If you can't read please download the document

Poučte se z cizích chyb

Embed Size (px)

Citation preview

POUTE SE Z CIZCH CHYB

Michal paek www.michalspacek.cz @spazef0rze

Z filmu Pelky, 1999

Pojme si zopakovat, co vechno u se u ns v oblasti potaov a webov bezpenosti stalo. Opakovn matka moudrosti, e. Projdeme pr zsadnch aveejn znmch udlost, ale pln se vyhneme DDoS tokm, kter nepovauji za hackovn. Pvodn slajdy tyto poznmky neobsahuj.

S daty uivatel se roztrhl pytel, nejsp proto tolik unikaj. Jednou to jsou hesla v iteln podob, podruh rodn sla, potet jenom e-mailov adresy. Na haveibeenpwned.com si mete zkontrolovat, jestli se vae e-mailov adresa v njakm takovm niku neobjevila. Mete se tak pihlsit k odbru notifikac, pokud by se v budoucnu nhodou objevila. Web provozuje Australan Troy Hunt, v komunit vvoj i bezpenostnch odbornk znm a uznvan, nemuste se bt, e sluba slou ke sbru vaich e-mail.

25. bezna 1996JAHODOVY SIRUP
SECURITY ADVISORY

Sirupem to ped 20 lety u ns zaalo. 25. bezna 1996 po vzoru bezpenostnch doporuen americkch ad vyla jedna takov vtipn bezpenostn zprva i u ns, resp. na Slovensku. Tkala se jahodovho sirupu a varovala ped tm, e lhev sirupu lze otevt apak zase zavt bez poruen uzvru.

SERT
Sirup Emergency Reaction Team

Tuto zprvu napsal Pajkus ze skupiny, kter si pozdji zaala kat SERT, co byla hka na anglick nzev CERT, Computer Emergency Response Team, tedy tmu, kter e problmy s potai (a tm nemyslm nefunkn tiskrnu).

diana.troja.mff.cuni.czkmotr.pf.jcu.czTASR

SERT byl celkem aktivn, proslavil se mj. tm, e na kolnch serverech Univerzity Karlovy a Jihoesk Univerzity nael archvy neleglnho software a smazal je. Dal kousek SERTu bylo vydn tiskov zprvy na webu Tiskov agentury SR jmnem lovka, kter zrovna tou dobou byl na dovolen. Jene jak rychle SERT zaal, tak rychle taky skonil. Ze vech len v podstat zstal jen jeden Pajkus.

CzERT

Pajkus byl zakldajcm lenem nejen SERTu, ale i sdruen CzERT, Czech Emergency Response Team, kter vzniko koncem roku 1996 a na svm kont m tak pknou dku zez. Teba zmnu strnek MaMedia (dnen Mageo), na kter CzERT v noru 1997 umstil obrzek roztomilho dmona. Pbeh SERTu aCzERTu detailnji rozebr Honza Kloknek pek ve sv knize Zsek do ivho ism Miroslav Pajkus Pikus v srii lnk Ako ns zmenili hackeri. Doporuuji.

V listopadu 1996 CzERT zmnil strnky Armdy esk republiky a hacking se tak poprv dostal do hlavnch mdi v R. Takovhle zmny webu (defacement) se nejastji provdly tak, e nkdo odposlechnul heslo sprvce, kdy se na servery pihlaoval. Tenkrt v podstat nikdo sv pipojen neifroval.

SQL INJECTION

Rain Forest Puppy (Jeff Forristal)

Phrack Magazine 1998

CzERT skonil v roce 1997, ale postupy, kter se k zskvn dat z web pouvaj dnes byly popsny a pozdji. Jeff rfpuppy Forristal popsal tok dnes znm jako SQL Injection a v roce 1998 v lnku NT Web Technology Vulnerabilities.

SQL v bnm ivot

Dones z venku

Dones z venku tok SQL Injection

DEVO

DEVOA KUPV KRMUPIVOMal opko: tok SQL Injection spov ve zmn pkaz, kter posl aplikace databzovmu serveru. Ten oekv data (ve lutm a modrm obdlnku), ale tonk je uprav tak, aby server dostal i pkaz a provedl nco navc.

