1
СТАТЬЯ
Акт первый: Сага о мобилах
Хайя! У тебя есть мобила? Как? Еще нету? У-у-у, блин, как всё запущено... Ладно, фигня, давай бери с собой 100 баксов и беги быстрее на радио-рынок за телефоном! Всё? Уже купил? Молодец! Ну вот теперь можно начинать =) Вот представь себе такую ситуацию: вчера ты был на вечеринке (дискотеке, свадьбе, нужное подчеркнуть), естественно девчонки, водяра, пиво, песни, и т.д., а на утро у тебя болит голова, ты ничего не помнишь, рядом лежит какая-то девчонка, презерватив, рука ниже... ой, блин, не туда меня уносит, ну и хрен с ней, с той девчонкой, потом ты, разумеется, включаешь телефон и видишь странную надпись: "Enter PIN code: _ _ _ _" И вот тут-то возникает странный вопрос: "А какой, собственно, у меня пин-код?". Ты вводишь (какое хорошее слово :)) раз код и видишь надпись "Error!!!", так повторяется еще два раза и вот здесь у нас происходит коронный номер: появляется наконец-то надпись "ТЕЛЕФОН ЗАБЛОКИРОВАН!". Ну вот, сломал мобилку, ай-яй-яй... ;)
Ну и ладно, что ты делаешь в этом случае? Правильно! Тащишь трубку оператору и просишь разблокировать её (трубку в смысле :)), на что тебе отвечает такой серьёзный дяденька: "Документы, от 300 рэ, удостоверение личности, ну и всё такое"... И вот это всё тебе надо??? Конечно же нет! Ну вот и ладно =) Теперь-то твой комп тебе и поможет :). Что же, перейдём собственно к сцене нумер два...
Акт намбер два: Софт
Итак, сейчас наша задача заключается в том, чтобы соединить телефон с компьютером. Для этого нужен SoftDataLink aka Data кабель aka шнурок. Он продается в сотовых магазинах и купить его не представляет никакой трудности. Дальше тебе просто реально необходима программа, которая будет производить все манипуляции с твоим любимым телефоном. Вот их то мы и рассмотрим... Начнём-с тестинг...
Siemens Unlock v5.1
За столь невзрачный интерфейсом скрывается такооое чудо, что лично у меня лаже бутылка с пивом из рук выпала :) Прога умеет анлочить следующие модели: C30, S40, C35, M35, S35, A35, C45, A36, A40, S45, ME45, SL42, SL45, C35, M35, S35, MT50. Потом она может сдувать всю флэш-память телефона в два формата: FSL & KSI, и еще целую кучу вещей =) Далее переходим к тестированию: Прога разблокировала 4 телефона из 4, это были: S35i, C45, SL45 и A35. Вот, и после этого все телефоны работали стабильно, никакие данные не потерялись (странно было бы :), скорость анлокинга - ~2-3 секунды, но можно и увеличить, если уж так быстро надо, но качество анлокинга, по словам автора программы, лучше держать на режиме Medium.
Оценка: 5
Nokia Unlocker V6f (XAK Edition)
А вот это уже анлокер для нокий. Как видно на скриншоте, умеет анлочить 3210, 3310, 3330, 5110, 5130, 6150, 6210, 6250, 7110, 8210, 8250, 8290, 8850, есть пять скоростей анлокинга: Slower, Slow, Medium, Fast, Faster, все испытания проводились на 3 скорости :) т.е. на Medium`е. Испытания проводились на 3310, 8210 и 3330. 8210 прога анлочить ну никак не хотела, пришлось анлочить самым 100% способом: Flash Delete ;). Но в общем прога зарекомендовала себя хорошо, но вот оценку ей подпортила та злополучная Нокиа 8210.
Оценка: 4
Erricson ATR Service
Ериксонов у нас к сожалению не было, но по виду программы лично вся компания дружно заявляла: "А нифига оно анлочить не будет". Ну как знать, может кому-то и повезёт, но лично у нас, при нажатии на любую кнопку, прога висла и упорно не хотела закрываться, но тут на помощь нам пришёл Диспетчер задач :))). В общем оценку программе можно поставить только если её увидеть в действии, т.к. Ериксона у нас не было, поэтому и оценку нету :( Если кто сможет что-нибудь разблокировать прогой, обязательно присылайте скриншот во время работы и модель подопытного телефона.
Зеенд :)
Ну вот мой обзор прог для анлокинга подходит к концу, из него (в смысле из обзора) ты наверное смог понять что и чем анлочить, а если чего непонятно то пиши, объясню. Весь этот бред нёс night_, такой же как и Вы :)))
2
СТАТЬЯ
взлом сетей платежных терминалов
Терминальные бреши: взлом сетей платежных терминалов
Как все начиналось
Первое что пришло в голову - нагуглить как можно больше контор, которые занимаются написанием софта для платежных терминалов и посмотреть наличие программ, описаний протоколов и исходников на их сайтах. Предупреждаю заранее - по понятным соображениям некоторые детали взломов в статье опущены, названия платежных систем могут совпадать с существующими, за что заранее дико извиняюсь.
Признаюсь честно, для досконального изучения платежных систем и их протоколов оплаты мне потребовалось немало времени. Покопавшись в результатах поиска гугла, я получил увесистый список web-адресов. После подробного изучения их содержимого, передо мной вырисовывалась довольно четкая картина, точнее схема, по которой проходит платеж от клиента до оператора сотовой связи или поставщика коммунальных услуг (далее всех буду называть просто "Поставщик услуг").
Общий расклад.
Все платежи делятся на онлайн и оффлайн. Онлайн - это платеж, который поступает до поставщика услуг незамедлительно, через Интернет. Оффлайн - это платежи, которые накапливаются в базе данных платежной системы, и, в определенные промежутки времени отправляются на сервер поставщика услуг. Кроме того, некоторые поставщики принимают только бумажные реестры. То есть обмен происходит непосредственно при участии человека и поставщика услуг. Онлайн-платежами, как правило, оперируют операторы сотовой связи, в то время как коммунальщики предпочитают получать платежи «оптом» один раз в сутки-двое. Сама по себе концепция онлайн-платежа уже небезопасна, потому как, проводя такие платежи в большом количестве, работникам платежных систем меньше всего их получается разгребать. Зато в случае коммунальных платежей, перед отправкой их гораздо проще проверить на существование соответствующего запроса на терминале.
Искать баги в ресурсах поставщиков было бы бессмысленно. Времени уходит уйма, а результат можно получить более простым способом. Доверяя проведение платежей на плечи платежных систем, поставщик не рискует абсолютно ничем. Живые деньги поступят ему в любом случае, а ошибки и возможность взлома – это уже проблемы посредников. Таким образом, для того, чтобы, например, пополнить баланс на сотовом телефоне, совсем не обязательно иметь доступ к оператору связи. Достаточно получить доступ к одной из платежных систем, которые позволяют совершить платеж в пользу этого оператора.
Как правило, начинающие платежные системы подходят к вопросу безопасности в последнюю очередь, делая акцент на скорости и удобстве сервиса. Поэтому, при выборе жертвы, стоит в первую очередь обратить внимание на молодые компании. Хотя никто не говорил, что Гиганты платежной индустрии не содержат ошибок в системах безопасности. Очень часто происходит как раз наоборот... Возьмем, к примеру, недавний случай с небезызвестной конторой «ОСМП» (Объединенная Система Моментальных Платежей). Центральный сервер, к которому обращаются тысячи терминалов России, Казахстана, и, возможно, других стран был обезоружен на несколько суток банальной DOS/DDOS-атакой. Я, правда, не в курсе, воспользовался ли кто-нибудь ситуацией в своих корыстных целях или просто похулиганили, но атака была и это остается фактом.
Связь терминала с сервером происходит по GPRS/GSM-каналу и, как правило, посредством технологии XML-RPC. Некоторые даже додумываются навешивать SSL-защиту, но чтобы она действительно оправдывала себя, протокол, во-первых, должен быть закрытым, во-вторых – передаваемый пакет должен шифроваться также средствами программы, а в-третьих, сервер должен не только предоставлять свой корневой сертификат, но также требовать клиентский. Не буду голословным и приведу примеры.
У того же ОСМП протокол передачи открыт, то есть, шифровать пакет на выходе из программы уже не имеет смысла. Получать его реверс-инженерингом будет только извращенец. Но их сервер не требует клиентского сертификата, то есть отправить запрос может любой желающий, правильным образом сформировавший пакет. Да, твой канал при передаче будет защищен, но кого это интересует, если для взлома нужны только идентификационные данные. Ведь получить их при большом желании не составит труда. Здесь и Социальная Инженерия и НЛП и банально Хакинг тебе в помощь.
Еще одну интересную брешь я нашел сразу в двух молодых конторах. В ответ на мой POST-запрос, сервер послал меня в сторону HTTPS явным проявлением в содержимом ошибки IIS-ного акцента. Как известно, по умолчанию IIS-серве устанавливает центр выдачи сертификатов в каталог /CertSrv/Default.asp, последовав в который, я, в три клика, получил свой собственный клиентский сертификат. Кстати, после этого мне удалось получить доступ даже к ASPX-страница для проведения платежей и их просмотра, правда на одном из ресурсов страница была защищена паролем, получить который мне так и не посчастливилось.
Большинство платежных систем ставят на свои серверы Windows 2000/2003 Server, чем уже совершают большую ошибку. Но те, кто принимает платежи в MySQL-базу на Linux-сервере, при этом, держа на борту Apache+PHP, совершают еще большую ошибку. Не мне тебя учить, как пользоваться SQL-Injection, а ведь это очень простой и верный способ получить огромное количество необходимых данных для проведения платежей, имитируя платежный терминал.
Ищем дыры
При поиске дыр в защите платежной системы- жертвы первое, что стоит сделать – это сканирование портов и web-контента. На открытых портах зачастую можно найти интересные самописные сервисы для проведения платежей, администрирования терминалов. Ведь ни один работник не будет работать круглосуточно вместе с платежными терминалами. Программеры и сисадмины придумывают различные примочки удаленного управления для собственного удобства. Зачастую они даже не задумываются о защите, надеясь, что никто не подумает их ломать.
К некоторым портам можно попробовать ломануться по telnet, но как показывает практика, в основном такие сервисы работают по технологии XML-RPC, а это означает, что порт может только принимать и отправлять POST-запросы. Как узнать структуру запроса и его содержимое? Можно попробовать просканить веб-содержимое на чтение. Многие пишут свои сервисы с использованием asp-страниц, которые требуют своих исходников в тех же каталогах. Если администратор в последнюю очередь думает о правах доступа, есть большая вероятность прочитать исходники asp-сценариев, что при грамотном использовании может помочь составить XML-запрос. Кстати, подобные дыры были зафиксированы даже у достаточно крупных платежных систем!
Web-контент лучше исследовать вручную + сканером. В качестве сканера лично мне больше всего нравится XSpider. Открою секрет, совсем недавно мне по спутниковой рыбалке прилетела бесплатная версия 7.5 от Zeromag Lab, так что ищите да обрящите :).
Три реальных взлома
Взлом CyberPlat
Как показало исследование, платежная система CyberPlat принимает платежи во многих странах, и, их сайты хостятся на одном сервере. Проверить это достаточно просто. Достаточно ввести доменное имя или IP-адре в поисковый запрос на www.domainsdb.net.
Интересная картина получается:
1. cybercheck.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.ru | proxy.cyberplat.com
2. cyberplat.ru [whois] IP: 213.33.161.9 dns: ns.demos.su | ns.cyberplat.ru
3. cyberpos.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.ru | proxy.cyberplat.com
4. cybercard.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.com | ns.cyberplat.ru
5. gribov.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.com | ns.cyberplat.ru
6. pinsale.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.com | ns.cyberplat.ru
7. platina.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.ru | ns.platina.ru
8. rodnoe-pole.ru [whois] IP: 0.0.0.0 dns: ns.demos.su | ns.cyberplat.ru
9. rodnoepole.ru [whois] IP: 0.0.0.0 dns: ns.demos.su | ns.cyberplat.ru
Домены зарегистрированы, но недоступны. Скорее всего, их оставили для личного пользования. Но это не так важно. Остальные сайты в других странах показали в роли первичного DNS – cyberplat.com, а вторичным стоял cyberplat.ru. Это могло означать только то, что центральный сервер один, но на нем хостится несколько CyberPlat-сайтов для разных стран. Пинговались они, кстати, тоже по одному айпишнику.
Сканирование и ручное исследование показало, что лучше оставить эту идею и покопаться в другом месте. Тогда был по-быстрому сгенерирован другой способ.
Нагуглив в кармане немного денежных средств, я дошел до ближайшего CyberPlat-овского терминала, закинул на мобильник чисто символическую сумму и получил квитанцию. Оказалось, что владельцем терминала был далеко не CyberPlat, а совсем левая контора, которая выступала просто-напросто дилером. Дилерские программы – это основа распространения платежных терминалов. Контора покупает автомат, ставит на своей территории и, с проведенных платежей, получает свой процент.
Недолго думая, я позвонил по контактному телефону, указанному на квитанции и попросил их дать свой e-mail, якобы для отправки мифического коммерческого предложения.
Через несколько минут письмо от администрации сервиса CyberPlat полетело жертве на ящик (не для кого ведь не секрет, как подделывается адресат). В письме не было ничего особенного. Стандартная история о смене оборудования на сервере и т.п., в связи с чем, просим выслать ваши регистрационные данные, которые нам просто жизненно необходимы, чтобы ваш терминал не заткнулся :).
Послушные овцы прислали мне все свои регистрационные данные через пару часов. После этого был сгенерирован XML-файл, который полетел POST-запросом на сервер платежной системы.
Кстати, на их сайте лежит не только все описание протокола, но и исходники программы устанавливаемой на стороне терминала, а также ее скомпилированная версия.
Взлом QuickPay
Программистам этой конторы я вообще поражаюсь. Сделали красивый дизайн на флеше, а об отладке своей проги по-моему вообще не думают. Открою тебе небольшой секрет – при определенных комбинациях действий на сенсорном экране терминала, программа вылетает, даже не выдав ошибку. Причем здесь интересен еще один момент. Все сенсорные мониторы на сегодняшний день поддерживают несколько режимов:
Click on touch
Click on release
Drag and click
Drag and double click
Это как минимум… То есть, сам понимаешь, что можно отключить все возможности кроме простого нажатия по нарисованным кнопкам. Но ведь нет же! Квалифицированные мастера сервисного обслуживания и не подумали ничего отключать. Наверное, посчитали, что тогда им будет неудобно обслуживать терминалы!
Таким образом, мне удалось на разных терминалах этой конторы получить доступ к рабочему столу (да, не удивляйся, там стоит обычная винда, вопреки тому, что на сайте написано Linux), Моему Компьютеру и, каталогу с программой со всеми вытекающими последствиями.
Взлом ОСМП
С этой конторой пришлось немного попотеть. Просканировав порты, nmap нащупал открытый и нефильтруемый pptpd-демон на стандартном 1723 порту. Так как для подбора пароля у нас существует “THC Hydra”, дело оставалось за именами пользователей. База данных пользователей PPTP очень часто не имеет ничего общего с базой данных пользователей сервера, но далеко не всегда. Зачастую Василий Пупкин создает одного и того же пользователя vasya везде, где только возможно. Поэтому, получив версию Apache-демона, я вспомнил про старую уязвимость с определением имен пользователей через web-доступ. Через несколько минут эксплойт был готов к работе.
Эксплойт отработал удачно и нашел двух пользователей – root и alex. Дальше за дело принялась Hydra. Я зарядил несколько увесистых словарей и подготовил скрипт для генерирования словарей имитирующих посимвольный перебор, но до них дело так и не дошло. Все вышло как нельзя проще. Пароль для alex-а был очень простой и даже находился где-то в начале словаря.
Что было дальше, думаю, не стоит рассказывать. Еще немного поработав, я получил доступ к базе терминалов и успешно слил несколько аккаунтов. Пароли, конечно, были хешированы, но их расшифровывать я не стал.
Естественно, я даже и не рассчитывал остаться незамеченным, но пока страждущие админы несколько дней закрывали дыру, мне удалось провести добрую порцию платежей.
Стоит ли овчинка выделки?
Сам факт получения чего-то нахаляву уже заставляет человека совершать какие-то телодвижения. Главное в этом деле не жадничать и помнить про Уголовный Кодекс. Но зато какой результат... Я думаю, оно стоит того. Подумать только - ты можешь проводить практически любые платежи абсолютно бесплатно нажатием нескольких кнопок в твоей самописной программе.
3
СТАТЬЯ
Спутниковый шпионаж
Развитие современных компьютерных технологий поражает. Устройства становятся меньше, а вычислительные способности удваиваются, чуть ли не каждый год! Уже ни кого не удивить высокоскоростным доступом ADSL, беспроводным Wi-Fi и тем более GRPS и его продолжением - EDGE. На рядового пользователя трудится даже космическая отрасль. Вывод спутников на орбиту - колоссальные затраты, а все ради того, что бы мы могли наслаждаться спутниковым телевидением и спутниковым Интернетом. Скорость и дешевизна, зачастую являются главным критерием при выборе подключения к Интернет. Спутниковый доступ к сети - самый оптимальный вариант, но и самый ненадежный - в плане безопасности.
Внимание! Цель данной статьи - рассмотреть возможность перехвата информации в спутниковых сетях и варианты защиты. Автор не несет ответственности за возможное применение полученной информации из статьи в противозаконных целях. Данная технология описана для общего развития, но ни как руководство к действию.
Атака
Для начала давайте разберемся, каким образом информация передается по спутниковым каналам связи. Система основана на том, что клиентский компьютер по наземным каналам связи передает запрос в дата центр на получение какой либо информации из Интернета. В датацентре запрос обрабатывается и он загружает все по тем же наземным каналам связи информацию, которую запросил клиент. Далее из датацентра информация идет на транспондер, в задачи которого входит передать информацию на спутник. Вот тут и открывается истина - задача спутника сродни задаче зеркала - просто отражать полученный сигнал - т. е. все, что приходит от транспондера спутник просто отправляет опять на землю, но уже не в виде узкого пучка, как лазер, а более расширено - как свет от фонарного столба, чем он выше - тем больше снизу световое пятно.
Что же у нас получается - спутник рассеял нашу информацию по огромной поверхности нашей планеты, как же мы ее получим?
Здесь в роль вступает DVB карточка и тарелка. Так как сигнал со спутника приходит к нам уже с довольно низким потенциалом - его необходимо усилить. Для этого нам и нужна тарелка, и чем она больше - тем лучший сигнал мы получим. Тарелка всего лишь отражает сигнал на конвертер, который уже и является непосредственно самим приемником сигнала. Но сигнал недостаточно просто принять - его надо отфильтровать. Ведь в один момент времени в сигнале может находиться информация, которую запросили, например, 100 человек. DVB карта фильтрует сигнал, полученный конвертером, и оставляет нам только то, что запросили мы и отсекает то, что запросил сосед. Как видно из всей этой цепочки - самый уязвимый элемент системы состоит в том, что данные разделяются на клиентской стороне. Вот этим мы и воспользуемся.
