This post is password protected. To view it please enter your password below:

Password:

Trochu som testoval heslá ktoré boli uverejnené na igiho blogu a vhľadom na to že nie sú uvedené kompletné hashe tak je to len moja domnieka.

Jedno heslo k pravdepodobne k nevýznamnej databáze pre užívateľa admin bolo “heslo“. V tomto prípade by som sa rád mýlil.

Zoznam ďalších hesiel (podľa dodatočných informácií si myslím že sa zakladajú na realite): exarhehe, lubko, janko, zdeno, cajik, kniha, jarjar, palko, matko, tosomja…

Samozrejme kvalita hesiel ma vôbec neprekvapuje, užívatelia by mali mať už povedomie o niektorých základných veciach ktoré nesmú zadávať ako heslo. Tu nie je žiadny priestor pre ďalšiu analýzu ale pokúsim sa otestovať trochu väčší súbor hesiel ktorý bude určite reprezentatívny.

Nakoľko sú heslá správne, prípadne či sa dá s nimi prihlásiť do systému vedia len ľudia ktorý to heslo majú a samozrejme igigi.

Ja beriem tu zverejnené heslá len za hypotetické a nie za fakt (nemal som kompletnú informáciu).

-pb-

Nebudem preberať kvalitu webu, ale opäť môžem len konštatovať že Aston bol natoľko hlúpy že si nechá na svojej subdoméne presnú kópiu webu . Budem sa opakovať ale pre phishing prípadne sťahovanie/testovanie webu je to veľmi vhodné. Samozrejme oproti ostrej verzii sú tam rozdiely ale opäť BFU rozdiel žiadny nezistí. Pripojenie do databázy funguje normálne, môžete sa dokonca aj úspešne poistiť.

Testovací web je umiestnený na adrese: http://dev1.aston.sk/union_cz/

Originálna verzia je na adrese: http://www.unionsk.cz/

Ako bežný užívateľ samozrejme neviem že prvá adresa nie je správna a bez problémov som vyplnil poistnú zmluvu a vytlačil som si svoju novo uzatvorenú poistku “č. 20805059″ . Poistil som sa na cestu do Afganistanu ako bežný turista. Normálne som bol presmerovaný na elektronické bankovníctvo Českej spořitelny. Nič nie je z tohto pohľadu problematické. Ak by sa mi však niečo na mojom turistickom výlete stalo tak čo bude nasledovať? Samozrejme súdiť sa z poisťovňou nie je to najlepšie ale asi by takémuto poistencovi nič iné nezostalo.

Už spomínaný Igigi sa dostal priamo k databáze údajov pre web union.sk (tým pádom aj k union.cz, unicreditbank….) takže je tu aj ďalšia úroveň tohto problému.

Na záver snáď už len na dokreslenie amaterizmu správcov webu unionsk.cz si zadajte tieto dve adresy: http://www.unionsk.cz/, http://unionsk.cz/

Prvá adresa zobrazí normálnu webovú stránku, druhá adresa (bez www) však nie je presmerovaná a zobrazuje len oznam o dostupnosti webovej adresy hostovanej u Forpsi.

Toto je problém konkrétne banky Unicreditbank (ale aj pois?ovne Union). Vzhľadom na to že haker Igigi už zverejnil aj zoznam databáz ktoré sa nachádzajú na serveroch tak úvaha o využití na phishing naberá reálne predstavy.

Duplicitný web UniCreditBank bol funkčný do 17.12.2009 (!). Podľa kuloárnych informácií sa zrušil len preto že v Unicredite sa robia zmeny na strane informatiky (outsourcing). Web bol presnou kópiou webu UniCreditbank pokiaľ neprešiel redizajnom (posledné údaje boli z apríla/mája 2009). Pre bežného užívateľa to však bolo na nerozoznanie od ostrého webu, pretože všetky linky boli funkčné, nebolo tam žiadne upozornenie že web nie je produkčný, srávne fungovalo aj presmerovanie na internetbanking. Jednoducho jedinečný web pripravený na phishing. Keď som preberal túto možnosť s kolegami tak boli aj názory kto by to využil prípadne načo. Igigi však tento problém vyriešil.

Nie je potrebné hakovať ostrý server banky kde môže prebiehať analýza logov (aspoň dúfam) prípadne sú nastavené aj iné mechanizmy ako zabrániť niektorým systematickým testom. Na testovacom webe je to jednoduché, môžete ho stiahnuť, beztrestne si pozrieť a otestovať čo chcete, v tomto prípade web bežal na staršom systéme (pravdepodobne Centos/RH) zo starším SSH… jednoducho možností je viacej. Keď sa však podarí dostať do databázy ako už spomínanému hakerovi Igigi tak máte pripravený kompletný web ktorý môžete využiť na potreby phisingu. Samozrejme dá sa namietať že je to prácne a nepravdepodobné ale ako písal Rasťo Turek banky samé vytvárajú nebezpečné podmienky napr. ČSOB sa nad takýmto niečím ani nezamyslela a posiela mail ktorý má prvky phishingu (pozdravujem marketing ČSOB).

Vzhľadom na to že testovací web už nie je aktívny tak sú dostupné už len nekvalitné pozostatky z google cache. Samotný web bol umiestnený na adrese developera aston.sk.

Pre ilustráciu si môžete pozrieť stránku www.euroinformácie.sk (tento už nepatrí UniCredit Bank) a duplicitný web ktorý tam pôvodne bežal a je stále umiestnený u astonu : http://secure.aston.sk/euroinformacie/

Ak sa Igigi dostal k databáze Union.sk tak môžeme dedukovať že sa dostane aj do webu/databázy Unicreditbank.sk. Pre banku je to peklo (predpokladám že používa okrem MySQL aj Oracle prípadne DB2) a pre jej klientov to vydáva alarmujúci stav slovenského bankovníctva z pohľadu bezpečnosti.

Trochu som ešte pátral a našiel som niektoré heslá k MySQL5-hashom ktoré zverejnil Igigi na svojom blogu (mimochodom sú z 27.10.2009!!!):

secure.aston.sk, root, *0847D653C8799A0721B9E2CEE15CE2BF0888AFA0 (heslo som vymazal aby som nepoškodil tretiu stranu ktorá bola z pohľadu bezpečnosti v tomto prípade nevinná)

Ak by bol reálny stav aj v ostrom prostredí tak Unicredit môže smelo konkurovať NBU zo svojím heslom nbusr123.

-pb-

Edit (11:20 23.12.2009):

Všetky problémy ktoré som popísal sú už fixnuté. Bolo to veľmi rýchle takže dotknuté strany si uvedomili chyby ktoré tu boli. Môžete si však pozrieť ešte stále pozostatok stránky v google cache. Zároveň by som sa chcel poďakovať pracovníkovi UniCreditu ktorý veľmi rýchlo urobil nápravu a poďakoval sa za poskytnuté informácie (stáva sa to zriedkavo).

]]> http://www.webosec.com/uni-phishing-aston-sk/feed/ 4 http://www.webosec.com/nepozorni-uzivatelia-a-vop/ http://www.webosec.com/nepozorni-uzivatelia-a-vop/#comments Sat, 07 Nov 2009 22:02:00 +0000 admin http://www.webosec.com/?p=84 Už zopár dní prebieha živá diskusia o oprávnenosti platenia za službu webstránky downloads-portal.sk a basne-portal.sk. Užívatelia ktorý chceli používa? služby tejto stránky sa museli zaregistrova?. Registrácia vyžadovala Meno, Priezvisko, adresu, mailovú adresu a aj IP adresu ktorú automaticky do?ahoval skript. Pred odoslaním všetkých údajov bolo treba ešte zaškrtnú? polí?ka o súhlase z podmienkami (každý kto sa úspešne zaregistroval teda súhlasil z danými podmienkami). To že užívatelia si nepre?ítali VOP a po nieko?kých týžd?och im prišla faktúra je smutné, ale je to tak. Hovorí sa len o týchto dvoch stránkach a firme Pro Content s.r.o. Realita je však trochu horšia.

Domény vlastní iná firma – Global s.r.o. z Ružomberku. Táto firma vlastní 63 domén, okrem iného aj doménu odpustky.sk (to je ale irónia). Medializované boli len dve stránky, ale reálne je ich v prevádzke viac. Ako prevádzkovate? sú uvedené dve rozdielne firmy (jedna dokonca neexistuje):

• Pro Content s.r.o. – prevádzkuje stránky downloads-portal.sk, basne-portal.sk, download-portla.sk
  
• Web Content s.r.o. (Nitra, táto firma neexistuje) prevádzkuje tieto stránky: basnici.sk, vlc.sk, videolan.sk, openoffice-24.sk, online-mapy.sk, download-server.sk, dowloads-server.sk
• V nemeckom prostredí som našiel ?alšie tri weby ktoré majú rovnakú štruktúru a sú prakticky od rovnakého autora: my-downloads.de, opendownload.de, softwaresammler.de

Ako vidie? webov ktoré sú postavené na rovnakom obchodnom modeli je viac ako len spomínané dve stránky.

?o sa týka technickej stránky webov, tak ich môžem ozna?i? za kvalitné (vzh?adom na ich funkcionalitu). Vzbudzujú pocit serióznosti, štruktúra webu je dobrá a prakticky všetky ?innosti nútia potencionálneho užívate?a aby sa zaregistroval. VOP sú na stránke uložené vo formáte obrázka (png), takže žiadny robot ktorý stránky prechádza nezistí ?o v týchto podmienkach je. Toto je ve?mi šikovný ?ah prevádzkovate?a ktorý sa dá do budúcnosti dobre využi?. ?o sa týka obsahu ktorý dané stránky ponúkajú je to dos? kontroverzné, užívatelia nájdu rovnaký obsah na iných serveroch a hlavne zadarmo. Weby vlc.sk, videolan.sk, openoffice-24.sk smelo ponúkajú opensource softvér, pod?a podmienok VOP však platíte za možnos? stiahnu? si softvér z danej stránky (nie za samotný softvér). Tu musí každý znalý užívate? spozornie? a zistí? že je to prinajmenšom neetické konanie od prevádzkovate?a webu (hrani?iace z podvodom). Samozrejme nie každý vie o opensource projektoch, GNU/GPL…

Na propagáciu návštevnosti stránok bola urobená reklamná kampa? ktorá lákala návštevníkov na iPhone a ?íta?ku elektronických kníh. Zárove? prebiehala reklama aj cez systém AdWords (reklamy ktoré sa zobrazujú na stránkach z AdSense alebo priamo na stránke google.sk) a Etarget. Ja som tieto stránky zaregistroval práve cez reklamu na google.sk. Už po letmom preh?ade funkcí webu som zistil že je to ve?mi nesierózna ponuka. Ke?že vlastním stránky kde sa takáto reklama zobrazuje, tak som ju okamžite zakázal.

Pre bežných užívate?ov sná? len nieko?ko rád ako sa vyhnú? takýmto webom:

• využíva? služby MyWOT ktorá je integrovaná do prehliada?a Firefox, MS Explorer a upozor?uje užívate?a na možné nebezpe?enstvo na stránke
• neregistrova? sa všade kde si nie ste istý prevádzkovate?om svojím menom, adresou a ?alšími údajmi (ak sa chcete registrova? tak si ich radšej vymyslite)
• využívajte služby hodinových mailov, proxy serverov
• vždy si pre?ítajte podmienky VOP ktoré sú na serveri a pod?a nich sa zaregistrova? alebo okamžite odís? zo stránky

?o sa týka prepojenia jednotlivých firiem, tak to môžete vidie? na stránke foaf.sk (Vizualizácia sociálnej siete).Ešte jedna zaujímavá vec – vlastník domény je iný ako prevádzkovate? samotného webu. Všetky tieto indície nazna?ujú že zámerom firmy bolo vytvori? službu ktorá je síce ve?mi kontroverzná ale bude prináša? svoje ovocie v podobe zaplatených faktúr (a ve?mi nespokojných “klientov”).

Odkazy:

• sme.sk
• Prišla vám faktúra na 60 euro?
• dsl.sk
• facebook

]]> http://www.webosec.com/nepozorni-uzivatelia-a-vop/feed/ 0 http://www.webosec.com/bezpecnost-cms-typo3/ http://www.webosec.com/bezpecnost-cms-typo3/#comments Wed, 04 Nov 2009 08:00:40 +0000 admin http://www.webosec.com/?p=4 V rámci opensource projektov používaných na Slovensku je Typo3 na treťom mieste po CMS Joomla! a WordPresse. Tento stav je platný pre slovenské domény s koncovkou .sk (nebral som do úvahy žiadne subdomény a freehostingy).

