Ledande: mina damer och herrar, detta föredrag är väldigt roligt och väldigt intressant, idag ska vi prata om verkliga saker som observeras på Internet. Det här samtalet skiljer sig lite från de vi är vana vid på Black Hat-konferenser eftersom vi kommer att prata om hur angripare tjänar pengar på sina attacker.
Vi visar dig några intressanta attacker som kan göra vinst, och berättar om attackerna som faktiskt ägde rum den kvällen vi gick över Jägermeister och brainstormade. Det var kul, men när vi nyktrade till lite pratade vi med SEO-folket och fick faktiskt veta att många tjänar pengar på dessa attacker.
Jag är bara en hjärnlös mellanchef, så jag ger upp min plats och presenterar dig för Jeremy och Trey, som är mycket smartare än jag. Jag borde ha en smart och rolig introduktion, men det har jag inte, så jag visar dessa bilder istället.
Bilder som visar Jeremy Grossman och Trey Ford visas på skärmen.
Jeremy Grossman är grundare och teknisk chef för WhiteHat Security, utsedd till en av de 2007 bästa CTO:erna av InfoWorld 25, medgrundare av Web Application Security Consortium och medförfattare till cross-site scripting attacker.
Trey Ford är Director of Architectural Solutions på WhiteHat Security, som har 6 års erfarenhet som säkerhetskonsult för Fortune 500-företag och en av utvecklarna av PCI DSS betalkortsdatasäkerhetsstandard.
Jag tror att de här bilderna kompenserar för min brist på humor. Jag hoppas i alla fall att du gillar deras presentation och sedan förstår hur dessa attacker används på Internet för att tjäna pengar.
Jeremy Grossman: God eftermiddag, tack alla för att ni kom. Det här kommer att bli en väldigt rolig konversation, även om du inte kommer att se zero-day attacker eller cool ny teknik. Vi ska bara försöka göra det underhållande och prata om de verkliga saker som händer varje dag som gör att skurkar kan tjäna mycket pengar.
Vi försöker inte imponera på dig med vad som visas på denna bild, utan bara förklara vad vårt företag gör. Så, White Hat Sentinel, eller "Guardian White Hat" är:
- obegränsat antal bedömningar – kontroll och experthantering av klientwebbplatser, möjligheten att skanna webbplatser oavsett storlek och frekvens av ändringar;
- brett täckningsområde - auktoriserad genomsökning av webbplatser för att upptäcka tekniska sårbarheter och användartestning för att identifiera logiska fel i avslöjade affärsområden;
- eliminera falska positiva resultat – vårt operativa team granskar resultaten och tilldelar lämplig allvarlighetsgrad och hotklassificering;
- utveckling och kvalitetskontroll - WhiteHat Satellite Appliance-systemet tillåter oss att fjärrservice klientsystem genom tillgång till det interna nätverket;
- förbättring och förbättring - realistisk skanning gör att du snabbt och effektivt kan uppdatera systemet.
Så, vi granskar alla webbplatser i världen, vi har det största teamet av webbapplikationer, vi gör 600-700 bedömningstester varje vecka, och all data du kommer att se i den här presentationen kommer från vår erfarenhet av den här typen av arbete .
På nästa bild ser du de 10 vanligaste typerna av attacker på globala webbplatser. Detta visar procentandelen sårbarhet för vissa attacker. Som du kan se är 65 % av alla sajter sårbara för cross-site scripting, 40 % tillåter informationsläckage och 23 % är sårbara för innehållsförfalskning. Förutom cross-site scripting är SQL-injektioner och den ökända cross-site request-förfalskning, som inte ingår i vår topp tio, vanliga. Men den här listan innehåller attacker med esoteriska namn, som beskrivs med vagt språk och vars specificitet är att de är riktade mot vissa företag.
Dessa är autentiseringsbrister, brister i auktoriseringsprocessen, informationsläckor och så vidare.
Nästa bild talar om attacker mot affärslogik. QA-team som är involverade i kvalitetssäkring uppmärksammar dem vanligtvis inte. De testar vad programvaran ska göra, inte vad den kan göra, och sedan kan du se vad du vill. Skanners, alla dessa vita/svarta/gråa lådor, alla dessa flerfärgade lådor kan inte upptäcka dessa saker i de flesta fall, eftersom de helt enkelt är fixerade vid sammanhanget av vad attacken kan vara eller vad som händer liknande när det händer. De saknar intelligens och vet inte om något fungerade alls eller inte.
