You are currently browsing the category archive for the ‘Hacking’ category.

Organizatorii conferintei BSides London au pus la cale 3 hacking challange-uri, a caror rezolvare ar duce la castigarea unor premii constand in carti. Unul dintre aceste challange-uri este creat de Didier Stevens, care este recunoscut si pentru efortul lui de a creea tool-uri care sa ajute la analiza atacurilor care folosesc ca vector de propagare documentele in format PDF/Office.

Pentru analiza acestui document am folosit PDFSteamdumper care este un tool foarte bun pentru aceste tipuri de analize. O vizualizare a documentului arata urmatorul code java cat si alte informatii necesare:

<<

/Title (BSidesLondon 2011 PDF Challenge)
/Author (Didier Stevens)
/CreationDate (20110421111705)
>>

var j=”;
j += String.fromCharCode(10);
j += String.fromCharCode(118);
j += String.fromCharCode(97);

…….

j += String.fromCharCode(41);
j += String.fromCharCode(59);
j += String.fromCharCode(10);
eval(j);

Tot PDFSteamDumper este in stare sa ruleze codul java „ascuns” si sa-l  extraga.

Versiunea finala arata cam asa:

var a = [2, 3, 1, 1];
var b = [2, 5, 131, 2347];
var c, d;
var e = Math.floor(this.info.CreationDate);
var f = e;
for (c = 0; c < a.length; c++)
for (d = 0; d < a[c]; d++)
f = f / b[c];
if (130817 == f)
app.alert({cMsg: ‘The provided code is correct, your answer is: ‘ + e / b[2] / b[3], cTitle: ‘BSidesLondon 2011 PDF Challenge’, nIcon: 3});
else
app.alert({cMsg: ‘The provided code is wrong!’, cTitle: ‘BSidesLondon 2011 PDF Challenge’, nIcon: 3});

Codul foloseste data creearii documentului pentru a determina daca esti sau nu castigator. Concurentiii trebuie sa modifice aceasta data pentru a putea sa rezolve challange-ul. Mai departe, folosind principiul de clasa a doua conform caruia inmultirea este operatia complementara impartirii, se poate afla data necesara pentru a putea rezolva challange-ul.

Frumos nu? Ce alte tool-uri ati fi folosit pentru a rezolva acest challange?

Cat de interesati sunteti de challange-uri de IT Security?

Acum 2 zile a fost facut public al doilea exercitiu CTF (Capture the Flag) de catre OWASP avand ca premiu bilete de intrare la conferinta AppSec din Irlanda. Cum trebuia reolvat acest exercitiu? Exercitiul contine mai multe vulnerabilitati care combinate pot fi folosite la rezolvarea puzzle-ului.

Enuntul este foarte simplu. Trebuie ca participantul sa  rezolve jocul si sa apara pe tabela de score cu „0” incercari. Numele participantului trebuie sa fie rezultatul concatenarii numelui propriu si al celui mai slab jucator.

Exercitiul se poate rezolva foarte usor cu firefox si extensia „Tamper Data”. Dupa rezolvarea jocului, aplicatia trimite ca parametru ascuns numarul de incercari. Interceptand request-ul se poate modifica aceast numar cu „0”. Pentru aflarea numelui celui mai slab jucator se foloseste o alta vulnerabilitate. „SQL Code Injection” in pagina jotto4.php care contine functionalitatea de search. Doar prin introducere urmatorului string „‘ union select @@version, null,null,null from results #” se poate obtine verisiunea serverului de MySQL. Pentru obtinerea celui mai slab jucator se poate folosi „‘ union select concat(user,count),null,null,null from results #”

Mult succes celor care vor sa se mai joace cu aplicatia. Atentie insa pentru ca pagina contine intre timp persistent cross site scripting. Ne auzim pe urmatorul 21 la urmatorul CTF.

Defcon-ul este cunoscut ca fiind una dintre cele mai vizitate si apreciate conferinte de securitate IT. La editia 18 din acest an tema principala a concursului CTF (Capture the Flag) este Social Engineering-ul. Lansat initial pe site-ul social-engineer.org concursul are ca scop obtinerea a cat mai multe informatii despre o companie asignata fiecarui participant. Cu toate ca are un regulament clar care nu permite adunarea de informatii confidentiale, parole sau informatii financiare multe companii se arata ingrijorate de posibilele implicatii asupra imaginii in cazul in care ar fi target-ul unor astfel de atacuri. Interesanta este si proba in sine. Candidatii trebuie sa obtina cat mai multe informatii pe parcursul unei convorbiri de 20 de minute. Cam ce s-ar putea afla in cazul cand telefonul ar suna la voi la companie?

Have fun anyway…

WAF sau Web Application Firewall-ul este un sistem care intelege foarte bine HTTP, stie sa analizeze conversatia HTTP, sa o decodifice in cazul in care e codata si sa protejeze aplicatiile de web in cazul in care descopera posibile atacuri.  Toata comunitatea de IT le instaleaza sperind sa rezolve problemele aplicatiilor de web dar se pare ca ele insele au foarte mari probleme. La conferinta de securita de la Cracovia OWASP, 2 cercetatori,Wendel Henrique, membru SpiderLabs (Trustwave’s advanced security team), si Sandro Gauci, fondator si CSO la EnableSecurit, au descoperit o serie de probleme in diferite WAF-uri si totodata vor sa faca public un tool pentru wafw00f care va ajuta la identificare acestor sisteme. Surpriza este completa pentru ca, cu ajutorul unui alt tool creat de ei wafFUN, au reusit sa pacaleasca sistemul si sa exploateze cu success o aplicatie de web (XSS).

Sfatul lor? Scrieti cod mai bun si mai sigur. :-))

Mai multe puteti citi aici sau urmarii prezentarea care a fost facuta publica aici.

Have Fun

De weekend. Niste studenti din Austin au avut o idee geniala de a construi un dispozitiv cu care sa poata modifica textul afisat pe panourile de control al traficului anuntind un nou atac zombi. :-))

M-am hotarit din mai multe motive sa ofer celor de la ejobs o consultatie pro bono pentru a intelege care este cauza si sa arat si ce ar trebui sa faca ca sa poata evita o noua problema de securitate.

Ceea ce s-a intimplat este un caz standard de SQL Code Injection. Parametrul http://www.ejobs.ro/arhiva/2007/august/PARAMETRU%20union%20select … nu este verificat. Atunci cind este interogata baza de date ceva de genul „select asta, siasta from mydatabase where zi = PARAMETRU”,  este modificat acest select si completat cu „union all select 1, concat (nume coloana,:,altnume coloana) from companies limit by nr” .  In construirea acestui statement este foarte important sa se cunoasca numele coloanelor, si numele tabelei. Modul in care se poate obtine este ori daca aplicatia intoarce erori sql, sau prin metoda de brute force.

Ce s-ar fi putut face?

1). La nivel de limbaj de programare este datoria programatorului sa scrie statementul SQL in asa fel incit sa nu permita continuarea lui. Recomand tuturor o documentatie mai veche dar buna si acum.

2) Defence in depht . Ceea ce inseamna un application firewall de genul mod_security pentru Apache care sa filtreze stringurile de genul „union all select”.

3) Design Flow. Nici o aplicatie nu ar trebui sa stocheze parolele in clar. Se pot stoca in format hash (SHA1) si verificat hash-ul parolei user-ului cind acesta o introduce.

4) Awareness. Compania ar fi trebuit sa implice pe cineva specializat in securitate pentru a testa aplicatia. Oricum se pare ca ejobs nu are nici o procedura de incident management, pentru ca lucrul pe care il face acum este sa treaca totul sub tacere.

Pentu cei care dau peste asemenea erori de securitate: exista conceptul de responsible disclosure.

O zi minunata

In decembrie a avut loc in Berlin editia cu numarul 25 „Nothink to hide” a congresului organizatiei Chaos Computer Club (CCC). O editie care a stabilit un nou record de participare 4230. Una din prezentarile care mi s-au parut foarte interesante a fost „MD5 considered harmful today” in care un grup de matematicieni si un grup de cercetatori in domeniul de securitate au reusit creare unei Autoritati de Cerificare (CA) valide folosindu-se de coliziunile in algoritmul de hash-ing MD5.

Putina teorie pentru cei care nu o cunosc:

  • MD5 este o functie care returneaza o valoare unica fixa ca lungime ( 128 ) biti pentru orice intrare. Coliziune in algoritmul de hash-ing reprezinta de fapt situatia in care 2 valori de intrare diferite genereaza acelasi valoare de hash-ing.
  • Un certificat SSL este compus din 2 parti. Parte ce trebuie semnata continind informatii cum ar fi: numele, un „serial number”, validitatea certificatului, propietate daca este CA sau nu si sematura CA-ului.

Atacul:

Atacul derulat pe un cluster de 200 de Playstation 3 a constat in cumpararea unui certificat de la RapidSSL si crearea bazindu-se pe acesta a unei nou certificat care sa aiba propietatea CA=True, fiind insa un FALS . Cu acest nou CA se pot genera foarte usor certificate valide pentru site-uri cum ar fi microsoft.com si BancaTaCareOFiEa.ro. Deci phising-ul poate devine o realitate cu care greu se mai poate lupta.

Ce inseamna asta?

Toate CA-urile care foloseau MD5 s-au mutat rapid pe SHA1.Era si timpul pentru ca coliziunile in MD5 au fost dovedite in 2004 iar primul atac teoretic impotriva certificatelor SSL a fost facut public in 2007.
E bina ca atunci cind cumpatati un certificat SSL sa verificati ca algoritmul de hash-ing folosit de CA este cel putin SHA1 si ca „serial number”-ul are o valoare cu adevarat aleatoare.

Pentru cei care doresc sa aprofundeze intreg articolul este aici.

Acum exista si oficial. Poti cumpara propriul tau 0-day. Frima Wabisabilab ofera o platforma de licitatie pentru exploit-uri. Cu 500 de EUR poti cumpara un exploit pentru PhpMyAdmin sau daca te tine buzunarul dai 5000 de EUR pentru un exploit de SAP GUI. Hmmmm….cine o fii oare in spatele acestei firme care din intimplare are sediul in Elvetia? Voi ce parere aveti?

Cum anuntam acum ceva timp, la Black Hat 2007 si Defcon 15 HD Moore & Valsmith  au avut o prezentare interesanta despre alte moduri in care poti obtine conturi de administrator, atunci cind exploit-urile au esuat. Insa pentru a folosi toate feature-urile prezentate acolo cum ar fii modulul SMB_RELAY trebuie sa folositi svn-ul pentru a aduce versiunea trunk a framework-ului

$ svn co http://metasploit.com/svn/framework3/trunk/ msf3-trunk
$ ./msf3-trunk/msfconsole

Have fun.

Steve Orrin The SOA/XML Threat Modeling.

O prezentare foarte buna despre atacurile din lumea XML si a serviciilor web. Atacurile care au luat amploare pare a fi XML schema abuse. O prezentare foarte buna.

Dan Kaminsky Black Ops 2007.

Omul care a impachetat trafic DNS in trafic DNS, pune in aplicare o alta gluma a sa IP over SPAM. Astepta-ti inregistrarea pe site-ul de la DefCon. Merita vazuta.

Panel Internet War.

Concluziile directorului „Internet Storm Center”: Atacurile devin din ce in ce mai specifice si directionate catre indivizi sau grupuri de useri si incep sa combine lumea reala cu cea virtuala. Cum?. Unul dintre ultimii trojan-i chinezi fura identitati pentru a crea muncitori in jocul Warcraft care extrag aur , ce era apoi vindut in lumea reala. Modalitate frumoasa de a spala bani.

Dan Habbard Honeyjax

Porind de la comceptul de Honeypot, Honeyjax-urile sint programe care sint folosite in site-urile de genul myspace.com sau linkedin.com pentru a detecta boot-urile ce au ca target furturi de identitati. Programele resprective sint in stare sa initieze contacte sau sa accepte contacte si sa raspunda la mesaje.

Avis Raff – Widgets and Gadgets,

Vista vine cu ele, iGoogle se bazeaza pe ele. Elemente care infrumuseteaza paginile dar care aduc si insecuritate. Exemple de exploi pentru vista folosind un widgets si cum se poate cred un trojan care sa citeasca mail-urile de la Google bazat pe Widgets.

Brendon O’Conner Internet Banking in USA.

Presentarea a fost buna dar a fost specifica sistemului bancar american . Bine ca lumea nu copiaza America in privinta modalitatilor de combatere a phising-ului.

Concluzie

O editie foarte buna unde a cistigat la CTF (Capture the Flag) 1@stplace. Lumea incearca sa redefineasca conceptul de exploiting, indepartindu-se de OS exploiting si concentringu-se pe aplicatii.

Analyzing Intrusions and Intruders (Sean Bodmer).

Pornind de la metodele existente in tipologie si victimologie, folosite in invetigatiile criminale, se pot crea profiluri pentru atacuri si atacatori pentru a intelege de ce s-a intimplat, cu ce tipuri de atacuri ai de-a face si mai ales tipuri de date care sint interesante pentru atacatori. Aceste profiluri se pot folosi in threat modeling si pentru a dezvolta stategii de protectie a datelor.
Z-Phone Phillip Zimmermannn, creatorul PGP-ului,

a prezentat z-phone (zphoneprojet.com) (DH 3000 AES-128) Deamon care cripteaza comunicatii intre clienti VoIP pentru Windows, Linux sau MacOS (ichat sau ghismo) dar nu si skype care este prea neconform pentru a functione. .SDk-ul va fii opensouce pentru a putea fii integrat in orice VoIP soft. Draft-ul pentru protocol ZRTP folosit de ZPhone a fost submitit la IEFF pentru a fii inclus in RFC.

Coolest Hack.

Toti cei care au venit la conferinta si au folosit CD-ul Backtrack au fost p0wned in mai putin de 60 de secunde, pentru ca driver-ul Broadcom care este inclus in CD este exploitable.

Coole thinks to see or have.

