Audyt Umysłu Hackera : Zalecenia dotyczące bezpieczeństwa i dezinformacja

Wśród mnóstwa nieocenionych pereł wiedzy na temat bezpieczeństwa dostępnych na forach, takich jak listy mailingowe zawierające pełne informacje, a nawet listy dyskusyjne Bugtraq, bardziej poinformowany czytelnik może znaleźć kilka porad i rzekomych ostrzeżeń dotyczących bezpieczeństwa, które z jakiegoś powodu po prostu wydają się nie mieć sensu. Chociaż istnieje szansa, że ​​informacje, które czytałeś, zostały w rzeczywistości napisane przez 14-latka, bardziej zainteresowanego wysyłaniem „krzyków” do swoich przyjaciół hakerów niż przekazywaniem jakichkolwiek przydatnych informacji, istnieje równa szansa, że informacje, które przeczytałeś, były częścią spisku mającego na celu dezinformację społeczności zajmującej się bezpieczeństwem komputerowym w jakimś kształcie lub formie. W miarę jak bezpieczeństwo korporacyjne stawało się coraz ważniejsze w agendach menedżerów IT na całym świecie i częściej omawiane w światowych mediach, zmieniło się także postrzeganie bezpiecznej komunikacji. Strach ludzi przed tym, o czym słyszeli w telewizji, ale nie rozumieją, jest artefaktem, na który coraz więcej grup i osób publikuje informacje wprowadzające w błąd lub w inny sposób całkowicie fałszywe na forach, takich jak listy mailingowe zawierające pełne informacje. Poprzednie przykłady obejmowały fałszywe porady dotyczące nieistniejących luk w popularnym oprogramowaniu serwerowym OpenSSH, wywołując panikę wśród nierozsądnych społeczności administratorów systemów, oraz być może bardziej znaczące zalecenie GOBBLES RIAA / mpg-123. W styczniu 2003 r. Niesławna grupa GOBBLES opublikowała poradę opisującą szczegółowo określoną lukę w stosunkowo nieznanym odtwarzaczu multimedialnym o nazwie mpg-123 do Bugtraq. W raporcie autor stwierdził, że grupa została wynajęta przez Recording Industry Association of America (RIAA) do napisania robaka programowego wykorzystującego luki w bardziej popularnych odtwarzaczach multimedialnych (takich jak Microsoft Windows Media Player). Celem tego rzekomego robaka było zainfekowanie wszystkich użytkowników platform wymiany plików, takich jak KaZaa i WinMX, ostatecznie eliminując wszystkich, którzy udostępniają muzykę chronioną prawami autorskimi (właściciele praw autorskich są klientami RIAA). Oczywiście wszystkie oprócz informacji dotyczących luki mpg-123 w poradniku zostały całkowicie sfabrykowane. W tamtym czasie jednak RIAA była dobrze znana z niechęci do rosnącej liczby użytkowników oprogramowania do udostępniania plików, a luka mpg-123 była rzeczywiście realna, co spowodowało, że ogromna liczba osób wierzyła w każde słowo porady. Nie trwało długo, zanim wiele dużych sieci medialnych przyłapało się na tej historii, recytując informacje zawarte w oryginalnym poradniku GOBBLES jako ewangelię, docierając do publiczności o rząd wielkości większej niż cała społeczność zajmująca się bezpieczeństwem razem wzięta. Oczywiście RIAA szybko odrzuciło tę historię jako całkowicie fałszywą. Z kolei publikowano wiadomości, aby wycofać wcześniej opublikowane (błędne) informacje, ale okazało się, że w tamtym czasie opinia publiczna była wyjątkowo podatna na taką formę inżynierii społecznej, która opierała się na strachu przed nieznanym i strachu przed niepewnością. Poniżej znajdują się fragmenty oryginalnego poradnika GOBBLES. Należy pamiętać, że niektóre stwierdzenia zostały usunięte z powodu braku znaczenia i że GOBBLES w rzeczywistości nie działa dla RIAA. „Kilka miesięcy temu GOBBLES Security został zwerbowany przez RIAA (riaa.org) w celu wynalezienia, stworzenia i wreszcie wdrożenia narzędzi antypirackich przyszłości. Skoncentrowaliśmy się na tworzeniu hybryd wirusów / robaków do infekowania i rozprzestrzeniania się w sieciach p2p. Dopóki nie zostaliśmy wykonawcami RIAA, jedyne, co mogli zrobić, to pasywne monitorowanie ruchu. Nasz wkład w RIAA dał im możliwość aktywnego kontrolowania większości hostów korzystających z tych sieci. Skoncentrowaliśmy nasze badania na lukach w odtwarzaczach audio i wideo. Pomysł polegał na znalezieniu dziur w różnych programach, abyśmy mogli rozprzestrzeniać złośliwe media przez sieci p2p i uzyskać dostęp do hosta, gdy media były oglądane. Podczas naszych badań przeprowadziliśmy audyt i opracowaliśmy naszą hydrę pod kątem następujących narzędzi medialnych:

  1. mplayer (www.mplayerhq.org)
  2. WinAMP (www.winamp.com)
  3. Windows Media Player (www.microsoft.com)
  4. xine (xine.sourceforge.net)
  5. mpg123 (www.mpg123.de)
  6. xmms (www.xmms.org)

Po opracowaniu solidnych exploitów dla każdego z nich przedstawiliśmy tę pierwszą część naszych badań RIAA. Byli zadowoleni i zaaprobowali nas do kontynuowania drugiej fazy projektu – opracowania mechanizmu, dzięki któremu infekcja będzie się rozprzestrzeniać. Opracowanie złożonej hydry zajęło nam około miesiąca, a kolejny miesiąc doprowadzenie jej do standardów doskonałości, których wymagała od nas RIAA. W końcu przedstawiliśmy prawdopodobnie najbardziej wyrafinowane narzędzie do skompromitowania milionów komputerów w kilka chwil. Nasz system najpierw infekuje jednego hosta. Następnie pobiera odciski palców łączącego się hosta w sieci p2p za pomocą pasywnej analizy ruchu i określa najlepszą możliwą metodę infekcji dla tego hosta. Następnie właściwe wyniki wyszukiwania są odsyłane z powrotem do „ofiary” (a nie do ciężko pracujących artystów, którzy gwałcą technologię p2p, a RIAA chroni). Następnie (miejmy nadzieję) użytkownik pobierze zainfekowany plik multimedialny z serwera RIAA, a następnie odtworzy go na własnej maszynie. Kiedy gracz zostaje wykorzystany, dzieje się kilka rzeczy. Po pierwsze, całe oprogramowanie p2pserving na komputerze jest zainfekowane, co pozwoli mu na infekowanie innych hostów w sieci p2p. Następnie wszystkie media na maszynie są katalogowane, a pełna lista jest odsyłana z powrotem do centrali RIAA (poprzez specjalnie spreparowane żądania przez sieci p2p), gdzie jest dodawana do ich rekordów i przechowywana do późniejszego czasu, kiedy może być wykorzystywane jako dowód w postępowaniu karnym przeciwko tym przestępcom, którzy uważają, że złamanie prawa jest w porządku. Nasze oprogramowanie działało lepiej, niż się spodziewaliśmy, a aktualne raporty wskazują, że prawie 95% wszystkich hostów uczestniczących w p2p jest teraz zainfekowanych oprogramowaniem, które opracowaliśmy dla RIAA. O czym należy pamiętać:

  1. Jeśli uczestniczysz w nielegalnych sieciach wymiany plików, twój komputer należy teraz do RIAA.
  2. Twój firewall BlackIce Defender ™ Ci nie pomoże.
  3. Snort, RealSecure, Dragon, NFR i wszystkie inne bzdury nie mogą wykryć tego ataku ani tego typu ataku.
  4. Nie zadzierajcie więcej z RIAA, scriptkids.
  5. Mamy własną prywatną wersję tej hydry, która aktywnie infekuje użytkowników p2p i buduje jeden gigantyczny ddosnet.

Jednak, aby zademonstrować, jak działa ten system, udostępniamy społeczności akademickiej jeden przykładowy exploit dla błędu mpg123, który został znaleziony niezależnie od naszej pracy dla RIAA i nie jest objęty naszą umową z instytucją . ”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *