Heartbleed

Hacking in a heartbeat…..
Wat is er aan de hand?

CVE-2014-0160

Heartbeat is een extensie van OpenSSL om verbindingen te behouden.
Nu blijkt hier een bug in te zitten, die bij de handshake teveel informatie teruggeeft,
waaronder certificaten, geheugen dump van de site, cookies, sessies, enz, enz (tot 64kb).
Hij vraagt bevestiging van de verbinding, maar krijgt een handvol willekeurige info van het geheugen van de server.

Het blijkt zo eenvoudig te zijn, dat elke scriptkiddie deze bug kan exploiteren.

Er zijn meerdere scripts te vinden op het net, alsmede test sites om te
kijken of een website kwetsbaar is.
o.a. dropbox, yahoo en openssl site zelf zijn kwetsbaar.
1 van de test sites: https://heartbleed.hostgator.com

Er worden getallen genoemd van 500.000 kwetsbare websites,
niet gepatchte websites zijn kwetsbaar, blokkeren wil niet (hooguit met SNORT – had al gezien dat zij een een toevoegingen hebben gemaakt).

NMAP, Metasploit en Nessus hebben alle 3 al een plugin toegevoegd aan hun werkomgeving om dit te kunnen testen.

Oplossingen worden ook geboden, nieuwste update van OpenSSL biedt de oplossing, lukt dit niet dan moet alle software draaiende opnieuw gecompileerd worden exclusief deze extensie.

Nu blijkt deze bug al meer dan 2 jaar te bestaan en onduidelijk is of deze al langer misbruikt werd (NSA?). maar nu in ieder geval op grote schaal.

— to be continued!
Ik zal tzt deze blogpost gaan uitbereiden met voorbeelden, POC’s, en advies om dit te voorkomen.

You have been warned!

Cain & Able DNS Spoofing

Cain & Able DNS Spoofing

Met Cain and Able is het mogelijk om netwerkpakketjes te onderscheppen,
waardoor wachtwoorden, communicatie, enz. kan worden gelezen.

Ook is het mogelijk om wachtwoorden te kraken.
Wachtwoorden zijn veelal gecodeerd met een one-way encoding systeem (MD5 is hier een voorbeeld van).
Deze manier zorgt ervoor dat iets wel naar een HASH kan worden berekent maar met de HASH niet de originele data kan worden terugberekend.
Echter kun je d.m.v. ‘collisions’ kijken wat het wachtwoord kan zijn (oftewel  Brute-forcing)

Tevens kan het wachtwoorden van Windows naar boven halen (Lokaal).. en nog veel meer..

Dit ga ik hier niet uitleggen.. wat ik wel ga uitleggen is hoe je met Cain & Able het netwerk kan ‘sniffen’ en hoe je iemand binnen het netwerk kan pesten door zijn dns functie te wijzigen.

DNS = Dynamic Name Service, dit zet ip adressen om in tekst.
Bijv. www.google.nl heeft IP adres 173.194.67.94
om bij google te komen kun je dus ook het ip adres intypen, maar omdat meeste mensen
slecht zijn in nummers onthouden kun je dus met tekst werken.
Daar zorgt de DNS voor dat de browser weet waar hij heen moet gaan.

Cain & Able werkt met DNS-Spoofing; vrij vertaald DNS-bedrog.

De software zal zich anders ‘voorstellen’ aan het netwerk en net doen of hij
een andere pc is binnen het netwerk. Hierdoor ontvangt hij ook de pakketjes die voor een ander bedoeld zijn.

Als het gelukt is en de instellingen zijn juist zal hij de verbinding van diegene beïnvloeden.
Dit heet
ARP Spoofing

Hiermee kunnen we iemand ‘redirecten’; doorsturen naar een andere adres dan de gebruiker wil.
In de browser ziet men geen verschil, want de sitenaam e.d. zoals de website die de gebruiker wilde bezoeken is nog steeds hetzelfde.
(Dit wordt ook veel gebruikt door hackers om mensen te geloven dat ze bijv. op de site zijn van hun bank, maar ondertussen is het de site van de hacker die er precies op lijkt om zo inloggegevens te verkrijgen).

Let op! Dit kan alleen binnen het netwerk waar je zit (bedrade netwerk thuis, wifi (hotspot), enz)

Opstarten

  • Start Cain & Able (met rechtermuisknop “Als Administrator uitvoeren” – Win 7)
    Soms krijg je een foutmelding met iets over HTTPS, gewoon wegklikken en doorgaan.
  • Ga naar “Configure” en kies de verbinding wat je wilt onderscheppen.

Meestal zijn het er 2. Als je via de router op het netwerk zit is het bijna altijd of 10.0.0.1 of 192.168.0.x / 192.168.23.x. (deze ip’s zijn voor lokaal gebruik).

Als je in de trein zit en je bent ingelogd op het gratis wifi netwerk kun je dus
alle gebruikers ‘zien’ en hun pakketjes te lezen.

  • Klik op “OK”

Nu heb je de juiste netwerk gekozen. Nu gaan we hem actief maken.

Activeren Cain

(Able is een apart programma die we niet gebruiken)

Activeer alle opties (Let op: Volgorde van links naar rechts)

So…ready to go…

Nu gaan we het netwerk afscannen naar andere apparaten die op hetzelfde netwerk
zitten.

  • Ga naar tabblad “Sniffer”
  • Klik op de plus teken bovin.
  • Een keuzescherm zal openen en klik op “OK”

Nu zal er een lijst ontstaan van IP adressen en OUI Fingerprint (Identificatie van de desbetreffende apparaat).


Dit is voorbeeld van mijn intern netwerk thuis.

Ok, nu gaan we ‘verbindingen’ maken om te gaan onderscheppen.
Om een goeie verbinding te maken moet je een connectie maken tussen het apparaat en de Host* maken.

* dit is het apparaat waaraan iedereen verbonden is (bijv. router of hotspot).

In mijn voorbeeld is dit 10.0.0.138 (mijn router) en ik wil van de 10.0.0.6 de verbinding afluisteren.

Ga naar onderste tabblad “APR”.

Klik op het scherm zodat de plusteken zichtbaar wordt.

Als + is opgelicht, klik hier op en een nieuw venster zal geopend worden.

Nu selecteer links de router (of wifi/hotspot), in dit geval 10.0.0.138.


Nu verschijnt rechts de overige IP adressen die je kan kiezen.

Kies diegene die je graag wilt ‘onderscheppen’.

Klik op OK om de keuze effectief te maken.

De scherm zal zich sluiten en nu zie je een nieuwe regel bij Status.

Idle betekent dat hij nog niet bezig is, dit kan enige tijd duren (als het correct is gedaan).
En zal na max. 1 minuut overgaan in “Poisioning”

Je kan deze procedure bij elke IP adres doen die in de lijst staat. Zodat je een grote lijst hebt met IP’s. *

* Let wel, hoe meer verbindingen hoe meer pakketjes Cain ontvangt. Dit kán zorgen voor een DDoS op je eigen netwerk waardoor je computer vast loopt.

Voorbeeld:

Full-routing betekend dat hij alles kan onderscheppen, Half-routing alleen de heen- of terugweg.

Zo, Cain doet zijn werk.

Nu the Fun part !!

Ga nu naar “APR-DNS” en klik op het +-teken.

Een nieuw scherm zal openen.

Voer in bovenste veld in www.google.nl
en onderste veld een IP adres of op “Resolve” klikken en je kan een url invoeren.

Voer hier in bijv. www.sex.nl

En nu gewoon maar afwachten tot er iemand begint te mopperen dat er iets mis is met zijn computer! *
Let op! Dit kan enige tijd duren voor het effect heeft!!

Dit is leuk om te doen in de trein, is onbeveiligd draadloos netwerk.
McDonalds e.d. ook, tevens tijdens het ‘sniffen’ zie je alle http requests met wachtwoorden ook voorbij komen. login’s van facebook e.d.

PDF: https://dl.dropboxusercontent.com/u/4378489/neusbeer.nl/cain/Cain_and_Able_DNS-spoofing.pdf

Privacy on the net

Gevonden worden op internet.
leuk voor oude vrienden, familie, enz.
Maar wat minder leuk als het gebruikt wordt voor verkoopdoeleinden
of als je nieuwe werkgever je gaat googlen.
Wat nu als je gegevens op internet hebt die je er eigenlijk niet wilde hebben?
Bijv. een post op een forum, of een bezoekje op een ‘verkeerde’ site.

Een leuk voorbeeld: AdSense van Google
Je krijgt ‘gepaste’ aanbiedingen middels reclame banners op de sites die
je bezoekt.
Google heeft veel informatie over je browse-gedrag, waardoor je reclame krijgt
die bij jouw zou moeten passen.
Mijn reclame is geheel anders dan die van mijn vriendin als ik op de
zelfde site zit te kijken.
Lastig? Hoeft niet, ligt eraan wat voor reclame je krijgt.
Ik krijg heel veel reclame over computerbeveiliging, pentesting, enz
en mijn vriendin over kleding en schoenen.
No harm done yet! maar wat als je eens kijkt op een erotische site,
op den duur krijg je reclame over dating, sexsites enz enz.
Dit is erg leuk om bij je vrienden te bekijken.
Let maar eens op wat voor reclame zij krijgen als zij op een site zitten.
Kan soms erg grappig zijn en zegt veel over hun surfgedrag.
(Vriend van me krijgt alleen maar over dating sites. guess what! :P)
Dit kan ook niet eens je eigen schuld zijn.
Google AdSense werkt op IP-adres en stel nu dat je net een nieuwe provider
hebt. je krijgt een ip adres toegewezen; iemand anders heeft deze ip adres waarschijnlijk
al eens een keer gebruikt. Krijg je dus zijn reclame banners i.p.v. gebasseerd op je
eigen surfgedrag.

Hier is gelukkig heel wat tegen te doen.
Afhankelijk van je browser kun je het blokkeren.
3rd party-cookies blokkeren, reffers blokkeren, anoniem surfen, enz enz.

Tevens kun je Opt-out-en voor veel dingen,
zoals bijv. met telefoon heb je https://www.bel-me-niet.nl (bel me niet register()
echter wordt daar niet zo nauw naar gekeken door de grote bedrijven
die alsnog je toch bellen. Dit mag wettelijk helaas op het moment dat je ooit
klant bij hun bent geweest, dus heeft het niet heel veel zin in de meeste gevallen.

Voor internet zijn er ook zulke mogelijkheden.
Ga naar http://abine.com/optouts.php voor de informatie van een
paar grote sites die jouw informatie indexeren (dus bewaren voor reclame doeleinden enz.)
om jezelf eruit te gooien.

Mocht je een site hebben waar je jezelf hebt kunnen verwijderen
wordt het door Google nog niet gezien. Dus blijft het gevonden worden.
Hier kun je iets aan doen door naar
https://www.google.com/webmasters/tools/removals
te gaan (heb je wel een Google account nodig) en kun je een ‘aanvraag’ doen ter
herindexering/verwijdering van een bepaalde site. (anders heeft het nog geen zin om iets
te verwijderen)
Begin zonder einde ben ik bang, maar het is een begin.
Beste manier is nog altijd:
wees voorzichtig met wat je online zet en welke sites je bezoekt.

een paar leuke readings hierover:

http://pc-en-internet.infonu.nl/zoekmachines/36703-chef-arts-collega-vriend-en-vijand-volgt-je-op-google.html
http://carriere-advies.monsterboard.nl/sollicitatiegesprek/voorbereiding-sollicitatie/googelen-tijdens-je-sollicitatie/article.aspx
en hoe het dus mis kan gaan als je iets op het internet zet:
http://forum.ellegirl.nl/showthread.php?675487-Meisje-pijpt-hond&s=f108e95c7c22272e2176809d9f2fbe68
(begreep dat het meisje zelfmoord heeft gepleegd)