Пару недель назад прошло крупнейшая мировая конференция по ИБ DefCon 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.
В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них, так как скоро придется защищаться от угроз связанных с большим количеством подобных атак.
Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине” (Man-in-the-Middle) c использованием возможностей протокола ARP. В общем тема далеко не новая (есть тот же Cain), но утилита обладает широкими возможностями (например, по встраиванию кода в чужую httpсессию). Утилита очень проста и не требует специальных навыков – достаточно выбрать пару галочек и нажать пару кнопок, может использоваться как в открытых wifiтак и в корпоративной сети.
Для защиты от подобных атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) и встроенные функции защиты ARP сетевого оборудование ведущих производителей (например, Cisco)
Chapcrack от Moxie Marlinspike. Данная утилита эксплуатирует уязвимость протокола MS-CHAPv2. Данный протокол аутентификации может использоваться в рамках подключений PPTPбольшинства домашних пользователей выделенного интернета и при подключениях к беспроводной сети по WPA2. Уязвимость позволяет атакующему серьёзно понизить криптостойкость алгоритма и быстро восстановить пароль их хэша.
MS-CHAPдалеко не единственный из возможных протоколов аутентификации. Для защиты от приведенных выше атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) или централизованные сервисы аутентификации (RADIUS), которые позволяют использовать другие протоколы аутентификации.
NFCProxyот BlackwingIntelligence. В основе утилиты лежит беспроводная технология NFC«коммуникация ближнего поля» совместима с RFIDи используется при изготовлении различных бесконтактных карт. Карты могут быть транспортные, гостиничные, предназначенные для контроля доступа на территорию, для перемещения грузов и т.п. Последнее время стали появляться банковские карты беспроводным интерфейсом NFC, что позволяет использовать их в бесконтактных банкоматах.
Так-же появилось большое количество телефонов со встроенным интерфейсом NFC .
Идея NFCProxy проста – кладете один NFCтелефон рядом с беспроводной картой (например, банковской картой) жертвы. Со вторым NFCтелефоном подходим к NFCбанкомату и получаем дистанционный канал от карты до банкомата в котором телефон с NFCProxyнаходится посередине. С более простых беспроводных карт – транспортных, гостиничных, для входа на территорию – можно просто считать и сохранить информацию в телефоне.
Как показывает практика – любая беспроводная технология с одной стороны удобна вам, с другой стороны удобна злоумышленнику. Поэтому выбирая беспроводные технологии, позаботитесь о дополнительной защите (2 и 3 факторная аутентификация).
Diggity от Stach&Liu.Первоначальным этапом целенаправленной атаки является сбор максимального количества информации об объекте атаки. Вся необходимая информация уже может хранится в различных базах – в поисковиках, на файловых хранилищах и т.п. Diggity- это комплексная утилита по сбору информации о целевой системе в сети интернет.
Она совмещает в себе как ряд классических методов:
· Google hacking
· аналог google hackingдля Bing
· сканнер flash файлов
· сканнер локально-загруженных файлов по ключевым словам (как DLP)
· проверка ссылок на внешние ресурсы (LinkFromDomain)
· поиск следов вредоносных программ на сайте (MalwareDiggity)
Так и новые:
· пассивное сканирование портов через Google(PortScanDiggity)
· поиск утечки данных и публикации их на других сайтах (NotInMyBackYard Diggity)
· поиск вредоносных программ по сигнатурам с использованием Bing (BBMS)
· поиск в исходных кодах google code search (CodeSearch Diggity)
· поиск в хакерской поисковой системе SHODAN(SHODANDiggity)
В плане защиты от таких атак трудно что-то порекомендовать. Если информация уже опубликована – то врядли удастся её полностью вычистить из интернета. Можно проводить периодические проверки в публичных базах информации о защищаемых вами ресурсов, для своевременного определения, когда будет индексирована какая-то уязвимость или произойдет утечка информации.
