HARD CORE SECURITY LAB

Od wielu lat słyszymy już, że pula dostępnych adresów IP (w czwartej wersji tegoż protokołu) nieubłaganie wyczerpuje się. Zgodnie z niektórymi raportami organizacji IANA, sytuacja jest już co najmniej krytyczna. Niezależnie jednak od słuszności tego typu ocen i przewidywań, z pewnością już dziś warto zainteresować się protokołem IPv6. Spójrzmy więc na kilka praktycznych kwestii związanych z tematyką bezpieczeństwa IP Next Generation.

W ramach środowiska Metasploit Framework dostępnych jest już obecnie ponad 600 rozmaitych exploitów i modułów pomocniczych oraz ponad 200 payloadów. Wszyscy, którzy próbowali wykorzystać to darmowe środowisko do przeprowadzenia realnych testów penetracyjnych wiedzą z pewnością, że w tym wypadku od przybytku może nas rozboleć głowa. Otóż nie lada sztuką (szczególnie dla mniej doświadczonych pentesterów) staje się w takim wypadku taki dobór poszczególnych modułów dla poszczególnych celów, aby cały test penetracyjny mógł przynieść jakiekolwiek wymierne rezultaty. Jak nie trudno się przecież domyślić, testowanie stacji roboczej Windows za pomocą najnowszego exploitu dla systemu Oracle Solaris, nie ma najmniejszego sensu. Warto więc wiedzieć, że ukazało się pewne interesujące narzędzie mogące w znacznym stopniu ułatwić nam praktyczne wykorzystanie ogromnych możliwości otwartego Metasploita.

BackTrack to dystrybucja systemu operacyjnego Linux typu LiveCD, która z pewnością jest świetnie znana niemal wszystkim czytelnikom serwisu HCSL. BackTrack uważany jest bowiem powszechnie za niezastąpione środowisko do przeprowadzania zaawansowanych testów penetracyjnych oraz wszelkich praktycznych zabaw związanych z bezpieczeństwem. Co jednak najważniejsze, projekt ten jest bardzo aktywnie wspierany przez rzesze świetnych specjalistów, czego wynikiem jest między innymi kolejne ważne wydanie oznaczone jako BackTrack 4 R2.

Pomimo ciągłego opracowywania coraz to nowych, bardzo interesujących sposobów na bezpieczne uwierzytelnianie użytkowników rozmaitych serwisów i systemów informatycznych, nadal najczęściej w tym celu wykorzystywane są nieśmiertelne hasła. W związku z tym, ataki na frazy uwierzytelniające pozostają nadal jednymi z najpopularniejszych oraz najskuteczniejszych metod naruszania bezpieczeństwa systemów IT. Wynika to po części z tego, że użytkownicy nadal bardzo często wykorzystują hasła niezwykle proste, ale bez wątpienia przyczynia się do tego również ciągły rozwój metod oraz narzędzi pozwalających na przeprowadzania jeszcze bardziej skutecznych i precyzyjnych ataków. Spójrzmy przykładowo na fascynujące możliwości jednego z najlepszych darmowych narzędzi do odzyskiwania haseł z wykorzystaniem najnowszych zdobyczy technologii komputerowych.

O Social-Engineer Toolkit (SET), czyli pakiecie gotowych narzędzi do przeprowadzania socjotechnicznych testów penetracyjnych pisałem już wielokrotnie, chociażby przy okazji prezentowania nowych rodzajów ataków phishingowych lub za sprawą omawiania przykładowego ataku poprzez fałszywą stronę internetową. Projekt SET cały czas rozwija się w zawrotnym tempie, zdobywa pokaźne rzesze użytkowników, a w ostatnim czasie doczekał się przełomowego wydania 1.0 “Devolution”. Przyjrzymy się przy tej okazji jego najnowszym możliwościom, z uwzględnieniem świetnych materiałów edukacyjnych, jakie tworzone są wraz z samym środowiskiem SET.

Spore zainteresowanie wzbudziła wczorajsza informacja o nastolatku, który zdołał odnaleźć krytyczną lukę w Firefoksie. Dziś postaram się więc was przekonać, że odkrywcą błędu w popularnym oprogramowaniu może się stać praktycznie każdy użytkownik komputera! Wystarczy tylko trochę chęci, nieco czasu na przeprowadzenie naszych prywatnych testów oraz skorzystanie z odpowiednich narzędzi. Spójrzmy więc, w jak prosty sposób możemy odnaleźć lukę obecną w najnowszej wersji pewnego programu za pomocą nieocenionego Metasploita.

Utrata wyłącznej kontroli nad własnym systemem operacyjnym może się nam przydarzyć w najmniej oczekiwanym momencie, w wyniku wielu rozmaitych ataków. Intruz może przykładowo wykorzystać lukę Zero Day obecną w naszej przeglądarce internetowej. Bardzo skuteczne mogą się również okazać ataki słownikowe wymierzone w hasła poszczególnych użytkowników danego systemu. Poważne (i często traktowane po macoszemu) zagrożenie stanowią również rozmaite wtyczki instalowane przez internautów we własnych przeglądarkach. Nawet jeśli dbamy o aktualność wszystkich naszych wtyczek, i tak możemy paść ofiarą udanego ataku...

Pomimo tego, że codziennie rozwijane są coraz to nowe metody i narzędzia służące do przeprowadzania niezwykle wyrafinowanych ataków na sieci oraz systemy informatyczne, to jednak jednym z największych zagrożeń pozostają niezmiennie słownikowe ataki na hasła użytkowników oraz administratorów poszczególnych usług. Tego typu ataki są również nieustannie rozwijane. Oczywiście w tym przypadku kluczowe jest skonstruowanie odpowiednio skutecznych słowników potencjalnych haseł. Można oczywiście skorzystać z publikowanych w Internecie słowników haseł najczęściej używanych, można również samodzielnie utworzyć słownik na podstawie posiadanej na temat docelowej osoby wiedzy. Okazuje się jednak, że czasem wystarczy tylko skorzystać z programu, który jest w stanie... odgadnąć interesujące nas hasła. Spójrzmy na praktyczny przykład.

W grudniu 2009 roku miał miejsce potężny wyciek poufnych danych. W wyniku udanego ataku typu SQL Injection wymierzonego w serwis RockYou, włamywaczowi ukrywający się pod pseudonimem igigi udało się wykraść poświadczenia należące do ponad 32 milionów użytkowników. Wszystkie przechwycone dane zostały ostatecznie upublicznione. Tego typu przypadki stanowią oczywiście nie lada gratkę dla osób zainteresowanych przeprowadzaniem (lub też odpieraniem) ataków słownikowych. Spójrzmy więc, w jak interesujący sposób takie incydenty mogą się przyczynić do opracowania jeszcze bardziej śmiercionośnych słowników haseł, ale również pozwalają na rozwój metod testowania bezpieczeństwa poświadczeń.

Wizja zdalnego hackowania nowoczesnych, naszpikowanych elektroniką samochodów staje się coraz bardziej realna. Kilka miesięcy temu byliśmy świadkami jednego z pierwszych przypadków zdalnego przejęcia kontroli nad ponad setką pojazdów. W tamtym przypadku intruz wykorzystał jednak do przeprowadzenia ataku dodatkowy system elektroniczny montowany przez dealerów w celu sprawowania kontroli nad pojazdami należącymi do zadłużonych właścicieli. Bez wątpienia znacznie większe zagrożenie będą stanowić zdalne ataki zdolne do wykorzystania słabości fabrycznego wyposażenia pojazdu. Badacze z Rutgers University oraz University of South Carolina właśnie zaprezentowali jeden z pierwszych praktycznych ataków tego rodzaju.

Kody kreskowe, czyli rozmaite graficzne reprezentacje informacji poprzez kombinacje ciemnych i jasnych elementów, znają już chyba wszyscy. Takie kod mogą być odczytywane przez specjalne czytniki elektroniczne, czyli umożliwiają automatyczne odczytywania informacji. Wszystko to znajduje zastosowanie w systemach automatycznej identyfikacji, bez których trudno sobie wyobrazić wiele przedsięwzięć logistycznych. Jak jednak wygląda kwestia praktycznego bezpieczeństwem tego typu systemów?

Załóżmy, że chcemy utworzyć exploit zdolny do zaatakowania pewnej usługi pracującej na zdalnym serwerze. W tym celu musimy tylko odnaleźć lukę w zdalnej usłudze i utworzyć kod zdolny do jej wykorzystania. Jeśli chcemy, by nasz exploit był w stanie np. nie tylko przepełnić bufor, ale również wykonać jakieś działanie (np. dostarczyć odpowiedni shellcode) w zdalnym systemie, musimy również o to zadbać. Wszystko to wydaje się na pierwszy rzut oka oczywiste, jednak praktyczne wykonanie takiego ataku wymaga naprawdę sporych umiejętności. Zapraszam do obejrzenia materiału filmowego przedstawiającego przykładowe praktyczne wykonanie właśnie tego typu ataku.

Początkowa próba ataku typu SQL injection poprzez ogólnodostępny formularz logowania nie dała żadnych rezultatów. Intruzowi udało się jednak uzyskać dostęp do logu zawierającego informacje o nieudanych próbach logowania. Dalej, poprzez zdobyte w ten sposób poświadczenia, możliwe było zalogowanie się do systemu na prawach zwykłego użytkownika. Wszystko to pozwala w końcu na wykorzystanie narzędzia SQLmap w celu dobrania się do bazy danych. Wreszcie, tabela login zdradza poświadczenia administracyjne, hasło było zaszyfrowane, jednak strona rot13.com okazała się być rozwiązaniem tego problemu. W końcu intruz mógł się już cieszyć administracyjnym dostępem do serwisu, który w dodatku pozwalał na wstrzykiwanie systemowych poleceń i wyświetlał wyniki ich wykonania w przeglądarce... zobaczmy to wszystko na własne oczy.

Wciąż nie milkną echa niedawnego ujawnienia przez pracownika firmy Google luki Zero Day  obecnej w starszych systemach z rodziny Windows. Przypomnijmy, że Tavis Ormandy, czyli znany specjalista ds. bezpieczeństwa pracujący na co dzień dla internetowego giganta, upublicznił szczegółowe informacje na temat nowej luki obecnej w systemach Windows XP oraz Server 2003. Dziura obecna jest w funkcji Pomoc i obsługa techniczna i pozwala intruzowi na zdalne przejęcie całkowitej kontroli nad docelowym systemem. Więcej szczegółów na jej temat można odnaleźć w poprzednim poświęconym jej wpisie, dziś natomiast chciałbym przedstawić materiały video prezentujące przykładowy atak testowy wykorzystujący tę podatność oraz sposób na obronę przed zagrożeniem.

Tavis Ormandy, czyli znany specjalista ds. bezpieczeństwa pracujący na co dzień dla firmy Google, upublicznił szczegółowe informacje na temat nowej luki obecnej w systemach Windows XP oraz Server 2003. Dziura obecna jest w funkcji Pomoc i obsługa techniczna i pozwala intruzowi na zdalne przejęcie całkowitej kontroli nad docelowym systemem. Ledwo Microsoft zdołał wczoraj opublikować ostrzeżenie o luce, a odpowiedni exploit jest już dostępny w ramach środowiska Metasploit. Zobaczmy więc jak wygląda przykładowy atak wykorzystujący tę podatność.

WhatWeb to bardzo interesujące narzędzie pozwalające na zautomatyzowane rozpoznawanie systemów zarządzania treścią, platform blogowych oraz rozmaitych pakietów wykorzystywanych przez interesujące nas serwisy oraz aplikacje webowe. Program ten może się przydać administratorom, pentesterom, ale również i internautom chcącym się dowiedzieć więcej na temat konfiguracji odwiedzanych przez siebie serwisów.

Jak już informowałem, wczoraj miał swą premierę Metasploit Framework w wersji 3.4.0. Wraz z najnowszym wydaniem tego popularnego otwartego pakietu, swój debiut miał również komercyjny Metasploit 3.4 w wersji Express. Metasploit Express był przez swych twórców zapowiadany, jako narzędzie mające pozwalać na niezwykle łatwe przeprowadzanie w pełni zautomatyzowanych testów penetracyjnych. Czy rzeczywiście za jego pomocą możliwe jest przejmowania podatnych systemów za pomocą jednego kliknięcia? Zapraszam do zapoznania się z pierwszym w Polsce, praktycznym testem oprogramowania Metasploit Express!

Surfując po czeluściach Internetu natrafiłem na niezwykle intrygujące narzędzie, którego autorem jest szesnastoletni programista o pseudonimie GreyZer0 (Hesham Ali). Social-Engineering Ninja to aplikacja webowa stworzona jako phishingowy framework i pozwala w praktyce na wykonywanie dalece zautomatyzowanych ataków phishingowych. Możliwiści SEN robią duże wrażenie, pytanie tylko, dla kogo właściwie przeznaczone jest to oprogramowanie?

W ramach cyklu Tak robią to komputerowi przestępcy... omówiliśmy już przykładowy atak z wykorzystaniem specjalnie spreparowanej strony WWW, przykładowy atak phishingowy, jeden z popularnych sposobów na przejęcie cudzego konta e-mail oraz metodę pozwalającą na dodanie złośliwego kodu do dowolnego pliku EXE. Dziś natomiast zapoznamy się ze sposobem, w jaki komputerowi przestępcy mogą w prosty sposób utworzyć własny botnet sterowany za pomocą poleceń wydawanych za pośrednictwem serwisu Twitter.