Chyby sa samozrejme vyskytujú v každom systéme, najnebezpečnejšie sú označované ako kritické. Odozva komunity na takéto problémy je veľmi pružná, chyby sú odstránené zvyčajne za niekoľko hodín (pri kritických chybách) alebo dní (podľa povahy problému). Ak máme web postavený na opensource riešení tak by sme mali sledovať aktuálne dianie aj na poli bezpečnosti (pri komerčných riešeniach by to mal zabezpečiť prevádzkovateľ riešenia). Tu sa môže vyskytnúť niekoľko problémov, ktoré tu načrtnem (v spojení z konkrétnym exploitom ktorý som použil).

Testoval som dostatočne veľkú reprezentatívnu vzorku webov založených na Typo3 na jeden konkrétny exploit ktorý bol publikovaný ešte vo februári tohto roku (2009). Je to viac ako 6 mesiacov od vydania záplaty, takže by som očakával že nájdem len zopár webov ktoré by mali byť zraniteľné na tento exploit. Výsledky ma však presvedčili o opaku. Našiel som 5 spôsobov ako sa dostať do administračného rozhrania webu alebo databázy. Je to veľmi problematické pretože nie vždy ide útočníkovi o to aby vymazal web, často krát je lepšie sa pohybovať v rámci webu prípadne ho infikovať malwarom.

Exploit je označený ako Critical a dokáže stiahnuť konfiguračný súbor z daného webu. Na ilustráciu tu uvediem časť výstupu (konkrétne sa jedná o meno a heslo pre MySql databázu):

$typo_db_username = ‘www’; // Modified or inserted by TYPO3 Install Tool.
$typo_db_password = ‘dedo221′; // Modified or inserted by TYPO3 Install Tool.
$typo_db_host = ‘localhost’; // Modified or inserted by TYPO3 Install Tool.

5 spôsobov ako ohroziť svoj web postavený na Typo3:

1. neaktualizovanie verzie Typo3 ktorá je použitá na webe
2. defaultná inštalácia bez akýchkoľvek zmien a defaultné heslá
3. zabudnuté konfigura?né súbory
4. sociálne inžinierstvo a hádanie hesiel
5. zle zabezpečený webhosting

Neaktualizovanie verzie Typo3

Neaktualizovanie verzie je veľmi nebezpečné, pri teste som na základe neaktualizovaných webov našiel až 13% !!! webov ktoré boli zraniteľné na kritickú bezpečnostnú chybu (zistil som priamo heslo a meno k SQL databáze). Toto číslo je alarmujúce ak si uvedomíme aké weby takéto riešenie využívajú. V ostrom kontraste boli výsledky z nemecky hovoriacich krajín (testoval som referencie významných spoločností z Rakúska a Švajčiarska), kde nebol žiadny web zraniteľný na tento exploit.

Tu je potrebné malé zastavenie. Veľmi veľa firiem si nespravuje webovú stránku, ale využíva podporu tretej strany. Je veľmi zarážajúce ak firma ktorá sa živí tvorbou webov Typo3 má vo svojom portfóliu stránky o ktoré sa má starať a napriek tomu weby sú neaktualizované a deravé.

Defaultná inštalácia a heslá bez zmien

Ďalší najčastejší prehrešok je defaultná inštalácia, kde síce zmeníte heslá, ale nezakážete prístup k inštalačnému rozhraniu. To je veľmi nebezpečné z dvoch dôvodov: pre možnos? zneužitia na útok brutforce (útočník pozná MD5 hash) a pre možnosť použiť defaultné heslo na vstup do rozhrania. Typo3 používa ako defaultné heslo joh316. Webov ktoré mali toto defaulné heslo nie je málo, ale z pochopiteľných príčin neuvádzam ich počet (nechcel som sa priamo prihlasovať do tohto rozhrania). Počet webov ktoré umožňovali vstúpiť do rozhrania bolo 21%. Na prvý pohľad to nie je veľmi vážne ale ak si uvedomíme že zvyčajne je len jedna inštalácia pre niekoľko webov (týka sa to hlavne rozsiahlých webov ktoré sú napr. pre 12 štátov sveta) a uhádnete heslo tak to je už poriadny problém. Ak máte aktualizovaný web ale používate defaultné heslo do administrácie tak všetka námaha je prakticky zbytočná.

