Katyusha Scanner: ataki na strony WWW przez komunikator na smartfonie

Katyusha Scanner: ataki na strony WWW przez komunikator na smartfonie13.07.2017 13:24

Żaden chyba producent oprogramowania nie powie otwarcie, że jegonarzędzia są trudne. Wręcz przeciwnie, wszyscy chwalą sięintuicyjnością i prostotą, obsługa ma być tak łatwa, że nawetprzedszkolak sobie poradzi. Dlaczego miałoby być inaczej w wypadkunarzędzi hakerskich? Takim właśnie narzędziem hakerskim nowejgeneracji, prostym i miłym w obsłudze, jest Katyusha Scanner Pro,narzędzie do automatyzacji, jakby to powiedzieć… testówpenetracyjnych witryn internetowych.

Ataki typu SQL Injection (SQLi) wynikają z niewłaściwegoprzetworzenia poleceń do baz danych, przesłanych przez aplikacjęinternetową w ramach operacji wywołanej przez użytkownika.Przykładowo aplikacja może oczekiwać loginu użytkownika,tymczasem napastnik przesyła ciąg znaków będący poleceniem SQL,który zostaje włączony do kolejnej operacji bazodanowej. Pozwalato niejednokrotnie na wykonanie własnego kodu na serwerze iujawnienie wrażliwych danych, np. listy użytkowników serwisu i ichdanych adresowych.

Wgrywanie listy stron do „sprawdzenia”
Wgrywanie listy stron do „sprawdzenia”

Badacze z zajmującej się bezpieczeństwem firmy Recorded Futuredonosząo nowym narzędziu do automatyzacji ataków SQL Injection, któreprzyjęte zostało przez cyberprzestępczą scenę z owacjami nastojąco. Katyusha Scanner Pro oferowana jest albo w modelu SaaS,gdzie płacimy 250 dolarów miesięcznie, albo za jednorazową opłatą500 dolarów. W zamian dostajemy skaner podatności, który bazuje naopensource’owym narzędziu ArachniScanner.

Arachni Scanner, choć jest narzędziem bardzo potężnym, jestzarazem skomplikowany w użyciu. Jego modularność i dopracowanyinterfejs REST pozwalają jednak zastąpić domyślny interfejswebowy czymś zupełnie innym. I to właśnie zrobili twórcyKatyushy. Wykorzystali kod popularnego komunikatora Telegram,przekształcając go w prosty interfejs skanera podatności.

Atak w toku, niemal 120 tysięcy witryn do sprawdzenia
Atak w toku, niemal 120 tysięcy witryn do sprawdzenia

Korzystający z Katyushy napastnik może teraz po prostu wgraćlistę interesujących go stron internetowych i uruchomić równolegleprzeprowadzane skanowanie podatności SQLi – wszystko ze swojegosmartfonu. Płatna wersja Pro pozwala na znacznie więcej:automatyzuje proces przejęcia wybranych witryn i wydobycia z nichwrażliwych informacji. Płacącyc cyberprzestępca nie musi wieleumieć: wystarczy że wybierze z wyników skanowania interesujące gowitryny (najlepiej te o wysokim rankingu Alexy, jako że te się będąnajbardziej opłacały), a cała reszta zajdzie automatycznie.

Lista możliwych do zaatakowania w ten sposób technologiiwebowych jest długa – to nie tylko popularne systemy zarządzaniatreścią, ale też rozmaite autorskie witryny z funkcjami logowaniaczy wgrywania plików, które wykorzystują takie bazy danych jakMySQL, PostgreSQL, SQL Server, Oracle, Firebird i wiele innych.

Szczegółowe informacje o postępie ataku
Szczegółowe informacje o postępie ataku

Jak piszą badacze z Recorded Future, nazwa nie jest przypadkowa:chodzi o radziecką arylerię rakietową, która stała się ikonąArmii Czerwonej podczas II Wojny Światowej, i której salwyprzygotowywały natarcia piechoty nie tylko niszcząc cele, aleprzede wszystkim łamiąc morale żołnierzy Wehrmachtu. DzisiajKatyusha Scanner, pozwalając cyberprzestępcom na masowy „ostrzał”celów, w podobny sposób łamie morale niekompetentnych webmasterówi administratorów, utrzymujących pełne luk witryny internetowe.

Podatna witryna utrafiona
Podatna witryna utrafiona

Nic więc dziwnego, że klienci są z Katyushy bardzo zadowoleni,czemu dają wyraz w komentarzach. Jeden z nich chwali sprzedawcę,pisząc, że skonfigurował mu serwer pod oprogramowanie, które wkilka godzin znalazło osiem podatnych na atak witryn – świetnywynik jak na automat.

Biorąc pod uwagę cenę narzędzia jak i jego rosnącąpopularność, można się spodziewać, że w ślady twórcówKatyushy pójdzie wielu innych. Zapotrzebowanie na prosty w obsłudzehacking najwyraźniej jest.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na