Взлом пентагона

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #059, стр. 059-072-5

Первым делом XSpider определяет открытые порты. Их целых шесть: 22/TCP (SSH), 80/TPC (HTTP), 443/TCP (SSL), 500/TCP (SSH), 9000/TCP (HTTP) и 9001/TCP (HTTP SSL). Ради эксперимента можно подключиться к серверу по 9001-му порту, набрав в строке браузера www.pentagon.gov:9001. И это сработает! Правда, мы попадем на ту же самую страницу сайта, что и вначале, поэтому от такого взлома немного пользы. Но лиха беда начало! XSpider определил тип SSL-сервера, в качестве которого используется SSH-1.99-Server-VI, основанный на OpenSSH Server, - его исходные тексты свободно лежат в Сети. Если повезет, то, основательно изучив их, найдешь одну или несколько ошибок переполнения буфера, впрочем, быстрый успех маловероятен. Можно угробить кучу времени - и все впустую. Лучше подождать, пока их не найдут другие, а затем быстро атаковать сервер, пока его не успели залатать. Но мы же не хотим провести всю оставшуюся жизнь в ожидании? ОК, тогда идем дальше!

SSL-сервер поддерживает устаревшие версии протоколов 1.33 и 1.5, которые недостаточно безопасны и могут быть взломаны за разумное время. Однако для этого нам, во-первых, необходимо тем или иным образом перехватить трафик, а во-вторых, дождаться, пока на сервер не постучится клиент, использующий протокол устаревших версий. Довольно малоперспективное занятие… Ладно, оставим SSL в стороне и возьмемся за web, который, как всегда, выглядит довольно многообещающим скопищем багов. Сайт Пентагона вращается под: Sun-ONE-Web-Server/6.1, а SunOS, по сути, является клоном UNIX'а. В ней намного меньше дыр, чем в LINUX'е, но намного больше, чем, например, в BSD. К слову сказать, использование рабочих станций от компании Sun - вполне типичное явление для любой крупной организации, и вполне реально получить доступ к ним (достаточно напоить пивом любого банковского администратора).

Сканирование web-сервера занимает львиную долю общего времени взлома, зато обнаруживает уйму любопытных подробностей. XSpider обнаруживает шесть ошибок SQL-инъекций. Что такое SQL-инъекция? Это весьма коварная дыра, позволяющая формировать свои собственные запросы к базе и просматривать секретные данные. К сожалению, в демонстрационной версии отсутствует подробная техническая информация, и нам остается лишь гадать, как должен выглядеть хакерский запрос. Для удобства XSpider дает ссылку на коммерческую версию, а ниже - несколько ссылок со статьями по теме SQL-инжектига. Очень удобно! Щелкаешь и читаешь! Кстати говоря, если поднять прошлогодний "Хакер", то в одном из номеров можно найти статью "База данных под прицелом", где все расписано.

Еще пентагоновский сервер подвержен межсайтовому скриптингу или, как его называют профессионалы, XSS (Cross site scripting). Проще говоря, это возможность вставить HTML-код в уязвимую страницу. Вряд ли получится добраться до секретных данных с его помощью, зато можно перехватывать пользовательские сессии или навязывать всем посетителям сайта подложные данные, то есть производить дефейс. Учитывая, что сайт Пентагона - это информационно-политическое лицо Америки, к которому обращаются новостные агентства всего мира, целостность его содержимого очень важна. Хорошо продуманная деза может иметь далеко идущие последствия. Как всегда, XSpider приводит ссылки на статьи по теме кросс-скриптинга, которые будут полезны для анализа, но для определения формы уязвимого запроса потребуется приобрести коммерческую версию. Но мы же не террористы и не вандалы, правда? Вот и не будем пакостить! Тем более откуда у нищих студентов деньги?