver dag som gjør at slemme gutter kan tjene mye penger.
Vi prøver ikke å imponere deg med det som vises på dette lysbildet, men bare forklare hva selskapet vårt gjør. Så, White Hat Sentinel, eller "Guardian White Hat" er:
- ubegrenset antall vurderinger – kontroll og ekspertstyring av klientnettsteder, muligheten til å skanne nettsteder uavhengig av størrelse og frekvens av endringer;
- bredt dekningsområde - autorisert skanning av nettsteder for å oppdage tekniske sårbarheter og brukertesting for å identifisere logiske feil i avdekkede forretningsområder;
- eliminering av falske positiver – vårt operative team vurderer resultatene og tildeler passende alvorlighetsgrad og trusselvurdering;
- utvikling og kvalitetskontroll - WhiteHat Satellite Appliance-systemet lar oss eksternt betjene klientsystemer gjennom tilgang til det interne nettverket;
- forbedring og forbedring - realistisk skanning lar deg raskt og effektivt oppdatere systemet.
Så vi reviderer alle nettsteder i verden, vi har det største teamet av nettapplikasjonstestere, vi gjør 600–700 vurderingstester hver uke, og alle dataene du vil se i denne presentasjonen kommer fra vår erfaring med denne typen arbeid .
På neste lysbilde ser du de 10 vanligste typene angrep på globale nettsteder. Dette viser prosentandelen av sårbarhet for visse angrep. Som du kan se, er 65 % av alle nettsteder sårbare for skripting på tvers av nettsteder, 40 % tillater informasjonslekkasje, og 23 % er sårbare for innholdsforfalskning. I tillegg til skripting på tvers av nettsteder, er SQL-injeksjoner og den beryktede forfalskning av forespørsler på tvers av nettsteder, som ikke er inkludert i vår topp ti, vanlige. Men denne listen inneholder angrep med esoteriske navn, som er beskrevet med et vagt språk og spesifisiteten er at de er rettet mot visse selskaper.
Dette er autentiseringsfeil, autorisasjonsprosessfeil, informasjonslekkasjer og så videre.
Det neste lysbildet snakker om angrep på forretningslogikk. QA-team som er involvert i kvalitetssikring, tar vanligvis ikke hensyn til dem. De tester hva programvaren skal gjøre, ikke hva den kan, og så kan du se hva du vil. Skannere, alle disse hvite/svarte/grå boksene, alle disse flerfargede boksene er ikke i stand til å oppdage disse tingene i de fleste tilfeller, fordi de ganske enkelt er fiksert på konteksten av hva angrepet kan være eller hva som skjer lignende når det skjer. De mangler intelligens og vet ikke om noe fungerte i det hele tatt eller ikke.
Det samme gjelder IDS- og WAF-applikasjonsbrannmurer, som heller ikke klarer å oppdage forretningslogiske feil fordi HTTP-forespørsler ser helt normale ut. Vi vil vise deg at angrep relatert til forretningslogikkfeil oppstår helt naturlig, det er ingen hackere, ingen metakarakterer eller andre rariteter, de ser ut som naturlig forekommende prosesser. Hovedsaken er at de slemme gutta elsker disse tingene fordi feilene i forretningslogikken gir dem penger. De bruker XSS, SQL, CSRF, men denne typen angrep blir stadig vanskeligere å gjennomføre, og vi har sett at de har gått ned de siste 3-5 årene. Men de vil ikke forsvinne av seg selv, akkurat som bufferoverløp ikke vil forsvinne. De slemme gutta tenker imidlertid på hvordan de kan bruke mer sofistikerte angrep fordi de tror at de "ekte skurkene" alltid er ute etter å tjene penger på angrepene sine.
Jeg vil vise deg ekte triks som du kan ta med deg og bruke dem på riktig måte for å beskytte virksomheten din. Et annet formål med presentasjonen vår er at du kanskje lurer på etikk.
Online meningsmålinger og stemmegivning
Så, for å begynne diskusjonen om manglene ved forretningslogikk, la oss snakke om nettbaserte undersøkelser. Online meningsmålinger er den vanligste måten å finne ut eller påvirke opinionen på. Vi starter med en fortjeneste på $0 og ser deretter på resultatet av 5, 6, 7 måneder med uredelige ordninger. La oss starte med å gjøre en veldig, veldig enkel undersøkelse. Du vet at hver nye nettside, hver blogg, hver nyhetsportal gjennomfører nettbaserte undersøkelser. Når det er sagt, er ingen nisje for stor eller for smal, men vi ønsker å se opinionen på spesifikke områder.
Jeg vil gjerne trekke oppmerksomheten din til en undersøkelse utført i Austin, Texas. Fordi en Austin-beagle vant Westminster Dog Show, bestemte Austin American Statesman seg for å gjennomføre en online Austin's Best in Show-undersøkelse for hundeeiere i Central Texas. Tusenvis av eiere sendte inn bilder og stemte på sine favoritter. Som så mange andre undersøkelser, var det ingen annen premie enn å skryte for kjæledyret ditt.
En Web 2.0-systemapplikasjon ble brukt til å stemme. Du klikket "ja" hvis du likte hunden og fant ut om den var den beste hunden i rasen eller ikke. Så du stemte på flere hundre hunder som ble lagt ut på siden som kandidater til vinneren av utstillingen.
Med denne stemmemetoden var 3 typer juks mulig. Den første er den endeløse avstemningen, hvor du stemmer på den samme hunden om og om igjen. Det er veldig enkelt. Den andre metoden er negativ multiple voting, hvor du stemmer et stort antall ganger mot en konkurrerende hund. Den tredje måten var at du bokstavelig talt i siste minutt av konkurransen plasserte en ny hund, stemte på den, slik at muligheten for å få negative stemmer var minimal, og du vant ved å få 100 % positive stemmer.
Dessuten ble seieren bestemt som en prosentandel, og ikke av det totale antallet stemmer, det vil si at du ikke kunne bestemme hvilken hund som fikk maksimalt antall positive vurderinger, bare prosentandelen av positive og negative vurderinger for en bestemt hund ble beregnet . Hunden med det beste positive/negative poengforholdet vant.
Kollega Robert "RSnake" Hansens venn ba ham hjelpe henne Chihuahua Tiny å vinne en konkurranse. Du vet Robert, han er fra Austin. Han, som en superhacker, fikset Burp-proxyen og fulgte minst motstands vei. Han brukte jukseteknikk #1, kjørte den gjennom en Burp-løkke med flere hundre eller tusen forespørsler, og dette ga hunden 2000 oppstemmer og brakte ham til 1. plass.
Deretter brukte han jukseteknikk nr. 2 mot Tinys konkurrent, med kallenavnet Chuchu. I de siste minuttene av konkurransen avga han 450 stemmer mot Chuchu, noe som ytterligere styrket Tinys posisjon på 1. plass med et stemmeforhold på mer enn 2:1, men i forhold til prosentandelen positive og negative anmeldelser tapte Tiny likevel. På dette lysbildet ser du det nye ansiktet til en nettkriminell, motløs av dette utfallet.
Ja, det var et interessant scenario, men jeg tror at vennen min ikke likte denne forestillingen. Du ville bare vinne Chihuahua-konkurransen i Austin, men det var noen som prøvde å hacke deg og gjøre det samme. Vel, nå sender jeg samtalen til Trey.
Å skape kunstig etterspørsel og tjene penger på det
Trey Ford: Konseptet «kunstig DoS» refererer til flere forskjellige interessante scenarier når vi kjøper billetter på nett. For eksempel når du reserverer et spesialsete på en flytur. Dette kan gjelde alle typer billetter, for eksempel en sportsbegivenhet eller en konsert.
For å forhindre gjentatte kjøp av knappe gjenstander som flyseter, fysiske gjenstander, brukernavn osv., låser applikasjonen varen i en viss periode for å forhindre konflikter. Og her kommer sårbarheten knyttet til muligheten til å reservere noe på forhånd.
Vi vet alle om timeout, vi vet alle om å avslutte økten. Men denne spesielle logiske feilen lar oss velge et sete på en flytur og deretter gå tilbake for å gjøre valget igjen uten å betale noe. Sikkert mange av dere drar ofte på forretningsreiser, men for meg er dette en vesentlig del av jobben. Vi har testet denne algoritmen mange steder: du velger en flyreise, velger et sete, og først når du er klar skriver du inn betalingsinformasjonen din. Det vil si at etter at du har valgt et sted, er det reservert for deg for en viss tid – fra flere minutter til flere timer, og i løpet av denne tiden kan ingen andre booke dette stedet. På grunn av denne ventetiden har du en reell mulighet til å reservere alle setene på flyet ved ganske enkelt å gå tilbake til stedet og bestille de setene du ønsker.
Dermed vises et DoS-angrepsalternativ: gjenta denne syklusen automatisk for hvert sete på flyet.
Vi har testet dette på minst to store flyselskaper. Du kan finne den samme sårbarheten med alle andre bestillinger. Dette er en flott mulighet til å øke prisene på billettene dine for de som ønsker å selge dem videre. For å gjøre dette trenger spekulanter ganske enkelt å bestille de gjenværende billettene uten risiko for pengetap. På denne måten kan du "krasj" e-handel som selger produkter med høy etterspørsel - videospill, spillkonsoller, iPhones og så videre. Det vil si at den eksisterende feilen i online-bestillings- eller reservasjonssystemet lar en angriper tjene penger på det eller forårsake skade på konkurrenter.
Captcha-dekryptering
Jeremy Grossman: La oss nå snakke om captcha. Alle kjenner de irriterende bildene som forsøpler Internett og brukes til å bekjempe spam. Potensielt kan du også tjene penger på captcha. Captcha er en helautomatisert Turing-test som lar deg skille en ekte person fra en bot. Jeg oppdaget mange interessante ting mens jeg undersøkte bruken av captcha.
Captcha ble først brukt rundt 2000-2001. Spammere ønsker å eliminere captchaen for å registrere seg for gratis e-posttjenester Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. og send spam. Siden captcha brukes ganske mye, har det dukket opp et helt marked med tjenester som tilbyr å omgå den allestedsnærværende captchaen. Til syvende og sist gir dette profitt - et eksempel kan være å sende spam. Det er 3 måter å omgå captchaen, la oss se på dem.
Den første er feilene i implementeringen av ideen, eller mangler ved bruken av captcha.
Dermed inneholder svarene på spørsmål for lite entropi, for eksempel "skriv hva 4+1 er lik." De samme spørsmålene kan gjentas mange ganger, og spekteret av mulige svar er ganske lite.
Effektiviteten til captcha sjekkes på denne måten:
- testen bør utføres under forhold der personen og serveren er fjernt fra hverandre,
testen skal ikke være vanskelig for den enkelte; - Spørsmålet skal være slik at en person kan svare på det innen noen få sekunder,
Bare den som spørsmålet stilles til skal svare; - å svare på spørsmålet må være vanskelig for datamaskinen;
- kunnskap om tidligere spørsmål, svar eller deres kombinasjon bør ikke påvirke forutsigbarheten til neste test;
- testen må ikke diskriminere personer med syns- eller hørselshemninger;
- Testen må ikke være geografisk, kulturelt eller språklig partisk.
Som det viser seg, er det ganske vanskelig å lage en "riktig" captcha.
Den andre ulempen med captcha er muligheten for å bruke optisk OCR-tegngjenkjenning. Et kodestykke er i stand til å lese et captcha-bilde uansett hvor mye visuell støy det inneholder, se hvilke bokstaver eller tall som utgjør det, og automatisere gjenkjenningsprosessen. Forskning har vist at de fleste captchaer lett kan knekkes.
Jeg vil gi sitater fra spesialister fra School of Computer Science ved University of Newcastle, Storbritannia. De snakker om hvor enkelt det er å knekke Microsofts captcha: «angrepet vårt var i stand til å oppnå en suksessrate for segmentering på 92 %, noe som innebærer at MSN captcha-skjemaet kan knekkes i 60 % av tilfellene ved å segmentere bildet og deretter gjenkjenne det. ” Å knekke Yahoos captcha var like enkelt: «Vårt andre angrep oppnådde en segmenteringssuksess på 33,4 %. Dermed kan omtrent 25,9 % av captchaene bli knekt. Vår forskning tyder på at spammere aldri bør bruke billig menneskelig arbeidskraft for å omgå Yahoos captcha, men heller stole på et billig automatisert angrep."
Den tredje metoden for å omgå captcha kalles "Mechanical Turk", eller "Turk". Vi testet den mot Yahoos captcha umiddelbart etter publisering, og den dag i dag vet vi ikke, og ingen vet, hvordan vi skal beskytte mot et slikt angrep.
Dette er tilfellet der du har en skurk som vil drive en "voksen" side eller et nettspill hvor brukere ber om noe innhold. Før de kan se det neste bildet, vil nettstedet hackeren eier sende en back-end-forespørsel til et nettbasert system du er kjent med, for eksempel Yahoo eller Google, ta captchaen derfra og gi den til brukeren. Og så snart brukeren svarer på spørsmålet, vil hackeren sende den gjettede captchaen til målnettstedet og vise brukeren det forespurte bildet fra nettstedet hans. Hvis du har en veldig populær side med mye interessant innhold, kan du mobilisere en hel hær av mennesker som automatisk vil fylle ut andres captchas for deg. Dette er en veldig kraftig ting.
Imidlertid prøver ikke bare folk å omgå captchas; bedrifter bruker også denne teknikken. Robert "RSnake" Hansen snakket en gang på bloggen sin med en rumensk "captcha-løser" som sa at han kunne løse fra 300 til 500 captchaer i timen med en hastighet på 9 til 15 dollar per tusen løste captchaer.
Han sier direkte at teammedlemmene hans jobber 12 timer om dagen, og løser rundt 4800 captchaer i løpet av denne tiden, og avhengig av hvor vanskelig captchaene er, kan de motta opptil $50 per dag for arbeidet sitt. Dette var et interessant innlegg, men enda mer interessant er kommentarene som bloggbrukere la igjen under dette innlegget. En melding dukket umiddelbart opp fra Vietnam, hvor en viss Quang Hung rapporterte om gruppen hans på 20 personer, som gikk med på å jobbe for $4 per 1000 gjettede captchas.
Neste melding var fra Bangladesh: «Hei! Håper du har det bra! Vi er et ledende foredlingsselskap fra Bangladesh. For tiden er våre 30 operatører i stand til å løse mer enn 100000 2 captchaer per dag. Vi tilbyr utmerkede forhold og en lav pris - $1000 for XNUMX gjettede captchaer fra Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. nettsteder. Vi ser frem til videre samarbeid."
En annen interessant melding ble sendt av en viss Babu: "Jeg er interessert i dette arbeidet, vennligst ring meg på telefonen."
Så det er ganske interessant. Vi kan diskutere hvor lovlig eller ulovlig denne aktiviteten er, men faktum er at folk faktisk tjener penger på det.
Få tilgang til andres kontoer
Trey Ford: Det neste scenariet vi skal snakke om er å tjene penger ved å overta en annens konto.
Alle glemmer passord, og for applikasjonssikkerhetstesting representerer tilbakestilling av passord og online registrering to distinkte, fokuserte forretningsprosesser. Det er et stort gap mellom hvor enkelt det er å tilbakestille passordet og det er enkelt å registrere seg, så du bør strebe etter å gjøre tilbakestillingsprosessen så enkel som mulig. Men hvis vi prøver å forenkle det, oppstår det et problem fordi jo enklere det er å tilbakestille et passord, jo mindre sikkert er det.
En av de mest høyprofilerte sakene involverte online registrering ved bruk av Sprints brukerverifiseringstjeneste. To White Hat-teammedlemmer brukte Sprint for online registrering. Det er et par ting du må bekrefte for å bevise at du er deg, og starter med noe så enkelt som mobilnummeret ditt. Du trenger elektronisk registrering for ting som å administrere bankkontoen din, betale for tjenester og så videre. Å kjøpe telefoner er veldig praktisk hvis du kan gjøre det fra en annens konto og deretter foreta kjøp og gjøre mye mer. Et av svindelalternativene er å endre betalingsadressen, bestille levering av en hel haug med mobiltelefoner til adressen din, og offeret vil bli tvunget til å betale for dem. Forfølgende galninger drømmer også om denne muligheten: å legge til GPS-sporingsfunksjonalitet til ofrenes telefoner og spore hver bevegelse deres fra hvilken som helst datamaskin.
Så, Sprint tilbyr noen av de enkleste spørsmålene for å bekrefte identiteten din. Som vi vet, kan sikkerheten sikres enten ved et veldig bredt spekter av entropi, eller av høyt spesialiserte problemer. Jeg skal lese deg en del av Sprint-registreringsprosessen fordi entropien er veldig lav. For eksempel er det et spørsmål: "velg et bilmerke registrert på følgende adresse," og merkealternativene er Lotus, Honda, Lamborghini, Fiat og "ingen av de ovennevnte." Si meg, hvem av dere har noe av det ovenfor? Som du kan se, er dette utfordrende puslespillet bare en flott mulighet for en høyskolestudent til å få billige telefoner.
Andre spørsmål: "Hvem av følgende personer bor hos deg eller bor på adressen nedenfor"? Det er veldig enkelt å svare på dette spørsmålet, selv om du ikke kjenner denne personen i det hele tatt. Jerry Stifliin - dette etternavnet har tre "ays" i seg, vi kommer til det om et sekund - Ralph Argen, Jerome Ponicki og John Pace. Det som er interessant med denne oppføringen er at navnene som er gitt er helt tilfeldige, og de er alle underlagt det samme mønsteret. Hvis du beregner det, vil du ikke ha noen problemer med å identifisere det virkelige navnet, fordi det skiller seg fra de tilfeldig valgte navnene i noe karakteristisk, i dette tilfellet de tre bokstavene "i". Dermed er Stayfliin tydeligvis ikke et tilfeldig navn, og det er lett å gjette, denne personen er målet ditt. Det er veldig, veldig enkelt.
Det tredje spørsmålet: "i hvilke av de oppførte byene har du aldri bodd eller aldri brukt denne byen i adressen din?" — Longmont, North Hollywood, Genova eller Butte? Vi har tre tettbefolkede områder rundt Washington DC, så det åpenbare svaret er Nord-Hollywood.
Det er et par ting du må være forsiktig med med Sprint online registrering. Som jeg sa før, kan du bli alvorlig skadet hvis en angriper kan endre leveringsadressen for kjøp i betalingsinformasjonen din. Det som virkelig er skummelt er at vi har en Mobile Locator-tjeneste.
Med den kan du spore bevegelsene til dine ansatte, ettersom folk bruker mobiltelefoner og GPS, og du kan se på kartet hvor de er. Så det er noen andre ganske interessante ting som skjer i denne prosessen.
Som du vet, når du tilbakestiller et passord, har e-postadressen forrang over andre metoder for brukerverifisering og sikkerhetsspørsmål. Det neste lysbildet viser mange tjenester som tilbyr å angi e-postadressen din hvis brukeren har problemer med å logge på kontoen sin.
Vi vet at de fleste bruker e-post og har en e-postkonto. Plutselig ville folk finne en måte å tjene penger på det. Du vil alltid finne ut offerets e-postadresse, skrive den inn i skjemaet, og du vil ha muligheten til å tilbakestille passordet for kontoen du vil manipulere. Du bruker den deretter på nettverket ditt, og den postkassen blir ditt gylne hvelv, hovedstedet du kan stjele alle offerets andre kontoer fra. Du vil motta hele offerets abonnement ved å ta kun én postkasse i besittelse. Slutt å smil, dette er alvorlig!
Det neste lysbildet viser hvor mange millioner mennesker som bruker de tilsvarende e-posttjenestene. Folk bruker Gmail, Yahoo Mail, Hotmail, AOL Mail aktivt, men du trenger ikke være en superhacker for å ta over kontoene deres, du kan holde hendene rene ved å outsourcing. Du kan alltid si at det ikke har noe med det å gjøre, du gjorde ikke noe sånt.
Så, netttjenesten "Password Recovery" er basert i Kina, hvor du betaler for at de skal hacke "din" konto. For 300 yuan, som er omtrent $43, kan du prøve å tilbakestille et utenlandsk postbokspassord med en suksessrate på 85%. For 200 yuan, eller $29, vil du ha 90 % suksess med å tilbakestille passordet for hjemmepostkassen for e-posttjenesten. Det koster tusen yuan, eller 143 dollar, å hacke seg inn i en hvilken som helst bedrifts postkasse, men suksess er ikke garantert. Du kan også outsource passordknekkingstjenester for 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Konferanse BLACK HAT USA. Bli rik eller dø: tjen penger på nettet med Black Hat-metoder. Del 2 (lenke vil være tilgjengelig i morgen)
Noen annonser 🙂
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, , 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com