Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Взломанный сервер обновлений SolarWinds был защищён паролем 'solarwinds123'

Блог компании ITSumma Информационная безопасность *Софт


На Хабре уже несколько раз упоминали уникальный взлом компании SolarWinds. В популярный корпоративный софт SolarWinds Orion для мониторинга сетей (используется в армии, министерстве обороны, АНБ, IRS, почти всех компаниях списка Fortune 500) внедрили бэкдор, который так хорошо замаксирован, что многие удивлялись, как его вообще обнаружили, пусть и через полгода работы. Говорят, владельцы бэкдора воспользовались им всего несколько десятков раз, хотя под их контролем была фактически вся компьютерная инфраструктура США.

Сейчас всплывают подробности, как неизвестным удалось провернуть операцию по внедрению трояна в файлы обновления SolarWinds с валидной цифровой подписью. Эти подробности иногда забавные.
Всего голосов 36: ↑36 и ↓0 +36
Просмотры 21K
Комментарии 47

Введение в поиск по тексту

Поисковые технологии *
Наверное любой программист хоть раз в жизни стоял перед задачей поиска в строке какой-нибудь подстроки. Когда-то столкнуться с этим пришлось и мне. С тех пор это дело мне весьма полюбилось. Не сказать, что я в этом многого достиг, но останавливаться не собираюсь.
Потому и решил написать, но, чтоб начать более или менее плавно, вступление сделать в виде нескольких вводных статеек по основам текстового поиска.

читать дальше
Всего голосов 59: ↑57 и ↓2 +55
Просмотры 1.2K
Комментарии 16

Теперь будет PGP против ElcomSoft?

Чулан
Где-то я такое уже видел. Прямо дежавю какая-то :)

Adobe наехал на ElcomSoft в 2001 году. Поднялась волна протестов «Свободу Дмитрию Склярову». А потом еще и США долго судилось с российской фирмой…

Сегодня узнал, что на ЭлкомСофт наехал PGP. Опять двадцать пять?
Читать дальше →
Всего голосов 5: ↑3 и ↓2 +1
Просмотры 448
Комментарии 3

Брутфорс cookies, забыли?

Чулан
Практически на всех более менее крупных проектах имеется система авторизации пользователей по введенному логину и паролю. Человек вводит логин и пароль и если они соответствуют данным в базе, то человек считается авторизованным, для него генерируется сессия и записывается в кукис. Наверное все вы слышали про брутфорс. Многие помнят о нем и реализуют защиту в виде ограниченных попыток ввода логина/пароля с некоторым интервалом. Но практически все забывают о том, что сессию, запрятанную в кукисе можно также брутфорсить. Более того, при аутентификации вы должны знать логин и пароль, а тут только сессию. Да и шаблон сессии (количество символов, какие символы) злоумышленник может посмотреть, зарегистрировавшись на портале.

Хочу поделиться своими мыслями по поводу того, как организовать защиту.
Сразу оговорюсь, что под словом сессия я буду понимать не процесс, а набор символов, который сохраняют в кукисе для идентификации пользователя в дальнейшем.

1) Поставьте обязательную привязку к IP.
Если значение сессии из кукиса равно значению сессии из базы, но IP пользователя отличается от IP пользователя записанного в базе (при удачной авторизации), то выводите авторизационную форму с запросом логина и пароля.
Разумеется нужно дать пользователям возможность эту опцию отключить, т.к. иногда провайдеры меняют внешние IP (при натинге) и за полчаса пользователя может несколько раз кикнуть по такому алгоритму. Но по умолчанию опция должна быть включена! Это сильно ограничит взломщика.

2) Сессия должна быть как можно больше, ее длина должна варьироваться и состоять она должна из всех возможных символов.
Чем короче сессия, тем меньше возможных ее вариаций и тем больше вероятность подбора существующей сессии.
При постоянной длине, взломщик, зарегистрировав себе аккаунт, легко определит под какую длину нужно настроить программу — брутфорс, что минимизирует его время.
Т.к. взломщик может зарегистрироваться на портале, он может и собрать статистику по сессиям, из каких символов она состоит. Если он видит, что сессия состоит только из строчной латиницы, то внеся эти правила в свою программу он существенно сэкономит время подбора. Добавив только один дополнительный символ вы существенно увеличиваете время взлома!

3) Подумайте об использовании переменной окружения HTTP_USER_AGENT.
Если вы запишите в базу информацию о браузере и системе авторизированного пользователя и будете делать проверку на это условие при принятии сессии, то как минимум увеличите время взлома в несколько раз.

Итог: обнаружить попытку брутфорса сессий разумеется можно, а вот заблокировать IP с которого производится брутфорс нельзя, т.к. этим вы лишите возможности нормально пользоваться сессиями настоящих пользователей с этого IP. Поэтому нам остается только увеличить время брутфорса. При использовании трех моментов указанных выше, вы легко можете увеличить время настолько, что взломщик просто откажется от этой идеи.

Надеюсь, что эта информация будет полезна веб разработчикам.
Всего голосов 15: ↑11 и ↓4 +7
Просмотры 1.3K
Комментарии 16

Защищаем SSH от брутфорса на любом порту

Системное администрирование *
Сегодня меня заинтересовал опрос надо ли перевешивать SSH на нестандартный порт. Сам опрос не так интересен как способ автора zivot_je_cudo защищать SSH от подбора пароля: после неверной попытки подключения блокировать новые попытки в течение 20 секунд. Задержка, видимо, выбрана эмпирически, исходя их двух противположных пожеланий: чтобы не заблокировать в случае опечатки себя надолго, и в тоже время усложнить жизнь подбиральщика. Я хочу поделиться своим способом противодействия брут-форсу, который применяю уже несколько лет. Он имеет два преимущества:
— дает мне больше попыток для набора правильного пароля
— но при этом блокирует брутфорсеров «навечно».

Как можно достичь этих двух противоположных целей?
Читать дальше →
Всего голосов 114: ↑106 и ↓8 +98
Просмотры 103K
Комментарии 138

ФБР не смогло взломать зашифрованный диск (сдались через год брутфорса)

Криптография *
Бразильский банкир Даниель Дантас (Daniel Dantas) был арестован в Рио-де-Жанейро в июле 2008 года по подозрению в финансовых мошенничествах. Полиция немедленно провела обыск в его квартире и изъяла пять жёстких дисков с зашифрованной информацией. Местные специалисты из Национального института криминологии (National Institute of Criminology, INC) использовали брутфорс в течение пяти месяцев, но так и не смогли подобрать пароль. В начале 2009 года они обратились за помощью в ФБР.

И вот сейчас стало известно, что ФБР в апреле 2010 года вернуло диски назад.

Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна. Шифр 256-битный AES. По данным отчёта ФБР, американцы использовали тот же метод, что и INC: подбор пароля по словарю. В ФБР брутфорс продолжался более года, но тоже с нулевым результатом.
Всего голосов 227: ↑221 и ↓6 +215
Просмотры 30K
Комментарии 367

Дайте мне одну попытку!

Habr
Каждый раз, когда сбрасываются куки на Хабре, приходится не просто жать ОК на странице входа, но и демонстрировать свои впечатляющие возможности по распознаванию образов, капчу вводить. С первого раза это получается далеко не всегда.

Вот задумался, а зачем в такой ситуации меня просят её вводить? Нужна презумпция невиновности — я не робот по крайней мере до тех пор, пока моё поведение не даст повода подозревать обратное. Дайте одну попытку ввести пароль без капчи! Я не ошибусь, пароль помнит браузер.

Update: Попробую немного поменять схему, чтобы усложнить жизнь ботнетам, которые перебирают логины и пароли так, чтобы попытка входа в один аккаунт выполнялась не слишком часто. Надо разрешить одну попытку входа без капчи только с того компьютера, с которого был предыдущий вход.

По просьбам читателей и собственному разумению переношу в блог «Хабр — поддержка пользователей». Если есть более правильное место — подскажите.
Всего голосов 401: ↑375 и ↓26 +349
Просмотры 1.1K
Комментарии 106

Быстрое восстановление пароля по MD5-хешу методом брутфорса

Высокая производительность *
Наверное каждый из нас хоть раз забывал пароль от какого-нибудь важного сайта, а потом пытался расшифровать его по сохранившимся кукам в браузере. Возможно это были даже не Ваши куки, но это не важно — если Вам интересна тема скоростного брутфорса, то добро пожаловать под кат!

Сразу скажу, что описанные в статье техники ускорения подходят для любого алгоритма хеширования, но из-за широкой распространённости я выбрал именно md5.
Читать дальше →
Всего голосов 105: ↑84 и ↓21 +63
Просмотры 23K
Комментарии 54

Взлом сейфов с помощью брутфорса

Робототехника
Студенты Массачусетского технологического института сконструировали второе поколение робота Autodialer, который взламывает сейфы путём перебора комбинаций.



