10-03-2019 / Podcast

Jak pozyskać tajne dane z firm?

Wprowadzenie

Cześć!

Ja jestem Kacper Szurek a to 34 odcinek Podcastu Szurkogadanie, w którym przygotowałem dla ciebie 8 ciekawych wiadomości powiązanych z bezpieczeństwem komputerowym.

Dzisiaj jak włamać się do systemów rozrywki obecnych w samolotach pasażerskich.

Jak obejść mechanizm Attack Surface Reduction mający chronić użytkowników przed złośliwymi makrami w pakiecie Office.

Następnie historia o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW na której podstawie możliwe było wykrycie złośliwych serwerów Cobal Strike.

Chwilę później o plikach polyglots, które umożliwiają przechowywanie informacji różnego typu w jednym pliku.

Na koniec o tym jak można było pozyskać tajne dane z firm, które już nie istnieją na rynku a także historia pewnego dziwnego na pozór losowego hasła.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Większość informacji do tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.

Jeżeli ten materiał Ci się spodobał rozważ zostawienie gwiazdki i recenzji w aplikacji Apple podcast.

Więcej informacji na temat bezpieczeństwa znajdziesz na naszej grupie od 0 do pentestera na Facebooku.

Atakowanie ekranów dotykowych w samolotach

 Atakowanie ekranów dotykowych w samolotach

Spora część dużych samolotów pasażerskich posiada tak zwane systemy rozrywki, mające umilić podróż pasażerom podczas długiego lotu.

Przy użyciu ekranów dotykowych można więc oglądać najnowsze hollywoodzkie produkcje, czytać książki czy też słuchać muzyki.

W nowszych samolotach dla pasażerów dostępne są także porty USB - pozwalające na bezpośrednie ładowanie telefonów czy też tabletów bez konieczności wyciągania własnej ładowarki.

Wszak teraz praktycznie każdy z nas posiada jedno z tych urządzeń.

Jeden z badaczy bezpieczeństwa podczas nudnego lotu postanowił przyjrzeć się systemowi bliżej.

Zamiast telefonu - podłączył tam myszkę.

Jakież było jego zdziwienie kiedy to na ekranie zobaczył kursor - okazało się bowiem że port USB nie tylko służył do ładowania ale także był podłączony do komputera wbudowanego w zagłówek.

Możliwym jest, że port ten był wykorzystywany do testowania urządzenia lub też jego konfiguracji.

Wszak tekst łatwiej wpisuje się przy pomocy klawiatury niż wciskając pojedynczo klawisze na ekranie.

Patrząc z perspektywy pentestera - jeżeli mamy jakiś system i możliwość wysyłania do niego różnych znaków - może warto go przetestować - to znaczy sprawdzić jak zachowa się w przypadku podania nieprawidłowych informacji?

System ten oprócz filmów posiadał wbudowaną aplikację czatu - która miała zapewne pozwolić na komunikację pomiędzy osobami, które nie siedzą obok siebie podczas jednego lotu.

Teoretycznie czat to prosta rzecz - przecież to tylko okienko z miejscem na podanie i wyświetlenie odczytanej wiadomości.

Użytkownik szybko zorientował się - że aplikacja nie pozwalała na podanie dłuższego ciągu znaków - po prostu blokując używanie wbudowanej w ekran klawiatury.

Ale programiści nie przewidzieli, że użytkownik może mieć dostęp do myszki.

W większości systemów operacyjnych bowiem gdy prawym przyciskiem myszki kliknie się na pole tekstowe otrzymuje się standardowe pole wyboru, przy pomocy którego można podany wcześniej ciąg zaznaczyć a także skopiować.

A ponieważ blokowali jedynie użycie klawiatury ekranowej - po kilkukrotnym powtórzeniu operacji kopiuj/wklej przy użyciu myszki i prawego kliknięcia, udało się przepełnić bufor aplikacji czatu co doprowadziło do jego zamknięcia.

Bazując jedynie na tym opisie oraz filmie, który demonstruje ten atak można więc wysnuć wniosek - że aplikacja jest podatna na błąd Buffer Overflow.

Do błędów tego rodzaju dochodzi, gdy rozmiar bufora - który ma przechowywać podany przez użytkownika tekst jest mniejszy niż tekst - który został tam przekazany.

Odpowiednie manipulowanie tym ciągiem może zatem doprowadzić do przejęcia kontroli nad aplikacją i wykonania przez nią innego kodu, niż ten wcześniej zaprojektowany przez programistów.

Czyli tłumacząc to na prosty język - w teorii możliwe jest uruchomienie innej aplikacji w obrębie systemu rozrywki w samolocie.

Oczywiście proces budowania takiego exploita - przy wykorzystaniu samej tylko klawiatury byłby niezwykle skomplikowany i czasochłonny.

Najlepiej było by zatem posiadać pełny dostęp do urządzenia.

Trudno mi sobie jednak wyobrazić, że na poczet takiego eksperymentu prywatna osoba lub nawet firma kupuje swój własny samolot tylko do tego celu.

Kolejne pytanie, jakie nasuwa się w takiej sytuacji to informacja na temat separacji urządzeń elektronicznych w takim samolocie.

Czy system rozrywki pracuje w osobnej sieci, która jest niepołączona z całą resztą samolotu?

A może uzyskując do niego dostęp atakujący byłby w stanie kontrolować inne elementy?

Interesujący może być także sposób naprawy tego błędu.

Czy producent pokusi się o wydanie poprawki bezpieczeństwa dla aplikacji czatu a może konieczne będzie fizyczne odłączenie portów USB - tak aby służyły one tylko do ładowania?

Jak działa Attack Surface Reduction?

 Jak działa Attack Surface Reduction?

Attack Surface Reduction to część Windows Defendera, która ma chronić użytkowników w przypadku gdy dojdzie do uruchomienia złośliwego makra w dokumentach pakietu Office - na przykład w Wordzie.

Mechanizm ten pozwala na ustawienie kilku, wcześniej zdefiniowanych reguł.

Użytkownik może między innymi zablokować możliwość tworzenia procesów potomnych czy też zapisywania przez makra plików wykonywalnych na dysku twardym komputera.

W Internecie pojawił się dokument, który szczegółowo opisuje każdą z reguł a także metody na ich ominięcie.

Jest to ciekawa lektura ukazująca jak stosując drobne sztuczki można próbować omijać skomplikowane mechanizmy bezpieczeństwa.

Prześledźmy wspólnie kilka przykładów z tego dokumentu.

Pierwsza reguła pozwala na wykrywanie procesów potomnych.

W Windowsie bowiem - jeżeli jakaś aplikacja uruchamia inny program - możliwe jest prześledzenie całej ścieżki takiego wykonania.

System operacyjny wie bowiem, która aplikacja uruchomiła dane narzędzie.

Często zdarza się, że złośliwe makra działają dokładnie w ten sposób.

A więc po ich uruchomieniu starają się wywołać inną, zewnętrzną aplikację, która to będzie wykonywać złośliwą akcję.

Ta reguła wykrywa wiec sytuacje gdy jakaś aplikacja pakietu Office próbuje wykonać inny program.

Jak zdołano obejść to zabezpieczenie?

W Windowsie istnieje harmonogram zadań.

Działa on podobnie jak Cron w Linuxie - pozwala na tworzenie zadań - czyli akcji jakie mają zostać automatycznie wykonane przez system operacyjny o określonym czasie oraz dniu.

Wystarczy więc stworzyć takie zadanie z poziomu makra Worda a następnie poczekać na jego wykonanie.

Gdy program jest uruchamiany jako zadanie - jego procesem potomnym nie jest żadna aplikacja pakietu Office, co sprawia że reguła nie będzie działać prawidłowo.

Inna reguła chroni makra przed bezpośrednim zapisywaniem danych do plików z rozszerzeniem .exe

Jest to ponownie popularna taktyka stosowana przez twórców złośliwego kodu.

Początkowo dane złośliwego pliku są zawarte w samym makrze - na przykład zakodowane przy pomocy algorytmu base64.

Makro to odpowiednio dekoduje te dane a następnie zapisuje je do pliku na dysku twardym.

Potem wystarczy już tylko uruchomić tak zapisany plik aby doszło do infekcji.

Blokując więc możliwość zapisywania danych do plików z rozszerzeniem .exe - chronimy przed tym popularnym scenariuszem.

W Windowsie bowiem jeżeli plik nie posiada tego rozszerzenia - nie zostanie przez system odpowiednio rozpoznany jako plik wykonywalny czyli nie zostanie uruchomiony.

Jak obejść tą metodę?

Blokuje ona tylko zapisywanie do plików .exe - ale przecież możemy użyć dowolnego, innego rozszerzenia.

Zapis do takiego pliku - powiedzie się.

Teraz wystarczy już tylko znaleźć sposób na uruchomienie takiego pliku.

Blokowany jest zapis - ale przecież rozszerzenie można później zmienić - na inne.

Zmiana rozszerzenia to nie jest operacja zapisu - więc się powiedzie.

Atak polega zatem na zapisaniu złośliwego pliku z rozszerzeniem .txt a następnie jego zmiany z linii komend na prawidłowe rozszerzenie.

Złośliwe makra nie muszą jednak opierać się tylko na wykonywaniu zewnętrznych plików.

Mogą odwoływać się bezpośrednio do funkcji API udostępnianych przez system.

Funkcje API to funkcjonalności udostępniane przez sam system operacyjny.

Chociażby możliwość odczytu z pliku, zapisu do niego czy tez pobrania jakichś danych z Internetu.

To właśnie łącząc różne wykonania takich funkcji API - programiści tworzą pełnoprawne aplikacje.

W większości makr - nie trzeba się do tych funkcji API odwoływać bezpośrednio, ponieważ sam Office - posiada dodatkowa warstwę abstrakcji.

Dzięki temu codzienne korzystanie z najpopularniejszych opcji jest proste i przyjazne dla programisty.

Całkiem sensowne wydaje się zatem zablokowanie wywołań do takich zewnętrznych API.

Jak bowiem wygląda takie wywołanie API bezpośrednio z kodu makra?

Definiuje się nazwę funkcji która nas interesuje a także plik dll, w którym się ona znajduje, jak również listę przyjmowanych przez nią parametrów.

Jak udało się obejść ten mechanizm?

Plik dll który podaje się w definicji nie zawsze musi się odnosić do plików znajdujących się w katalogu C:\Windows.

Plik ten równie dobrze może się znajdować w tym samym katalogu co nasz dokument.

W obejściu kopiuje się zatem plik dll z katalogu Windows do nowego katalogu.

Potem trzeba już tylko zmienić obecny katalog roboczy i już - reguła przestaje działać.

Wykrywanie Cobal Strike

 Wykrywanie Cobal Strike

Cobal Strike to framework mający - przynajmniej w teorii - służyć do symulowania ataków na infrastruktury firm.

Jest używany przez pentesterów aby przyspieszyć i ułatwić kontrolowanie maszyn do których uzyskano dostęp.

Jak korzysta się z tego narzędzia?

Na początku przy pomocy jakiejś znanej podatności próbuje się włamać do danego systemu.

Dalej instaluje się na nim specjalne oprogramowanie - tak zwany beacon.

On to co jakiś czas kontaktuje się z naszym serwerem i pobiera od niego informacje z zadaniami jakie ma wykonać.

W taki to sposób można wykonywać skrypty powershella, monitorować wciśnięte klawisze czy też ściągać i uruchamiać zewnętrzne programy.

Ale narzędzie to stało się popularne nie tylko wśród firm pentesterskich ale także wśród przestępców - którzy zaczęli wykorzystywać jego funkcjonalności do przeprowadzania prawdziwych ataków na firmy.

Dlatego kluczowe z punktu widzenia działów bezpieczeństwa wydaje się rozpoznawanie połączeń beaconów z serwerami - aby w porę zareagować na incydenty bezpieczeństwa.

Oczywiście nie jest to takie proste - narzędzie stosuje wiele technik mających utrudnić cały proces rozpoznawania ruchu.

Chociażby stosując tak zwany DNS beaconing - kiedy to informacje nie są przesyłane w żądaniach HTTP a dostarczane na poziomie zapytań DNS.

W changelogu tego narzędzia można było ostatnimi czasy odnaleźć drobny wpis, gdzie producenci informują iż usunięto dodatkową spację w odpowiedzi żądania HTTP.

Dlaczego tak drobna zmiana została wpisana do listy zmian?

Okazuje się, że serwer wewnętrznie korzystał z innego narzędzia NanoHTTPD - będącego darmową implementacją serwera WWW dla Javy.

Implementacja ta posiadała jedną - unikalną cechę.

W odpowiedzi na żądanie HTTP - gdy zwracany był kod 200 na końcu linii znajdowała się dodatkowa spacja.

Jest to zmiana trudna do wychwycenia, która niczego nie zmienia - wszak przeglądarki dalej poprawnie interpretują taki nagłówek i wyświetlają stronę poprawnie.

Tylko, że wszystkie inne znane serwery HTTP - nigdy nie dokładały do tego nagłówka tej spacji.

Dlatego też bazując na tej charakterystyce - można było wykryć, czy pod podanym adresem znajdował się serwer Cobal Strike.

Wystarczyło tylko połączyć się z dowolnym adresem url - i sprawdzać czy w odpowiedzi nie znajdowała się taka dodatkowa spacja.

To tylko jeden z przykładów fingerprintingu - kiedy to na podstawie jakiegoś artefaktu, próbuje się określić z jakim serwerem mamy do czynienia.

Takie rozpoznawanie serwera można wykorzystać na wiele różnych sposobów.

Wyobraźmy sobie bowiem, że nagle opublikowany został błąd na konkretną aplikację - chociażby WordPress - służący do hostowania blogów.

Standardowo - w kodzie źródłowym zwraca on informację na temat wersji, która jest używana przez taką stronę.

Dzięki takiej informacji - atakujący mogą wyszukać wszystkie domeny używające podatnej wersji - chociażby przy pomocy Google.

Nie tracą wtedy czasu na atakowanie nowych stron - które mogą być załatane i całe swoje siły i środki kierują jedynie do tych które są podatne.

Ten przykład świetnie pokazuje również jak istotne mogą być drobne różnice w implementowaniu standardowych protokołów.

Pliki polyglot

 Pliki polyglot

Polyglot to plik, który jest jednocześnie prawidłowym plikiem w wielu różnych formatach.

Dla przykładu może to być równocześnie obrazek oraz kod JavaScript.

Zazwyczaj technika ta używana jest w zaawansowanych atakach na serwisy internetowe.

Może ona służyć chociażby do ominięcia polityki CSP.

Więcej na ten temat można dowiedzieć się w moim filmie z cyklu od 0 do pentestera.

W skrócie: można skonfigurować stronę internetową w taki sposób, aby pozwalała ona jedynie na wykonywanie kodu JavaScript który znajduje się w obrębie danej domeny.

W teorii pozwala to na poprawienie obrony przed atakami typu XSS - kiedy to atakujący próbuje wykonać złośliwy kod JS w obrębie naszej strony.

Jeżeli bowiem przeglądarka uruchomi jedynie kod znajdujący się na naszej domenie, atak będzie znacząco utrudniony.

Sytuacja może się jednak zmienić jeżeli serwis posiada funkcję wysyłki plików.

Wtedy to korzystając z takiego formularza - można przesłać plik z odpowiednim kodem a następnie użyć go w ataku XSS.

Wszak jest wysoce prawdopodobne, że plik będzie znajdował się w obrębie bieżącej domeny - czyli przeglądarka zezwoli na jego uruchomienie.

Dlatego tez niektóre witryny - przed przeprocesowaniem pliku przesłanego przez użytkownika - dokładnie sprawdzają jego format.

Sprawdzają zatem czy plik jest rzeczywiście obrazkiem i tylko wtedy kopiują go do swojego serwera.

I tu do gry wchodzą pliki polyglot - które są jednocześnie prawidłowym obrazkiem i mogą zawierać w swojej treści prawidłowy kod JavaScript.

Okazuje się jednak, że pentesterzy to nie jedyne osoby, które zaczęły stosować tą taktykę.

Napotkano na przykłady złośliwych reklam - korzystających dokładnie z tej samej techniki.

Dany plik - można umieścić w kodzie strony używając tagu <img> - wtedy to zostanie wyświetlony jako normalny obrazek.

Równocześnie - do tego samego pliku można się odnieść używając tagu <script> - wtedy to jego treść będzie traktowana jako prawidłowy kod JavaScript.

Teoretycznie takie działanie ma utrudnić analizę i rozpoznanie tego rodzaju niebezpieczeństw.

Jeżeli bowiem analityk ściągnie taki plik to bez głębszego zapoznania się z jego treścią - może go błędnie zakwalifikować jako zwykły obrazek.

Wszak po dwukrotnym kliknięciu ukaże mu się prawidłowa grafika.

Jak pozyskać tajne dane firm?

 Jak pozyskać tajne dane firm?

A teraz historia o tym jak można pozyskać poufne dane firm, które już nie istnieją na rynku.

Jak to możliwe?

Obecnie praktycznie każda nowa firma rezerwuje swoją własną domenę - pod którą jest dostępna w Internecie.

Ta domena jest następnie używana w wielu miejscach.

G Suite to płatna usługa dla firm od Google.

Pozwala ona na korzystanie z poczty internetowej, przechowywania plików w chmurze oraz tworzenia dokumentów.

Usługę tą uruchamia się podpinając do niej naszą istniejącą domenę.

Dzięki temu - można korzystać z poczty email bazując na znanym interfejsie Gmaila.

Dla wielu firm takie rozwiązanie jest idealne.

Nie muszą martwić się własną infrastrukturą, atakami czy też administracją.

Płacą jedynie zryczałtowaną opłatę miesięczną za każde konto.

To sprawia - że dla wielu firm usługa ta jest trzonem działalności.

Tam to znajduje się firmowa poczta, pliki i inne dane potrzebne do prowadzenia firmy.

Ale jak to bywa - czasami pomysł nie jest tak dochodowy jak mogło by się wydawać na początku.

Albo też pojawiła się nowa lepsza i tańsza konkurencja.

Wtedy to porzucamy całą działalności a po pewnym czasie nie przedłużamy już swojej domeny, ponieważ staje się ona dla nas bezużyteczna.

Tylko że taką porzuconą domenę - mogą przejąć inne podmioty.

W przeszłości było to popularne zagranie.

Niektóre osoby podkradały popularne nazwy, które przez przypadek nie zostały przedłużone a następnie kontaktowały się z firmami proponując korzystną ofertę odzyskania danej nazwy.

Ale takie przejęcie czyjejś domeny to nie tylko szkoda na wizerunku.

Co bowiem w sytuacji - gdy nowy właściciel adresu chciał go połączyć z nowym kontem G Suite?

Okazywało się to niemożliwe - serwis wyświetlał informację iż konto w takiej domenie już istnieje.

Po kontakcie z pomocą techniczną możliwe było jednak przywrócenie dostępu do takiego konta.

Wszak będąc prawowitym właścicielem - możemy dysponować daną domeną wedle własnego życzenia.

Tylko że serwis przywracał dostęp do tej domeny wraz ze wszystkimi danymi, które się tam znajdowały.

A to już zupełnie inna para kaloszy.

Tak to wyglądało w przeszłości - teraz błąd ten powinien być już naprawiony.

Badacz postanowił sprawdzić jak poważna mogła to być podatność.

W tym celu wygenerował listę domen, które wygasły a następnie sprawdzał - czy są one powiązane z istniejącym kontem G Suite.

W badaniach 56 na 3000 domen było powiązanych z tym pakietem.

Na pewno znajdzie się wiele innych serwisów, do których dostęp można otrzymać bazując na adresie email.

Otwartą kwestią pozostaje pytanie jak długo dane przetrzymywane są na takich serwerach jeżeli użytkownik się do nich nie loguje oraz za nie nie płaci?

To także przykład jak ważna jest prawidłowa procedura usunięcia konta z danego serwisu wraz ze wszystkimi danymi jakie można tam znaleźć.

Czy hasło ji32k7au4a83 jest unikalne?

 Czy hasło ji32k7au4a83 jest unikalne?

Jeden z użytkowników Twittera opublikował ciekawe hasło.

Brzmi ono tak: ji32k7au4a83

Zadał tym samym pytanie: jak to hasło mogło powstać?

Sprawdzając bowiem jego popularność w serwisie HaveIBeenPwned - odnotowano ponad 100 użyć tego ciągu znaków.

Serwis ten jest swego rodzaju agregatorem różnego rodzaju wycieków danych.

Autor grupuje tam wszystkie hasła jakie udało się wyciągnąć z takich wycieków.

W ten sposób możliwe jest sprawdzenie jak bezpieczne jest nasze hasło i czy w przeszłości nie wyciekło ono z jakiejś strony.

Pojawiło się kilka teorii powiązanych z danym ciągiem.

Pierwsza - to prawdopodobieństwo że kilkanaście osób użyło tego ciągu w różnych serwisach.

Ale ta opcja wydaje się mało prawdopodobna.

Druga - to fakt, że hasło mogło być używane przez jedną osobę na wielu serwisach.

Tylko że 100 rekordów to całkiem sporo jak na jedną osobę.

Prawda okazała się dużo prostsza.

Jesteśmy przyzwyczajeni do klawiatury w układzie qwerty.

Ale to przecież nie jedyna klawiatura używana na świecie.

Co z krajami, które używają innego układu niż nasz?

I to właśnie układ klawiatury jest rozwiązaniem tej zagadki.

Po przetłumaczeniu ciąg ten jest równy zdaniu: "Moje hasło".

To tylko pokazuje, że ludzie na całym świecie stosują hasła w postaci admin/admin czy też hasło/hasło.

Interesująca ciekawostka.

Telefon jako źródło wiedzy

 Telefon jako źródło wiedzy

Nie od dziś wiadomo, że telefon to spore źródło wiedzy na temat każdego człowieka.

Stąd też spory rozwój branży kryminalistyki śledczej.

Zadanie jest proste - wyciągnąć jak najwięcej informacji z takiego urządzenia.

A wszystko po to aby uzyskać cenne informacje i dowody w różnego rodzaju sprawach.

Obecnie większość telefonów korzysta z szyfrowania i odzyskanie danych bez posiadania odpowiedniego hasła nie jest takie proste.

Również próby siłowe nie są skuteczne - telefony bowiem wprowadzają odpowiednie mechanizmy sprawiając, iż każda kolejna próba wpisania niepoprawnego hasła trwa coraz dłużej.

Dlatego też powstały firmy specjalizujące się w tworzeniu narzędzi mających upraszczać cały proces.

Ich zasada działania jest prosta do wytłumaczenia.

Poszukują oni nowych błędów, które umożliwiają nieautoryzowany dostęp do urządzenia bez znajomości hasła.

Tylko, że taki dostęp to gra w kotka i myszkę.

Producenci telefonów bowiem robią wszystko, aby jak najszybciej załatać takowe błędy - aby telefony klientów były jak najbezpieczniejsze.

Dlatego tez urządzenia umożliwiające łamanie zabezpieczeń są drogie i dostępne jedynie dla niektórych podmiotów.

Ale okazało się że na eBayu - czyli amerykańskim odpowiedniku Allegro można w dobrej cenie kupić jedno z urządzeń tego rodzaju.

Skąd takie perełki dostępne w sprzedaży dla każdego?

Powód jest prosty - producent stworzył nową wersję urządzenia z nowym oprogramowaniem.

A ponieważ rynek telefonów jest dynamiczny a aktualizacje są niejako wymuszane na użytkownikach - roczny sprzęt tego rodzaju nie jest w stanie poradzić sobie z większością telefonów obecnych na rynku.

To sprawia, że podmioty pozbywają się starych urządzeń i kupują nowe.

I nie było by w tym nic dziwnego oprócz faktu jakie informacje pozostały na starych urządzeniach.

Większość urządzeń dostępnych na platformie aukcyjnej nie zostało bowiem prawidłowo wyczyszczone.

Można z nich wydobyć informacje na temat rodzaju urządzeń, które były atakowane, czasu takiego ataku jak również kodu IMEI, który to jednoznacznie identyfikuje dany telefon.

Jest to podobna sytuacja do sprzedaży używanych dysków twardych czy też sprzętu sieciowego.

Prawidłowe wyczyszczenie dysku - tak, aby odzyskanie jakichkolwiek informacji było niemożliwe - nie jest takie proste jak mogło by się wydawać.

To samo tyczy się routerów czy też switchy.

W sieci można znaleźć wiele historii, kiedy to podpinając takie używane urządzenie możemy uzyskać dostęp do starej konfiguracji sieci, w którym ono pracowało.

A jak w Twojej firmie utylizuje się taki sprzęt?

Kto otworzył phishing?

 Kto otworzył phishing?

Załóżmy, że przeprowadzasz kontrolowany atak phishingowy w swojej firmie - sprawdzając ilu pracowników nabierze się na fałszywą wiadomość PDF.

Podczas przeprowadzania takich eksperymentów oprócz zgody szefostwa istotne są wszelkiego rodzaju statystyki.

Ile osób otrzymało wiadomość, ile osób ją wyświetliło, ile kliknęło w podany link jak również - ile wysłało swoje hasło do atakujących.

I o ile dość łatwo wyliczyć 3 z tych statystyk - stosunkowo trudno sprawdzić ile osób otworzyło dany dokument ale nie kliknęło w link, który się tam znajdował.

Na pomoc przychodzi najnowszy błąd występujący w silniku renderowania plików PDF w Google Chrome.

Jeżeli bowiem w pliku tym skorzysta się ze specjalnej funkcji API this.submitForm() po otworzeniu takiego pliku w przeglądarce wyśle ona automatycznie adres IP, informacje na temat systemu operacyjnego i przeglądarki a także pełną ścieżkę otwartego pliku na serwer WWW kontrolowany przez atakującego.

A bazując na tych danych możemy łatwo określić kto otworzył dany plik.

Wszak standardowo dokumenty zapisywane są do katalogu Pobrane - a ponieważ wysyłana jest pełna ścieżka do otwartego pliku to znajdować się tam będzie nazwa użytkownika.

Również adres IP można skorelować z naszym środowiskiem korporacyjnym i wykorzystać do namierzenia osoby.

Błąd tym bardziej interesujący iż nie został jeszcze załatany oraz nie jest potrzebna żadna interakcja ze strony użytkownika.

Przygotowanie takiego pliku również nie jest skomplikowane - wszak wszystko opiera się tylko na wywołaniu jednej funkcji.

Teoretycznie tego rodzaju błędy nie są niebezpieczne - wszak podobnego rodzaju informacje są wysyłane przez przeglądarkę za każdym razem gdy odwiedzamy dowolną stronę internetową.

Ale jak widzisz zawsze można wykorzystać te dane w nietypowy sposób - tak jak i w tym przypadku gdzie możemy za ich pomocą przygotować jeszcze lepsze statystyki potencjalnego ataku phishingowego.

Icon made by Freepik www.flaticon.com

1 2 3 4 5 6 7 8