Pastebin van code share naar cracker’s cave
door: Marnix Van Meer CTO, CRYPSYS Data Security
24 januari 2012 Versienummer: 2012-v2
CRYPSYS Data Security
Telefoon 0183 - 624444 m.vanmeer@crypsys.nl
www.crypsys.nl
Auteur
:
Marnix van Meer
CTO
CRYPSYS Data Security bv
Edisonweg 4, 4207 HG Gorinchem
m.vanmeer@crypsys.nl
+31 655700255 (mobiel)
+31 183624444 (kantoor)
Marnix van Meer is CTO en security trend watcher bij CRYPSYS Data Security en heeft een technische achtergrond op het gebied van ICT en security. Zijn blogs (www.crypsys.nl/blog) zijn prikkelend en confronterend, waarbij ook de security industrie niet gespaard wordt. Hij is een energiek en onderlegd spreker voor pers, seminars en gastcolleges. Voor zijn reacties op twitter zie http://www.twitter.com/marnixvanmeer
Deze publicatie is een analyse van de online dienst Pastebin.
CRYPSYS Data Security
Telefoon 0183 - 624444 m.vanmeer@crypsys.nl
www.crypsys.nl
Pastebin van code share naar cracker’s cave
Inleiding Websites om snel teksten en code uit te wisselen, zoals Pastebin, zijn populair. Oorspronkelijk werden deze websites vooral door programmeurs gebruikt voor het uitwisselen van code. Nu wordt Pastebin vooral voor andere gegevens gebruikt. Dat we ons hier grote zorgen over moeten maken blijkt als we zes weken het gebruik monitoren.
Pastebin Pastebin.com is een website om snel teksten (of code) publiek toegankelijk te maken. Pastebin is dus een soort klembord in de cloud. Naast Pastebin zijn er tientallen alternatieven zoals Pastie.org, Snipt.net, codepad.org, yourpaste.net en bitbucket.org. Voor een vergelijk van de diensten zie http://en.wikipedia.org/wiki/Comparison_of_pastebins. Pastebin.com bestaat al meer dan 11 jaar en is al bijna 11 miljoen keer gebruikt. Het is een platform voor PC’s, tablets en smartphones met een groeiend aantal mogelijkheden en gebruikers.
Zes weken monitoring In de periode van zes weken heeft de monitoring 1.870 keer aanleiding gegeven tot verder onderzoek. Per melding varieerde het aantal te onderzoeken Pastebin plaatsingen van 1 tot 11. Het totaal aantal onderzochte plaatsingen is 3491. Dat zijn gemiddeld 83 meldingen per dag, ofwel elke 17 minuten een melding. Als we de individuele wachtwoorden, hacks, dorks, tips enz. tellen komen we op een totaal van 124.193 resultaten. Dat zijn er 2.956 per dag.
6 weken monitoring
aantal
meldingen
1.870
Pastebin plaatsingen
3.491
Aantal resultaten
Pastebin, van code share naar crackers cave
124.193
1
(c) januari 2012 CRYPSYS
Monitoring tools Voor het monitoren hebben we de gratis online dienst PasteLert gebuikt, zie http://andrewmohawk.com/PasteLert/ Er zijn verschillende tools beschikbaar voor het doorzoeken van Pastebins. De meest bekende is natuurlijk Google. Met de zoekopdracht site:pastebin.com CCV CODE SELL vind je meer dan 100 hits voor creditcards, waarbij een aantal daadwerkelijk kaarten aanbieden. Een andere mogelijkheid is Pastenum voor Pastebin/Pastie; deze moet geĂŻnstalleerd worden op een systeem met Ruby 1.9.2. Een uitgebreide uitleg en download vind je hier: https://www.corelan.be/index.php/ 2011/03/22/pastenum-pastebinpastie-enumeration-tool/ Wij hebben onze monitoring beperkt tot een klein aantal woorden die mogelijk kunnen leiden tot gevoelige informatie. Dit om te voorkomen dat we teveel gegevens moesten analyseren. Voor deze analyse heeft de gebruikte monitoring voldoende resultaten opgeleverd met de onderstaande woorden:
monitoring woorden
toelichting
Anonymous
voor meldingen over Anonymous
Booking.com
voor gegevens over reizen
Confidential
voor vertrouwelijke informatie
Credit card
voor creditcard gegevens
Defaced
voor meldingen over website hacks
Dork
voor tips om onveilige websites te vinden
SQL_connect & pass, SQLI,
voor gebruikersnamen en wachtwoorden van websites
MySQL_connect, DB_password Op internet zijn veel zoekwoorden te vinden. Een lijst van google dork’s zal vaak ook bruikbare informatie bevatten om te gebruiken bij een zoekopdracht voor PasteLert. Woorden zoals SSN, MasterCard, American express, Visa, Wireless, abuse en login leveren veel ruwe resultaten op. Ook verfijningen zoals woord combinaties kunnen voor een beter resultaat zorgen. Het is eenvoudig om doelgericht te zoeken: DB_USER DB_PASSWORD is de string voor Pastebins van WordPress configuratie bestanden, vaak met wachtwoord. enable password geeft resultaten met informatie over Cisco apparatuur priv8 is te gebruiken om allerlei tools en scripts te vinden rbot geeft met enig zoeken rbot config files, soms ook met password 123456 qwerty voor veel lange password lijsten, soms nep, maar echtheid is eenvoudig te checken
Pastebin, van code share naar crackers cave
2
(c) januari 2012 CRYPSYS
De resultaten Een verdere analyse leert ons welke gegevens er in bulk aan te treffen zijn.
FinanciĂŤle info Creditcard en bankgegevens Creditcards te koop aangeboden
aantal gevonden 327 4
Naast een paar honderd credit card nummers, inclusief alle namen, codes en vervaldata vonden we ook vier aanbiedingen voor het kopen van credit cards, per stuk of in bulk, maar ook banknummers met alle gegevens inclusief saldo. En staat je bank er niet tussen, dan gaan ze voor je op zoek.
username/pw /logins
aantal gevonden
AOL
1.468
PEZ kids
1.947
Runescape
1.954
2.469
Minecraft
2.714
Hotfile
3.023
phpBB
5.639
Formspring
21.640
overige
37.036
Totaal
77.890
Wie op zoek is naar login gegevens hoeft dus niet ver te zoeken. Vaak vermeldt de Pastebin plaatsing concreet waar de gegevens vandaan komen, maar zelfs als dat ontbreekt is het makkelijk te achterhalen. Proefondervindelijk een paar gebruikersnamen in google invoeren en je vindt de gemeenschappelijke website. Wij hebben dit drie keer geprobeerd en steeds bleek dit een succesvolle methode te zijn om de website te achterhalen. En lukt het niet dan had social engineering ook nog wonderen gedaan. Overigens vonden we ook een password list met 13.208 veel gebruikte wachtwoorden.
Pastebin, van code share naar crackers cave
3
(c) januari 2012 CRYPSYS
websites
aantal gevonden
Hack huurling
1
Cart32 exploit guide
1
Admin page finder script
1
Defacing scripts
2
Disclosure webserver info
2
DDOS/Botnet guide en resultaat
3
SQL injection / tutorials
18
Google hack guide
20
CMS username/passwords
268
Defaced sites
1.731
SQL vulnerabilities
10.312
Google hack dork (Joomla/etc)
16.951
Pastebin is favoriet voor het melden van defacing successen, maar ook scripts, tools en handleidingen zijn er regelmatig te vinden. Opvallend hierbij is dat bedrijven de vulnerabilities vaak wel aanpassen, maar dat ze niet de moeite nemen om de Pastebin te (laten) verwijderen. De geboden tutorials variëren van handleidingen voor dummies tot advanced guides voor specialisten. De plaatser van de Pastebin is vaak eenvoudig te achterhalen, omdat ze hun “werknaam” gebruiken. Toen we een hacker benaderde in verband met het plaatsen van defacement successen was dezelfde dag de Pastebin verdwenen, is zijn website offline gehaald en zijn de tweets gewist.
Overige informatie In 55 Pastebins vonden we berichten uit naam van (of verwijzend naar) Anonymous. In 78 Pastebins bevatte het aanbod porn/pedo/animal sex materiaal. Ook verslagen van chat sessies vind je er terug, meestal met een uitgebreid beschreven meningsverschil. In 9 gevallen vonden we booking.com bevestigingen inclusief alle details van de reis en de pincode om de reis online aan te passen. Voor de anonieme servers ook 218 proxy sites/guides. De 419 scammers kopiëren en plakken hun boodschappen ook veelvuldig op Pastebin voor verder gebruik.
Trending pastes De trending pastes op Pastebin (http://pastebin.com/trends) laten zien dat het vaak een politiek uithangbord is voor LulzSec en Anonymous. Ook veel wachtwoorden, video downloads en oproepen tot hacken. En natuurlijk mods en hacks om je resultaten van games flink op te schroeven.
Pastebin, van code share naar crackers cave
4
(c) januari 2012 CRYPSYS
Cracker’s Cave De hackers en crackers gebruiken vaak encryptie/PGP om hun gegevens veilig uit te wisselen. Veel van de wachtwoorden zijn nog versleuteld (MD5 hash), maar dat is niet moeilijk om te zetten, zie http://www.md5decrypter.co.uk/ Daar vind je o.a. ook tools voor SHA1 decryptie en rainbow tabellen voor brute force hacks.
Waar gaat het fout? • Bedrijven monitoren niet of ze gecompromitteerd worden. Niet alleen op Pastebin sites maar ook op fora, chats, blogs en nieuws sites kan informatie komen te staan over de organisatie. Een gratis Google alert kan eenvoudig helpen om op de hoogte te blijven van dergelijke meldingen. Het is eenvoudig aan te maken, zie http://www.google.com/alerts • Malware zoekt vaker haar vlucht tot Pastebin. Pastebin is ideaal voor het veilig stellen van gestolen data (keyloggers). Poort 80 staat namelijk altijd open en Pastebin is vrij te gebruiken. Overweeg het afsluiten van dergelijke sites via een policy in de web gateway. • Soms wordt maar een deel van de privacy gevoelige gegevens geplaatst om tot afpersing te komen. In dat geval vindt je op Pastebin een beperkt aantal wachtwoorden, SSN’s of privacy gevoelige personeelsgegevens, waarna je benaderd wordt voor een “vrijwillige” betaling. • Vooral webmasters plaatsen code met vertrouwelijke gegevens. Bij het inrichten van nieuwe webservers is het overzetten van een configuratie file via Pastebin blijkbaar favoriet. Hierbij wordt vergeten dat in de config file de naam staat van de (SQL) database, IP adressen en vaak ook wachtwoorden en gebruikersnaam. Daarnaast staan er op Pastebin ook veel CMS login gegevens voor admin toegang tot content management systemen van bijvoorbeeld Typo3, Joomla en Wordpress. • Code en scripts bevatten vaak gevoelige interne gegevens. Administrators en developers kopiëren scripts en configuratie bestanden van servers, werkplekken en masters, waarbij de data vaak hardcoded wachtwoorden en server settings bevatten. Bewustwording en alternatieve methodes om data uit te wisselen kunnen helpen dit te voorkomen. Voor het veilig uitwisselen van data is een demo account te gebruiken van http://www.cryptshare.com/side-sides/try-now/ of minder veilig via bijvoorbeeld https://www.dropbox.com/ • Medewerkers plaatsen te goeder trouw vertrouwelijke info online. We vonden een intern bericht van een hogeschool waar helpdesk medewerkers laptops van studentes doorzochten op pikante foto’s. De klokkenluider (een stagiair met fatsoen en normbesef) kreeg vervolgens geen dankjewel maar kreeg op zijn donder over de manier van aankaarten. • Pastebin’s eigen abuse monitoring is nog onbetrouwbaar Pastebin heeft geen baat bij een publieke weerstand of een verbod tegen het gebruik van haar dienst. Om misbruik enigszins te voorkomen heeft Pastebin eigen monitoring ingericht om escalaties te verwijderen. Helaas werkt dit nog onvoldoende en als het werkt is de reactiesnelheid nog te laag. Veel plaatsingen staan tot een dag later nog online voordat ze verdwijnen. Voldoende voor zoekmachines om de gegevens via cached content beschikbaar te houden. Bij Pastebin kan je zelf content laten verwijderen. Bij elke paste staat een “REPORT ABUSE” link.
Pastebin, van code share naar crackers cave
5
(c) januari 2012 CRYPSYS
• Afscherming van de Pastebin plaatsing. De Pastebin plaatsing is optioneel te voorzien van een geldigheidsduur van 10 minuten, 1 uur/dag/maand maar bijna niemand gebruikt deze functie om de gegevens automatisch te laten vervallen. Ook is met een account de plaatsing private te maken. Als je Pastebin toch moet gebruiken, dan is het aan te raden deze functies te gebruiken.
Conclusie Pastebin en vergelijkbare diensten zijn vooral een communicatie middel voor hackers en crackers. Het aantal gebruikers dat het voor eerlijke copy/paste opdrachten inzet is sterk afgenomen. Alternatieven zoals codepad.org zijn mogelijk een beter alternatief voor zakelijk gebruik. Gezond verstand blijft nodig bij het gebruik van dergelijke cloud diensten en een private cloud oplossing zoals Cryptshare of Dropbox kan veel problemen voorkomen. Vergeet niet om het vuilnis weg te gooien! We vonden op Pastebin schokkend veel oudere plaatsingen van bedrijven, onderzoekscentra, overheden en ministeries. Als de lekken al gedicht zijn, is dus nooit de moeite genomen om de plaatsing te verwijderen. Voor bedrijven is het schadelijk als je vertrouwelijke info op Pastebin verschijnt. Zo vind je er nog steeds gegevens van 1.947 kinderen die zich aangemeld hebben op de snoepjes website van PEZ. Het lek is gerepareerd, maar 4 weken na plaatsing stonden de login gegevens nog steeds op Pastebin. Wij hebben ook de ESA over een oude plaatsing benaderd en getipt over REPORT ABUSE maar de plaatsing staat er nog steeds. Zolang gevoelige info beschikbaar blijft zal er een luchtje blijven hangen aan het imago. Een schoon milieu begint bij jezelf. Monitoring via Google Alert helpt organisaties om geattendeerd te worden op allerlei vermeldingen op internet, inclusief Pastebin. Dit wordt nog steeds onvoldoende gebruikt en is een gemiste kans. De komende jaren zal gevoelige informatie nog vaak publiek gemaakt worden. Er is nog veel werk te doen op het gebied van bewustwording, beleid en DLP oplossingen.
Pastebin, van code share naar crackers cave
6
(c) januari 2012 CRYPSYS