Zabudnuté konfiguračné súbory

Toto je trestuhodné zanedbanie bezpečnosti a ohrozenie webu. Je veľa editačných nástrojov ktoré defaultne ukladajú záložnú kópiu editovaného súboru. V tomto prípade je to konfiguračný súbor ktorý administrátor edituje a zároveň uloží aj jeho kópiu ktorá sa dá bez problémov prehliadať. Našťastie týchto webov bolo minimum, ale našiel som tam aj jeden web ktorý patrí veľmi významnej medzinárodnej firme. Keď som videl ten web tak som si myslel že je to chyba, všetko bolo zabezpečené, web využíval najnovšiu verziu Typo3, nemal defaultnú konfiguráciu, dokonca využíval SSL pripojenie, proste bol dokonalý až pokiaľ som neskúsil test na zabudnuté súbory.

Vo všeobecnosti firmy ktoré tvoria weby na báze Typo3 používajú aktualizované verzie, snažia sa mať čo najlepšie zabezpečený web. Napriek tomu som našiel jednu takúto firmu ktorá má zabudnutý konfiguraľný súbor. Podľa mňa je to fiasko danej firmy (aj keď si môžeme povedať porekadlo o obuvníkovi).

Sociálne inžinierstvo a hádanie hesiel

Toto je oblasť ktorá nepriamo súvisí z použitým CMS ale napriek tomu je veľmi významná a netreba na ňu zabúdať. Na základe určitých znalostí si vie útočník vytipovať zopár problematických miest ktoré využíva ďalej. Podľa tohto som dokázal zistiť sériu webov ktoré mali zraniteľnosť na základe práce určitej firmy (dá sa predpokladať jej rukopis), prípadne dokážete uhádnuť heslo len na základe určitých predpokladov.

Ak niekto použije názov pre databázu “root” a z heslom sa príliš neobťažuje (zvyčajne tiež root, prípadne názov firmy) tak akákoľvek snaha o bezpeččosť na tomto mieste zlyhala. Toto nie je chyba majiteľa stránky ale chyba tvorcu (predpokladám že nie sú rovnaký).

Zlý webhosting

Toto nie je chyba Typo3 (prípadne CMS systémov) ale chyba tretej strany. V mojom teste to bol otvorený port pre MySql databázu (našťastie to bol len jeden hosting ktorý ale vôbec nereagoval na moje upozornenie). Druhá vec ktorá sa možno nezdá ako veľmi dôležitá je istá “ukecanosť hostingov” pre pohodlie užívateľov. Na to aby som zistil adresu veľmi obľúbeného nástroja na stravovanie SQL databáz – phpMyAdmin som potreboval na niektorých hostingoch doslova len pár sekúnd (opä? nezabúdajme že útočník už meno a heslo pozná). Chyba to nie je, ale ak poznám heslo a názov databázy tak sa prihlásiť cez phpMyAdmin do databázy je otázka pár sekúnd. Hostingy vo všeobecnosti zvyčajne neposkytujú informácie o prihlásení do tohto rozhrania phpMyAdmin a preto majiteľ (prevádzkovateľ) stránky ani nezistí že sa niekto prihlásil do databázy.

Záver

Nemohol som tu popísať presný postup útoku, ale načtrol som aspoň problematické miesta ktoré môže útočník využiť?. V každom prípade, našiel som viac ako 30% webov ktoré mali fatálnu zraniteľnosť. Toto je veľmi alarmujúce číslo.

Na prvý pohľad by sa zdalo že použi? Typo3 je nebezpečné, je to však chyba úsudku. Samotný systém Typo3 je veľmi kvalitný, má vlastnú skupinu ktorá sa stará o bezpečnosť, reakcia na chyby je veľmi rýchla. Tento stav ktorý som popísal je problém prevádzkovateľa a tvorcu daného riešenia. Ak nesledujú aktuálne problémy tak samozrejme je len otázka času kedy je ich web napadnutý. Nehovorím tu o weboch ktoré patria nadšencom alebo jednotlivcom, ide hlavne o veľké korporátne riešenia ktoré sú zraniteľné len pre chybu správcu. V tomto článku mi nešlo o útočenie na Typo3 ale o poukázanie aktuálneho stavu ktorý na Slovensku panuje.

Upozornenie:

Pri svojom teste som nepoškodil žiadnu webovú stránku, vybrané inštitúcie a firmy som informoval o existujúcom probléme a počkal som až pokiaľ si neupravili webové stránky tak aby neboli zraniteľné (čakal som viac ako mesiac).

-pb-