04.02.2008

Взлом или тестирование?

Интересная дискуссия развернулась на securitylab.ru по поводу статьи "О взломе WEP. В последний раз...". Когда я прочел ее, то у меня сложилось стойкое впечатление, что утилита была создана для взлома. Именно так она и подается на сайте в разделе "Утилиты". Авторы же статьи (и видимо самой утилиты) считают, что все не так и они создали средство тестирования систем беспроводной защиты. При этом они не либо не видят особой разницы между "взломом" и "тестированием" (хотя ключевая разница в мотивации), либо просто не хотят признавать ее.

18 коммент.:

ригель комментирует...

Конечно, взлом. В сущности, и Xs-Pider первоначально был таков (и поэтому удалялся то ли Trend'ом, то ли McAfee). И шаловливое название тому лишнее подтверждение.

А что не удержались от соблазна опубликовать под своим трейдмарком
производит впечатление мальчишества какого-то.

e1am0 комментирует...

а в чём разница то? я вот тоже наверное не догоняю. ты имеешь в виду, что она таки позволяет получить всё?
я рассматриваю такие утилиты как скальпель. а скальпель можно использовать не только для лечения

Анонимный комментирует...

Алексей.

Тестирование может происходить разными методами. Это отражено и в методиках аудита и в реализации инструметов, таких как сканеры безопасности.

Примеры:
Есть "тестирование на проникновение", вполне сложившаяся отрасль работ. Суть - преодоление механизмов защиты - т.е. то, что вы называете "взломом".

Описание:
http://en.wikipedia.org/wiki/Penetration_test

Есть "аудит" - когда идет проверка конфигураций, нормативки и т.д. методом белого ящика.

Тоже самое в сканерах - есть "хокерские" проверки, например - подбор паролей. Причем это есть даже у Internet scanner и MBSA, которые уж "хакерскими утилитами" никак не назовешь.
Есть "белые" - проверка ключа реестра или версии файла с административными правами.

Эти подходы исходят из разных предпосылок.

Первое - проверить на наличие известных уязвимостей (черный список, "чтобы небыло плохого").

Второе - проверить на соответсвие известным "хорошим" практикам (белый список, "чтобы было хорошо").

Как показывает жизнь - оптимальным является сочетание этих вещей.

Например (не я писал):
http://www.dsectrain.ru/about/articles/active_audit/
http://www.dsec.ru/about/articles/practice/

Соотвественно, для проведения таких работ необходимо не только знать, что "WEP - это плохо", но и показать почему и насколько.

Если бы вы знали, как часто в ходе работ приходится сталкиватся с фразами типа "докажи-покажи".

А упомянутая утилита, на которую вы так взъелись - это PoC, демонстрирующий результат достаточно серьезной исследовательской работы в области анализа протоколов защиты wifi.
Кстати, всем советую потихоньку думать о миграции с WPA на WPA-2. У многих вендоров достаточно серьезные проблемы с соблюдением стандарта, что приводит к уязвимостям. Опубликуем через годик - полтора - два, когда профильтруется через сообщество и "настоится".

Анонимный комментирует...

ЗЫ.

К стати, работы AVS по PSI DSS тоже предполагают подбор паролей и другие "хакерские" техники. И аудиторы или используют готовые (где интересно берут) или разрабатывают подобные утилиты. Все AVS - враги народа?

А что уж говорить о таких злыднях как http://www.coresecurity.com/, которые постоянно ищут "дырки" и продают "набор эксплойтов". Это тоже "мальчишество"?

ЗЗЫ.

Вы абсолютно верно сказали - разница между "взломом" и "тестированием" - в мотивации.
Т.е. не в технической области, а в области этики и целей использования знаний и инструментов. Кто и с какими целями будет запускать антивирус - пользовать, чтобы проверить загруженную из интернета программу, или злоумышленник, чтобы оценить эффективность его вредоносного кода ?..

ЗЗЗЫ. Забыл подписаться - Сергей Гордйечик.

ригель комментирует...

> разница между "взломом"
> и "тестированием" - в мотивации

А по-моему, как и в случае с "лечением"/"убийством" разница в результате.

Если утилита предоставляет (оставляет в руках пользователя)несанкционированный доступ к точке, то все разговоры про научно-познавательность уже значения не имеют - взлом это факт.

Вот если бы нет, то нет.

Анонимный комментирует...

"Если утилита предоставляет (оставляет в руках пользователя)несанкционированный доступ"

Ключевое слово, я полагаю "несанкционированный"?
Соответсвенно - вопрос в наличии санкции, а не в утилите.

ригель комментирует...

Да, через родную не/санкционированность все гораздо удобнее и понятнее.

Впрочем, поскольку тезис про мотивацию справедлив при условии Макиавелли (цель оправдывает средства), то можем через него пойти.

А можно и на примерах. Вот Вам "ознакомительные цели":
http://www.passat-b5.ru/phpBB2/topic6202.html
а вот и "восстановление забытых":
http://auto-key.com/pages/catalog/auto.htm

Ап ту ю, так сказать.

сг комментирует...

И тогда, куда мы поместим
http://www.coresecurity.com/, или, что ближе:

http://safe.cnews.ru/bugtrack/xploit/

"Эксплоит для уязвимости Yahoo! Music Jukebox Mediagrid ActiveX к переполнению буфера через AddBitmap"

Эксплоит для уязвимости Joomla NeoReferences к SQL-инъекции через catid

Для эксплуатации уязвимости необходимо передать встраиваемый SQL-запрос через параметр catid сценария index.php. Пример…

Просто в хакеры, или сразу в 273?

ригель комментирует...

Имхо, они тоже пособничают терроризму, но давайте каждый будет отвечать за себя, а не кивать на другого.

ригель комментирует...

з.ы. Терроризм я для красного словца ввернул, а пособника можете посмотреть в УК РФ - лицо, содействовавшее совершению преступления ... предоставлением информации, средств или орудий совершения преступления. Не ожидали?

СГ комментирует...

"каждый будет отвечать за себя,"

Конечно! Я просто хотел обозначится c жизненными ориентирами. До этого смотрел в сторону IBM ISS, RSA, VeriSign, Symatec, Брюса Шнаера наконец.

А оказывается - все они - пособники терроризма. Как я ошибался...
Спасибо - буду много думать.

Анонимный комментирует...

Пособник, оказывая содействие исполнителю преступления, должен сознавать, какое совершается преступление, в котором он исполняет роль соучастника.

обзор судебной практики Верховного Суда Российской Федерации за четвертый квартал 2002 года

ригель комментирует...

Соучастие не обязательно требует предварительного сговора (и пусть Вас это не сбивает), а преступление в данном случае НСД (уж это-то без вариантов, казалось бы).

Алексей Лукацкий комментирует...

Попробую пояснить свою точку зрения, хотя она и так понятна.

Есть факт - утилита, которая показывает наличие уязвимости. У такой утилиты может быть два результата работы. Первый - сказать "Да, дыра есть". Не говорить, как ее эксплуатировать, но зато дать ссылки на всевозможные патчи и другие меры, устраняющие уязвимость. Второй результат - не только сказать, что дыра есть, но и дать инструмент, который позволяет использовать последствия этой уязвимости. В первом случае мы остановились на факте наличия уязвимости. Во втором - пошли дальше.

Теперь анализируем далее. Почему я сделал упор на мотивации. Именно потому, что сканеры, как и многие другие средства защиты относятся к технологиям двойного применения и все зависит от мотивации людей, которые их используют. Я могу использовать его только для поиска дыр, а могу и для последующей эксплуатации в дурных целях. Так вот на разработчике таких утилит/средств лежит большая ответственность, т.к. именно от того, как он напишет софт, зависит, смогут его использоватьв плохих целях или нет. Т.к. мы не можем контролировать, в чьи руки попадет утилита, то нам остается только заложить искусственные ограничения в саму утилиту и не датьпользоваться ею с дурными намерениями.

Я не смотрел последние версии того же Internet Scanner, но до 7-ой версии включительно, он по этому же принципу и работал. Он показывал наличие дыры, но не позволял (в большинстве случаев) пользоваться плодами ее наличия. Для этого надобыло уже заниматься изысканиями дополнительных хакерских утилит и эксплоитов. В данном случае это не сканер, а именно утилита для взлома.

И, наконец, последнее. В самой статье ни слова не говорится про аудит, пентесты, тестирование и т.д. Говорится про взлом. Сказали бы про PoC и все. Нет вопросов. Сказали бы про использование с целью тестирования. Нет вопросов. Но этого не было. И поэтому правильно Ригель вначале заметил - какое-то мальчишество.

ЗЫ. Можно сколь угодно долго говорить про скальпели, кухонные ножи и другие "двойные" технологии. Но в том-то и состоит задача ЭКСПЕРТА, чтобы оценивать последствия своих действий и не допускать двойных толкований.

Алексей Лукацкий комментирует...

Конечно! Я просто хотел обозначится c жизненными ориентирами. До этого смотрел в сторону IBM ISS, RSA, VeriSign, Symatec, Брюса Шнаера наконец.

Интересно. А они публикуют утилиты для взлома? Они могут рассказать КАК (кстати без существенных деталей и без предоставления всего исходного кода или готовой утилиты) ломается. Но я не видел (может что-то упустил), чтобы тот же Шнайер давал готовые инструменты для взлома.

Если быть ближе к России, то ISS тоже никогда не давал таких утилит. Тот же Internet Scanner в процессе подбора паролей никогда не показывал подобранный пароль - он только говорил, что он смог это сделать.

Анонимный комментирует...

"Первый - сказать "Да, дыра есть". Не говорить, как ее эксплуатировать, но зато дать ссылки на всевозможные патчи и другие меры,"

Тот же Internet Scanner дает ссылку на securityfocus.com (собственность Symantec) где в описании уязвимости присутсвует закладка "exploit". ПТ (пособники..)

"Я не смотрел последние версии того же Internet Scanner, но до 7-ой версии включительно, он по этому же принципу и работал. Он показывал наличие дыры, но не позволял (в большинстве случаев) пользоваться плодами ее наличия."

В отчетах Internet Scanner можно увидеть фразы типа "Пароль администратора - пустой". Вполне себе позволяет воспользоваться :). ПТ!

"В самой статье ни слова не говорится про аудит, пентесты, тестирование"

Цитата из статьи:
"Для того чтобы вступить в клуб аудиторов беспроводных сетей"

"ЭКСПЕРТА"

Угу. Если бы ктонить разобрался в сути вопроса, он бы прекрасно понял, что сама утилита просто обнаруживает ожидает подключения клиента и пытается генерировать в его отношении трафик. Если трафик пошел - то уязвимость есть (ничего еще не поломано!).

Дальше - если есть у человека есть злобные намеренья, то он может:

"# Запустите airodump-ng для сбора пакетов
# Запустите aircrack-ng для восстановления ключа."

Т.е. ломают то злобной и террорестической программой aircrack-ng (ссылку не публикую во избежание :).

Анонимный комментирует...

"В отчетах Internet Scanner"

Простите - не в отчетах, в логах.

Алексей Лукацкий комментирует...

Чтобы не увеличивать энтропию еще и здесь считаю продолжение дискуссии бесмысленным.