Что нам надо сделать для получения сторонней информации? Правильно - сделать так чтоб наша DVB карточка, фильтровала чуть-чуть не так, как задумал производитель. Фильтрация происходит по нескольким параметрам - по MAC-адресу DVB карточки или же по IP-адресу . Настройка фильтрации производится в сопутствующей программе для спутникового Интернета, например – DVBData из комплекта TTBudget-1401.
Как было уже сказано выше, непосредственно фильтрацию производит не сама карточка, а ее софт - тот самый, который мы запускаем при подключении к Интернету используя спутник. И именно его, мигающего нам зеленым цветом в трее при хорошем сигнале, мы и будем эксплуатировать (на примере DVBData от TTBudget - 1401).
После непродолжительного изучения работы и алгоритма DVBData.exe, была найдена возможность (простой заменой некоторых строк в исполняемом файле) заставить фильтр работать на нас. По умолчанию DVBData.exe не фильтрует так называемые multicast пакеты, которые рассылает провайдер спутникового Интернета. В multicast пакетах может быть и техническая информация, а может быть и программа передач. Но не столь важно, что может быть в этих multicast – главное, что фильтруются они по MAC-адресам, которые жестко прописаны в DVBData.exe. И если в самой программе изменить эти адреса – то мы заставим DVB карточку пропускать через себя абсолютно любые пакеты с произвольным MAC-адресом, вместо multicast.
Для этого откроем в любимом HEX редакторе DVBData.exe и поменяем все 10 адресов по смещению 72168h вида 01005E000008 на мак адрес карточки, информацию с которой нам надо получить. После изменения адресов сохраняем наш измененный файл под именем DVBData2.exe и копируем его в тот же каталог, что и оригинал.
И вот настал самый интересный момент - нам осталось направить нашу тарелку на тот же самый спутник, что и у нашего коллеги. Запустить наш модифицированный DVBData2.exe. И с удовольствием наблюдать, как в трее начинает мигать значок сетевого подключения - теперь информация, которую запросил наш друг, приходит и к нему и к нам!
Но что с того, что к нам приходят посторонние пакеты - мы то от этого ничего кроме загрузки процессора не получаем. Нам надо весь приходящий трафик куда-то сохранять и анализировать. Для этой цели прекрасно подходит сетевой анализатор Ethereal. В его задачи будет входить сохранение всех полученных пакетов в файл и дальнейший их анализ.
Итак, после установки запускаем наш анализатор. И активируем захват сетевого интерфейса нашей DVB карточки в меню Capture. Далее запускаем наш модифицированный DVBData2.exe. И вот они побежали - наши мегабайты информации. Стоит, пожалуй, еще напомнить, что при запуске DVBData2.exe нам нужно будет еще указать PID – это номера потоков. Их можно узнать на сайте провайдера или просто вписать все активные пиды, которые предоставит нам программа PidScanner. После непродолжительной работы всего нашего спец-софта захват можно прекратить и сохранить к себе на диск весь поток информации, который мы заполучили.
Теперь осталось в том же самом Ethereal открыть наш сохраненный поток данных. И уже не спеша, попивая чай или кофе, брать ту информацию, ради которой мы не пожалели потратить столько времени на настройку тарелки, ремонт ПО спутниковой карточки, установку Ethereal и, конечно же, на прочтение этой статьи.
Защита
Единственный способ защитится от прослушивания во время использования спутникового Интернета - шифрование всего трафика криптостойким алгоритмом. Никогда не используйте спутниковый Интернет для получения личной и особо ценной информации.
Различные вопросы и решения, которые могли возникнуть.
Вопрос: что можно перехватить таким методом?
Ответ: абсолютно весь входящий трафик. Т.е и Интернет странички, и почту, и аську, и все остальное.
Вопрос: как узнать мак адрес посторонней DVB карточки?
Ответ: для этого есть несколько способов. Первый и самый простой - просто спросить его у нашего коллеги. Если просто спросить нельзя - можно воспользоваться СИ. Ну а самый шпионский вариант – это использование спутниковых программ-граберов, например manna.
