Архив метки: Безопасность

Перехват сообщений ВКонтакте с мобильных устройств

Эксперт компании HeadLight Security Михаил Фирстов обнаружил фичу в популярной социальной сети «ВКонтакте«. Выявленный недостаток защищенности позволяет перехватывать личные сообщения пользователей, при атаке, известной как «человек посередине» (Man-in-The-Middle).
Для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm, которая позволяет обрабатывать сообщения «ВКонтакте» из трафика в режиме реального времени или офлайн из PCAP-файла.
Михаил Фирстов — эксперт группы тестирования на проникновение HeadLight Security. С 15 лет выступает на крупнейших конференциях по информационной безопасности — PHDays, Defcon Moscow, Zeronights. Один из последних его докладов, прозвучавших на десятой встрече Defcon Moscow,  был посвящён уязвимостям современных роутеров и модемов (ссылка).

Автор:
Дата публикации:

Еще пару слов о безопасности Wi-Fi и мышеловках

Компания HeadLight Security продолжает знакомить пользователей с угрозами Wi-Fi. На этот раз Олег Купреев и Сергей Вишняков вместе с журналистами «Собеседника» зашли в кафе с бесплатной и на первый взгляд «защищенной» (то есть запароленной от посторонних) Wi-Fi-сетью. Для доступа к чужим конфиденциальным данным понадобились только ноутбук и Wi-Fi-роутер.
В ходе практического исследования эксперты по безопасности вывели в эфир поддельный хотспот, к которому вскоре автоматически подключились все пользователи беспроводной сети заведения. Для расшифровки платежной информации и реквизитов представителя «Собеседника» Виктории Савицкой, добровольно согласившейся на участие в эксперименте, Олегу потребовалось около получаса.
В зависимости от целей и используемого инструментария фальшивая точка доступа может носить имя публичной сети или копировать SSID из запросов конкретного пользователя. В последнем случае производится целевая атака, эксплуатирующая фичу запоминания сетей. Если пользователь дома подключается к хотспоту с именем Home, а на работе — с именем Work, то в кафе такой ноутбук или любое другое устройство будет эпизодически опрашивать эфир на предмет указанных  сетей — и, если такие сети найдутся, попытается установить с ними связь.
Для защиты своих данных Олег и Сергей рекомендовали пользователям при подключении к публичным точкам Wi-Fi прописывать в строке браузера перед названием сайта префикс «https://» и чаще менять пароли — и на разных ресурсах, и к разным приложениям придумывать совершенно разные комбинации. Актуальность последнего совета не стоит недооценивать, так как регулярные утечки пользовательской информации на примере таких крупных компаний, как Adobe или Ebay, позволяют получить доступ к чужим аккаунтам совсем далеким от хакерства людям.
Стоит отметить, что в 2015 году Mail.ru проводили опрос, согласно которому около двух трети пользователей почты используют тот же пароль и в социальных сетях (62%), 27% — в онлайн-магазинах, 25% — в дополнительном почтовом ящике.
Ранее компания HeadLight Security рассказывала о необходимых мерах предосторожности при использовании Wi-Fi зрителям Life News и читателям газеты «Аргументы и Факты«.
Ознакомиться с подробностями проведённого эксперимента можно на сайте «Собеседника» (ссылка). Используемый в ходе эксперимента инструментарий представлен на странице Олега Купреева в Github.
Сергей Вишняков является координатором московской группы DC7499 международной хакерской конференции Defcon. Недавно в здании факультета кибернетики МГУ состоялась десятая встреча группы, которая собрала более 150 специалистов по безопасности (подробнее).
Олег Купреев — постоянный спикер крупнейших конференций по информационной безопасности (BlackHatPHDaysZeroNightsDefcon Moscow). Презентация «Нестандартный MiTM в нестандартных условиях» его октябрьского доклада с Defcon Moscow находится по следующему адресу.

