Общее. Обзор утилит с Def Con 20

Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.

В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак.

Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине” (Man-in-the-Middle) c использованием возможностей протокола ARP. В общем тема далеко не новая (есть тот же Cain), но утилита обладает широкими возможностями (например, по встраиванию кода в чужую http сессию). Утилита очень проста и не требует специальных навыков – достаточно выбрать пару галочек и нажать пару кнопок, может использоваться как в открытых wifi так и в корпоративной сети.

Для защиты от подобных атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) и  встроенные функции защиты ARP  сетевого оборудование ведущих производителей (например, Cisco)

Chapcrack от Moxie Marlinspike. Данная утилита эксплуатирует уязвимость протокола MS-CHAPv2. Данный протокол аутентификации может использоваться в рамках подключений PPTP большинства домашних пользователей выделенного интернета и при подключениях к беспроводной сети по WPA2. Уязвимость позволяет атакующему серьёзно понизить криптостойкость алгоритма и быстро восстановить пароль их хэша.

MS-CHAP далеко не единственный из возможных протоколов аутентификации. Для защиты от приведенных выше атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) или централизованные сервисы аутентификации (RADIUS), которые позволяют использовать другие протоколы аутентификации.

NFCProxy от Blackwing Intelligence. В основе утилиты лежит  беспроводная технология NFC «коммуникация ближнего поля» совместима с RFID и используется при изготовлении различных бесконтактных карт. Карты могут быть транспортные, гостиничные, предназначенные для контроля доступа на территорию, для перемещения грузов и т.п. Последнее время стали появляться банковские карты беспроводным интерфейсом NFC, что позволяет использовать их в бесконтактных банкоматах.

Так-же появилось большое количество телефонов со встроенным интерфейсом NFC.

Идея NFCProxy проста – кладете один NFC телефон рядом с беспроводной картой (например, банковской картой) жертвы. Со вторым NFC телефоном подходим к NFC банкомату и получаем дистанционный канал от карты до банкомата в котором телефон с NFCProxy находится посередине. С более простых беспроводных карт – транспортных, гостиничных, для входа на территорию – можно просто считать и сохранить информацию в телефоне.

Как показывает практика – любая беспроводная технология с одной стороны удобна вам, с другой стороны удобна злоумышленнику. Поэтому выбирая беспроводные технологии, позаботитесь о дополнительной защите (2 и 3 факторная аутентификация).

Diggity от Stach&Liu. Первоначальным этапом целенаправленной атаки является сбор максимального количества информации об объекте атаки. Вся необходимая информация уже может хранится в различных базах – в поисковиках, на файловых хранилищах и т.п. Diggity - это комплексная утилита по сбору информации о целевой системе в сети интернет.

Она совмещает в себе как ряд классических методов:

·        Google hacking

·        аналог google hacking для Bing

·        сканнер flash файлов

·        сканнер локально-загруженных файлов по ключевым словам (как DLP)

·        проверка ссылок на внешние ресурсы (LinkFromDomain)

·        поиск следов вредоносных программ на сайте (MalwareDiggity)

Так и новые:

·        пассивное сканирование портов через Google (PortScan Diggity)

·        поиск утечки данных и публикации их на других сайтах (NotInMyBackYard Diggity)

·        поиск вредоносных программ по сигнатурам с использованием Bing (BBMS)

·        поиск в исходных кодах google code search (CodeSearch Diggity)

·        поиск в хакерской поисковой системе SHODAN (SHODAN Diggity)

http://www.slideshare.net/rob.ragan/tencious-diggity-skinny-dippin-in-a-sea-of-bing

В плане защиты от таких атак трудно что-то порекомендовать. Если информация уже опубликована – то врядли удастся её полностью вычистить из интернета. Можно проводить периодические проверки в публичных базах информации о защищаемых вами ресурсов, для своевременного определения, когда будет индексирована какая-то уязвимость или произойдет утечка информации.