Wprowadzenie
Cześć!
Ja jestem Kacper Szurek a to 25 odcinek podcastu o bezpieczeństwie.
W tym odcinku dowiesz się co Google wie o Twoich zakupach.
Opowiem co to są Canary Tokens i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie.
A także czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł oraz o nowej metodzie ataku poprzez kabel USB podpinany do komputera.
Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.
Jeżeli interesujesz się branżą security lub jesteś programistą, który chciałby zadać pytanie o swój kod - zapraszam na grupę 0 do pentestera na Facebooku.
Większość wiadomości z tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.
Zapraszam do słuchania!
Nasze zakupy w panelu Google
W obecnych czasach coraz trudniej dbać o swoja prywatność.
Praktycznie wszystkie strony internetowe śledzą nasze poczynania.
Począwszy od kliknięć a skończywszy na czasie jaki spędzamy na danej podstronie nie mówiąc już o rozdzielczości, której używamy czy też sprzętu jaki posiadamy.
Takie śledzenie jest w cenie, zwłaszcza jeżeli mówimy o sklepach internetowych.
One to przecież zarabiają tylko wtedy jeżeli coś u nich kupujemy.
Stąd też targetowane reklamy, które mają zachęcić nas do kupna właśnie tego, czego w danej chwili potrzebujemy.
Może Cię więc zdziwić informacja, że Google przechowuje listę Twoich zakupów, których dokonałeś podając Gmaila jako swój adres pocztowy.
Wszystkie dane zebrane w ten sposób można oglądnąć na specjalnej podstronie.
Obecnie internetowy gigant obsługuje jedynie większe sklepy i jedynie wiadomości z tych serwisów są odpowiednio indeksowane i przetrzymywane.
Myślę jednak, że kwestią czasu jest kiedy Google doda obsługę większej ilości sklepów.
Co ważne - funkcjonalności tej nie da się wyłączyć - chyba, że korzystamy z płatnej wersji Gmaila czyli G Suite.
Nasuwa się tu więc stwierdzenie, że jeżeli jakaś usługa jest darmowa, to płacimy w niej naszą prywatnością i danymi.
A czy informacje o Twoich zakupach znajdują się w bazie Google? Daj znać w komentarzach.
Phishing w portfelu Electrum
Jeżeli korzystałeś kiedykolwiek z kryptowalut jest wysoce prawdopodobne że spotkałeś się z terminem synchronizacji blockchaina.
Zanim można rozpocząć przygodę z kryptowalutami na swoim własnym komputerze w większości przypadków należy pobrać wszystkie historyczne dane z całej sieci.
I tutaj pojawia się problem - ponieważ ilość danych do ściągnięcia w chwili obecnej idzie w gigabajty.
Taka ilość danych wymaga po pierwsze odpowiedniego transferu a po drugie odpowiedniej ilości wolnego miejsca na dysku.
To sprawia - że początkujący użytkownicy mogą zrezygnować z użycia tej technologii.
Jeżeli ktoś chce przesłać walutę z jednego konta na drugie - ściąganie gigabajtów danych może chwilę potrwać.
Dlatego też powstały alternatywne rozwiązania, mające uprościć cały proces.
Jednym z nich jest bitcoinowy portfel Electrum.
Tutaj dane na temat sieci nie są trzymane lokalnie u użytkownika a na specjalnych serwerach pośredniczących, które są utrzymywane przez społeczność.
Podczas wysyłania przelewu są one wykorzystywane do pobrania wszystkich potrzebnych danych.
Dzięki temu zwykły Kowalski nie musi przetrzymywać całego blockchaina bitcoina na swoim komputerze. Robią to za niego inni, bardziej zaawansowani użytkownicy.
Odpowiednio skonstruowany algorytm, pomimo serwerów pośredniczących sprawia, że rozwiązanie to jest bezpieczne.
Ale i tutaj sprytni atakujący znaleźli niecodzienny sposób na atak użytkowników.
Złośliwy serwer pośredniczący nie może przejąć czy też podrobić przelewu wykonywanego przez użytkownika.
Serwer może jednak zwrócić użytkownikowi błąd, jeżeli cos nie zadziała prawidłowo.
Atak wyglądał zatem następująco.
W krótkim okresie czasu pojawiło się wiele nowych serwerów pośredniczących.
Podczas próby przelewu - jeżeli użytkownik korzystał z jednego z takich felernych serwerów - otrzymywał odpowiednio spreparowany komunikat.
Tak się składa - że komunikat ten był wyświetlany jako HTML - mógł zatem posiadać w swojej treści kod HTML.
Jeżeli atakujący może wyświetlić dowolny kod HTML - mówimy o ataku HTML Injection.
Zazwyczaj tego rodzaju podatności nie są traktowane priorytetowo - co bowiem można wykonać w samym kodzie HTML bez dostępu do Java Scriptu i ciasteczek przeglądarki?
Tylko, że wszystko zależy gdzie taki kod jest wyświetlany.
W przypadku portfela Electrum - błąd wyświetlał się w oknie portfela.
Przestępcy spreparowali odpowiedni komunikat, informujący, że właśnie wydano nową wersję oprogramowania i zalecana jest jego aktualizacja ze względów bezpieczeństwa.
W treści wiadomości podali klikalny link do strony, z której można było ściągnąć ową aktualizację.
Jak można się domyślać - było to złośliwe oprogramowanie.
Zwykły użytkownik mógł być nieświadomy, że komunikat ten został wysłany przez serwer a nie przez twórców aplikacji.
To przykład, jak błędnie skonstruowany interfejs graficzny może prowadzić do ataków.
Tutaj bowiem serwery mogą być kontrolowane przez każdego - dlatego też ich komunikaty powinny być odpowiednio parsowane i walidowane - tak aby mogły wyświetlać użytkownikowi jedynie wcześniej zdefiniowane informacje.
Alexa a morderstwa
Amazon Echo inaczej nazywany Alexą to inteligentny głośnik stworzony przez Amazon.
Pozwala on na interakcję głosową z wieloma serwisami.
Wystarczy wypowiedzieć tak zwane słowo wybudzające - zazwyczaj Alexa, aby głośnik zaczął nasłuchiwać komend od użytkownika.
W ten sposób możemy posłuchać muzyki czy tez sprawdzić prognozę pogody.
To udogodnienie ma jednak swoją cenę - głośnik jest cały czas uruchomiony i nasłuchuje, czy użytkownik wypowiedział słowo wybudzające aby rozpocząć swoja pracę.
Następnie fraza wypowiedziana przez użytkownika jest wysyłana do chmury - gdzie cała komenda jest parsowana a odpowiedź zwracana do użytkownika.
To sprawia - że na serwerach Amazona znajdują się dziesiątki nagranych fraz z różnych domów z całego świata.
Ale dlaczego o tym mówię?
W sprawie na temat morderstwa, śledczy zauważyli - że w kuchni, w której doszło do tragedii - znajdowało się owo urządzenie.
Poprosili zatem firmę o wszystkie nagrania z tego głośnika - chcąc użyć ich jak dowodów w sprawie.
Jeżeli bowiem jakimś cudem urządzenie wysyłało dźwięk do serwerów jeszcze przed wypowiedzeniem frazy wybudzającej - dane głosowe mogą być kluczowym dowodem w sądzie.
Zastanawiając się nad tym dłużej - możemy dojść do wniosku, że potencjalnych urządzeń, które mogą stanowić dowód w sprawie w sądzie w naszym domu znajduje się o wiele więcej.
Weźmy chociażby samojezdne odkurzacze - tworzące w czasie rzeczywistym mapę pomieszczenia, które mogły by wysyłać informację czy w danym momencie ktoś znajduje się w danym pomieszczeniu.
Nie mówiąc już o inteligentnych nianiach zabawkach - transmitujących obraz i dźwięk z pokoju dziecięcego.
Czy Amazon zostanie zmuszony do wydania tych prywatnych danych użytkownika?
Czas pokaże.
Co to są canary tokens?
Canary tokens to metoda pozwalająca na wykrycie ataku w bardzo wczesnej jego fazie.
Na początku - generujemy specjalne tokeny. Mogą one mieć różną formę.
Adresu URL, danych do logowania, kluczy API, nazwy repozytorium gita - wszystko zależy od tego jakich zasobów chcemy chronić.
Następnie takie tokeny umieszczamy w krytycznych miejscach naszej infrastruktury.
Jeżeli atakujący uzyska do nich dostęp to istnieje wysoka szansa, że pozyska pozostawione przez nas tokeny i będzie chciał ich użyć.
One to nie dają dostępu do żadnych realnych i ważnych zasobów. Pełnią bowiem inną funkcję.
W momencie ich użycia - generowany jest automatyczny alert, który ma poinformować nas o potencjalnym wycieku.
Jeżeli bowiem ktoś zalogował się przy użyciu fałszywych danych zostawionych na produkcyjnym serwerze - istnieje wysoka szansa, że się do niego włamał.
Istnieją jeszcze inne metody wykrywania ataków.
Jedna z nich to sprawdzanie danych geograficznych podczas logowania użytkownika.
Jeżeli bowiem normalnie loguje się on z terenu Europy a kilka godzin później widzimy próbę logowania z terenu Stanów Zjednoczonych może to oznaczać albo teleportację albo, że ktoś przejął jego hasło.
I właśnie taką sytuację opisuje jeden z badaczy bezpieczeństwa, który zauważył, że część użytkowników w jego organizacji loguje się do poczty przy użyciu adresu IP należącego do puli Amazona.
Zazwyczaj oznacza to, że atakujący wykorzystuje zasoby AWS jako serwery proxy - aby chronić swoją prawdziwą lokalizację.
Tym razem było jednak inaczej. Wszyscy użytkownicy mieli jeden punkt wspólny.
Używali tego samego, mobilnego klienta email.
Zazwyczaj tego rodzaju oprogramowanie przechowuje hasło użytkownika w wydzielonej enklawie w telefonie i komunikuje się bezpośrednio z serwerami pocztowymi.
Tutaj jednak, hasło trzymane jest na serwerach producenta oprogramowania.
I to właśnie producent - w imieniu użytkownika kontaktuje się z serwerem w celu pobierania wiadomości.
A to wszystko po to aby przeglądać emaile - wszystko w zgodzie z polityką prywatności, którą przed użyciem zaakceptował użytkownik.
To zatem sugeruje - że firma ta przechowuje hasła użytkowników w postacie plain textu - czyli bez żadnego haszowania.
W innym bowiem wypadku ciężko było by się logować do serwera - znając tylko hash hasła.
Można sobie tylko wyobrazić potencjalne konsekwencje wycieku takiej bazy.
Biorąc pod uwagę popularność aplikacji - ponad milion jej pobrań - taka sytuacja może być co najmniej alarmująca.
Kolejny przykład, że nigdy tak na prawdę do końca nie możemy być pewni co robi dana aplikacja z naszymi danymi.
Hasła maskowane
Hasła maskowane to popularny sposób ochrony haseł stosowany głównie przez banki.
Ale jaka idea stoi za tym pomysłem?
W założeniu - użytkownik zamiast podawać swoje pełne hasło podczas logowania, podaje jedynie określone przez witrynę znaki hasła.
Teoretycznie ma to chronić użytkownika przed atakującym - który nie jest w stanie poznać całego hasła podczas jednego logowania.
Tylko czy to ma sens? Kiedy atakujący mógłby podsłuchać hasło?
Zakładamy - ze wszystkie strony do logowania wykorzystują certyfikat SSL a przeglądarki poprawnie go weryfikują - nie jest zatem możliwy atak man in the middle - czyli podsłuchanie hasła w sieci.
Pozostaje zatem złośliwe oprogramowanie zainstalowane na komputerze ofiary - czyli tak zwany keylogger - który zapisuje wszystkie znaki, wciśnięte na klawiaturze użytkownika.
I rzeczywiście - w takim przypadku atakujący nie pozna całego hasła a tylko poszczególne litery.
Jeżeli malware będzie uruchomiony na komputerze odpowiednio długo po pewnym czasie pozna większość liter z hasła stosowanego przez ofiarę.
Ale czy atakujący potrzebuje znać to hasło?
Jeżeli bowiem może nasłuchiwać klawiaturę nic nie stoi na przeszkodzie aby kontrolować schowek czy też dane wyświetlane przez przeglądarkę.
Większość ludzi kopiuje bowiem numer konta podczas wykonywania przelewu - a to idealny moment, aby podłożyć tam inny numer i w ten sposób przejąć pieniądze.
Oprócz hasła bowiem banki wymagają kodu SMS czy też użycia mobilnego tokenu.
Samo hasło nie wystarczy. Użytkownik musi potwierdzić złośliwą transakcję.
Popatrzmy na minusy tego rozwiązania.
Sporo osób stosuje tak zwane menadżery haseł, które przechowują wszystkie hasła używane przez danego użytkownika.
I tutaj następuje zgrzyt. Oprogramowanie to potrafi samo wypełniać odpowiednie pola do logowania sprawiając iż proces ten jest dużo prostszy.
Niestety, słabo radzą sobie z hasłami maskowanymi - zwłaszcza w mniejszych systemach, które nie są popularne na całym świecie.
Hasło maskowane bowiem to nie jest zwykłe pole typu inputbox o nazwie password czy też hasło - a zestaw mniejszych pól.
Taki formularz można zaimplementować na kilkadziesiąt różnych sposobów.
Wtedy to zamiast auto wypełniania - użytkownik musi otworzyć dany wpis a następnie przeliczyć która litera z hasła jest wymagana a następnie powtórzyć daną operację dla kolejnego znaku.
A to może być frustrujące.
Tak samo jak blokowanie możliwości wklejenia hasła do pola tekstowego.
Tak, tak istnieją strony, które blokują możliwość wklejenia hasła.
Wszystko za zasłoną bezpieczeństwa. Ale czy aby na pewno?
A co wy sądzicie o tego rodzaju formie sprawdzania danych od użytkownika?
Dajcie znać w komentarzach.
Kable BadUSB
Obecnie prawie każde urządzenie elektroniczne posiada baterię, którą musimy ładować.
Podpinamy zatem kable do komputera czy też ładowarki praktycznie codziennie lub prawie codziennie.
Ale czy wiesz, że takim kablem można zaatakować Twój komputer?
Jak to możliwe? Na rynku pojawiły się kable - które oprócz bycia zwykłymi kablami umożliwiającymi ładowanie urządzeń, posiadają wbudowany moduł bluetooth.
Taki kabel ma dwa tryby pracy.
Pierwszy - w którym zachowuje się tak jak zwykły kabel - czyli ładuje urządzenie, pozwala na komunikację z telefonem, ściąganie zdjęć i transfer danych.
Drugi - w którym, urządzenie instaluje się jako generyczna klawiatura w systemie operacyjnym atakowanego.
Jeżeli podpinamy klawiaturę do naszego komputera i jesteśmy do niego zalogowani - klawiatura może wysłać do komputera dowolne klawisze, które zostaną zinterpretowane przez system operacyjny.
Można więc zaprogramować ją w taki sposób - aby otworzyła linię komend przy pomocy skrótu klawiaturowego a następnie znak po znaku wpisała komendę, która uruchomi skrypt powershella - który to ściągnie i uruchomi złośliwe oprogramowanie z serwera atakującego.
A to wszystko w małym zwykłym kablu.
Ciekawe urządzenie, które może być zastosowane podczas testów penetracyjnych.
Wystarczy rozesłać do kluczowych pracowników jakiś drobny upominek - na przykład wiatraczek USB a następnie poczekać, aż podłączą go do swoich służbowych komputerów.
Ponieważ w kablu znajduje się moduł bluetooth - atakujący z zewnątrz budynku może zdalnie uruchomić złośliwą klawiaturę na przykład podczas przerwy kawowej.
I już - komputer został przejęty.
Żyjemy w ciekawych czasach - kiedy to nawet kable należy dokładnie obejrzeć przed ich użyciem.
Opsec FAIL
Pięciu mężczyzn uzyskało nieautoryzowany dostęp do serwera jednej z firmy zajmujących się tworzeniem produkcji telewizyjnych.
W ten sposób pobrali filmy i seriale, jeszcze przed ich planowaną datą premiery.
Następnie postanowili wykorzystać tak zebrane materiały i rozpoczęli ich sprzedaż w Internecie.
W celu zachowania anonimowości posługiwali się specjalnie stworzonymi pseudonimami.
Pan Sam Nhance w swoim nicku zamienił literkę e na cyfrę 3.
Jego kolega Jitesh Jadhav używał równie tajemniczego zlepka słów: JitJad, biorąc pierwsze 3 litery ze swojego imienia i nazwiska.
Ale to nie wszystko. Pomysłowi hackerzy aby zmylić organy ścigania przyjmowali płatności z wykorzystaniem swoich osobistych kont Paypal, a pieniądze tak pozyskane wysyłali na swoje konta bankowe.
Co więcej, serwery z których można było pobrać nielegalne materiały zarejestrowali na swoje dane osobowe.
Morał z tej historii jest prosty.
Albo ktoś w brawurowy sposób wrobił kilka osób w nielegalną dystrybucję materiałów chronionych prawem autorskim albo ze zmysłem hackerskim nie idzie w parze zdrowy rozsądek.
Sandbox w Windows
Windows wprowadza do swojego systemu operacyjnego swój własny sandbox.
Co to jest sandbox i dlaczego ta opcja może być interesująca dla potencjalnego użytkownika?
Sandbox to odizolowane, tymczasowe wirtualne środowisko, w którym można uruchomić niepewne oprogramowanie bez strachu iż mogło by ono spowodować jakiekolwiek szkody na naszym komputerze.
Wszystko co zostało zmienione w sandboxie pozostaje w nim i nie ma wpływu na główny komputer.
Zmiany te są tymczasowe i po usunięciu środowiska znikają razem z nim.
Dotychczasowo, aby uzyskać podobny poziom bezpieczeństwa należało korzystać z wirtualizacji na przykład przy pomocy oprogramowania Vmware, Virtualbox czy też Hyper-V.
Musieliśmy więc zatem wykupić specjalną licencję na oprogramowanie a także dodatkową licencję na system operacyjny nie mówiąc już o kosztach sprzętu, na którym musieliśmy to wszystko uruchamiać.
Teraz każdy użytkownik Windowsa 10 pro uzyskuje taką funkcjonalność w standardzie bez dodatkowych kosztów.
Wymagane jest tylko włączenie wirtualizacji na naszym procesorze oraz przynajmniej 4 GB pamięci operacyjnej.
Funkcje tą można włączyć na razie w buildach 18305 i nowszych.
To krok w dobrą stronę.
Z niecierpliwością czekam na integrację tej funkcjonalności z Outlookiem - tak aby wszystkie załączniki z maili były automatycznie otwierane z poziomu sandboxa.
Dzięki temu nawet jeżeli panie z Księgowości otworzą złośliwą fakturę, nic się nie stanie - ponieważ po zamknięciu okna sandboxa - wszystko wróci do normy.
Wadriving
Routery Livebox używane przez abonentów sieci Orange w Hiszpanii były podatne na atak, który pozwalał na pobranie nazwy SSID sieci Wifi oraz hasła z nią powiązanego.
Do czego można wykorzystać takie dane?
Po pierwsze - bardzo prawdopodobne, że użytkownik może używać tego samego hasła do sieci Wifi oraz do routera.
Ale do czego może się przydać sama nazwa sieci Wifi?
Czy słyszałeś drogi słuchaczu o pojęciu Wardriving?
Osoby, które zajmują się tym zajęciem jeżdżą po różnych miastach razem ze sprzętem pozwalającym na wykrywanie sieci bezprzewodowych.
W ten sposób można stworzyć wirtualną mapę miasta, w którym zamiast numerów domów widzimy nazwy rozgłaszanych w okolicy sieci wifi.
jednym z serwisów który udostępnia takie dane jest wigle.net
No ale dobrze. Do czego można wykorzystać tak zebrane informacje?
Załóżmy, że jesteś właścicielem aplikacji, która służy do publikowania zdjęć w Internecie.
Użytkownicy przeglądają tą aplikację przez swoje telefony. Oczywiście jak każda firma musisz jakoś zarabiać.
Dlatego w losowych miejscach umieszczasz zdjęcia - reklamy, mające promować jakieś inne firmy.
Załóżmy że restauracja X - chciała by się promować używając Twojej platformy.
Logicznym jest, ze najlepiej było by dla właściciela tej restauracji, aby reklamy wyświetlały się wtedy - kiedy użytkownik aplikacji znajduje się względnie blisko danej restauracji.
A nóż - najdzie go ochota na ciepły posiłek.
Tylko że obecni użytkownicy są coraz bardziej świadomi swojej prywatności, głównie przez różnego rodzaju wycieki danych.
Dlatego coraz rzadziej zgadzają się na udostępnianie swojej lokalizacji GPS.
I tutaj w grę wchodzą informacje na temat sieci Wifi.
Jeżeli bowiem aplikacja posiada dostęp do nazw sieci dostępnych w okolicy, może na tej podstawie w miarę dokładnie określić gdzie znajduje się dany użytkownik.
Sama pojedyncza nazwa sieci Wifi niekoniecznie musi być unikalna.
Ale jeżeli skorelujemy wszystkie sieci ogłaszane w danym miejscu - to już co innego.
Prawda że pomysłowe?
Za ile się sprzedasz?
Nasze życie staje się coraz bardziej cyfrowe.
Coraz więcej sfer naszej codzienności zostaje przeniesione do sieci.
Nie rozmawiamy już przez telefon a piszemy na komunikatorach.
Nie wysyłamy pocztówek a przesyłamy maile.
Nie idziemy do banku wysłać przelewu lecz wykorzystujemy bankowość mobilną.
Ale czy zastanawiałeś się ile te rzeczy są warte?
Za ile sprzedał byś te swoje wszystkie dane?
Na to pytanie postanowił odpowiedzieć jeden z badaczy, przyglądając się czarnemu rynkowi na którym oprócz broni i narkotyków można kupić cyfrowe konta.
I tak dostęp do cudzego konta Spotify kosztuje 2 dolary.
Jeżeli mamy ochotę na filmy na Netflixie trzeba przygotować się na wydatek od 1 do 5 dolarów.
Facebook to tylko 1 dolar za użytkownika.
Tyle samo kosztują dane dostępowe do serwisów z grami w stylu Steam, Playstation network czy Xbox.
Oprócz tego na czarnym rynku można kupić skany dokumentów tożsamości za nieco ponad 4000 dolarów.
Takie skany są już mocno problematyczne dla ofiary, której tożsamość została skradziona.
Można bowiem przy ich pomocy założyć konto w banku czy też umowę na abonament telefoniczny.
Jak zatem przestępcy wchodzą w posiadanie tych wszystkich danych?
Możliwości jest kilka. Wycieki baz danych, błędy w aplikacjach czy też najprostszy phishing.
Jak widać nasze cyfrowe JA nie jest tak cenne jak mogło by się nam wydawać.
I to wszystko na dzisiaj.
Zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku i subskrypcji kanału KacperSzurek na YouTube.
Cześć!
Icon made by Pixel Buddha, Smashicons from www.flaticon.com
