HARD CORE SECURITY LAB

Czy istnieje serwis internetowy całkowicie odporny na wszelkie próby naruszenie jego bezpieczeństwa? Oczywiście nie. W ciągu ostatnich dni przekonali się o tym m.in. administratorzy bardzo popularnych serwisów (exploit-db.com, backtrack-linux.org, free-hack.com) poświęconych tematyce bezpieczeństwa, które zostały skutecznie zaatakowane. Szczegóły dotyczące poszczególnych ataków zostały upublicznione w drugim wydaniu [EZINE] Owned and Exposed. Wszystkich zainteresowanych szczegółami zachęcam do powyższej lektury, my natomiast zajmiemy się dzisiaj tematem nieco odmiennym.

Analizując informacje opublikowane na temat skutecznych ataków na wspomniane znane serwisy internetowe związane z tematyką bezpieczeństwa informatycznego i hackingu, możemy natrafić na wiele bardzo interesujących informacji. Intrygujący jest przykładowo fakt zbierania i rejestrowania adresów IP należących do internautów odwiedzających serwis backtrack-linux.org:

// DO NOT CHANGE THIS FILE WITHOUT TALKING TO MUTS FIRST> EVEN IF YOU THINK YOU KNOW WHAT YOU ARE DOING!!!
function getRealIpAddr()
{
    if (!empty($_SERVER['HTTP_CLIENT_IP']))   //check ip from share internet
    {
      $ip=$_SERVER['HTTP_CLIENT_IP'];
    }
    elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))   //to check ip is pass from proxy
    {
      $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
    }
    else
    {
      $ip=$_SERVER['REMOTE_ADDR'];
    }
    return $ip;
}

Poza tym happy ninjas twierdzą, że niemożliwe jest skuteczne zabezpieczenie systemu (Linuksa? FreeBSD? Systemu Carders.cc?) zawierającego... backdoora:

It's  hard  to harden a system [Linux? FreeBSD? "Carder.cc box"?] when everything is backdoored and unfortunately we are just too ninja to get stopped by your silly protections. You can never stop us. We will always  keep owning and exp0sing you.

Jestem ciekaw, co myślicie na temat tej sugestii?

Bardziej szczegółowo zajmiemy się dziś natomiast przypadkiem ataku na jeden z naszych rodzimych serwisów, sklep internetowy firmajp.pl. Otóż w ostatnim czasie doszło do skutecznego ataku na ten serwis oferujący ubrania i gadżety dla młodzieży utożsamiającej się z ideałami JP/HWDP. Intruzowi udało się m.in. wejść w posiadanie bazy danych serwisu, która następnie została udostępniona w sieci.

Jeden z czytelników (podziękowania dla agilobable) HCSL pokusił się natomiast o odzyskanie sporej ilości (5268) haseł ze skrótów zapisanych w tejże bazie, dzięki czemu możemy przedstawić listę najpopularniejszych haseł stosowanych przez użytkowników tegoż nietypowego sklepu (hasło - ilość wystąpień):

• firmajp - 79
• firma - 44
• 123456 - 44
• polska lub polska1 - 42
• jebacpolicje - 31
• prosto - 27
• chwdp lub chwdp1 - 23
• zaq12wsx - 19
• cracovia - 17
• qwerty - 15

Powyższa statystyka haseł oczywiście potwierdza to, że użytkownicy serwisów internetowych bardzo często wybierają hasła proste do złamania lub nawet odgadnięcia. Powyższy przykład potwierdza również to, że hasła tworzone przez internautów bardzo często charakteryzują się pewnymi określonymi wzorcami (takimi jak pojedyncza cyfra dodawana na końcu frazy uwierzytelniającej, najczęściej zaś jest to cyfra "1").

Poza tym, powyższy przykład świetnie obrazuje również to, że hasła użytkowników są bardzo często zależne od tematyki, a nawet samej nazwy serwisu lub systemu informatycznego. Bardzo dobrze wiedzą o tym komputerowi przestępcy oraz pentesterzy, dlatego też chcąc utworzyć hasło trudne do złamania, należy zawsze unikać jakichkolwiek nawiązań do samego serwisu oraz jego przeznaczenia. Najlepiej zaś do czasu upowszechnienia się innych obiecujących metod uwierzytelniania, opracować jakiś własny system tworzenia silnych i unikalnych haseł.