HARD CORE SECURITY LAB

Firma SCRT udostępniła dość nietypowy, bo można by rzec stricte hackerski, dodatek do popularnej przeglądarki internetowej Mozilla Firefox. Fireforce został bowiem stworzony z myślą o umożliwieniu wykonywania (bezpośrednio z poziomu przeglądarki internetowej) ataków słownikowych oraz siłowych na obecne na wielu stronach internetowych formularze logowania. Możliwości tego interesującego narzędzia najlepiej zilustruje jednak przykład praktyczny...

Mając już powyższe informacje, przystępujemy do właściwego testu. Po zainstalowaniu dodatku, otwieramy w Firefoksie stronę http://poczta.o2.pl/ i wprowadzamy Login:hcsl.testowe oraz klikamy prawym przyciskiem myszy w obrębie formularza wprowadzania hasła i wybieramy Fireforce / Generate password / a-z:

Opcja ta pozwoli nam na wykonanie ataku siłowego (ang. Brute force) za pomocą fraz złożonych wyłącznie z małych liter. Następnie Fireforce zapyta nas o minimalną oraz maksymalną długość potencjalnego hasła. Spróbujmy ustawić te zmienne na odpowiednio 5 oraz 7 (na poniższym zrzucie jest 10, jednak takie ustawienie powodowało u mnie występowanie błędu):

Do poprawnego działania Fireforece potrzebuje jeszcze komunikat (lub jego fragment) zwracany przez serwer przy nieudanej próbie logowania, wprowadźmy więc fragment ustalonego wcześniej komunikatu w kolejnym oknie programu:

Pozostaje nam już tylko określić ilość prób logowania jakie mają być wykonywane w trakcie sekundy. Parametr ten będzie miał duże znaczenie w przypadku serwisów blokujących dostęp po określonej ilości prób nieudanego logowania wykonanych w krótkich odstępach czasu. Na potrzeby naszego testu spróbujmy ustawić 1 próbę na sekundę:

Gotowe, po naciśnięciu OK Fireforce rozpocznie nasz atak testowy. Już po kilku chwilach, udało się odkryć hasło broniące dostępu do naszego testowego konta...

Jak mogliśmy się przekonać, Fireforce rzeczywiście pozwala na przeprowadzanie skutecznych ataków online na usługi zabezpieczone formularzami logowania wykorzystującymi metody HTTP POST oraz GET. Warto również zauważyć, że przeprowadzanie w ten sposób rzeczywistych ataków siłowych nie jest raczej możliwe. Niewielka ilość kombinacji jaką moglibyśmy sprawdzić w ten sposób w rozsądnym czasie, w połączeniu z często spotykanymi zabezpieczeniami przed masowymi próbami logowania, nie dają nadziei na skuteczność tego typu ataków. Jednak przeprowadzanie w ten sposób ataków słownikowych (przykładowo z wykorzystaniem słownika często stosowanych haseł) może już potencjalnie przynieść praktyczne efekty...

Oczywiście można sobie wyobrazić legalne zastosowania dodatku Fireforce, takie jak np. testowanie bezpieczeństwa kont własnych lub cudzych (za zgodą ich właścicieli) lub próby odzyskania własnego hasła w przypadku, gdy nie pamiętamy dokładnie całej frazy. Obawiam się jednak, że program ten będzie głównie wykorzystywany do nielegalnych prób przejęcia cudzych poświadczeń. Przed udanym atakiem może nas zaś ochronić odpowiednio silne hasło, stosowanie podstawowych zasad bezpieczeństwa oraz zachowanie zwykłego zdrowego rozsądku.

Na koniec chciałbym jeszcze wszystkich ostrzec. Stosowanie tego typu oprogramowania do ataków online wymierzonych w cudze konta jest nielegalne, karalne i pod żadnym pozorem nie należy tego robić. Należy również pamiętać, że tego typu ataki pozostawiają całą masę śladów w docelowym systemie (ogromną ilość śladów po nieudanych, zautomatyzowanych próbach logowania) i są niezwykle proste do wykrycia...