Vandaag begint in Amsterdam de beruchte securitybijeenkomst Black Hat. 5 l33t hacks en tools die daar aan bod komen.
Hackersconferentie Black Hat levert vaak vuurwerk op. Voor crackers, security-experts en it-beheerders. De Amsterdamse editie van dit jaar belooft ook veel nuttige hacks én tools. Die zijn lang niet alleen geschikt voor kwaadwillenden, maar bieden beschermers van it-systemen hulp. Soms niet eens indirect, maar juist als enige doel. Een greep uit het Black Hat-aanbod.
Pastebin-alarm
Zo presenteert de Belgische security consultant Xavier Mertens zijn tool Pastemon. Daarmee kan de door crackers veelgebruikte 'dumpsite' Pastebin in de gaten worden gehouden. Dat doet de PDF-bescherming
Sprekers Didier Stevens en Jose Miguel Esparza belichten elk het risico van PDF-documenten en bieden middelen om die bestanden door te lichten. Door Stevens gemaakte PDF-analysetools zijn ook opgenomen in Linux-distributies als BackTrack en REMnux. Zijn tool PDFiD draait ook mee in het arsenaal van de online-virusscanner VirusTotal.
Esparza heeft met zijn peeppdf een soortgelijke röntgentool gemaakt, in Python.
Slimmere kwetsbaarhedenscan
De Nederlandse security-expert Frank Breedijk praat op Black Hat over zijn scantool Seccubus. Die software neemt it-omgevingen door op zwakke plekken, maar presenteert de bevindingen op een efficiëntere manier dan scantools als Nessus en OpenVAS, claimt de maker.
Webapps pwnen
Student Tom Forbes neemt webapplicaties onder vuur met tool Xcat. Dit command line programma benut kwetsbaarheden in xml-technologie Xpath en biedt de gebruiker meteen geavanceerde functies voor het exploiten daarvan. Aanvallers kunnen zo complete xml-databases van webapplicaties leegtrekken. Xcat ondersteunt zowel Xpath 1.0 als de verbeterde versie 2.0.
CAPTCHA's kraken met OCR
Veel websites vertrouwen op CAPTCHA's (completely automated public Turingtest to tell computers and humans apart) om inloggen door bijvoorbeeld spambots te voorkomen. De hiervoor gebruikte 'vertroebelde' plaatjes bevatten tekens die een gebruiker moet invoeren om te kunnen inloggen. Deze tekens zijn voor een mens wel leesbaar, maar leiden een computer om de tuin.
Tenminste, dat is de theorie. Security-consultant Gursev Singh Kalra van McAfee-dochter Foundstone heeft CAPTCHA's in de praktijk onderzocht bij 200 drukbezochte websites en bij diverse grote CAPTCHA-providers. Hij stelt dat een alarmerend aantal van deze visuele CAPTHA's valt te kraken met een combinatie van goede beeldverwerking vooraf en optische karakterherkenning (OCR).
Om dit ook praktisch te bewijzen, heeft Kalra zijn tool TesserCap gemaakt om deze Turing-tests voor spambots te stress-testen.TesserCap heeft een grafische interface en haalt de CAPTCHA's van een doelsite op om die lokaal op te slaan en dan op te lossen.