Хабрахабр

[Перевод] Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 2

Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 1

Здесь стоимость услуги начинается от $150. Существует сайт под названием Hire2Hack, который тоже принимает заявки на «восстановление» паролей. Для регистрации требуется указать имя пользователя, email, пароль и так далее. Я не знаю об остальном, но вы должны предоставить им информацию о себе, потому что собираетесь им платить. Забавно то, что они принимают к оплате даже переводы по системе Western Union.

Скажите, кто из вас указывает своё настоящее имя при регистрации почтового ящика? Стоит принять к сведению, что имена пользователей представляют собой очень ценную информацию, особенно когда они привязаны к адресу электронной почты. Никто, вот это весело!

Если вы продавец, то с помощью адресов электронной почты можете проверить, кто из ваших потребителей или ваших подписчиков в настоящее время пользуются услугами любого из ваших конкурентов. Итак, адреса электронной почты представляют собой ценную информацию, особенно если вы занимаетесь покупками в интернете или хотите отследить интрижку супруга, зависающего на сайте знакомств.

Кроме того, они используют окна восстановления паролей и логинов для майнинга действительных адресов электронной почты, используя временные атаки. Поэтому злоумышленники, занимающиеся фишингом, платят большие деньги за реальные адреса пользователей. Так что мы должны воевать на два фронта – против тайминг-атак и против утечек информации такого рода. Множество крупных порталов электронной коммерции и социальных сетей рассматривают кражу действительных адресов электронной почты как проблему, способную нанести большой ущерб, с тех пор как были опубликованы интересные исследования в этой области.

Превращаем электронные купоны в деньги

Джереми Гроссман: итак, мы рассмотрели три способа интернет-мошенничества и теперь поднимаем ставки. Следующий способ – это превращение в деньги электронных купонов eCoupons. Эти купоны используются для покупок по интернету. Клиент вводит свой уникальный ID, и к его покупке применяется скидка. Крупные интернет-торговцы предлагают покупателям скидочную программу, которая была поддержана AmEx.

Эти номера очень статичны и обычно идут по порядку. Многие из вас знают, что купоны предоставляют скидку от нескольких до пары сотен долларов и снабжены 16-значным ID. Сначала к одному заказу разрешалось применять только один купон, но затем, по мере роста популярности программы, эти ограничения были сняты, и сейчас с одним заказом можно использовать более 3-х купонов.

Продавцам известны заказы на сумму свыше 50 тысяч долларов, которые вместо денег оплачивались 200 и более купонами. Кто-то разработал скрипт, который пробует определить тысячи возможных действительных купонов на скидку. Согласитесь, это неплохой рождественский подарок!

Так продолжалось до тех пор, пока система планирования загруженности программы не обнаружила увеличение загрузки процессора на 90% в то время, когда люди «прокручивали» ID номера, выбирая те, что предоставляли скидку. Проблема оставалась незамеченной долгое время, потому что программа отлично работала, все пользовались купонами и все были довольны.

Но проблема состояла в том, что товары отправлялись на несуществующий адрес, и это их смутило. Торговцы обратились к ФБР с просьбой расследовать этот случай, так как заподозрили что-то неладное. Выяснилось, что злоумышленник вступил в сговор со службой доставки, которая заблаговременно «перехватывала» товар.

Однако ошибки бизнес-логики привели к тому, что возникла необходимость привлечь Секретную службу, которая к тому же столкнулась с фактами мошенничества службы доставки, использовавшей систему в свою пользу. В этом случае интересно то, что купоны не являются валютой, это только маркетинговые инструменты.

Заработок на фейковых аккаунтах

Трей Форд: это одна из моих любимых историй. «Реальная жизнь: взлом «Офисного пространства». Думаю, вы видели фильм про хакеров «Офисное пространство». Давайте разберёмся в этом процессе. Кто из вас пользовался онлайн-банкингом?

Существует одна интересная вещь – возможность оплаты счетов онлайн по системе ACH. Отлично, все признались, что пользовались. Предположим, я хочу купить у Джереми автомобиль и собираюсь перевести деньги прямо с моего счёта на его счёт. «Автоматизированная расчетная палата» ACH работает так. Поэтому сначала система переводит какую-то мизерную сумму, от нескольких центов до 2 долларов, чтобы проверить, что финансовые аккаунты и адреса маршрутизации сторон в порядке и клиент получил эти деньги. Прежде чем я проведу основной платёж, моё финансовое учреждение должно убедиться в том, что у нас всё налажено. Можно рассуждать о том, является ли это законным, соответствует ли условиям пользовательского соглашения, но скажите мне, кто из вас имеет аккаунт PayPal? После того, как они убедятся, что этот перевод осуществлён нормально, они готовы переслать полный платёж. Вероятно, это вполне законно и соответствует Terms & Conditions. А сколько человек имеют несколько PayPal ID?

Мы говорим о том, чтобы использовать эффект от создания, предположим, 80 тысяч таких аккаунтов, настроив простой скрипт. А теперь представьте, что этот механизм можно использовать для того, чтобы заработать много денег. Единственное, на что нужно обратить внимание – это на то, что мы начали свой рассказ с использования локального прокси, скрипта RSnake, прочего хакерского инструмента, который должен быть помочь нам заработать, но сейчас мы собираемся вернуться и показать, как сделать взлом намного проще, так, чтобы для заработка можно было бы использовать один лишь браузер.

22-летний Майкл Ларджент из Калифорнии использовал простой скрипт, чтобы создать 58 тысяч фейковых брокерских аккаунтов. Эта конкретная атака носит индивидуальный характер. Он открыл их в системах Sсhwab, eTrade и некоторых других, присвоив фальшивым пользователям этих аккаунтов имена персонажей мультфильмов.

Но он владел общим счётом, на который стекались все эти проверочные средства, а затем переводил их себе. Для каждого из этих аккаунтов он использовал только проверочный перевод по системе ACH, не осуществляя полного перевода средств. Вот так он сделал деньги, следуя идее фильма «Офисное пространство». Звучит неплохо – это небольшие деньги, но в сумме они принесли ему весьма солидный заработок. Самое интересное то, что здесь нет ничего незаконного – он просто собирал все эти крохотные суммы, но делал это очень быстро.

Затем он вывел эти деньги на кредитную карту и присвоил. На системе Google Checkout он заработал $8225, на системах eTrade и Sсhwab – ещё $50225. На что Майкл им ответил, что не понимал и не знал, что совершает что-то противозаконное. Когда банк обнаружил, что все эти тысячи счетов принадлежат одному человеку, сотрудники банка позвонили ему и спросили, зачем он это сделал, разве он не понимает, что ворует деньги?

Ещё раз повторю – самое смешное в этой схеме то, что здесь не было ничего противозаконного. Это очень хороший способ наладить новые отношения с людьми из Секретной Службы, которые следуют за вами повсюду и хотят узнать о вас как можно больше. Кто знает, что такое «Патриотический Акт»? Его задержали на основании Patriot Act, «Патриотического Акта».

Этот парень использовал имена из мультфильмов и комиксов, поэтому они смогли задержать его за использование фальшивых имён пользователей. Правильно, это закон, расширяющий полномочия спецслужб в сфере противодействия терроризму. Так что те из присутствующих, кто использует для своих почтовых ящиков выдуманные имена, должны быть осторожны – это может быть признано незаконным!

Я не могу сказать, правильно это было сделано или нет, этично или не этично, но в принципе всё, что делал Майкл, соответствовало Terms & Conditions, приведённым на веб-сайтах, так что, возможно, это просто была такая дополнительная функция. Обвинение Secret Service строилось по четырём пунктам: компьютерное мошенничество, интернет мошенничество и почтовое мошенничество, но акт получения денег был признан совершенно законным, так как он использовал настоящий аккаунт.

Взлом банков через ASP

Джереми Гроссман: вы знаете, я много путешествую, и встречаюсь с людьми, которые технически подкованы или наоборот, совсем не разбираются в технике. И когда мы заговариваем о жизни, они спрашивают, где я работаю. Когда я отвечаю, что занимаюсь информационной безопасностью, они спрашивают, что это такое. Я объясняю, и тогда они говорят: «о, значит вы можете взломать банк»!

Application Service Providers — это компании, предоставляющие в аренду собственное программное и аппаратное обеспечение своим клиентам – банкам, кредитным союзам, другим финансовым компаниям. Итак, когда вы начинаете объяснять, как действительно можно взломать банк, вы имеете ввиду взлом через поставщиков прикладных финансовых программ ASP.

Поэтому они арендуют мощности ASP, платя им помесячно или каждый год. Их услугами пользуются мелкие банки и подобные компании, которым финансово не выгодно иметь собственный «софт» и «железо».

Так что ASP представляют для плохих парней очень интересную цель. ASP пользуются повышенным вниманием хакеров, потому что вместо того, чтобы взломать один банк, они могут сразу взломать 600 или тысячу банков.

Каждый клиент ASP имеет свой единственный уникальный идентификатор, который потенциально может использоваться на нескольких банковских сайтах. Итак, компании ASP обслуживают целую кучу банков на основе трёх важнейших URL – параметров: идентификатора клиента client_ID, идентификатора банка bank_ID и идентификатора счёта acct_ID. При этом каждый клиентский аккаунт в этой системе приложений тоже имеет свой ID. Каждый банк может иметь любое число пользовательских аккаунтов для каждого финансового приложения – сберегательной системы, системы проверки счёта, системы платежей и так далее, и каждое финансовое приложение имеет свой ID. Таким образом, у нас имеется три системы аккаунтов.

В первую очередь мы смотрим в конец строки URL такого типа: website/app.cgi?client_id=10&bank_id=100&acct_id=1000 и пытаемся заменить acct_id произвольным значением #X, после чего получаем большое, выделенное красным цветом, сообщение об ошибке такого содержания: “Account #X belongs to Bank #Y” (счёт #X принадлежит банку #Y). Итак, как нам одновременно взломать 600 банков? Далее мы берём bank_id, меняем его в браузере на #Y и получаем сообщение: “Bank #Y belong to Client #Z” (банк #Y принадлежит клиенту #Z).

После того, как мы успешно взломали систему, мы можем попасть таким же образом в любой другой банковский счёт, или банк, или клиентский аккаунт. Наконец, мы берём client_id, присваиваем ему #Z – и готово, мы попадаем в тот аккаунт, в который изначально хотели попасть. Здесь вообще нет никакого намёка на авторизацию. Мы можем добраться до каждого аккаунта в системе. Единственное, что они проверяют – это то, что вы вошли в систему под своим ID, и теперь вы свободно можете изъять деньги, совершить перевод и так далее.

Мы сообщили им, что вероятно, придётся переписать всё приложение, чтобы ввести авторизацию и система бы проверяла, есть ли у клиента право совершать финансовые операции, и что это займёт некоторое время. Однажды один из наших клиентов, не ASP, переслал нашу информацию об этой уязвимости другому клиенту, который пользовался ASP и сообщил им, что существует проблема, которую нужно исправить.

Конечно, это было круто, и мы решили посмотреть исходный код, чтобы увидеть, что же они сделали, использовав свою «великую» хакерскую технику. Через два дня они направили нам ответ, в котором сообщали, что всё уже исправили сами – они так исправили URL-адрес, что сообщение об ошибке больше не появляется. В общем, у нас состоялся очень интересный разговор с этим клиентом. Так вот, всё что сделали – это стали выводить сообщение об ошибке в формате HTML. Они сказали, что поскольку не в состоянии решить эту проблему по быстрому, решили сделать пока так, надеясь полностью исправить уязвимость в отдалённой перспективе.

Обратный денежный перевод

Ещё один способ мошенничества, о котором я расскажу совсем коротко – это обратный денежный перевод. Эта операция совершается во многих банковских приложениях. При переводе $10000 со счёта А на счёт В формула операции логически должна работать так:

A = A — ($10,000)
B = B + ($10,000)

То есть $10000 изымается со счёта А и прибавляется к счёту В.

Например, вы можете заменить положительное число отрицательным, то есть перевести _10000$ со счёта А на счёт В. Интересно то, что банк не проверяет, правильную ли величину перевода вы вводите. При этом формула транзакции будет выглядеть так:

A = A — (-$10,000)
B = B + (-$10,000)

Такое происходит время от времени и приносит интересные результаты. То есть вместо списания средств со счёта А произойдёт их списание со счёта В и зачисление на счёт А. Внизу этого слайда вы видите ссылку на исследовательскую статью Breaking the Bank (Vulnerabilities in Numeric Processing within Financial Applications).

В этой статье компании Corsaire имеется много интересного, что послужило нам материалом для некоторых собственных решений. Там описываются похожие вещи, происходящие с ошибками округления.

Мы обратились в службу безопасности ASP и получили следующий ответ: «Внутренний бизнес-контроль предотвратит подобные проблемы». Но вернёмся к предыдущей проблеме. Несколько недель спустя, когда мы продолжили работать с нашим клиентом, мы получили от них по почте вот этот чек: Мы сказали: «ок, посмотрим на их веб-сайт».

Вот так мы зарабатываем деньги! Здесь указано, что это оплата за тестирование, проведённое нашей компанией WH, на сумму 2 доллара.

За два таких тестирования мы можем получить целых 4 бакса! Этот чек до сих пор хранится на моём столе.

Деньги не удалось вернуть, потому что было уже поздно, и ASP потеряли своего клиента. Но через несколько месяцев мы услышали от конкретного заказчика, что $70000 были незаконно переведены в одну из Восточно-европейских стран. Потому что всё в этой схеме снова выглядит вполне законно – вы просто изменяете вид URL-адреса. Эти вещи случаются, но чего мы так и не узнали, потому что мы не криминалисты, это того, сколько других клиентов пострадали от этой уязвимости.

Покупки из телемагазинов

Трей Форд: сейчас я расскажу вам о по-настоящему техничном взломе, так что слушайте внимательно. Все мы знаем маленькую телевизионную станцию под названием QVC, я уверен, вы иногда покупаете что-нибудь в этом телемагазине.

Возможно, вы тотчас передумаете и прекратите транзакцию. Знайте, что когда вы покупаете что-то онлайн, независимо от сайта, никуда не кликайте, потому что ваш заказ сразу после этого начнёт обрабатываться! Но через несколько дней вы получите по почте кучу всякого барахла, за которое должны немедленно заплатить.

Я не знаю, чем она зарабатывала на жизнь раньше, но я могу сказать вам, как она начала зарабатывать деньги после случайной транзакции, которую она будто бы совершила, хотя практически немедленно отменила сделку на сайте. Вот Куантина Мур-Перри, 33-летняя сертифицированная хакерша из Гринсборо, штат Северная Каролина.

Что бы вы сделали, если бы вам присылали по почте то, что вы не заказывали? На её почтовый адрес стали приходить от QVC все эти «заказанные» вещи – женские сумочки, бытовые приборы, ювелирные украшения, электроника. Сразу видно, наши люди… Правильно, ничего!

Ведь посылки уже на почте, вам не нужно их никуда отсылать. Однако вы получаете бесплатную доставку, а бесплатная доставка — это выгода! Что делать с 1800 посылками, которые приходили на её почтовый адрес с мая по ноябрь? Если это стандартный бизнес-процесс, то как им можно воспользоваться? Как она при этом поступала – очень просто! Так вот, эта женщина выставила все эти вещи на аукционе eBay, и в результате продажи всего этого барахла её прибыль составила 412000 долларов! Она говорила на почте, что кто-то заказал на её адрес все эти посылки с QVC, но ей очень трудно перепаковывать их и отсылать адресатам, поэтому пусть они отправляются в оригинальной упаковке QVC!

Однако QVC обеспокоился этой проблемой после того, как 2 человека, купившие товар на eBay, получили его в упаковке QVC. Как видите, это очень техничное решение! Федеральный суд признал эту женщину виновной в мошенничестве с почтовыми отправлениями.

Таким образом, простая техническая заминка с отменой сделанных заказов позволила этой женщине заработать огромную сумму денег.

37:40 мин

Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Конференция BLACK HAT USA. Часть 3 (ссылка будет доступна завтра)

Немного рекламы 🙂

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2. 2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. Dell R420 — 2x E5-2430 2. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Проверьте также

Закрыть
Кнопка «Наверх»
Закрыть