o5logon

No comments »

CVE-2012-3137 вече е стара новина. Неприятното в случая е, че няма изгледи да се коригира в актуалните версии на Oracle 10.2-11.2, тъй като е design flaw, а workaround-ите са доста неудобни за прилагане, особено в големи продукционни среди.

Накратко, проблемът е, че в процеса на оторизация към Oracle базата данни, listener-а връща към клиента AUTH_VFR_DATA (salt) и AUTH_SESSKEY, без значение дали опитът за оторизация е успешен или не. След внимателен анализ, Esteban Martinez Fayo открива, следната зависимост:

aes192(AUTH_SESSKEY, sha1(real_password+AUTH_VFR_DATA)+0x00000000)[:40] == 0x0808080808080808

Това дава възможност да се инициира offline bruteforce атака, след прихващането на AUTH_VFR_DATA и AUTH_SESSKEY. Това става чрез директен sniff по мрежата или чрез включване на trace logging на ниво support в oracle client.

След като написах набързо работеща bruteforce програма, реших да се възползвам от multithreading, rule engine и оптимизираните криптографски имплементации на hashkill. Преработката като plugin стана за 20 минути, докато се ориентирам в кода, а след като Милен пое нещата в свои ръце се сдобихме с първата в света публична версия на o5logon чупачка върху GPU – браво!

Накрая, понеже oracle trace файловете са пълни с всякаква информация, а изваждането на сесията и salt-а е неудобно на ръка, спретнах python скрипт, който parse-ва данните и ги представя в hashkill или John the Ripper формат.

SPAM дарение

6 comments »

По-миналата седмица попаднах на статия в Капитал как SPAM регистърът на КЗП получил дарение. Определено се зарадвах, че са направили нещо, което да опростява справките в регистъра и следователно да го направи по-ефективен. Когато погледнах отблизо зъбите на харизания кон обаче, ми стана ясно, че стъпката е отново в страни. Технологичното решение, което колегите са предложили е .NET desktop приложение, към което се сваля криптиран файл със съдържанието на регистъра. Проверката става, като потребителя изготви файл с електронните адреси на получателите, а приложението го филтрира в съответствие със съдържанието на регистъра.

От това веднага трябва да е станало ясно, че ключа за декриптиране вероятно е забит в самото приложение. След прилагането на не-чак-вуду-техники (strings and friends), нямащи нищо общо с reverse engineering, става ясно, че регистърът е криптиран с DES-CBC, а 20 минути по-късно декриптирането се свежда до една команда с OpenSSL:

alex@volatile:~$ openssl des-cbc -d -K [find_it_youself] -iv 00f00ab00bc00cf0 -in 29112010.TXT -out spam.txt

Разбира се, изпратих поща на КЗП за проблема, описвайки и възможността недоброжелател да декриптира регистъра и да го постне по руските и китайските спам форуми. След това резултатът е ясен, а действието ефективно ще подкопае и без това крехките устои на SPAM регистъра.

Отговор вече повече от седмица няма.

PR hell

2 comments »

За мълчаливият протест на полицаите всички разбраха. Твърдеше се, че са започнали да се организират чрез вътрешния форум в министерството. Разбира се, първосигналната реакция на висшите функционери е да спрат форума. В резултат хората се пренасят на друго място, този път достъпрно през Интернет. На показ излизат всичките неуредици, простотии и тегоби на българския полицай. За неговият шеф да не говорим.

Ето как за проблеми от ’08 се правят опити за решаването им с методи от ’60. Разбира се, тук проличава същото разбиране за съвременните технологии и работата на информационното общество, каквото МВР проявява и при останалите операции в областта – торенти, информациони портали и пр.

Докато умните глави спорят дали протеста се е самозародил поради горните причини или е политическа спец-акция, проблемите си остават. Прехвърлянето им единствено в социално-битовата сфера също не допринася за решаването им.

Edit: А ценоразписът на служителите в МВР е излязъл още ония ден. Направо от източника. От главен секретар надолу. Който ми покаже коя друга държава си го е направила това сама има бира (или каквото там пие) от мен.

Edit2: Ама разбира се, форумът вече е със затворен достъп. Явно old school методите работят. Къде ли ще е следващия :)

Onion routing и закона

5 comments »

The Onion Router (TOR) е свободна имплементация на технология, целяща да създаде инфраструктура за гарантиране на (псевдо)анонимност в мрежата. Това става като всеки участник в TOR става отделно звено, а връзката се насочва през произволни участници в мрежата. Комуникацията между TOR звената е криптирана, но при последното звено, така наречения exit node, се налага да се използва първоначалния протокол, за да се изгради връзката с търсения сървър. Ако не използвате криптиране от край-до-край, като примерно качите връзката на SSL обслужващия ви exit node може да прихване и подслуша комуникацията.
Всъщност, горното е отдавна известно и е подчертано още на първата страница на проекта. Комбиниране с възможността да се инжектира съдържание в обратния отговор (примерно web bug, който да ни се „обади”, когато пристигне при оригиналния клиент), нещата вече губят всякаква възможност за гарантиране на анонимност. Въпреки това, много хора не го разбират или просто не им пука толкова.
В средата на миналата година, шведски консултант по ИТ сигурност направи точно горното – инсталира на няколко машини TOR сървъри, пусна sniffer и зачака. След като само за няколко седмици успя да „налови” паролите за пощите на маса посолства, вдигна тежка олелия и го обявиха за хакер номер едно. После и го арестуваха.
За мен горния случай единствено показва колко малко се разбират проблемите на ИТ сигурността в горните организации. Ако правилно си спомням, много малко държави въобще използваха Интернет за преносен канал с мисиите зад граница (хм, няма да конкретизирам…). Та дори и нашата малка България се впусна в изграждането на сателитни мрежи – помните скандала със Соломон Паси преди време…
Както и да е. Преди 2-3 години аз също в името на опита и любопитството проверих какво се пренася. Тогава не излезе нищо неочаквано – пощи, порно страници, форуми.
Реших сега да опитам отново – наистина ли трафика е станал толкова „сериозен”? Инсталацията на опитната установката отне около 10 минути, след което отидох, разбира се, на бира.
Когато се завърнах, прегледах логовете. Само един бърз поглед показа, че играта с времето само е загрубяла – беше пълно с адреси към гнусна детска порнография.
Тук идват и резонните въпроси:
• Какво ще кажат нашите приятели от ГДБОП, ако от ISP-то ми слушат трафика? Тук историята се доближава до тази с торентите – както там не си изясниха технологията, така и тук вероятно ще имат заблуждения.
• Всъщност, прави ли ме инсталирането и конфигурирането на TOR сървър „Доставчик на далекосъобщителна услуга”? Не мисля, че закона може да се прочете така, но на практика аз в случая имам клиенти, за които си нямам и понятие кои са, но които обслужвам. Да не говорим, че и логовете, които евентуално ще пазя са абсолютно безсмислени.
• Защо, след като в ситуацията в момента е такава, МВР не пусне няколко TOR сървъра и не спре *източниците* на незаконното съдържание? Без значение дали са на територията на България или навън, варианти има. Не мисля, че кампании от типа „Натопи другарчето, ако го усетиш да прави нещо нередно” ще помогнат повече.
Проблемът такъв, какъвто генерализирано го виждам е, че за кой ли път законите (и то не само в България) изостават твърде много от процесите в истинския свят.
TOR и подобните системи не са заплаха. Има десетки и много по-големи бот-мрежи, създадени, за да обслужват единствено и само престъпни цели, от компютрите на нищо неподозиращи Windows потребители. От там се сипе SPAM, инициират се DDoS атаки, bruteforce-ват се услуги и какво ли още не.
Все си мисля, че трябва да направим нещо по въпроса. А вие?