Кейс. Андрей Масалович - практические примеры о поиске в Гугле паролей к ftp
Конкурентная разведка, работающая в рамках закона, с момента своего появления была вынуждена искать альтернативы классической триаде спецслужб "наружка-прослушка-агентура". Во многом эта задача облегчалась тем, что уровень задач, решаемых конкурентной разведкой, по своим масштабам и сложности намного меньше, чем уровень задач, решаемых государственными спецслужбами.
В результате, работа с ресурсами Интернета стала одной из приоритетных задач. Хотя не надо забывать, что Интернет - всегда вспомогательный инструмент конкурентной разведки.
Возможности Интернета, благодаря его дешевизне, широте охвата, скорости и общедоступности, стали интересны и государственным спецслужбам - и специалисты конкурентной разведки во всем мире передают свои наработки государственным органам.
Ниже приведу пример Андрея Масаловича, показывающий, как с помощью несложных запросов в Гугл можно обнаруживать достаточно серьезную информацию.
Источник http://dobryi-leshii.livejournal.com/5061.html
Итак, при очередном рейде роботов Avalanche по пиратским базам улов составил более 5000 паролей к ftp, включая пароли с правами на запись и включая фирмы уровня 1C, Инэк, Ланит, Лаборатория Касперского и т.д.
Как такое может быть?
Давайте пробежим по клавишам Аваланча- хотя бы первую октаву - и посмотрим, насколько легко сегодня можно добраться до серверов компаний, которые призваны отвечать за наши данные и за нашу безопасность.
(Если же вас не цепляют музыкальные метафоры, просто попробуйте ноту Си)
До. 2007-2008 год ознаменовался не совсем обычными эпидемиями массовых рассылок и перенаправления трафика, использующими подмену файла .htaccess на серверах Apache (раньше атаки через .htaccess практиковали немногочисленные профессиональные хакеры, часто - для организации многолетнего скрытого наблюдения за сервером).
Ре. Поскольку новый механизм рассылки заразы через .htaccess стал массовым и автоматизированным, возник спрос на ftp-пароли с правом записи, поставляемые регулярно и в больших количествах (единственный уязвимый момент в данной схеме - момент записи зараженного .htaccess в целевую папку. Его лучше производить, имея легальные права на запись).
Ми. Существует два базовых механизма получения очередных порций паролей - через использование брешей в защите на уже зараженных машинах и через сниферы трафика в подконтрольном сегменте сети. Второй путь предпочтительнее, поскольку при использовании базовых механизмов аутентификации пароли в течение всего сеанса болтаются в сети в открытом виде (см. Пример ниже).
Фа. Сырой трафик, поставляемый сниферами, покупатели паролей с негодованием отвергают - он нуждается в чистке, изобилует повторами, а главное - весьма быстро устаревает - и все пароли приходится проверять на актуальность и на уровень предоставляемых прав.
Соль. Соответственно, растет спрос на т.н. ftp-чекеры (ftp-checker) - специализированные программы, которые умеют чистить списки ftp-паролей, сортируя их по качеству, работоспособности и правам.
Ля. Возникает новый товар - очищенные списки паролей, прошедшие чекинг («отчеканые»). Товар недорогой, но массовый. В тусовке вовлеченных в этот бизнес, он называется «свеже-отчеканые ftp».
Си. А теперь, если это позволяют ваши этические нормы и законы вашей страны, вы можете просто попробовать набрать (например в Google) простой запрос типа:
свеже-отчеканые ftp
Обещаю - скучно не будет ))
Вот видите, первую тысячу паролей можно получить с первой октавы, просто «на кончиках пальцев», если научиться слушать музыку глубинного Интернета.
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ:
До.
На серверах Apache (которые в России составляют более половины парка веб-серверов) есть файлы конфигурирования - .htaccess . Это идеальный инструмент для захвата сервера. Внутри файлов .htaccess (которые, не привлекая внимания, могут присутствовать в каждой папке на сервере) легко помещать команды изменения прав доступа к каталогам, перенаправления трафика, запуска скриптов и даже сборки и исполнения зашифрованного программного кода.
Приличных ресурсов про .htaccess на русском языке довольно мало, самым удачным мне представляется вот этот - http://www.htaccess.net.ru/
Ре.
Зараженные файлы .htaccess могут месяцами и годами лежать у вас на сервере незамеченными, поскольку антивирусы их практически не проверяют, админы считают их пользовательской территорией, а пользователи осведомлены о них еще менее, чем например об .htpasswd.
Типичные инструкции провайдеров на эту тему из серии «Спасение утопающих - дело рук самих утопающих» здесь приводить не буду, но их логика понятна: если когда-то вы невнимательно сконфигурировали свой раздел на сервере - в частности не запретили запись с чужих IP (кстати эти настройки хранятся в том же самом файле .htaccess), то любые действия по модернизации .htacces, проведенные под вашим паролем, админ должен считать легитимными. Он и физически не может разобраться, вы ли это модифицируете файлы конфигурации для усиления защиты, или это очередной хакер, укравший ваш пароль.
Кстати, если ваш компьютер заражен, если вы используете форму запоминания паролей и базовый режим аутентификации и и если у вас Microsoft IE - знайте: все ваши новые пароли будут украдены в момент их появления. И на провайдера тут обижаться не за что - зараженный файл может, к примеру, содержать единственную команду редиректа и кто возьмется гарантировать, что это не вы сами перенаправляете свой трафик на порнушку ))
Ми.
Вот типичный диалог о покупке очередной партии пар «логин-пароль» для ftp:
http://forum.zloy.bz/showthread.php?t=35358
Обратите внимание на дату - июнь 2007. Многие пароли для ftp из того списка до сих пор действительны, большинство серверов заражены, а их хозяева - ни сном, ни духом...
Фа.
В принципе пары «логин-пароль» можно выколупывать прямо из трафика - при базовой аутентификации они весь сеанс маячат в открытом виде и видны в логах любого снифера.
Для тех, кто хочет попрактиковаться - - вот пример результата работы снифера в окрестностях некоего чата.
Ники, логины, пароли и е-майлы видны невооруженным глазом:
http://209.85.129.132/search?q=cache:dN3BMucM-0wJ:www.cloudnet.com/~voyager/fromkevin/chat%2520registration.xls+Jacob+Archie*2268ms9*sarakson&cd=1&hl=ru&ct=clnk&gl=ru
Соль.
Сам по себе ftp-чекер, как программа, довольно несложен и безобиден.
Вот один из многочисленных примеров: https://www.hack-info.ru/showthread.php?t=45589
Ля.
Разумеется, настройки роботов Avalanche, которые автоматически обнаруживают утечки паролей, несколько сложнее, чем простой метапоиск по словам «отчекать», «checker» и т.п. Но - не очень намного.
Си.
Итак, я наблюдаю активные пароли более пяти тысяч серверов. Большинство из них заражено простенькими программами рассылки всякой дряни. К счастью, пацанью, которое этим занимается, просто не приходит в голову, что паролем к серверу, к примеру, Аэрофлота, можно распорядиться гораздо менее безобидно...
Не воспримите все вышесказанное как анонс очередного семинара, но если кому-то интересно познакомиться с тематикой защиты от новых угроз поподробнее - ближайшие бесплатные семинары у меня:
03 февраля (с 12 до 15 часов на Форуме «Технологии безопасности» в Крокус-Экспо) и
11 февраля (Диалог-Наука).
Приходите, будет прикольно ))
Конец цитаты.
Обучение конкурентной разведке и мой бизнес:
Моя презентация о том, что такое конкурентная разведка, чем и как она занимается
Моя презентация "Чем занимаются компании, оказывающие услуги конкурентной разведки на аутсорсинге?"
Все мои, Евгения Ющука, курсы (семинары) включают в себя и теорию, и практику. И весь материал "обкатан" моими выпускниками в реальных условиях.
- Курс "Маркетинг рисков и возможностей: Конкурентная разведка" (Полный курс конкурентной разведки, включающий в себя и материал остальных курсов)
- Курс "Конкурентная разведка: работа с людьми и в Интернете" (Интернет-разведка)
- Курс: "Управление репутацией в Интернете" (сюда входит обучение ведению системы корпоративных блогов и профессиональный поиск в Интернете)
- Курс: "Информационная война в Интернет-форумах "
Мои выпускники успешно применяют полученные знания и навыки, как в бизнесе, так и на государственной службе. Кроме курсов, на странице по ссылке вы увидите ответ на важный (а в конкурентной разведке еще и деликатный) вопрос: ОТЗЫВЫ СЛУШАТЕЛЕЙ.
Книга "Дезинформация и активные мероприятия в бизнесе ", Александр Кузин, Игорь Нежданов, Евгений Ющук.
В результате, работа с ресурсами Интернета стала одной из приоритетных задач. Хотя не надо забывать, что Интернет - всегда вспомогательный инструмент конкурентной разведки.
Возможности Интернета, благодаря его дешевизне, широте охвата, скорости и общедоступности, стали интересны и государственным спецслужбам - и специалисты конкурентной разведки во всем мире передают свои наработки государственным органам.
Ниже приведу пример Андрея Масаловича, показывающий, как с помощью несложных запросов в Гугл можно обнаруживать достаточно серьезную информацию.
Источник http://dobryi-leshii.livejournal.com/5061.html
Итак, при очередном рейде роботов Avalanche по пиратским базам улов составил более 5000 паролей к ftp, включая пароли с правами на запись и включая фирмы уровня 1C, Инэк, Ланит, Лаборатория Касперского и т.д.
Как такое может быть?
Давайте пробежим по клавишам Аваланча- хотя бы первую октаву - и посмотрим, насколько легко сегодня можно добраться до серверов компаний, которые призваны отвечать за наши данные и за нашу безопасность.
(Если же вас не цепляют музыкальные метафоры, просто попробуйте ноту Си)
До. 2007-2008 год ознаменовался не совсем обычными эпидемиями массовых рассылок и перенаправления трафика, использующими подмену файла .htaccess на серверах Apache (раньше атаки через .htaccess практиковали немногочисленные профессиональные хакеры, часто - для организации многолетнего скрытого наблюдения за сервером).
Ре. Поскольку новый механизм рассылки заразы через .htaccess стал массовым и автоматизированным, возник спрос на ftp-пароли с правом записи, поставляемые регулярно и в больших количествах (единственный уязвимый момент в данной схеме - момент записи зараженного .htaccess в целевую папку. Его лучше производить, имея легальные права на запись).
Ми. Существует два базовых механизма получения очередных порций паролей - через использование брешей в защите на уже зараженных машинах и через сниферы трафика в подконтрольном сегменте сети. Второй путь предпочтительнее, поскольку при использовании базовых механизмов аутентификации пароли в течение всего сеанса болтаются в сети в открытом виде (см. Пример ниже).
Фа. Сырой трафик, поставляемый сниферами, покупатели паролей с негодованием отвергают - он нуждается в чистке, изобилует повторами, а главное - весьма быстро устаревает - и все пароли приходится проверять на актуальность и на уровень предоставляемых прав.
Соль. Соответственно, растет спрос на т.н. ftp-чекеры (ftp-checker) - специализированные программы, которые умеют чистить списки ftp-паролей, сортируя их по качеству, работоспособности и правам.
Ля. Возникает новый товар - очищенные списки паролей, прошедшие чекинг («отчеканые»). Товар недорогой, но массовый. В тусовке вовлеченных в этот бизнес, он называется «свеже-отчеканые ftp».
Си. А теперь, если это позволяют ваши этические нормы и законы вашей страны, вы можете просто попробовать набрать (например в Google) простой запрос типа:
свеже-отчеканые ftp
Обещаю - скучно не будет ))
Вот видите, первую тысячу паролей можно получить с первой октавы, просто «на кончиках пальцев», если научиться слушать музыку глубинного Интернета.
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ:
До.
На серверах Apache (которые в России составляют более половины парка веб-серверов) есть файлы конфигурирования - .htaccess . Это идеальный инструмент для захвата сервера. Внутри файлов .htaccess (которые, не привлекая внимания, могут присутствовать в каждой папке на сервере) легко помещать команды изменения прав доступа к каталогам, перенаправления трафика, запуска скриптов и даже сборки и исполнения зашифрованного программного кода.
Приличных ресурсов про .htaccess на русском языке довольно мало, самым удачным мне представляется вот этот - http://www.htaccess.net.ru/
Ре.
Зараженные файлы .htaccess могут месяцами и годами лежать у вас на сервере незамеченными, поскольку антивирусы их практически не проверяют, админы считают их пользовательской территорией, а пользователи осведомлены о них еще менее, чем например об .htpasswd.
Типичные инструкции провайдеров на эту тему из серии «Спасение утопающих - дело рук самих утопающих» здесь приводить не буду, но их логика понятна: если когда-то вы невнимательно сконфигурировали свой раздел на сервере - в частности не запретили запись с чужих IP (кстати эти настройки хранятся в том же самом файле .htaccess), то любые действия по модернизации .htacces, проведенные под вашим паролем, админ должен считать легитимными. Он и физически не может разобраться, вы ли это модифицируете файлы конфигурации для усиления защиты, или это очередной хакер, укравший ваш пароль.
Кстати, если ваш компьютер заражен, если вы используете форму запоминания паролей и базовый режим аутентификации и и если у вас Microsoft IE - знайте: все ваши новые пароли будут украдены в момент их появления. И на провайдера тут обижаться не за что - зараженный файл может, к примеру, содержать единственную команду редиректа и кто возьмется гарантировать, что это не вы сами перенаправляете свой трафик на порнушку ))
Ми.
Вот типичный диалог о покупке очередной партии пар «логин-пароль» для ftp:
http://forum.zloy.bz/showthread.php?t=35358
Обратите внимание на дату - июнь 2007. Многие пароли для ftp из того списка до сих пор действительны, большинство серверов заражены, а их хозяева - ни сном, ни духом...
Фа.
В принципе пары «логин-пароль» можно выколупывать прямо из трафика - при базовой аутентификации они весь сеанс маячат в открытом виде и видны в логах любого снифера.
Для тех, кто хочет попрактиковаться - - вот пример результата работы снифера в окрестностях некоего чата.
Ники, логины, пароли и е-майлы видны невооруженным глазом:
http://209.85.129.132/search?q=cache:dN3BMucM-0wJ:www.cloudnet.com/~voyager/fromkevin/chat%2520registration.xls+Jacob+Archie*2268ms9*sarakson&cd=1&hl=ru&ct=clnk&gl=ru
Соль.
Сам по себе ftp-чекер, как программа, довольно несложен и безобиден.
Вот один из многочисленных примеров: https://www.hack-info.ru/showthread.php?t=45589
Ля.
Разумеется, настройки роботов Avalanche, которые автоматически обнаруживают утечки паролей, несколько сложнее, чем простой метапоиск по словам «отчекать», «checker» и т.п. Но - не очень намного.
Си.
Итак, я наблюдаю активные пароли более пяти тысяч серверов. Большинство из них заражено простенькими программами рассылки всякой дряни. К счастью, пацанью, которое этим занимается, просто не приходит в голову, что паролем к серверу, к примеру, Аэрофлота, можно распорядиться гораздо менее безобидно...
Не воспримите все вышесказанное как анонс очередного семинара, но если кому-то интересно познакомиться с тематикой защиты от новых угроз поподробнее - ближайшие бесплатные семинары у меня:
03 февраля (с 12 до 15 часов на Форуме «Технологии безопасности» в Крокус-Экспо) и
11 февраля (Диалог-Наука).
Приходите, будет прикольно ))
Конец цитаты.
Обучение конкурентной разведке и мой бизнес:
Моя презентация о том, что такое конкурентная разведка, чем и как она занимается
Моя презентация "Чем занимаются компании, оказывающие услуги конкурентной разведки на аутсорсинге?"
Все мои, Евгения Ющука, курсы (семинары) включают в себя и теорию, и практику. И весь материал "обкатан" моими выпускниками в реальных условиях.
- Курс "Маркетинг рисков и возможностей: Конкурентная разведка" (Полный курс конкурентной разведки, включающий в себя и материал остальных курсов)
- Курс "Конкурентная разведка: работа с людьми и в Интернете" (Интернет-разведка)
- Курс: "Управление репутацией в Интернете" (сюда входит обучение ведению системы корпоративных блогов и профессиональный поиск в Интернете)
- Курс: "Информационная война в Интернет-форумах "
Мои выпускники успешно применяют полученные знания и навыки, как в бизнесе, так и на государственной службе. Кроме курсов, на странице по ссылке вы увидите ответ на важный (а в конкурентной разведке еще и деликатный) вопрос: ОТЗЫВЫ СЛУШАТЕЛЕЙ.
Книга "Дезинформация и активные мероприятия в бизнесе ", Александр Кузин, Игорь Нежданов, Евгений Ющук.