Ведущий: леди и джентльмены, это выступление очень забавное и очень интересное, сегодня мы собираемся поговорить о реальных вещах, которые наблюдаются в интернете. Этот разговор немного отличается от тех, к которым мы привыкли на конференциях Black Hat, потому что мы собираемся поговорить о том, как атакующие зарабатывают деньги на своих атаках.

Мы покажем вам несколько интересных атак, которые могут принести прибыль, и расскажем об атаках, которые действительно имели место в ту ночь, когда мы перебрали «Егермейстера» и проводили мозговой штурм. Это было весело, но когда мы немного протрезвели, то поговорили с людьми, занимающимися SEO, и действительно узнали, что множество людей зарабатывают деньги на этих атаках.

Я всего лишь безмозглый менеджер среднего звена, поэтому уступаю своё место и хочу вам представить Джереми и Трея, которые намного умней меня. У меня должно было бы быть умное и весёлое введение, но его нет, так что вместо него я покажу эти слайды.

На экране демонстрируются слайды, представляющие Джереми Гроссмана и Трея Форда.
Джереми Гроссман – основатель и главный технический директор компании WhiteHat Security, в 2007 году был назван в числе 25 лучших CTO по классификации InfoWorld, сооснователь консорциума Web Application Security Consortium и соавтор атак межсайтового скриптинга.

Трей Форд – директор департамента архитектурных решений WhiteHat Security, имеющий 6-летний опыт консультанта по безопасности компаний из списка Fortune 500, один из разработчиков стандарта безопасности данных платёжных карт PCI DSS.

Я думаю, эти картинки компенсируют мой недостаток юмора. В любом случае надеюсь, вам понравится их выступление, после которого вы поймёте, как эти атаки используются в интернете для того, чтобы заработать деньги.

Джереми Гроссман: добрый день, спасибо всем за то, что пришли. Это будет очень веселый разговор, хотя вы не увидите атаку нулевого дня или новые крутые технологии. Мы просто постараемся занимательно рассказать о реальных вещах, которые ежедневно происходят и позволяют плохим парням «наварить» много денег.



Мы не стремимся поразить вас тем, что показано на этом слайде, а просто объясним, чем занимается наша компания. Итак, White Hat Sentinel, или «Страж Белая Шляпа» это:

  • неограниченное количество оценок – контроль и экспертное управление клиентскими сайтами, возможность сканировать сайты независимо от их размера и частоты изменений;
  • широкая сфера охвата – авторизованное сканирование сайтов для обнаружения технических уязвимостей и пользовательское тестирование для выявления логических ошибок неохваченных сфер бизнеса;
  • исключение ложных позитивных результатов – наша оперативная группа проверяет результаты и назначает соответствующую степень серьезности и рейтинг угроз;
  • разработка и контроль качества – система WhiteHat Satellite Appliance позволяет нам удалённо обслуживать системы клиентов через доступ к внутренней сети;
  • улучшение и усовершенствование – реалистичное сканирование позволяет быстро и эффективно обновлять систему.

Итак, мы проводим аудит любых сайтов в мире, у нас имеется крупнейшая команда пентестеров веб-приложений, еженедельно мы выполняем 600-700 оценочных тестирований, и все данные, которые вы увидите в этой презентации, взяты из нашего опыта выполнения работ такого типа.
На следующем слайде вы видите 10-ку самых распространённых типов атак на мировые сайты. Здесь показан процент уязвимости к определённым атакам. Как видно, 65% всех сайтов уязвимы для межсайтового скриптинга, 40% позволяют утечку информации, 23% уязвимы к подмене контента. Кроме межсайтового скриптинга, распространены SQL–инъекции и пресловутая подделка межсайтовых запросов, которая не вошла в нашу десятку. Зато в этом списке имеются атаки с эзотерическими названиями, для описания которых используются расплывчатые формулировки и специфика которых заключается в том, что они направлены против определённых компаний.



Это недостатки аутентификации, недостатки процесса авторизации, утечки информации и так далее.

На следующем слайде говорится об атаках на бизнес-логику. Группы QA, занимающиеся обеспечением качества, обычно не обращают на них внимания. Они тестируют то, что программное обеспечение должно делать, а не то, что оно может сделать, и тогда вы можете увидеть всё, что угодно. Сканеры, все эти White/Black/Grey Boх, (белые/чёрные/серые коробки), все эти разноцветные коробки не в состоянии обнаружить эти вещи в большинстве случаев, потому что просто зациклены на контексте того, какой может быть атака или на что бывает похоже, когда она происходит. У них недостаток интеллекта и они не знают, работало что-либо вообще или нет.

То же самое касается систем обнаружения вторжений IDS и файрволов уровня приложений WAF, которые также не в состоянии обнаружить недостатки бизнес-логики, потому что HTTP-запросы выглядят совершенно нормально. Мы покажем вам, что атаки, связанные с недостатками бизнес-логики, возникают совершенно закономерно, здесь нет никаких хакеров, никаких метасимволов и прочих странностей, они выглядят закономерно протекающими процессами. Самое главное в том, что плохие парни любят такие вещи, потому что недостатки бизнес-логики приносят им деньги. Они используют XSS, SQL, CSRF, но осуществлять атаки такого типа становится всё сложнее, и мы видим, что за последние 3-5 лет их стало меньше. Но они не исчезнут сами собой, как никуда не денется переполнение буфера. Однако плохие парни думают, как использовать более изощрённые атаки, потому что считают, что «реально плохие парни» всегда стремятся заработать на своих атаках.

Я хочу продемонстрировать вам реальные трюки, и вы можете взять их себе на вооружение, чтобы использовать правильным образом для защиты своего бизнеса. Другой целью нашей презентации является то, чтобы вы, возможно, задались вопросами этики.



Онлайн-опросы и голосования


Итак, в начале обсуждения недостатков бизнес-логики поговорим об онлайн-опросах. Интернет-опросы являются самым распространённым способом выяснить общественное мнение или повлиять на него. Мы начнём с прибыли в 0 долларов и затем рассмотрим итог 5, 6, 7 месяцев использования мошеннических схем. Давайте начнём с проведения очень-очень простого опроса. Вы знаете, что онлайн-опросы проводит каждый новый сайт, каждый блог, каждый новостной портал. При этом ни одна ниша не является слишком большой или слишком узкой, но мы хотим увидеть общественное мнение в конкретных областях.

Я бы хотел заострить ваше внимание на одном опросе, проведенном в Остине, штат Техас. Так как бигль из Остина победил на Вестминстерской выставке собак, газета Austin American Statesman решила провести онлайн-опрос Austin's Best in Show (лучший представитель породы) для владельцев собак центрального Техаса. Тысячи владельцев отправили фотографии и проголосовали за своих любимцев. Как и во множестве других опросов, здесь не было никакого приза, кроме права похвастаться своим питомцем.

Для голосования было использовано приложение системы Web 2.0. Вы кликали «да», если вам нравилась собака, и узнавали, лучшая ли это собака в породе или нет. Таким образом, вы голосовали на несколько сотен собак, размещенных на сайте в качестве кандидатов на победителя шоу.

При таком способе голосования были возможны 3 вида читерства. Первый – это бесчисленное голосование, когда вы снова и снова голосуете за одну и ту же собаку. Это очень просто. Второй способ – это отрицательное многократное голосование, когда вы голосуете огромное число раз против собаки-конкурента. Третий способ заключался в том, что буквально в последнюю минуту конкурса вы размещали новую собаку, голосовали за неё, так что возможность получить негативные голоса была минимальной, и вы выигрывали, получив 100% положительных голосов.



Причем победа определялась в процентах, а не по общему числу голосов, то есть вы не могли определить, какая из собак набрала максимальное количество положительных оценок, просчитывался лишь процентаж положительных и отрицательных оценок по конкретной собаке. Выигрывала собака с лучшим соотношением положительные/отрицательные оценки.

Подруга коллеги Роберта «RSnake» Хансена попросила его помочь её чихуахуа Тайни выиграть конкурс. Вы знаете Роберта, он из Остина. Он, как супер-хакер, заделал Burp-прокси и пошёл путём наименьшего сопротивления. Он использовал технику читерства №1, прогнав это через цикл Burp несколько сотен или тысяч запросов, и это принесло собачке 2000 положительных голосов и вывело её на 1 место.



Далее он использовал технику читерства №2 против конкурентки Тайни по кличке Чучу. В последние минуты конкурса он подал 450 голосов против Чучу, что ещё более укрепило положение Тайни на 1 месте с соотношением голосов более чем 2:1, однако в процентном соотношении положительных и отрицательных отзывов Тайни всё равно проиграла. На этом слайде вы видите новое лицо киберпреступника, обескураженного таким итогом.



Да, это был интересный сценарий, но думаю, что подружке не понравилось это представление. Вы просто хотели выиграть на конкурсе чихуахуа в Остине, но нашёлся кто-то, кто пытался вас «хакнуть» и сделать то же самое. Что же, теперь я передаю слово Трею.

Создание искуственного спроса и заработок на этом


Трей Форд: понятие «исскуственный дефицит DoS» относится к нескольким различным интересным сценариям, когда мы покупаем билеты онлайн. Например, при бронировании особого места на авиарейс. Это может касаться любых типов билетов, например, на какое-то спортивное мероприятие или на концерт.



Для того, чтобы предотвратить неоднократную покупку дефицитных вещей, типа мест в самолёте, физических предметов, имён пользователей и т.д., приложение блокирует объект в течение некоторого периода времени для предотвращения конфликтов. И здесь возникает уязвимость, связанная с возможностью заранее что-либо зарезервировать.

Все мы знаем о тайм-ауте, все знаем о завершении сессии. Но этот конкретный логический недостаток позволяет нам выбрать место на авиарейс и затем вернуться, чтобы сделать выбор ещё раз, ничего не платя. Наверняка многие из вас часто вылетают в командировки, а для меня это существенная часть работы. Мы проверили этот алгоритм во многих местах: вы выбираете рейс, выбираете место, и только после того, как вы будете готовы, вводите платёжную информацию. То есть после того, как вы выбрали место, оно резервируется за вами на некоторый промежуток времени – от нескольких минут до нескольких часов, и всё это время никто больше не может забронировать это место. Из-за этого периода ожидания у вас появляется реальная возможность зарезервировать все места в самолёте, просто вернувшись на сайт и забронировав те места, какие захотите.

Таким образом, появляется вариант DoS-атаки: автоматически повторять данный цикл для каждого места в самолёте.



Мы проверили это минимум на двух крупнейших авиакомпаниях. Ту же самую уязвимость вы можете обнаружить при любом другом бронировании. Это прекрасная возможность задрать цены на свои билеты для тех, кто хочет их перепродать. Для этого спекулянтам просто достаточно забронировать остальные билеты без всякого риска денежных потерь. Вы можете таким образом «обвалить» электронную коммерцию, продающую продукты повышенного спроса — видеоигры, игровые консоли, «Айфоны» и так далее. То есть имеющийся недостаток онлайн-системы бронирования или резервирования даёт возможность злоумышленнику заработать на этом деньги или нанести ущерб конкурентам.

Дешифровка капчи


Джереми Гроссман: теперь поговорим о капче. Все знают эти раздражающие картинки, которые засоряют собой интернет и используются для борьбы со спамом. Потенциально из капчи тоже можно извлечь прибыль. Капча – это полностью автоматизированный тест Тьюринга, позволяющий отличить реального человека от бота. Я обнаружил много интересного, изучая вопрос использования капчи.



Капчу впервые стали использовать примерно в 2000-2001 годах. Спамеры хотят устранить капчу, чтобы зарегистрироваться на бесплатных почтовых сервисах Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook и т.д. и рассылать спам. Поскольку капча используется достаточно широко, появился целый рынок услуг, предлагающих обойти вездесущую капчу. В конечном счёте это приносит прибыль – примером может служить рассылка спама. Обойти капчу можно 3-я способами, давайте их рассмотрим.

Первое – это изъяны реализации идеи, или недостатки в сфере использования капчи.
Так, ответы на вопросы содержат слишком мало энтропии, типа «напишите, чему равно 4+1». Те же самые вопросы могут многократно повторяться, при этом диапазон возможных ответов достаточно мал.

Эффективность капчи проверяется таким образом:

  • тест должен проводиться в условиях, когда человек и сервер удалены друг от друга,
    тест не должен быть трудным для человека;
  • вопрос должен быть таким, чтобы человек смог ответить на него в течение нескольких секунд,
    отвечать должен только тот, кому задан вопрос;
  • ответ на вопрос должен представлять трудность для компьютера;
  • знание предыдущих вопросов, ответов или их сочетание не должно влиять на предсказуемость следующего тестирования;
  • тест не должен дискриминировать людей с нарушениями зрения или слуха;
  • тест не должен обладать географическим, культурным или языковым уклоном.

Как выясняется, создать «правильную» капчу довольно трудно.

Второй недостаток капчи – это возможность использования оптического распознавания символов OCR. Кусок кода способен прочитать картинку капчи независимо от того, сколько визуального шума она содержит, увидеть, какие буквы или цифры её формируют, и автоматизировать процесс распознавания. Исследования показали, что большинство капч можно легко взломать.

Я приведу цитаты специалистов Школы компьютерных наук Университета Ньюкасла, Великобритания. О легкости взлома капчи Microsoft они говорят так: «наша атака смогла обеспечить успешность сегментации 92%, это подразумевает, что схема MSN-капчи может быть взломана в 60% случаев путём сегментации изображения с его последующим распознаванием». Настолько же легким был взлом капчи Yahoo: «наша вторая атака достигла успеха сегментации 33,4%. Таким образом, может быть взломано около 25,9% капчи. Результаты наших исследований показывают, что спамерам никогда не стоит использовать дешевый человеческий труд, чтобы обойти капчу Yahoo, скорее, им нужно полагаться на недорогую автоматизированную атаку".

Третий способ обхода капчи носит название «Механический турок», или «Турок». Мы испытали его против капчи Yahoo сразу же после публикации, и по сегодняшний день мы не знаем, и никто не знает, как защититься от такой атаки.



Это случай, когда у вас есть плохой парень, который будет вести сайт «для взрослых» или онлайн-игру, откуда пользователи запрашивают какой-то контент. Прежде чем они смогут увидеть следующую картину, сайт, которым владеет хакер, сделает бэк-энд запрос к знакомой вам онлайн системе, скажем, Yahoo или Google, захватит оттуда капчу и подсунет её пользователю. И как только пользователь ответит на вопрос, хакер отправит отгаданную капчу на целевой сайт и покажет пользователю запрошенную картинку со своего сайта. Если у вас очень популярный сайт с большим количеством интересного контента, вы можете мобилизовать целую армию людей, которые автоматически станут заполнять для вас чужие капчи. Это очень мощная вещь.

Однако не только люди стараются обойти капчи, этот приём использует и бизнес. Роберт «RSnake» Хансен в своём блоге как-то общался с одним румынским «решателем капчи», который рассказал, что он может решать от 300 до 500 капчей в час при ставке от 9 до 15 долларов за тысячу разгаданных капчей.



Он прямо говорит, что члены его команды работают по 12 часов в день, решая за это время около 4800 капчей, и в зависимости от того, насколько трудны капчи, могут получать за свой труд до 50 долларов в день. Это было интересным сообщением, но ещё больший интерес представляют комментарии, которые пользователи блога оставили под этим сообщением. Немедленно появилось сообщение из Вьетнама, где некий Кванг Хунг сообщал о своей группе из 20 человек, которая согласна работать по 4$ за 1000 отгаданных капчей.

Следующее сообщение было из Бангладеш: «Привет! Надеюсь, с вами всё в порядке! Мы – лидирующая процессинговая компания из Бангладеш. В настоящее время 30 наших операторов способны решить более 100000 капчей в день. Мы предлагаем отличные условия и низкую ставку – 2$ за 1000 отгаданных капчей с сайтов Yahoo, Hotmail, Mayspace, Gmail, Facebook и т.д. Надеемся на дальнейшее сотрудничество».

Ещё одно интересное сообщение прислал некий Бабу: «Меня заинтересовала эта работа, пожалуйста, позвоните мне по телефону».

Так что это довольно интересно. Мы можем обсуждать, насколько легальна или нелегальна такая деятельность, но факт состоит в том, что люди реально на этом зарабатывают.

Получение доступа к чужим аккаунтам


Трей Форд: следующий сценарий, о котором мы поговорим – это зарабатывание денег благодаря завладению чужим аккаунтом.



Все забывают пароли, и для тестирования безопасности приложений сброс паролей и онлайн-регистрация представляют собой два разных целенаправленных бизнес-процесса. Существует большой разрыв между простотой сброса пароля и простотой регистрации, поэтому нужно стремиться к максимальному упрощению процесса сброса пароля. Но если мы пытаемся упростить его, возникает проблема, потому что чем проще сбросить пароль, тем меньше безопасности.

Одно из самых громких дел касалось онлайн-регистрации с использованием сервиса верификации пользователей Sprint. Два члена команды White Hat использовали Sprint для онлайн-регистрации. Там имеется пара вещей, которые вы должны подтвердить, чтобы доказать, что вы – это вы, начиная с такой простой информации, как номер вашего мобильного телефона. Онлайн-регистрация нужна вам для таких вещей, как управление банковским счётом, оплаты услуг и так далее. Покупка телефонов очень удобна, если вы можете сделать её с чужого аккаунта и затем совершать покупки и делать многое другое. Один из вариантов мошенничества – это поменять платёжный адрес, заказать доставку целой кучи мобильных телефонов на свой адрес, а жертва будет вынуждена за них заплатить. О такой возможности мечтают и маньяки-преследователи: добавить в телефоны своих жертв функцию GPS-трекинга и отслеживать каждое их движение с любого компьютера.

Итак, Sprint предлагает несколько самых простых вопросов для подтверждения вашей особы. Как мы знаем, безопасность можно обеспечить либо очень широким диапазоном энтропии, либо узкоспециализированными вопросами. Я зачитаю вам часть регистрационного процесса Sprint, потому что энтропия здесь очень мала. Например, есть такой вопрос: «выберите марку автомобиля, зарегистрированную по следующему адресу», и указаны варианты марок: Lotus, Honda, Lamborghini, Fiat и «ничего из перечисленного». Скажите, кто из вас, ребята, имеет хоть что-то из вышеперечисленного? Как видите, эта сложнейшая головоломка — просто отличная возможность для студента колледжа обзавестись дешёвыми телефонами.

Второй вопрос: «кто из перечисленных людей проживает с вами или проживает по приведённому ниже адресу»? Ответить на этот вопрос очень легко, даже если вы вообще не знаете этого человека. Джерри Стайфлиин (Stifliin) — в этой фамилии имеется три буквы «ай», мы вернёмся к этому через секунду, — Ральф Арген, Джером Поники и Джон Пейс. В этом перечислении интересно то, что приведены абсолютно случайные имена, и все они подвержены одинаковой закономерности. Если вы её вычислите, то вам не составит никакого труда определить подлинное имя, потому что оно отличается от случайно выбранных имён чем-то характерным, в данном случае тремя буквами «i». Таким образом, Стайфлиин – явно не случайное имя, и это легко отгадать, этот человек и есть ваша цель. Это очень и очень просто.

Третий вопрос: «в каком из перечисленных городов вы никогда не жили или никогда не использовали этот город в своём адресе?» — Лонмонт (Longmont), Северный Голливуд (North Hollywood), Геноа (Genoa) или Бьют (Butte)? У нас имеется три густонаселённых района вокруг Вашингтона, поэтому ответ очевиден – это Северный Голливуд.

В онлайн-регистрации Sprint имеется пара вещей, к которым нужно относиться с собой аккуратностью. Как я уже говорил, вы можете серьёзно пострадать, если злоумышленник сможет изменить адрес доставки покупок в вашей платёжной информации. Что действительно пугает, это то, что у нас имеется сервис «Мобильный локатор».



С его помощью вы можете отследить перемещения своих сотрудников, так как люди используют мобильные телефоны и GPS и вы сможете увидеть на карте, где они находятся. Итак, при этом процессе происходят и другие довольно интересные вещи.

Как известно, при осуществлении сброса пароля электронный почтовый адрес преобладает над другими способами верификации пользователя и секретными вопросами. На следующем слайде приведено множество сервисов, которые предлагают указать свой электронный почтовый ящик, если пользователь испытывает трудности со входом в свой аккаунт.



Мы знаем, что большинство людей пользуется электронной почтой и имеет почтовый аккаунт. Внезапно люди захотели найти способ, как можно заработать на этом деньги. Вы всегда узнаете адрес электронной почты жертвы, введёте его в форму, и у вас появится возможность сбросить пароль для учётной записи, которой вы хотите манипулировать. Затем вы используете его в своей сети, и этот почтовый ящик станет вашим золотым хранилищем, главным местом, откуда вы сможете украсть все остальные аккаунты жертвы. Вы получите всю подписку жертвы, завладев всего лишь одним почтовым ящиком. Перестаньте улыбаться, это серьёзно!

На следующем слайде приведены данные, сколько миллионов людей пользуются соответствующими почтовыми сервисами. Люди активно используют Gmail, Yahoo Mail, Hotmail, AOL Mail, но вам не нужно быть супер-хакером, чтобы захватывать их аккаунты, вы можете сохранить свои руки чистыми, использовав аутсорсинг. Вы всегда сможете сказать, что не при чём, вы ничего такого не делали.



Так, в Китае базируется онлайн-сервис «Восстановление пароля», где вы платите за то, чтобы они взломали «ваш» аккаунт. За 300 юаней, это примерно $43, вы можете попытаться сбросить пароль зарубежного почтового ящика с вероятностью успеха 85%. За 200 юаней, или $29, вам с успехом 90% сбросят пароль почтового ящика домашнего почтового сервиса. Тысячу юаней, или $143 стоит взлом почтового ящика любой компании, но успех при этом не гарантируется. Вы также можете использовать аутсорсинг для взлома паролей на сервисах 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN и т.д.



Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 2 (ссылка будет доступна завтра)

Немного рекламы :)


Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Комментарии (1)


  1. gecube
    30.11.2019 00:53

    Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 2 (ссылка будет доступна завтра)

    Позвольте поинтересоваться — где?