[PL] Szurkogadanie #28

Homepage:

https://youtu.be/Nbfgs3k5n3Y

Description:

Wprowadzenie

Podcast

Cześć.

Ja jestem Kacper Szurek a to 28 odcinek podcastu Szurkogadanie, w którym opowiadam o tematach luźno powiązanych z bezpieczeństwem.

W dzisiejszym odcinku dowiesz się po co ktoś przejmuje konta na Instagramie.

Czy czcionka może zdemaskować oszusta? Opowiem także o błędzie w SCP oraz dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych.

Na koniec kilka porad mających nauczyć nas poszukiwania ukrytych kamer oraz nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Jeżeli interesujesz się branżą security lub jesteś programistą, który chciałby zadać pytanie o swój kod - zapraszam na grupę od 0 do pentestera na Facebooku.

Większość materiałów do tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.

Zapraszam do słuchania!

1. Jeżeli jesteś nieco młodszym słuchaszem tego Podcastu istnieje spore prawdopodobieństwo, że na codzień korzystasz z Instagrama.

Ten serwis to obecnie dochodowy biznes - popularni influencerzy potrafią sporo zarobić wplatajac w zdjęcia ze swoich podróży jakieś produkty komercyjne.

Tam gdzie pieniądze, zawsze znajdzie się ktoś kto będzie chciał na nich zarobić.

Stąd też obecnie można zaobserwować falę ataków na osoby korzystające właśnie z tej platformy.

Według informacji jakie można znaleźć w Internecie atak odbywa się przy pomocy phishingu.

Najpierw, przestępca kontaktuje się z daną osobą wypytując ją o możliwości promocji.

Po wstępnych ustaleniach, stara się uzyskać zniżkę na daną usługę - proponując w zamian barter - czyli jedno z ubrań ze swojej właśnej kolekcji.

W celu pokazania produktu wysyła link do swojego profilu na instagramie.

Oczywiście jest to link do fałszywej strony instagrama - jeżeli ofiara nabierze się na taką sztuczkę, atakujący loguje się na jej konto, zmienia hasło a także adres email z nim powiązany co powoduje, że teraz to on kontroluje to konto.

Ale po co ktoś kradnie te konta?

Dla okupu.

W zamian za odzyskanie dostępu - ofiara musi przelać jakąś drobną kwotę w kryptowalutach.

Osoby, które się na to nie zgodzą zmuszone są przejść przez procedurę przywracania dostępu do konta.

A to okazuje się nie być takie proste.

Kiedy już uda się znaleźć odpowiedni link na stronie pomocy i przejść przez automatyczne odpowiedzi wysyłane przez roboty, prawdziwy twórca jest proszony o zrobienie zdjęcia wraz z kartką papieru, na której musi się znajdować liczba - podana przez pracownika obsługi technicznej.

Następnie pracownik porówuje to zdjęcie z tymi, które znajdowały się na profilu danej osoby - aby w ten sposób potwierdzić, czy rzeczywiście jest to jej profil.

Jak można się domyślić - cała ta procedura może trwać nawet kilkanaście dni - a to dla kogoś kto utrzymuje się wyłącznie z działalności w mediach społecznościowych - może oznaczać duże konsekwencje finansowe.

Co więcej - atakujący, który kontroluje takie konto - może je przecież usunąć - sprawiając, że influencer stracił by wszystkich obserwujących.

Może też zniszczyć reputację danej osoby - wysyłając jakieś obsceniczne zdjęcia lub też komentując posty innych w wulgarny sposób.

Nasuwa się też pytanie jak Instagram rozróżnia zdjęcia bliźniaków.

Kolejny przykład na to, że phishing to metoda wiecznie żywa i niekoniecznie powiązana jedynie z kontami bankowymi czy też pocztą internetową.

2. Czcionki towarzyszą naszemu życiu praktycznie cały czas.

Począwszy od stron internetowych a skończywszy na etykietach produktów.

Ale czy czcionka może posłużyć do wychwycenia próby oszustwa?

Posłuchajcie historii jednego z szefów firmy telekomunikacyjnej.

W 2017 ogłosił updałość z racji problemów finansowych.

Wtedy to też komornik i wierzyciele zaczęli się przyglądać jego majątkowi aby odzyskać swoje pieniądze.

Osoba ta posiadała między innymi farmę oraz domek wiejski - co oczywiście zwróciło uwagę wierzycieli.

Tylko że przedstawiono dokumenty, w których widnieje, że nieruchomości te zostały przepisane na żonę oraz dzieci.

To popularna metoda ukrywania majątku - wszak dana osoba dalej może mieszkać w domu chociaż teoretycznie nie należy on do niej.

Jest tylko jeden mały problem.

Pierwszy dokument, który miał to poświadczać został przygotowany przy użyciu czcionki Cambria, która została stworzona dopiero w 2002.

Nie ma więc żadnych szans, aby ktoś mógł ją użyć 7 lat wcześniej, a właśnie taką wersję przedstawiał dłużnik - twierdząc, że ten dokument sporządzono w 1995.

Na domiar złego drugi dokument datowany na 2004 korzystał z czionki Calibri.

A ta została udostępniona szerszej publiczności dopiero w 2007.

Fałszerstwo okazało się być trudniejsze niż mogło by się zdawać.

Okazuje się, że na świecie istnieją eksperci od czcionek, którzy są w stanie zweryfikować jaki font został użyty w danym dokumencie.

Wychodzi na to, że cały przekręt mógłby się udać, gdyby dokumenty zamiast drukować - poprostu napisano odręcznie.

No chyba, że użyto by tuszu, który produkowany jest dopiero od kilku lat.

3. SCP to ponad 30-letni protokół, który pozwala na przesyłanie plików pomiędzy lokalnym i zdalnym komputerem.

Jakie błędy odnaleziono ostatnio właśnie w tym miejscu?

Opublikowano opisy 4 podatności, które połączone razem w specyficznych warunkach pozwalają na wykonanie kodu na komputerze ofiary.

Standardowe użycie polega na wywołaniu komendy scp, w której definiujemy serwer z którego chcemy ściągnąć plik a także ścieżkę do tego pliku jak również miejsce na naszym komputerze, w którym ten plik ma zostać zapisany.

Dzięki podatności - to serwer kontroluje ściężkę do pliku, który zostanie zapisany na naszym komputerze.

Przez to, jezeli będziemy próbowali kopiować jakieś pliki z podatnego serwera - serwer może przekonać klienta do zapisania ich w inne miejsce.

Ale samo zapisanie pliku na dysku nie prowadzi jeszcze do jego wykonania.

Tylko że w Linuxie w katalogu domowym użytkownika znajduje się między innymi plik .bash_profile.

On to jest wykonywany za każdym razem, gdy użytkownik loguje się na dane konto.

Atak wygląda zatem następująco:

Ofiara próbuje pobrać jakiś plik z podatnego serwera.

Serwer zamiast pliku, o który prosiła ofiara - zwraca nowy plik .bash_profile, który zostaje zapisany w katalogu domowym.

Cały ten proces jest niewidoczny dla atakowanego z powodu kolejnego błędu, który pozwala tak zmodyfikować ekran postępu ściągania pliku iż osoba wykonująca daną komendę nie jest świadoma, że ściągany jest inny plik.

Następnie w momencie gdy ofiara zaloguje się na komputer jeszcze raz - treść .bash_profile zostanie wykonana.

A tam może znajdować się dowolny kod - chociażby reverse proxy prowadzące do atakującego.

Podatne są między innymi OpenSSH, Putty oraz WinSCP które używają SCP jako standardu do przesyłania plików

4. ES File Explorer to menadżer plików na telefony z Androidem, który według statystyk sklepu Google Play zainstalowany jest na ponad 100 milionach urządzeń.

Ciekawym jest fakt, że od pewnego czasu razem z aplikacją uruchamiany był przez nią serwer HTTP - dostępny dla każdego w bieżącej sieci.

Ten to serwer pozwalał na wyświetlanie i pobieranie większości plików z danego telefonu.

Umożliwiał również uruchomienie dowolnej zainstalowanej aplikacji na telefonie ofiary.

A to wszystko bez żadnego logowania.

Atakujacy musiał tylko używać tej samej sieci co ofiara.

Głównie narażone są zatem osoby, które moga używać tej aplikacji korzystając równocześnie z ogólnodostępnych sieci Wifi.

Jeżeli jesteś zatem użytkownikiem tej aplikacji, jak najszybciej ją zaktualizuj.

Do tego czasu - nie uruchamiaj jej jeżeli korzystasz z otwartej lub wspóldzielonej z innymi osobami sieci.

5. Amadeus to system rezerwacji, z którego korzysta spora część największych linii lotniczych na świecie.

Podając na takiej stronie numer PNR - czyli identyfikator pasażera oraz nazwisko możemy sprawdzić rezerwacje danej osoby.

Samo sprawdzanie 6 znakowego identyfikatora oraz nazwiska nie wydaje się być najbezpieczniejszym pomysłem na świecie.

Dodając do tego błąd, który powodował, że nazwisko nie jest sprawdzane - okazuje się, że system jest jeszcze mniej bezpieczny.

6 znaków to stosunkowo mało a brak blokady na adres IP umożliwiający przeprowadzanie ataków brute force, pozwala na znajdowanie rezerwacji na ślepo - po prostu zgadując numer rezerwacji.

I właśnie taki atak zademonstrował badacz - losując 6 liter i cyfr i sprawdzając, czy istnieją w bazie.

Znajomość numeru rezerwacji może mieć kilka konsekwencji.

Czasami umożliwia jedynie przegląd danych, czasami możliwa jest ich modyfikacja.

Po pierwsze atakujący wie - kiedy nie będzie nas w domu - wszak będziemy wtedy na drugim końcu świata.

Po drugie - ktoś może zmodyfikować nasze miejsce w samolocie.

Po trzecie - może przesunąc datę naszego powrotu sprawiając, że możemy nie zdążyć na nasz lot.

Lub też po prostu anulować nasz bilet.

Jeżeli nie chcemy zgadywać numerów - możliwa jest też inna opcja.

Sporo osób publikuje na instagramie czy też twitterze zdjęcia swoich kart pokładowych.

Tam numer ten jest albo zapisany wprost albo też zaszyty w specjalnym kodzie kreskowym - co powoduje, że można go równie prosto odczytać.

Dlatego też lecąc na wakacje nie publikujmy zdjęć z paszportem i kartą pokładową w ręku.

W Internecie można odnaleźć historię osób, które padły ofiarą dowcipnisiów po opublikowaniu swojej karty.

To bardzo ciekawe jak stare i przestarzałe systemy są nadal w użyciu i zapewne będą jeszcze długo razem z nami.

6. Kilkukrotnie w tym podcaście wspominałem o błędach odnalezionych w urządzeniach IoT.

Myślę, że już nikogo nie dziwi, że większość z nich posiada sporo błędów.

Ale po raz pierwszy wspominam o dźwigach - i nie chodzi mi tutaj o takie dźwigi zabawki wybudowane z klocków a prawdziwe maszyny używane podczas budowania wieżowców.

Badacze z firmy Trend Micro wzięli pod lupę właśnie te urządzenia.

Niektóre z nich kontrolowane są zdalnie przy pomocy fal radiowych.

Testowano różne rodzaje ataków.

Między innymi replay attack - kiedy to nagrywano komendy wysyłane przez prawdziwy kontroler a następnie próbowano je potwórzyć.

Inny rodzaj to E-stop - kiedy to wysyła się pakiet mający momentalnie zatrzymać dane urządzenie.

Konkluzje są oczywiste.

Większość przetestowanych rozwiązań nie używała żadnej metody zabezpieczającej komunikację.

Co więcej ciekawym wydaje się fakt update’u oprogramowania.

Czy producenci takich maszyn wzięli w ogóle pod uwagę fakt - że ktoś może próbować je zaatakować.

Czy w ogóle uaktualnienie jest możliwe?

Wbrew pozorom sprawa jest poważna.

Wolne miejsca w większych miastach się kończą a zabudowa jest coraz gęstsza.

Dlatego też widok wielkich dźwigów w gęsto zaludnionym terenie nikogo nie dziwi.

A jeżeli można taki dźwig kontrolować zdalnie z dalekiej odległości nic nie stoi na przeszkodzie aby wysłać do niego komendę, powodującą, że będzie kręcił się dookoła.

Biorąc pod uwagę fakt, że takie dźwigi często przenoszą ciężkie metalowe elementy - niebezpieczeńśtwo wypadku jest realne.

I myślę, że w przypadku takiego ataku najbardziej pokrzywdzony będzie operator takiej maszyny, muszący udowodnić, że to nie jego wina i że to nie on kontrolował maszynę.

Wychodzi na to, że przed nami czasy gdzie na budowie oprócz inżynierów budownictwa znajdować się będzie cały zespół IT, na bieżąco wprowadzający uaktulnienia na urządzenia które są wykorzystywane w tym miejscu.

7. Pojawiła się nowa metoda dystrybucji złośliwego oprogramowania mająca oszukiwać różne silniki firm antywirusowych.

A żeby to było możliwe wykorzystano do tego celu podpisy Authenticode.

W skrócie - żeby plik wykonywalny był przez system Windows traktowany jako zaufany - musi byc podpisany odpowiednim certyfikatem.

Taki certyfikat można zakupić u zweryfikowanego dostawcy, płacąć za niego kilkaset złotych rocznie.

Oczywiście przed wystawieniem certyfikatu firma weryfikuje nasze dane.

Dzięki temu w momencie dystrybucji oprogramowania - system sprawdza poprawność podpisu znajdującego się w pliku exe.

On to zapewnia, że plik nie został podmieniony oraz że został podpisany przez daną firmę.

Technologię tą wykorzystują firmy antywirusowe.

Po co bowiem skanowac plik, który został podpisany przez Microsoft albo Google?

Prawdopodobieństwo, że znajduje się tam złośliwy plik - jest bardzo niewielkie.

Ale nie tylko pliki wykonywalne mogą być podpisane.

Tyczy się to również instalatorów w formacie msi.

Tylko, że tutaj procedura weryfikacji działa nieco inaczej.

W przypadku plików exe - jakakolwiek próba dopisania treści do końca pliku kończy się błędem podczas weryfikacji.

Do prawidłowo podpisanych plików msi natomiast - można dowolnie dopisywać treść do końca pliku - a system dalej będzie wskazywał, że jest on prawidłowy.

A takie zachowanie można powiązać z Javą.

Aplikacje w tym jezyku mogą być bowiem dystrybuowane jako pliki JAR - jest to zwykły plik ZIP, w którym znajdują się wszystkie pliki potrzebne do uruchomienia aplikacji.

A format ZIP - jest ciekawy ponieważ może przechowywać informacje na temat plików w sobie zawartych w różnych miejscach.

W jednej z implementacji - dane te są zawarte na końcu pliku.

Wystarczy więc dopisać treść pliku JAR do podpisanego pliku MSI i zmienić rozszerzenie takiego złośliwego pliku na MSI.

Podczas instalacji JAVY system ustawiany jest w taki sposób, że dwukrotne kliknięcie na plik jar uruchamia właśnie tą aplikację.

Teraz użytkownik musi już tylko zostać przekonany do kliknięcia w złośliwy plik.

Ponieważ plik jest prawidłowo podpisany - java zostanie uruchomiona.

Ona to ominie cały plik MSI, ponieważ poszukuje archiwum zip zaczynając poszukiwania od końca pliku.

A tam znajduje się złośliwy payload.

8. W Internecie pojawił się poradnik, mający nauczyć nas poszukiwania ukrytych kamer, które mogą znajdować się na przykład w hotelach.

Postaram się teraz po krótce opisać najciekawsze porady, które można tam znaleźć.

Autorzy radzą aby podzielić pokój na ćwiartki i przyglądać się każdej z nich z osobna.

Początkowo należy sprawdzić czy w pokoju nie ma jakichś zduplikowanych przedmiotów.

Na przykład czy nie ma podwójnych czujników dymu czy też zegarów.

A może w ścianach są dziury albo niektóre elementy pokoju zwrócone są w dziwny sposób?

Następnie należy sprawdzić każde urządzenie podłączone do prądu.

Pomimo rozwoju baterii - każde urządzenie elektroniczne musi być przecież jakoś zasilane.

Kolejny element to sprawdzenie, czy w pokoju nie znajdują się lustra weneckie.

Prostym testem jest przyłożenie palca do lustra.

W większości z nich pomiędzy palcem a odbiciem w lustrze widoczna będzie niewielka przestrzeń.

Jeżeli odbicie dotyka twojego palca - jest to podejrzane.

Kolejnym pomysłem jest wyłączenie wszystkich świateł tak aby w pokoju panowała ciemność.

W ten sposób można wychwycić pojedyńcze maleńkie diody, które mogą wskazywać pracę urządzenia.

Na koniec: niektóre przednie kamery w telefonach są w stanie wychwycić świało podczerwone.

Ono to jest również używane w kamerach szpiegowskich, tak aby mogły one również nagrywać w zupełnej ciemności.

Kierujac zatem naszą kamerę z telefonu na ściany - możemy sprawdzić czy z jakiegoś miejsca nie jest emitowane światło podczerwone.

9. Drony są coraz popularniejsze i tańsze co sprawia że przeciętny Kowalski może za paręset złotych zakupić taką maszynę.

Z jednej strony to dobra wiadomość - wszak mamy dostęp do technologii, która jeszcze parę lat temu była dostępna tylko dla nielicznych.

Teraz ujęcia z drona na Youtubie już nikogo nie dziwią.

Ale popularyzacja takich urządzeń sprawia kłopotym miejscom, w których ich przelot może być niebezpieczny.

Chodzi tu głownie o lotniska.

Konsekwencje zderzenia samolotu z małym dronem mogą być katastrofalne - i mogą spowodować śmierć wielu osób.

Dlatego też niektóre firmy produkujące drony, tworzą swoje oprogramowanie w taki sposób, że jeżeli dron wleci na teren lotniska - którego koordynaty zaszyte ma w swoim oprogramowaniu - automatycznie wyląduje na ziemi.

Inne lotniska trenują Orły - aby wykorzystując swój zmysł łowiecki atakowały takie maszyny swoimi szponami - tak jak atakują inną zwierzynę.

Można też nabyć specjalne pistolety, które oprócz nabojów wystrzeliwują siatkę - która ma za zadanie wkręcić się w śmigła drona i w taki sposób go unieruchomić.

To wszystko są jednak metody działające dopiero po zlokalizowaniu zagrożenia.

Jak zatem je zlokalizować?

Spora część dronów komunikuje się z pilotami przy pomocy Wifi.

Naukowcy stworzyli więc metodę, która na podstawie analizy pakietów jest w stanie rozpoznać, czy gdzieś w pobliżu lata dron.

Interesujace podejście do tematu.

I to wszystko w tym odcinku.

Zapraszam do subskrypcji kanału oraz zostawienia łapki w górę.

Do zobaczenia już za tydzień.

Cześć!

Odnośniki

1 2 3 4 5 6 7 8 9

Timeline: