Generating Personalized Wordlists with NLP For Password Guessing Attacks
TL;DR
I coded a tool named Rhodiola which can analyze data about a target (for example target’s tweets) and detects most used themes in there and builds a personalized wordlist for password guessing. It’s an experimental project for creating a new approach for password guessing attacks.
Introduction
Passwords are our main security mechanism for digital accounts since the beginning of the internet. Because of that, passwords are one of the main targets of attackers. There are couple of major ways that an attacker can use to find a target’s password. The attacker can prepare a phishing website to trick a target into entering their passwords to a rogue website. Or, an attacker can conduct a password guessing attack through brute forcing. Password guessing attacks can be described in two main categories: online attacks and offline attacks.
Online password guessing attack is where the attacker sends username/password combinations to a service like HTTP, SSH etc. and tries to identify the correct combination by checking the response from the services. An offline password guessing attack is usually conducted against hashed forms of passwords.The attacker has to calculate a password’s hash with a suitable cryptographic hashing function and should compare it with target hash. For both online and offline attacks, the attacker usually needs to have a password wordlist. Most of the web applications have password complexity rules where users have to use at least one number, upper/lower case letters and a special character. Also there are lot’s of precautions such as IP blocking, account freezing etc. Therefore, reducing the number of trials is very important for attackers.
Siber Güvenliğin Gelecek 30 Yılı İçin Kehanetler
Bu yazım, Arkakapı dergisinin 5. sayısında yer almaktadır.
Geleceği tahmin etmek, her sektörde olduğu gibi siber güvenlikte de önem teşkil eder. Gelecekte siber güvenlik sektörünün nereye doğru ilerleyeceğini bilmek şirketler için kar, devletler için stratejik üstünlük anlamına gelir. Bu tip tahminlerde bulunan danışmanlık firmaları dünyada mevcut. Ancak bunların yaptığı gelecek tahminleri, 2-5 yıl gibi kısa vadeli oluyor. Biz ise bu yazıda 30-40 yıllık bir süreçte nereye doğru gidebileceğimizi hayal edeceğiz. Her beş senede bambaşka bir hale gelen teknoloji dünyasında, bu denli uzak geleceği tahmin etmek imkansız görünebilir. Ancak siber güvenlik dünyasında, insanlığın tarihsel süreçte yaşadığı olayların konsantre bir izdüşümünü görmek mümkün. Güvenlik kameralarının ve adli tıbbın olmadığı eski çağlarda suçluların tespit edilmesi çok zordu. 1800’lere gelindiğinde ise adli tıp ilerlemiş, dedektiflik yaygın bir meslek haline gelmişti. Günümüzde ise suçluların tespiti çok daha kolay hale geldi. Bu izdüşüme göre 2018 yılındaki siber güvenlik dünyası, 1800’lerin fiziksel dünyasına benziyor. 1800’lerden sonra yaşanan tarihsel süreci incelersek, siber güvenliğin önümüzdeki 30-40 yıl içinde yaşayacağı değişimleri, biraz hayal gücünün de yardımıyla tahmin edebiliriz.
Rockyou Wordlistindeki Türkçe Parolalarin Tespiti
Bu seneki araştırmam, parola listeleri (wordlist) ve NLP (Natural Language Processing) üzerine olduğundan, piyasadaki wordlistler ile epey haşır neşir olmuş durumdayım. Bu wordlistlerin de en büyüğü ve kapsamlısı bildiğiniz üzere Rockyou‘dur. Geçenlerde, uzun süredir üzerinde uğraşmadığım Wifi hacking konusunda antreman yapıp bilgimi tazeliyim dedim. Elde ettiğim WPA handshake’lerin bazılarını 8 haneli alphanumeric karakter setiyle kırmak mümkün olurken bazılarını mümkün olmadı. Ben de Türkçe kelimeler içeren bir wordlist arayışına girdim. İnternette sözlük tarzı wordlistler bulunsa da bunlar gerçek kullanıcı parolaları olmadığından bana pek mantıklı gelmedi. Örneğin bir kullanıcı, sözlükte yer alan “sandalye” kelimesini parola olarak kullanmayacaktır.
Bunları düşünürken bir yandan Hashcat’i Rockyou wordlisti ile çalıştırmıştım. Wordlistten herhangi bir ümidim yoktu fakat ne kadar süreceğini görmek istemiştim. Sonuç beni çok şaşırttı. Hashcat, “1907_fenerbahce” parolasının kırıldığını söylüyordu. Küçük bir şaşkınlığın ardından Rockyou.txt içerisinde “fenerabahce” kelimesini arattım. Sonuç beni daha da şaşırttı çünkü içerisinde fenerbahce geçen 44 parola vardı. Diğer kulüplere de baktım. Besiktas 32, galatasaray 63, trabzon 25 kez geçiyordu. İçerisinde karagumruk geçen bile parolalar vardı. Demek ki Rockyou sistemine vakti zamanda çok sayıda Türk kullanıcı da üye olmuş. Bu benim için çok yeni bir bilgiydi. Ben de küçük bir akşam uğraşı olarak Rockyou’nun içerisinde geçen tüm Türkçe kelimelerin sayısını bulmayı hedefledim.
My DEF CON 27 Presentations
I will present my new research&tool at DEF CON 27 in “Packet Hacking Village”, “Demo Labs” and “Recon Village” sections. Schedules are located below. See you in Vegas!
https://www.defcon.org/html/defcon-27/dc-27-demolabs.html#Rhodiola
https://reconvillage.org/talks.html
S-400'leri Yapan Rostec Firmasında Bulduğum Bazı Güvenlik Açıkları
Bundan yaklaşık 2 hafta önce basından takip ettiğim Rostec firmasının internete açık sunucularını gözden geçirmeye karar verdim. Sunucularının neredeyse tamamını “flops.ru” isimli firmadan kiralayan Rostec’e ait bazı IP adresleri aşağıdaki gibi:
85.22.62.107
185.22.62.107
78.155.219.40
185.22.61.90
194.154.92.252
185.22.62.107
81.211.67.219
194.154.92.252
78.155.219.40
185.22.61.90
188.128.56.28
188.128.56.29
Genel olarak dikkatimi çeken nokta saldırı yüzeyinin (attack surface) çok geniş olması. Hiçbir sunucuda firewall ile IP whitelisting yapılmamış. SSH, SMTP gibi portlar dışarıya açık, VPN yönetim paneli ve farklı giriş arayüzleri de dışarıdan kolayca erişilebilir durumda. Örneğin: “https://scloud.rostec.ru/login”, “https://rostec.ru/bitrix/admin/#authorize”, “http://194.154.92.252:18264/”. Tabi ki bunlar tek başına bir güvenlik açığı oluşturmasa da ekibin güvenlik konusunda best practise’leri takip etmediğinin önemli bir göstergesi. Özellikle Rostec gibi bir firmanın tehdit aktörleri (threat actor) ellerinde zero-day exploitler barındırabilen gruplar olduğundan risk daha da büyüyor.
Şimdi gelelim tespit ettiğim önemli sayılabilecek güvenlik açıklarına.
SMTP Üzerinden Dışarıya E-mail Gönderme
Why You Shouldn't Use a Password Manager For Your Linode Account
Update: Linode security team said they reopened the issue.
Update2: Linode security team explained me that the initial assessment was done by HackerOne triage team. The issue was closed by them. Now, Linode security team discussing the issue internally.
I was trying to find an anomaly on popular password managers. After a while, I realized that the most popular password managers such as Lastpass, 1password, Dashlane are supporting form autofill on subdomains by default. Which means, when I use a password for example.com, my password manager will also fill app.example.com too. It’s a good feature for user experience. I shouldn’t write my password again and again for different subdomains such as mail.google.com, calendar.google.com etc.
But there is a catch. If a subdomain of google.com is compromised, an attacker can steal user credentials by tricking them to navigate to compromised subdomain. This is another risk factor for subdomain takeover vulnerabilities.
But wait a minute, what if the website provides us a subdomain itself? Like cloud companies who provides a reverse dns for user created servers. I checked my AWS and Azure accounts quickly.
AWS: main domain –> amazon.com / reverse dns domain –> amazonaws.com
Azure: main domain –> microsoft.com / reverse dns domain –> azure.com
No luck, they are aware of the risks. Digitalocean is not providing reverse dns (boo!), therefore I tried my luck with Linode. I started a server on Linode and checked the details:
Açık Kaynak Ransomware'lerin Akademide Kullanımı
Bildiğiniz gibi 2015 yılında Hidden Tear ve EDA2 isimli iki açık kaynak ransomware projesi yayınlamıştım. Bu projelerle ilgili konuşulabilecek neredeyse her şey konuşulduğu için detaya girmek istemiyorum. Bu konuyla ilgili yazdığım son şey bir özür metniydi, konu orada kapandı diye düşünüyordum. Ancak son dönemde yaşanan bazı tartışmalardan ötürü bu konuyu daha önce değinmediğim bir açıdan ele almam gerekiyor.
Giriş
Ülkemizde üniversite eğitiminin kalitesi yıllardır tartışılıyor. Ama siber güvenliğin akademik dünyaya girişi yeni olduğu için bu alanda dünyaya kıyasla kötü durumda olduğumuzu söyleyebiliriz. Fakat dünyanın gelişmiş ülkelerinde bu eğitimler oldukça üst düzeyde gerçekleşiyor. Örneğin neredeyse tüm yüksek lisans derslerinde öğrenciler zararlı yazılım geliştiriyor, daha sonra da bu zararlı yazılımın tespiti üzerine çalışıyorlar.
Güvenlik Kitapları Hakkındaki Değerlendirmelerim
Bilgisayar güvenliğiyle ilgili güncel bilgileri blog yazıları, konferans konuşmaları, akademik makaleler üzerinden takip etsek de, kitaplardan ilgili alanla ilgili kapsamlı bilgi edinebiliyoruz. Ancak, farklı konularda yazılmış onlarca kitap var ve her geçen gün yenileri çıkıyor. Ne yazık ki bunların hepsini okumak pek mümkün değil. Bu yazıda, son 2-3 senede okuduğum kitaplar hakkındaki değerlendirmelerime yer vereceğim. Bu listeyi yeni kitaplar okudukça güncellemeyi de planlıyorum. Okuyacağınız bir sonraki kitabı bu listeden seçebilirsiniz.
Kitap: The Tangled Web: A Guide to Securing Modern Web Applications 1st Edition
Çıkış Yılı: 2011
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 10/10
Yorum: Web teknolojilerinin çalışma prensiplerini, tasarım konseptlerini ve güvenlik konuları çok güzel ele alan bir kitap. Giriş, orta, ileri seviye herkesin elde edeceği güzel bilgilerle dolu. Bazı bilgiler biraz eskimiş olsa da temel konseptler çoğunlukla aynı.
Kitap: The Practice of Network Security Monitoring
Çıkış Yılı: 2013
Hedef Seviye: Giriş
Puan: 10/10
Yorum: Kendi adıma en çok verim aldığım kitap budur diyebilirim. Defansif güvenliğe çok güzel bir giriş yaptırıyor, Security Onion yazılımını güzel bir şekilde öğretiyor, evde minik bir SOC işletme deneyimini yaşatıyor. Güvenliğin ofansif tarafıyla uğraşıyorsanız ve defansif tarafı da öğrenelim artık diyorsanız kesinlikle tavsiye edebileceğim bir kitap.