Архив рубрики: Sercurity

Демонстрация работы vkmitm

Как это работает?

proof доступен по следующей ссылке — https://github.com/HeadLightSecurity/vkmitm

Почему это работает?

Некоторые приложения, в том числе и официальное приложение VK под Android по умолчанию не использует защищенное соединение HTTPS для передачи данных. В качестве примера под IOS можно взять второе по популярности приложение — vFeed, которое так же передает пользовательские данные в открытом виде. Для демонстрации на видео были взяты именно эти приложения с дефолтовыми настройками, с которыми их используют рядовые пользователи. Так же некоторые пользователи по-прежнему используют устаревшие версии приложений, в которых даже нет возможности включить защищенный протокол SSL. В качестве примера такого приложения можно привести «Вконтакте 2», который успешно «подсасывается» пользователям современных iphone/ipad, если они использовали его в прошлом.

Как это исправить?

Использовать официальные приложения VK с настройками «Всегда использовать защищенное соединение (HTTPS)» (устанавливается через браузер и в мобильных приложениях, в частности, в приложениях для Android).

Автор:
Дата публикации:

Перехват сообщений ВКонтакте с мобильных устройств

Эксперт компании HeadLight Security Михаил Фирстов обнаружил фичу в популярной социальной сети «ВКонтакте«. Выявленный недостаток защищенности позволяет перехватывать личные сообщения пользователей, при атаке, известной как «человек посередине» (Man-in-The-Middle).
Для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm, которая позволяет обрабатывать сообщения «ВКонтакте» из трафика в режиме реального времени или офлайн из PCAP-файла.
Михаил Фирстов — эксперт группы тестирования на проникновение HeadLight Security. С 15 лет выступает на крупнейших конференциях по информационной безопасности — PHDays, Defcon Moscow, Zeronights. Один из последних его докладов, прозвучавших на десятой встрече Defcon Moscow,  был посвящён уязвимостям современных роутеров и модемов (ссылка).

Автор:
Дата публикации:

Еще пару слов о безопасности Wi-Fi и мышеловках

Компания HeadLight Security продолжает знакомить пользователей с угрозами Wi-Fi. На этот раз Олег Купреев и Сергей Вишняков вместе с журналистами «Собеседника» зашли в кафе с бесплатной и на первый взгляд «защищенной» (то есть запароленной от посторонних) Wi-Fi-сетью. Для доступа к чужим конфиденциальным данным понадобились только ноутбук и Wi-Fi-роутер.
В ходе практического исследования эксперты по безопасности вывели в эфир поддельный хотспот, к которому вскоре автоматически подключились все пользователи беспроводной сети заведения. Для расшифровки платежной информации и реквизитов представителя «Собеседника» Виктории Савицкой, добровольно согласившейся на участие в эксперименте, Олегу потребовалось около получаса.
В зависимости от целей и используемого инструментария фальшивая точка доступа может носить имя публичной сети или копировать SSID из запросов конкретного пользователя. В последнем случае производится целевая атака, эксплуатирующая фичу запоминания сетей. Если пользователь дома подключается к хотспоту с именем Home, а на работе — с именем Work, то в кафе такой ноутбук или любое другое устройство будет эпизодически опрашивать эфир на предмет указанных  сетей — и, если такие сети найдутся, попытается установить с ними связь.
Для защиты своих данных Олег и Сергей рекомендовали пользователям при подключении к публичным точкам Wi-Fi прописывать в строке браузера перед названием сайта префикс «https://» и чаще менять пароли — и на разных ресурсах, и к разным приложениям придумывать совершенно разные комбинации. Актуальность последнего совета не стоит недооценивать, так как регулярные утечки пользовательской информации на примере таких крупных компаний, как Adobe или Ebay, позволяют получить доступ к чужим аккаунтам совсем далеким от хакерства людям.
Стоит отметить, что в 2015 году Mail.ru проводили опрос, согласно которому около двух трети пользователей почты используют тот же пароль и в социальных сетях (62%), 27% — в онлайн-магазинах, 25% — в дополнительном почтовом ящике.
Ранее компания HeadLight Security рассказывала о необходимых мерах предосторожности при использовании Wi-Fi зрителям Life News и читателям газеты «Аргументы и Факты«.
Ознакомиться с подробностями проведённого эксперимента можно на сайте «Собеседника» (ссылка). Используемый в ходе эксперимента инструментарий представлен на странице Олега Купреева в Github.
Сергей Вишняков является координатором московской группы DC7499 международной хакерской конференции Defcon. Недавно в здании факультета кибернетики МГУ состоялась десятая встреча группы, которая собрала более 150 специалистов по безопасности (подробнее).
Олег Купреев — постоянный спикер крупнейших конференций по информационной безопасности (BlackHatPHDaysZeroNightsDefcon Moscow). Презентация «Нестандартный MiTM в нестандартных условиях» его октябрьского доклада с Defcon Moscow находится по следующему адресу.

