Archive

IT Security News 01/10

Τον προηγούμενο μήνα είδαν το φως της δημοσιότητας αρκετά ενδιαφέροντα θέματα σχετικά με την ασφάλεια πληροφοριακών συστημάτων και τηλεπικοινωνιών. Παρακάτω θα μιλήσουμε για:

1. Domain Hijack και Defacement στο Twitter

2. Ιστορίες phishing και αν-ασφάλειας με αφορμή ένα SQL Injection

3. Πρακτική (και φτηνή) υλοποίηση σπασίματος της ασφάλειας του GSM

 

1. Domain Hijack και Defacement στο Twitter

Στις 17 Δεκέμβρη το διασημότερο δίκτυο micro-blogging twitter δέχτηκε επίθεση από την ομάδα "Iranian Cyber Army" και για λίγες ώρες οι επισκέπτες του twitter.com έβλεπαν μια διαφορετική σελίδα από αυτή που περίμεναν, με μηνύματα όπως το "THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY". Όπως προέκυψε αργότερα, πρόκειται για domain name hijack και όχι για παραβίαση κάποιου server του twitter. Το domain hijack (αρπαγή domain) είναι επίθεση στην οποία οι επιτιθέμενοι αλλάζουν τα νόμιμα DNS για ένα domain με τα δικά τους. Έτσι και στην περίπτωση του twitter, οι εισβολείς απέκτησαν πρόσβαση στο λογαριασμό του twitter στην εταιρεία που ρυθμίζει τα DNS του και άλλαξαν τις IP's ώστε να δείχνουν σε δικές τους. Έτσι όποιος επισκεπτόταν το twitter.com για όσο διήρκησε η επίθεση, μεταφερόταν σε servers που είχαν προσδιορίσει οι επιτιθέμενοι και όχι σε αυτούς του twitter.

copy_of_Twitterhacked.jpg


Πάντως το twitter μέχρι στιγμής έχει πολύ κακό ιστορικό σε θέματα ασφάλειας, όπως μπορεί να διαπιστώσει κανείς εδώ και εδώ.

Περισσότερα για το θέμα στα:
http://www.techcrunch.com/2009/12/17/twitter-reportedly-hacked-by-iranian-cyber-army/
http://www.securityfocus.com/news/11569

2. Ιστορίες phishing και αν-ασφάλειας με αφορμή ένα SQL Injection

sql_injection.jpg

Το Rockyou.com είναι ένα απο τα πιο γνωστά προγραμματιστικά εργαλεία για sites κοινωνικής δικτύωσης, όπως τα Myspace και Facebook, παρέχοντας σε εκατομμύρια προγραμματιστές και χρήστες υπηρεσίες όπως διανομή βίντεο, δημιουργία και ενσωμάτωση εφαρμογών και στόχευση σε διαφημίσεις.

Μέσα στο Δεκέμβρη η εταιρεία ασφάλειας πληροφοριακών συστημάτων Imperva ειδοποίησε το RockYou για ένα πολύ σοβαρό SQL Injection που υπήρχε στο site. Η εταιρεία μετά ανακοίνωσε οτι το RockYou επικοινώνησε μαζί τους και τους ενημέρωσε οτι διόρθωσε το σοβαρό αυτό πρόβλημα. Μιας και το SQL Injection όμως υπήρχε ήδη στο site, μπορεί να υποθέσει κανείς οτι η βάση του είχε ήδη παραβιαστεί, για παράδειγμα στις 29 Νοέμβρη είχε σταλεί email σε underground λίστα με το proof of concept της εκμετάλλευσης του Injection. Έτσι, στις 15 Δεκέμβρη, σε ένα νευριασμένο blog post, ένας hacker με ψευδώνυμο igigi υποστήριξε ότι μέσω του SQL Injection είχε ήδη πάρει τη βάση του RockYou και δημοσίευσε μέρος των δεδομένων της βάσης το οποίο μάλιστα αποδείκνυε ότι το RockYou αποθήκευε usernames και κωδικούς σε απλό κείμενο! Ο igigi μάλιστα αναφέρει χαρακτηριστικά "μη λέτε ψέμματα στους πελάτες σας (προς το RockYou), γιατί θα δημοσιεύσω τα πάντα", ενώ στο post του περιέχει μέρος του σχήματος της βάσης δεδομένων καθώς και κωδικούς χρηστών, προς απόδειξη οτι η παραβίαση όντως έγινε.

 

Data UserAccount [32603388]

================

1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com

2|phdlance@gmail.com|mek*****|myspace|1|

3|jennaplanerunner@gmail.com|mek*****|myspace|0|

5|teamsmackage@gmail.com|pro*****|myspace|1|

6|ayul@email.com|kha*****|myspace|1|tagged.com

...

 

Το περιστατικό είναι ιδιαίτερα σοβαρό, μιας και από τα 32 εκατομμύρια των κωδικών, η πλειοψηφία των χρηστών θα έχει ορίσει τους ίδιους κωδικούς και για τους προσωπικούς τους λογαριασμούς email, όπως Gmail ή Yahoo.

 

Αποτελέσματα

Με πρόσβαση στους προσωπικούς λογαριασμούς, ένας επιτιθέμενος μπορεί να προβεί σε μια σειρά ενεργειών:

1. Να αποσπάσει ιδιωτικές πληροφορίες για έναν χρήστη, όπως αριθμούς πιστωτικών καρτών, φωτογραφίες, εμπιστευτικές πληροφορίες, κωδικούς για άλλες υπηρεσίες, όπως web banking κτλ.

2. Να προβεί σε κλοπή ταυτότητας (Identity theft), μιμούμενος τον χρήστη του οποίου το email έχει παραβιάσει

3. Να χρησιμοποιήσει τη λίστα των αποσπασμένων email και των επαφών τους για αποστολή spam, που ούτως ή άλλως πρόκειται για μια από τις πιο κερδοφόρες επιχειρήσεις στο Internet Underground.

 

Συμπεράσματα

Από το περιστατικό μπορούμε να εξάγουμε μια σειρά συμπερασμάτων και πρακτικών.

1. Το RockYou πάνω απ'όλα δεν έπρεπε να πάσχει από SQL Injection. Το SQL Injection είναι από τις πιο γνωστές επιθέσεις σε Web applications και sites δυναμικού περιεχομένου, με πολύ σοβαρές συνέπειες για ένα site, όπως η παραβίαση ολόκληρης της βάσης δεδομένων.

2. Απ'ότι φαίνεται το RockYou κράταγε τους κωδικούς των χρηστών σε clear text για 2 λόγους: α)για να τους στέλνει στους χρήστες σε περιπτωση που είχαν ξεχάσει τον κωδικό, και β) μιας και πρόκειται για υπηρεσία proxy και Single Sign On, προς τα Myspace, Facebook κτλ. Το πρώτο είναι προφανώς λανθασμένη πρακτική, μιας και το email κυκλοφορεί σε clear text, και έτσι ανοίγει ένας ακόμα δρόμος να αποσπαστεί από τρίτους, αλλά και επειδή η συνηθισμένη πρακτική είναι να γίνονται encrypted τα passwords ώστε να είναι πιο προστατευμένα σε περίπτωση παραβίασης του συστήματος. Όσον αφορά το δεύτερο, μπορούμε να φανταστούμε ότι για μια υπηρεσία του επιπέδου του RockYou η ανάπτυξη συστήματος ώστε το SSO να λειτουργεί με encrypted passwords δεν είναι ιδιαίτερο πρόβλημα!

Όπως και να'χει υπάρχουν ενδείξεις ότι η λίστα κυκλοφορούσε (και κυκλοφορεί) σε underground κύκλους, για τη χρήση σε phishing attacks και spam.


Συμβουλές

Με αφορμή το περιστατικό μπορούμε να σημειώσουμε τα εξής βασικά, για :

χρήστες

1. Μη χρησιμοποιείτε τους ίδιους κωδικούς για περισσότερους από ένα λογαριασμούς (πχ email), ώστε αν καταφέρει κάποιος να παραβιάσει έναν να μην μπορεί να αποκτήσει πρόσβαση σε όλους.

2. Φροντίζετε να αλλάζετε κωδικούς κατά καιρούς και σιγουρευτείτε οτι δεν μπορούν να τους βρουν εύκολα.

προγραμματιστές

1. προστατεύστε τις εφαρμογές σας από σοβαρά προβλήματα τύπου sql injections.

2. Χρησιμοποιήστε frameworks που έχουν υψηλή ασφάλεια από default, όπως τα django και plone μεταξύ άλλων, που προστατεύουν από τέτοιου είδους επιθέσεις.

3. Μην αποθηκεύετε κωδικούς χωρίς κρυπτογράφηση!

Περισσότερα

http://hackingexpose.blogspot.com/2009/12/rockyoucom-sql-injection-flaw-issue.html

http://www.rockyou.com/help/securityMessage.php

 

3. Πρακτική (και φτηνή) υλοποίηση σπασίματος της ασφάλειας του GSM

 

gsmcracked.jpg

 

Στο 26ο συνέδριο CCC (Chaos Communication Congress) στο Βερολίνο που πραγματοποιήθηκε το διάστημα 27-30 Δεκέμβρη, ανάμεσα στις (ιδιαίτερα) ενδιαφέρουσες παρουσιάσεις, ήταν και αυτή των Karsten Nohl και Chris Paget που αφορούσε την επίδειξη πρακτικής επίθεσης στο σύστημα GSM (Global System for Mobile communications) και υποκλοπής τηλεφωνικών κλήσεων, με ιδιαίτερα χαμηλό σε κόστος εξοπλισμό. Γίνεται έτσι πραγματικότητα αυτό που έχει αποδειχτεί σε θεωρητικό επίπεδο εδώ και αρκετά χρόνια, ότι ο αλγόριθμος A5/1 που χρησιμοποιεί για κρυπτογράφηση το GSM δεν είναι αρκετός να προστατεύσει την ασφάλεια των κλήσεων, οι οποίες είναι ευάλωτες σε σειρά επιθέσεων (Cloning, spoofing, man-in-the-middle, decrypting, sniffing κτλ). 

Ο εξοπλισμός που χρησιμοποίησαν (USRP hardware) κοστίζει $1500 και το λογισμικό είναι ανοιχτού κώδικα (OpenBTS και Asterisk).

Η ομιλία και το βίντεο βρίσκονται στο
http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html, ενώ η έρευνα για την ασφάλεια του A5/1 των συγκεκριμένων ερευνητών βρίσκεται στο http://reflextor.com/trac/a51

Αξίζει να μεταφέρουμε εδώ αυτό που αναφέρουν οι ερευνητές στη σελίδα του project, "δεν αποσκοπούμε στην εκμετάλλευση των αδυναμιών αυτών, παρά θέλουμε να ενημερώσουμε για το γεγονός ότι οι κλήσεις μέσω GSM μπορούν ήδη να παρακολουθούνται και να αποκρυπτογραφούνται με χρήση εμπορικών εργαλείων".