DEVOA KUPV KRMUPIVOSQL Injection v bnm ivot

Dones z venku
Vloen pkaz

Do dat vlo (injektuje) dal pkaz a aplikace z databzovho serveru tak nakonec krom produkt zsk napklad uivatelsk jmna a (snad hashovan) hesla. V domnn, e se jedn jenom o produkty je klasicky vype do strnky.

Cross-Site Scripting
XSS

David Ross, Microsoft, 1999

Cross-Site Scripting (XSS), dal asto pouvan tok byl popsn Davidem Rossem z Microsoftu v roce 1999. O rok pozdji pak vyel popis i veejn. tok XSS se zamuje na uivatele a jejich prohlee, kte s webovou aplikac njak pracuj, zatmco SQL Injection m pmo na databzi aplikace.

2006nbusr123

Pojme radji do aktulnho tiscilet. V roce 2006 se provalilo, e Nrodn bezpenostn rad Slovenskej republiky (NB SR) pouval slab heslo nbusr123, kter v roce 2001 nastavil dodavatel zazen. lovk z adu ho ml zmnit, jene nezmnil atonci toho po 5 letech vyuili. Lid asto defaultn hesla nemn i kdy jim to eknete, ale o problmech defaultnch hesel router od UPC a nkdy jindy.

Dostvme se ke klasickm webovm tokm. Prvnm v mm seznamu je ppad Sazky z ledna roku 2009. Tenkrt Sazka nabzela finann odmnu za registraci akdy jste si po registraci chtli vytisknout kupn, tak vs poslali na

(#1) Leden 2009

http://platby.e-sazka.cz/Player/PrintBarcode.aspx?m=reg&id=72569

Insecure Direct Object Reference

tuto webovou adresu. Webov aplikace Sazky trpla chybou, kter se odborn k Insecure Direct Object Reference, hovorov proten sel v URL. Tato chyba je pomrn ast i dnes, objevuje se prv v stech aplikace, kde se tiskne nebo stahuje napklad faktura nebo nco podobnho. Aplikace sprvn neovuje, jestli data, kter chce zobrazit, pat pihlenmu uivateli. Vimnte si toho sla na konci, stailo ho mnit a z webu Sazky padala uivatelsk data.

Z webu Sazky nakonec vypadlo pes 18 tisc jmen a pjmen registrovanch uivatel, ale natst nic dalho. Pi registraci se toti zadvaly i dal daje, napklad slo obanky. Data jsou na Internetu k dispozici dodnes.

(#2) Z 2009

V z 2009 potkal podobn problm pojiovnu UNIQA. Nkdo zskal data nkolika tisc klient, kte uzaveli cestovn pojitn a na Internet tak unikla jmna, rodn sla, telefonn sla a sla smluv. Rodn sla se asto pouvaj pro oven, e vy jste vy, pouvaj to asto banky, napklad ve chvli, kdy po nich chcete nco poslat.

Cel smlouva

https://cesty.uniqa.cz/dodatecnytisk.aspx

Po zadn tch dat do webov aplikace pojiovny bylo mon sthnout celou smlouvu, vetn ceny, adresy i data, o kdy do kdy pojitn plat a tedy kdy na dan adrese nejsp nikdo nebude. Ideln nstroj pro high-tech bytae.

Tak to nm to asi nkdo fakt napadl. tiskov mluv pojiovny UNIQA

Vtipn byla reakce samotn pojiovny, kter se o spnm toku dozvdla a z mdi. Tiskov mluv Eva Svobodov k tomu ekla Tak to nm to asi nkdo fakt napadl. Samozejm musm zat intern ihned jednat, aby se to napravilo.

(#3) Prosinec 2009, igigi

RockYou je americk firma a mohlo by se zdt, e do mho seznamu eskch aslovenskch incident nepat. O pr slajd dle uvidme, pro ji zmiuji. V prosinci 2009 lovk nebo skupina vystupujc pod jmnem igigi zskala pomoc toku SQL Injection data o uivatelch RockYou a tato data vystavila na Internet.

32M hesel

Z RockYou uniklo pes 32 milin login a hesel v iteln podob, dky emu se RockYou stalo jednikou v nicch uivatelskch hesel. Ten obrovsk balk hesel se pouv dodnes na rzn analzy toho, jak uivatel hesla vytv. Pokud byste ho chtli na nco vyut i vy, tak ho najdete jednodue, akoliv bez uivatelskch jmen.

(#4) Leden 2010, igigi

lovk (nebo skupina) jmnem igigi napadl v lednu 2010 slovensk Azet.sk. RockYou byl jedin zahranin projekt igigiho, jinak ho zajmaly sp esk aslovensk firmy a weby a je tedy mon, e igigi byl z na kotliny. Nejen vzhledem k objemu dat z RockYou si v moj pednce igigi msto rozhodn zaslou.

Azet.sk problm piznal, ale tvrdil, e hesla jsou v neitatenej, takzvanej kryptovanej podobe. To ale igigiho rozplilo dobla, o prohlen Azetu napsal, e je full of crap a cracknul piblin 92 % vech hesel uloench jako MD5 hash. Hesla lid z veden Azet.sk, a. s. pak zveejnil. Milan Dubec byl tehdy generlnm editelem, dnes je pedsedou pedstavenstva. Jeho heslo kokotsom je pedvdateln, velmi slab atak vcelku zajmav. I ostatn uivatel z veden Azetu mli hesla pomrn slab: jestli se jmenujete Karol, rozhodn si nenastavujte heslo carlos.

(#5) 20122013

Od roku 2012 do roku 2013 byla aktivn skupina (nebo jednotlivec), kter si kala Czechurity, jej nzev vznikl pravdpodobn spojenm Czech a Security. Mla na svdom nkolik zsadnch zsek do ivho, sv skutky oznamovala na Twitteru.

V beznu 2012 skupina Czechurity zveejnila seznam domn, web a adres ze server esk televize. dn dal data nezveejnila, ale i podle toho uniklho seznamu jsme se mohli domnvat, e se v televizi uhnzdili pkn hluboko.

T se z incidentu asi nepouila, protoe skoro pesn o rok pozdji, na konci bezna 2013, Czechurity zveejuje seznam dalch adres a databz ze server T.

V beznu 2013 Czechurity pejmenovala Unicreditbank na Unicreditgang a na webu banky se objevila zprva o tom, e penze klient se ztratily. Na drobn problm na unicreditbank.cz jsem poukazoval u na konferenci WebTop100 v roce 2011, tenkrt lo jen jednodue zjistit cestu k souborm vyzradila ji zobrazen chybov hlka. Czechurity tak zveejnili heslo administrtora, bylo velmi slab: Banka123. Na server se pr ale dostali pomoc zneuit jinch zranitelnost a heslo nali a pozdji.

(#6) prosinec 2012, @smitt3nz

Koncem roku 2012 Twitter et @smitt3nz zveejnil nebo pmo zskal data ze slovensk firmy Pixel Federation, kter se vcelku spn zabv vrobou facebookovch her. Uniklo asi 38 tisc uivatelskch jmen a hash jejich hesel.

e-mail:md5 (heslo)

Data z databze Pixel Federation byla zveejnna v tto podob. Za e-mailovou adresou byl uveden MD5 hash hesla a pokud se tonkm podailo jednodue zskat pvodn heslo, kter odpovd tomu hashi, tak ho pidali do zvorky na konec. Vidme, e len Miulka m e-mail na Seznamu a pro pstup ke hrm Pixel Federation pouvala heslo 197412, kter bylo v databzi uloeno jako a3fa5a8c Heslo 197412 vypad trochu jako datum narozen: prosinec 1974, heslo je tedy pedvdateln a tud slab. Kdyby Miulka pouvala stejn heslo i pro pstup k e-mailu na Seznamu, mla by velk problm. Nkdo by si toti do jej e-mailov schrnky mohl postupn poslat odkazy na reset zapomenutch hesel nebo rovnou nov hesla z dalch slueb aweb a tm Miulce ukrst celou jej online identitu.

Nejen dky analzm velkho mnostv hesel v iteln podob, kter dnes adenn unikaj z firem jako je prv RockYou vme, jak uivatel hesla vytvej. Kdy dostanou za kol vytvoit heslo, kter m 8 znak a alespo jedno velk psmeno a jedno slo, tak vezmou njak znm slovo, prvn psmeno udlaj velk a slo daj na konec. Toho mohou tonci vyut pro zrychlen crackovn hesel, zvl kdy jsou hesla hashovna tak patnm algoritmem jako je prv MD5 bez saltu. Pro demonstraci jsem nepouil dn slovnk, ale hrubou silou proel mon kombinace. Program hashcat jsem nastavil tak, aby jako prvn znak z osmi zkouel bu mal nebo velk psmeno, pak est malch psmen a jako posledn osm znak zkouel slo. 160 miliard kombinac by mj ti roky star laptop proel za necel dv hodiny. Hesla by mla bt hashovna pomalm algoritmem se saltem, jak na to se dozvte v pednce o hashovn hesel.

Jene na crackovn hesel se nepouvaj laptopy, ale sp clustery sloen z takovchto besti s 8 vkonnmi grafickmi kartami (GPU). Tyto potae stav firma Sagitta HPC Jeremiho Gosneyho, v zkladn konfiguraci stoj 18499 USD atch 160 miliard kombinac, kter by mj laptop zkouel dv hodiny, um s 8 GPU Nvidia GTX Titan X projt za vteinu.

(#7) prosinec 2014

Jabbim je esk Jabber/XMPP server. V prosinci 2014 svm uivatelm nadlil ndhern vnon drek v podob niku hesel.

125k heseldn reset

Z Jabbimu uniklo 125 tisc hesel v iteln podob a tonk je potom nabzel k prodeji na ruskch undergroundovch frech. Data nebyla zveejnna, alespo prozatm. Jabbim nenabz dnou monost resetu hesel, od svch uivatel nevyadoval e-mailovou adresu a s nikem a nslednm resetem hesel vbec nepotal. st uivatel pila o sv Jabber ty, protoe si heslo nestihla zmnit a tak se radji pesunula jinam. Jabbim toti po niku vydal akort blogpost, ve kterm popsal, co se stalo a e si uivatel maj zmnit heslo. Pokud e-mailovou adresu vae sluba nepotebuje, stejn dejte uivatelm monost ji zadat, nikdy nevte, kdy by se mohla hodit. Me to bt jen dobrovoln poloka registrace.

SkTorrent.eu

(#8) nor 2016

Posledn msto v seznamu pat slovenskmu SkTorrent.eu. V pednce zmiuji spoustu slovenskch web, protoe uivatel z ech se na n registruj tak, navc spousta Slovk ije v R a proto je pro ely pednky povauji za nae.

118k hesel

Z SkTorrentu nkdo zskal 118 tisc hesel v iteln podob a vystavil je na Internet. Na pvodn adrese u nejsou, ale stle se d najt spousta kopi tch dat. SkTorrent hesla nijak nehashoval. Data se daj pout opt na analzu nebo pro dal toky na uivatele, zvl pokud pouvaj stejn heslo i pro pstup k e-mailu.

SOOM.cz

Bezpenostnch problm je u ns i na Slovensku tak kajc neurkom. Na webu SOOM.cz nejdete diskuzn frum, ve kterm nvtvnci upozoruj na chyby nalezen na rznch webech a ve webovch aplikacch. Weby to bu nejsou nijak zajmav, alespo z pohledu mdi, nebo jet nedolo k dnmu niku dat. Ppadn dolo, ale zatm na to majitel webu nepiel, to je nejastj ppad. Docela se divm, e se zatm neobjevil dn dal CzERT, Czechurity nebo igigi.

Pro pedstavu, kolik bezpenostnch chyb obsahoval teba takov web eskho T-Mobile se mete podvat na jeho ze slvy. T-Mobile spustil bug bounty program v noru 2015 a do bezna 2016 se na seznamu nalezench chyb ocitlo u docela dost poloek a jmen. T-Mobile doposud vyplatil na odmnch pes milion korun.

Michal paek
www.michalspacek.cz @spazef0rze

Pouvejte nhodn generovan
a uniktn hesla

Jak se jako uivatel webovch aplikac mete brnit? Pouvejte nhodn generovan a hlavn uniktn hesla, pro kadou slubu jin, aby pi ppadnm niku nkdo nemohl zskat heslo k dalm slubm, kter pouvte. Pouvejte sprvce hesel, usnadn vm vymlen i pamatovn hesel. Pokud vyvjte nebo provozujete njakou webovou aplikaci, potejte s tm, e se njak problm me stt a mjte krizov scn. Pette si zkuenosti Petra Svobody z ShopSysu, porad vm, co v takovm ppad dlat a jak se pipravit.


Průvodce didaktikou cizích jazykůneflt.ujep.cz/sites/default/files/navigator_pruvodce_didaktikou.pdf · didaktika lingvodidak. cizích jazyků, český výraz metodologie chápeme

Průvodce didaktikou cizích jazykůneflt.ujep.cz/sites/default/files/navigator_pruvodce_didaktikou.pdf · didaktika lingvodidak. cizích jazyků, český výraz metodologie chápeme

Documents
Přejímání cizích lexémů

Přejímání cizích lexémů

Documents
7 nejcastejsich chyb pri vyberu brylovych obrub

7 nejcastejsich chyb pri vyberu brylovych obrub

Documents
PV178 - Výjimky a zpracování chyb - Masaryk …Výjimky v .NET/C# • každá výjimka je objekt všechny výjimky jsou odvozeny z třídy System.Exceptionnebo z některé z odvozených

PV178 - Výjimky a zpracování chyb - Masaryk …Výjimky v .NET/C# • každá výjimka je objekt všechny výjimky jsou odvozeny z třídy System.Exceptionnebo z některé z odvozených

Documents
MAPY CIZÍCH SVĚTŮPlanetárium Praha Pracovní list pro ŽÁKY MAPY CIZÍCH SVĚTŮ ÚKOL 1) Který mořeplavec, původem z Janova, se vypravil v roce 1492 od španělských břehů

MAPY CIZÍCH SVĚTŮPlanetárium Praha Pracovní list pro ŽÁKY MAPY CIZÍCH SVĚTŮ ÚKOL 1) Který mořeplavec, původem z Janova, se vypravil v roce 1492 od španělských břehů

Documents
5 najcastejsich chyb „landing stranok“

5 najcastejsich chyb „landing stranok“

Business
Z działalnośc Pruszkowskiegi o - mazowsze.hist.plmazowsze.hist.pl/dlArticle.php?file=files/Przeglad_Pruszkowski/...ze stare stajnij chyb, równocześnia z budowe pałacą (oku 187

Z działalnośc Pruszkowskiegi o - mazowsze.hist.plmazowsze.hist.pl/dlArticle.php?file=files/Przeglad_Pruszkowski/...ze stare stajnij chyb, równocześnia z budowe pałacą (oku 187

Documents
JOSEF WEIGEL TEORIE CHYB A VYROVNÁVACÍ …fast.darmy.net/opory - I Bc/GE04-Teorie_chyb_a...střední chyba, jednotková střední chyba, váhy měření, zákony hromadění chyb

JOSEF WEIGEL TEORIE CHYB A VYROVNÁVACÍ …fast.darmy.net/opory - I Bc/GE04-Teorie_chyb_a...střední chyba, jednotková střední chyba, váhy měření, zákony hromadění chyb

Documents
DETEKCE CHYB (PARITA)

DETEKCE CHYB (PARITA)

Documents
1 Chyb ej c - Masaryk University

1 Chyb ej c - Masaryk University

Documents
Základy teorie chyb a zpracování fyzikálních měřeníwebfyzika.fsv.cvut.cz/PDF/teoriechyb.pdfZáklady teorie chyb a zpracování fyzikálních měření Jiří Novák Tento text

Základy teorie chyb a zpracování fyzikálních měřeníwebfyzika.fsv.cvut.cz/PDF/teoriechyb.pdfZáklady teorie chyb a zpracování fyzikálních měření Jiří Novák Tento text

Documents
Výzkum cizích jazyků na UTB

Výzkum cizích jazyků na UTB

Self Improvement
Ukázka knihy z internetového knihkupectví  · Kultura raného středověku Za vlády cizích dynastií Anjouovci Od Zikmunda Lucemburského po Ladislava Pohrobka Matyáš Korvín

Ukázka knihy z internetového knihkupectví  · Kultura raného středověku Za vlády cizích dynastií Anjouovci Od Zikmunda Lucemburského po Ladislava Pohrobka Matyáš Korvín

Documents
IDENTIFIKACE A HODNOCENÍ CHYB NA VÝROBNÍ LINCE A …

IDENTIFIKACE A HODNOCENÍ CHYB NA VÝROBNÍ LINCE A …

Documents
10 chyb webových stránek 2015

10 chyb webových stránek 2015

Technology
6+1 největších SEO chyb

6+1 největších SEO chyb

Internet
5 Nejčastějších chyb v provizních programech

5 Nejčastějších chyb v provizních programech

Marketing
Světy cizích sluncí · • 2010: Gliese 581g (3,2 – 4,5M Z): Zarmina • Obrázek k 581. Perspektivy kosmické civilizace • Planety obyvatelné x oživené

Světy cizích sluncí · • 2010: Gliese 581g (3,2 – 4,5M Z): Zarmina • Obrázek k 581. Perspektivy kosmické civilizace • Planety obyvatelné x oživené

Documents
Počítačem podporovaná výuka cizích jazyků

Počítačem podporovaná výuka cizích jazyků

Documents
10 Chyb Webovych Stranek

10 Chyb Webovych Stranek

Documents
Výzkum cizích státních příslušníků v českých věznicích · sledované skupiny vězeňské populace cizích státních příslušníků, t.j. Ukrajinci, Vietnamci, občané

Výzkum cizích státních příslušníků v českých věznicích · sledované skupiny vězeňské populace cizích státních příslušníků, t.j. Ukrajinci, Vietnamci, občané

Documents
POUŽITÍ METODY FMEA PRO PREVENCI CHYB V PRŮMYSLOVÉM PODNIKU

POUŽITÍ METODY FMEA PRO PREVENCI CHYB V PRŮMYSLOVÉM PODNIKU

Documents
Vybíráme z katalogu e-learningu - Masaryk University · 2017-03-31 · cemi a interaktivním procvičováním (hledání chyb v textu, křížovky, …). Hospodářské dějiny

Vybíráme z katalogu e-learningu - Masaryk University · 2017-03-31 · cemi a interaktivním procvičováním (hledání chyb v textu, křížovky, …). Hospodářské dějiny

Documents
Oprava chyb v dokumentu · 1 MS Word (7. třída Oprava chyb v dokumentu Oprava chyb v dokumentu, které dokáže vyhledat nástroj Pravopis a gramatika: Nástroj spustíme klávesou

Oprava chyb v dokumentu · 1 MS Word (7. třída Oprava chyb v dokumentu Oprava chyb v dokumentu, které dokáže vyhledat nástroj Pravopis a gramatika: Nástroj spustíme klávesou

Documents
64. Odhady úplných chyb a vah funkcí

64. Odhady úplných chyb a vah funkcí

Documents
Elipsa chyb a Helmertova křivka

Elipsa chyb a Helmertova křivka

Documents
JOSEF WEIGEL TEORIE CHYB A VYROVNÁVACÍ POČET Ifast.darmy.net/opory - I Bc/GE04-Teorie_chyb_a_vyrovnavaci_pocet_I- … · Z kontrolních důvodů se měří nejen jednotlivé veličiny

JOSEF WEIGEL TEORIE CHYB A VYROVNÁVACÍ POČET Ifast.darmy.net/opory - I Bc/GE04-Teorie_chyb_a_vyrovnavaci_pocet_I- … · Z kontrolních důvodů se měří nejen jednotlivé veličiny

Documents
ROLE MATEŘSKÉHO JAZYKA VE VÝUCE CIZÍCH JAZYKŮ

ROLE MATEŘSKÉHO JAZYKA VE VÝUCE CIZÍCH JAZYKŮ

Documents
Open Monday: 11 nejčastějších SEO chyb začátečníků

Open Monday: 11 nejčastějších SEO chyb začátečníků

Business
Realizace projektu aneb jakých chyb se vyvarovat

Realizace projektu aneb jakých chyb se vyvarovat

Documents