Автор:
Дата публикации:

Выступления экспертов HeadLight Security легли в основу программы DEFCON Moscow 0x0A

Эксперты HeadLight Security в лице Дмитрия Евтеева, Михаила Фирстова и Олега Купреева стали авторами трех из шести докладов на очередной встрече Defcon Moscow DC7499, которая состоялась 3 октября в здании ВМК МГУ. На мероприятии говорили о технических отличиях между пентестами и APT-атаками, о необычных MiTM-атаках, веб-уязвимостях роутеров, новых видах атак на банки, тестировании на проникновение «железа» и о многом другом. Десятая встреча группы, обозначаемая теперь в шестнадцатеричной системе как «0x0A», собрала более 150 человек.

APT – это очень длительный пентест

Технический директор HeadLight Security Дмитрий Евтеев в своем докладе «Pentest vs. APT» привел примеры наиболее примечательных APT-команд, зарабатывающих на сложных таргетированных атаках: специалистов по банкам из Carbanak, укравших более миллиарда долларов, и всем известных «Шалтай Болтай«, нацеленных на высокопоставленных российских чиновников. Процессы пентеста и APT похожи инструментально и методологически, разве что последние, естественно, не ограничены ни временными, ни и законодательными рамками.

Роутер – это решето

Михаил Фирстов на «танке» проехался по современным роутерам и модемам, отметив, что всем разработчикам этих устройств по всей видимости «плевать на безопасность».  В каждом первом девайсе встречаются уязвимости XSS, CSRF, RCE. В моделях от Yota можно столкнуться с полным отсутствием аутентификации, ASUS позволяет открыть исходный код страницы и посмотреть логин и пароль, недалеко от них ушли 4G-роутеры от МТС и устройства от Dlink.  При этом сами прошивки очень легко найти в сети Интернет и проанализировать на предмет различных уязвимостей, а элементарные гугл-дорки дают возможность хакеру, который даже не разбирается в SS7, попасть во внутреннюю сеть оператора и залить шелл. Резюме: роутер – это тот же сайт, и о его безопасности не стоит забывать.

Безопасность телекома на уровне 90-х

Олег Купреев в ходе своего выступления «Нестандартный MitM в нестандартных условиях» поделился своим 20-летним опытом изучения атак «человек посередине» и рассказал, что первую свою  MitM-атаку провёл с помощью «закладки» в антенну – чтобы посмотреть, во что играет его сосед. Эксперт HeadLight Security отметил, что развитие телекоммуникаций идет очень быстро, а безопасность в этой области осталась на уровне 90-х или того хуже, если вспомнить, что протоколы SS7 были придуманы 40 лет назад. Для погружения в тему Олег рекомендовал  изучить утилиту Scapy, которая позволяет реализовать множество подобных атак (ARP poising  и дрругих), и вслед за Михаилом Фирстовым посоветовал присмотреться к роутерам, особенно к таким уязвимым, как Zyxel Keenetic Giga II, и не пренебрегать поисковой системой shodan.

 

Остальные доклады также были крайне интересными. Стоит отметить яркое выступление Сергея Голованова, посвященное атакам на финансовые институты, глубоко хардкорное выступление Дмитрия Недоспасова, рассказавшего о тестировании на проникновение встраиваемых плат, а также доклад бывшего главреда журнала «Хакер» Никиты Кислицина, занимающегося сейчас очень любопытными расследованиями в Group-IB.
Спасибо координатору группы DC7499 Сергею Вишнякову за очередную отличную встречу! Видеозаписи выступлений организаторы планируют выложить в течение недели.