Автор:
Дата публикации:

Выступления экспертов HeadLight Security легли в основу программы DEFCON Moscow 0x0A

Эксперты HeadLight Security в лице Дмитрия Евтеева, Михаила Фирстова и Олега Купреева стали авторами трех из шести докладов на очередной встрече Defcon Moscow DC7499, которая состоялась 3 октября в здании ВМК МГУ. На мероприятии говорили о технических отличиях между пентестами и APT-атаками, о необычных MiTM-атаках, веб-уязвимостях роутеров, новых видах атак на банки, тестировании на проникновение «железа» и о многом другом. Десятая встреча группы, обозначаемая теперь в шестнадцатеричной системе как «0x0A», собрала более 150 человек.

APT – это очень длительный пентест

Технический директор HeadLight Security Дмитрий Евтеев в своем докладе «Pentest vs. APT» привел примеры наиболее примечательных APT-команд, зарабатывающих на сложных таргетированных атаках: специалистов по банкам из Carbanak, укравших более миллиарда долларов, и всем известных «Шалтай Болтай«, нацеленных на высокопоставленных российских чиновников. Процессы пентеста и APT похожи инструментально и методологически, разве что последние, естественно, не ограничены ни временными, ни и законодательными рамками.

Роутер – это решето

Михаил Фирстов на «танке» проехался по современным роутерам и модемам, отметив, что всем разработчикам этих устройств по всей видимости «плевать на безопасность».  В каждом первом девайсе встречаются уязвимости XSS, CSRF, RCE. В моделях от Yota можно столкнуться с полным отсутствием аутентификации, ASUS позволяет открыть исходный код страницы и посмотреть логин и пароль, недалеко от них ушли 4G-роутеры от МТС и устройства от Dlink.  При этом сами прошивки очень легко найти в сети Интернет и проанализировать на предмет различных уязвимостей, а элементарные гугл-дорки дают возможность хакеру, который даже не разбирается в SS7, попасть во внутреннюю сеть оператора и залить шелл. Резюме: роутер – это тот же сайт, и о его безопасности не стоит забывать.

Безопасность телекома на уровне 90-х

Олег Купреев в ходе своего выступления «Нестандартный MitM в нестандартных условиях» поделился своим 20-летним опытом изучения атак «человек посередине» и рассказал, что первую свою  MitM-атаку провёл с помощью «закладки» в антенну – чтобы посмотреть, во что играет его сосед. Эксперт HeadLight Security отметил, что развитие телекоммуникаций идет очень быстро, а безопасность в этой области осталась на уровне 90-х или того хуже, если вспомнить, что протоколы SS7 были придуманы 40 лет назад. Для погружения в тему Олег рекомендовал  изучить утилиту Scapy, которая позволяет реализовать множество подобных атак (ARP poising  и дрругих), и вслед за Михаилом Фирстовым посоветовал присмотреться к роутерам, особенно к таким уязвимым, как Zyxel Keenetic Giga II, и не пренебрегать поисковой системой shodan.

 

Остальные доклады также были крайне интересными. Стоит отметить яркое выступление Сергея Голованова, посвященное атакам на финансовые институты, глубоко хардкорное выступление Дмитрия Недоспасова, рассказавшего о тестировании на проникновение встраиваемых плат, а также доклад бывшего главреда журнала «Хакер» Никиты Кислицина, занимающегося сейчас очень любопытными расследованиями в Group-IB.
Спасибо координатору группы DC7499 Сергею Вишнякову за очередную отличную встречу! Видеозаписи выступлений организаторы планируют выложить в течение недели.

Автор:
Дата публикации:

HeadLight Security на "Первом канале": Клонируем социальную сеть для домохозяек

При подготовке к программе Первого канала главной темой для экспертов HeadLight Security стал фишинг: вид интернет-мошенничества, при котором атакующий заманивает пользователя на подконтрольный ему ресурс и заставляет поверить в его подлинность. Цель преступника проста — получить логины, пароли, карточные данные и другую конфиденциальную информацию, а в иных сценариях — заразить компьютер доверчивого пользователя вредоносным ПО. В самых простых случаях к фишингу можно отнести страницы «проверки безопасности банковских карт«, где пользователю открыто предлагают ввести все данные карты вместе с трехзначным кодом CVV, или такие сайты публичного сбора подписей вместе с персональными данными.
Фишинг не только хорошо автоматизируется, но и имеет явную российскую специфику: по статистике «Лаборатории Касперского», на жителей России пришлась почти каждая пятая фишинговая атака в мире (17,28%), что делает нас лидерами в этом невесёлом «сегменте». Согласно тому же исследованию ЛК, сегодня только 12% фишинговых ссылок приходится на электронную почту, в остальных случаях мошенники используют социальные сети, веб-приложения, Skype и т.п. В последние годы среди злоумышленников приобретает популярность голосовая разновидность фишинга — вишинг. Один из типичных примеров такой схемы атаки: мошенник запускает массовую SMS-рассылку с сообщением о блокировке банковской карты и ждет звонка от взволнованных клиентов банка. В некоторых сценариях жертву убеждают, что для разблокировки карты необходимо найти банкомат и ввести четырехзначный пинкод в меню «платежи и переводы». Пинкод при этом вводится в поле «Сумма».

Одна из распространённых разновидностей фишинга заключается в создании сайта-подделки, имитирующего страницу интернет-банка, почтового сервиса, социальной сети и других популярных ресурсов, на которых вводят чувствительные данные. При этом информация о безопасности соединения не всегда помогает пользователю. Широкую известность получил оригинальный метод для проведения социальной инженерии. Вредоносный фишинговый сайт переключает браузер в полноэкранный режим и рисует в верхней части сайта интерфейс браузера пользователя с произвольным URL вместе со значком защищенного соединения (http://feross.org/html5-fullscreen-api-attack/). К слову, данный вид фишинга по-прежнему остается популярным.
Чтобы продемонстрировать схему атаки с клонированием сайта, исследователи HeadLight Security зарегистрировали двойника популярной социальной сети «Одноклассники.ru» по адресу m.odnoklassnliki.ru. От настоящей мобильной версии сайта подделка отличалась лишней буквой «s», а копия сайта была создана за пару минут с использованием Social-Engineer Toolkit (SET) — набора инструментов, предназначенного для проведения устойчивости к атакам социальной инженерии. Сильное впечатление, произведенное на съемочную группу в ходе создание фишинг-сайта, — имело обратный эффект — продюсер программы решил не показывать сюжет во избежание популяризации социальной сети 🙂
Интересно, что наш поддельный сайт не был зарегистрирован в поисковых системах, однако привлек внимание со стороны систем мониторинга сетевого пространства. О результатах наблюдения мы расскажем в отдельном материале.

Ознакомиться с сюжетом Первого канала можно по следующей ссылке.

Автор:
Дата публикации:

Эксперимент LifeNews и HeadLight Security: как воруют данные через публичный Wi-Fi

Бесплатный Wi-Fi появился в метро, на автобусных остановках, в парках, кафе и ресторанах, а значит проблема защищенности таких сетей касается уже миллионов пользователей. Насколько легко мошенники могут украсть вашу переписку, пароли, фотографии? И как себя защитить?

 

Эксперт по информационной безопасности компании HeadLight Security Олег «0x90» Купреев и телеканал LifeNews провели практическое исследование, в ходе которого были продемонстрированы основные приемы злоумышленников для перехвата и модификации данных Wi-Fi-трафика.
Исследователь вместе с журналистами расположились в одном из элитных спортбаров Москвы, в котором десятки людей смотрели футбольный матч. Почти каждый из многочисленных посетителей подключался к бесплатному Wi-Fi: кто-то выкладывал селфи, кто-то переписывался в соцсетях с друзьями и совершал покупки через интернет. В этом заведении уверены — их гости полностью защищены от киберпреступников. По словам управляющей спортбара Надежды Ованесовой, в беспроводной сети используется тип шифрования WPA2, что полностью обеспечивает безопасность данных (ну да, конечно)).
Так ли все на самом деле? Примерно полторы минуты понадобилось эксперту HeadLight Security, чтобы взломать беспроводную сеть спортабара и получить доступ к интересующим его ноутбукам. В роли «жертв» выступали устройства съемочной группы LifeNews. Программное обеспечение, используемое для взлома, позволяет подменять или искажать WiFi-трафик, незаметно осуществлять слежку за пользователем через веб-камеру его ноутбука и делать различные забавные штуки — дистанционно переворачивать изображение на экране компьютера вверх ногами, включать музыку. Однако развлечения сетевым злоумышленникам малоинтересны, их главная задача — собрать компромат или данные банковских карт.
Подробности эксперимента смотрите в репортаже LifeNews:
Олег Купреев — постоянный спикер крупнейших конференций по информационной безопасности (BlackHat, PHDaysZeroNights, Defcon Moscow). Один из последних его докладов, прозвучавший на форуме PHDays V, был как раз посвящён уязвимостям беспроводных сетей (видео находится по этому адресу).
С инструментами, которые использовал Олег в ходе эксперимента, можно ознакомиться на странице исследователя в Githab.

Автор:
Дата публикации: