книги хакеры / журнал хакер / 123_Optimized

Аэто— оригинальныйдиалогвводапароляAppleStore.

Найди10 отличий!

xml,application/xhtml+xml,text/

html;q=0.9,text/plain;q=0.8,image/png,*/

*;q=0.5 HTTP_ACCEPT_LANGUAGE = ru

HTTP_ACCEPT_ENCODING = gzip, deflate HTTP_CONNECTION = keep-alive SERVER_ADMIN = [no address given] REMOTE_PORT = 6084

SERVER_PROTOCOL = HTTP/1.1 REQUEST_METHOD = GET QUERY_STRING =

argv = Array argc = 0

Витоге, единственное, чтоудалосьобнаружить— рекурсивноеотображениетелаписьма, приконструкции

<iframe src=/>

почтовик несколько раз отрисовывает вложенные iframe один в другой. При каких-то параметрах width и height он зацикливается и рисует бесконечно долго. Разок я эти параметрыугадал, ноособоговниманиянеобратил. Исходник не сохранился, а воспроизвести заново уже не получилось. Но то, что проблема остается и параметр src= (впрочем, как илюбаяконструкцияsrc="blablabla") ссылаетсянаэтот жедокумент— очевидно. Обычно(взависимостиотостальных тэгов страницы) отрисовывается 3-4 повтора. Конечно, бесконечное отображение это утечка памяти, но ее успешныйрезультат— всеголишьзавершениеработыпочтовика. Крометого, обнаружилсяприятныймомент— недокументированный инклудинг документов прямо в тело письма. От- правляемhtml-письмосiframe, ссылающимсянаскрипт:

>>

<?php

header('Content-type: application/vnd.ms-excel'); header('Content-Disposition: attachment; filename="downloaded.xls"'); readfile('xls.xls');

?>

В итоге, получаем просмотр документов PDF/DOC/XLS прямовтелеписьмавпочтовике.Негусто!Последняянаработка

— метатэги. Онивпочтовикеотрабатываютсякорректно, например, можносделатьредирект:

<meta http-equiv="Refresh" content="1; url=http://ya.ru">

Если оставить параметр url пустым, страница просто обновится (а вернее — будет постоянно обновляться). Что ж, обзоратакподобноготипапредлагаюзавершить. Вэтойобластиещепредстоиттрудитьсяитрудиться, чтобыполучить хотькакие-нибудьрезультаты.

АТАКА4. LOCATION SPOOFING

ИЛИ«ПОТЕРЯЛАСЯЯ...»

Эту атаку, судя по всему, придумали швейцарцы. Во всяком случае, они первые о ней написали. Теоретическая возможность была рассмотрена сильно раньше этой статьи, однако практическая реализация касательно iPhone/iPod принадлежит именно им. Вот ссылка на первоисточник: www.syssec.ch/press/location-spoofing-attacks-on-the-iphone- and-ipod. Рекомендую ознакомиться, потому что заниматься переводомуменянетникакогожелания:). Есливкратце: Apple iPhone 2g иApple iPod touch умеютопределятьсвоеместоположение в пространстве, основываясь на данных от GSM-вышек и уровне сигнала в WiFi-сетях. Координаты WiFi-точек доступа тягаются из базы http://www.skyhookwireless.com (собственно,

почемуимнепришловголовуспуфитьответыэтойсамойбазы). ПосколькувiPod touch никакогоGSM-позиционированиябыть неможет, всесведенияонтянетотWiFi-точекдоступа. Спуфингатаказаключаетсявтом, что, имитируятакуюжеточкудоступа, но расположенную ближе (уровень сигнала выше) или дальше (уровеньсигналаниже), можноввестиалгоритмвзаблуждение. Никакойпроверкиподлинности,кромеМАК-адреса,тамнепре- дусмотрено, такчтоэтопрощепростого. ЧтожекасаетсяiPhone 2g, тоздесьтакаяатакатожеимеетместо, носоговоркойнато, чтосначалаареалпребыванияустанавливаетсянаосновеGSMсигнала.Еслипопытатьсяубедитьустройство,чтоздесьловится точкадоступа, далекаяотэтогоареала, данныеоттакойточкив расчетбратьсянебудут.Такимобразом,обманутьлокаторiPhone можнотольковпределахрайона,которыйпозиционируетGSM.

ВЗГЛЯДИЗНУТРИ. ЧЕМПОЖИВИТЬСЯ?

Предположим, все уже позади: подошел дефолтный пароль или эксплоит открыл нам шелл. В общем, доступ к файловой системе получен, что дальше? Дальше — лови момент. БольшинстводанныхнаiPhoneхранитсявнутрибазыданныхsqlite. Каждое приложение (например, СМС-менеджер, почтовик, браузерипрочие) имеютсвойфайликсбазой, кудакладутвсе данные. Опишуструктурунаиболееинтересныхбаз:

/private/var/mobile/Library/CallHistory/call_ history.db— записиовсехзвонках. Форматтаблицыcall:

ROWID (порядковый номер)|address (телефонный номер)|date (время звонка в абсолютном формате)|duration (длительность звонка в

секундах)|flags (еще не понял, зачем)|id (ссылка на идентификатор контакта?). Втаблице_SqliteDatabaseProperties нахо-

дятсянастройкииобщиесведения, например, общеевремя

XÀÊÅÐ 03 /123/ 09

Победителямив11 категориях поитогамвсенародногооткрытого голосованияимнениюжюристали:

ИтогивторогоконкурсаEnthusiast Internet Award показали, что скаждымгодом вРунетестановитсявсебольшеибольшеwebэнтузиастов, наполняющихинтернет-пространствокачествен- нымлюбительскимконтентом. Ивсебольшийинтересивсеобщуюподдержкуподобныепроектывызываютсредиобычных пользователейинтернета. Втечение3 месяцев, вкоторыепро-

ходилEnthusiast Internet Award 2009, более30 000 000 голосов былоотданозаработыконкурсантоввходеоткрытоговсенародногоголосованиянасайтепремии. Вконкурсепринялоучастиеболее1300 работ.

«Мырады, чтонамудалосьнайтииподдержатьдействительно стоящиеидеивинтернете, проекты согромнымпотенциалом. - комментируетуправляющий директормедиакомпании Gameland ДавидШостак.

ОрганизаторEnthusiast Internet Award 2008 ме-

диакомпанияGameland поздравляетвсехпобедителейиблагодаритзаподдержкуспонсоров премии: торговуюмаркуOklick (официальный спонсоркатегории«Гейминг»), компанию Microsoft иинформационныхпартнеровкомпаниюmail.ru, официальную почтовуюслужбу конкурсапорталmail.ru и Радио«Премиум».

D0ZNP

/ HTTP://OXOD.RU /

акработаютпрограммы, которымисбольшойвероятностью К наспопытаютсясломать? СамыепопулярныеWEP-кракеры

— этоweplab иaircrack. Перваяутилита— классический кракерсоснифером, втораяже— полноценныйкомплексдля

аудитаскучейалгоритмов, активнымиатакамиимощнымфункционалом. ОбепрограммыработаютподбольшинствомUNIX-систем. Болееподробноеописаниеестьнасайтахпроизводителей. ДлядистрибутиваDebian, какидлябольшинствадругихдистрибутивов, обепрограммыестьврепозиториях. Крометого, aircrack имеетсборкуподWindows, аweplab можно запуститьиподCygwin. Вообразимсебянаместевзломщика, который просканилнашусеть. Чтомыбудемделатьсначала? Правильно, собирать дампы. Боротьсясизбыточнойзонойпокрытия, конечно, надо, ноне оченьэффективновсилуфизикиэтогобренногомира. Раноилипоздно взломщикполучитдамп. Заранеехакеронашейсетиничегонезнает— ни длиныключа, нидажето, чтомыиспользуемлохматыйWEP. Рассмотрим поведениехакераприиспользованиикаждойизэтихпрог.

weplab — b dump.pcap

//Атака перебором cat slovar.dict | weplab — y dump.pcap

//Атака по словарю

weplab — r dump.pcap

//Эвристический метод

Единственныйперспективныйметод— последний. Остальноедолго ибесполезно. Скореевсего, простоосталосьаппендиксомсовремен,

когдаработыпостатистическомуанализуWEP ещенебылиопубликованы. Теперьвтороймомент— какповедетсебяпрограмма, есливодном файлевстретятсяпакеты, зашифрованныеразнымиключами? Какой ключподберетсябыстрее? Тот, которогонайденобольше? Анебудутли те, «неверные» пакетызапутыватьалгоритмкракера? Многовопросов? Попытаемсяразобратьсянаделе.

ЗАПУТЫВАЕМWEPLAB

>>

info

Использованиеэтой идеивкоммерческих продуктахзапрещено. Еслиестьконкретныепредложения

— свяжисьсомной.

warning

Внимание! Информацияпредставлена исключительно сцельюознаком-

ления! Ниавтор, ни редакциязатвои действияответственностиненесут!

ВинтерактивномрежимеAircrack показывает, чтосетьзащищенаWPA

ЛОМАЕМСПОМОЩЬЮAIRCRACK

Этапродвинутаяпрограммаимеетвсвоемарсеналемассуутилит.Ярас- смотрюпокатолькосамaircrack-ng.ПрограммаумеетломатьиWPA,иWEP. Призапускебездополнительныхпараметровонапоказываетинтерфейсс отображениемвсехMAC-адресовточекдоступавдампесихалгоритмами шифрования.Стоитлиговорить,чтоэтотрежим—самыйпопулярныйсреди молодежи?Теперьнемногообопциях.Здесьпростомореразличныхнастроек wep-кракера.Еслихочешьпознакомитьсясовсемисовременнымиметодами взломаWEP,простопрочитаймануал.Вкратце:программазнаетдвебазовые атаки—PTW(Pyshkin,Tews,Weinmann)иFMS(Fluhrer,Mantin,Shamir).Обе основанынастатистическоманализе.Вотпримерыиспользования:

aircrack-ng dump.pcap //Интерактивный режим

aircrack-ng — b 00:00:00:00:00:00

//Подбор ключа к заданной точки доступа aircrack-ng — y

//Атака по словарю

ЗАПУТЫВАЕМAIRCRACK-NG

Мое внимание сразу привлек метод автоматического определения типа шифрования. Очень скоро была найдена обманка: если последние записанные пакеты зашифрованы WPA, aircrack определяет тип шифрования как WPA, независимо от того, сколько «правильных» WEP-пакетов (или каких-либо других) было внача-

ле. Я создал файл с 1.000.000 настоящих 128-битных WEP-пакетов и хвостом из 1.000 WPA. Скормив это aircrack в интерактивном режиме, я с радостью обнаружил, что моя точка использует WPA. Естественно, через меню программы такой дамп взломать было невозможно. При этом, если руками задать тип шифрования

(aircrack-ng — a1 dump.pcap), то взлом будет успешным. Нельзя наверняка угадать, когда взломщик закончит снимать дамп, но такая обманка может использоваться в комплексе с другими.

Всегда будет существовать вероятность, что хакеру не повезет — а это уже немало. Второй коктейль, который я приготовил, состоял из 450.000 пакетов 128-битного WEP, зашифрованных настоящим ключом, и 200.000 пакетов, зашифрованных ложным 128-битным WEP-ключом. Aircrack сразу нашел ложный ключ (ему просто хватило 200.000 ложных пакетов в хвосте). Для пущей уверенности я попробовал явно указать программе настоящий ключ и попытать-

ся взломать дамп (aircrack-ng — d XX:XX:XX:XX:XX:XX:XX:XX:XX:XX: XX:XX:XX). Результат был плачевным — 450.000 пакетов не хватало, чтобы найти в них настоящий ключ! Повторив эту команду 100 раз, я выявил следующее: aircrack находит настоящий ключ в комбинированном дампе (если его указать явно; то есть, если он знает заранее) в 9 случаях из 100. Результат свидетельствовал только об одном — продвинутый статистический анализ aircrack’а попался на обманку. Да, aircrack-ng очень чувствителен к концу дампа. Таким образом, ложный ключ, внедренный в легитимный эфир, станет хорошим семафором для IDS. Можно заворачивать

>>

Зависимостьвременивыполненияweplab откоэффициентаперебора

взломщиков (если пытается подключиться с ложным ключом — значит, он его сломал и никакими другими методами получить не мог, а поэтому закон уже нарушил) в специальную подсеть, изучать, триангулировать и прочее-прочее-прочее.

ИСПОЛЬЗОВАНИЕНАПРАКТИКЕ

Ну что, товарищ админ, будем делать с нашими наблюдениями? Конечно, попытаемся использовать в своей старой беспроводной сетке! Можно, например, заюзать старый 486-й компьютер с беспроводной картой для разбрасывания ложного трафика. Вариант покрасивее

иподороже — беспроводная USB-сетевуха. Ее можно подключить к USB-порту точки доступа (есть практически во всех современных WiFi-роутерах) и немного поковыряться со сборкой дров под busybox. В итоге получим второй беспроводной интерфейс. Теперь подумаем, откуда взять этот самый ложный трафик. К примеру, реально нагенерить дампов с пакетами и, как на магнитофоне, прокручивать циклом в эфире. Файлы получатся объемные, так что надо будет еще купить флешку и подключить к нашей точке. Как проигрывать дампы в эфир — ты уже, наверное, догадался: все тем же aircrack-ng. В его состав входит очень полезная для нас утилита aireplay, которую взломщики применяют для атак типа деаутентификации (чтобы заставить точку выдавать больше пакетов). Запускаем наше ложное вещание из файла опцией «–r fakedump.pcap» и едем дальше.

Полезнымбудетрегулироватьзонувещаниянашего ложноготрафика. Этоделаетсяопциейtxpower вкоманде iwconfig. Мощностьзадаетсявдецибелах(iwconfig eth1 txpower 15) иливмилливольтах(iwconfig eth1 txpower 30mW). Крометого, рекомендуюизучитьипоигратьсяс опциямиsens, rts, frag, иpower — поможеттебесоздатьоптимальнуюсхемувещания. Набазеэтогожеоборудования можноразвернутьIDS испециальнуюподсетьсповышеннойчувствительностьюведениялогов. Приложивминимум усилий, мыполучимвысококачественныйhoneypot. Только неследуетзабыватьонашихклиентах. Послевсехнастроек

итвиковнадообязательнопонаблюдатькакое-товремя

заработоспособностьюлегитимныхпользователей. При возникшихпроблемахстоитпосидетьсtcpdump’омипонять, накакомэтапеикакименнопользователюпомешал ложныйтрафик. Незабывайпротипыпакетов— взломщик сбольшойвероятностьюнебудетизучатькаждыйпакет, а кракерсъествсе, чтоемупредложат.