Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Csak a szánkat koptatjuk: Alapértelmezett jelszavak

2011.05.03. 15:14 | buherator | 7 komment

Tragikomédia következik, két felvonásban. Először is kardhal küldött pár levelet, néhány jólfésült magyar site adminisztrátori panelének screenshotjával, melyeket az "inurl:admin/login.asp" Google dork finomításával könnyedén megtalálhat bárki. Persze a felület jelszóval védett, de a legprimitívebb felhasználó:jelszó párossal be lehet rájuk menni (ennél több infót tényleg nem merek kiírni). Küldtem leveleket az érintetteknek, ötből egy cégtől vették a fáradtságot, hogy válaszoljanak...

De persze ki nem sz*rja le, ha esetleg néhány hazai kereskedő hirtelen malware-t kezd osztani? :(

A baj az (második felvonás), hogy ma, 2011-ben, ugyanilyen szintű problémák előfordulnak sokkal komolyabb helyeken is. Kevin Finisterre - egy rendes whitehat munka során - például egy meg nem nevezett amerikai város rendőrjárőreinek digitális kamerái felett vette át az uralmat hasonlóan "bonyolult" módszerekkel. 

A helyi járőrök autójában egy Rocket nevű, megerősített szerkezetű routert rendszeresítettek, melynek belső WiFi hálózatára más eszközök, többek között a rendőrök intézkedéseit rögzítő videókamera is csatlakoztak. Bár a WLAN-ok titkosításán kellő erőbedobással valószínűleg megfejthette volna, Finisterre sokkal elegánsabb megoldást talált:

Nem tudni, hogy a Rocket alapértelmezései miatt, vagy azért, hogy a járőrflotta adatait a garázsokban könnyebben áttölthessék, de a rögzítést is végző kameraegység FTP és Telnet portjait szépen kiforwardolták a routeren. Amire a tervezők nem gondoltak, az az volt, hogy a routerek másik interfésze a Verzion GPRS/EDGE/3G/LTE... (whatever: cellular) hálózatára nézett, ami Interneten routolható IP-ket osztott a rendőrség eszközeinek, a fenti szolgáltatásokhoz így bárki csatlakozhatott.

No persze jelszó nélkül nem sokra megy az ember, de - ahogy azt már bizonyára kitaláltátok - az FTP szerver jelszava a gyári alapértelmezett, nagy bonyolultságú "PASS" volt, míg a Telnet szervert egy autentikáció megkerülését engedő sebezhetőség sújtotta. Ennek kifinomult kihasználási módja a következő volt:

$ telnet xxx.xxx.xxx.xxx
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
200 MDVR3xx Telnet Server
pwd
400 Command Error
pwd
200 /
ls -l
100 drw-rw-rw- 1 user group            0 Jan  1  1970 c
200 OK

ésatöbbi...

innentől kezdve a tesztelést végző csapat nem csak élő-egyenes adást élvezhettek a járőrautókból, de tetszőleges intézkedés rögzített felvételét módosíthatták, vagy törölhették volna. Volt bizonyíték, nincs bizonyíték!

Az érintett cégek közül a Rocket gyártója hárította a támadásokat, a többiek még nem adtak ki hivatalos közleményt.

Hasonló esetekről kaphattok szórakoztató beszámolókat Keleti Artúr jóvoltából a következő Ethical Hacking konferencián.

Címkék: google rendőrség alapértelemezett jelszó

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

b. á. 2011.05.04. 20:04:24

Eszembe jutott egy – talán még tragikomikusabb – általános jelenség: még azok az informatikusok, akik tisztában vannak vele, hogy finoman fogalmazva nagyon nem illik több helyen ugyanazt a jelszót használni, sőt, még azzal is, hogy a jó jelszó legyen 10-16 karakter hosszúságú mindenféle eklektikus karakterrel cicomázva, sokszor pont ott követnek el hibát azzal, hogy túlzottan biztosak önmagukban: azaz nem változtatják meg a jelszavakat elég gyakran, hiszen, több tucat jelszót – amit ugye leírni sem a legjobb ötlet - rendszeresen megváltoztatni és fejben tartani marhára macerás.

Nem tudom már, hogy hol olvastam egy angol nyelvű cikkben, ahol döbbenetes adatokat közöltek azzal kapcsolatban, hogy a superuser-ek mennyire ritkán változtatnak jelszót.

Na most akkor őszintén mindenki kommentelje ide, hogy a fél kilométeres jelszavait milyen gyakran szokta megváltoztatni :)

Bronco07 2011.05.04. 21:41:44

khmm. változtatni? hiszen már két éve kiválóan működik!

Bronco07 2011.05.04. 21:43:06

holnap lecserélem, ígérem...

Celtic 2011.05.06. 17:31:47

Sose cserelem. Egyszeruen semmi ertelme. Esetleg vitazhatunk arrol, hoyg tenyleg van-e ertelme a jelszocserenek x idokozonkent, ha nem ugyanazt hasznalod mindenhol...

buherator · http://buhera.blog.hu 2011.05.06. 17:38:43

@Celtic: "Egyszeruen semmi ertelme." - ezt kifejtenéd?

Celtic 2011.05.06. 20:45:18

@buherator: Szerintem, ha az ember tul bonyolutl jelszot valaszt, nehezen jegyzi meg. Ha gyakran valtoztatja, meg nehezebben jegyzi meg es ohatatlanul valahova felirja (jegyzetfuzet, mobiltelefon, egy file, stb). Ha _egyszer_ valasztasz egy megfeleloen bonyolutl jelszot (10+ karakter, kis- es nagybetu, szamok, minden lehetseges nyelven ertelmetlen karakterhalmaz) es azt hasznalod igazan fontos helyeken , plusz gondoskodsz a gepeden az alapveto biztonsagrol (hiaba csereled naponta, ha mondjuk ott figyel a gepeden egy keylogger), nem latom ertelmet cserelni.
Tapasztalat: ahol elo van irva, hoyg x idonkent cserelni kell, ott gyakran
1. roppant egyszeru jelszot valasztanak (gyerek szuletesi eve....esetleg neve, ha tobb van, lehet cserelgetni)
2. valahova felirjak, hiszen ahoyg az elejen mondtam, nem tud az ember sok ertelmetlen szot fejben tartani
3. rosszabb esetben egy ido mulva keverik, ciklikusan cserelgetik ("itt ezt hasznaltam, most ez oda jo lesz", stb)

Nalam egyszeru: van ot eros jelszavam meg ot gyenge. Egyszeru helyeken, ming pl. egy forum regisztracio, a gyengebbet hasznalom. Banki muveletekhez meg ott, ahol vasarolok, vmelyik erosebbet. Nyilvan igy tobbszor/tobb helyen hasznalom ugyanazt, de ez nalam belefer az elfogadhato kockazatba.

Az OTP-nek is megvan a maga jogosultsaga, de hat tisztan latszik, milyen nehezkes: valahogyan azt az egyszeri kulcsot is el kell juttatni a masik oldalra. (Oke, ezen alapul az SSL, de az ember feje nem ALU, normal neuronok halozata.)

Ez olyan, mint a DNS: nyilvan sokkal egyszerubb lenne mindenhova IP-cimet hasznalni, de az ember jobban megjegyzi a (szamara) logikus szoveget. Ha meg tudna elso hallasra jegyezni barmilyen karaktersorozatot es sose felejtene el, akkor lenne jogosultsaga a jelszocserenek. De az ember olyan, amilyen, tehat ha informatikai szempontbol nagyobb biztonsagot is nyujtana a kulcscsere, az emberi tenyezot is figyelembe veve, csak ront a helyzeten.

Szerintem, ofkoz.

buherator · http://buhera.blog.hu 2011.05.06. 21:10:17

@Celtic: Kösz a részletes választ :)

Alapvetően van igazság abban, amit mondasz, a jelszómenedzsment régi kihívás, jól ismert hátulütőkkel.

A jelszócsere azért fontos, mert az erős jelszavakat is meg lehet törni/szerezni (ld. keylogger, memdump, PS3 cluster, stb.). Nem tőled, hanem a másik oldalról, sokkal nagyobb hatékonysággal. Ha egyetlen erős jelszavad van, akkor elég, ha egy helyen nincs megfelelő védelem, és máris buktad az összes "fontos" fiókodat - de ez már ugye a pw reuse témaköre.

Erős, megjegyezhető jelszót készíteni pedig könnyű: egyszerűen jelmondatokban kell gondolkodni. Pl. kedvenc vers részlete, vagy a szavak kezdőbetűi (Nyilván lehet mondjuk hozzáadni spéci karaktereket, számokat). Innen pedig a rendszeres újragenerálás is egyszerűbb: mondjuk veszed a következő versszakot, sort vagy akármi. De ugyanígy ki lehet indulni a periódusos rendszerből, vagy kinek mi a hobbija.

És akkor a LastPass-hoz hasonló szolgáltatásokról nem is beszéltünk, bár náluk pont most nyomták meg a pánikgombot...

Az OTP szerintem más téma, mivel az általában birtoklás alapú autentikációhoz kötődik.

btw: most jött Twitteren: twitpic.com/4u4srg :)