5 l33t hacks op Black Hat 2012

Vandaag begint in Amsterdam de beruchte securitybijeenkomst Black Hat. 5 l33t hacks en tools die daar aan bod komen.

Hackersconferentie Black Hat levert vaak vuurwerk op. Voor crackers, security-experts en it-beheerders. De Amsterdamse editie van dit jaar belooft ook veel nuttige hacks én tools. Die zijn lang niet alleen geschikt voor kwaadwillenden, maar bieden beschermers van it-systemen hulp. Soms niet eens indirect, maar juist als enige doel. Een greep uit het Black Hat-aanbod.

Pastebin-alarm
Zo presenteert de Belgische security consultant Xavier Mertens zijn tool Pastemon. Daarmee kan de door crackers veelgebruikte 'dumpsite' Pastebin in de gaten worden gehouden. Dat doet de tool geautomatiseerd, op specifieke termen.

Vervolgens kan het bij treffers events aanmaken, die zijn op te vangen door securitysoftware. Dergelijke SIEM-systemen (Security Information and Event Management) kunnen dan bijvoorbeeld it-beheerders en beveiligingsexperts waarschuwen. Pastemon maakt op Black Hat niet zijn debuut, maar de krap drie maanden oude tool is wel flink in ontwikkeling.

PDF-bescherming
Sprekers Didier Stevens en Jose Miguel Esparza belichten elk het risico van PDF-documenten en bieden middelen om die bestanden door te lichten. Door Stevens gemaakte PDF-analysetools zijn ook opgenomen in Linux-distributies als BackTrack en REMnux. Zijn tool PDFiD draait ook mee in het arsenaal van de online-virusscanner VirusTotal.

Esparza heeft met zijn peeppdf een soortgelijke röntgentool gemaakt, in Python. Security-onderzoekers kunnen daarmee een PDF doornemen op eventuele kwaadaardige code. Normaliter hebben ze daarvoor meerdere tools nodig, aldus de Spaanse hacker. Ook peeppdf is onderdeel van de gespecialiseerde Linux-distro's BackTrack en REMnux.

Slimmere kwetsbaarhedenscan
De Nederlandse security-expert Frank Breedijk praat op Black Hat over zijn scantool Seccubus. Die software neemt it-omgevingen door op zwakke plekken, maar presenteert de bevindingen op een efficiëntere manier dan scantools als Nessus en OpenVAS, claimt de maker.

Het tijdrovende doorspitten van een totaaloverzicht van alle gevonden kwetsbaarheden moet iets van het verleden zijn. Seccubus voert zijn automatische scans uit en maakt daarbij een vergelijking met de resultaten van de vorige ronde. Het verschil (de zogeheten delta) daartussen wordt vervolgens weergegeven in een web-interface. Beheerders kunnen daarin aangeven wat een non-issue is, waarna dat dan wordt genegeerd totdat er een verandering optreedt in de non-issue.

Webapps pwnen
Student Tom Forbes neemt webapplicaties onder vuur met tool Xcat. Dit command line programma benut kwetsbaarheden in xml-technologie Xpath en biedt de gebruiker meteen geavanceerde functies voor het exploiten daarvan. Aanvallers kunnen zo complete xml-databases van webapplicaties leegtrekken. Xcat ondersteunt zowel Xpath 1.0 als de verbeterde versie 2.0.

CAPTCHA's kraken met OCR
Veel websites vertrouwen op CAPTCHA's (completely automated public Turingtest to tell computers and humans apart) om inloggen door bijvoorbeeld spambots te voorkomen. De hiervoor gebruikte 'vertroebelde' plaatjes bevatten tekens die een gebruiker moet invoeren om te kunnen inloggen. Deze tekens zijn voor een mens wel leesbaar, maar leiden een computer om de tuin.

Tenminste, dat is de theorie. Security-consultant Gursev Singh Kalra van McAfee-dochter Foundstone heeft CAPTCHA's in de praktijk onderzocht bij 200 drukbezochte websites en bij diverse grote CAPTCHA-providers. Hij stelt dat een alarmerend aantal van deze visuele CAPTHA's valt te kraken met een combinatie van goede beeldverwerking vooraf en optische karakterherkenning (OCR).

Om dit ook praktisch te bewijzen, heeft Kalra zijn tool TesserCap gemaakt om deze Turing-tests voor spambots te stress-testen. TesserCap heeft een grafische interface en haalt de CAPTCHA's van een doelsite op om die lokaal op te slaan en dan op te lossen. De ingebouwde algoritmes voor beeldvoorbewerking filteren de toegevoegde kleuren, letterverschuivingen en andere vormen van random 'beeldruis' die in CAPTCHA's zijn opgenomen om spambots te dwarsbomen.

TesserCap ontcijfert de 'vertroebelde' plaatjes van anti-spambot CAPTCHA's, bij veelbezochte sites als eBay en Reddit: