[PL] Szurkogadanie #29

Homepage:

https://youtu.be/ShojQ3sOvyo

Description:

Wprowadzenie

Podcast

Cześć!

Ja jestem Kacper Szurek a to 29 odcinek podcastu szurkogadanie w którym opowiadam o bezpieczeństwie komputerowym.

W dzisiejszym odcinku: quiz na temat phishingu od Google. Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?

Dlaczego tajny token do podpisywania ciasteczek musi być losowy oraz co to jest domain hijacking i jak się przed nim bronić.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Jeżeli interesujesz się branżą security lub jesteś programistą, który chciałby zadać pytanie o swój kod - zapraszam na grupę od 0 do pentestera na Facebooku.

Większość materiałów do tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.

1. Google wypuściło swój własny quiz na temat phishingu.

Phishing to jedna z popularniejszych form kradzieży danych od użytkowników.

Jest to próba podszycia się pod inną stronę i przekonanie niczego nieświadomego użytkownika do podania na niej swoich danych.

Test składa się z 8 przykładów, mających symulować złośliwe - lub też nie - maile z odnośnikami do różnych stron.

Na początku podajemy swoje imię i adres mailowy - aby całość odpowiednio spersonalizować.

Następnie wyświetla nam się okno symulujące okno gmaila wraz z treścią wiadomości, którą mamy ocenić.

Do nas to należy stwierdzenie czy dana wiadomość jest zła czy też może pochodzi od prawdziwego, legalnie działającego serwisu.

Po każdej ocenie od razu dowiadujemy się czy nasza decyzja była właściwa i co więcej podświetlane są elementy, na podstawie których mogliśmy wysnuć takie wnioski.

Warto uświadamiać wszystkich na temat tego rodzaju niebezpieczeństw czyhajacych na nas w sieci.

Może warto przesłać taki test do naszych bliskich - mamy, taty, brata - nawet, jeżeli sami nie zajmują się bezpieczeństwem?

Obecnie przecież każdy posiada jakieś konto w internecie, począwszy od banku a skończywszy na mailu.

Jedyny minus to fakt, że cały quiz na chwilę obecną nie został jeszcze przetłumaczony na język polski.

A to może sprawić trudność, zwłaszcza osobom starszym, które na codzień nie posługują się tym jezykiem.

Kto wie, może za kilka tygodni pojawią się wersje z przykładami ataków w naszym rodzimym języku?

Nie od dziś wiadomo że to człowiek jest najsłabszym ogniwem a nauka przez przykłady to najlepszy sposób na wpojenie komuś wiedzy, którą zapamięta na dłużej.

2. Pozostając dalej w temacie Phishingu.

Jeżeli jakiś złośliwy aktor wysyła maile do tysięcy osób na całym świecie oczywiście potrzebuje do tego odpowiedniej infrastruktury.

Potrzebuje również nazw domen - obecne systemy antyspamowe, biorą bowiem pod uwagę podczas analizowania treści emaila wiele czynników.

Jednym z ważniejszych jest wiek i reputacja domeny.

Sprawdza się zatem pierwszą datę rejestracji takiej domeny, do kogo ona należała oraz jakie treści się na niej znajdowały oraz czy w przeszłości nie była używana do złośliwych celów.

Na tej podstawie wylicza się odpowiedni wynik i decyduje, czy dana wiadomość jest prawdziwa czy też jest próbą wyłudzenia.

Dlatego też przestępcom zależy, aby wysyłać swoje kampanie mailingowe ze starych adresów.

Ale jak takie adresy można pozyskać?

Pierwszą metodą jest polowanie na wygasające domeny, czyli takie których pierwotny właściciel zapomniał opłacić.

Jeżeli właściciel nie opłaci corocznej kwoty za przedłużenie domeny - może ją odkupić dowolna, inna osoba.

Ale niedawno atakujący zaczęli wykorzystywać inny sposób, a całość powiązana jest z błędem publikowanym już w 2016.

Aby go zrozumieć musimy przypomnieć sobie jak działa DNS.

Do każdej domeny przyporządkowane są odpowiednie rekordy DNS.

Te serwery zawierają informacje na temat adresu IP pod jakim znaleźć można daną witrynę.

Wiele firm posiada swoje własne serwery DNS, które udostępniają za darmo albo za odpowiednią opłatą.

Chcąc skorzystać z usług tych firm, musimy zmodyfikować przypisane serwery DNS na te, wskazane przez firmę.

Wtedy to możemy konfigurować adres IP na który ma wskazywać nasza domena używając odpowiedniego panelu na witrynie danej firmy.

Ale co się dzieje gdy przestajemy korzystać z usług danego serwera DNS a równocześnie zapominamy o usunięciu albo zmianie rekordów?

Okazuje się, że sporo firm pozwala na przypisanie tej naszej domeny do konta innego użytkownika z nami niepowiązanego.

A ponieważ serwery DNS są prawidłowo ustawione (wszak ta sama firma to te same adresy, zmieniło się tylko konto użytkownika, do którego dana domena jest przypisywana) - atakujący może w taki sposób przejąć tymczasowa kontrolę nad adresem, aż do momentu w którym prawowity właściciel nie zmieni rekordów DNS.

I właśnie w taki sposób atakujacy wysyłali ostatnio wiele złośliwych kamanii mailingowych, oszukując tym samym filtry antyspamowe, które rozpoznawały dane witryny jako stare i godne zaufania.

Często zdarza się że firma posiada sporą ilosć domen, a korzysta tylko z kilku z nich.

Jeżeli te domeny były używane w przeszłości i nie usunięto rekordów DNS powiązanych ze starymi serwerami DNS, atakujący może założyć w takich serwisach konto i spróbować przypisać daną domenę do swojego konta.

Dzięki temu kontroluje adres serwera pod który wskazuje dana domena aż do momentu zmiany rekordów.

Jak zatem wygląda ochrona przed tym atakiem?

Właściciele serwerów DNS zaczęli losować różne nazwy serwerów dla różnych użytkowników.

Wtedy to jeżeli stary własciciel zapomni o zmianie rekordów, potencjalny nowy właściciel wylosuje inne nazwy, które musi ustawić na swojej domenie aby została ona przypisana do jego konta.

3. Pozostając dalej w temacie domen.

Tutaj mówiliśmy o pomyłce, gdzie osoba odpowiedzialna za daną domenę zapomniała o usunięciu rekordów DNS.

Atakujący jednak nie miał kontroli nad tymi rekordami a opierał się na danych, które były tam wcześniej zapisane.

Istnieje jednak inny rodzaj ataku, zwany “domain hijacking”, który opiera się na tym, że atakujacy przejmuje całkowitą kontrolę nad daną domeną.

A nie jest to takie trudne jak mogło by się wydawać.

Nasze serwery, maile czy też inne zasoby chronimy w różnoraki sposób.

Ale czy zadaliśmy sobie pytanie jak chronionoa jest witryna naszego rejestratora?

Czy wdrożone jest tam dwuskładnikowe uwierzytelnienie?

Czy dostępne są dodatkowe mechanizmy obrony?

Warto zapoznać się z raportem firmy, blendle, która postanowiła odnaleźć odpowiedzi na te pytania w nawiązaniu do bezpieczeństwa ich domen.

Założenia były proste.

Dla krytycznych z punktu widzenia firmy domen, dostępu nie może mieć tylko jeden pracownik - a każda zmiana musi być zaakceptowana przez całe grono odpowiednich osób.

Pracownik posiadający dostęp do panelu bowiem może się zwolnić z danej firmy - a domena w niej zostaje.

Po pierwsze chcieli dowiedzieć się, czy istnieją rejestratorzy, którzy umożliwiają posiadanie wielu użytkowników o różnych rolach przypisanych do danego konta firmowego.

Czy każdorazowa zmiana danych musi być potwierdzana przez telefon albo emailem?

Czy w danym systemie możliwe jest wporwadzenie opcji split-password - to znaczy, aby móc wprowadzić daną zmianę, zaakceptować ją musi conajmniej dwóch pracowników.

Wbrew pozorom odnalezienie firm które spełniają te wszystkie warunki nie jest takie proste.

Z dokumentu można się również dowiedzeć o kilku rodzajach blokad, które mogą zostać nałożone na daną domenę.

Jednym z takich statusów jest clientUpdateProhibited

Wtedy to jeżeli chcemy dokonać jakiejś zmiany w obrębie nazwy domenowej, najpierw status ten musi zostać zdjęty aby taka zmiana w ogóle mogła mieć miejsce.

Warto zainteresować się jak chronione są domeny internetowe naszych własnych firm - wszak w sporej ilości przypadków domeny te stanowią trzon całej działalności firmy i ich wartość jest trudna do oszacowania.

Utracenie kontroli nad taką domeną może być zatem kosztowną nauczką.

4. Do każdej domeny można wygenerować certyfikat SSL sprawiajac, że użytkownicy mogą się z nią połączyć przy użyciu protokołu https.

Żeby wygenerować taki certyfikat musimy posiadać klucz prywatny, przy użyciu którego ruch będzie odpowiednio szyfrowany.

Całe bezpieczeństwo rozwiązania zatem oparte jest na tajności i unikalności klucza.

Jeden z badaczy bezpieczeństwa postanowił przeszukać publicznie dostępne zasoby serwisu github właśnie w poszukiwaniu takich kluczy.

Oczywiście znalazł on wiele takich plików, które poprzez pomyłkę lub niewiedzę zostały udostępnione w publicznych repozytoriach.

Ale nie to jest ciekawe w tej historii.

Zastanowił go fakt że jeden z odnalezionych kluczy posłużył do wygenerowania certyfikatu SSL dla kilkudziesięciu domen.

Mogło to oznaczać, że wszystkie te domeny należały do tej samej osoby.

Ale nie tak było w tym przypadku.

Wsystkie domeny miały jedną ceche wspólną, korzystały z serwerów firmy Digitalocean.

Ta to firma pozwalała na szybkie postawienie serwera z preinstalowanymi popularnymi frameworkami, na przykład Wordpressem przy pomocy paru kliknięć.

Korzystała w tym celu z obrazów instalacji przygotowanych przez inną firmę, Bitnami.

I to właśnie jeden z takich obrazów był powodem, dlaczego wiele domen posiadało ten sam klucz prywatny.

Klucz ten był bowiem zaszyty w obrazie i nie był generowany za każdym razem gdy uruchamiano dany obraz ponownie.

To sprawiało, że wielu użytkowników, korzystających z tego samego obrazu - dzieliło tą samą sekretną wartość- często nie zdając sobie z tego sprawy.

Oczywiście błąd naprawiono - tym razem generując unikalny klucz podczas pierwszego uruchamiania nowej instancji danego obrazu.

Najciekawsze w tej historii jest to, że zgodnie z wytycznymi, które muszą przestrzegać wystawcy certyfikatów - nie są oni zobligowani do sprawdzania, na podstawie jakiego klucza prywatnego wygenerowano dany certyfikat - nawet, jeżeli poprzednio taki certyfikat został anulowany.

Według obowiązujących przepisów zatem kilka domen może używać tego samego klucza i wszystko jest w porządku.

5. Jak przekonać rodzica do kupna psa?

Jak namówić partnera na przejście na wegetarianizm?

Jak nakłonić kogoś do rzucenia palenia lub picia?

Pewna firma twierdzi, że ma na to idealny sposób.

A jego skuteczność powiązana jest z naszą działalnością w Internecie.

Zaskoczony? Jak działa cały mechanizm?

Najpierw składamy zamówienie i opłacamy je przy użyciu karty kredytowej.

W odpowiedzi otrzymujemy specjalnie spreparowany link, który następnie musimy podesłać osobie która jest celem naszej metody perswazji.

Na pozór link ten wygląda jak każdy inny - przekierowuje użytkownika do jakiejś popularnej strony, na której znajdują się informacje na zadany wcześniej temat.

Tylko, że prawdziwe wykorzystanie tego adresu jest zupełnie inne.

Jego celem jest ustawienie różnorodnych ciasteczek różnych domów medialnych na komputerze ofiary.

To dzięki takiemu ciasteczku, można będzie potem z dużym prawdopodobieńswem wykryć i rozpoznać daną osobę na wielu różnych stronach internetowych, począwszy od Facebooka, Instagrama a skończywszy na internetowych magazynach.

Wiedząc już, że osoba odwiedzająca daną witrynę to ta, która jest celem naszej manipulacji - można jej wyświetlać odpowiednio spreparowane reklamy.

I tak dla przykładu, rodzicom, którzy nie chcą psa - można podsyłać artykuły do stron, które rozpływają się na temat zalet posiadania zwierzaka.

Tym, którzy palą - wyświetlać obrazki zniszczonych płuc i innych chorób, które powiązane są z papierosami.

Co więcej - w przypadku prawdziwej reklamy, zazwyczaj reklamodawcy zależy na interakcji - czyli na kliknięćiu w nią.

Tutaj natomiast - wystarczy samo wyświetlenie reklamy, jeżeli bowiem nie używamy narzędzi które takie reklamy blokują - zazwyczaj zapoznajemy się z nagłówkami tych reklam.

A to teoretycznie wystarczy według tej firmy, aby odpowiedni przekaz podprogowy został dostarczony do danej osoby.

Ten mechanizm targetowanych reklam nazywany jest “Sniper targeting”.

Teoretycznie nie powinien on być możliwy do przeprowadzenia.

Facebook dla przykładu pozwala na ustalanie grup docelowych bazując na różnego rodzaju filtrach i opcjach - ale grupa docelowa musi składać się z pewnej ilości osób - właśnie po to, aby nie można było na jej podstawie docierać do pojedyńczych jednostek.

W artykule jednak można wyczytać, że mechanizm ten nie do końca działa.

To może przerażać. Zwykle nie do końca doceniamy jaką siłę posiadają ciasteczka i jak wiele informacji na ich podstawie można o nas wyczytać.

A przecież przekonanie do kupna psa to tylko jeden z pomysłów.

Równie dobrze można bowiem używać ciasteczek do monitorowania osób będących za daną partią polityczną, wyświetlajac im informacje o wszystkich błędach danej klasy rządzącej aby dla przykładu manipulować wynikami wyborów.

6. Od pewnego czasu Spotify, czyli platforma do strumieniowania muzyki, posiada opcję, która wyświetla nam nasze muzyczne podsumowanie poprzedniego roku.

Dzięki temu możemy dowiedzieć się jakiego utworu najczęściej słuchaliśmy, kto jest naszym ulubionym wykonawcą - ile minut spędziliśmy na tej platformie a także podzielić się tą wiedza z naszymi znajomymi.

I to właśnie dzięki tej funkcjonalności sporo osób dowiedziało się ostatnimi czasy że ich konto zostało zaatakowane.

Jak bowiem inaczej wyłumaczyć, że w najpopularniejszcy utworach i wykonawcach przez nas słuchanych znalazły się grupy i piosenki, których nigdy nie widzieliśmy na oczy?

Albumy te zazwyczaj wyglądają bardzo podobnie - składają się z kilkudziesięciu krótkich piosenek, bez tekstu.

Ta wiadomość łączy się niejako z informacją z kilku tygodni wstecz - kiedy to mówiłem, że użytkownicy Spotify padają zmasowanym atakom phishingowym.

Spotify na samym swoim początku obsługiwało jedynie duże wytwórnie muzyczne i utwory małych grup rzadko trafiały na tą platformę.

Teraz jednak znacząco uprościli całą procedure i również pojedyńcze młode zespoły mogą przesyłać swoje utwóry właśnie do tego serwisu.

Myślę, że to właśnie ten fakt spowodował, że przestępcy zaczęli nagle poszukiwać zarobku właśnie tam.

Według nieoficjalnych szacunków bowiem, Spotify ma rzekomo płacić około 500$ za 60 000 odtworzeń piosenki.

Jeżeli zatem przestępcom uda się stworzyć kilkadziesiąt różnych albumów i słuchać piosenek tam zawartch przy użyciu skradzionych kont - potencjalne korzyści mogą być spore i liczone w tysiącach.

A taki proceder może trwać miesiącami o ile oczywiście konta wykorzystywane są tylko wtedy, gdy ich prawdziwy użytkownik akurat nie słucha muzyki - więc chociażby w nocy.

Czy więc Spotify będzie zmuszone do wprowadzenia captchy do swojego serwisu tak aby takie masowe, zautomatyzowane słuchanie nie miało miejsca?

Czas pokaże.

7. Nie tak dawno pojawiła się darmowa publikacja Michała Walendowskiego na temat bezpieczeństwa Iphona.

Autor w 33 poradach opisuje większość opcji dotyczących security tego telefonu.

Całość bez zbędnego przedłużania, przedstawiona w formie krótkich wpisów opatrzonych odpowiednimi grafikami.

A co najważniejsze wszystko to po polsku.

Z poradnika można się zatem dowiedzieć, że usunięte z telefonu zdjęcia tak naprawdę znikają z niego dopiero po 40 dniach.

Z mało znanych opcji, pokazuje również jak przeprowadzić audyt haseł zapisanych w pamięci telefonu a także, jak używać wbudowanej w telefon funkcji generowania odpowiednio długich i bezpiecznych haseł do serwisów internetowych.

Dodatkowo są tam informacje o trybie SOS który zablokuje możliwość odblokowania telefonu przy pomocy touch albo face id a także co należy zrobić przed sprzedażą telefonu.

8. A teraz gratka dla osób, które chciały by rozpocząć przygodę z pentestem.

Michał Kędzior opublikował pełny raport testu penetracyjnego komercyjnej aplikacji, napisanej przy użyciu ASP.NET.

Co ciekawe raport ten dostępny jest w naszym rodzimym języku polskim.

Materiałów na ten temat w Internecie nie ma za wiele - jeżeli więc jesteś ciekawy jak taki przykładowy raport może wyglądać - warto spojrzeć na ten przykład.

Autor zwraca też uwagę na jeden ważny fakt, często pomijany przez osoby techniczne.

Jeżeli ktoś jest programistą lub osobą powiązaną z bezpieczeństwem zazwyczaj zainteresowany jest tylko technicznym opisem danej podatności.

Ale musimy pamiętać, że firmą rządzą menadżerowie oraz prezesi, którzy nie muszą znać skomplikowanego, technicznego żargonu.

Ich bowiem nie interesuje jak autor znaleziska dotarł do danego błędu, jakich spomplikowanych komend użył a także, których funkcjonalności frameworka należy użyć, aby błąd załatwić.

Z punktu widzenia zarządzających firmą - liczą się pieniądze oraz wpływ danego błędu na ich biznes, oraz jakie mogą wynikać z tego konsekwencje.

Dlatego dobry raport to taki, który będzie zrozumiały dla każdego a nie tylko przez techniczną osobę.

Stąd też mogą się tam znajdować wykresy i inne nietekstowe formy wyrażania zebranych danych, które pozwolą na ich lepsza wizualizację dla osób - odpowiedzialnych za kluczowe decyzje w danej firmie.

Innym pomijanym aspektem podczas przeprowadzania pentestu są rekomendacje dotyczące naprawdy danych błędów.

Osoba powiązana z bezpieczeństwem powinna być w stanie zaproponować rozwiązania, które pozwolą na uniknięcie danych podatnosci w przyszłości.

Naprawa błędów nie zawsze jest trywialna - zwłaszcza, jeżeli podatność opiera się na kilku mniejszych błędach, które połączone razem w jedną calość - doprowadzają do ostatecznego rezultatu.

9. Flask to popularny framework do tworzenia aplikacji internetowych w języku Python.

W standardowej konfiguracji dane na temat użytkownika nie są przechowywane na serwerze a w tak zwanym podpisanym ciasteczku.

To oznacza, że na przykład nazwa użytkownika, na podstawie której logowana jest dana osoba, zawarta jest właśnie tam.

Co więcej nie są one zaszyfrowane lecz tylko podpisane.

To sprawia - że nie można tych danych zmienić i zmodyfikować, ponieważ serwer przed ich przetworzeniem sprawdza odpowiedni podpis przy użyciu wcześniej ustalonego tajnego klucza ale te dane można odczytać - ponieważ nie są tajne i nie są zakodowane.

Jeden z badaczy postanowił sprawdzić na ile tajny klucz w kodzie źródłowym jest tajny.

Zebrał do tego celu wszystkie tajne klucze jakie udało mu się pobrać ze stron stackoverflow oraz github - używając do tego celu odpowiedniego wyrażenia regularnego.

Następnie przy pomocy shodana - czyli wyszukiwarki serwerów - odnalazł wszystkie strony, które korzystały właśnie z tak podpisanych ciasteczek - a następnie spróbował zmienić ich podpis, używając wcześniejszej listy haseł.

Wyniki? Udało mu się odgadnąć 28% haseł używanych jako tajny token.

Najpopularniejszym wynikiem było: you will never guess - czyli “nigdy nie zgadniesz” a także “this is my secret” lub też “development key”.

To tylko demonstruje jak wiele osób kopiuje kod ze stackoverflow do końca go nie rozumiejąc.

Co jest trochę przerażające - jeżeli bowiem programiści kopiują takie mogło by się wydawać proste kawałki kodu - i nie zmieniają w nich kluczy, co z bardziej zaawansowanymi systemami i kawałkami w różnych językach programowania?

10. Pora na ostatnią wiadomość na dzisiaj.

Coraz więcej firm przechodzi na serwery pocztowe hostowane w chmurze.

Jednym z takich rozwiązań jest Office 365.

Ale dzisiaj chcę porozmawiać o uzyskaniu persystencji w tym systemie - czyli posiadaniu dostępu do czyjegoś konta nawet po zmianie hasła do tego konta.

Jest to istotne dla każdego atakującego, który chce korzystać z pozyskanego źródła jak najłdużej.

Parę tygodni temu mówiłem o tokenach API - które może wygenerować każdy użytkownik.

Takie ciągi znaków służą następnie do logowania do danego serwisu - są więc alternatywą dla loginu i hasła.

Ale jakie jeszcze inne metody pozostają przestępcom?

Token API bowiem to znana sztuczka a ich generowanie może być monitorowane przez działy IT.

Outlook pozwala na tworzenie własnych rozszerzeń.

Zasadniczo niczym nie różnią się one od dodatków na przykład do przegldarek - tylko, że są wykonywane z poziomu jedynie aplikacji pocztowej.

Jeżeli więc atakującemu uda się zainstalować taki złośliwy dodatek na koncie ofiary - uzyskuje długofalowy dostęp do danych tam zawartych.

Może więc przy pomocy kawałka takiego kodu na przykład wysyłać wszystkie dane przychodzące na daną skrzynkę pocztową.

Chociaż można stwierdzić, że wykorzystanie tego mechanizmu w praktyce może być mocno naciągane.

Takie rozszerzenia nie mogą się bowiem uruchamiać automatycznie a muszą za każdym razem być aktywowane ręcznie przez użytkownika.

Jedynym sposobem na autostart - jest wykorzystanie pewnego triku, czyli przypięcia danego rozszerzenia przy pomocy pinezki.

Tylko że wtedy i owszem - jest ono automatycznie wykonywane po otworzeniu strony poczty - tylko że takie rozszerzenie dodaje automatycznie panel o stałej szerokości do danej strony.

A to może zaalarmować użytkownika.

Aby więc atak był skuteczny - należy go przekonać, że taki panel jest tutaj od zawsze - dla przykładu, nazywając go generycznymi tytułami w stylu: “Bezpieczeństwo maila” wyswietlające zieloną kłódeczkę - dla każdej wiadomości, którą wyświetla użytkownik.

I to wszystko na dzisiaj.

Zapraszam do komentowania i subskrypcji kanału kacperszurek na youtube.

A my widzimy się już za tydzień.

Cześć!

Odnośniki

1 2 3 4 5 6 7 8 9 10

Timeline: