ВЗЛОМANTI-NATO natobreak@yahoo.comÍåáåçîïàñíîñòü ÍÀÒÎÊÀÊ ÍÀÒÎ ÁÎÐÅÒÑß Ñ ÕÀÊÅÐÀÌÈ ìîåì ìàòåðèàëå òû ìîæåøü óâèäåòü, êàê òðóäíî, îêàçûâàåòñÿ, ñäåëàòüïðàâèëüíóþ ñèñòåìó âåá-àóòåíòèôèêàöèè. Îñîáåííî åñëè ýòî êàñàåòñÿ áîëüøîãîêîðïîðàòèâíîãî ïîðòàëà. È òåì áîëåå, åñëè îí îòâå÷àåò çà áåçîïàñíîñòü öåëîéñòðàíû, äà ïðèòîì íå îäíîé.В нашем журнале появилась очень хорошая практика — стали публиковатьсяаудиторы информационной безопасности. Очевидно, чтоактуальность темы аудита возросла многократно. Наш постоянный читатель,конечно, понимает, почему. Достаточно просмотреть архивнуюподшивку журнала за прошедшее время и можно смело утверждать,что с помощью технологий и программ, о которых писали в этих «Хакерах»,можно успешно воевать (и не только на коммерческом рынке).Кстати, про корпоративную безопасность. Многие уже давно говорято том, что атаки таких классов как SQL-инъекция, использованиеXSS, LFI/RFI или ошибок в аутентификации, изживают свой век и ужене актуальны. Многие специалисты приводят в своих презентацияхвсевозможные графики, на которых отображены все время уменьшающиеся«столбики» с процентами обнаруживаемых уязвимостейподобного рода.Практика показывает, что доверять таким цифрам нельзя, потому что,как правило, в качестве исходных данных для красивых графиков используютсярезультаты автоматического сканирования веб-ресурсовне менее автоматическими сканерами. Конечно, современныеавтоматические сканеры (подобные Acunetix, nikto, w3af и sqlmap) ужестали похожи на искусственный интеллект — они не умеют разве чтотолько заваривать кофе и оказывать эскорт-услуги. Но, к сожалению,они неспособны распознать и вскрыть правду о сложных логическихошибках аутентификации, скрытых дефектах генерации выходныхданных, а зачастую и обработки входных данных. Надо ли говорить опростых уязвимостях, которые сами по себе не представляют опасности,но, будучи связаны между собой, могут дать новый вектор атакизлоумышленнику?И вот вам, пожалуйста.ÐÅØÈÒÅËÜÍÎÅ ÍÀÒÎКак известно, Организация Североатлантического договора, известнаятакже под аббревиатурой НАТО, является военно-политическимблоком, созданным давным-давно для противодействия возможнымвоенным действиям, направленным против стран Европы и Америки.Россия (тогда еще Советский Союз) в этот блок не вошла, потому чтоизначально предполагалось, что и она тоже может эти самые агрессивныевоенные действия осуществлять.В структуре НАТО существуют всякого рода организации, которые отвечаютза разработки в области безопасности — начиная от военной,научно-технической и заканчивая информационной. И дальше речь050 XÀÊÅÐ 08 /139/ 10
Очень странные ошибки на сайте ФСТЭК — могут лиони привести к несанкционированному доступу?Вот так выглядят хеши, если их привестив нормальный вид и сопоставить с ужеполученными даннымипойдет про информационную безопасность, а конкретнее — про научныйинститут Research & Technology Organisation (RTO), созданный врамках НАТО.В нашем журнале уже писали об уязвимостях военных сайтов наших«союзников». Как-то раз герои информационной войны крепко подметили,что у «сетецентрических воинов» безопасность есть, информацияесть, а вот безопасность информации — увы, не на высоте.Ну что ж, опровергнем или подтвердим?ÏÅÐÂÛÉ ÎÑÌÎÒÐНаучно-исследовательская организация НАТО — предприятие неиз маленьких. Подстать финансовому размаху и веб-сайт, которыйсо временем из простой интернет-витрины вырос в целый портал, вдебрях которого теперь хранится даже Военная Тайна. Вот, например,для того, чтобы получить секретные доклады, участникам не менеесекретных военных симпозиумов выдают логины и пароли для доступак файловому серверу и веб-сайту RTO.NATO.INT. Все бы хорошо,вот только участники подкачали — живут они в разных странах и, восновном, за тридевять земель, а посему было велено разместить всеэто добро на выделенных серверах с подключением к сети интернет.Здесь сказочке конец, а дальше — начало процесса независимогоаудита применяемых решений по защите Военной Тайны подследственнойорганизации.Рассмотрим для начала такую мелочь, как файл robots.txt:User-agent: *Disallow: /images/Disallow: /<strong>img</strong>/Disallow: /homepix/Disallow: /rnd<strong>img</strong>/Disallow: /Include/Disallow: /hpix/Disallow: /Mailer/Disallow: /InfoPack/Disallow: /aspx/Disallow: /bin/Disallow: /cgi-bin/Disallow: /ContactUs.aspxDisallow: /Copyright.htmDisallow: /css/Disallow: /Detail.aspDisallow: /enrolments/Disallow: /FAQ.htmDisallow: /foad.htmDisallow: /fr/Disallow: /help.htmDisallow: /pfp.ppt...Disallow: /Prog/Disallow: /Reports.aspDisallow: /SendAbstractDetails.aspxDisallow: /tor.aspDisallow: /Taxo/Disallow: /Variables.aspDisallow: /variables.aspDisallow: /voc.htmDisallow: /vpn.htmlDisallow: /Webmail.aspDisallow: /yourws.aspSitemap: http://www.rto.nato.int/sitemap.xmlНаписанный явно не в 2010 году, этот путеводитель в мир конфиденциальнойинформации RTO содержит в себе даже указание наконкретный файл, который можно скачать и посмотреть (pfp.ppt). Надоли говорить о необходимости использования nikto для сканированиятиповых каталогов, если они уже весьма «удачно» перечисленыадминистратором веб-сайта? Ради спортивного интереса, мы все жезапустим nikto и проверим, кто выиграл:- Nikto v2.03/2.04-----------------------------------------------------+ Target IP: 62.23.200.67+ Target Hostname: www.rto.nato.int+ Target Port: 80+ Start Time: 2010-05-08 14:00:15-----------------------------------------------------+ Server: RTA Web Server- /robots.txt - contains 47 'disallow' entries whichshould be manually viewed. (GET)- Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD+ OSVDB-877: HTTP method ('Allow' Header): 'TRACE'is typically only used for debugging and should bedisabled. This message does not mean it is vulnerableto XST.- Public HTTP Methods: OPTIONS, TRACE, GET, HEAD,POST+ OSVDB-877: HTTP method ('Public' Header): 'TRACE'is typically only used for debugging and should bedisabled. This message does not mean it is vulnerableto XST.+ OSVDB-0: ETag header found on server, fields:0x7036cddda14ca1:18b2+ OSVDB-3092: GET /sitemap.xml : This gives a nicelisting of the site content.+ 3577 items checked: 49 item(s) reported on remotehost+ End Time: 2010-05-08 14:49:54 (2979 seconds)-----------------------------------------------------+ 1 host(s) testedTest Options: -Cgidirs all -vhost www.rto.nato.int-host www.rto.nato.int www.rto.nato.int-----------------------------------------------------XÀÊÅÐ 08 /139/ 10 051