Содержание статьи
Хакерская конференция DEFCON, проходящая в Вегасе, всегда славилась
сногсшибательными докладами, освещением жестоких багов и уязвимостей, и, конечно
же, релизами доселе недоступных публике эксплоитов и х-тулз. На недавно
прошедшей DEFCON 16 таких релизов было особенно много. Мы не могли обойти их
стороной.
DEFCON - это не просто конференция, не просто очередной ивент. Это
практически святое место для хакеров и кракеров, где они могут обнародовать
результаты своей многомесячной и многолетней работы. Трудно забыть 2001 год,
когда на конференции был арестован русский программист Дмитрий Скляров за «взлом
системы защиты электронных документов Adobe». В этом году еще перед конференцией
был обыскан британский специалист по взлому GSM. Это лишь очередное
доказательство, что доклады и релизы на конференции всегда самые актуальные и
свежие. И у тебя есть отличная возможность с ними познакомиться.
Beholder – by Nelson Murilo and Luis Eduardo
IDS-система для беспроводных сетей
http://www.beholderwireless.org
Внимательные читатели не понаслышке знакомы с приемом Rogue AP, когда в
беспроводной сети появляется подставная точка доступа. У нее похожий
идентификатор SSID. Она обладает большим сигналом и с радостью принимает
соединения от ничего не подозревающих пользователей, снифает весь проходящий
трафик, отлавливая пароли, кукисы и прочие ценные данные.
Представленная на DEFCON'е тулза – Beholder – нацелена как раз на то, чтобы
подобные зловредные действия в эфире Wi-Fi пресечь. В общем-то, много для этого
и не надо: достаточно отслеживать изменения ESSID, MAC, используемых каналов для
«родных» сетей и бить тревогу в случае, если обнаружены подозрительные сети.
Если точка доступа родного хотспота в соседней кофейне или универе всегда
использовала 14й канал, а тут он вдруг поменялся – стало быть, нужно
призадуматься. Подозрения вызывают и внезапные изменения других параметров.
Разработчики Beholder пошли дальше и разработали целую методику, позволяющие
обнаружить присутствие в сети популярных тулз, реализующих атаку Rogue AP, в том
числе karma и hotpotter. Многие из них намеренно коверкают ESSID легитимной
точки доступа, изменяя несколько символов. Ну, например, имя Infosec превращают
в Inf0sec – а наивный пользователь к ней подключается. Beholder легко определяет
появление в сети устройств с исковерканным ESSID, используя систему привычных
регулярных выражений.
Программа написана для линукса и запускается на любой системе с ядром 2.6.x.
Чтобы отследить появление точек с левым идентификатором, потребуется команда
запуска:
beholder -r ".*[1i]nf[0o]s[3e]c.*"
Подобному указанию будут соответствовать названия «0infosec», «inf0sec»,
«1nfosec-1» – и т.д.
VoIPER
Автоматическое средство для тестирования VoIP-приложений и протоколов
http://voiper.sourceforge.net/
Помимо беспроводных сетей, специалистов по безопасности сейчас сильно заботит
VoIP. Еще бы! Кругом идет внедрение IP-телефонии, всюду огромное количество
протоколов и конкретных их реализаций. Неудивительно, что телефонный трафик
легко перехватить, а при желании провести спуфинг и, к примеру, подделать Caller
ID (что мы и демонстрировали в статье «Телефонные шалости»). VoIPER – это целый
набор утилит, позволяющий легко (и автоматически) тестировать VoIP-устройства на
наличие известных уязвимостей. В основе лежит известный фреймфорк Sulley fuzzing,
а также SIP-движок torturer вкупе с большим количеством разных модулей.
Благодаря этому, разработчикам удалось собрать утилиту для разных платформ,
включая Linux, OS X и даже GUI-вый вариант для Windows. В арсенале VoIPER –
больше 200.000 тысяч различных тестов для проверки правильности реализации
SIP-протокола. В скором времени разработчики обещают модули для работы с H.323/IAX.
Squirtle
Тулкит для перехвата LM/NTLM hash через Web
http://code.google.com/p/squirtle/
Что такое NTLM? NT LAN Manager – это давно существующий протокол сетевой
аутентификации, разработанный Microsoft для сетей Windows NT. Судьбе паролей,
хранимых в ОС семейства Windows, не позавидуешь – даже самые стойкие и красивые
из них обречены на провал. Виной всему тяжелое наследие,.. угадай кого?
Правильно, протокола NTLM, будь он неладен! Сами хеши уже давно не надо
взламывать. Из-за особенностей протокола нам известны атаки типа «pass-the-hash»
и множество утилит, эти атаки реализующих. В итоге мы получаем нужные права на
сервере или рабочей станции, дамп хешей и т.п. Провернуть атаку позволяют,
например, Hydra, Pass The Hash Toolkit, Canvas, CORE Impact, тот же самый
Metasploit. На конференции Chaos Constructions наш автор toxa представил
утилиту, которая доводит легкость выполнения PtH-атак до маразма «большой
красной кнопки». Только этот хеш нужно как-то перехватить!
Ранее можно было использовать FGDump, PWDumpX, любимый Cain & Able, но
теперь, с релизом Squirtle, протокол NTLM придется окончательно похоронить.
Заполучить чужой хеш стало возможным даже через Web. Виной тому – зоны доверия,
реализованные в Internet Explorer. Все внутренние серверы автоматически попадают
в зону доверия. А это значит, что IE будет оправлять данные NTLM прямо в своем
запросе. Банальной XSS или социальной инженерией взломщики могут получать хеши
пачками! Достаточно установить виндовую утилиту Squirtle и запустить ее. Это
предельно просто:
- Изменяем настройки в файле squirtle.yaml.
- Запускаем интепретатор Ruby: ruby squirtle.rb.
- Отправляем браузеры на http://yourserver:8080.
Windows Vista по умолчанию отдает только NTLMv2-хеш (защищенный от таких
атак), но разве хоть одна крупная компания (помимо, возможно самой Microsoft)
уже полностью перешла на Vista? А те, кто перешли, часто чуть ли первым делом
включают поддержку NTLM!
Dradis – by John Fitzpatrick
Утилита для совместного использования информации в ходе теста на
проникновение
В инете, как на дрожжах, появляются онлайн-сервисы для совместной работы:
одновременного редактирования документов, работы с исходниками и т.п. А чем хуже
пен-тестеры? В самом деле, достойных средств совместной работы у специалистов по
безопасности с учетом специфику их работы почему-то не было. Пора это исправить!
Две утилиты, представленные на DEFCON 16, относятся как раз к разряду
colaboration. Dradis – клиент-серверная платформа для удобного обмена
информацией в ходе взлома. Когда целая команда занимается одним проектом, будет
очень кстати иметь под рукой базу с информацией об уже проделанной работе. Хотя
бы для того, чтоб не повторять неудачных попыток.
Важно, что часть информации попадает в базу Dradis автоматически – не нужно
копипастить в базу все логи, инфу с консоли и т.д. В последней версии была также
реализована поддержка SSL: Dradis, как минимум, можно использовать в качестве
платформы для безопасного общения! Проект полностью написан на Ruby, поэтому
изначально является кроссплатформенным, а для установки под Виндой собран
специальный инсталлятор.
CollabREate – by Chris Eagle and Tim Vidas
Плагин для IDA Pro для совместного reverse engineering
http://www.idabook.com/collabreate
collabREate – это плагин для IDA Pro, позволяющий IDA-реверсерам одновременно
«расковыривать» один и тот же бинарный файл. CollabREate состоит из клиентского
плагина, который подключается к IDA, начиная с версии 4.9 и до 5.3, а также
серверной компоненты, использующей Java/JDBC и СУБД PostgreSQL/MySQL. Когда в
любимой IDA включается плагин, она устанавливает соединение с сервером
collabREate. Плагин отслеживает сообщения IDA о произведенных действиях, помещая
информацию в базу данных сервера. Каждое такое сообщение складывается на сервере
и дублируется другим пользователям IDA, работающим над тем же самым проектом.
Как видишь, все предельно просто. Причем, любой пользователь может в любой
момент отключиться или присоединиться заново: у него будет самая последняя
версия файла и история изменений. Во время работы можно создавать так называемые
savepoint'ы – своеобразные точки восстановления, к которым всегда можно
вернуться, чтобы откатить сомнительные изменения. Такие точки хранятся на
сервере, у которого, кстати, есть возможность управления пользователями –
подключиться абы кто к проекту не сможет.
Зачем это вообще нужно? Если не брать в расчет профессиональных реверсов, то
это отличное средство для обучения крекингу. Более опытный товарищ может
наглядно показывать новичку, как и что он делает, каким образом лучше поступить
в сложившейся ситуации и пр. Правда, встроенных средств общения в CollabREate
нет, но ничего не мешает тебе запустить Skype.
Grendel Scan – by David Byrne
Сканер уязвимостей веб-приложений (SQL Injection, XSS, CSRF)
Перед нами кроссплатформенный сканер для поиска уязвимостей в веб-приложениях.
Среди задач во время разработчики обозначили: полную кроссплатформенность, GUI
для всех ОС, отсутствие зависимостей (кроме Java), обнаружение и использование
найденных уязвимостей. В итоге со всеми требованиями у них получилось выпустить
довольно универсальный сканер, включающий:
- встроенный прокси для перехвата данных;
- фаззер HTTP-запросов, в том числе собранных полностью вручную;
- модуль для SQL injection;
- CRLF injection;
- Cross-site request forgery (CSRF);
- обнаружение скрытых директорий (Directory traversal);
- модуль для выяснения данных о жертве (обработка Robots.txt, ошибок
системы и т.д.); - пен-тест конфигурации веб-демона (Cross-site tracing, Proxy detection).
В общем-то, это был бы самый обычный сканнер, если бы не реализация некоторых
редких видов атак, вроде разновидности XSS – cross-site request forgery.
The Middler – by Jay Beale
Программа для взлома незащищенных аккаунтов на веб-сервисах
http://www.intelguardians.com/themiddler.html
Большая проблема современных веб-сервисов в том, что SSL-шифрование
используется только во время аутентификации. Далее, в целях экономии трафика и
увеличения быстродействия, данные передаются обычному HTTP-каналу со всеми
вытекающими последствиями. Распознать подобную ситуацию несложно. На странице
для ввода логина и пароля адресная строка выглядит примерно так:
https://www.linkedin.com/secure/login?=...
А после процедуры аутентификации видно, что используется обычный HTTP:
http://www.linkedin.com/home
Чуешь разницу? Можно попробовать добавить в запрос https, но толку не выйдет.
Сервер все равно возвращается обратно к незащищенному соединению, а данные
по-прежнему передаются в открытом виде до тех пор, пока не будет использовано
какое-нибудь специальное средство (например, VPN). Тулзу быстро раскрутили как
утилиту для угона аккаунтов на Gmail. Правда, уже в августе у почтовой службы
Google появилась опция для использования защищенного соединения на протяжении
всей работы («Always use https»). Но по этой схеме работает множество других
популярных сервисов. Взять тот же LiveJournal или Linkin. Там никаких защитных
опций нет!
По сути, мы имеем дело с обычным снифером, написанным на Ruby (исходники
открыты) и специально заточенным под перехват пользовательских кукисов. Для
перехвата трафика используются старые обкатанные приемы, вроде ARP-спуфинга или
подмены DNS/DHCP сервера. А сам The Middler уже сейчас в силах выполнять
следующее:
- клонировать user-сесии в любом приложении, которое использует передачу
данных по HTTP; - заменять ссылки с использованием безопасного HTTPS на HTTP;
- автоматически пересылать браузер жертвы на сайт (эксплоитами на
Metasploit, выполняющимися на стороне клиента); - автоматически собирать и менять всю приватную информацию о жертве.
Конечно, это далеко не все утилиты, представленные на DEFCON. Но мы
постарались отобрать реально полезные и применимые на практике тулзы, заведомо
обходя вещи чересчур уж экзотические. Так или иначе, на диске ты найдешь целую
подборку утилит, которую обязательно стоит взять на вооружение.
WWW
Отчет о посещении DEFCON'а одним из участников:
http://www.p2pnet.net/story/16782
Все утилиты в одном флаконе:
http://edge.i-hacked.com/defcon16-cd-iso-posted
WARNING
Информация представлена исключительно в целях ознакомления. За использование
полученных знаний в незаконных целях ни автор, ни редакция ответственности не
несут. Имей этой в виду.
|