  • Defcon Badge.
  • Cartea de vizita a lui Kevin Mitnick, care este de fapt o folie de tabla stantata si poate fi folosita in caz de urgenta ca trusa pentru deschis lacate.
  • Hard Rock Cafe, vineri seara intre 7 si 11pm.

Va urma o continuare despre prezentare lui HDMore. si alte prezentari la fel de interesante sau mai putin interesante.

Nu a trecut mult si iTunes-DRM-Knacker Jon Lech Johansen a anuntat in blogul sau o modalitate de activare a ipod-ului si conexiunii wireless fara a fi nevoie de activarea la AT&T. Oricum pina acum nu este posibil sa se folosesca telefonul fara activare, dar cine stie. Cool hack.

Uitindu-ma ieri dupa „Linkin Park” am avut parte de unul din cele mai interesante mesaje de „500 Internal Server Error” vazute vreodata. Ingeniosi baietii de la Youtube, pentru ca au gasit o metoda de a permite mesaje de eroare care totusi sa nu poata fi folosite pentru un viitor atac. Ma intreb oare ce algoritm de cripare au folosit, ca base64 nu e ;-)? Voi ce ziceti?

Youtube 500 Internal server Error

Echipa de la WordPress a anuntat ca pe data de 2.03.2007 , un cracker a obtinut „user privileges” pe unul din serverele WordPress si a compromis codul sursa al versiunii 2.1.1. Alterarea codului sursa a versiunii 2.1.1 consta in introducerea unei posibilitati de PHP remote command execution in fisierele „theme.php” si „feed.php”. Echipa wordpress a fost nevoita sa invalideze si sa declare compromise sursele de la 2.1.1. Pentru cei care au facut saltul la versiunea mai sus mentionata este recomandat sa se treaca la versiunea 2.1.2 a carui cod a fost revizuit si autorizat. Intreaga stire poate fi citita aici.

Azi am dat peste un articol foarte interesant a lui Amit Klein in Securityfocus in care face o afirmatie foarte transanta „NTLM is insecure by design„. De ce merita citit? Pentru ca in NTLM ca schema de autentificare nu este nesigura, dar in mai toate companiile schema „NTLM authetication + Proxy Server” este implementata fara a lua in considerare problemele de securitate. Wie schade, cum zice fiica mea:-). Sau poate nu?

Anurag Agarwal a facut public pe blogul lui codul sursa impreuna cu explicatiile necesare pentru a construi un sniffer de parole pentru aplicatii care au la baza AJAX. Idea originala a fost descrisa prima data de Stefano Di Paola in paper-ul „Subverting AJAX”prezental la a 23-a conferinta a „Chaos Communication Congress ” in Berlin. Idei interesante pe care merita sa va arunca-ti privirea.

Long time no see. 🙂

Sistemele multiprocesor nu mai sint un lux in ziua de azi . Chiar si in rindul noilor laptop-uri un procesor core 2 a devenit standard. Atunci de ce sa nu poata fi folosite aceste sisteme si pentru lucruri mai interesante cum ar fi „John the Ripper multiprocessor”? Bazat pe un proiect de implemetare a Message-Parsing-Interface, MPICH2 i-a oferit puntul de pornire lui John Anderson pentru a dezvolta varianta multiprocesor pentru John the Ripper. Patch-ul pentru anumite tipuri de parole pare sa nu fie optimal dar pe ansamblu implementarea este buna. Si pentru a duce mai departe ideea cei de la remote-exploit.org au pus la punct o versiune de BackTrack CD care permite unui calculator ca participe intr-un cluster „John the Ripper”. Have fun!

Ce este „la Fonera”? Compania FON s-a hotarit print-un concept nou sa creeze cea mai mare retea de wireless din lume. Principiul este simplu. Tu vii cu legatura de internet si devenind membru la Fon, primesti gratuit un wireless access-point. Ce vei da tu in schimb este dreptul ca si alti membri ai retelei sa se conecteze la aceess-point-ul tau si sa il foloseasca. Exista posibilitatea de a interoga baza de date a firmei si in functie de locul unde te duci, sa afli ce „Foneros” pun la dispozitie legatura lor la internet. Cu toate ca sistemul pus la dispozitie de FON este un sistem unde utilizatorul nu are access decit la o interfata de web unde poate seta SSID-ul si parola pentru WPA, Stefan Tomanek a reusit sa gaseasca un bug in modul in care access point-ul functioneaza si sa publice un exploit, care permite oricarui sa injecteze comanzi in access-point-ul „La Fonera”. Principiul este simplu si se bazeaza pe modul in care se face escaping in bash. Citeodata poate fii atit de simplu. :-)). Articolul intreg poate fi gasit aici .

Mai 2017
L M M M V S D
« Mar    
1234567
891011121314
15161718192021
22232425262728
293031