Често Задавани Въпроси

Днес имаме 2 видео-демонстрации на persistent XSS атаки срещу реални работещи сайтове

В първото видео атаката е срещу mail.com:

Mail.com Persistent XSS from dito2 on Vimeo.

Във второто видео мачкат Yahoo Groups:

Yahoo Group XSs from dito2 on Vimeo.

Мicrosoft наскоро обявиха Microsoft Security Advisory 2269637 – дупка, при която зареждането на библиотеки може да доведе до отдалечено изпълнение на код. Тази дупка все още не е закърпена. Ето видео демонстрация на екплойта:

KB: We can’t fix this one – Microsoft DLL Hijacking Exploit from Offensive Security on Vimeo.

Демонстрация на DNS спуфинг атака чрез Ettercap и след това чрез SET на жертвата се праща зловредна Java:

Много интересна дискусия се е заформила:
http://serverfault.com/questions/171893/how-do-you-search-for-back-doors-from-previous-it/171924

Имаме следната хипотеза – недоволен служител ( от ИТ отдела ) напуска/е уволнен. Предполагате, че човекът е заложил тайм-бомба или задна вратичка през която да влезе. Каква трябва да бъде реакцията ви за намаляване и елиминиране на риска ? Просто – приемете, че системите вече са компрометирани от злоумишлени външни хора и действайте оттам. Смяна на пароли, одит на системи за руткитове и преглеждане на всякакъв вид автоматизирани задачи са само част от нещата, които трябва да бъдат направени. Това, което ми напълни душата всъщност е един от коментарите – “след като съставите плана за действие при компрометиране – изпълнявайте го на всеки два месеца”

Интересна концепция, разказана в няколко видеота – хардуер ( микроконтролер, който се закача към USB ), който емулира HID¹ и генерира препрограмирани натискания на клавиши ( движение на мишка също е възможно ). Ако е логнат правилният потребител ( а дори и не толкова правилния ), то на практика имате достъп до машината. Недостатък, разбира се,  е нуждата от физически достъп до машината, както и факта, че все пак трябва да има истински потребител, който работи на конзола – дори и в по-късен етап. Предимството е, че действията, генерирани от контролера са неразличими от софтуерна гледна точка от действията на потребител на машината. С малко социално инженерство това може да е доста мощен вектор на атака. В конкретния случай се използва Teensy за хардуерна платформа.

Представяне на концепцията:

Ако младежа говори твърде бързо и не виждате картинките – ето линк към текста.
Демонстрация на стартиране на meterpreter и свързването му към metasploit чрез Teensy:

Teensy Pwn from Dean Liu on Vimeo.

Ето и как е генерирано всичко:

Social-Engineer Toolkit Teensy HID USB Attack Vector from David Kennedy on Vimeo.

1. Human Interface Device – клавиатура, мишка и т.н. [обратно ↩]

“In God we trust, all others must submit X.509 Certificate”

Стара шега из ИТ средите, която обаче напоследък може да изиграе лоша шега – повечето потребители смятат HTTPS за сигурен протокол, който защитава от подслушване. Все повече потребители се научават да гледат за зеленото катинарче, чавка или какъвто графичен елемент в браузера показва, че сертификатът на сайта е валиден и е подписан от валидно ауторити от верига, на която браузърът или операционната система се доверяват. Откъдето може да възникне проблем – EFF обявиха на DefCon18 своят нов проект – SSL Observatory, който цели да изследва всъщност на колко ауторитита вашият компютър се доверява по подразбиране и доколко всъщност можем да се доверим на тях. Защото ако злоумишлена организация може да генерира валидни сертификати, от верига, на която се доверявате, то те спокойно могат да подслушват комуникацията ви, била тя и през SSL.

Намереното от проекта до момента е изключително интересно:

• наблюдавани са над 1.3 милиона валидни сертификата
• Mozilla се доверява по подразбиране на 124 ауторитита ( събрани в около 60 организации )
• Microsoft се доверява само на 19 в Windows 7, но това може да бъде “ъпгрейдвано” тихомълком
• Голям брой сертификати подписани от единични leaf-ове – например един сертификат от GoDaddy е подписал 300 224 сертификата ,един от Equifax – 244 185
• много от организациите споделят ключове – открити са над 80 уникални ключа, които се използват в различни сертификати на ауторитита
• над 6000 сертификати за localhost, частни IP адреси и т.н.
• root CA сертификати, които не се използват ( но браузера ви им се доверява )
• Интересни организации, които притежават CA сертификат – например Department of Homeland Security, Etisalat¹,  Dell, Ford, Google, Marks and Spencer и т.н.

ето цялата презентацията от DefCon, препоръчително четиво, ако темата ви е интересна. Също така е достъпна карта на 650+ организации, които могат да издават сертификати.

В скоро време се очаква проекта да публикува цялата събрана информация ( включително събраните сертификати ), както и да направи няколко допълнителни анализа.

1. тези, които се опитаха да забранят Blackberry в Обединените Арабски Емирства [обратно ↩]