Krazen's weblog

Użytkownicy Digga zapewne zauważyli dziś rano zasypanie całego serwisu informacjami zawierającymi pewien kod. Sam byłem zaskoczony otwierając czytnik RSS. Grubo ponad setka wpisów daje nam możliwość poznania tego kodu, czasem podając go na srebrnej tacy, a czasem zmuszając do ruszenia łepetyną.

O co tak naprawdę się rozchodzi? Otóż ten ciąg szesnastu bajtów posłużył do zaszyfrowania większości kodowanych w standardzie AACS filmów HD DVD. Rzeczą oczywistą jest to, że wielu korporacjom rozpowszechnienie takiego kodu jest wysoce nie na rękę. Zwykłym użytkownikom taki kod może posłużyć przykładowo do odtwarzania HD DVD pod Linuxem, więc jest jak najbardziej użyteczny.

No dobra, ale skąd ten cały spam na Diggu? Otóż kiedy informacja o kodzie dostała się 1 maja na stronę główną została ocenzurowana przez administratorów. Wywołało to poruszenie wśród społeczności, która podjęła natychmiastowe działania w postaci masowego dodawania tej informacji i wykopywania na stronę główną, czego efekty są widoczne cały czas. Z początku admini próbowali zerować liczniki tym wpisom, usuwać je ręcznie itd., ale co poradzi kilka, kilkanaście lub nawet kilkadziesiąt osób wobec kilkuset tysięcy użytkowników?

Oprócz rozpowszechniania informacji o kodzie pojawiły się jeszcze jeden głos móiący o tym, że wraz z wprowadzeniem cenzury Digg przestał działać w duchu Web 2.0, co niektórzy oskarżają nawet adminów o zdradę ideałów. Społeczność Digga jest oburzona faktem, że próbowano zamknąć jej usta. Sam serwis stracił w niektórych oczach tyle, że powstała inicjatywa stworzenia nowego, podobnie działającego serwisu "na zawsze wolnego od cenzury"

Kevin Rose, jeden z założycieli Digga tłumaczy, że firma ma zbyt mało pieniędzy żeby potem walczyć w sądzie z koncernami filmowymi, dlatego wolą na wszelki wypadek usuwać kłopotliwe informacje. Wśród diggowej społeczności są tacy, którzy twierdzą że Digg przyjął pieniądze od HD DVD Promotion Group. Ile w tym prawdy wiedzą pewnie tylko sami zainteresowani

Pomimo usilnych starań zespołu kierującego Diggiem kod i tak rozprzestrzenia się w najlepsze, a sam serwis stracił dużą część szacunku użytkowników, czyli tego, co może być warte więcej niż pieniądze stracone przez sądowe procesy, które i tak wiszą nad firmą, bo do tej pory nie potrafi skutecznie opanować rozpowszechniania się tego kodu na własnych stronach.

Również Wikipedia dość skutecznie zapobiega pojawieniu się tego kodu na własnych stronach, co wywołuje oburzenie użytkowników nie mniejsze od tego, jakie ma miejsce w przypadku Digga.

Pozostaje nam tylko czekać na rozwój sytuacji. Możemy już być pewni, że ostatnia noc zapisze się w historii internetu. Niektórzy nazywają ją po prostu "Digg HD DVD Night", niektórzy mówią że to pierwszy przykład elektronicznej rewolucji. Na pewno właściciele serwisów społecznościowych powinni z tych wydarzeń wyciągnąć należyte wnioski, jeśli dotąd nie doceniali siły przebicia swoich użytkowników i nie zdawali sobie sprawy z tego, jakie konsekwencje dla serwisu może mieć działanie wbrew nim.

Na koniec mały prezent (znalezione na electriblog.com):

Dziś w mojej szkole odbyło się małe seminarium dotyczące bezpieczeństwa w sieci. Niestety w tej chwili nie wspomnę nazwiska prowadzącego prezentację, jak tylko sobie przypomnę na pewno je zamieszczę.Prowadził ją Niemniej jednak pan Grzegorz (tak, imię zapamiętałem xD) mówił bardzo ciekawie i rzeczowo. Poprowadził ją Grzegorz Dacka. Na co dzień pracuje jako administrator sieci w czeskim oddziale firmy IBM w Brnie. Administruje poza tym kilkoma sieciami w naszym kraju.

Prezentacja sama w sobie była poprowadzona bardzo prosto, niektórych może by rozczarowała tym, że skupiała się na rzeczach oczywistych, ale trzeba brać poprawkę na to, że widzami nie była grupka specjalistów od bezpieczeństwa, tylko uczniowie liceum. Forma prezentacji bardzo przypadła mi do gustu. Ogólny omówienie zagadnienia przeplatane technicznymi szczegółami, pytaniami do publiczności i anegdotami z branży, oraz poparte wieloma przykładami nie pozwalało się nudzić i ułatwiało przyswajanie informacji. Niestety wiele razy publiczność zapytana milczała jak zaklęta, szczególnie przy pierwszych pytaniach, ale w miarę upływu czasu (i zapewne za sprawą smyczy otrzymywanych w nagrodę za dobrą odpowiedź, sam zdobyłem dwie, była szansa na trzy, ale palnąłem, że cache to pamięć tymczasowa ;p) atmosfera się rozluźniła, i pozostała świetna do samego końca.

Dla zainteresowanych opiszę tu króciutko przebieg seminarium:

Do prezentacji posłużyły dwa komputery, jeden demonstracyjny pracujący pod kontrolą WinXP, do niego podpięto rzutnik. Służył do symulacji zachowań użytkownika sieci oraz do prezentacji danych jakie można uzyskać podsłuchując w sieci taki komputer. Drugi komputer pracował pod Linuksem, na nim prowadzący robił swoje "magiczne sztuczki", podgląd na jego poczynania mieliśmy na dużym ekranie dzięki uruchomieniu na komputerze demonstracyjnym PuTTY, który umożliwił połączenie obu kompów przez SSH i wyświetlanie działań z linuksowego shella w windowsowym okienku (chyba tak to się odbywa, jeśli się mylę proszę mnie poprawić). Oba laptopy wpięto do szkolnej sieci, co miało swoje plusy i minusy. Plusem był oczywiście dostęp do internetu, minusem było przechwytywanie ogromnej ilości niepotrzebnych danych utrudniających prezentację.

Na początku padło pytanie "Czy nasze poczynania w internecie są możliwe do podejrzenia przez osoby postronne?". Oczywiście zdecydowana większość była przekonana, że tak, jednak nikt nie miał konkretnych pomysłów co do sposobów ewentualnego podsłuchu.

Na pierwszy ogień poszedł sniffing pakietów przesyłanych przy niezaszyfrowanych połączeniach ze stronami www. Za pomocą sniffera (chyba sniffit, ale głowy nie dam) pan Grzegorz podjął próbę przechwycenia loginu i hasła podawanych przez ochotnika podczas zakładania konta pocztowego w serwisie pewnego portalu. Ochotnik ku ogólnemu niezadowoleniu zamiast Firefoksa, który aż prosił się o uruchomienie wynalazł wśród ikon na pulpicie nieśmiertelnego IE 6. Uczeń trzeciej klasy liceum, w dodatku o profilu informatycznym ^^. O ile login przechwycił bez większych problemów, o tyle hasła już w logu sniffera nie udało mu się odnaleźć. Winą obarczono duży ruch w sieci szkolnej (3 pracownie, z czego dwie były w tym czasie w użyciu + komputery w administracji) generujący duży bałagan w logach sniffera. Szkoda że nie znalazł hasła, zrobiłby dobre wrażenie na samym początku, a tak musieliśmy uwierzyć na słowo + logi z wcześniejszej, udanej próby. To hasło pewnie gdzieś tam było, bo ten portal przy rejestracji nowego konta nie stosuje szyfrowania połączenia.

W dalszej części seminarium dowiedzieliśmy się o funkcji adresu MAC karty sieciowej, możliwościach spoofingu, phishingu. Ta część ze względu na ograniczenia czasowe nie został poparty przykładami praktycznymi. Pokazano też, co było dla mnie lekkim szokiem, że programy pocztowe łączą się z serwerami SMTP i POP3/IMAP za pomocą prostych telnetowych komend, w żaden sposób niezaszyfrowanych.

Dalej było trochę o anonimowości w sieci. Pokazano, jak znając IP, uzyskany np z nagłówka e-maila można ustalić niektóre dane nadawcy za pomocą whois (ripe.net). Oczywiście nie każdego możemy w ten sposób wyśledzić, nie zadziała to np. klientów TP. Ale już wielu lokalnych dostawców oferujących stałe IP podaje do whois dane teleadresowe pozwalające dotrzeć do konkretnej fizycznej sieci lub nawet osoby.

Poruszonych zostało też kilka aspektów prawnych, dotyczących np. spamu, lub nieuczciwych transakcji przez Allegro. Było też o tym, co może dziać się z podawanymi danymi osobowymi. Przytoczony wyniki badań, wg których od około 80% nastolatków (szczególnie nastolatek) można z minimalną pomysłowością otrzymać takie dane jak adres, czy numer telefonu. Pokazywano też jak łatwo można wykryć używanie programów p2p w sieci.

Mówiono także o sposobach zabezpieczania się w Internecie lub sieci lokalnej. Obok tak oczywistych metod jak firewall i antywirus omówiono wady i zalety serwerów proxy, czy zasady działania VPN. Zwrócono uwagę na sposób w jaki łączymy się ze stronami www, dlaczego w miarę możliwości, jakie strona oferuje powinniśmy wykorzystywać SSL. Wytknięto słabe na ogół zabezpieczenia lokalnych sieci bezprzewodowych, często zabezpieczonych słabym, 64-bitowym kluczem który po złamaniu da dostęp intruzowi do sieci. Padło kilka słów o konstrukcji bezpiecznych haseł oraz takiej kulturze używania przeglądarek, która zapewni bezpieczeństwo. Wspomniano o zabezpieczeniu komputera przed zdalnym włączeniem przez hasło na poziomie BIOS-u oraz zabezpieczaniu dysku przed nieautoryzowanym dostępem przez szyfrowanie tablicy partycji.

Około dwugodzinna prezentacja zakończyła się udanym pokazem podsłuchu popularnego komunikatora Gadu-Gadu na żywo, rozdano też gadżety w postaci smyczy dla uczestników. Oby więcej takich spotkań.

Oto artykuł o "łamaniu" haseł w Windowsach, który napisałem jeszcze za czasów współpracy z nieistniejącym już zinem AM Komputery. Tekst może już leciwy, ale na aktualności nie stracił, a opisane w nim metody nadal działają na tych najpopularniejszych systemach. Postaram się je wyłożyć jak najjaśniej.

Nie bez powodu w tytule artykułu słowo SAM zostało wyszczególnione, otóż tak nazywa się plik zawierający zaszyfrowane hasła do kont użytkowników. Znajduje się on w katalogu %SYSTEMROOT%\SYSTEM32\CONFIG (najczęściej C:\WINDOWS\SYSTEM32\CONFIG). Począwszy od Service Packa 2 dla Windows 2000 ten plik jest szyfrowany 128-bitowym algorytmem MD4 za pomocą programu Syskey. Wcześniej było to szyfrowanie 56-bitowe. Do pliku SAM (Security Account Manager) nie ma żadnych uprawnień żaden użytkownik komputera. Konwencjonalnymi metodami nie da się go ani otworzyć, ani skopiować, ani tym bardziej nadpisać.

Istnieją jednak metody pozwalające na rozkodowanie/zmianę danych zapisanych w pliku. Można to robić wieloma metodami, posługując się kilkoma narzędziami na raz, jednak udało mi się znaleźć narzędzie pozwalające dokonać tego w prosty sposób, nosi ono nazwę SAMInside. Posiada przejrzysty, graficzny interface, ma dużo opcji przyśpieszających proces łamania hasła. Program ma polską wersję językową, więc jego obsługa nie powinna nikomu przysporzyć większych problemów. Mimo to omówię jego obsługę i konfigurację na przykładzie wersji 2.2.6.0, by wszystko stało się jasne :)

Pierwszy przycisk (patrząc od lewej) na górnym pasku służy do importu hashy (czyli zakodowanych haseł) z plików różnych typów (SAM i SYSTEM, pliki programu PWDump itd.) Drugi przycisk umożliwia import informacji o użytkownikach z lokalnego komputera. Trzeci pozwala samemu wprowadzić hashe, które po rozkodowaniu dadzą nam hasło. Czwarty usuwa wszystkich użytkowników z listy. Piąty służy do sprawdzania hasła. Szósty generuje hashe dla aktualnie zalogowanego użytkownika. Pod siódmym kryją się wszelkie ustawienia najważniejszej części programu, czyli rozszyfrowywania hasła. Ósmy, i zarazem ostatni służy do startowania i wstrzymywania procesu rozkodowywania.

Teraz trochę o ustawieniach dotyczących rozszyfrowywania. Pierwszą zakładkę pomijam, druga pozwala nam określić, jakie znaki będą brane pod uwagę przy ataku brute-force. Pozwala też określić długość odgadywanego hasła. Trzecia pozwala skorzystać ze słownika. Czwarta zakładka pozwala zmienić ustawienia ataku rozproszonego. Cała jego magia tkwi w tym, że bierze w nim udział kilka komputerów, co znakomicie przyśpiesza znajdowanie hasła. Po prostu ustawiasz SAMInside na kilku kompach z identycznymi opcjami i hashami do odgadnięcia, włączasz we wszystkich atak rozproszony na taką liczbę kompów, jaką masz do dyspozycji, i każdej maszynie przydzielasz inny numer. W piątej zakładce można ustawuć maskę dla hasła, jest to przydatne, jeśli mamy jakieś informacje o haśle (np. maska aaaNNN oznacza, że w haśle występują 3 małe litery pod rząd, a po nich bezpośrednio 3 cyfry) Wiem, że to trochę powikłane, ale mając program przed oczami na pewno połapiecie się, o co chodzi.

W następnej części arta opiszę, jak poznać hasło zarówno do konta użytkownika na zarówno na swoim, jak i innym kompie.

Aby poznać hasło dostępu do dowolnego konta na swoim kompie uruchom SAMInside, użyj opcji importu z lokalnego komputera. Powinna pokazać się lista użytkowników. Zaznacz pola przy tych, których hasła chcesz poznać. Skonfiguruj program wg własnych potrzeb (jeśli nie umiesz, posłuż się opisem dwa akapity wyżej, może on ci pomoże). Naciśnij start, i czekaj na wyniki. Nie zniechęcaj się, szukanie może trwać baaaaaaardzo długo, w zależności od długości hasła i wybranej metody deszyfracji. (najskuteczniejszą, ale niestety najwolniejszą metodą jest brute-force).

W przypadku chęci poznania hasła do innego kompa metod jest kilka. Jeżeli mamy do niego nieograniczony dostęp, to postępujemy analogicznie do sposobów opisanych akapit wyżej. Jednak jeżeli mamy mało czasu, nie możemy sobie pozwolić na długotrwałe szukanie musimy zdobyć dane potrzebne do rozkodowania hasła, które wprowadzimy w domu, gdzie spokojnie poczekamy na rozszyfrowanie hasła. Jeżeli mamy dostęp do kompa z zalogowanym jakimkolwiek userem w Windowsie, to uruchamiamy nasz magiczny programik, importujemy listę użytkowników z lokalnego kompa, spisujemy OBA hashe (LMHash i NTHash) interesującego nas usera/userów, w domu używamy opcji "Dodaj LMhash/NTHash", wpisujemy hashe ofiary, i rozszyfrowujemy hasło. Natomiast jeśli nie mamy dostępu do Windy musimy z kompa ofiary skopiować na dyskietkę pliki SAM i SYSTEM (oba znajdują sie w tym samym folderze, którego lokalizacja jest wymieniona gdzieś na początku arta). Do tego celu można użyc np. dystrybucji Linuxa uruchamianej z dyskietki, lub płyty. Jeśli Windows jest zainstalowany na partycji z systemem FAT32 to możemy użyć najzwyklejszej dyskietki startowej Windowsa 98, jeśli natomiast Winda stoi na partycji NTFS, to trzeba posłużyć się narzędziem NTFSDOS, które utworzy dyskietkę bootowalną z obsługą NTFS. Gdy już mamy pliki SAM i SYSTEM ofiary na swoim kompie, to używamy opcji "Import z plików SAM i SYSTEM" i postępujemy w sposób opisany wcześniej. Z tego co wiem w ten sposób (odczytania danych z pliku SAM i SYSTEM skopiowanych od ofiary) można poznać hasło tylko do konta administratora.

Co do poznawania hasła to by było na tyle, ale co, jeśli potrzebny jest nam szybki dostęp. Ano można po prostu zresetować hasło. Służy do tego program Offline NT Password & Registry Editor. Po jego rozpakowaniu uruchamiamy plik install.bat, wkładamy sformatowaną dyskietkę do flopa, podajemy literę naszej stacji dyskietek (najczęściej A:). Program utworzy dysk startowy. Po uruchomieniu z niego kompa wybieramy partycję, na której jest zainstalowany Windows, potem opcję "Password reset [sam system security]", potem "Edit user data and passwords", zostawiamy domyślną nazwę użytkownika (Administrator), wpisujemy nowe hasło (jeśli chcemy je wyzerować to zostawiamy gwiazdkę), potwierdzamy zmianę hasła. Wybieramy opcję "q", po czym ponownie potwierdzamy chęć zmiany hasła. Potem wpisujemy jeszcze "n" i hasełko jest zmienione.

Jak widać hasła nawet w "bezpiecznych" systemach opartych na technologii NT są do złamania nawet dla szarego człowieka. Nie jest to trudne, wystarczy mieć odpowiednie narzędzia oraz odrobinę szczerych chęci.