4.2.08
Взлом или тестирование?
Интересная дискуссия развернулась на securitylab.ru по поводу статьи "О взломе WEP. В последний раз...". Когда я прочел ее, то у меня сложилось стойкое впечатление, что утилита была создана для взлома. Именно так она и подается на сайте в разделе "Утилиты". Авторы же статьи (и видимо самой утилиты) считают, что все не так и они создали средство тестирования систем беспроводной защиты. При этом они не либо не видят особой разницы между "взломом" и "тестированием" (хотя ключевая разница в мотивации), либо просто не хотят признавать ее.
Подписаться на:
Комментарии к сообщению (Atom)
18 коммент.:
Конечно, взлом. В сущности, и Xs-Pider первоначально был таков (и поэтому удалялся то ли Trend'ом, то ли McAfee). И шаловливое название тому лишнее подтверждение.
А что не удержались от соблазна опубликовать под своим трейдмарком
производит впечатление мальчишества какого-то.
а в чём разница то? я вот тоже наверное не догоняю. ты имеешь в виду, что она таки позволяет получить всё?
я рассматриваю такие утилиты как скальпель. а скальпель можно использовать не только для лечения
Алексей.
Тестирование может происходить разными методами. Это отражено и в методиках аудита и в реализации инструметов, таких как сканеры безопасности.
Примеры:
Есть "тестирование на проникновение", вполне сложившаяся отрасль работ. Суть - преодоление механизмов защиты - т.е. то, что вы называете "взломом".
Описание:
http://en.wikipedia.org/wiki/Penetration_test
Есть "аудит" - когда идет проверка конфигураций, нормативки и т.д. методом белого ящика.
Тоже самое в сканерах - есть "хокерские" проверки, например - подбор паролей. Причем это есть даже у Internet scanner и MBSA, которые уж "хакерскими утилитами" никак не назовешь.
Есть "белые" - проверка ключа реестра или версии файла с административными правами.
Эти подходы исходят из разных предпосылок.
Первое - проверить на наличие известных уязвимостей (черный список, "чтобы небыло плохого").
Второе - проверить на соответсвие известным "хорошим" практикам (белый список, "чтобы было хорошо").
Как показывает жизнь - оптимальным является сочетание этих вещей.
Например (не я писал):
http://www.dsectrain.ru/about/articles/active_audit/
http://www.dsec.ru/about/articles/practice/
Соотвественно, для проведения таких работ необходимо не только знать, что "WEP - это плохо", но и показать почему и насколько.
Если бы вы знали, как часто в ходе работ приходится сталкиватся с фразами типа "докажи-покажи".
А упомянутая утилита, на которую вы так взъелись - это PoC, демонстрирующий результат достаточно серьезной исследовательской работы в области анализа протоколов защиты wifi.
Кстати, всем советую потихоньку думать о миграции с WPA на WPA-2. У многих вендоров достаточно серьезные проблемы с соблюдением стандарта, что приводит к уязвимостям. Опубликуем через годик - полтора - два, когда профильтруется через сообщество и "настоится".
ЗЫ.
К стати, работы AVS по PSI DSS тоже предполагают подбор паролей и другие "хакерские" техники. И аудиторы или используют готовые (где интересно берут) или разрабатывают подобные утилиты. Все AVS - враги народа?
А что уж говорить о таких злыднях как http://www.coresecurity.com/, которые постоянно ищут "дырки" и продают "набор эксплойтов". Это тоже "мальчишество"?
ЗЗЫ.
Вы абсолютно верно сказали - разница между "взломом" и "тестированием" - в мотивации.
Т.е. не в технической области, а в области этики и целей использования знаний и инструментов. Кто и с какими целями будет запускать антивирус - пользовать, чтобы проверить загруженную из интернета программу, или злоумышленник, чтобы оценить эффективность его вредоносного кода ?..
ЗЗЗЫ. Забыл подписаться - Сергей Гордйечик.
> разница между "взломом"
> и "тестированием" - в мотивации
А по-моему, как и в случае с "лечением"/"убийством" разница в результате.
Если утилита предоставляет (оставляет в руках пользователя)несанкционированный доступ к точке, то все разговоры про научно-познавательность уже значения не имеют - взлом это факт.
Вот если бы нет, то нет.
"Если утилита предоставляет (оставляет в руках пользователя)несанкционированный доступ"
Ключевое слово, я полагаю "несанкционированный"?
Соответсвенно - вопрос в наличии санкции, а не в утилите.
Да, через родную не/санкционированность все гораздо удобнее и понятнее.
Впрочем, поскольку тезис про мотивацию справедлив при условии Макиавелли (цель оправдывает средства), то можем через него пойти.
А можно и на примерах. Вот Вам "ознакомительные цели":
http://www.passat-b5.ru/phpBB2/topic6202.html
а вот и "восстановление забытых":
http://auto-key.com/pages/catalog/auto.htm
Ап ту ю, так сказать.
И тогда, куда мы поместим
http://www.coresecurity.com/, или, что ближе:
http://safe.cnews.ru/bugtrack/xploit/
"Эксплоит для уязвимости Yahoo! Music Jukebox Mediagrid ActiveX к переполнению буфера через AddBitmap"
Эксплоит для уязвимости Joomla NeoReferences к SQL-инъекции через catid
Для эксплуатации уязвимости необходимо передать встраиваемый SQL-запрос через параметр catid сценария index.php. Пример…
Просто в хакеры, или сразу в 273?
Имхо, они тоже пособничают терроризму, но давайте каждый будет отвечать за себя, а не кивать на другого.
з.ы. Терроризм я для красного словца ввернул, а пособника можете посмотреть в УК РФ - лицо, содействовавшее совершению преступления ... предоставлением информации, средств или орудий совершения преступления. Не ожидали?
"каждый будет отвечать за себя,"
Конечно! Я просто хотел обозначится c жизненными ориентирами. До этого смотрел в сторону IBM ISS, RSA, VeriSign, Symatec, Брюса Шнаера наконец.
А оказывается - все они - пособники терроризма. Как я ошибался...
Спасибо - буду много думать.
Пособник, оказывая содействие исполнителю преступления, должен сознавать, какое совершается преступление, в котором он исполняет роль соучастника.
обзор судебной практики Верховного Суда Российской Федерации за четвертый квартал 2002 года
Соучастие не обязательно требует предварительного сговора (и пусть Вас это не сбивает), а преступление в данном случае НСД (уж это-то без вариантов, казалось бы).
Попробую пояснить свою точку зрения, хотя она и так понятна.
Есть факт - утилита, которая показывает наличие уязвимости. У такой утилиты может быть два результата работы. Первый - сказать "Да, дыра есть". Не говорить, как ее эксплуатировать, но зато дать ссылки на всевозможные патчи и другие меры, устраняющие уязвимость. Второй результат - не только сказать, что дыра есть, но и дать инструмент, который позволяет использовать последствия этой уязвимости. В первом случае мы остановились на факте наличия уязвимости. Во втором - пошли дальше.
Теперь анализируем далее. Почему я сделал упор на мотивации. Именно потому, что сканеры, как и многие другие средства защиты относятся к технологиям двойного применения и все зависит от мотивации людей, которые их используют. Я могу использовать его только для поиска дыр, а могу и для последующей эксплуатации в дурных целях. Так вот на разработчике таких утилит/средств лежит большая ответственность, т.к. именно от того, как он напишет софт, зависит, смогут его использоватьв плохих целях или нет. Т.к. мы не можем контролировать, в чьи руки попадет утилита, то нам остается только заложить искусственные ограничения в саму утилиту и не датьпользоваться ею с дурными намерениями.
Я не смотрел последние версии того же Internet Scanner, но до 7-ой версии включительно, он по этому же принципу и работал. Он показывал наличие дыры, но не позволял (в большинстве случаев) пользоваться плодами ее наличия. Для этого надобыло уже заниматься изысканиями дополнительных хакерских утилит и эксплоитов. В данном случае это не сканер, а именно утилита для взлома.
И, наконец, последнее. В самой статье ни слова не говорится про аудит, пентесты, тестирование и т.д. Говорится про взлом. Сказали бы про PoC и все. Нет вопросов. Сказали бы про использование с целью тестирования. Нет вопросов. Но этого не было. И поэтому правильно Ригель вначале заметил - какое-то мальчишество.
ЗЫ. Можно сколь угодно долго говорить про скальпели, кухонные ножи и другие "двойные" технологии. Но в том-то и состоит задача ЭКСПЕРТА, чтобы оценивать последствия своих действий и не допускать двойных толкований.
Конечно! Я просто хотел обозначится c жизненными ориентирами. До этого смотрел в сторону IBM ISS, RSA, VeriSign, Symatec, Брюса Шнаера наконец.
Интересно. А они публикуют утилиты для взлома? Они могут рассказать КАК (кстати без существенных деталей и без предоставления всего исходного кода или готовой утилиты) ломается. Но я не видел (может что-то упустил), чтобы тот же Шнайер давал готовые инструменты для взлома.
Если быть ближе к России, то ISS тоже никогда не давал таких утилит. Тот же Internet Scanner в процессе подбора паролей никогда не показывал подобранный пароль - он только говорил, что он смог это сделать.
"Первый - сказать "Да, дыра есть". Не говорить, как ее эксплуатировать, но зато дать ссылки на всевозможные патчи и другие меры,"
Тот же Internet Scanner дает ссылку на securityfocus.com (собственность Symantec) где в описании уязвимости присутсвует закладка "exploit". ПТ (пособники..)
"Я не смотрел последние версии того же Internet Scanner, но до 7-ой версии включительно, он по этому же принципу и работал. Он показывал наличие дыры, но не позволял (в большинстве случаев) пользоваться плодами ее наличия."
В отчетах Internet Scanner можно увидеть фразы типа "Пароль администратора - пустой". Вполне себе позволяет воспользоваться :). ПТ!
"В самой статье ни слова не говорится про аудит, пентесты, тестирование"
Цитата из статьи:
"Для того чтобы вступить в клуб аудиторов беспроводных сетей"
"ЭКСПЕРТА"
Угу. Если бы ктонить разобрался в сути вопроса, он бы прекрасно понял, что сама утилита просто обнаруживает ожидает подключения клиента и пытается генерировать в его отношении трафик. Если трафик пошел - то уязвимость есть (ничего еще не поломано!).
Дальше - если есть у человека есть злобные намеренья, то он может:
"# Запустите airodump-ng для сбора пакетов
# Запустите aircrack-ng для восстановления ключа."
Т.е. ломают то злобной и террорестической программой aircrack-ng (ссылку не публикую во избежание :).
"В отчетах Internet Scanner"
Простите - не в отчетах, в логах.
Чтобы не увеличивать энтропию еще и здесь считаю продолжение дискуссии бесмысленным.
Отправить комментарий