Интересная дискуссия развернулась на securitylab.ru по поводу статьи «О взломе WEP. В последний раз…«. Когда я прочел ее, то у меня сложилось стойкое впечатление, что утилита была создана для взлома. Именно так она и подается на сайте в разделе «Утилиты». Авторы же статьи (и видимо самой утилиты) считают, что все не так и они создали средство тестирования систем беспроводной защиты. При этом они не либо не видят особой разницы между «взломом» и «тестированием» (хотя ключевая разница в мотивации), либо просто не хотят признавать ее.
Пятница… День подготовки к выходным, день шуток
Конечно, взлом. В сущности, и Xs-Pider первоначально был таков (и поэтому удалялся то ли Trend’ом, то ли McAfee). И шаловливое название тому лишнее подтверждение.
А что не удержались от соблазна опубликовать под своим трейдмарком
производит впечатление мальчишества какого-то.
а в чём разница то? я вот тоже наверное не догоняю. ты имеешь в виду, что она таки позволяет получить всё?
я рассматриваю такие утилиты как скальпель. а скальпель можно использовать не только для лечения
Алексей.
Тестирование может происходить разными методами. Это отражено и в методиках аудита и в реализации инструметов, таких как сканеры безопасности.
Примеры:
Есть «тестирование на проникновение», вполне сложившаяся отрасль работ. Суть — преодоление механизмов защиты — т.е. то, что вы называете «взломом».
Описание:
http://en.wikipedia.org/wiki/Penetration_test
Есть «аудит» — когда идет проверка конфигураций, нормативки и т.д. методом белого ящика.
Тоже самое в сканерах — есть «хокерские» проверки, например — подбор паролей. Причем это есть даже у Internet scanner и MBSA, которые уж «хакерскими утилитами» никак не назовешь.
Есть «белые» — проверка ключа реестра или версии файла с административными правами.
Эти подходы исходят из разных предпосылок.
Первое — проверить на наличие известных уязвимостей (черный список, «чтобы небыло плохого»).
Второе — проверить на соответсвие известным «хорошим» практикам (белый список, «чтобы было хорошо»).
Как показывает жизнь — оптимальным является сочетание этих вещей.
Например (не я писал):
http://www.dsectrain.ru/about/articles/active_audit/
http://www.dsec.ru/about/articles/practice/
Соотвественно, для проведения таких работ необходимо не только знать, что «WEP — это плохо», но и показать почему и насколько.
Если бы вы знали, как часто в ходе работ приходится сталкиватся с фразами типа «докажи-покажи».
А упомянутая утилита, на которую вы так взъелись — это PoC, демонстрирующий результат достаточно серьезной исследовательской работы в области анализа протоколов защиты wifi.
Кстати, всем советую потихоньку думать о миграции с WPA на WPA-2. У многих вендоров достаточно серьезные проблемы с соблюдением стандарта, что приводит к уязвимостям. Опубликуем через годик — полтора — два, когда профильтруется через сообщество и «настоится».
ЗЫ.
К стати, работы AVS по PSI DSS тоже предполагают подбор паролей и другие «хакерские» техники. И аудиторы или используют готовые (где интересно берут) или разрабатывают подобные утилиты. Все AVS — враги народа?
А что уж говорить о таких злыднях как http://www.coresecurity.com/, которые постоянно ищут «дырки» и продают «набор эксплойтов». Это тоже «мальчишество»?
ЗЗЫ.
Вы абсолютно верно сказали — разница между «взломом» и «тестированием» — в мотивации.
Т.е. не в технической области, а в области этики и целей использования знаний и инструментов. Кто и с какими целями будет запускать антивирус — пользовать, чтобы проверить загруженную из интернета программу, или злоумышленник, чтобы оценить эффективность его вредоносного кода ?..
ЗЗЗЫ. Забыл подписаться — Сергей Гордйечик.
> разница между «взломом»
> и «тестированием» — в мотивации
А по-моему, как и в случае с «лечением»/»убийством» разница в результате.
Если утилита предоставляет (оставляет в руках пользователя)несанкционированный доступ к точке, то все разговоры про научно-познавательность уже значения не имеют — взлом это факт.
Вот если бы нет, то нет.
«Если утилита предоставляет (оставляет в руках пользователя)несанкционированный доступ»
Ключевое слово, я полагаю «несанкционированный»?
Соответсвенно — вопрос в наличии санкции, а не в утилите.
Да, через родную не/санкционированность все гораздо удобнее и понятнее.
Впрочем, поскольку тезис про мотивацию справедлив при условии Макиавелли (цель оправдывает средства), то можем через него пойти.
А можно и на примерах. Вот Вам «ознакомительные цели»:
http://www.passat-b5.ru/phpBB2/topic6202.html
а вот и «восстановление забытых»:
http://auto-key.com/pages/catalog/auto.htm
Ап ту ю, так сказать.
И тогда, куда мы поместим
http://www.coresecurity.com/, или, что ближе:
http://safe.cnews.ru/bugtrack/xploit/
«Эксплоит для уязвимости Yahoo! Music Jukebox Mediagrid ActiveX к переполнению буфера через AddBitmap»
Эксплоит для уязвимости Joomla NeoReferences к SQL-инъекции через catid
Для эксплуатации уязвимости необходимо передать встраиваемый SQL-запрос через параметр catid сценария index.php. Пример…
Просто в хакеры, или сразу в 273?
Имхо, они тоже пособничают терроризму, но давайте каждый будет отвечать за себя, а не кивать на другого.
з.ы. Терроризм я для красного словца ввернул, а пособника можете посмотреть в УК РФ — лицо, содействовавшее совершению преступления … предоставлением информации, средств или орудий совершения преступления. Не ожидали?
«каждый будет отвечать за себя,»
Конечно! Я просто хотел обозначится c жизненными ориентирами. До этого смотрел в сторону IBM ISS, RSA, VeriSign, Symatec, Брюса Шнаера наконец.
А оказывается — все они — пособники терроризма. Как я ошибался…
Спасибо — буду много думать.
Пособник, оказывая содействие исполнителю преступления, должен сознавать, какое совершается преступление, в котором он исполняет роль соучастника.
обзор судебной практики Верховного Суда Российской Федерации за четвертый квартал 2002 года
Соучастие не обязательно требует предварительного сговора (и пусть Вас это не сбивает), а преступление в данном случае НСД (уж это-то без вариантов, казалось бы).
Попробую пояснить свою точку зрения, хотя она и так понятна.
Есть факт — утилита, которая показывает наличие уязвимости. У такой утилиты может быть два результата работы. Первый — сказать «Да, дыра есть». Не говорить, как ее эксплуатировать, но зато дать ссылки на всевозможные патчи и другие меры, устраняющие уязвимость. Второй результат — не только сказать, что дыра есть, но и дать инструмент, который позволяет использовать последствия этой уязвимости. В первом случае мы остановились на факте наличия уязвимости. Во втором — пошли дальше.
Теперь анализируем далее. Почему я сделал упор на мотивации. Именно потому, что сканеры, как и многие другие средства защиты относятся к технологиям двойного применения и все зависит от мотивации людей, которые их используют. Я могу использовать его только для поиска дыр, а могу и для последующей эксплуатации в дурных целях. Так вот на разработчике таких утилит/средств лежит большая ответственность, т.к. именно от того, как он напишет софт, зависит, смогут его использоватьв плохих целях или нет. Т.к. мы не можем контролировать, в чьи руки попадет утилита, то нам остается только заложить искусственные ограничения в саму утилиту и не датьпользоваться ею с дурными намерениями.
Я не смотрел последние версии того же Internet Scanner, но до 7-ой версии включительно, он по этому же принципу и работал. Он показывал наличие дыры, но не позволял (в большинстве случаев) пользоваться плодами ее наличия. Для этого надобыло уже заниматься изысканиями дополнительных хакерских утилит и эксплоитов. В данном случае это не сканер, а именно утилита для взлома.
И, наконец, последнее. В самой статье ни слова не говорится про аудит, пентесты, тестирование и т.д. Говорится про взлом. Сказали бы про PoC и все. Нет вопросов. Сказали бы про использование с целью тестирования. Нет вопросов. Но этого не было. И поэтому правильно Ригель вначале заметил — какое-то мальчишество.
ЗЫ. Можно сколь угодно долго говорить про скальпели, кухонные ножи и другие «двойные» технологии. Но в том-то и состоит задача ЭКСПЕРТА, чтобы оценивать последствия своих действий и не допускать двойных толкований.
Конечно! Я просто хотел обозначится c жизненными ориентирами. До этого смотрел в сторону IBM ISS, RSA, VeriSign, Symatec, Брюса Шнаера наконец.
Интересно. А они публикуют утилиты для взлома? Они могут рассказать КАК (кстати без существенных деталей и без предоставления всего исходного кода или готовой утилиты) ломается. Но я не видел (может что-то упустил), чтобы тот же Шнайер давал готовые инструменты для взлома.
Если быть ближе к России, то ISS тоже никогда не давал таких утилит. Тот же Internet Scanner в процессе подбора паролей никогда не показывал подобранный пароль — он только говорил, что он смог это сделать.
«Первый — сказать «Да, дыра есть». Не говорить, как ее эксплуатировать, но зато дать ссылки на всевозможные патчи и другие меры,»
Тот же Internet Scanner дает ссылку на securityfocus.com (собственность Symantec) где в описании уязвимости присутсвует закладка «exploit». ПТ (пособники..)
«Я не смотрел последние версии того же Internet Scanner, но до 7-ой версии включительно, он по этому же принципу и работал. Он показывал наличие дыры, но не позволял (в большинстве случаев) пользоваться плодами ее наличия.»
В отчетах Internet Scanner можно увидеть фразы типа «Пароль администратора — пустой». Вполне себе позволяет воспользоваться :). ПТ!
«В самой статье ни слова не говорится про аудит, пентесты, тестирование»
Цитата из статьи:
«Для того чтобы вступить в клуб аудиторов беспроводных сетей»
«ЭКСПЕРТА»
Угу. Если бы ктонить разобрался в сути вопроса, он бы прекрасно понял, что сама утилита просто обнаруживает ожидает подключения клиента и пытается генерировать в его отношении трафик. Если трафик пошел — то уязвимость есть (ничего еще не поломано!).
Дальше — если есть у человека есть злобные намеренья, то он может:
«# Запустите airodump-ng для сбора пакетов
# Запустите aircrack-ng для восстановления ключа.»
Т.е. ломают то злобной и террорестической программой aircrack-ng (ссылку не публикую во избежание :).
«В отчетах Internet Scanner»
Простите — не в отчетах, в логах.
Чтобы не увеличивать энтропию еще и здесь считаю продолжение дискуссии бесмысленным.