Detsamma gäller för IDS- och WAF-applikationsbrandväggar, som inte heller kan upptäcka affärslogiska brister eftersom HTTP-förfrågningar ser helt normala ut. Vi kommer att visa dig att attacker relaterade till affärslogiska brister uppstår helt naturligt, det finns inga hackare, inga metakaraktärer eller andra konstigheter, de ser ut som naturligt förekommande processer. Huvudsaken är att skurkarna älskar dessa saker eftersom bristerna i affärslogiken tjänar pengar på dem. De använder XSS, SQL, CSRF men den här typen av attacker blir allt svårare att genomföra och vi har sett att de har minskat de senaste 3-5 åren. Men de kommer inte att försvinna av sig själva, precis som buffertspill inte kommer att försvinna. De onda funderar dock på hur de ska använda mer sofistikerade attacker eftersom de tror att de "riktiga onda" alltid vill tjäna pengar på sina attacker.
Jag vill visa dig riktiga knep som du kan ta till dig och använda dem på rätt sätt för att skydda din verksamhet. Ett annat syfte med vår presentation är att du kanske undrar över etik.
Onlineundersökningar och röstning
Så, för att börja vår diskussion om bristerna i affärslogik, låt oss prata om onlineundersökningar. Onlineundersökningar är det vanligaste sättet att ta reda på eller påverka opinionen. Vi börjar med en vinst på $0 och tittar sedan på resultatet av 5, 6, 7 månader av bedrägliga planer. Låt oss börja med att göra en väldigt, väldigt enkel undersökning. Du vet att varje ny webbplats, varje blogg, varje nyhetsportal genomför onlineundersökningar. Som sagt, ingen nisch är för stor eller för smal, men vi vill se opinionen inom specifika områden.
Jag skulle vilja uppmärksamma er på en undersökning som genomfördes i Austin, Texas. Eftersom en Austin-beagle vann Westminster Dog Show, beslutade Austin American Statesman att genomföra en online-undersökning om Austin's Best in Show för hundägare i centrala Texas. Tusentals ägare skickade in bilder och röstade fram sina favoriter. Som så många andra undersökningar fanns det inget annat pris än att skryta om ditt husdjur.
En Web 2.0-systemapplikation användes för att rösta. Du klickade "ja" om du gillade hunden och fick reda på om det var den bästa hunden i rasen eller inte. Så du röstade på flera hundra hundar som lagts ut på sajten som kandidater till vinnaren av utställningen.
Med denna röstningsmetod var 3 typer av fusk möjliga. Den första är den oändliga omröstningen, där man röstar på samma hund om och om igen. Det är väldigt enkelt. Den andra metoden är negativ multipelröstning, där man röstar ett enormt antal gånger mot en konkurrerande hund. Det tredje sättet var att du bokstavligen i sista minuten av tävlingen placerade en ny hund, röstade på den, så att möjligheten att få negativa röster var minimal, och du vann genom att få 100% positiva röster.
Dessutom bestämdes segern som en procentsats, och inte av det totala antalet röster, det vill säga du kunde inte bestämma vilken hund som fick det maximala antalet positiva betyg, bara procentandelen positiva och negativa betyg för en viss hund beräknades . Hunden med det bästa förhållandet positiva/negativa poäng vann.
Kollegan Robert "RSnake" Hansens vän bad honom hjälpa sin Chihuahua Tiny att vinna en tävling. Du vet Robert, han är från Austin. Han, som en superhacker, fixade Burp-proxyn och följde minsta motståndets väg. Han använde fuskteknik #1, körde den genom en Burp-loop med flera hundra eller tusen förfrågningar, och detta gav hunden 2000 uppröster och förde honom till 1:a plats.
Därefter använde han fuskteknik nr 2 mot Tinys konkurrent, med smeknamnet Chuchu. Under de sista minuterna av tävlingen lade han 450 röster mot Chuchu, vilket ytterligare stärkte Tinys position på 1:a plats med ett röstförhållande på mer än 2:1, men sett till andelen positiva och negativa recensioner förlorade Tiny ändå. På den här bilden ser du det nya ansiktet på en cyberbrottsling, avskräckt av detta resultat.
Ja, det var ett intressant scenario, men jag tror att min vän inte gillade den här föreställningen. Du ville bara vinna Chihuahua-tävlingen i Austin, men det var någon som försökte hacka dig och göra samma sak. Nåväl, nu överlämnar jag samtalet till Trey.
Skapa artificiell efterfrågan och tjäna pengar på det
Trey Ford: Begreppet "artificiell DoS" syftar på flera olika intressanta scenarier när vi köper biljetter online. Till exempel när du bokar en speciell plats på ett flyg. Detta kan gälla alla typer av biljetter, till exempel ett sportevenemang eller en konsert.
För att förhindra upprepade köp av knappa föremål som flygstolar, fysiska föremål, användarnamn etc. låser applikationen föremålet under en viss tid för att förhindra konflikter. Och här kommer sårbarheten i samband med möjligheten att reservera något i förväg.
Vi vet alla om timeout, vi vet alla om att avsluta sessionen. Men denna speciella logiska brist gör att vi kan välja en plats på ett flyg och sedan återvända för att göra valet igen utan att betala någonting. Säkert många av er åker ofta på affärsresor, men för mig är detta en väsentlig del av jobbet. Vi har testat den här algoritmen på många ställen: du väljer ett flyg, väljer en plats och först när du är redo anger du din betalningsinformation. Det vill säga, efter att du har valt en plats är den reserverad för dig under en viss tid - från flera minuter till flera timmar, och under denna tid kan ingen annan boka denna plats. På grund av denna vänteperiod har du en verklig möjlighet att reservera alla platser på planet genom att helt enkelt gå tillbaka till platsen och boka de platser du vill ha.
Således visas ett DoS-attackalternativ: upprepa denna cykel automatiskt för varje plats på planet.
Vi har testat detta på minst två stora flygbolag. Du kan hitta samma sårbarhet med alla andra bokningar. Detta är ett utmärkt tillfälle att höja priserna på dina biljetter för de som vill sälja dem vidare. För att göra detta behöver spekulanter helt enkelt boka de återstående biljetterna utan risk för ekonomisk förlust. På så sätt kan du "krascha" e-handel som säljer produkter med hög efterfrågan - videospel, spelkonsoler, iPhones och så vidare. Det vill säga att det befintliga felet i onlineboknings- eller bokningssystemet tillåter en angripare att tjäna pengar på det eller orsaka skada på konkurrenter.
Captcha-dekryptering
Jeremy Grossman: Låt oss nu prata om captcha. Alla känner till de där irriterande bilderna som skräpar ner på Internet och används för att bekämpa spam. Potentiellt kan du också tjäna pengar på captcha. Captcha är ett helautomatiskt Turing-test som låter dig skilja en verklig person från en bot. Jag upptäckte många intressanta saker när jag undersökte användningen av captcha.
Captcha användes första gången runt 2000-2001. Spammare vill eliminera captcha för att registrera sig för gratis e-posttjänster Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. och skicka skräppost. Eftersom captcha används ganska flitigt har det dykt upp en hel marknad av tjänster som erbjuder sig att kringgå den allestädes närvarande captcha. I slutändan ger detta vinst - ett exempel skulle vara att skicka spam. Det finns 3 sätt att kringgå captcha, låt oss titta på dem.
Den första är bristerna i genomförandet av idén, eller brister i användningen av captcha.
Således innehåller svaren på frågor för lite entropi, som "skriv vad 4+1 är lika med." Samma frågor kan upprepas många gånger, och utbudet av möjliga svar är ganska litet.
Effektiviteten av captcha kontrolleras på detta sätt:
- testet bör utföras under förhållanden där personen och servern är avlägsna från varandra,
testet ska inte vara svårt för individen; - frågan bör vara sådan att en person kan svara på den inom några sekunder,
Endast den som frågan ställs till ska svara; - att svara på frågan måste vara svårt för datorn;
- kunskap om tidigare frågor, svar eller deras kombination bör inte påverka förutsägbarheten av nästa test;
- testet får inte diskriminera personer med syn- eller hörselnedsättningar;
- Testet får inte vara geografiskt, kulturellt eller språkligt partiskt.
Som det visar sig är det ganska svårt att skapa en "korrekt" captcha.
Den andra nackdelen med captcha är möjligheten att använda OCR optisk teckenigenkänning. En kodbit kan läsa en captcha-bild oavsett hur mycket visuellt brus den innehåller, se vilka bokstäver eller siffror som bildar den och automatisera igenkänningsprocessen. Forskning har visat att de flesta captchas lätt kan knäckas.
Jag kommer att ge citat från specialister från School of Computer Science vid University of Newcastle, Storbritannien. De talar om hur lätt det är att knäcka Microsofts captcha: "vår attack kunde uppnå en segmenteringsframgångsgrad på 92 %, vilket innebär att MSN captcha-schemat kan knäckas i 60 % av fallen genom att segmentera bilden och sedan känna igen den. ” Att knäcka Yahoos captcha var lika enkelt: "vår andra attack uppnådde en segmenteringsframgång på 33,4%. Således kan cirka 25,9% av captchas knäckas. Vår forskning tyder på att spammare aldrig bör använda billig mänsklig arbetskraft för att kringgå Yahoos captcha, utan snarare förlita sig på en billig automatiserad attack."
Den tredje metoden för att kringgå captcha kallas "Mechanical Turk" eller "Turk". Vi testade den mot Yahoos captcha omedelbart efter publiceringen, och än i dag vet vi inte, och ingen vet, hur vi ska skydda mot en sådan attack.
Det här är fallet när du har en dålig kille som kommer att driva en "vuxen" webbplats eller onlinespel där användare begär visst innehåll. Innan de kan se nästa bild kommer webbplatsen som hackaren äger att göra en back-end-förfrågan till ett onlinesystem som du är bekant med, säg Yahoo eller Google, ta captcha därifrån och skicka den till användaren. Och så snart användaren svarar på frågan kommer hackaren att skicka den gissade captcha till målsidan och visa användaren den efterfrågade bilden från hans sida. Om du har en väldigt populär sida med mycket intressant innehåll kan du mobilisera en hel armé av människor som automatiskt fyller i andras captchas åt dig. Detta är en mycket kraftfull sak.
Men inte bara människor försöker kringgå captchas, företag använder också denna teknik. Robert "RSnake" Hansen pratade en gång på sin blogg med en rumänsk "captcha-lösare" som sa att han kunde lösa från 300 till 500 captchas per timme med en hastighet av 9 till 15 dollar per tusen lösta captchas.
Han säger direkt att hans teammedlemmar arbetar 12 timmar om dagen och löser cirka 4800 50 captchas under denna tid, och beroende på hur svåra captchas är kan de få upp till $20 per dag för sitt arbete. Det här var ett intressant inlägg, men ännu mer intressant är kommentarerna som blogganvändare lämnade under det här inlägget. Ett meddelande dök genast upp från Vietnam, där en viss Quang Hung rapporterade om sin grupp på 4 personer, som gick med på att arbeta för $1000 per XNUMX gissade captchas.
Nästa meddelande var från Bangladesh: "Hej! Hoppas du är okej! Vi är ett ledande bearbetningsföretag från Bangladesh. För närvarande kan våra 30 operatörer lösa mer än 100000 2 captchas per dag. Vi erbjuder utmärkta villkor och ett lågt pris - $1000 för XNUMX gissade captchas från Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. webbplatser. Vi ser fram emot ytterligare samarbete."
Ett annat intressant meddelande skickades av en viss Babu: "Jag är intresserad av det här arbetet, ring mig på telefon."
Så det är ganska intressant. Vi kan diskutera hur laglig eller olaglig den här verksamheten är, men faktum är att folk faktiskt tjänar pengar på det.
Få tillgång till andras konton
Trey Ford: Nästa scenario vi ska prata om är att tjäna pengar genom att ta över någon annans konto.
Alla glömmer lösenord, och för applikationssäkerhetstestning representerar lösenordsåterställningar och onlineregistrering två distinkta, fokuserade affärsprocesser. Det finns en stor klyfta mellan enkelheten att återställa ditt lösenord och enkelheten att registrera dig, så du bör sträva efter att göra lösenordsåterställningsprocessen så enkel som möjligt. Men om vi försöker förenkla det uppstår ett problem eftersom ju enklare det är att återställa ett lösenord, desto mindre säkert är det.
Ett av de mest uppmärksammade fallen gällde onlineregistrering med hjälp av Sprints användarverifieringstjänst. Två White Hat-teammedlemmar använde Sprint för onlineregistrering. Det finns ett par saker du måste bekräfta för att bevisa att du är du, till att börja med något så enkelt som ditt mobilnummer. Du behöver onlineregistrering för saker som att hantera ditt bankkonto, betala för tjänster och så vidare. Att köpa telefoner är väldigt bekvämt om du kan göra det från någon annans konto och sedan göra inköp och göra mycket mer. Ett av bluffalternativen är att ändra betalningsadress, beställa leverans av ett helt gäng mobiltelefoner till din adress, och offret kommer att tvingas betala för dem. Förföljande galningar drömmer också om denna möjlighet: lägga till GPS-spårningsfunktioner till sina offers telefoner och spåra varje rörelse från vilken dator som helst.
Så, Sprint erbjuder några av de enklaste frågorna för att verifiera din identitet. Som vi vet kan säkerhet garanteras antingen genom ett mycket brett spektrum av entropi eller genom högt specialiserade frågor. Jag kommer att läsa dig en del av Sprint-registreringsprocessen eftersom entropin är mycket låg. Till exempel finns det en fråga: "välj ett bilmärke registrerat på följande adress," och märkesalternativen är Lotus, Honda, Lamborghini, Fiat och "ingen av ovanstående." Säg mig, vem av er har något av ovanstående? Som du kan se är detta utmanande pussel bara ett utmärkt tillfälle för en collegestudent att få billiga telefoner.
Andra frågan: "Vilken av följande personer bor hos dig eller bor på adressen nedan"? Det är väldigt lätt att svara på den här frågan, även om du inte känner den här personen alls. Jerry Stifliin - det här efternamnet har tre "ays" i sig, vi kommer till det om en sekund - Ralph Argen, Jerome Ponicki och John Pace. Det som är intressant med den här listningen är att namnen som ges är absolut slumpmässiga, och de är alla föremål för samma mönster. Om du beräknar det kommer du inte att ha några svårigheter att identifiera det riktiga namnet, eftersom det skiljer sig från de slumpmässigt valda namnen i något karakteristiskt, i det här fallet de tre bokstäverna "i". Således är Stayfliin helt klart inte ett slumpmässigt namn, och det är lätt att gissa, den här personen är ditt mål. Det är väldigt, väldigt enkelt.
Den tredje frågan: "i vilken av de listade städerna har du aldrig bott eller aldrig använt denna stad i din adress?" — Longmont, North Hollywood, Genua eller Butte? Vi har tre tätbefolkade områden runt Washington DC, så det uppenbara svaret är North Hollywood.
Det finns ett par saker du måste vara försiktig med med Sprint online-registrering. Som jag sa tidigare kan du bli allvarligt skadad om en angripare kan ändra leveransadressen för köp i din betalningsinformation. Det som verkligen är skrämmande är att vi har en tjänst för mobil lokalisering.
Med den kan du spåra dina anställdas rörelser, eftersom människor använder mobiltelefoner och GPS, och du kan se på kartan var de befinner sig. Så det finns några andra ganska intressanta saker som händer i den här processen.
Som du vet, när du återställer ett lösenord, har e-postadressen företräde framför andra metoder för användarverifiering och säkerhetsfrågor. Nästa bild visar många tjänster som erbjuder att ange din e-postadress om användaren har svårt att logga in på sitt konto.
Vi vet att de flesta använder e-post och har ett e-postkonto. Plötsligt ville folk hitta ett sätt att tjäna pengar på det. Du kommer alltid att ta reda på offrets e-postadress, ange den i formuläret och du får möjlighet att återställa lösenordet för kontot du vill manipulera. Du använder det sedan i ditt nätverk, och den brevlådan blir ditt gyllene valv, huvudplatsen från vilken du kan stjäla offrets alla andra konton. Du får offrets hela prenumeration genom att bara ta en brevlåda i besittning. Sluta le, det här är allvarligt!
Nästa bild visar hur många miljoner människor som använder motsvarande e-posttjänster. Folk använder aktivt Gmail, Yahoo Mail, Hotmail, AOL Mail, men du behöver inte vara en superhacker för att ta över deras konton, du kan hålla händerna rena genom att outsourca. Du kan alltid säga att det inte har med det att göra, du har inte gjort något sådant.
Så onlinetjänsten "Password Recovery" är baserad i Kina, där du betalar för att de ska hacka "ditt" konto. För 300 yuan, vilket är ungefär $43, kan du försöka återställa ett utländskt brevlådelösenord med en framgångsfrekvens på 85 %. För 200 yuan, eller $29, kommer du att ha 90 % framgång med att återställa lösenordet för din hemmailtjänsts brevlåda. Det kostar tusen yuan, eller 143 dollar, att hacka sig in i ett företags brevlåda, men framgång är inte garanterad. Du kan också lägga ut lösenordsknäckningstjänster för 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Konferens BLACK HAT USA. Bli rik eller dö: tjäna pengar online med Black Hat-metoder. Del 2 (länk kommer imorgon)
Några annonser 🙂
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, , 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com