Jak se útočí na server?

Zvedave

Jak se útočí na server?
« kdy: 18. 10. 2011, 19:42:51 »
Zdravím,
tušíte někdo teoreticky, jak se může stát, že např. společnosti sony ukradnou hackeři data o klientech? Nezajímá mě to z důvodu, že bych si chtěl hrát na nějakého rádoby hackera nebo něco podobného, jen mi to přijde takové hrozně nereálné, že někdo nějakým způsobem např. rozběhne svůj program na cizím PC. Myslíte, že na světe existuje třeba jednotlivec, který kdybyste mu dali mojí IP, tak by např. do 24 hodin zařídil, že mi zčerná obrazovka a objeví se tam nějaký nápis?
« Poslední změna: 18. 10. 2011, 22:21:06 od Petr Krčmář »


Re: Útok na server
« Odpověď #1 kdy: 18. 10. 2011, 20:19:13 »
Tazko povedat...kazdopadne by musel vynaložiť riadne úsilie aby sa k tebe dostal bez toho aby ti spustil nejaký RAT na tvojom PC   ;)

branchman2

Re: Útok na server
« Odpověď #2 kdy: 18. 10. 2011, 20:29:55 »
Ked je tvoj PC za NATom, tak na nom tazko niekto nieco spravi. Ak je vystaveny s public IP a bezi na nom kopa verejnych sluzieb, tak to moze byt mozne tak, ze je mozne ponuknut aplikacii nieco, co necaka.
Napriklad caka retazec do 100 znakov, ale niekto tam da 10k vhodne zvolenych znakov, ktorymi sa "zhodou okolnosti" prepise aj navratova adresa na zasobniku a po navrate sa "zhodou okolnosti" zacne vykonavat to, co tam ten clovek napisal. To je v podstate asi najcastejsia metoda na spustenie svojho kodu na cudzom stroji.
Niekde to moze byt diera ako zle osetrene citanie. Jednoducho admin caka, ze ked moze kazdy uzivatel vidiet len svoj uzivatelsky profil (UP), tak mu da odkaz len na jeho UP v tvare example.com/profil?id=123 a to staci. Ked chce niekto skusit ziskat cudzi UP, tak skusi adresu prepisat napr. na example.com/profil?id=124 a zrazu ma to, co chcel. Toto je mozne automatizovat (pisat si na to programy / skripty).
Inokedy niekto nieco osetri len u klienta napr. v JavaScripte, ale staci si vypnut JS a hned je taky nezmysel zbytocny.
Utoky nemusia utocit nutne na takuto dieru v aplikacii. Moze to byt logicka chyba - niektore eshopy napr. funguju tak, ze tam mam nejaky penazny ucet, ktory si peniazmi "dobijam" a za to si potom kupujem tovar. A potom si staci objednat zaporny pocet kusov a hned mam peniaze na ucte.
A aby sme nezabudli, je mozne utocit aj priamo "na ludi". To bud tak, ze mu poslem mailom (kt. bude vyzerat ako od jeho kamosa) spustitelny subor naked_jessica_biel a on si ho ochotne skopiruje a ked to bude ziadat prava roota, tak ich zada - vsak chce vidiet ten zaujimavy obrazok. A ak mu tam dam okrem svojho kodu aj ten obrazok, tak bude spokojny a nicoho si nevsimne.
K utokom "na ludi" pocitam aj hesla ako "123", rovnake hesla v praci a na inych sluzbach alebo priame ziadosti o heslo, "lebo si to pyta sef a je to treba hned", ktorym casto vela ludi s radostou vyhovie.

DarkKnight

Re: Útok na server
« Odpověď #3 kdy: 18. 10. 2011, 20:34:30 »
zvedave: od verejne viditelneho pc (a jeho bezpecnostni problemy) az po backdoory v routeru (a nepouzity nat je timpadem nanic)

staci, kdyz tam existuje nejaky bug a hned se toho muzou hackeri chytit (nebo volne pristupny server a brutalforce...)

pripadne neni uplne neobvykle, ze si nejaky zamestnanec prohlizi nevhodne stranky, stahne si vira, ktery se rozsiri po siti a stahne dulezita data :)

Re: Útok na server
« Odpověď #4 kdy: 18. 10. 2011, 21:14:37 »
Myslíte, že na světe existuje třeba jednotlivec, který kdybyste mu dali mojí IP, tak by např. do 24 hodin zařídil, že mi zčerná obrazovka a objeví se tam nějaký nápis?

To jde poměrně jednoduše. Nejlevnější cesta je najmout si dva pány z nejmenované postsovětské republiky, kteří k tobě přijdou, na nic se nebudou ptát, spustí vim (černá obrazovka) a napíšou tam co bude potřeba.


DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re: Útok na server
« Odpověď #5 kdy: 18. 10. 2011, 21:30:56 »
Myslíte, že na světe existuje třeba jednotlivec, který kdybyste mu dali mojí IP, tak by např. do 24 hodin zařídil, že mi zčerná obrazovka a objeví se tam nějaký nápis?

To jde poměrně jednoduše. Nejlevnější cesta je najmout si dva pány z nejmenované postsovětské republiky, kteří k tobě přijdou, na nic se nebudou ptát, spustí vim (černá obrazovka) a napíšou tam co bude potřeba.

Já myslím, že by se minimálně museli zeptat na heslo, ať už verbálně, nebo nonverbálně :-)

KapitánRUM

Re: Útok na server
« Odpověď #6 kdy: 18. 10. 2011, 21:42:27 »
Myslíte, že na světe existuje třeba jednotlivec, který kdybyste mu dali mojí IP, tak by např. do 24 hodin zařídil, že mi zčerná obrazovka a objeví se tam nějaký nápis?

Já bych to zřejmě dokázal, to říkám teoreticky, protože vesměs řeším vyhledávání bezpečnostních děr a ne to, jak se někomu vloupat do PC.

Ale nakonec by všechno stejně záleželo na Vaší inteligenci.
Provést takový kousek je obecně podstatně těžší Geekovi s BSD než Dežovi s Widlema.

Postupy, jak někdo něco takového udělal (cíl je blb a vesměs s Widlema).
- poštou mu poslal originálně vypadající PC hru obsahující jeho vlastní backdoor, který samozřejmě žádný Antivirus ještě nikdy neviděl
- obdoba předchozí varianty, pouze poslal program
- obdoba předchozí varianty, když přišla falešná aktualizace účetního programu

Dále:
- asi útok man in the middle, kdy došlo podstrčení zavirovaného exe (MIRANDY!!!)
- asi útok man in the middle na celou síť, kdy došlo k podstrčení falešené aktualizace
(Útočník přesvědčil DNS server, že má IP adresu na něco.něco.něco přeložit na jehoIP.)
- zaslání zavirovaného e-mailu
.....

Lidská blbost je nekonečná a kdyby mi přišla zavirovaná flash-ka s nápisem ,,dárek od obchodního partnera" - třeba maskovaná jako ofiko dárek od T-mobile...asi bych jí do počítáku taky strčil.

Ale naprostí pitomci se rekrutují i z řad správců sítí.
Dříve stačilo do firmy poslat AP (které obsahovalo ještě jedno skryté AP) a cesta do firemní sítě byla volná. Obecně nelze říct, že by záleželo na tom, jak geniální je útočník, ale jak velký debil sedí na druhé straně  :P :P

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re: Útok na server
« Odpověď #7 kdy: 18. 10. 2011, 21:50:55 »
Mnohem lepší než program, je poslat PDF obsahující nebezpečný kód, který nasadí trojana a následně modifikuje PDF tak, aby neobsahovalo nic závadného :-)

KapitánRUM

Re: Útok na server
« Odpověď #8 kdy: 18. 10. 2011, 22:27:44 »
Myslím, že PDF reader se aktualizuje už tak často, že to není nijak jednoduché.
I když někde objevíš proof of concept nebo DRAZE KOUPÍŠ takovou informaci, může aktualizace přijít dřív, než se ti to povede odladit.

Výše uvedené útoky jsou primitivní a obecně platné.

To o čem mluvíš je poměrně sofistikovaný postup, který by vyžadoval úberhackera a protože naší "haxorskou scénu :P" tak trochu znám, ať už se bavíme o security-portal.cz nebo soom.cz, můžu říct, že takových lidí tu máme v republice možná 5. To o čem mluvím já by zvládl téměř každý trochu chytřejší programátor.

Tedy je podstatně méně pravděpodobné, že z 10 000 000 lidí v naší zemi naštveš jednoho z těch 5, kteří by to dokázali takhle elegantně, než jednoho z tisíce, který to zvládne za použití poněkud trapnějších a přesto fungujících metod.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re: Jak se útočí na server?
« Odpověď #9 kdy: 18. 10. 2011, 22:57:29 »
PDF s integrovaným Javaskriptem má zase tu výhodu, že je multiplatformní :-) Člověk ani nemusí mít windows, aby něco chytnul.


DarkKnight

Re: Jak se útočí na server?
« Odpověď #10 kdy: 18. 10. 2011, 23:07:22 »
DgBd - ale prece jenom, ktery blbec spousti pdf s pravy roota :)

Re: Útok na server
« Odpověď #11 kdy: 18. 10. 2011, 23:09:54 »
Já myslím, že by se minimálně museli zeptat na heslo, ať už verbálně, nebo nonverbálně :-)

A tak to by myslim tem panum necinilo vetsi potize - myslim ze by se metodou brute force dostali k heslu pomerne rychle... spis si nejsem jist, jestli by pak zvladli pustit ten vim, natoz do nej neco napsat :)

branchman2

Re: Útok na server
« Odpověď #12 kdy: 18. 10. 2011, 23:14:54 »
To o čem mluvíš je poměrně sofistikovaný postup, který by vyžadoval úberhackera a protože naší "haxorskou scénu :P" tak trochu znám, ať už se bavíme o security-portal.cz nebo soom.cz, můžu říct, že takových lidí tu máme v republice možná 5. To o čem mluvím já by zvládl téměř každý trochu chytřejší programátor.
5? To je podla mna velmi nizky odhad; ale zase je to pomerne vela na to, ze poznas len tie 2 spominane stranky.
Treba pocitat s tym, ze dnes sa da kupit asi vsetko a funkcny 0day exploit nie je vynimkou. A ked ta len niekto nema rad, tak si radsej zaplati radovo lacnejsi DDoS...

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re: Jak se útočí na server?
« Odpověď #13 kdy: 19. 10. 2011, 00:13:42 »
DarkKnight: to není potřeba. Většina důležitých dat je v uživatelově domovském adresáři.

smoofy

  • *****
  • 1 059
    • Zobrazit profil
    • E-mail
Re: Jak se útočí na server?
« Odpověď #14 kdy: 19. 10. 2011, 00:39:52 »
Vzhledem k tomu, jak se Sony chova ke svym zamestnancum a zakaznikum bych se nedivil, kdyby to byl nekdo zevnitr. Kazdopadne se ocividne jednalo o systematickej a organizovanej utok profiesionalu jenze takovi se pocitaji na svete asi v desitkach mozna stovkach. Vetsina klasickych utoku je typu script kiddie jak zminoval KapitanRUM a nebo v dnesni dobe daleko beznejsi a nebezpecnejsi sociotechniky, ponevadz nejslabsim clankem bezpecnosti je vzdycky lidsky faktor.