0days и 0nights. День 2.

23.11.2012

(Оригинал на www.itsec.pro)

Автор: Артем Агеев

Второй день начался с ключевого доклада приглашенного известного хакера Felix 'FX' Lindner. Сутра народу было заметно меньше, чем в первый день.

44.jpg

Феликс выступил с обзорной презентацией на тему "как это было в 90х", оформленной в тру олдскул стиле аля TurboBasic.

12.jpg

Феликс отлично поиздевался над облаками, сказав что The Cloud™ - это аутсорсинг ИТ проблем: попытка переложить ответственность за косяки с плеч администратора неизвестно куда.

Мало кто из облаков разрешает себя тестировать, поэтому в отличие от локального приложения, у вас нет способа убедиться в своей безопасности, устроив крэштэст с помощью фаззинга.

Непаханное поле сегодня - это SCADA и ICS системы. Из-за сложных процедур промышленной сертификации систем и обновлений, многие SCADA по-прежнему построены на Windows XP sp0 (ничего не напоминает?). SCADA-администраторы не планируют и не занимаются безопасностью, считая что безопасность "это то, чем должен заниматься Микрософт". SCADA-админам кажется, что закрытость SCADA систем = защита от НСД, а сложность кастомных протоколов обмена информации = шифрование канала связи. Это не так.

Далее началась секция мобильной безопасности и первыми докладчиками были бывшие (!) сотрудники Elcomsoft Дмитрий Скляров и Андрей Беленко (а кто ж остался то в Elcomsoft???)

555.jpg

Дмитрий и Андрей глубоко копали айдевайсы и iCloud.

Вообщем, там все очень непросто и пытаться коротко об этом рассказать бесполезно. В целом платформа iOS хорошо защищена, но Apple прикладывает усилия чтобы в первую очередь защитить свою бизнес модель, а уж потом - данные пользователя.

Из интересного:

 
  • пинкод на лок скрине из 4х символов вскрывается за 20 минут;
  • бэкапы в iCloud шифруются на нескольких различных ключах. Для доступа к любой информации с вашего телефона, кроме паролей из iOS keychain, требуется знать только Apple ID + пароль (или перехватить auth token вашей сессии);
  • для доступа к защищенному хранилищу с вашими паролями в iCloud нужен сам телефон, т.к. в нем хранится нужный аппаратный ключ шифрования (однако есть серьезные подозрения, что Apple может сделать это и без него);
  • сами бэкапы хранятся в зашифрованном виде на серверах Amazon и Microsoft (!), т.к. трафик между 150 млн. устройств и iCloud, видимо, нешуточный;
  • у Elcomsoft есть софт, позволяющий вытягивать все ваши контакты, смс, данные приложений, фотки и т.д. из iCloud, зная только ваш Apple ID (ящик) и пароль без вашего ведома :).

Очень и очень интересную атаку на айдевайсы рассказал Андрей Трошичев.

Вообще презентация Андрея развивалась очень стремительно, и я очень жду когда выложат слайды, чтобы просмотреть все заново в спокойной обстановке.

Андрей рассказал про способ захвата айдевайса с помощью вражеской точки доступа wifi.

1. Создаем две сети: открытую и закрытую. Называем их Beeline_WiFi_Free.

2. Упаковываем сертификат собственного root СА в configuration profile (фаил с настройками для айдевайсов, подготавливаемый программой iPhone Configuration Utility) вместе с настройками закрытой wifi сети.

3. Подписываем подготовленный фаил бесплатным триальным сертификатом Comodo и размещаем на своей открытой точке доступа.

4. Пользователь при попытке подключиться к точке доступа увидит похожее окно..

HT4839-ios4-install_profile-001-en.png

.. но с фейковой информацией. В примере Андрея это была информация об iOS Update Service, а в описании Андрей вставил кусок из Apple User Agreement, который все привыкли закрывать не глядя.
5. Пользователь устанавливает профиль вместе с сертификатом нашего root СА, политикой включить iCloud (даже если пользователь его выключил) и неправильными настройками мобильной сети (дабы весь трафик шел только через WiFi).

6. Большинство современных браузеров имеют серьезную дыру: неважно какой root CA выдал сертификат. Важно входит ли этот root CA в список доверенных УЦ. iOS верит 180 различным корневым УЦ (в т.ч. УЦ Департамента Обороны США, правительства Японии и т.д.).

Capture_1.PNG

Если завтра сайт gmail станет подписываться сертификатом не Thawte, а DoD, ваш браузер ни слова вам об этом не скажет (если вы его не спросите)!

Поэтому наличие вражеского сертификата root CA в списке доверенных корневых центров на Вашем устройстве фактически даёт злоумышленнику возможность перехватывать весь ваш трафик! Главное удачно встрять между вашим телефоном и Интернетом.

7. Т.к. configuration profile заставляет ваш телефон сделать бэкап в iCloud - злоумышленник узнает ваш AppleID и пароль. Теперь он знает о вас все.

8. Еще один вектор атаки - с помощью службы Find My iPhone притвориться сервером Apple и послать на ваше устройство команду wipe, после которой все содержимое вашего телефона будет безвозвратно уничтожено.

В идеале можно создать коробку с wifi hotspot и yota модемом, которая будет в полуавтоматическом режиме хакать все окружающие айдевайсы, владельцы которых купились на Beeline_WiFi_Free..

На начало доклада Сергея Карасикова про защиту Android я опоздал. Сергей показал интересный способ монтирования криптоконтейнера с пользовательскими данными внутри рабочей ОС. Это позволяет защитить телефон "в оффлаине". Главное успеть отмонтировать контейнер когда у вас крадут телефон :). Еще Сергей наглядно рассказал почему кастомное ядро это плохо (есть возможность получить доступ к файловой системе в обход механизмов защиты ОС), root - ужасно (пароли и контакты андроид хранит в папке Data, доступ к которой может получить любое рутовое приложение), а галка USB debug - вообще зло.

Снять андроидовский локскрин можно поменяв один параметр в файле с настройками.

Еще Сергей показал аппаратные устройства, дающие доступ в сервис меню старых HTC (до серии One) и позволяющие загрузить свой образ. Говорит, такие устройства есть и под Samsung и LG, но он пользовался только устройствами для HTC.

Следующий доклад представила единственная девушка-спикер на ZeroNights - Алиса Шевченко.

123.jpg

Доклад был посвящен интересной технике запуска вредоносного кода - dll hijacking. Не смотря на то, что тема эта уже довольна стара, многие современные приложения по-прежнему уязвимы.

Полные пути к динамическим библиотекам во многих приложениях не прописаны, поэтому программа может искать необходимую библиотеку в текущей директории. Если злоумышленник контролирует папку на USB флешке или сетевой шаре, то он может положить туда нужную библиотеку с вредоносным кодом. Пользователь кликнет по безобидному PDF файлу, начнёт загружаться Acrobat Reader, который начнет искать некоторые библиотеки в текущей директории рядом с открываемым файлом и если найдет - то выполнит вредоносный код через вызов легитимной API функции.

Обязательное условие - библиотека должна находится в одной директории с открываемым файлом, и злоумышленник должен достаточно точно знать версию ОС и уязвимого приложения.

У этой атаки есть ряд существенных плюсов - стабильность (если уж запуститься - то отработает как надо) и скрытность (антивирус видит только лишь вызов легитимной API функции). Однако вектор атаки достаточно узкий, т.к. нужно еще суметь подсунуть пользователю нужный файл вместе с dll и знать много подробностей об атакуемой системе.

Далее была секция FastTrak и второй камень в сторону PHDays =)

На PHDays FastTrak проходил в ... коридоре! Люди ходили туда сюда и чуть ли не пихали докладчиков локтями. Из-за этого сам формат таких докладов был недооценен и FastTrak был фактически отдан на откуп студентам, которые докладывали на нем темы своих дипломов/курсовых.

В конце второго дня ZeroNights после нескольких сложных и интересных и нескольких скучных и нудных докладов FastTrak оказался очень к месту. 15 минут на доклад с демонстрацией и вопросами из зала заставляют докладчика выкладываться по полной! Зритель же застрахован от скучных докладов: 15 нудных минут доклада можно спокойно потратить на твиттер.

Самым классным докладом в секции и вторым на всей конференции стал доклад Дмитрия Частухина и Глеба Чербова "Где моя тачка, чувак?".

123123.jpg

Докладчики говорили легко и непринужденно. Презентация была вся выдержана в стиле Лего, что смотрелось просто круто! В конце презентации нам показали не просто демовидео - а настоящий хак в прямом эфире :). И все это за 15 минут!

Ребята отреверсили протокол обмена GSM GPS модулей слежения за автомобилями/детьми и обнаружили много интересного. Несмотря на то, что возможность установки паролей на модулях имеется, большое количество модулей используют пароли по-умолчанию либо не использует пароли вообще. Поэтому отправив спец.СМС на номер GSM модуля можно: а) модуль совсем убить; б) угнать модуль, подсунув свой сервер; в) проспуфить трафик модуля, подменив сервер и устроив MITM атаку, что и было продемонстрировано.

Александр Песляк выступил с продолжением своего доклада о парольной защите, начатого на PHDays. Перед криптокодерами сейчас стоит задача сделать так, чтобы криптобиблиотеки жрали побольше памяти (затрудняет перебор), а таблицы с хэшами занимали побольше места на жестком диске (хакеру труднее их украсть)! Думаю, им стоит подыскать программиста из Микрософт под эти задачи. Он точно справится!

Еще Александр сказал что стойкость криптоалгоритма сейчас уже считают в квадратных миллиметрах площади кристалла микропроцессора, необходимого для успешной криптоатаки. Прикольно.

Игорь Гоц и Сергей Солдатов провели классный с практической точки зрения доклад про ловлю хакеров в корпоративной сети.

444.jpg

Я получил огромное удовольствие от речи докладчиков и отличной парной работы.

Оптимальный способ поймать хакера для ленивого админа - отслеживать события запуска служб и учётку, под которой служба запустилась.

При обычной работе обычного пользователя события запуска службы в середине сеанса - вещь крайне подозрительная (ведь все нужные службы обычно стартуют при входе пользователя).

Таким образом можно обнаружить запуск pwdump и других тулз, кроме mimikatz. Отследить запуск mimikatz никак не удалось.

Докладчики написали тулзу (sec.py), которая сутки учится на логах, а потом выдает сообщения о подозрительных событиях.

Владимир Кропотов и Виталий Четвертаков (а так же отсутствующий Федор Ярочкин) рассказали про новинки в мире ботнетов.

123321.jpg

Все сайты на слайде были хакнуты тем или иным способом и бесплатно раздавали посетителям ботнет-клиентов 🙂

Схема заражения такова:
  • пользователь заходит на страницу;
  • через баннерную сеть или фреймы браузер пользователя (незаметно для него) идет на скрипт-детектор, который определяет версию браузера и плагинов;
  • далее идет редирект на эксплоит пак, который пытается запустить специально подобранный под браузер эксплоит и в случае успеха устанавливает руткит.

999.jpg

Доклад был интересным, и я бы его еще раз послушал на свежую голову.

Олег Купреев, наш кубанский исследователь ИБ, рассказал про хитрый способ заражения и убийства собственного 3G модема.

666.jpg

Прошивку любого 3G модема можно сменить на свою, а послав модему определенную неправильную команду можно его намертво повесить.

Финальный доклад Александра Полякова и Дмитрия Евдокимова был посвящен автоматизированному анализу iOS приложений банк-клиентов различных отечественных банков.

Самописная автоматизированная система анализа iKraken выявила много потенциальных дыр, но, к сожалению, ни одной реальной. А что вы хотите за "2 дня, которые я потратил на этот доклад?" 🙂

ZeroNights vs PHDays

Не смотря на меньший размах ZeroNights по сравнению с PHDays, "коэфициент полезного участия" в конференции оказался чуть выше.

// К = (кол-во интересных докладов)/(общее кол-во докладов)

Главным образом такое стало возможным из-за четко поставленного расписания (на PHDays доклады местами сильно "поплыли"), + каким то волшебным образом несмотря на толпы слушателей мне всегда удавалось найти свободный стул поближе к сцене, а вот на PHDays мне пару раз приходилось сидеть и на полу :).

Однако количество и ассортимент докладов на ZeroNights несильно проиграли PHDays, кроме секции FastTrak, которая прошла просто отлично!

Чего еще не хватает ZeroNights (кроме wifi и видеозаписи) - так это конкурсов. Мне очень понравились конкурсы на PHDays и лучше выиграть фирменную футболку на конкурсе, чем получить ее продав свои персональные данные рекламодателям конференции :).

Anyway, thanks for the show!