ведучий: леді та джентльмени, цей виступ дуже цікавий і дуже цікавий, сьогодні ми збираємося поговорити про реальні речі, які спостерігаються в інтернеті. Ця розмова трохи відрізняється від тих, до яких ми звикли на конференціях Black Hat, тому що ми збираємося поговорити про те, як атакуючі заробляють гроші на своїх атаках.
Ми покажемо вам кілька цікавих атак, які можуть принести прибуток, і розповімо про атаки, які справді мали місце тієї ночі, коли ми перебрали «Егермейстера» та проводили мозковий штурм. Це було весело, але коли ми трохи протверезілі, то поговорили з людьми, які займаються SEO, і дійсно дізналися, що багато людей заробляють гроші на цих атаках.
Я всього лише безмозкий менеджер середньої ланки, тому поступаюся своє місце і хочу вам представити Джеремі і Трея, які набагато розумніші за мене. У мене мало б бути розумне і веселе введення, але його немає, тож замість нього я покажу ці слайди.
На екрані демонструються слайди, які репрезентують Джеремі Гроссмана і Трея Форда.
Джеремі Гроссман – засновник та головний технічний директор компанії WhiteHat Security, у 2007 році був названий серед 25 найкращих CTO за класифікацією InfoWorld, співзасновник консорціуму Web Application Security Consortium та співавтор атак міжсайтового скриптингу.
Трей Форд – директор департаменту архітектурних рішень WhiteHat Security, який має 6-річний досвід консультанта з безпеки компаній зі списку Fortune 500, один із розробників стандарту безпеки даних платіжних карток PCI DSS.
Я думаю, ці картинки компенсують мій недолік гумору. У будь-якому випадку сподіваюся, вам сподобається їхній виступ, після якого ви зрозумієте, як ці атаки використовуються в інтернеті для того, щоб заробити гроші.
Джеремі Гроссман: добрий день, дякую всім за те, що прийшли. Це буде дуже весела розмова, хоча ви не побачите атаку нульового дня чи нові круті технології. Ми просто намагатимемося цікаво розповісти про реальні речі, які щодня відбуваються і дозволяють поганим хлопцям «наварити» багато грошей.
Ми не прагнемо вразити вас тим, що показано на цьому слайді, а просто пояснимо, чим займається наша компанія. Отже, White Hat Sentinel, або «Вартовий Білий Капелюх» це:
- необмежену кількість оцінок – контроль та експертне управління клієнтськими сайтами, можливість сканувати сайти незалежно від їх розміру та частоти змін;
- широка сфера охоплення – авторизоване сканування сайтів для виявлення технічних уразливостей та тестування користувача для виявлення логічних помилок неохоплених сфер бізнесу;
- виключення помилкових позитивних результатів – наша оперативна група перевіряє результати та призначає відповідний ступінь серйозності та рейтинг загроз;
- розробка та контроль якості – система WhiteHat Satellite Appliance дозволяє нам віддалено обслуговувати системи клієнтів через доступ до внутрішньої мережі;
- покращення та вдосконалення – реалістичне сканування дозволяє швидко та ефективно оновлювати систему.
Отже, ми проводимо аудит будь-яких сайтів у світі, ми маємо найбільшу команду пентестерів веб-додатків, щотижня ми виконуємо 600-700 оціночних тестувань, і всі дані, які ви побачите в цій презентації, взяті з нашого досвіду виконання робіт такого типу.
На наступному слайді ви бачите десятку найпоширеніших типів атак на світові сайти. Тут показаний відсоток уразливості до певних атак. Як видно, 10% всіх сайтів уразливі для міжсайтового скриптингу, 65% дозволяють витік інформації, 40% вразливі до заміни контенту. Крім міжсайтового скриптингу, поширені SQL-ін'єкції та горезвісна підробка міжсайтових запитів, яка не увійшла до нашої десятки. Натомість у цьому списку є атаки з езотеричними назвами, для опису яких використовуються розпливчасті формулювання та специфіка яких полягає в тому, що вони спрямовані проти певних компаній.
Це недоліки автентифікації, недоліки процесу авторизації, витоку інформації тощо.
На наступному слайді йдеться про атаки на бізнес-логіку. Групи QA, що займаються забезпеченням якості, зазвичай не звертають на них уваги. Вони тестують те, що програмне забезпечення має робити, а не те, що воно може зробити, і тоді ви можете побачити все, що завгодно. Сканери, всі ці White/Black/Grey Boх, (білі/чорні/сірі коробки), всі ці різнокольорові коробки не в змозі виявити ці речі в більшості випадків, тому що просто зациклені на контексті того, якою може бути атака або на що буває схоже, коли вона відбувається. У них брак інтелекту і вони не знають, працювало щось взагалі чи ні.
Те саме стосується систем виявлення вторгнень IDS та файрволів рівня додатків WAF, які також не в змозі виявити недоліки бізнес-логіки, тому що HTTP-запити виглядають цілком нормально. Ми покажемо вам, що атаки, пов'язані з недоліками бізнес-логіки, виникають цілком закономірно, тут немає ніяких хакерів, ніяких метасимволів та інших дивностей, вони виглядають процесами, що закономірно протікають. Найголовніше в тому, що погані хлопці люблять такі речі, бо недоліки бізнес-логіки дають їм гроші. Вони використовують XSS, SQL, CSRF, але здійснювати атаки такого типу стає все складніше, і ми бачимо, що за останні 3-5 років їх поменшало. Але вони не зникнуть самі собою, як нікуди не подінеться переповнення буфера. Однак погані хлопці думають, як використовувати більш витончені атаки, тому що вважають, що «реально погані хлопці» завжди прагнуть заробити на своїх атаках.
Я хочу продемонструвати вам реальні трюки, і ви можете взяти їх на озброєння, щоб використовувати правильним чином для захисту свого бізнесу. Іншою метою нашої презентації є те, щоб ви, можливо, поставили питання етики.
Онлайн-опитування та голосування
Отже, на початку обговорення недоліків бізнес-логіки поговоримо про онлайн-опитування. Інтернет-опитування є найпоширенішим способом з'ясувати громадську думку або вплинути на неї. Ми почнемо з прибутку в 0 доларів і потім розглянемо результат 5, 6, 7 місяців використання шахрайських схем. Давайте почнемо з проведення дуже простого опитування. Ви знаєте, що онлайн-опитування проводить кожен новий сайт, кожен блог, кожен портал новин. При цьому жодна ніша не є надто великою чи надто вузькою, але ми хочемо побачити громадську думку в конкретних галузях.
Я хотів би загострити вашу увагу на одному опитуванні, проведеному в Остіні, штат Техас. Оскільки бігль із Остіна переміг на Вестмінстерській виставці собак, газета Austin American Statesman вирішила провести онлайн-опитування Austin's Best in Show (кращий представник породи) для власників собак центрального Техасу. Тисячі власників відправили фотографії та проголосували за своїх улюбленців. Як і в багатьох інших опитувань, тут не було ніякого призу, крім права похвалитися своїм вихованцем.
Для голосування було використано програму системи Web 2.0. Ви кликали «так», якщо вам подобався собака, і дізнавалися, чи найкращий це собака в породі чи ні. Таким чином, ви голосували на кілька сотень собак, розміщених на сайті як кандидати на переможця шоу.
За такого способу голосування були можливі 3 види читерства. Перший – це незліченне голосування, коли ви знову і знову голосуєте за одного й того самого собаку. Це дуже просто. Другий спосіб – це негативне багаторазове голосування, коли ви голосуєте величезну кількість разів проти собаки-конкурента. Третій спосіб полягав у тому, що буквально в останню хвилину конкурсу ви розміщували нового собаку, голосували за нього, тому можливість отримати негативні голоси була мінімальною, і ви вигравали, отримавши 100% позитивних голосів.
Причому перемога визначалася у відсотках, а не за загальною кількістю голосів, тобто ви не могли визначити, який із собак набрав максимальну кількість позитивних оцінок, прораховувався лише відсоток позитивних та негативних оцінок щодо конкретного собаки. Виграв собака з кращим співвідношенням позитивні/негативні оцінки.
Подруга колеги Роберта "RSnake" Хансена попросила його допомогти її чихуахуа Тайні виграти конкурс. Ви знаєте Роберта, він із Остіна. Він, як супер-хакер, зачепив Burp-проксі і пішов шляхом найменшого опору. Він використав техніку читерства №1, прогнавши це через цикл Burp кілька сотень чи тисяч запитів, і це принесло собачці 2000 позитивних голосів і вивело її на 1 місце.
Далі він використовував техніку читерства №2 проти конкурентки Тайні на прізвисько Чучу. В останні хвилини конкурсу він подав 450 голосів проти Чучу, що ще більше зміцнило становище Тайні на 1 місці зі співвідношенням голосів більш ніж 2:1, проте у відсотковому співвідношенні позитивних та негативних відгуків Тайні все одно програла. На цьому слайді ви бачите нове обличчя кіберзлочинця, збентеженого таким результатом.
Так, це був цікавий сценарій, але гадаю, що подружці не сподобалася ця вистава. Ви просто хотіли виграти на конкурсі чихуахуа в Остіні, але знайшовся хтось, хто намагався вас «хакнути» і зробити те саме. Що ж, тепер передаю слово Трею.
Створення штучного попиту та заробіток на цьому
Трей Форд: поняття «штучний дефіцит DoS» відноситься до кількох різних цікавих сценаріїв, коли ми купуємо квитки онлайн. Наприклад, при бронюванні особливого місця на авіарейс. Це може стосуватися будь-яких типів квитків, наприклад, на якийсь спортивний захід чи концерт.
Для того, щоб запобігти неодноразовій купівлі дефіцитних речей, типу місць у літаку, фізичних предметів, імен користувачів тощо, програма блокує об'єкт протягом деякого періоду часу для запобігання конфліктам. І тут виникає вразливість, пов'язана з можливістю заздалегідь щось зарезервувати.
Всі ми знаємо про тайм-аут, всі знаємо про завершення сесії. Але цей конкретний логічний недолік дозволяє нам вибрати місце на авіарейс, а потім повернутися, щоб зробити вибір ще раз, нічого не платячи. Напевно, багато хто з вас часто вилітає у відрядження, а для мене це істотна частина роботи. Ми перевірили цей алгоритм у багатьох місцях: ви вибираєте рейс, вибираєте місце, і лише після того, як ви будете готові, вводите платіжну інформацію. Тобто після того, як ви вибрали місце, воно резервується за вами на деякий проміжок часу – від кількох хвилин до кількох годин, і цей час ніхто більше не може забронювати це місце. Через цей період очікування у вас з'являється реальна можливість зарезервувати всі місця літаком, просто повернувшись на сайт і забронювавши ті місця, які захочете.
Таким чином, з'являється варіант DoS-атаки: автоматично повторювати цей цикл для кожного місця в літаку.
Ми перевірили це мінімум на двох найбільших авіакомпаніях. Ту саму вразливість ви можете виявити при будь-якому іншому бронюванні. Це чудова нагода задерти ціни на свої квитки для тих, хто хоче їх перепродати. Для цього спекулянтам просто достатньо забронювати решту квитків без жодного ризику грошових втрат. Ви можете таким чином "обвалити" електронну комерцію, яка продає продукти підвищеного попиту - відеоігри, ігрові консолі, "Айфони" і таке інше. Тобто наявний недолік онлайн-системи бронювання чи резервування дає можливість зловмиснику заробити на цьому гроші або завдати шкоди конкурентам.
Дешифрування капчі
Джеремі Гроссман: тепер поговоримо про капчу. Всі знають ці дратівливі картинки, які засмічують собою інтернет і використовуються для боротьби зі спамом. Потенційно з капчі теж можна отримати прибуток. Капча - це повністю автоматизований тест Тьюринга, що дозволяє відрізнити реальну людину від бота. Я виявив багато цікавого, вивчаючи питання використання капчі.
Капчу вперше почали використовувати приблизно у 2000-2001 роках. Спамери хочуть усунути капчу, щоб зареєструватись на безкоштовних поштових сервісах Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook і т.д. і розсилати спам. Оскільки капча використовується досить широко, з'явився цілий ринок послуг, що пропонують обійти всюдисущу капчу. У кінцевому підсумку це приносить прибуток – прикладом може бути розсилка спаму. Обійти капчу можна 3 способами, давайте їх розглянемо.
Перше – це вади реалізації ідеї, чи недоліки у сфері використання капчі.
Так, відповіді питання містять надто мало ентропії, типу «напишіть, чому дорівнює 4+1». Ті самі питання можуть багаторазово повторюватися, при цьому діапазон можливих відповідей досить малий.
Ефективність капчі перевіряється таким чином:
- тест повинен проводитися в умовах, коли людина та сервер віддалені один від одного,
тест не повинен бути важким для людини; - питання має бути таким, щоб людина змогла відповісти на нього протягом декількох секунд,
відповідати має лише той, кому поставлено питання; - відповідь питання має становити труднощі для комп'ютера;
- знання попередніх питань, відповідей або їх поєднання не повинно впливати на передбачуваність наступного тестування;
- тест не повинен дискримінувати людей із порушеннями зору чи слуху;
- тест не повинен мати географічний, культурний або мовний ухил.
Як з'ясовується, створити правильну капчу досить важко.
Другий недолік капчі - можливість використання оптичного розпізнавання символів OCR. Шматок коду здатний прочитати картинку капчі незалежно від того, скільки візуального шуму вона містить, побачити, які літери чи цифри її формують, та автоматизувати процес розпізнавання. Дослідження показали, більшість капч можна легко зламати.
Я наведу цитати спеціалістів Школи комп'ютерних наук Університету Ньюкасла, Великобританія. Про легкість злому капчі Microsoft вони говорять так: "наша атака змогла забезпечити успішність сегментації 92%, це передбачає, що схема MSN-капчі може бути зламана в 60% випадків шляхом сегментації зображення з його подальшим розпізнаванням". Так само легким був злом капчі Yahoo: «наша друга атака досягла успіху сегментації 33,4%. Таким чином, може бути зламана близько 25,9% капчі. Результати наших досліджень показують, що спамерам ніколи не варто використовувати дешеву людську працю, щоб обійти капчу Yahoo, швидше за все, їм потрібно покладатися на недорогу автоматизовану атаку».
Третій спосіб обходу капчі зветься «Механічний турок», або «Турок». Ми випробували його проти капчі Yahoo відразу ж після публікації, і досі ми не знаємо, і ніхто не знає, як захиститися від такої атаки.
Це випадок, коли у вас є поганий хлопець, який вестиме сайт «для дорослих» або онлайн-гра, звідки користувачі запитують якийсь контент. Перш ніж вони зможуть побачити наступну картину, сайт, яким володіє хакер, зробить бек-енд запит до знайомої вам онлайн системи, скажімо, Yahoo або Google захопить звідти капчу і підсуне її користувачу. І як тільки користувач відповість на запитання, хакер відправить відгадану капчу на цільовий сайт і покаже користувачеві запитану картинку зі свого сайту. Якщо у вас дуже популярний сайт з великою кількістю цікавого контенту, ви можете мобілізувати цілу армію людей, які автоматично заповнюватимуть для вас чужі капчі. Це дуже сильна річ.
Однак не тільки люди намагаються обійти капчі, цей прийом використовує бізнес. Роберт «RSnake» Хансен у своєму блозі якось спілкувався з одним румунським «рішителем капчі», який розповів, що він може вирішувати від 300 до 500 капчів на годину за ставки від 9 до 15 доларів за тисячу розгаданих капчів.
Він прямо каже, що члени його команди працюють по 12 годин на день, вирішуючи за цей час близько 4800 капчів, і залежно від того, наскільки важкі капчі можуть отримувати за свою працю до 50 доларів на день. Це було цікавим повідомленням, але ще більший інтерес мають коментарі, які користувачі блогу залишили під цим повідомленням. Негайно з'явилося повідомлення з В'єтнаму, де Кванг Хунг повідомляв про свою групу з 20 осіб, яка згодна працювати по 4 $ за 1000 відгаданих капчів.
Наступне повідомлення було з Бангладеш: «Привіт! Сподіваюся, з вами все гаразд! Ми – провідна процесингова компанія з Бангладеш. В даний час 30 наших операторів здатні вирішити понад 100000 2 капчів на день. Ми пропонуємо відмінні умови та низьку ставку – 1000$ за XNUMX відгаданих капчів із сайтів Yahoo, Hotmail, Mayspace, Gmail, Facebook тощо. Сподіваємось на подальшу співпрацю».
Ще одне цікаве повідомлення надіслав Бабу: «Мене зацікавила ця робота, будь ласка, зателефонуйте мені по телефону».
Тож це досить цікаво. Ми можемо обговорювати, наскільки легальною чи нелегальною є така діяльність, але факт полягає в тому, що люди реально на цьому заробляють.
Отримання доступу до чужих облікових записів
Трей Форд: Наступний сценарій, про який ми поговоримо - це заробляння грошей завдяки заволодінню чужим акаунтом.
Усі забувають паролі, і для тестування безпеки додатків скидання паролів та онлайн-реєстрація є двома цілеспрямованими бізнес-процесами. Існує великий розрив між простотою скидання пароля та простотою реєстрації, тому потрібно прагнути максимального спрощення процесу скидання пароля. Але якщо ми намагаємося спростити його, виникає проблема, тому що простіше скинути пароль, тим менше безпеки.
Одна з найгучніших справ стосувалася онлайн-реєстрації із використанням сервісу верифікації користувачів Sprint. Два члени команди White Hat використали Sprint для онлайн-реєстрації. Там є пара речей, які ви повинні підтвердити, щоб довести, що ви – це ви починаючи з такої простої інформації, як номер вашого мобільного телефону. Онлайн-реєстрація потрібна для таких речей, як управління банківським рахунком, оплати послуг і так далі. Купівля телефонів дуже зручна, якщо ви можете зробити її з чужого акаунта, а потім робити покупки і робити багато іншого. Один із варіантів шахрайства – це змінити платіжну адресу, замовити доставку цілої купи мобільних телефонів на свою адресу, а жертва буде змушена за них заплатити. Про таку можливість мріють і маніяки-переслідувачі: додати до телефонів своїх жертв функцію GPS-трекінгу та відслідковувати кожен їхній рух з будь-якого комп'ютера.
Отже, Sprint пропонує кілька найпростіших питань для підтвердження вашої особи. Як ми знаємо, безпеку можна забезпечити дуже широким діапазоном ентропії, або вузькоспеціалізованими питаннями. Я прочитаю вам частину реєстраційного процесу Sprint, тому що ентропія тут дуже мала. Наприклад, є таке питання: "виберіть марку автомобіля, зареєстровану за наступною адресою", і вказані варіанти марок: Lotus, Honda, Lamborghini, Fiat та "нічого з перерахованого". Скажіть, хто з вас, хлопці, має хоч щось із переліченого вище? Як бачите, ця найскладніша головоломка — просто чудова можливість для студента коледжу придбати дешеві телефони.
Друге питання: «хто з перерахованих людей проживає з вами або проживає за наведеною нижче адресою»? Відповісти на це питання дуже легко, навіть якщо ви взагалі не знаєте цієї людини. Джеррі Стайфліїн (Stifliin) — це прізвище має три літери «ай», ми повернемося до цього через секунду, — Ральф Арген, Джером Поніки та Джон Пейс. У цьому переліку цікаво те, що наведені абсолютно випадкові імена, і всі вони схильні до однакової закономірності. Якщо ви її обчислите, то вам не важко визначити справжнє ім'я, тому що воно відрізняється від випадково обраних імен чимось характерним, в даному випадку трьома літерами «i». Таким чином, Стайфліїн – не випадкове ім'я, і це легко відгадати, ця людина і є ваша мета. Це дуже просто.
Третє запитання: «у якому з перерахованих міст ви ніколи не жили чи ніколи не використовували це місто на своїй адресі?» — Лонмонт (Longmont), Північний Голлівуд (North Hollywood), Геноа (Genoa) чи Б'ют (Butte)? У нас є три густонаселені райони навколо Вашингтона, тому відповідь очевидна – це Північний Голлівуд.
В онлайн-реєстрації Sprint є кілька речей, до яких потрібно ставитися з собою акуратністю. Як я вже казав, ви можете серйозно постраждати, якщо зловмисник зможе змінити адресу доставки покупок у вашій платіжній інформації. Що дійсно лякає, це те, що ми маємо сервіс «Мобільний локатор».
З його допомогою ви можете відстежити переміщення своїх співробітників, оскільки люди використовують мобільні телефони та GPS, і ви зможете побачити на карті, де вони знаходяться. Отже, при цьому відбуваються й інші досить цікаві речі.
Як відомо, при здійсненні скидання пароля електронна поштова адреса переважає над іншими способами верифікації користувача та секретними питаннями. На наступному слайді наведено безліч сервісів, які пропонують вказати свою електронну поштову скриньку, якщо користувач зазнає труднощів із входом до свого облікового запису.
Ми знаємо, що більшість людей користуються електронною поштою та мають поштовий обліковий запис. Несподівано люди захотіли знайти спосіб, як можна заробити на цьому гроші. Ви завжди дізнаєтесь адресу електронної пошти жертви, введете її у форму, і у вас з'явиться можливість скинути пароль для облікового запису, яким ви хочете маніпулювати. Потім ви використовуєте його у своїй мережі, і ця поштова скринька стане вашим золотим сховищем, головним місцем, звідки ви зможете вкрасти решту облікових записів жертви. Ви отримаєте всю підписку жертви, заволодівши лише однією поштовою скринькою. Перестаньте посміхатися, це серйозно!
На наступному слайді наведено дані, скільки мільйонів людей користуються відповідними поштовими сервісами. Люди активно використовують Gmail, Yahoo Mail, Hotmail, AOL Mail, але вам не потрібно бути супер-хакером, щоб захоплювати їх облікові записи, ви можете зберегти свої руки чистими, використовуючи аутсорсинг. Ви завжди зможете сказати, що ні до чого, ви нічого такого не робили.
Так, у Китаї базується онлайн-сервіс «Відновлення пароля», де ви платите за те, щоб вони зламали ваш акаунт. За 300 юанів, це приблизно $43, ви можете спробувати скинути пароль закордонної поштової скриньки з ймовірністю успіху 85%. За 200 юанів, або $29, вам з успіхом 90% скинуть пароль поштової скриньки домашнього поштового сервісу. Тисячу юанів, або $143, коштує злом поштової скриньки будь-якої компанії, але успіх при цьому не гарантується. Ви також можете використовувати аутсорсинг для злому паролів на сервісах 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN і т.д.
Конференція BLACK HAT USA. Розбагатіти чи померти: заробляємо в Інтернеті методами Black Hat. Частина 2 (посилання буде доступне завтра)
Небагато реклами 🙂
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, , 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com