Автор:
Дата публикации:

HeadLight Security на "Первом канале": Клонируем социальную сеть для домохозяек

При подготовке к программе Первого канала главной темой для экспертов HeadLight Security стал фишинг: вид интернет-мошенничества, при котором атакующий заманивает пользователя на подконтрольный ему ресурс и заставляет поверить в его подлинность. Цель преступника проста — получить логины, пароли, карточные данные и другую конфиденциальную информацию, а в иных сценариях — заразить компьютер доверчивого пользователя вредоносным ПО. В самых простых случаях к фишингу можно отнести страницы «проверки безопасности банковских карт«, где пользователю открыто предлагают ввести все данные карты вместе с трехзначным кодом CVV, или такие сайты публичного сбора подписей вместе с персональными данными.
Фишинг не только хорошо автоматизируется, но и имеет явную российскую специфику: по статистике «Лаборатории Касперского», на жителей России пришлась почти каждая пятая фишинговая атака в мире (17,28%), что делает нас лидерами в этом невесёлом «сегменте». Согласно тому же исследованию ЛК, сегодня только 12% фишинговых ссылок приходится на электронную почту, в остальных случаях мошенники используют социальные сети, веб-приложения, Skype и т.п. В последние годы среди злоумышленников приобретает популярность голосовая разновидность фишинга — вишинг. Один из типичных примеров такой схемы атаки: мошенник запускает массовую SMS-рассылку с сообщением о блокировке банковской карты и ждет звонка от взволнованных клиентов банка. В некоторых сценариях жертву убеждают, что для разблокировки карты необходимо найти банкомат и ввести четырехзначный пинкод в меню «платежи и переводы». Пинкод при этом вводится в поле «Сумма».

Одна из распространённых разновидностей фишинга заключается в создании сайта-подделки, имитирующего страницу интернет-банка, почтового сервиса, социальной сети и других популярных ресурсов, на которых вводят чувствительные данные. При этом информация о безопасности соединения не всегда помогает пользователю. Широкую известность получил оригинальный метод для проведения социальной инженерии. Вредоносный фишинговый сайт переключает браузер в полноэкранный режим и рисует в верхней части сайта интерфейс браузера пользователя с произвольным URL вместе со значком защищенного соединения (http://feross.org/html5-fullscreen-api-attack/). К слову, данный вид фишинга по-прежнему остается популярным.
Чтобы продемонстрировать схему атаки с клонированием сайта, исследователи HeadLight Security зарегистрировали двойника популярной социальной сети «Одноклассники.ru» по адресу m.odnoklassnliki.ru. От настоящей мобильной версии сайта подделка отличалась лишней буквой «s», а копия сайта была создана за пару минут с использованием Social-Engineer Toolkit (SET) — набора инструментов, предназначенного для проведения устойчивости к атакам социальной инженерии. Сильное впечатление, произведенное на съемочную группу в ходе создание фишинг-сайта, — имело обратный эффект — продюсер программы решил не показывать сюжет во избежание популяризации социальной сети 🙂
Интересно, что наш поддельный сайт не был зарегистрирован в поисковых системах, однако привлек внимание со стороны систем мониторинга сетевого пространства. О результатах наблюдения мы расскажем в отдельном материале.

Ознакомиться с сюжетом Первого канала можно по следующей ссылке.

Автор:
Дата публикации:

Эксперимент LifeNews и HeadLight Security: как воруют данные через публичный Wi-Fi

Бесплатный Wi-Fi появился в метро, на автобусных остановках, в парках, кафе и ресторанах, а значит проблема защищенности таких сетей касается уже миллионов пользователей. Насколько легко мошенники могут украсть вашу переписку, пароли, фотографии? И как себя защитить?

 

Эксперт по информационной безопасности компании HeadLight Security Олег «0x90» Купреев и телеканал LifeNews провели практическое исследование, в ходе которого были продемонстрированы основные приемы злоумышленников для перехвата и модификации данных Wi-Fi-трафика.
Исследователь вместе с журналистами расположились в одном из элитных спортбаров Москвы, в котором десятки людей смотрели футбольный матч. Почти каждый из многочисленных посетителей подключался к бесплатному Wi-Fi: кто-то выкладывал селфи, кто-то переписывался в соцсетях с друзьями и совершал покупки через интернет. В этом заведении уверены — их гости полностью защищены от киберпреступников. По словам управляющей спортбара Надежды Ованесовой, в беспроводной сети используется тип шифрования WPA2, что полностью обеспечивает безопасность данных (ну да, конечно)).
Так ли все на самом деле? Примерно полторы минуты понадобилось эксперту HeadLight Security, чтобы взломать беспроводную сеть спортабара и получить доступ к интересующим его ноутбукам. В роли «жертв» выступали устройства съемочной группы LifeNews. Программное обеспечение, используемое для взлома, позволяет подменять или искажать WiFi-трафик, незаметно осуществлять слежку за пользователем через веб-камеру его ноутбука и делать различные забавные штуки — дистанционно переворачивать изображение на экране компьютера вверх ногами, включать музыку. Однако развлечения сетевым злоумышленникам малоинтересны, их главная задача — собрать компромат или данные банковских карт.
Подробности эксперимента смотрите в репортаже LifeNews:
Олег Купреев — постоянный спикер крупнейших конференций по информационной безопасности (BlackHat, PHDaysZeroNights, Defcon Moscow). Один из последних его докладов, прозвучавший на форуме PHDays V, был как раз посвящён уязвимостям беспроводных сетей (видео находится по этому адресу).
С инструментами, которые использовал Олег в ходе эксперимента, можно ознакомиться на странице исследователя в Githab.

Автор:
Дата публикации:

Дмитрий Евтеев в эфире LifeNews: "У Skype есть альтернативы"

Технический директор компании Headlight Security Дмитрий Евтеев в эфире LifeNews прокомментировал сегодняшний глобальный сбой в работе Skype, предположив, что виноваты не хакеры, а человеческий фактор, и порекомендовал переходить на другие системы виртуального общения, в частности, на отечественный Telegram.

«В последнее время набирает обороты такой сервис, как Telegram. К сожалению, сейчас он позволяет обмениваться только текстовой информацией, но такие события, как сегодняшние, говорят о том, что наши разработчики вполне могут занять эту часть рынка», — отметил Дмитрий Евтеев.
Напомним, что сегодня утром у многих пользователей Skype во всем мире наблюдались проблемы с отображением статуса списка контактов, в результате чего они не могли осуществлять звонки. В некоторых случаях не работали и текстовые сообщения. Проблемы были зафиксированы, как в полнофункциональной, так и в мобильной версиях Skype, тогда как веб-версия продолжала работать. Официальный Твиттер Skype Support признал наличие проблемы.
В последние годы у Skype возникают проблемы самого разного характера. В июне 2013 года было обнаружено, что злоумышленники активно используют брешь в Skype, позволяющую после 9 жалоб навсегда заблокировать учетную запись пользователя. В декабре 2014 года появилась информация об уязвимости в Android-версии приложения, которая позволяет следить за жертвой через камеру и микрофон ее мобильного устройства. Совсем недавно, в июне 2015 года, выяснилось, что некоторые версии приложения аварийно завершают свою работу при получении в сообщении строки «http://:».
Наиболее запоминающаяся история произошла в ноябре 2012 года: пользователь Хабра продемонстрировал простую технику угона любого аккаунта Skype, опубликовав данный способ после безуспешных обращений в службу технической поддержки Skype в течение трех месяцев. В тоже самое время другой исследователь выявил, каким способом можно деанонимизировать IP-адрес собеседника. Надо сказать, что с 2012 года мало что изменилось — на неэффективную работу Skype Support в случае потери доступа к аккаунту пользователи обращали внимание и в 2015 году.

Полное интервью Дмитрия доступно по следующей ссылке (с 16-й минуты): https://peers.tv/show/lifenews/life_news/55198839/?autoplay=1

Другие ссылки по теме:
http://www.aif.ru/dontknows/actual/pochemu_ne_rabotaet_skype

Автор:
Дата публикации: