вторник, 14 августа 2012 г.

Общее. Обзор утилит с Def Con 20


Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.

В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак.

Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине” (Man-in-the-Middle) c использованием возможностей протокола ARP. В общем тема далеко не новая (есть тот же Cain), но утилита обладает широкими возможностями (например, по встраиванию кода в чужую http сессию). Утилита очень проста и не требует специальных навыков – достаточно выбрать пару галочек и нажать пару кнопок, может использоваться как в открытых wifi так и в корпоративной сети.

Для защиты от подобных атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) и  встроенные функции защиты ARP  сетевого оборудование ведущих производителей (например, Cisco)

Chapcrack от Moxie Marlinspike. Данная утилита эксплуатирует уязвимость протокола MS-CHAPv2. Данный протокол аутентификации может использоваться в рамках подключений PPTP большинства домашних пользователей выделенного интернета и при подключениях к беспроводной сети по WPA2. Уязвимость позволяет атакующему серьёзно понизить криптостойкость алгоритма и быстро восстановить пароль их хэша.

MS-CHAP далеко не единственный из возможных протоколов аутентификации. Для защиты от приведенных выше атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) или централизованные сервисы аутентификации (RADIUS), которые позволяют использовать другие протоколы аутентификации.

NFCProxy от Blackwing Intelligence. В основе утилиты лежит  беспроводная технология NFC «коммуникация ближнего поля» совместима с RFID и используется при изготовлении различных бесконтактных карт. Карты могут быть транспортные, гостиничные, предназначенные для контроля доступа на территорию, для перемещения грузов и т.п. Последнее время стали появляться банковские карты беспроводным интерфейсом NFC, что позволяет использовать их в бесконтактных банкоматах.

Так-же появилось большое количество телефонов со встроенным интерфейсом NFC.
Идея NFCProxy проста – кладете один NFC телефон рядом с беспроводной картой (например, банковской картой) жертвы. Со вторым NFC телефоном подходим к NFC банкомату и получаем дистанционный канал от карты до банкомата в котором телефон с NFCProxy находится посередине. С более простых беспроводных карт – транспортных, гостиничных, для входа на территорию – можно просто считать и сохранить информацию в телефоне.
Как показывает практика – любая беспроводная технология с одной стороны удобна вам, с другой стороны удобна злоумышленнику. Поэтому выбирая беспроводные технологии, позаботитесь о дополнительной защите (2 и 3 факторная аутентификация).


Diggity от Stach&Liu. Первоначальным этапом целенаправленной атаки является сбор максимального количества информации об объекте атаки. Вся необходимая информация уже может хранится в различных базах – в поисковиках, на файловых хранилищах и т.п. Diggity - это комплексная утилита по сбору информации о целевой системе в сети интернет.

Она совмещает в себе как ряд классических методов:
·        Google hacking
·        аналог google hacking для Bing
·        сканнер flash файлов
·        сканнер локально-загруженных файлов по ключевым словам (как DLP)
·        проверка ссылок на внешние ресурсы (LinkFromDomain)
·        поиск следов вредоносных программ на сайте (MalwareDiggity)
Так и новые:
·        пассивное сканирование портов через Google (PortScan Diggity)
·        поиск утечки данных и публикации их на других сайтах (NotInMyBackYard Diggity)
·        поиск вредоносных программ по сигнатурам с использованием Bing (BBMS)
·        поиск в исходных кодах google code search (CodeSearch Diggity)
·        поиск в хакерской поисковой системе SHODAN (SHODAN Diggity)

В плане защиты от таких атак трудно что-то порекомендовать. Если информация уже опубликована – то врядли удастся её полностью вычистить из интернета. Можно проводить периодические проверки в публичных базах информации о защищаемых вами ресурсов, для своевременного определения, когда будет индексирована какая-то уязвимость или произойдет утечка информации.

3 комментария:

Михаил Новокрещенов комментирует...
Этот комментарий был удален автором.
Михаил Новокрещенов комментирует...

Об ARP-spoofing вообще мало кто тревожится, хотя эта дыра просто удручающего масштаба. Ни в одной МУ не видел, чтобы её учитывали, от всего вредоносного кода боремся антивирусом :)

Сергей Борисов комментирует...

Если ты про типовую МУ для ПДн - то там конечно не предусмотрено. Фактически считается что внутри сегмента сети все пользователи доверенные.

В крупных корпоративных сетях - тревожатся, но комплекской защиты от ARP спуфинга редко встретишь