head_banners

понедельник, 23 сентября 2013 г.

Размышления на тему InfoSec. (pt.1)

 Информационная безопасность. Взгляд на проблему с обеих сторон "барикад"

 Понятие слова "Хакер"

  Трудно определиться с чего лучше начать данную статью. Но, пожалуй начнем мы с того, что охарактеризуем само слово "Хакер". По нынешним стереотипам и "шаблонам", многие понимают под этим словом человека, который что-то взламывает, вредит, занимается кибер-преступностью, но данное определение ошибочное. Хакерами называли тех людей, которые являлись специалистами в том или ином направлении IT. Если вы хороший программист, у вас идеальный код, вы знаете несколько языков и увас богатое партфолио - вас смело можно назвать хакером в программировании.

Надеюсь суть уловили данного термина? Правда, в данной статье, мы будем предерживаться общественных стереотипов, которые ныне сложились, для лучшего восприятия материала.

Под катом "стена" текста!
Откуда появляются "хакеры".

 Откуда появляются хакеры и с чего все начинается? Очень часто, в интернете появляются все новые и новые "хакеры" (почему в кавычках, поймете по контексту дальше), а появляются они из-за лени, из-за возможности легкой наживы, из-за отсутствия желания что-то вообще изучать. Такие люди сразу пытаются искать легкие пути добычи ценной информации, просят халявы, просят им чуть ли не подарить программы которые как они думают - могут взломать в один клик на чудную красную кнопочку.
 Да, такие программы есть (ну почти в один клик), но они весьма ограничены, в 90% случаях уже устаревшие (не просто так ведь они попадают в паблик) и раздают их тоже не просто так, вот на таких вот лентяях обычно и наживаются более серьезные ребята, заражая их компьютеры "вирусами" (делают ботов из компьютеров школьников). Лентяи в свою очередь, пытаются использовать тот мусор, который им выдают, да, они где-то возможно что-то и вытягивают, но это все обычно копейки, какая-то устаревшая и мало интересная информация, либо они не справляются даже с конфигурацией программы (яркий тому пример из предыдущей статьи).
  То есть, деградация дошла до такого уровня, что люди боятся что-то эксперементировать сами, не могут выполнять банально простые действия и логически мыслить, ленятся читать разные интересные статьи и книги, но при этом, они хотят всё и сразу. Такие вот ребята, долго не держатся. Первые пару дней, пока они только изучают "новые" игрушки и у них что-то выходит на старых заброшеных сайтах, случайных почтах и т.п. - они пытаются чего-то делать, смотреть забавные ролики и читать про Anonymous.
 Но вот, как только они наступают на первые подводные камушки в виде отсутсвтия на ресурсе какой-то одной определенной уязвимости, или словарь брута не осиливает почту которую попросил взломать друг,
 они обычно забивают на это, т.к. ничего не выходит, знаний то нету как таковых, как и что работает - представления не имеют, а "База данных" для них - просто набор странных слов, которая по плану (шаблону) должна выдавать пароль, но она СЦУКО ЕГО НЕ ВЫДАЕТ! Или выдает какой-то странный набор буковок и циферок (ведь не все хранят пароли в открытом виде), да и пароли не у всех состоят из 'qwerty' или '12345'. На данном этапе, отпадает обычно до 80-90% так называемых "хакеров". Благо, у людей хватает ума понять, что это не их степь и делать им тут нечего (у некоторых на осознание своей бесполезности уходит до года и более).  Но, понять свою бесполезность это одно, а когда тебе под видом крутой тулзы скормили когда-то бота и ты вроде и вышел с "бизнеса", а все же в нем остался хоть и не по своей воли эт совсем другое.

 Тут опять же, нужен мозг, все проверить, лишний раз не полениться и сделать полное форматирование жесткого диска, иначе тебя будут использовать дальше.

  Я на разного рода андерграунд форумах, если вижу таких просящих, обычно сразу помогаю прикидываю, сколько моя сеть получит новых "клиентов" на недельке, и конечно же "помогаю" ребятам. Скармливаю им "что-то прикольное" и они это гавнецо едят, тщательно пережевывают еще и спасибо мне говорят.
 В таких случаях, не приходится даже криптовать малварь, ибо я на 110% уверен, что после моей фразы (с видео или картиночками в качестве пруфов) о том, какая данная тулза крутая и что авиры ее будут детектить и ругаться - они выключат антивирусы и не будут НИЧЕГО проверять, просто скушают, переварят (как свиньи по сути) и сами потом попадут на конвеер в бизнес, только не в роли партнера, а в роли "раба". Из таких вот школьников, за неделю можно собрать до 4-5к машинок в сеть, если не полениться и разместить малварь на 5-7 форумах с хотя бы средней посещаемостью.

  Где тусуются более серьезные ребята, почему они такие медленные и не взламывают по 100500 сайтов в день, почему они не делятся софтом и не дают халяву.

 Там, где тусуются более серьезные ребята - ресурсы стараются не подвергать широкой огласке, ибо будет наплыв школоты (даже с учетом системы инвайтов и постоянных банов). Ресурсы стараются делать на английском, для возможности участия разношерстной публики (из разных
стран) для создания более серьезной и крупной базы знаний \ рынка. По поводу скорости - главное не количество, а качество.
 Данный факт уместен везде и всегда, если вы хотите получить качественный продукт \ максимальную отдачу. Для примера мы возьмем следующие ресурсы: сайт, сервер, компьютер пользователя, почту, фтп, банк. На примере эксплуатации взломанного сайта - да, иногда можно "повеселиться" и сделать простой дефейс, чего-то удалить и т.п. Но мы ведь с этого ничего не получим?
 Тогда почему мы не устраиваемся на работу, а сидим и чего-то ломаем? Ну нет, нам ведь надо за что-то жить, заправлять машину, оплачивать счета и т.д. Так что, если сайт взламывал человек знающий, то вы этого не заметите, вы даже не поймете, что вас уже взломали. Ведь что мы можем с этого поиметь: можно размещать iframe'мы и продавать трафик, можно подменять файлы (если сайт что-то предлогает качать или продает софт) на инфицированые и собирать пользователей сайта себе в сеть, можно заниматься рекламой, раскруткой (размещая нужные ссылки \ меняя описание или тэги), можно создавать из сети взломанных сайтов (базы) хороший прокси, можно сливать базы данных и собирать базу для спамма.

 В случае с интернет магазинами, все гораздо приятнее - мы получаем данные кредитных (в основной массе дебетовых) карточек, получаем номера телефонов, сканы паспортов и еще кучу личной и полезной информации о
пользователях, при правильно эксплуатации которой, кроме фана мы еще можем извлечь кучу финансовой и информационной выгоды (информация всегда была ценнейшим товаром!).

 Если мы вдруг взломали сервер - не надо радостно бежать на школьные форумы и делиться этим в раздачах или кому-то говорить. Надо молча браться за маны (если вы их не курили прежде и не знаете чего делать дальше) и эксплуатировать лошадку по максимому НО не спеша, т.к. админам не просто так платят их деньги, за которые они должны их мониторить.  Мы предварительно, должны разделить серверы на несколько категорий, и по мере возможности эти категории поддерживать (лучше на постоянной основе).Из серверов, можно ведь делать ботов, можно делать специальные загрузочные площадки для проведения тестов \ просмотра кинца, проверки софта, можно делать небольшие хранилища временной информации (не особо рекомендую, там есть свои "подводные камушки"), можно поднимать свои сервисы - но надо соблюдать определенные правила, т.к. если вас заметят - вам закроют доступ, а сервер начнут проверять на дырки (в таких случаях, надо иметь возможность восстановления "потерянного" доступа, нубы ее обычно не постигают и вечно страдают из-за этого). Так что - тише воды и ниже травы.

  Самое главное - не брать дедики на раздачах, т.к. в 101% случаях, доступ к нему будет не только у вас (если вы опытный человек, в раздачах вы обычно не сидите), если доступ не только у вас - ваши труды может использовать кто-то другой. 
 Вы например на дедике подняли брут почтовиков, собрали солидную базу валида, положили свои словарики, свой приватный брут - а кто-то это все зашел и слил себе \ удалил \ насрал вам в душу, смысл? Всегда надо использовать только СВОИ наработки (под исключение могут попадать базы эксплойтов, определенные дыры в CMS, какой-то дополнительный софт). В данном случае, мы с сервера можем выжать максимум пользы и прибыли за счет поднятия VPN \ Proxy, используя для "быстро вымирающих" ботнетов (обычно серваки быстро палят, но денюжку сорвать можно успеть за работенку) и т.п. 
 Еще, можно делать базы серверов и продовать их, но если заниматься именно продажей дедиков - то это будет съедать много времени и может перерости в основной бизнес (у многих он продуктивно продвигается и зарабатывают хорошие бабки).

 Компьютеры мы можем эксплуатировать по разному - для загрузок, слива информации, для создания ботнетов. Если дружите с головой, то крупный ботнет лучше эксплуатировать для загрузок, т.к. это менее палевно, получаете больше денег и меньше гемороя. На этапе сборки
ботнета, лучше его вообще не эксплуатировать, т.к. аверы не дремлют, логи пеЙчатаются а юзеры не всегда оказываются овощами...
 Да и провайдеры странные люди, могут отключить интернет пользователю, пока он не проверит свой компьютер на наличие вашей малвари.

 Школьники, обычно если получают доступ к компьютеру, пытаются туда загрузить RAT (Remote Admin Tool) и "поприкалываться" с мышкой на экране или напечатать "FUCK YOU NIGGA" после чего, они конечно теряют добытую трудом и потом машинку. Весело, можно рассказать друзьям, но что вы с этого поимели?

 Если вдруг по счастливой случайности, мы "вспомнили" пароль от чей-то почты и получили доступ к ней, первое что сделает школьник - поменяет все данные, напишет всем друзьям жертвы, что он кулхацкер и сейчас читает "элитную" частную переписку (в основном с рекламными сайтами про "что-то увеличить" или "как стать милионером в интернет-казино Васи Пупкина") (Вася, без обид!). 
 В 50% случаях, почту можно вернуть с помощью переписки с администрацией (надо помнить массу разных фактов о своей почте, какие там последнии письма и последние пароли \ имена пользователей были), некоторые делают привязку одной почты к другой (на случай утери пароли, его можно получить на другую почту), но почему-то
при этом указывают везде одинаковые пароли (40-50% юзеров) или пароли на второй (резервной) почте еще проще ставят, что б точно не забыть.

 Самым логичным будет - привязка к мобильному телефону, использование паролей от 30 символов (включая @#$), ну и конечно же - почту надо делать на gmail.com (это не реклама, но у них самая лучшая и безопасная система).
 В плане эксплуатации данной находки - не надо менять данные ВООБЩЕ (вдруг юзер получит уведомление на мобилку, что его просят изменить пароль). Все что надо сделать - перелопатить (использовать лучше парсеры) переписку (входящие \ отправленные \ корзину) и поставить почту на мониторинг, если вдруг попадется на ней что-то вкусное, выжидая часа "Ч", когда можно будет поиметь с этого что-то более чем просто фан.
 Многие используют электронные валюты (привязка к почте идет), отсылают сканы паспортов (получают их), не удаляют письма после регистрации на разных ресурсах оставляя кучи паролей и других "сэкрэтных" данных. Опять же - социальные сети и т.п., через которые мы можем весело продолжить распостранение малвари, или через почты друзей жертвы.

 В плане ФТП, все обстоит проще. Мы можем только подменять файлики которые там находятся, на такие же со склейкой, 90% что их будут продолжать качать около 1-ой или 2-ух недель пока заметят (проверено временем). К фтп у нас часто уже есть доступ и нам не надо ничего ломать. Тут уже все упирается в вашу фантазию. Иногда хочется просто тупо "задорно пошутить", но бывает и по делу надо (вспоминаем, что нам для ботнета не хватает еще пару сотен компьютеров).

Остались у нас банки. Для данной категории у нас мало вариантов, любой из возможных будет требовать серьезных денежных затрат.

 Для получения определнных доступов нам придется знать социальную инженерию гораздо глубже основ, нам надо продумывать каждый шаг и действовать без ошибок. Школьником данное явно не подсилу, да и вообще мало кому. Сравнения тут приводить смысла нет.  Описывать сам процесс и т.д. полагаясь только на теории - не интересно. Но, надо помнить одно - жадность не всегда хорошо (в случае с МММ она вроде рулила какое-то время), откусывать надо мало, дропов постоянно использовать из разных стран и не фокусироваться на одном каком-то удачно и стабильном месте.
 Где-то кинут вас,но помните - вы по сути то же кидаете :;):

  Почему так модно красть информацию, это же просто интернеты, тут одна фигня?
Ценность и важность информации придает всегда сам человек.
 С модой на социальные сети, интернет-валюты, интернет-торговлю, желанием работать быстрее и глобальнее (с помощью интернета), хранением важной информации на компьютерах которые в сети (ведь иногда хотим иметь к ней доступ удаленно), созданию интернет-организаций которые работаю по средствам удаленной работы на серверах, изобретением и желанием внедрить все более новое, свежее НО не до конца проверенное (нам ведь главное подпищики и деньги) - это все и дает работу таким людям как хакеры.
 Увы, не каждая организация может позволить себе содержать специалиста высокого уровня \ квалификации, и не у всех есть возможность построить
карьеру в Google или Microsoft, а зарабатывать людям надо.

 Хотя, если посмотреть с другой стороны - без хакеров, компании не смогут пополнять свои бюджеты на подписчиках (вроде Microsoft) оказывая поддержку или выпуская пачти, т.к. не ломают, значит и о безопасности так серьезно думать не надо. Антивирусные компании сразу ушли бы с рынка и много людей потеряли бы работу (которую им дают "безработные" крутые ребята, их еще хакерами называют).
 Крупные компании реально лезли бы людям фактически в душу, т.к. пользователи по сути не знали бы даже, что за ними кто-то следит (страная непуганных идиотов, это был бы интернет). О чем я пытаюсь сказать, во всем есть свои плюсы. Люди хотя бы знают, что за ними МОГУТ следить и как этого избежать.

Комментариев нет:

Отправить комментарий