Заметки по ИБ


###Часть 1: Приваты###

private_1 Сегодня я затрону тему приватов [хак, сео, карж]. Речь пойдет как о полностью закрытых ресурсах, так и о паблик, но с закрытыми разделами для избранных. Я не буду разделять эти две категории, а поговорю о них совместно. Упомяну о том, что я это не просто так выдумал или взял из головы, все мои слова подкреплены практическим опытом, в свою бытность я побывал на нескольких десятках приватов, как русскоязычных, так и иностранных. Также, в своих личных целях, мною были изучены и проанализированы сотни заявок соискателей, а также ответы по ним действующих мемберов на вступление в эти самые приваты.

На данный момент, по прошествии времени, если одним словом охарактеризовать все приваты, это полное разочарование. Тут стоит сделать поправку: если вы новичок в теме хака, то, скорее всего, вы найдете для себя много интересного, но на приват вам, скорее всего, не попасть, поскольку у вас мало знаний, а, соответственно, толку для комьюнити. Но здесь тоже есть свои отступления, особенно для русскоязычных ресурсов, о которых я поговорю ниже. Когда вы достаточно прошаренный и попадаете своими силами/знаниями, ситуация диаметрально противоположная - уже вам от комьюнити мало толку.

Рассмотрим заявки новых соискателей на тех ресурсах, где они предусмотрены. Говорю сразу: в подавляющем большинстве случаев, каким бы пиздатым и невъебенным вы не были, кодили на нескольких языках программирования, обладали хорошими скиллами по web-уязвимостям, а также ни в чем, что именуется скрипт-киддинг или кидалово, замечены не были, спешу вас разочаровать - попасть вам на приватку, скорее всего, не суждено. Абсолютно похуистическое отношение действующих мемберов, если вы не их дружок или кореш, с которым они мутили какие-то дела - чреватые хорошими барышами. Как правило, отписываются в таком духе: "ну не знаю, мне похер; не знаю такого; мне пох; просто нет" [не подкрепляя свою точку зрения ничем], ну и в таком духе. Общими словами это можно описать полным похуизмом.

Итак, кто же являются представителями этих самых приватов с разноцветными никами? Особенно данный признак явно выражен и часто проявляется на русскоязычных ресурсах.
Первый тип. Вы дружок уже действующего мембера, и он вас протаскивает, не взирая на ваши знания и вообще ни на что.
Второй тип. Вы вылизывали жопу, опять же, уже действующему юзеру приватов и угадайте что? Да, он вас протаскивает. Кстати, пиздюков очень много. Я вообще пришел к выводу, что в хаке после 30 довольно мало людей [не берем в расчет сек специалистов белых шляп, которые получают за это наличность].

Теперь, как попасть - вариантов много. Описанные выше 2 типа юзеров - в этом и прелесть, и грусть. Прелесть, что они, как правило, тупые, что помогает, не прилагая многих усилий, завладеть их аккаунтом. Грусть, что такие люди не могут привнести ничего интересного в приватку, и когда процент таких зашкаливает, приват акцесс теряет смысл. Основная техника - это социальная инженерия, поскольку я считаю данные ресурсы наиболее вкусными. Если до этого на них не нашлось паблик/полу-приват уязвимостей, значит их приваток нет у каждого второго, темы будут постепенно сливаться в паблик, убиваться или вообще выложат весь дамп.

Техники:

  • «прощупать» весь ресурс на известные вам баги для данного движка, на предмет полного слития;
  • брут аккаунтов [рандомные пасы];
  • брут аккаунтов [по базам других дампов];
  • брут аккаунтов [по базам других дампов, пытаться взломать сторонние сервисы, допустим, мыло и на него восстановить пасс или протроянить бложек, на него связку, ну а дальше дело техники];
  • брут на старый дамп данного ресурса, как правило, мыл или сторонних сервисов, а потом снимают акк;
  • шантаж юзеров приват групп;
  • шантаж администрации;
  • покупка аккаунта [полный контроль либо read-only наряду с хозяином];
  • втереться в доверие к юзеру и впарить ему трояна;
  • на некоторые техники может уйти продолжительное время, поэтому вы должны отдавать отчет, что овчинка стоит выделки;
  • составить грамотную заявку на вступление. Можно приврать, если должно быть собеседование, и ты не уверен в себе найти знакомого/купить, кто пройдет его за тебя.

Так, теперь, что вас ожидает, если вы всетаки попали.
Как правило, какой-то софт на паблик уязвимости; софт на автоматизацию каких-либо действий в обертке от автора, но, как правило, всегда имеющий аналог, а то и не один в паблике; различные базы и дампы, ну и в таком духе. От тысяч тем, какие я пересмотрел, действительно что-то интересное было в пределах 10%, причем все это концентрировалось не более, чем на 5 приватках. Я пришел к выводу, что действительно стоящее никто никогда не выложит, какой-бы супер приватка не была. Все интересное держат при себе либо барыжат этим, в исключительных случаях делятся с давними проверенными друзьями по переписке.

В принципе, когда вы уже достигли уровня, когда вас берут на те ресурсы, где оцениваются знания, пройдя весь путь, вы уже не нуждаетесь в приватках. Абсолютно все необходимое есть в паблике. Для меня Wireshark, sqlmap, Metasploit и им подобные инструменты из паблика гораздо ценнее, чем подавляющее большинство инструментов и тем из приваток. Ну нужна вам какая-то софтина, заплатите вы тому же кодеру 50-100 бачей, и все будет тип топ.

Отдельным словом упомяну про карж площадки. В сферу специфичности направления, там практически вообще не встречается привата, что можно отнести под этот термин. Чуть менее чем полностью, они состоят из барыжнических тем. Вы скажете, мол, вот проверенные селлеры, не кинут, можно спокойно работать. Но и в этом спешу вас разочаровать: подавляющее большинство этих людей также спокойно ведет бизнес на площадках с открытым доступом, ввиду того, что на закрытых ограниченная аудитория или в силу свой жадности.

P.S. вот я сейчас сижу на одном ресурсе. Как я только туда попал, к моему удивлению, там оказалось очень много скрытых разделов, они мне все доступны. Но я вам скажу: те темы, которые создаются в паблик разделах, гораздо круче, такие дела.


###Часть 2: Другой взгляд на анонимность###

anonym_1 Много было написано статей на эту тему за последнее время. Думаю, тем, кто следит за ними, нет смысла их перечислять. Весь этот всплеск паранойи обусловлен разоблачением программы PRISM. В данной статье я предлагаю посмотреть на проблему с другого ракурса.
Во-первых, хочу сказать, я все это не от балды сейчас буду писать, а у меня есть многолетняя практика в этом вопросе. Более года я был модератором в разделе "Анонимность" на античате [http://forum.antichat.ru/forum81.html], а также мною была создана специальная тема [http://forum.antichat.ru/thread247413.html], посвященная вопросам о VPN. В ней я самолично, а также вместе с другими юзерами провел тестирование десятков VPN сервисов, что отражено на главной странице. На данный момент количество просмотров у темы приближается к 120 000. В конце статьи я приведу реальные примеры, которые обоснуют мои слова.

Первое, что вам надо уяснить - 100% сервисов, которые продают услуги по proxy-ssh-dedicated, в независимости от стоимости, и, чтобы они там не говорили, - плевать хотели на вашу анонимность. А единственное, что их заботит - это нажива. Поднять самому и использовать - вариант тоже отпадает. Почему, я приведу интересную заметку в конце статьи. Единственное хочу сказать: сейчас создаются разработки, которые позволяют вычислить практически любого. Банальный пример из последних, с деанонимизацией пользователей сети TOR, которая считалась неприступной. И это только то, что афишируются, а про закрытые наработки я вообще молчу.

Очень много читаю статей, там рассказываются многоуровневые комбинации с использованием proxy-ssh-dedicated server, различные их вариации, а также количественные варианты. Но можно обойтись даже одним VPN'ом. Допустим, вы проживаете в России, официальный язык в стране русский, значит вам нужно найти сервер, который находится в стране с наиболее непонятным для нас языком, будь то, к примеру, Китай или Япония. И именно чтобы непосредственно саппорт данного сервиса говорил исключительно на данном языке. Найти переводчика нашим правоохранительным органам для такого специфического и сложного языка будет весьма проблематично, плюс ко всему затратно. Это очень усложнит все разбирательство, если они в какой-то момент просто не плюнут на эту затею, то, как минимум, все затянется. Что нам поможет выиграть драгоценное время.

Второе, чему стоит уделить внимание, это вражда между странами на государственном уровне. На примере, опять же, России - это будет, к примеру, Грузия. После всем известного конфликта, отношения по многим направлениям между странами были перечеркнуты, общая напряженность и враждебность сыграют нам только на руку.

Вот 2 фактора, которые вы должны знать. Я специально не хочу вам забивать голову разными "цепочками" по 10 прокси и дедиков. Я уверен: все, кто расписывает эти многоуровневые сложные схемы обеспечения анонимности, в реальности сами ими никогда не пользовались. Насколько известно в контексте идей, изложенных в моей статье, проблему никто никогда не рассматривал.

Идеальная схема такова: саппорт сервиса на сложном и редком для вашей страны языке + сервер, располагающийся на территории, недружелюбно относящейся к вашей стране.

Вот вам случай в подтверждение моих слов, произошел буквально недавно, на момент написания статьи, а именно в сентябре 2013. Речь пойдет о VPN провайдере Proxy.sh. Далее, я приведу оригинальный текст, чтобы не исказить суть:]

"Security and encryption services provider Proxy.sh has admitted intercepting traffic on one of its US servers in an effort to identify a hacker. Interestingly, the VPN provider wasn’t forced by law enforcement to do so. Instead, the company took matters into its own hands after being alerted by the family of a girl who was harassed online."

Что мы имеем: их не вынуждали правоохранительные органы выдавать информацию, даже так. А хватило банального обращения от семьи девушки. На примере моего способа, смогла бы эта семья обратиться к какому-нибудь китайскому саппорту на иероглифах? Я думаю, маловероятно.

Еще немного нагоню страха. Так сказатьЮ вернемся к нашим баранам - поговорим про "Отдел К". Вот такую интересную переписку довожу до вашего внимания, которую я осуществил с моим приятелем. Тут без комментариев.

Собеседник (17:19:23 26/12/2012)
Я ж недавно попадал в К
Собеседник (17:19:26 26/12/2012)
я рассказывал?
Собеседник (17:19:27 26/12/2012)
)
HIMIKAT (17:19:30 26/12/2012)
не
Собеседник (17:19:43 26/12/2012)
Слава Богу, все чистое
Собеседник (17:19:54 26/12/2012)
Короче постучалась компания московская
Собеседник (17:19:59 26/12/2012)
диджитал
Собеседник (17:20:01 26/12/2012)
чето там
Собеседник (17:20:02 26/12/2012)
вроде
Собеседник (17:20:06 26/12/2012)
и говорят нужен аудит
Собеседник (17:20:26 26/12/2012)
Подписал договор подряда
Собеседник (17:20:33 26/12/2012)
Всякие доки о неразглашении
Собеседник (17:20:42 26/12/2012)
месяца два это все туда-сюда слалось
Собеседник (17:20:52 26/12/2012)
Сайт государственный
Собеседник (17:21:06 26/12/2012)
Обыскал, работал только с ним дней 10
Собеседник (17:21:09 26/12/2012)
Нашел скулю
Собеседник (17:21:20 26/12/2012)
отправил отчет, но скулю закрыли
Собеседник (17:21:31 26/12/2012)
и тут ко мне отдел К в гости приходит
Собеседник (17:21:33 26/12/2012)
мол так и так
Собеседник (17:21:35 26/12/2012)
давай пугать
Собеседник (17:21:40 26/12/2012)
а я улыбаюсь
Собеседник (17:21:46 26/12/2012)
мол, у меня все по честному
Собеседник (17:21:50 26/12/2012)
я ИП, вот договора
Собеседник (17:21:52 26/12/2012)
уес
Собеседник (17:22:08 26/12/2012)
Вот и все дела
Собеседник (17:22:14 26/12/2012)
Такая вот интересная история
Собеседник (17:22:15 26/12/2012)
=)
Собеседник (17:22:33 26/12/2012)
А в подробностях это вообще все тупо
HIMIKAT (17:22:37 26/12/2012)
я так понял они оплачивать услуги отказались и подключили отдел к
Собеседник (17:22:43 26/12/2012)
Не
Собеседник (17:22:51 26/12/2012)
Все оплатили
Собеседник (17:22:56 26/12/2012)
просто отдел безопасности
Собеседник (17:22:59 26/12/2012)
был не в курсах
Собеседник (17:23:04 26/12/2012)
что проводится аудит
HIMIKAT (17:23:22 26/12/2012)
а ты со своего айпишника все делал
Собеседник (17:23:25 26/12/2012)
У меня фотка даж кабинета местного отдела к
Собеседник (17:23:35 26/12/2012)
А вот и нет)
Собеседник (17:23:49 26/12/2012)
Но как я понял, вычислить как два пальца обоссать
Собеседник (17:23:52 26/12/2012)
анонимности нет)
HIMIKAT (17:23:59 26/12/2012)
какой фирмы впн юзал?
Собеседник (17:24:12 26/12/2012)
Не, я соксы юзал
Собеседник (17:24:16 26/12/2012)
впринципе пабликовские
Собеседник (17:24:19 26/12/2012)
с хайдми
HIMIKAT (17:24:33 26/12/2012)
забугорные?
HIMIKAT (17:28:13 26/12/2012)
ты наверно юзал какие-то галимые которые светятся, надо проверять на сервисе whoer.net, который все возможные 
параметры палит, вроде как-то через java можно спалится свой реальный адрес
Собеседник (17:40:05 26/12/2012)
быть может

Теперь факты:
вся правда о связке VPN + Socks: http://i.minus.com/iL09NVfOu4Rmu.png
а тут поломали VPN-сервис vpn24.org и выяснились такие пикантные подробности: http://i.minus.com/ibrsqfjNaWRjAt.gif
ну и напоследок информация для размышления: http://i.minus.com/izod8al6u4uGx.png

Давайте проанализируем последний лог в виде скриншота, с позиции социального инженера. Я не буду делать никаких выводов, потому что ситуация неоднозначна, а приведу лишь "голые" факты. Вывод сможет сделать каждый сам.

  • первое, что бросается в глаза: зачем человек, администратор данного VPN сервиса, который, к слову сказать, проработал уже достаточно давно, вообще выложил этот лог и просил совета, как ему поступить? Непонятно;
  • админ VPN поначалу затребовал письмо из банка и заявление о возбуждении дела, в следствие чего он готов был дать ответ. Согласитесь, когда не ведутся логи, сразу об этом заявляется, и беседа начинает вестись в другом ключе;
  • разговор можно разделить на 2 части: первая, когда администратор был готов идти на сотрудничество после предоставления ему необходимых документов; и вторая часть, заключительная, когда админ понял, что, возможно, этот человек не совсем тот, за кого себя выдает, и тон сменился. Только после этого начались разговоры, что логи не ведутся.

В заключение хочу затронуть такой вопрос, как безопасность и правильная подборка паролей от различных сервисов. Ведь когда узнали ваш пароль, это куда гораздо хуже, если кто-то спалил ваш IP. Тут представляется полет фантазии для взломщика:

  • можно восстановить доступы от других аккаунтов или сервисов;
  • составить ваш психологический портрет, основываясь на вашей корреспонденции;
  • в конце концов, прикинувшись вами, методами социальной инженерии разузнать у ваших знакомых о вас больше.

Используйте, допустим, свой любимый пароль, но интерпретированный в MD5/SHA-1 etc. Также, к примеру, можно использовать хоть двухсимвольник, но, чтобы был один, к примеру, японский символ. Просто найдите японский сайт, где на главной странице всегда будет этот символ, добавляете его в закладки, будете на него заходить и копировать часть пароля. Я категорически не рекомендую пользоваться менеджерами паролей, мало того, что там возможны уязвимости, так, к примеру, на днях мой знакомый похерил доступ к одному такому менеджеру. Вот как я лично храню пасы: http://i.minus.com/iPAqV0YCZXLU9.jpg. В последнем блокноте я записываю аккаунты с обеих сторон, то есть с первого и последнего листа и продвигаюсь к середине. Одна часть - не важные аккаунты, другая часть - аккаунты, которые для меня представляют ценность. Второй части не так уж много, поэтому их можно будет быстро уничтожить. На самом деле я не разделяю всеобщей паранойи насчет анонимности, просто мне так захотелось. К тому же зашифрованная копия хранится в WEB, она спрятана таким методом, по типу как я описал в начале статьи про генерацию пароля. Поэтому раскодировать ее месторасположение, а потом содержимое, сможет только мой воспаленный разум. Основное, что я до вас хочу донести, это не тривиальность подхода.


###Часть 3: Мировая хак сцена###

hack_1 Самыми сильными в плане хак скилла, как я считаю, да и, наверно, общепризнанно, являются китайцы и русские. При этом китайцы немного впереди, но совсем немного. Также, отличительной чертой китайцев является то, что они найдут какую-то уязвимость, вот видно, что уязвимость есть, но до конца, для применения в боевых условиях, ее раскрутить не могут.

Далее пойдут германцы. Это вообще уникальная нация, мне их хак форумы очень нравятся. Вот их дотошность можно проследить еще со времен II мировой. И до сегодняшних дней она осталась. Приведу наглядный пример: они единственные, кто выкладывают дампы взломанных сайтов не отдельным .sql файлом, а уже установленными на локальный сервер. То есть все, что необходимо - это распаковать архив и запустить сервер. Ко всему этому прилагается подробная инструкция. И это не какой-то единичный форум, а прослеживается тенденция.
http://i.minus.com/ibw7xn96NwCvMC.gif

И вот такая педантичность у них во всем. Вы можете сказать: "это все бред", что я тут расписываю. Но знание менталитета, особенно в рамках хак сообществ, очень поможет вам в той же социальной инженерии и проникновении в защищенные места с помощью нее. Ведь там, где нет уязвимостей (вообще, между нами - они везде есть, только некоторые до сих пор не найдены) проникнуть может помочь только СИ. А если кто не согласен, бежим перечитывать, как был взломан hbgary.com, а в последствии и rootkit.com. При том при всем, это еще достаточно простенький уровень, что совсем не умиляет его значимости. Также я подчерпнул очень много специфического софта под разные нестандартные цели, только на германских форумах, больше мне подобное нигде не попадалось. То есть не тривиальные aka 101 регер/чекер/брутер и тому подобное в новом скине, а тулзы, которые я видел в единичном экземпляре.

Испанцы. Не знаю почему, но представители этой нации просто завалили "морем" разнообразных крипторов. На их форумах ежедневно появляются десятки, если не сотни различных крипторов. Они берут старые крипторы и модифицируют их, чтобы они перестали палится антивирями. Такой феномен есть, чем он обусловлен, я пока не понял.

Также не могу не затронуть почивший нас vulnes.com [русскоязычный]. Автор данного материала, оттрубил более года на нем модератором, но это так, к сведению, не понта ради, а показать, все что я пишу, подкреплено личным опытом. Так вот была идея у админа этого ресурса: собрать всех специалистов в области ИБ, в одном месте. Способы были выбраны нетривиальные: по типу берется какой-то уже существующий хак форум, и всем видным людям с него отправляется письмо с предложением каких-то плюшек на обозначенном ресурсе, по типу модерки или VIP-раздела. Ну и опять же, заманивание друзей знакомых, предлагая им какие-то ништяки. Я не сразу присоединился к той команде, но потом, получше приглядевшись, увидел перспективы в ресурсе. По большому счету, все хак форумы - это копипаста, но там была именно правильная копипаста, разбавленная какими-то своими наработками. Потом через какое-то время, как это обычно бывает, все загнулось.

Сейчас образуется очень много этнических групп: арабы, курды. etc. Я считаю, это не совсем верно, имеется универсальный язык - английский, так зачем себя ограничивать рассовыми рамками?! На забугорных хак форумах прослеживается популярная тенденция продажи доступа к приватке за сумму в пределах 50 баксов, плюс-минус, ежемесячно. Понятно, что на таких форумах ловить нечего, но даже на достаточно не плохих ресурсах я такое встречал. Невозможность админов отбить эту сумму с хака, жадность, не знаю. Также отмечу такой факт, среднее время жизни свежесозданного хак форума в пределах 1-1.5 года. Основное желание, которое движет юными сопливыми админами, это заработать денег с рекламы, но бывают и исключения. Кого-то уровня Криса Касперски не появляется, но в сложившейся системе я этому не удивлен. Был не плохой чувачок, и мой хороший приятель Sanjar Satsura. Его статьи в Ксакепепе переодически шли на обложку как статья номера. Понимаю, что нынешний ксакеп давно не показатель, но по общению с ним скажу, что человек был довольно разбирающийся. Именно не в том зазубрить что-то по мануалам, а в новых подходах. К тому же напомню: именно он слил сорцы зевса в паблик, но это так, не столь важно. Так вот таких людей становится все меньше и меньше.

Еще также стоит упомянуть, повязали LulzSec, якобы костяк другой группы Anonymous. Но они не понимают. Это как в фильме Эксперимент 2: Волна, волна уже запущена. Посмотрите, только что Syrian Electronic Army творит.

Ну и напоследок, русскоязычное community. О плохом, так сказать, под конец решил написать. Большая часть старых хак форумов мертвы, админы их чисто держат, чтобы стричь монету с рекламы. Новые хак форумы, среднее время жизни от полугода до года, при этом половина уже изначально создается, чтобы впоследствии стричь монету. Обилие скрипт киддисов, рипаков, кидал и прочей шалупони характеризуют русские хак форумы. Банально пройдитесь по самым крупным rus хак порталам. Какие разделы самые популярные? Правильно, купля/продажа. Основная проблема, какую я вижу: админы этих крупных форумов, пусть косвенно, но причастны ко всему этому, поскольку для них главное прибыль, и все это растет как снежный ком. Хорошо происходящую ситуацию описывает высказывание очень популярного web-мастера дорвейщика, не будем приводить имен. Ему пох, что на его сайте шеллы, сайт работает, деньги капают, да и ладно.

Подытожим. За более чем 7 лет нахождения в сфере ИБ, я не могу сказать, что идет регресс, но много факторов, подтверждающих это. Но даже среди всего этого мусора, можно подчерпнуть что-то полезное, поэтому отделяйте зерна от плевел.


______________________________
Versus71 aka HIMIKAT
2013

Inception E-Zine