14 Августа, 2012

Общее. Обзор утилит с Def Con 20

Сергей Борисов

Пару недель назад прошло крупнейшая мировая конференция по ИБ DefCon 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.

В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак.

Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине” (Man-in-the-Middle) c использованием возможностей протокола ARP. В общем тема далеко не новая (есть тот же Cain), но утилита обладает широкими возможностями (например, по встраиванию кода в чужую httpсессию). Утилита очень проста и не требует специальных навыков – достаточно выбрать пару галочек и нажать пару кнопок, может использоваться как в открытых wifiтак и в корпоративной сети.

Для защиты от подобных атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) и  встроенные функции защиты ARP  сетевого оборудование ведущих производителей (например, Cisco)

Chapcrack от Moxie Marlinspike. Данная утилита эксплуатирует уязвимость протокола MS-CHAPv2. Данный протокол аутентификации может использоваться в рамках подключений PPTPбольшинства домашних пользователей выделенного интернета и при подключениях к беспроводной сети по WPA2. Уязвимость позволяет атакующему серьёзно понизить криптостойкость алгоритма и быстро восстановить пароль их хэша.

MS-CHAPдалеко не единственный из возможных протоколов аутентификации. Для защиты от приведенных выше атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) или централизованные сервисы аутентификации (RADIUS), которые позволяют использовать другие протоколы аутентификации.

NFCProxyот BlackwingIntelligence. В основе утилиты лежит  беспроводная технология NFC«коммуникация ближнего поля» совместима с RFIDи используется при изготовлении различных бесконтактных карт. Карты могут быть транспортные, гостиничные, предназначенные для контроля доступа на территорию, для перемещения грузов и т.п. Последнее время стали появляться банковские карты беспроводным интерфейсом NFC, что позволяет использовать их в бесконтактных банкоматах.

Так-же появилось большое количество телефонов со встроенным интерфейсом NFC .
Идея NFCProxy проста – кладете один NFCтелефон рядом с беспроводной картой (например, банковской картой) жертвы. Со вторым NFCтелефоном подходим к NFCбанкомату и получаем дистанционный канал от карты до банкомата в котором телефон с NFCProxyнаходится посередине. С более простых беспроводных карт – транспортных, гостиничных, для входа на территорию – можно просто считать и сохранить информацию в телефоне.
Как показывает практика – любая беспроводная технология с одной стороны удобна вам, с другой стороны удобна злоумышленнику. Поэтому выбирая беспроводные технологии, позаботитесь о дополнительной защите (2 и 3 факторная аутентификация).


Diggity от Stach&Liu.Первоначальным этапом целенаправленной атаки является сбор максимального количества информации об объекте атаки. Вся необходимая информация уже может хранится в различных базах – в поисковиках, на файловых хранилищах и т.п. Diggity- это комплексная утилита по сбору информации о целевой системе в сети интернет.

Она совмещает в себе как ряд классических методов:
·        Google hacking
·        аналог google hackingдля Bing
·        сканнер flash файлов
·        сканнер локально-загруженных файлов по ключевым словам (как DLP)
·        проверка ссылок на внешние ресурсы (LinkFromDomain)
·        поиск следов вредоносных программ на сайте (MalwareDiggity)
Так и новые:
·        пассивное сканирование портов через Google(PortScanDiggity)
·        поиск утечки данных и публикации их на других сайтах (NotInMyBackYard Diggity)
·        поиск вредоносных программ по сигнатурам с использованием Bing (BBMS)
·        поиск в исходных кодах google code search (CodeSearch Diggity)
·        поиск в хакерской поисковой системе SHODAN(SHODANDiggity)

В плане защиты от таких атак трудно что-то порекомендовать. Если информация уже опубликована – то врядли удастся её полностью вычистить из интернета. Можно проводить периодические проверки в публичных базах информации о защищаемых вами ресурсов, для своевременного определения, когда будет индексирована какая-то уязвимость или произойдет утечка информации.