книги хакеры / журнал хакер / 098_Optimized

Аудитор безопасности ПО точки Wi-Fi от KSURi (CUP.su)

Вспомни, как все начиналось

установкивеб-интерфейсадлявизуализации

Одной из ошибок является применение службы

как можно быстрее. Итак, мы залезли на

процессауправленияроутинга. Безусловно, тут

SNMP (Simple Network Management Protocol)

оборудование. Дальнейшие действия зависят

естьопределенныеплюсы, но, какправило, лю-

с дефолтовым паролем «public».

только от твоей фантазии! Из самого простого

быеоблегченияадминскойдеятельностивызы-

Наличие snmp позволило мне опознать

— можно попытаться воспользоваться паролем

вают тяжелые последствия. Используя

«биографию» хотспота путем посылки специ-

какого-либо пользователя, например, пассвор-

подобную технологию, администратор

ального snmp-фрейма с OID 1.3.6.1.2.1.1.1. Ког-

дом от ящика электронной почты или ICQ.

в первуюочередьдолженскрыть

да эта служба включена, можно получить

ее, например, добавивзащитупо IP, а не только

большой объем полезной сетевой информации.

Атаканадрайверыбеспроводного

авторизацию. Как ни странно, защитафайер-

К примеру, атакующие из интернета могут даже

устройства

воломвыпадаету 70%админовизпамяти, что

узнатьхостыи диапазоныIP-адресоввнут-

3 сентября 2006 года Johny Cashe описал

и позволяетхакерунапастьнажелезки

ренних сетей. По аптайму делаем вывод, что

принципиально новую атаку, суть кото-

удаленно. Спервавеб-интерфейснадозадетек-

точка либо совсем девственная, либо

рой в том, что, используя уязвимости

тить—обратимся, какужеговорили, к xxx.xxx.0.0

периодически выключается/перезагружа-

драйверов, можно выполнить неавторизиро-

илиxxx.xxx.0.1, чащевсегоонвиситименно

ется админом, поэтому нужно действовать

ванный код. Уязвимы следующие продукты:

там. Но кто сказал, чтоэто всегдатак? Имен-

нодляэтогомыавтоматизируемпроцесс

Карта боевых сражений :)

поиска, используяследующийметод:

xàêåð 02 /98/ 07

/ 069

ключалсяк чужой

Демонстрация работы скрипта-аудитора

беспроводнойсети

Wi-Fi. 41 летнего

БенджаминаСмита

APPLE:MacOS X 10.4

Sending attack ...

обвиняютв несанк­

INTEL:Intel PRO/Wireless 2200BG

Writing for response

ционированном

INTEL:Intel PRO/Wireless 2915ABG

..... Got shell!

проникновении

INTEL:Intel PRO/Wireless 2100

Разъясню параметры запуска. Здесь ‘-с’ — номер канала

в компьютерную

INTEL:Intel PRO/Wireless 3945ABG

сетьРичарда

(w22n50.sys, w22n51.sys, w29n50.sys,

(по умолчанию 1); ‘-d’ — «слушаемый порт», его мы бу-

Дайнона, который

w29n51.sys)

дем бомбить специальными пакетами; ‘-t’ — атакуемая

в минувшемапреле

машина. Кроме того, присутствует флаг ‘-r’ — порт для

Заметь, вторая карта из этого списка фигурирует чуть ли

заметил, чтоСмит

backconnect-подключения при удачном захвате машины.

подъехалк его

не в каждом магазинном ноутбуке. Компрометировать уда-

Дальше ты можешь выполнять любые интерпретируемые

домунаавтомобиле

ленные системы можно с использованием LORCON

консольные команды.

и сталпользоваться

(http://802.11ninja.net/code/lorcon-current.tgz). Говоря о воз-

Следует подробнее остановиться на методе выполнения

ноутбуком.

можностях проведения атаки, следует отметить, что обяза-

подобной атаки — fuzzing. Термином «fuzzing» объеди-

Последующее

тельными условиями ее успешного осуществления являются

няют действия, сопровождающие выявление большинс-

разбирательство

только включенная Wi-Fi карта и непосредственная близость

тва дефектов безопасности. Один из приемов фаззинга

подтвердилофакт

хакера к «радиусу действия» беспроводной сети. Сейчас

основан на внесении ошибок путем передачи приложению

несанкционирован-

я продемонстрирую атаку, которую проводил не раз.

«кривых» данных. Конкретно в описанном примере это вы-

ногодоступа. Если

глядит так: на атакующего обрушивается шквал UDP-паке-

ты собираешь

skvoz@cup # ./lorcon -c 1 -d 80 -t

тов по 1400 байт с определенным интервалом.

повторитьподобный

00:0C:6E:4F:A2:00

В посылаемые пакеты внедряется шеллкод, который

опыт, готовься

Finding channel and signal strength ... DONE!

исполняется в режиме ядра.

к тому, чтотвои

Preparing shellcode ...

Подробности этого чуда были приведены Крисом Касперски

действиямогут

попастьподстатьи

Исследования «нового» беспроводного сетевого окружения

УКРФ.

/ 070

xàêåð 02 /98/ 07

xàêåð 02 /98/ 07

/ 071

С помощью несанкционированного доступа в беспроводную

сеть мне удалось похитить конфиденциальные данные особого

Информация, полученная из NetBios крайне актуальна

назначения

О томсамом, илиловкостьрук

дывая сетевую статистику (netstat), я обратил

(ключ зависит от конкретного

устройства)

В докладе Контрольно-счетной палаты США

внимание на IP-адрес 192.168.0.100. После его

"Key128"="2544801583660d7009abcde

отмечено, что Wi-Fi технологии, внедряемые

открытия в браузере выяснилось, что за ним

f00000000000000"

в правительственные организации, не имеют

скрывается поднятый HTTP-сервер, на котором

"DefKeyId128"="1

должной безопасности. По их сводкам, в 13

отлаживались какие-то web-приложения, на-

агентствах не установлена защита, а в боль-

поминающие интерфейс к СУБД. Востре-

Осматриваем раздел и видим примерно

шинстве агентств не отслеживается про-

бованность узла была налицо, и активность

следующий текст: «"DefaultKeys"="364e01815b3

исходящее в беспроводных сетях. В одном

пользователей явно присутствовала. Выяснив

00d8038abc5ff00000000000000"», где первые 12

из агентств 90 ноутбуков настроены на

кое-что о нем, я понял, что он находится в груп-

чисел — WEP-ключ в plaintext. На аналогичной

автоматический поиск сигнала в эфире, что

пе компьютеров.

системе, с драйвером 1.15.18.0, ключ распола-

может привести к нахождению подставного

гался в Profiles\Default\WepKey.

сервера. Поверь, в родной России ситуация

6 names in table

ДляначалатебепотребуетсяопределитьGUID

абсолютно такая же, порой корпоративная

устройствадляподстановки. Исходныйкод

инфраструктура настроена гораздо грамотней

HOME_161 00 UNIQUE Workstation

программы, позволяющийэто сделать, ты най-

государственной. Так, одним зимним вечерком

service name

дешьнадиске. Там жеописано, каквсе-таки

мне удалось украсть, пожалуй, одну из важ-

MSHOME

00

GROUP

Workstation

нарытьэтотWEP-ключсофтварно. Еслиже

нейших ведомственных баз «Lunar» из здания

service name

ситуацияосложненатем, чтоключне хранится

далеко не отдаленного, скажем так :).

HOME_161 20 UNIQUE Server

в реестре, что, естественно, небезопасно, то

Наверняка, тебе известно, что существует ряд

services name

смелозаюзайуязвимостьв IntelWirelessService

баз данных для служебного пользования. Вот

MSHOME

1E

GROUP

Group name

(s24evmon.exe). С помощьюэтогобагалокальный

некоторые из них: «Лабиринт» (база дан-

MSHOME

1D

UNIQUE

Master

пользовательможетполучитьконфигурацион-

ных о политиках и их биографиях), база

browser name

ныеданныебеспроводногооборудования, в том

«Лунар» (телефоны и справочная информа-

##__MSBROWSE__

01

GROUP

числеWEP-ключи. Уязвимостьприсутствует

ция о руководящем составе МВД, налоговой

из-занебезопасногоразграниченияправна

полиции, правительства, прокуратуры, Газ­

MAC address 4: 00:0C:6E:4F:A2:00

доступк общейсекции\BaseNamedObjects\

прома и пр.), база «БТИ» (собственники жилья

Получениеимендоменовсистемыпроисходит

S24EventManagerSharedMemory\, которая

в Москве), база «ГИБДД» (полные данные

используетсяслужбойWirelessManagement

по автовладельцам Москвы) и т.п. Дистрибу-

с помощьюработыс nbtscan. При этомпосылает-

Service, чтопозволяетатакующему

тивы подобных вещей хранятся в сейфах за

сяспециальныйпакетна137/udpпорт, гдевисит

читать, писать, удалятьсегментыинформа-

толстыми стенами и право их использования

соответствующаяслужба. Обративниманиена

циив памяти. Смелокомпилируйсплоитvc++

имеют лишь избранные сотрудники. Больше

«NULLsessionsuccessfulto\\192.168.0.100\IPC$»,

и запускайнавражескойтачке, послезапуска

всего меня интересовала база «Lunar» по лич-

открытыепеременныеокружения—первыйзнак

получишьчто-товроде: «PossibleAlphanumeric

ным соображениям. Получив автоматически

наличия расшаренных ресурсов в сети.

WEPKEYfound: kd%2mzkl».

IP-адрес, я попал в просторы Сети. Прогля-

Крометого, изсканасталоясно, чтопереднами

/ 072

xàêåð 02 /98/ 07

терминальныйсервер, чтоимеетсяFTP-сервер

— SUPPORT_388945a0 (id 1002)

в «чужомбелье», полазивпо компамрабочей

с разрешеннымanonymous-доступом, откуда

— Sergey (id 1003)

группы, но всежесуществуетопределенная

я выкачалкучуинтересныхданныхсотрудников

— Aleksey (id 1004)

этика, о которойследуетпомнитьлюбому

заведения.

хакеру, поэтомуя ограничилсяпростым

Их логины можно было использовать для

Существует дефект: при эмуляции вызова

netsend'омс девизом«Priwetkolgotochniki! g

LsaQueryInformationPolicy() можно определить

пробручивания учетных записей на тер-

emaglab1n(C)» и просмотромжелаемойбазы

host SID (Security Identifier), который может быть

минале с помощью medusa (читай статью

нахардеодногоизсотрудников. Я умышленно

использован для получения листа локальных

«Терминальная эпопея»), что я и сделал, по-

не сталскрыватьсвоеприсутствие, и это ввело

пользователей, размещенных на хосте. Так

лучив парочку аккаунтов. Это позволило мне

админовв панику—судорожноониначали

я получил список всех юзеров.

побродить по пользовательским файлам всех

производитьзащитныедействияи сканы

работников, а на одной машине валялась та

моейсистемы. Но у менявсегдаграмотно

The remote host SID value is :

самая «Lunar».

настроенаIDS, файрвол(wipf), а ОСперебита

1-5-21-790525478-630328440-

Нестоитзабыватьобинформации, которуюпре-

с помощьюSecurityCloacker'a(еготы най-

1801674531

доставиласлужбаNetBIOS. Действительно, на-

дешьнадиске). При попыткеопределения

CVE : CVE-2000-1200

шацельнаходитсяв сетевойгруппе. Заходим

«марки» моейсистемы, товарищамсотруд-

BID : 959

в «СетевоеокружениеОтобразитьком-

никамвыдавалосьязвительноесообщение

— Administrator account name

пьютерыв рабочейгруппе» (консольно: net

«Playstation». Удивлен? Делов том, что, изме-

: ?4<8=8AB@0B>@ (id 500)

view). Чтобыполучитьдетальнуюинформацию

няяпараметрыв реестровойветкеSYSTEM\\

— Guest account name : ?>ABL (id

о строениисети, откройвкладку«Microsoft

CurrentControlSet\\Services\\Tcpip\, ты сможешь

501)

WindowsNetwork(MWN)». Выполнилпровер-

«смущать» любыесканерыбезопасности, ведь

— HelpAssistant (id 1000)

куресурсовсетиnetuse, анализируйихна

ониосновываютсянавполнетрадиционных

— HelpServicesGroup (id 1001)

предметшар. Безусловно, я бымогпокопаться

методаханализа. z

/ 074

xàêåð 02 /98/ 07

Если ты заранее знаешь точную сумму, которую тебе должны

5. сотрудники финансовой

заплатить, постарайся иметь эту же сумму с собой. Фишка вот

милиции привлекают специа-

в чем: если ты попадешь под контрольный закуп, то купюры,

листа из доверенной компью-

которыми с тобой рассчитаются, либо будут меченными,

терной фирмы для осмотра

либо их серийные номера окажутся заранее зафиксированы

компьютера;

в акте, с которым тебя обязательно должны ознакомить.

6. специалист осматривает

Эти купюры ты сможешь сразу спрятать в трусы, а заранее

тачку и дает заключение, что

заготовленные, например, держать в руке.

на ней, кроме винды, ничего

не стоит;

Контрольныйзакуп

7. взломщик приходит к кли-

Контрольные закупы устраиваются по просьбам владельцев

енту и устанавливает

авторских прав, программы которых очень часто покупают.

«1С:Бухгалтерию»;

Вместо того чтобы позаботиться о безопасности своего про-

8. Когда взломщик собира-

дукта самим, они от безысходности обращаются в правоох-

ется уходить, в помещение

Знай и чти Уголовный кодекс

ранительные органы.

заваливает несколько сотруд-

Процедура контрольного закупа программного обеспечения

ников финансовой милиции

во многом определяется законодательством страны, в кото-

с понятыми;

рой ты живешь, но в целом выглядит следующим образом:

9. сотрудники тычут взломщику в лицо своими докумен-

1. сотрудники финансовой милиции получают из какого-

тами и говорят, чтобы он не торопился уходить, но это уже

либо источника телефон взломщика;

лирика :).

2 находят подставное лицо, которое будет выступать в ка-

Итак, что мы имеем? А имеем мы достаточно информа-

честве клиента;

ции, чтобы поиметь сотрудников финансовой милиции.

3. клиент звонит взломщику и просит его, например, уста-

Первое, что бросается в глаза, — это древний компьютер

новить «1С:Бухгалтерию», на что взломщик соглашается

с чистой виндой. Если ты встретишь нечто подобное,

и назначает время;

лучше сразу откажись от установки. Но если ты экстримал

4. на стороне клиента устанавливается, как правило, очень

(как я, например :)), то запомни два очень важных прави-

старый компьютер (на новый, наверное, денег не хватает :))

ла: устанавливай софт только с дисков и после установки

с девственной Windows;

обязательно уничтожай их путем переламывания на мел-

кие части (после этого никто не подумает их считывать).

Только делай это сразу после установки, не дожидаясь

сотрудников в форме. Диск — это первая и единственная

улика против тебя. Вторая — это комп с установленной

программой, но без диска она не имеет никакой силы.

Только представь себе лица сотрудников милиции, когда

ты покажешь им кусочки диска в одной руке и пачку твоих

собственных денег в другой.

Естественно, просто так тебя никто не отпустит — попросят

написать объяснительную. На системном блоке-то осталась

!

установленная тобой программа. Смело пиши в объясни-

тельной, что тебе позвонили и попросили помочь настроить

такую-то программу, на что ты согласился и сказал, что

ни копейки не возьмешь за это. А потом толпой завалили

Этастатьяносит

сотрудники финансовой милиции и стали обвинять тебя

ознакомительный

в установке пиратского софта.

характери никаким

А теперь — внимание! То, о чем я тебе сейчас расскажу,

образомнепровоци-

— это результат самой настоящей слежки за работниками

руетнапротивозакон-

финансовой милиции. Во время проведения контрольного

ныедействия.Если

закупа на расстоянии 150-300 метров расставлены как

тыпопался,в этом

минимум две группы так называемого подкрепления. Все

виноваттолькотысам.

они снабжены рациями или подслушивающими устройства-

Ни автор,ниредакция

ми, что уже само по себе без твоего ведома незаконно. Так

ответственностиза

что будь готов к тому, что тебя услышит много ушей, которые

твоидействияне

в любой момент могут тебя накрыть в прямом смысле слова.

несут.

xàêåð 02 /98/ 07

/ 075

/ 076

xàêåð 02 /98/ 07