Haftanın Hackleri: Black Hat USA 2016 & DEF CON 24

Kategori: Web Güvenliği - Güncellenme: 22 Ağustos 2016 - Mustafa Yalcin

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta Black Hat USA 2016 & DEF CON 24 etkinliklerinden çıkardığımız notları sizlerle paylaştık. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilirsiniz, bize sorularınızı sorabilirsiniz.

Geçtiğimiz haftalarda Black Hat USA 2016 & DEF CON 24 etkinlikleri gerçekleştirildi. Bu yoğun gündem içerisinde ilgimizi çeken başlıkları:

HEIST: HTTP'de Şifrelenmiş Bilgilerin TCP-Windows Üzerinden Çalınması

Geçtiğimiz hafta HEIST atağının nasıl gerçekleştiğinden "HEIST Atağı ve CSS mix-blend-mode ile Tarayıcı Geçmişini Çalmak" adlı yazımızda bahsetmiştik.

HEIST ile ilgili detaylı bilgi almak için, Black Hat konferasında yapılan sunum: https://tom.vg/papers/heist_blackhat2016.pdf

Viral Video : Video dönüştürücü üzerinden SSRF'in exploit edilmesi

  • FFmpeg gibi dönüştürücü kütüphaneleri farklı extension kullanımlarına izin veriyor, videolarınıza doğrudan metin belgesi ile ya da metin değerleri belirterek farklı formatlarda video çıktıları alabilmek mümkün.
  • HTTP Live Streaming (HLS) FFmpeg desteği içeren Apple tarafından geliştirilmiş, popüler video oynatım protokollerinden biridir.
  • Video formatını bozmadan içeriğine hedef sunucunun HTML kodunu yükletmeyi başarmışlar ve bu manipülasyonlar ile farklı video yayın siteleri üzerinde test edilmiş.
  • Saldırı bir sonraki aşamaya taşınarak, FFmpeg’in, concat özelliğinden faydalanılarak video içerisinde oluşturulan HTTP taleplerine, etc/passwd, apache.conf gibi hassas verileri içeren sistem dosyaları ve loglarının önemli parçalarının eklenerek HTTP taleplerinin saldırgan tarafından kendi sunucusuna iletilmesi ile dışarı verilerin çıkartılması başarıyla sağlanmış.
  • Bu saldırı yönteminde yelpaze genişletilerek, başka formatlarda başka sitelerde denenmiş ve 'Bug Bounty - Ödül Avcılığı' programı bulunan bir çok video yüklenilmesine izin veren medya sitelerinde bu güvenlik açıkların raporlanarak kapatılması sağlanmıştır. Tabiki sunum sahipleri ödül de almış.
  • Blackhat 2016'da "Nikolay Ermishkin & Maxim Andreev" tarafından "VIRAL VIDEO - EXPLOITING SSRF IN VIDEO CONVERTERS" adı ile sunulmuştur.

Black Hat 2016’da Nikolay Ermishkin & Maxim Andreev tarafından yapılan sunum: https://www.blackhat.com/docs/us-16/materials/us-16-Ermishkin-Viral-Video-Exploiting-Ssrf-In-Video-Converters.pdf

Zaman Bazlı Ataklar Hiç Bu Kadar Pratik Olmamıştı: İleri Seviye Cross-Site Search Attack

  • Saldırgan bir web sitesine girdiğimiz de, tarayıcımız üzerinde oturumumuzun açık olduğu servislere (gmail,facebook,twitter gibi) Same Origin Policy kuralları gereği saldırgan aynı kaynakta olmadığı sayfanın içeriğini okuyamaz. Fakat o siteye bizim adımızla istek göndermesi mümkündür.
  • Gönderilen taleplerde sayfanın yanıt verme hızına göre, içerik okunamamasına rağmen zaman bazlı analizler yapılabilir. Cross-site zaman bazlı ataklarda, arama sayfaları gibi bizim verdiğimiz metin değerlerine göre içeriğin yönetilebildiği sayfalardan yapılacak farklı isteklerin sürelerine göre analiz ile bilgi keşfini mümkün kılmaktır. Örneğin: Kullanıcının facebook oturumunun açık olduğunu ya da olmadığını, hesap ayarları sayfasına gönderilecek talep ile alınan yanıtların süresine göre oturumun var olup olmadığını saldırgan tespit edebilir.
  • Bu saldırılarda ağdaki gecikme, sunucu yoğunluğuna bağlı yanıt süreleri fark edebilmektedir. Tarayıcı tabanlı zamanlama ataklarında, hesaplamalara etki eden bir başka faktör tarayıcının çalışma süresi etkileyicidir.
  • Gmail üzerinde DEMO ile kredi kartı bilgisi, ad soyad bilgisi gibi verilerin çıkartılması ile ilgili örnek istekler ve daha fazla kesin sonuç almamızı sağlayabilecek metotlardan bahsedilmiştir.
  • Blackhat 2016'da "Nethanel Gelernter" tarafından "TIMING ATTACKS HAVE NEVER BEEN SO PRACTICAL: ADVANCED CROSS-SITE SEARCH ATTACKS" adı ile sunulmuştur.

Black Hat 2016’da Nethanel Gelernter tarafından yapılan sunum: https://www.blackhat.com/docs/us-16/materials/us-16-Gelernter-Timing-Attacks-Have-Never-Been-So-Practical-Advanced-Cross-Site-Search-Attacks.pdf

Web Uygulamaları Güvenlik Duvarları: Saldırı Tespit Mekanizmasının Mantığı

  • Analizlere göre 500+ regex incelenmiş ve hedeflediği saldırı tiplerine göre yüzdelik dilimleri şu şekildedir : SQL injection (%43.3), XSS (%12.8), Others (LFI/RFI,PHP,OS exec, etc) (%43.8)
  • 300 den fazla potansiyel bypass yöntemine göre
    • En çok açıklık içeren: PHPIDS,
    • En az açıklık içeren: Comodo WAF,
    • En çok exploit edilen: OWASP CRS3-rc
  • WAF uygulamalarında kaliteyi hazırlanan regexlerin yazılış ve kapsamı ile analiz edebilirsiniz.
  • 3 farklı method üzerine bypass yöntemlerinden bahsedilmiştir: Syntax, Logical, Unexpected by primary logic bypass
  • Bypass yöntemlerini ve WAF davranışlarının demo ile gösterildiği anlatımı da sunumda bulabilirsiniz.
  • Blackhat 2016'da Vladimir Ivanov tarafından "WEB APPLICATION FIREWALLS: ANALYSIS OF DETECTION LOGIC" adı ile sunulmuştur.

Black Hat 2016’da Vladimir Ivanov tarafından yapılan sunum: https://www.blackhat.com/docs/us-16/materials/us-16-Ivanov-Web-Application-Firewalls-Analysis-Of-Detection-Logic.pdf

HTTP Cookie Hijacking'in Güvenlik ve Gizliliğe Etkileri

  • Son yıllarda Firesheep gibi programlarla, ortak ağ alanlarında kullanıcı bilgilerinin ağ dinlemesi ile ele geçirilmesine dair yapılan yayınların etkisi, Snowden'in itirafları ile HTTPS kullanımında bir artış gözlemlendi.
  • Fakat bazı firmalar, maalesef içlerinde Google, Amazon, Yahoo gibi büyük firmalar da var, HTTPS entegrasyonunda bütünlüklü bir yaklaşım izlemiyor. Kendilerince önemli addettikleri alanlar dışındaki trafiği HTTP ile işlemeye devam ediyorlar. Bu da ağ dinlemelerinde bir dizi riske yol açıyor. HTTPS bilindiği üzere, hem sunucular hem de client'lar için CPU intensive bir işlem. Dolayısıyla yüklü trafiklerde HTTPS'i bir bütün olarak devreye almamak, ilk elden bir kazanç gibi görünüyor olabilir. Keza istemci tarafında da mesela Android telefonlar da HTTPS bağlantının, yani güvenli bağlantının zorlanması güç yönetimi gibi durumlarda deaktif edilecek seçenekler arasında.
  • Bu risklerde en önemlisi, paylaşılan içerik dışında, bir bütün olarak oturum güvenliğini riske atabilecek olan Cookie'lerin ele geçirilmesi.
  • Oturuma ait olan Cookie'lerin bazıları secure olarak işaretlense de, bazıları non-secure olarak bırakılmış durumda. Bu Cookielerden önemli kullanıcı bilgileri ifşa olabilir.
  • Örneğin Amazon'da adres bilgileri, Google'da konum bilgileri ve arama geçmişleri, Yahoo'da e-posta adresleri, son gelen epostalar gibi, bilgiler, secure olarak işaretlenmemiş Cookie'ler vasıtası ile de erişebiliyor. Örneğin Amazon'da, oturumunuz sona ermiş olsa bile sizi isminizle hatırlayabiliyor ve sepet bilgilerinizi son oturumunuzdaki haliyle size gösterebiliyor.
  • HSTS teknolojisi, web trafiğinin güvenli yoldan akmasını zorlasa da, dikkatli olunması gerekli durumlar mevcut.
  • Örneğin eğer Cookie'leriniz tüm subdomain'ler için set edildiyse, HSTS de tüm subdomainler için geçerli olmalı(!). Google gibi büyük bir firmada dahi, bazı alanlara HSTS eklenmediği görülebilir.
  • 2014'de tanıtılan bir zafiyet dolayısı ile, sistemlerdeki tarih bilgisini değiştirerek HSTS geçersiz kılınabiliyordu. (J. Selvi, “Bypassing HTTP Strict Transport Security,” BlackHat-EU, 2014)
  • HSTS'de ilk istek önemli olduğu için, web sitelerinin kendilerini browser preload listelerine kaydetmesi gerekiyor ki, her bir browserın (Chrome, Firefox) preload listesi ayrı.
  • HTTPSEverywhere gibi pluginler de trafiği HTTPS'e zorlamak için kullanılsa da, HTTPSEverywhere de subdomain kullanımlarını kapsayamıyor.
  • Yukarıda sayılan özellikler birleştidiğinde, kullanıcının bilgilerini ifşa edebilir. Eğer güvensiz bir trafikle iletişim kuruluyorsa, Tor ağındaki trafikler çıkış nodunda Cookie'lerin ele geçirilebilir.
  • Bir başka önem arz eden hadise de Google Doubleclick. Bilindiği gibi Doubleclick kullanıcı trafiğini izleyen bir üçüncü parti kütüphane.. Yine Google Doubleclick de HTTPS'e bir bütün olarak entegre etmeyen firmalardan. Diyelim ki bir kullanıcı bir ürün satın almak için ürün sitelerini gezdi. Doubleclick sayesinde bu aktivitesi kaydedildiği için, sonraki dolaşımlarında da Google İçerik Reklamlarında bu son dolaştığı ürün ile irtibatlı ürünler gösterilecektir. Eğer kullanıcının doubleclick Cookie'si ele geçirilirse, başka bir browserdan da kullanıcının dolaştığı ürünler görülebilir. Kullanıcı Tor Browser kullansa dahi, çıkış modunda böyle bir dinleme yapıldı ise, bu Cookie vasıtası ile kullanıcının web gezinimine dair bilgiler ele geçirilebilir.
  • Blackhat 2016'da "Suphannee Sivakorn & Jason Polakis" tarafından "HTTP COOKIE HIJACKING IN THE WILD: SECURITY AND PRIVACY IMPLICATIONS" adı ile sunulmuştur.

Black Hat 2016’da Suphannee Sivakorn & Jason Polakis tarafından yapılan sunum: https://www.blackhat.com/docs/us-16/materials/us-16-Sivakorn-HTTP-Cookie-Hijacking-In-The-Wild-Security-And-Privacy-Implications.pdf

Hack ile kanıt: Oracle eBusiness Suite Ortamı

  • Oracle eBusiness kılavuzunda güvenlik konfigürasyonları için, bir çok potansiyel SQL injection gördüklerini, fakat onaylanan tek bir SQL injection örneği olduğunu yazması, sunum sahibini bu ortamın güvenlik analizlerini yapmaya ittiğini belirtiyor.
  • Çok geniş araç yelpazesine sahip Oracle eBusiness Suite ortamında eski güvenlik açıklarını inceleyerek başlamış ve hala güvenlik yaması uygulanmamış raporları tespit edilmiştir.
  • Sonucunda büyük bir liste ile bazı bilgileri erişmeye başarmıştır. Bunlar, sayısını unuttuğu miktarda XSS, 8 adet SQL injection, Dizin keşfi, Servis dışı bırakma, XXE gibi örnekler içermektedir. Bunların da hala yamalanmadığını tespit etmiştir.
  • Blackhat 2016'da "David Litchfield" tarafından "HACKPROOFING ORACLE EBUSINESS SUITE" adı ile sunulmuştur.

Black Hat 2016’da David Litchfield tarafından yapılan sunum: https://www.blackhat.com/docs/us-16/materials/us-16-Litchfield-Hackproofing-Oracle-eBusiness-Suite.pdf

Flash!

  • Flash AS2 ve AS3 olarak bazı farklılıklar içermektedir. Genel olarak içerisinde mp4 parser, zlib, regex, image decoders vb. destekleri içermektedir.
  • Temmuz 2015'te açığa çıkan çoğu flash güvenlik açıkları, Hacking Team vakasına denk geldi. Hacking Team verilerinin internete yüklenmesi ile fixlenmiş iki 0-day güvenlik açığı ve fixlenmeyen ayrı iki adet 0-day güvenlik açığı daha olduğu tespit edilmişti.
  • Flash için, Temmuz 2015'te en büyük yama gelmiştir. 36 adet Flash güvenlik açığı kapatıldı.
  • Sık kullanılan AS2'de bu yıl 100'den fazla güvenlik açığı raporlanmıştır.
  • Flash'a ait güncellemeleri incelediğimizde Eylül 2015'te 23 adet bug, Ekim 2015'te 20 adet bug daha kapatıldı. Ekim güncellemesi sonrası hızlıca 0-day güvenlik açığı için bir yama daha yapıldı. Bu açığın NATO ' yu hedef aldığı, Trend Micro tarafından raporlandı.
  • Şubat 2016 içerisinde de 22 bug daha düzeltildi.
  • Mart 2016 içerisinde 22 bug daha ve 1 adet 0-day.
  • Nisan 2016 içerisinde 24 bug daha ve 1 adet 0-day. 0-day'i TrendMicro ve Magnitude EK bildirdi.
  • Haziran 2016 içerisinde 26 bug daha ve 1 adet 0-day. 0-day'i Kaspersky bildirdi.
  • Tarayıcıların çoğu bu süreçte Flash desteklerini kapalı halde sunmaya başladılar, kullanıcılara farklı uyarılarla veya kendi müdahaleleri ile kullanma imkanı sunuyorlar.
  • Teşekkürler Adobe.
  • Blackhat 2016'da "Natalie Silvanovich" tarafından "THE YEAR IN FLASH" adı ile sunulmuştur.

Black Hat 2016’da Natalie Silvanovich tarafından yapılan sunum: https://www.blackhat.com/docs/us-16/materials/us-16-Silvanovich-The-Year-In-Flash.pdf

Tüm Güneş Panelleriniz Bana Bağlı

  • Tigo Energy Maximizer yönetim biriminde güneş panelleri doğrudan Bluetooth üzerinden yönetiliyor. Bu sistemlere girmek isteyen saldırgan hedef sistemin analizini yapıyor ve kendisi için kapsam belirliyor. Bu kapsamda tercih ettiği yöntem Open Access Point ve HTTP arayüzü.
  • Hedefi belirledikten sonra "hydra" yazılımı ile arayüze admin yetkilisi olarak admin username üzerinden brute force başlattığında parolasının "Support" gibi basit bir parola olduğunu 36 saat sonra buluyor. Fakat bu kullanıcıdan doğrudan faydalanamıyor, sistem yetki vermiyor.
  • Web arayüzü üzerinde güvenlik açığı üzerinden reverse shell alarak hedef sisteme bağlanıyor.
  • Ps -all … Harika, web uygulamasını root haklarıyla çalıştırıyorlarmış.
  • Log temizliği ve kendine yeni kullanıcı oluşturduktan sonra, kendisine kalıcı olarak ağa dahil etmek için VPN tüneli oluşturarak saldırgan sistemden ayrılıyor ve Bug bounty peşine düşerek, üretici firma ile kontağa geçiyor.
  • DEFCON 2016'da "Fred Bret-Mounet" tarafından "All Your Solar Panels are Belong to Me" adı ile sunulmuştur.

DEF CON 24’de Fred Bret-Mounet tarafından yapılan sunum: https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Fred-Bret-Mounet-All-Your-Solar-Panels-Are-Belong-To-Me.pdf

Kazanmak için Retweet: 50 satır Python kodu ile nasıl Twitter'da en şanslı adam oldum?

  • Çekilişler de retweet yaparak ödüller kazanabilirsiniz. Bunu Twitter API ile yaparsanız, doğru kod ile daha çok ödüller kazanırsınız.
  • Bazı limitasyonlar mevcut, ne sıklıkla retweet yaptığınıza Twitter API limit koyuyor. O yüzden rastgele bekleme süreleri ile Retweet yapmalı ve bir yandan retweet yapabileceğiniz yeni listeler oluşturmalısınız.
  • Retweet listeleri için bazı basit aramalar yapabilirsiniz. Örneğin "rt2win", "rt to win", "rt 2 win", "retweet to win", etc. Bunlarıda düzenli olarak topladığınız da başarı ihtimaliniz bir hayli yükselecektir.
  • Zaman zaman başka botlara karşı yarışacağınız gibi bazende hatalı bulgular olacaktır ve yanlış retweetler yapmış olabilirsiniz.
  • Düzenli olarak takip ettiğiniz hesap sayısını da aşırı kaçırmamak faydalı olabilir, hatta bu süreçte gerçek takipçiler bile edinebilirsiniz. İlk katıldığınız çekilişin üzerinden zaman geçtikten sonra takibi bırakarak, düşük takip edilen ve takipçi sayıları ile daha gerçekçi bir twitter botuna sahip olabilirsiniz.
  • Hunter Scott başarıyla kazandıklarını liste yapmayı ihmal etmemiş, hscott.net/winnings.txt ayrıca son olarak da vergilerini ödediğini belirtti.
  • DEFCON 2016'da "Hunter Scott" tarafından "Retweet to Win: How 50 lines of Python made me the luckiest guy on Twitter" adı ile sunulmuştur.

DEF CON 24’de Hunter Scott tarafından yapılan sunum: https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Hunter-Scott-Rt2Win-The-Luckiest-Guy-On-Twitter.pdf

Uygulama Güvenliği için Web Standartlarını Zorlamak

  • Sub Resource Integrity ile içeriğinizde kullandığınız kaynakların doğruluğunu bütünlüğünü kontrol edebilirsiniz. Fakat kaynağınızdaki bütünlük bozulduğunda içeriğinizde çalışmaz hale gelecektir. Fakat yazılımcılar için hata tetiklendiğinde işleyişi sürdürebilmek için bir çözüm geliyor o da fallback source. Eğer kaynağınız geçerliliğini yitirirse, daha yavaş ama işlevsel olan başka kaynaktan içeriğinizi yükleyebilirsiniz. Demo ve örnek SRI Fallback özelliğini kazandıran JS dosyalarını sunumdan bulabilirsiniz.
  • CSP Meta-Hardening ile yarı-katı header başlıkları ve katı meta verilerini birleştirmekten söz ediyoruz. Hazırlayacağınız ufak bir javascript kodu ile inline çalışan JS kodlarının her daim CSP kuralları çerçevesinde sadece script kaynakları ile yüklenenleri çalıştırılabilir hale getirebilirsiniz. Demo ve örnek kodları sunumdan bulabilirsiniz.
  • HPKP Suicide adı altında da RansomPKP adını verdiği, Lets Encrypt’ten ücretsiz olarak alınacak sertifika ile SSL trafiğinde olunmasına rağmen kullanıcıları bazı tarayıcılarda nasıl takip edeceğimizi bizlere demo linkleri ile anlatmaktadır.
  • DEFCON 2016'da "Bryant Zadegan & Ryan Lester" tarafından "Abusing Bleeding Edge Web Standards for AppSec Glory" adı ile sunulmuştur.

DEF CON 24’de Hunter Scott tarafından yapılan sunum: https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Bryant-Zadegan-Ryan-Lester-Abusing-Bleeding-Edge-Web-Standards-For-Appsec-Glory.pdf

Network Saldırısı ile 5$'a 4 TB/s Büyüklüğünde DDos Oluşturmak

  • PerfSonar, Internet2 araçları arasında adı anılan popüler araçlardandır.
  • PerfSonar web arayüzünde yer alan XML taleplerin de ve XML Parser'ında yapılan incelemeyle XML EXTERNAL ENTITY PROCESSING (XXE) güvenlik açığı tespit edilir. Saldırgan bunun sayesinde PerfSonar sunucularına erişebilir.
  • PerfSonar sunucu donanımları ve servisleri incelendiğinde 5.719 TB/s büyüklüğünde network hızını görüyoruz. Saldırgan, sunum sırasında canlı demo da yapmıştır.
  • Bazı güvenlik açıklarının sunum sırasında hala fixlenmediğini, bazılarınında kapatıldığını görüyoruz.
  • DEFCON 2016'da "Luke Young" tarafından "Attacking Network Infrastructure to Generate a 4 Tb/s DDoS for $5" adı ile sunulmuştur.

DEF CON 24’de Luke Young tarafından yapılan sunum: https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Luke-Young-The-4TbS-Ddos-For-5-bucks.pdf

Netsparker

Tam isabet, hızlı ve kolay kullanım

DEMO SÜRÜMÜNÜ İNDİR