torsdag 25 september 2008

Mattias Bergling om att tjäna pengar The Black Hat Way

"Get Rich or Die Trying - Making Money on The Web, The Black Hat Way" av Trey Ford, Tom Brennan, Jeremiah Grossman

Underhållande presentation om hur man skulle kunna/hur folk har tjänat pengar på säkerhetsbrister i webbapplikationer. Inte så mycket nytt inom tekniken som presenterades med en del exempel var nya:
  • Captcha - Om det inte går att lösa genom matematik eller genom "optisk" representation går det enkelt att köpa från kinesiska "företag" som löser 1000 catcha för runt $2.
  • Lösenord på mailkonton. Kinesisk "Password recovery"-sida erbjuder sig att knäcka en publik mailbox med en 85% garanti på att lyckas. Detta till priset av $43 .
  • Företagsmailboxar. Lite dyrare är det med företagsmailboxar (som endast använder användarnamn/lösenord) - $150 per mailbox, dock ingen garanti. Problemen med sådana konton är större då de ofta används vid "password reset" på andra webbplatser vilket möjliggör ytterligare bedrägerier.
  • Affiliate Network. Bedrägerier mot Google ad:s gav under 2 månader ~$900.000 till en enskild person. Fram till 2005 gick länkarna till annonserna att inkludera i exempelvis bilder vilka automatiskt laddades varje gång någon besökte sidan. När "annonsörerna" kom på detta började man använda "Referals" vilket begränsar dessa försök. Då förändras beteendet från bedragarna till att länka från SSL-skyddade sidor, då dessa inte ska skicka "Referer:n" vidare. Andra löste detta genom att förändra dessa värden genom JavaScript.
Framtida utveckling av "Affiliate"-bedrägerierkommer förmodligen baseras på bland annat DNS-rebinding, GIFAR (inkludera JAR-filer i andra filer - i detta fall GIF) och Flash malware/exploits.

Inga kommentarer: