Tragikomédia következik, két felvonásban. Először is kardhal küldött pár levelet, néhány jólfésült magyar site adminisztrátori panelének screenshotjával, melyeket az "inurl:admin/login.asp" Google dork finomításával könnyedén megtalálhat bárki. Persze a felület jelszóval védett, de a legprimitívebb felhasználó:jelszó párossal be lehet rájuk menni (ennél több infót tényleg nem merek kiírni). Küldtem leveleket az érintetteknek, ötből egy cégtől vették a fáradtságot, hogy válaszoljanak...
De persze ki nem sz*rja le, ha esetleg néhány hazai kereskedő hirtelen malware-t kezd osztani? :(
A baj az (második felvonás), hogy ma, 2011-ben, ugyanilyen szintű problémák előfordulnak sokkal komolyabb helyeken is. Kevin Finisterre - egy rendes whitehat munka során - például egy meg nem nevezett amerikai város rendőrjárőreinek digitális kamerái felett vette át az uralmat hasonlóan "bonyolult" módszerekkel.
A helyi járőrök autójában egy Rocket nevű, megerősített szerkezetű routert rendszeresítettek, melynek belső WiFi hálózatára más eszközök, többek között a rendőrök intézkedéseit rögzítő videókamera is csatlakoztak. Bár a WLAN-ok titkosításán kellő erőbedobással valószínűleg megfejthette volna, Finisterre sokkal elegánsabb megoldást talált:
Nem tudni, hogy a Rocket alapértelmezései miatt, vagy azért, hogy a járőrflotta adatait a garázsokban könnyebben áttölthessék, de a rögzítést is végző kameraegység FTP és Telnet portjait szépen kiforwardolták a routeren. Amire a tervezők nem gondoltak, az az volt, hogy a routerek másik interfésze a Verzion GPRS/EDGE/3G/LTE... (whatever: cellular) hálózatára nézett, ami Interneten routolható IP-ket osztott a rendőrség eszközeinek, a fenti szolgáltatásokhoz így bárki csatlakozhatott.
No persze jelszó nélkül nem sokra megy az ember, de - ahogy azt már bizonyára kitaláltátok - az FTP szerver jelszava a gyári alapértelmezett, nagy bonyolultságú "PASS" volt, míg a Telnet szervert egy autentikáció megkerülését engedő sebezhetőség sújtotta. Ennek kifinomult kihasználási módja a következő volt:
$ telnet xxx.xxx.xxx.xxx
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
200 MDVR3xx Telnet Server
pwd
400 Command Error
pwd
200 /
ls -l
100 drw-rw-rw- 1 user group 0 Jan 1 1970 c
200 OK
ésatöbbi...
innentől kezdve a tesztelést végző csapat nem csak élő-egyenes adást élvezhettek a járőrautókból, de tetszőleges intézkedés rögzített felvételét módosíthatták, vagy törölhették volna. Volt bizonyíték, nincs bizonyíték!
Az érintett cégek közül a Rocket gyártója hárította a támadásokat, a többiek még nem adtak ki hivatalos közleményt.
Hasonló esetekről kaphattok szórakoztató beszámolókat Keleti Artúr jóvoltából a következő Ethical Hacking konferencián.
b. á. 2011.05.04. 20:04:24
Nem tudom már, hogy hol olvastam egy angol nyelvű cikkben, ahol döbbenetes adatokat közöltek azzal kapcsolatban, hogy a superuser-ek mennyire ritkán változtatnak jelszót.
Na most akkor őszintén mindenki kommentelje ide, hogy a fél kilométeres jelszavait milyen gyakran szokta megváltoztatni :)
Bronco07 2011.05.04. 21:41:44
Bronco07 2011.05.04. 21:43:06
Celtic 2011.05.06. 17:31:47
buherator · http://buhera.blog.hu 2011.05.06. 17:38:43
Celtic 2011.05.06. 20:45:18
Tapasztalat: ahol elo van irva, hoyg x idonkent cserelni kell, ott gyakran
1. roppant egyszeru jelszot valasztanak (gyerek szuletesi eve....esetleg neve, ha tobb van, lehet cserelgetni)
2. valahova felirjak, hiszen ahoyg az elejen mondtam, nem tud az ember sok ertelmetlen szot fejben tartani
3. rosszabb esetben egy ido mulva keverik, ciklikusan cserelgetik ("itt ezt hasznaltam, most ez oda jo lesz", stb)
Nalam egyszeru: van ot eros jelszavam meg ot gyenge. Egyszeru helyeken, ming pl. egy forum regisztracio, a gyengebbet hasznalom. Banki muveletekhez meg ott, ahol vasarolok, vmelyik erosebbet. Nyilvan igy tobbszor/tobb helyen hasznalom ugyanazt, de ez nalam belefer az elfogadhato kockazatba.
Az OTP-nek is megvan a maga jogosultsaga, de hat tisztan latszik, milyen nehezkes: valahogyan azt az egyszeri kulcsot is el kell juttatni a masik oldalra. (Oke, ezen alapul az SSL, de az ember feje nem ALU, normal neuronok halozata.)
Ez olyan, mint a DNS: nyilvan sokkal egyszerubb lenne mindenhova IP-cimet hasznalni, de az ember jobban megjegyzi a (szamara) logikus szoveget. Ha meg tudna elso hallasra jegyezni barmilyen karaktersorozatot es sose felejtene el, akkor lenne jogosultsaga a jelszocserenek. De az ember olyan, amilyen, tehat ha informatikai szempontbol nagyobb biztonsagot is nyujtana a kulcscsere, az emberi tenyezot is figyelembe veve, csak ront a helyzeten.
Szerintem, ofkoz.
buherator · http://buhera.blog.hu 2011.05.06. 21:10:17
Alapvetően van igazság abban, amit mondasz, a jelszómenedzsment régi kihívás, jól ismert hátulütőkkel.
A jelszócsere azért fontos, mert az erős jelszavakat is meg lehet törni/szerezni (ld. keylogger, memdump, PS3 cluster, stb.). Nem tőled, hanem a másik oldalról, sokkal nagyobb hatékonysággal. Ha egyetlen erős jelszavad van, akkor elég, ha egy helyen nincs megfelelő védelem, és máris buktad az összes "fontos" fiókodat - de ez már ugye a pw reuse témaköre.
Erős, megjegyezhető jelszót készíteni pedig könnyű: egyszerűen jelmondatokban kell gondolkodni. Pl. kedvenc vers részlete, vagy a szavak kezdőbetűi (Nyilván lehet mondjuk hozzáadni spéci karaktereket, számokat). Innen pedig a rendszeres újragenerálás is egyszerűbb: mondjuk veszed a következő versszakot, sort vagy akármi. De ugyanígy ki lehet indulni a periódusos rendszerből, vagy kinek mi a hobbija.
És akkor a LastPass-hoz hasonló szolgáltatásokról nem is beszéltünk, bár náluk pont most nyomták meg a pánikgombot...
Az OTP szerintem más téma, mivel az általában birtoklás alapú autentikációhoz kötődik.
btw: most jött Twitteren: twitpic.com/4u4srg :)