Chumbo: senhoras e senhores, essa palestra é muito engraçada e muito interessante, hoje vamos falar de coisas reais que se observam na Internet. Essa conversa é um pouco diferente daquelas que estamos acostumados nas conferências Black Hat porque vamos falar sobre como os invasores ganham dinheiro com seus ataques.
Mostraremos alguns ataques interessantes que podem gerar lucro e contaremos sobre os ataques que realmente aconteceram na noite em que examinamos Jägermeister e fizemos um brainstorming. Foi divertido, mas quando ficamos um pouco sóbrios, conversamos com o pessoal de SEO e descobrimos que muitas pessoas estão ganhando dinheiro com esses ataques.
Sou apenas um gerente intermediário sem cérebro, então vou desistir do meu lugar e apresentar Jeremy e Trey, que são muito mais espertos do que eu. Eu deveria ter uma introdução inteligente e divertida, mas não tenho, então vou mostrar esses slides.
Slides mostrando Jeremy Grossman e Trey Ford são mostrados na tela.
Jeremy Grossman é o fundador e diretor de tecnologia da WhiteHat Security, nomeado um dos 2007 principais CTOs pela InfoWorld em 25, cofundador do Web Application Security Consortium e coautor de ataques de script entre sites.
Trey Ford é Diretor de Soluções de Arquitetura da WhiteHat Security, tem 6 anos de experiência como consultor de segurança para empresas Fortune 500 e um dos desenvolvedores do padrão de segurança de dados de cartões de pagamento PCI DSS.
Acho que essas fotos compensam minha falta de humor. De qualquer forma, espero que vocês gostem da apresentação e depois entendam como esses ataques são usados na Internet para ganhar dinheiro.
Jeremy Grossman: Boa tarde, obrigado a todos por terem vindo. Esta será uma conversa muito divertida, embora você não veja ataques de dia zero ou novas tecnologias interessantes. Tentaremos apenas torná-lo divertido e falar sobre as coisas reais que acontecem todos os dias e que permitem que os bandidos ganhem muito dinheiro.
Não estamos tentando impressioná-lo com o que é mostrado neste slide, mas simplesmente explicar o que nossa empresa faz. Então, Sentinela do Chapéu Branco, ou “Guardião do Chapéu Branco” é:
- número ilimitado de avaliações – controle e gerenciamento especializado de sites de clientes, capacidade de verificar sites independentemente de seu tamanho e frequência de alterações;
- amplo escopo de cobertura – verificação autorizada de sites para detectar vulnerabilidades técnicas e testes de usuários para identificar erros lógicos em áreas de negócios descobertas;
- eliminação de falsos positivos – nossa equipe operacional analisa os resultados e atribui a gravidade e a classificação de ameaça apropriadas;
- desenvolvimento e controle de qualidade - o sistema WhiteHat Satellite Appliance nos permite atender remotamente os sistemas clientes através do acesso à rede interna;
- melhoria e melhoria - a verificação realista permite atualizar o sistema de forma rápida e eficiente.
Portanto, auditamos todos os sites do mundo, temos a maior equipe de pentesters de aplicações web, fazemos de 600 a 700 testes de avaliação todas as semanas, e todos os dados que você verá nesta apresentação vêm de nossa experiência nesse tipo de trabalho. .
No próximo slide você vê os 10 tipos de ataques mais comuns em sites globais. Isso mostra a porcentagem de vulnerabilidade a determinados ataques. Como você pode ver, 65% de todos os sites são vulneráveis a cross-site scripting, 40% permitem vazamento de informações e 23% são vulneráveis a falsificação de conteúdo. Além dos scripts entre sites, injeções de SQL e a notória falsificação de solicitações entre sites, que não estão incluídas em nossos dez principais, são comuns. Mas esta lista contém ataques com nomes esotéricos, que são descritos em linguagem vaga e cuja especificidade é que são dirigidos contra determinadas empresas.
São falhas de autenticação, falhas no processo de autorização, vazamento de informações e assim por diante.
O próximo slide fala sobre ataques à lógica de negócios. As equipes de controle de qualidade envolvidas na garantia de qualidade geralmente não prestam atenção a eles. Eles testam o que o software deve fazer, não o que pode fazer, e então você pode ver o que quiser. Scanners, todas essas caixas brancas/pretas/cinzentas, todas essas caixas multicoloridas não são capazes de detectar essas coisas na maioria dos casos, porque estão simplesmente fixadas no contexto do que o ataque poderia ser ou o que acontece de forma semelhante quando acontece. Eles não têm inteligência e não sabem se alguma coisa funcionou ou não.
O mesmo se aplica aos firewalls de aplicativos IDS e WAF, que também não conseguem detectar falhas na lógica de negócios porque as solicitações HTTP parecem completamente normais. Mostraremos que os ataques relacionados a falhas de lógica de negócios surgem de forma totalmente natural, não há hackers, nem metacaracteres ou outras esquisitices, eles parecem processos que ocorrem naturalmente. O principal é que os bandidos adoram essas coisas porque as falhas na lógica de negócios lhes rendem dinheiro. Eles usam XSS, SQL, CSRF, mas esses tipos de ataques estão se tornando cada vez mais difíceis de realizar e vimos que diminuíram nos últimos 3 a 5 anos. Mas eles não desaparecerão por si mesmos, assim como o buffer overflow não desaparecerá. No entanto, os bandidos estão pensando em como usar ataques mais sofisticados porque acreditam que os “verdadeiros bandidos” estão sempre procurando ganhar dinheiro com seus ataques.
Quero mostrar truques reais que você pode adotar e usá-los da maneira certa para proteger seu negócio. Outro propósito da nossa apresentação é que você pode estar se perguntando sobre ética.
Enquetes e votações online
Então, para começar nossa discussão sobre as deficiências da lógica de negócios, vamos falar sobre pesquisas on-line. As pesquisas online são a forma mais comum de descobrir ou influenciar a opinião pública. Começaremos com um lucro de US$ 0 e depois veremos o resultado de 5, 6, 7 meses de esquemas fraudulentos. Vamos começar fazendo uma pesquisa muito, muito simples. Você sabe que todo novo site, todo blog, todo portal de notícias realiza pesquisas online. Dito isto, nenhum nicho é demasiado grande ou demasiado estreito, mas queremos ver a opinião pública em áreas específicas.
Gostaria de chamar a atenção para uma pesquisa realizada em Austin, Texas. Como um beagle de Austin venceu o Westminster Dog Show, o Austin American Statesman decidiu realizar uma enquete on-line do Austin's Best in Show para proprietários de cães na região central do Texas. Milhares de proprietários enviaram fotos e votaram nas suas favoritas. Como tantas outras pesquisas, não houve outro prêmio além do direito de se gabar para o seu animal de estimação.
Foi utilizada uma aplicação de sistema Web 2.0 para votação. Você clicou em “sim” se gostou do cachorro e descobriu se era o melhor cachorro da raça ou não. Então você votou em várias centenas de cães postados no site como candidatos ao vencedor do show.
Com este método de votação, eram possíveis 3 tipos de trapaça. A primeira é a votação sem fim, onde você vota repetidamente no mesmo cachorro. É muito simples. O segundo método é a votação múltipla negativa, onde você vota um grande número de vezes contra um cão concorrente. A terceira forma foi que, literalmente no último minuto da competição, você colocasse um novo cachorro, votasse nele, de forma que a possibilidade de receber votos negativos fosse mínima, e você ganhasse ao receber 100% de votos positivos.
Além disso, a vitória foi determinada em percentual, e não pelo número total de votos, ou seja, não foi possível determinar qual cão recebeu o número máximo de avaliações positivas, apenas foi calculado o percentual de avaliações positivas e negativas para um determinado cão. . O cão com a melhor relação pontuação positiva/negativa venceu.
O amigo do colega Robert "RSnake" Hansen pediu-lhe que ajudasse seu Chihuahua Tiny a vencer uma competição. Você conhece Robert, ele é de Austin. Ele, como um super hacker, consertou o proxy Burp e seguiu o caminho de menor resistência. Ele usou a técnica de trapaça nº 1, executando-o através de um loop Burp de várias centenas ou milhares de solicitações, e isso rendeu ao cão 2000 votos positivos e o levou ao primeiro lugar.
Em seguida, ele usou a técnica de trapaça nº 2 contra o concorrente de Tiny, apelidado de Chuchu. Nos últimos minutos da competição, ele deu 450 votos contra Chuchu, o que fortaleceu ainda mais a posição de Tiny no 1º lugar com uma proporção de votos superior a 2:1, mas em termos de percentual de avaliações positivas e negativas, Tiny ainda perdeu. Neste slide você vê a nova cara de um cibercriminoso, desanimado com esse desfecho.
Sim, foi um cenário interessante, mas acho que meu amigo não gostou dessa atuação. Você só queria vencer a competição de Chihuahua em Austin, mas alguém tentou hackear você e fez a mesma coisa. Bem, agora passo a ligação para Trey.
Criando demanda artificial e ganhando dinheiro com isso
Trey Ford: O conceito de “DoS artificial” refere-se a vários cenários interessantes quando compramos ingressos online. Por exemplo, ao reservar um assento especial num voo. Isto pode aplicar-se a qualquer tipo de bilhete, como um evento desportivo ou um concerto.
Para evitar compras repetidas de itens escassos, como assentos aéreos, itens físicos, nomes de usuário, etc., o aplicativo bloqueia o item por um determinado período de tempo para evitar conflitos. E aí vem a vulnerabilidade associada à capacidade de reservar algo com antecedência.
Todos nós sabemos sobre o tempo limite, todos sabemos sobre o encerramento da sessão. Mas esta falha lógica específica permite-nos selecionar um assento num voo e depois voltar para fazer a seleção novamente sem pagar nada. Certamente muitos de vocês viajam com frequência em negócios, mas para mim esta é uma parte essencial do trabalho. Testamos esse algoritmo em muitos lugares: você seleciona um voo, escolhe um assento e somente quando estiver pronto você insere suas informações de pagamento. Ou seja, depois de escolhido um local, ele fica reservado para você por um determinado período de tempo - de vários minutos a várias horas, e durante esse tempo ninguém mais pode reservar esse local. Devido a este período de espera, você tem uma oportunidade real de reservar todos os assentos do avião, simplesmente retornando ao site e reservando os assentos desejados.
Assim, surge uma opção de ataque DoS: repetir automaticamente este ciclo para cada assento do avião.
Testamos isso em pelo menos duas grandes companhias aéreas. Você pode encontrar a mesma vulnerabilidade em qualquer outra reserva. Esta é uma ótima oportunidade de aumentar o preço dos seus ingressos para quem deseja revendê-los. Para fazer isso, os especuladores precisam simplesmente reservar os bilhetes restantes sem qualquer risco de perda monetária. Dessa forma, você pode “cravar” o comércio eletrônico que vende produtos de alta demanda – videogames, consoles de jogos, iPhones e assim por diante. Ou seja, a falha existente no sistema de agendamento ou reserva online permite que um invasor ganhe dinheiro com isso ou cause danos aos concorrentes.
Descriptografia Captcha
Jeremy Grossman: Agora vamos falar sobre captcha. Todo mundo conhece aquelas imagens irritantes que espalham-se pela Internet e são usadas para combater spam. Potencialmente, você também pode lucrar com o captcha. Captcha é um teste de Turing totalmente automatizado que permite distinguir uma pessoa real de um bot. Descobri muitas coisas interessantes enquanto pesquisava o uso do captcha.
O Captcha foi usado pela primeira vez por volta de 2000-2001. Os spammers querem eliminar o captcha para se registrarem nos serviços de e-mail gratuitos Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. e enviar spam. Como o captcha é amplamente utilizado, surgiu todo um mercado de serviços que oferecem contornar o onipresente captcha. Em última análise, isso traz lucro – um exemplo seria o envio de spam. Existem 3 maneiras de contornar o captcha, vamos dar uma olhada nelas.
A primeira são as falhas na implementação da ideia, ou deficiências no uso do captcha.
Assim, as respostas às perguntas contêm muito pouca entropia, como “escreva a que 4+1 é igual”. As mesmas perguntas podem ser repetidas muitas vezes e o leque de respostas possíveis é bastante pequeno.
A eficácia do captcha é verificada desta forma:
- o teste deve ser realizado em condições onde a pessoa e o servidor estejam distantes um do outro,
o teste não deve ser difícil para o indivíduo; - a pergunta deve ser tal que uma pessoa possa respondê-la em poucos segundos,
Somente aquele a quem a pergunta é feita deverá responder; - responder à pergunta deve ser difícil para o computador;
- o conhecimento das questões, respostas anteriores ou sua combinação não deve afetar a previsibilidade do próximo teste;
- o teste não deve discriminar pessoas com deficiência visual ou auditiva;
- o teste não deve ser tendencioso em termos geográficos, culturais ou linguísticos.
Acontece que criar um captcha “correto” é bastante difícil.
A segunda desvantagem do captcha é a possibilidade de usar o reconhecimento óptico de caracteres OCR. Um pedaço de código é capaz de ler uma imagem captcha, não importa quanto ruído visual ela contenha, ver quais letras ou números a formam e automatizar o processo de reconhecimento. A pesquisa mostrou que a maioria dos captchas pode ser facilmente quebrada.
Darei citações de especialistas da Escola de Ciência da Computação da Universidade de Newcastle, Reino Unido. Eles falam sobre a facilidade de quebrar o captcha da Microsoft: “nosso ataque conseguiu atingir uma taxa de sucesso de segmentação de 92%, o que implica que o esquema de captcha do MSN pode ser quebrado em 60% dos casos segmentando a imagem e depois reconhecendo-a. ” Quebrar o captcha do Yahoo foi igualmente fácil: “nosso segundo ataque alcançou um sucesso de segmentação de 33,4%. Assim, cerca de 25,9% dos captchas podem ser quebrados. Nossa pesquisa sugere que os spammers nunca deveriam usar mão de obra humana barata para contornar o captcha do Yahoo, mas sim confiar em um ataque automatizado de baixo custo”.
O terceiro método para contornar o captcha é chamado de “Turco Mecânico” ou “Turk”. Testamos o captcha do Yahoo imediatamente após a publicação e até hoje não sabemos, e ninguém sabe, como nos proteger contra tal ataque.
Este é o caso quando você tem um bandido que administra um site “adulto” ou um jogo online de onde os usuários solicitam algum conteúdo. Antes que eles possam ver a próxima imagem, o site de propriedade do hacker fará uma solicitação de back-end a um sistema on-line com o qual você está familiarizado, digamos, Yahoo ou Google, pegará o captcha de lá e o entregará ao usuário. E assim que o usuário responder à pergunta, o hacker enviará o captcha adivinhado para o site de destino e mostrará ao usuário a imagem solicitada de seu site. Se você tem um site muito popular e com muito conteúdo interessante, pode mobilizar todo um exército de pessoas que preencherão automaticamente os captchas de outras pessoas para você. Isso é uma coisa muito poderosa.
No entanto, não são apenas as pessoas que tentam contornar os captchas; as empresas também utilizam esta técnica. Robert “RSnake” Hansen conversou certa vez em seu blog com um “solucionador de captcha” romeno que disse que poderia resolver de 300 a 500 captchas por hora a uma taxa de 9 a 15 dólares por mil captchas resolvidos.
Ele diz diretamente que os membros de sua equipe trabalham 12 horas por dia, resolvendo cerca de 4800 captchas nesse período, e dependendo da dificuldade dos captchas, eles podem receber até US$ 50 por dia pelo seu trabalho. Esta foi uma postagem interessante, mas ainda mais interessantes são os comentários que os usuários do blog deixaram nesta postagem. Uma mensagem apareceu imediatamente do Vietnã, onde um certo Quang Hung relatou sobre seu grupo de 20 pessoas, que concordou em trabalhar por US$ 4 por 1000 captchas adivinhados.
A próxima mensagem veio de Bangladesh: “Olá! Espero que você esteja bem! Somos uma empresa líder em processamento de Bangladesh. Atualmente, nossos 30 operadores são capazes de resolver mais de 100000 mil captchas por dia. Oferecemos excelentes condições e uma taxa baixa - US$ 2 por 1000 captchas adivinhados dos sites Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. Estamos ansiosos por uma maior cooperação."
Outra mensagem interessante foi enviada por um certo Babu: “Tenho interesse neste trabalho, por favor me ligue”.
Então é bastante interessante. Podemos debater até que ponto esta actividade é legal ou ilegal, mas o facto é que as pessoas realmente ganham dinheiro com ela.
Obtendo acesso às contas de outras pessoas
Trey Ford: O próximo cenário sobre o qual falaremos é ganhar dinheiro assumindo o controle da conta de outra pessoa.
Todos esquecem as senhas e, para testes de segurança de aplicativos, a redefinição de senha e o registro on-line representam dois processos de negócios distintos e focados. Há uma grande lacuna entre a facilidade de redefinição de senha e a facilidade de inscrição, portanto, você deve se esforçar para tornar o processo de redefinição de senha o mais simples possível. Mas se tentarmos simplificá-lo, surge um problema porque quanto mais simples for redefinir uma senha, menos seguro ela será.
Um dos casos de maior repercussão envolveu o registro on-line usando o serviço de verificação de usuário da Sprint. Dois membros da equipe White Hat usaram o Sprint para registro online. Há algumas coisas que você deve confirmar para provar que é você, começando com algo tão simples como o número do seu celular. Você precisa de registro on-line para gerenciar sua conta bancária, pagar por serviços e assim por diante. Comprar telefones é muito conveniente se você puder fazer isso na conta de outra pessoa e depois fazer compras e muito mais. Uma das opções do golpe é alterar o endereço de pagamento, solicitar a entrega de um monte de celulares no seu endereço e a vítima será obrigada a pagar por eles. Os maníacos perseguidores também sonham com esta oportunidade: adicionar funcionalidade de rastreamento GPS aos telefones de suas vítimas e rastrear todos os seus movimentos a partir de qualquer computador.
Portanto, a Sprint oferece algumas das perguntas mais simples para verificar sua identidade. Como sabemos, a segurança pode ser garantida quer por uma gama muito ampla de entropias, quer por questões altamente especializadas. Vou ler para você parte do processo de registro do Sprint porque a entropia é muito baixa. Por exemplo, há uma pergunta: “selecione uma marca de carro cadastrada no seguinte endereço” e as opções de marca são Lotus, Honda, Lamborghini, Fiat e “nenhuma das opções acima”. Diga-me, qual de vocês tem alguma das situações acima? Como você pode ver, esse quebra-cabeça desafiador é apenas uma ótima oportunidade para um estudante universitário conseguir telefones baratos.
Segunda pergunta: “Qual das seguintes pessoas mora com você ou mora no endereço abaixo”? É muito fácil responder a esta pergunta, mesmo que você não conheça essa pessoa. Jerry Stifliin - este sobrenome tem três "sim", falaremos disso em um segundo - Ralph Argen, Jerome Ponicki e John Pace. O que é interessante nesta listagem é que os nomes dados são absolutamente aleatórios e estão todos sujeitos ao mesmo padrão. Se você calcular, não terá dificuldade em identificar o nome real, pois ele difere dos nomes selecionados aleatoriamente em algo característico, neste caso as três letras “i”. Assim, Stayfliin claramente não é um nome aleatório e é fácil adivinhar que essa pessoa é o seu alvo. É muito, muito simples.
A terceira pergunta: “em quais das cidades listadas você nunca morou ou nunca utilizou esta cidade em seu endereço?” – Longmont, North Hollywood, Gênova ou Butte? Temos três áreas densamente povoadas ao redor de Washington DC, então a resposta óbvia é North Hollywood.
Há algumas coisas com as quais você precisa ter cuidado ao registrar-se online na Sprint. Como eu disse antes, você pode se machucar seriamente se um invasor conseguir alterar o endereço de entrega de compras em suas informações de pagamento. O que é realmente assustador é que temos um serviço Mobile Locator.
Com ele, você pode acompanhar os movimentos de seus funcionários, como as pessoas utilizam celulares e GPS, e pode ver no mapa onde eles estão. Portanto, há outras coisas muito interessantes que acontecem nesse processo.
Como você sabe, ao redefinir uma senha, o endereço de e-mail tem precedência sobre outros métodos de verificação do usuário e questões de segurança. O próximo slide mostra diversos serviços que oferecem a indicação do seu endereço de e-mail caso o usuário tenha dificuldade para fazer login em sua conta.
Sabemos que a maioria das pessoas usa email e possui uma conta de email. De repente, as pessoas queriam encontrar uma maneira de ganhar dinheiro com isso. Você sempre descobrirá o endereço de e-mail da vítima, inseri-lo no formulário e terá a oportunidade de redefinir a senha da conta que deseja manipular. Você então o usa em sua rede, e essa caixa de correio se torna seu cofre dourado, o principal local de onde você pode roubar todas as outras contas da vítima. Você receberá a assinatura completa da vítima ao tomar posse de apenas uma caixa de correio. Pare de sorrir, isso é sério!
O próximo slide mostra quantos milhões de pessoas usam os serviços de e-mail correspondentes. As pessoas usam ativamente Gmail, Yahoo Mail, Hotmail, AOL Mail, mas você não precisa ser um super hacker para assumir o controle de suas contas, você pode manter as mãos limpas terceirizando. Você sempre pode dizer que não tem nada a ver com isso, você não fez nada disso.
Portanto, o serviço online “Recuperação de senha” tem sede na China, onde você paga para que eles hackeiem “sua” conta. Por 300 yuans, o que equivale a cerca de US$ 43, você pode tentar redefinir a senha de uma caixa de correio estrangeira com uma taxa de sucesso de 85%. Por 200 yuans, ou US$ 29, você terá 90% de sucesso na redefinição da senha da caixa de correio do serviço de e-mail residencial. Custa mil yuans, ou US$ 143, para invadir a caixa de correio de qualquer empresa, mas o sucesso não é garantido. Você também pode terceirizar serviços de quebra de senha para 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Conferência BLACK HAT EUA. Fique rico ou morra: ganhe dinheiro online usando métodos Black Hat. Parte 2 (o link estará disponível amanhã)
Alguns anúncios 🙂
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, , 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com