Робот управляется с ноутбука через микроконтроллер Atmel по USB-порту, алгоритм движений сервомотора и степпера реализован в виде Java-программы c GUI-интерфейсом, плюс две тысячи строк кода прошивки микроконтроллера.
Читать дальше →
Всего голосов 70: ↑63 и ↓7 +56
Просмотры 6.2K
Комментарии 46

Распределение символов в паролях

Информационная безопасность *
Перевод
Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны.

Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста:
  • Из примерно сорока тысяч паролей, треть подвержена простой атаке по словарю.
  • Только один процент паролей содержал небуквенно-цифровые символы.
  • 93 процента паролей содержали от 6 до 10 символов.


В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем.

Распределение символов

Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов — или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов.

В базе паролей существуют 78 уникальных символов. Если эти пароли были бы по настоящему случайными, каждый символ должен встречаться с вероятностью 1/78 = 0,013. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Следующий график показывает топ 20-ти парольных символов, а красная линия показывает ожидаемое 1/78 распределение.

image
Читать дальше →
Всего голосов 80: ↑79 и ↓1 +78
Просмотры 15K
Комментарии 50

Анализ реальных паролей пользователей и улучшенный полный перебор

Информационная безопасность *
Прочитал сегодня на хабре перевод статьи Распределение символов в паролях. Захотелось провести свой небольшой анализ. Интерес для меня представляют длины паролей, первые символы паролей и используемые в паролях биграммы (пар смежных символов). А также в статье будет рассмотрен алгоритм улучшенного полного перебора паролей.
Читать дальше →
Всего голосов 74: ↑71 и ↓3 +68
Просмотры 7.3K
Комментарии 44

Популярные пароли от аккаунтов Antichat.ru

Информационная безопасность *
Известный эксперт по российскому «хакерскому» андеграунду Брайан Кребс получил файл с профилями, личными сообщениями и хэшами паролей от 41 037 аккаунтов форума Antichat.ru за последние десять лет до июня 2010 года, когда форум был взломан. Брайан решил проверить хэши на прочность, используя видеокарту EVGA GTX 295 и программу для брутфорса Hashcat под CUDA. За 18 дней удалось подобрать 44% всех паролей.
Читать дальше →
Всего голосов 97: ↑77 и ↓20 +57
Просмотры 27K
Комментарии 93

Об алгоритме взлома WPA-PSK

Информационная безопасность *
Доброго времени суток, уважаемое Хабросообщество!
В данном топике хотелось бы рассмотреть некоторые тонкие вопросы, связанные с атаками на сети Wi-Fi в режиме разделяемого ключа WPA-PSK (если говорить более просто — WPA-PSK — режим без выделенного сервера аутентификации, который используют большинство пользователей Wi-Fi, например, при создании подключения по сети типа компьютер-компьютер).

К чему все это?


На бескрайних просторах интернета можно найти как описание способов такой атаки, так и скачать программы полуавтоматического ее проведения (яркий пример aircrack-ng). Но вот программы эти в большинстве своем представляются пользователю в виде некоего черного ящика, который при этом хорошо если работает в соответствии с руководством по его эксплуатации.

Недавняя статья на Хабре, посвященная одной из таких программ, упоминающая в себе использование радужных таблиц (возможно ли это?) для ускорения атаки, и подтолкнула меня к написанию данного топика. Надеюсь информация окажется полезной, так как аналогов в сети я не встречал ни на отечественном, ни на вражеских языках.
Читать дальше →
Всего голосов 86: ↑83 и ↓3 +80
Просмотры 148K
Комментарии 27

Абонентам МТС, смените пароль от интернет-помощника

Чулан
11 ноября были замечены массовый брутфорс паролей

Случайно зашёл в интернет-помощнике в «Архив операций» и увидел

11 ноября 2011 17:41 IP: 81.177.167.34 Попытка входа с неверным паролем
11 ноября 2011 09:26 IP: 81.177.167.34 Попытка входа с неверным паролем

Ради интереса набрал айпи в яндексе/гугле и увидел что не только я заметил брутфорс. У всех друзей, кто является абонентом МТС, точно такая же история в логах, тот же айпи и время — утро и вечер. У некоторых пароль подобрали так как пароль был 123, номер телефона и т.п.

Читать дальше →
Всего голосов 19: ↑11 и ↓8 +3
Просмотры 316
Комментарии 15

История одного аудита

Информационная безопасность *
На хабре существует множество статей, посвящённых историям различных взломов, рекомендаций по генерации паролей и прочих основ информационной безопасности. Я решил внести и свою лепту, написав небольшой отчёт по исследованию одного из достаточно крупных сайтов, близкого к IT-тематике, в котором на фоне хорошей защищённости от основных методик взлома мной обнаружены совершенно банальные ошибки проектирования самой системы.

Подробнее о том, на что нужно обращать внимание при проектировании своих сайтов под катом.
Читать дальше →
Всего голосов 24: ↑13 и ↓11 +2
Просмотры 2.3K
Комментарии 16

Автор md5crypt просит больше не пользоваться его скремблером

Разработка веб-сайтов *Криптография *
Автор md5crypt Пол-Хеннинг Камп (Poul-Henning Kamp) опубликовал на персональном сайте призыв ко всем разработчикам прекратить использовать этот алгоритм для шифрования (скремблирования) паролей.

Камп говорит, что для своего времени md5crypt был достаточно надёжной защитой для паролей, но с момента его выхода в 1995 году прошло очень много времени. Последние тесты показывают, что на коммерчески доступном GPU можно перебирать варианты со скоростью 1 миллион в секунду, то есть MD5 сейчас уязвим перед брутфорсом точно в той же степени, в какой был уязвим основанный на DES скремблер crypt в 1995 году. Любой пароль из 8 символов можно взломать за пару дней.

«Как автор md5crypt, я умоляю всех не откладывая перейти на более надёжный скремблер паролей», — говорит Пол-Хеннинг Камп.
Читать дальше →
Всего голосов 99: ↑89 и ↓10 +79
Просмотры 8.3K
Комментарии 286

LinkedIn начал использовать соль

Информационная безопасность *
Компания LinkedIn опубликовала в корпоративном блоге дополнение к правилам безопасности: теперь парольные хэши на сервере будут храниться с добавлением соли. В LinkedIn работают хорошие эксперты по ИТ-безопасности, которые давно готовили апгрейд системы, чтобы хэши хранились с солью. К моменту утечки апгрейд уже был сделан, сейчас идёт работа над дополнительными уровнями безопасности.

Директор LinkedIn также подчёркивает, что в утёкшей базе не были указаны email'ы пользователей, а поиском злоумышленников уже занимается ФБР.

Тем временем, с момента утечки подобрано больше половины паролей из опубликованной базы. Например, SophosLabs удалось подобрать 3,5 млн паролей, т.е. 60% всех уникальных хэшей из опубликованного файла LinkedIn (там из 6,5 млн хэшей только 5,8 млн являются уникальными).
Читать дальше →
Всего голосов 51: ↑38 и ↓13 +25
Просмотры 4.4K
Комментарии 109

Анализ возможностей массового аудита на основе утечки хешей из LinkedIn

Информационная безопасность *Алгоритмы *
Неделю назад утекла база хешей с LinkedIn, для других это событие может быть примечательным само по себе, но для меня, в первую очередь, это означает возможность провести анализ современных возможностей взлома паролей. И я не собираюсь рассказывать о том сколько раз слово «password» было встречено среди паролей и о том, сколько времени занимает перебор шестисимвольных комбинаций. Скорее буду пугать пользователей тем, насколько сложные пароли можно «взломать» за несколько часов. А программистам расскажу как это возможно эффективно реализовать, и в качестве небольшого подарка приложу программу, которую я написал для массового аудита. Присутствует и некоторый ликбез по использованию радужных таблиц с простыми выводами.

И так, за час удалось «восстановить» около 2.5 миллионов паролей на средней рабочей конфигурации, без специальных словарей и радужных таблиц. Среди найденных паролей присутствуют 16-символьные алфавитно-цифровые комбинации, и далеко не в единственном экземпляре.
Читать дальше →
Всего голосов 120: ↑116 и ↓4 +112
Просмотры 4.2K
Комментарии 123

Генератор/валидатор паролей по результатам взлома LinkedIn

Информационная безопасность *
После анализа подобранных паролей к LinkedIn появилась идея создать генератор паролей, совмещенный с валидатором, не допускающим легко подбирающиеся пароли. Простейшего анализа на длину, наличие специальных символов здесь не достаточно — некоторые пароли можно легко собрать из очень вероятных «кусочков» и на их перебор уходит существенно меньшее время, нежели теоретически заявленное. И гарантий, что программа-генератор не выдаст вам подобный пароль нет — случайность, она на то и случайность. Мое творение не претендует на полное решение вопроса, скорее это повод для размышлений, но оно вполне работоспособно (исходники и небольшой разбор тоже присутствуют).
Читать дальше →
Всего голосов 66: ↑59 и ↓7 +52
Просмотры 8.8K
Комментарии 60