Заметки по ИБ###Часть 1: Приваты###
На данный момент, по прошествии времени, если одним словом охарактеризовать все приваты, это полное разочарование. Тут стоит сделать поправку: если вы новичок в теме хака, то, скорее всего, вы найдете для себя много интересного, но на приват вам, скорее всего, не попасть, поскольку у вас мало знаний, а, соответственно, толку для комьюнити. Но здесь тоже есть свои отступления, особенно для русскоязычных ресурсов, о которых я поговорю ниже. Когда вы достаточно прошаренный и попадаете своими силами/знаниями, ситуация диаметрально противоположная - уже вам от комьюнити мало толку. Рассмотрим заявки новых соискателей на тех ресурсах, где они предусмотрены. Говорю сразу: в подавляющем большинстве случаев, каким бы пиздатым и невъебенным вы не были, кодили на нескольких языках программирования, обладали хорошими скиллами по web-уязвимостям, а также ни в чем, что именуется скрипт-киддинг или кидалово, замечены не были, спешу вас разочаровать - попасть вам на приватку, скорее всего, не суждено. Абсолютно похуистическое отношение действующих мемберов, если вы не их дружок или кореш, с которым они мутили какие-то дела - чреватые хорошими барышами. Как правило, отписываются в таком духе: "ну не знаю, мне похер; не знаю такого; мне пох; просто нет" [не подкрепляя свою точку зрения ничем], ну и в таком духе. Общими словами это можно описать полным похуизмом. Итак, кто же являются представителями этих самых приватов с разноцветными никами?
Особенно данный признак явно выражен и часто проявляется на русскоязычных ресурсах. Теперь, как попасть - вариантов много. Описанные выше 2 типа юзеров - в этом и прелесть, и грусть. Прелесть, что они, как правило, тупые, что помогает, не прилагая многих усилий, завладеть их аккаунтом. Грусть, что такие люди не могут привнести ничего интересного в приватку, и когда процент таких зашкаливает, приват акцесс теряет смысл. Основная техника - это социальная инженерия, поскольку я считаю данные ресурсы наиболее вкусными. Если до этого на них не нашлось паблик/полу-приват уязвимостей, значит их приваток нет у каждого второго, темы будут постепенно сливаться в паблик, убиваться или вообще выложат весь дамп. Техники:
Так, теперь, что вас ожидает, если вы всетаки попали. В принципе, когда вы уже достигли уровня, когда вас берут на те ресурсы, где оцениваются знания, пройдя весь путь, вы уже не нуждаетесь в приватках. Абсолютно все необходимое есть в паблике. Для меня Wireshark, sqlmap, Metasploit и им подобные инструменты из паблика гораздо ценнее, чем подавляющее большинство инструментов и тем из приваток. Ну нужна вам какая-то софтина, заплатите вы тому же кодеру 50-100 бачей, и все будет тип топ. Отдельным словом упомяну про карж площадки. В сферу специфичности направления, там практически вообще не встречается привата, что можно отнести под этот термин. Чуть менее чем полностью, они состоят из барыжнических тем. Вы скажете, мол, вот проверенные селлеры, не кинут, можно спокойно работать. Но и в этом спешу вас разочаровать: подавляющее большинство этих людей также спокойно ведет бизнес на площадках с открытым доступом, ввиду того, что на закрытых ограниченная аудитория или в силу свой жадности. P.S. вот я сейчас сижу на одном ресурсе. Как я только туда попал, к моему удивлению, там оказалось очень много скрытых разделов, они мне все доступны. Но я вам скажу: те темы, которые создаются в паблик разделах, гораздо круче, такие дела. ###Часть 2: Другой взгляд на анонимность###
Первое, что вам надо уяснить - 100% сервисов, которые продают услуги по proxy-ssh-dedicated, в независимости от стоимости, и, чтобы они там не говорили, - плевать хотели на вашу анонимность. А единственное, что их заботит - это нажива. Поднять самому и использовать - вариант тоже отпадает. Почему, я приведу интересную заметку в конце статьи. Единственное хочу сказать: сейчас создаются разработки, которые позволяют вычислить практически любого. Банальный пример из последних, с деанонимизацией пользователей сети TOR, которая считалась неприступной. И это только то, что афишируются, а про закрытые наработки я вообще молчу. Очень много читаю статей, там рассказываются многоуровневые комбинации с использованием proxy-ssh-dedicated server, различные их вариации, а также количественные варианты. Но можно обойтись даже одним VPN'ом. Допустим, вы проживаете в России, официальный язык в стране русский, значит вам нужно найти сервер, который находится в стране с наиболее непонятным для нас языком, будь то, к примеру, Китай или Япония. И именно чтобы непосредственно саппорт данного сервиса говорил исключительно на данном языке. Найти переводчика нашим правоохранительным органам для такого специфического и сложного языка будет весьма проблематично, плюс ко всему затратно. Это очень усложнит все разбирательство, если они в какой-то момент просто не плюнут на эту затею, то, как минимум, все затянется. Что нам поможет выиграть драгоценное время. Второе, чему стоит уделить внимание, это вражда между странами на государственном уровне. На примере, опять же, России - это будет, к примеру, Грузия. После всем известного конфликта, отношения по многим направлениям между странами были перечеркнуты, общая напряженность и враждебность сыграют нам только на руку. Вот 2 фактора, которые вы должны знать. Я специально не хочу вам забивать голову разными "цепочками" по 10 прокси и дедиков. Я уверен: все, кто расписывает эти многоуровневые сложные схемы обеспечения анонимности, в реальности сами ими никогда не пользовались. Насколько известно в контексте идей, изложенных в моей статье, проблему никто никогда не рассматривал. Идеальная схема такова: саппорт сервиса на сложном и редком для вашей страны языке + сервер, располагающийся на территории, недружелюбно относящейся к вашей стране. Вот вам случай в подтверждение моих слов, произошел буквально недавно, на момент написания статьи, а именно в сентябре 2013. Речь пойдет о VPN провайдере Proxy.sh. Далее, я приведу оригинальный текст, чтобы не исказить суть:] "Security and encryption services provider Proxy.sh has admitted intercepting traffic on one of its US servers in an effort to identify a hacker. Interestingly, the VPN provider wasn’t forced by law enforcement to do so. Instead, the company took matters into its own hands after being alerted by the family of a girl who was harassed online." Что мы имеем: их не вынуждали правоохранительные органы выдавать информацию, даже так. А хватило банального обращения от семьи девушки. На примере моего способа, смогла бы эта семья обратиться к какому-нибудь китайскому саппорту на иероглифах? Я думаю, маловероятно. Еще немного нагоню страха. Так сказатьЮ вернемся к нашим баранам - поговорим про "Отдел К". Вот такую интересную переписку довожу до вашего внимания, которую я осуществил с моим приятелем. Тут без комментариев. Собеседник (17:19:23 26/12/2012) Я ж недавно попадал в К Собеседник (17:19:26 26/12/2012) я рассказывал? Собеседник (17:19:27 26/12/2012) ) HIMIKAT (17:19:30 26/12/2012) не Собеседник (17:19:43 26/12/2012) Слава Богу, все чистое Собеседник (17:19:54 26/12/2012) Короче постучалась компания московская Собеседник (17:19:59 26/12/2012) диджитал Собеседник (17:20:01 26/12/2012) чето там Собеседник (17:20:02 26/12/2012) вроде Собеседник (17:20:06 26/12/2012) и говорят нужен аудит Собеседник (17:20:26 26/12/2012) Подписал договор подряда Собеседник (17:20:33 26/12/2012) Всякие доки о неразглашении Собеседник (17:20:42 26/12/2012) месяца два это все туда-сюда слалось Собеседник (17:20:52 26/12/2012) Сайт государственный Собеседник (17:21:06 26/12/2012) Обыскал, работал только с ним дней 10 Собеседник (17:21:09 26/12/2012) Нашел скулю Собеседник (17:21:20 26/12/2012) отправил отчет, но скулю закрыли Собеседник (17:21:31 26/12/2012) и тут ко мне отдел К в гости приходит Собеседник (17:21:33 26/12/2012) мол так и так Собеседник (17:21:35 26/12/2012) давай пугать Собеседник (17:21:40 26/12/2012) а я улыбаюсь Собеседник (17:21:46 26/12/2012) мол, у меня все по честному Собеседник (17:21:50 26/12/2012) я ИП, вот договора Собеседник (17:21:52 26/12/2012) уес Собеседник (17:22:08 26/12/2012) Вот и все дела Собеседник (17:22:14 26/12/2012) Такая вот интересная история Собеседник (17:22:15 26/12/2012) =) Собеседник (17:22:33 26/12/2012) А в подробностях это вообще все тупо HIMIKAT (17:22:37 26/12/2012) я так понял они оплачивать услуги отказались и подключили отдел к Собеседник (17:22:43 26/12/2012) Не Собеседник (17:22:51 26/12/2012) Все оплатили Собеседник (17:22:56 26/12/2012) просто отдел безопасности Собеседник (17:22:59 26/12/2012) был не в курсах Собеседник (17:23:04 26/12/2012) что проводится аудит HIMIKAT (17:23:22 26/12/2012) а ты со своего айпишника все делал Собеседник (17:23:25 26/12/2012) У меня фотка даж кабинета местного отдела к Собеседник (17:23:35 26/12/2012) А вот и нет) Собеседник (17:23:49 26/12/2012) Но как я понял, вычислить как два пальца обоссать Собеседник (17:23:52 26/12/2012) анонимности нет) HIMIKAT (17:23:59 26/12/2012) какой фирмы впн юзал? Собеседник (17:24:12 26/12/2012) Не, я соксы юзал Собеседник (17:24:16 26/12/2012) впринципе пабликовские Собеседник (17:24:19 26/12/2012) с хайдми HIMIKAT (17:24:33 26/12/2012) забугорные? HIMIKAT (17:28:13 26/12/2012) ты наверно юзал какие-то галимые которые светятся, надо проверять на сервисе whoer.net, который все возможные параметры палит, вроде как-то через java можно спалится свой реальный адрес Собеседник (17:40:05 26/12/2012) быть может Теперь факты: Давайте проанализируем последний лог в виде скриншота, с позиции социального инженера. Я не буду делать никаких выводов, потому что ситуация неоднозначна, а приведу лишь "голые" факты. Вывод сможет сделать каждый сам.
В заключение хочу затронуть такой вопрос, как безопасность и правильная подборка паролей от различных сервисов. Ведь когда узнали ваш пароль, это куда гораздо хуже, если кто-то спалил ваш IP. Тут представляется полет фантазии для взломщика:
Используйте, допустим, свой любимый пароль, но интерпретированный в MD5/SHA-1 etc. Также, к примеру, можно использовать хоть двухсимвольник, но, чтобы был один, к примеру, японский символ. Просто найдите японский сайт, где на главной странице всегда будет этот символ, добавляете его в закладки, будете на него заходить и копировать часть пароля. Я категорически не рекомендую пользоваться менеджерами паролей, мало того, что там возможны уязвимости, так, к примеру, на днях мой знакомый похерил доступ к одному такому менеджеру. Вот как я лично храню пасы: http://i.minus.com/iPAqV0YCZXLU9.jpg. В последнем блокноте я записываю аккаунты с обеих сторон, то есть с первого и последнего листа и продвигаюсь к середине. Одна часть - не важные аккаунты, другая часть - аккаунты, которые для меня представляют ценность. Второй части не так уж много, поэтому их можно будет быстро уничтожить. На самом деле я не разделяю всеобщей паранойи насчет анонимности, просто мне так захотелось. К тому же зашифрованная копия хранится в WEB, она спрятана таким методом, по типу как я описал в начале статьи про генерацию пароля. Поэтому раскодировать ее месторасположение, а потом содержимое, сможет только мой воспаленный разум. Основное, что я до вас хочу донести, это не тривиальность подхода. ###Часть 3: Мировая хак сцена###
Далее пойдут германцы. Это вообще уникальная нация, мне их хак форумы очень нравятся.
Вот их дотошность можно проследить еще со времен II мировой. И до сегодняшних дней она осталась.
Приведу наглядный пример: они единственные, кто выкладывают дампы взломанных сайтов не
отдельным .sql файлом, а уже установленными на локальный сервер.
То есть все, что необходимо - это распаковать архив и запустить сервер.
Ко всему этому прилагается подробная инструкция.
И это не какой-то единичный форум, а прослеживается тенденция. И вот такая педантичность у них во всем. Вы можете сказать: "это все бред", что я тут расписываю. Но знание менталитета, особенно в рамках хак сообществ, очень поможет вам в той же социальной инженерии и проникновении в защищенные места с помощью нее. Ведь там, где нет уязвимостей (вообще, между нами - они везде есть, только некоторые до сих пор не найдены) проникнуть может помочь только СИ. А если кто не согласен, бежим перечитывать, как был взломан hbgary.com, а в последствии и rootkit.com. При том при всем, это еще достаточно простенький уровень, что совсем не умиляет его значимости. Также я подчерпнул очень много специфического софта под разные нестандартные цели, только на германских форумах, больше мне подобное нигде не попадалось. То есть не тривиальные aka 101 регер/чекер/брутер и тому подобное в новом скине, а тулзы, которые я видел в единичном экземпляре. Испанцы. Не знаю почему, но представители этой нации просто завалили "морем" разнообразных крипторов. На их форумах ежедневно появляются десятки, если не сотни различных крипторов. Они берут старые крипторы и модифицируют их, чтобы они перестали палится антивирями. Такой феномен есть, чем он обусловлен, я пока не понял. Также не могу не затронуть почивший нас vulnes.com [русскоязычный]. Автор данного материала, оттрубил более года на нем модератором, но это так, к сведению, не понта ради, а показать, все что я пишу, подкреплено личным опытом. Так вот была идея у админа этого ресурса: собрать всех специалистов в области ИБ, в одном месте. Способы были выбраны нетривиальные: по типу берется какой-то уже существующий хак форум, и всем видным людям с него отправляется письмо с предложением каких-то плюшек на обозначенном ресурсе, по типу модерки или VIP-раздела. Ну и опять же, заманивание друзей знакомых, предлагая им какие-то ништяки. Я не сразу присоединился к той команде, но потом, получше приглядевшись, увидел перспективы в ресурсе. По большому счету, все хак форумы - это копипаста, но там была именно правильная копипаста, разбавленная какими-то своими наработками. Потом через какое-то время, как это обычно бывает, все загнулось. Сейчас образуется очень много этнических групп: арабы, курды. etc. Я считаю, это не совсем верно, имеется универсальный язык - английский, так зачем себя ограничивать рассовыми рамками?! На забугорных хак форумах прослеживается популярная тенденция продажи доступа к приватке за сумму в пределах 50 баксов, плюс-минус, ежемесячно. Понятно, что на таких форумах ловить нечего, но даже на достаточно не плохих ресурсах я такое встречал. Невозможность админов отбить эту сумму с хака, жадность, не знаю. Также отмечу такой факт, среднее время жизни свежесозданного хак форума в пределах 1-1.5 года. Основное желание, которое движет юными сопливыми админами, это заработать денег с рекламы, но бывают и исключения. Кого-то уровня Криса Касперски не появляется, но в сложившейся системе я этому не удивлен. Был не плохой чувачок, и мой хороший приятель Sanjar Satsura. Его статьи в Ксакепепе переодически шли на обложку как статья номера. Понимаю, что нынешний ксакеп давно не показатель, но по общению с ним скажу, что человек был довольно разбирающийся. Именно не в том зазубрить что-то по мануалам, а в новых подходах. К тому же напомню: именно он слил сорцы зевса в паблик, но это так, не столь важно. Так вот таких людей становится все меньше и меньше. Еще также стоит упомянуть, повязали LulzSec, якобы костяк другой группы Anonymous. Но они не понимают. Это как в фильме Эксперимент 2: Волна, волна уже запущена. Посмотрите, только что Syrian Electronic Army творит. Ну и напоследок, русскоязычное community. О плохом, так сказать, под конец решил написать. Большая часть старых хак форумов мертвы, админы их чисто держат, чтобы стричь монету с рекламы. Новые хак форумы, среднее время жизни от полугода до года, при этом половина уже изначально создается, чтобы впоследствии стричь монету. Обилие скрипт киддисов, рипаков, кидал и прочей шалупони характеризуют русские хак форумы. Банально пройдитесь по самым крупным rus хак порталам. Какие разделы самые популярные? Правильно, купля/продажа. Основная проблема, какую я вижу: админы этих крупных форумов, пусть косвенно, но причастны ко всему этому, поскольку для них главное прибыль, и все это растет как снежный ком. Хорошо происходящую ситуацию описывает высказывание очень популярного web-мастера дорвейщика, не будем приводить имен. Ему пох, что на его сайте шеллы, сайт работает, деньги капают, да и ладно. Подытожим. За более чем 7 лет нахождения в сфере ИБ, я не могу сказать, что идет регресс, но много факторов, подтверждающих это. Но даже среди всего этого мусора, можно подчерпнуть что-то полезное, поэтому отделяйте зерна от плевел.
|