Слишком много хардкора, или как я съездил на ZeroNights 2013

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(10)
()
Опубликовано в:

Интересность:       ▃ ▄ ▅ ▆ 
Организация:        ▃ ▄ ▅
Питание:               ▃ ▄ ▅


7-8 ноября состоялась уже 3 конференция ZeroNights (программа), организованная компанией DSEC (ERPScan). Это вторая по масштабам хакерская конференция в России, и от PHDays она отличается более низким бюджетом (нет ни онлаин трансляции, ни записи), меньшим количеством докладов и параллельных секций и ориентацией на "реальную безопасность" (то есть на молодых хакеров возрастом до 25 лет).

Доклады

Перед началом секции докладов Антон Карпов из Яндекса рассказал про апгрейд программы bug bounty: Яндекс в 3 раза поднимает максимальную планку выплат за найденную дыру (раньше было 30k RUB, теперь будет 100k!), добавляет ачивки ("Лучший баг", "3 XSS", "Лучший за квартал" и "Sponsored by Yandex" - за последнюю ачивку хакеру будут платить зарплату как работнику Яндекса) и создает свою минисоцсеть для пентестеров. Вообщем теперь bug bounty - еще один полноценный сервис Яндекса. Это круто! Молодцы! Хотелось бы порадоваться за отечественную ИТ компанию, только Яндекс то теперь - голландский

В этом году секция докладов была откровенно более слабой, чем в прошлом. Не было ни одного крутого ключевого спикера, типа Grugq, Шнайера или FX of Phenoelit. Было много узкоспециализированных тем и докладов вида "Вот как мы долго и упорно искали дырку и все-таки нашли 0day! (который мы правда еще полгода назад сообщили разработчику и он давно уже все пропатчил)". Я, конечно, понимаю, что времена тру хакеров прошли, и хакерские принципы уже давно заменил NDA, однако такие доклады слушать просто скучно.
Ключевой докладчик на объединенной сессии рассказывал целый час про типы сэндбоксов...

Больше всего мне понравился доклад Glenn Wilkinson посвященный слежке за людьми с помощью сотовых телефонов (посмотреть его доклад можно тут, тут и тут).

Каждый раз когда вы подключаетесь к WiFi сети дома, на работе или в гостинице, ваш телефон сохраняет параметры этой сети в памяти. Узнав перечень сохраненных вайфай сетей (а ваш телефон постоянно их ищет, если включен вайфай), можно узнать где вы бываете, где работаете и живете. Проанализировав метаинформацию о сохраненных вайфай сетях, можно выявить в толпе людей родственников и коллег - у них на телефонах будут сохранены одинаковые сети. 

Гленн собрал миниатюрное устройство на базе платы beaglebone pc (аналог raspberi pi) с помощью которого он пассивно слушал wifi сеть и собирал информацию о находящихся по близости устройствах, а так же о сохраненных на этих устройствах wifi сетях.
 Белая коробка на столе и есть миниПК, который за всеми следит.

Набрав большой объем данных о посетителях различных хакерских конференций, Гленн вычислил хозяев тех телефонов, которые были и на ZeroNights и, к примеру, на американской конференции BlackHat с помощью очень удобной тулзы для визуализации больших объемов информации - Maltego. Если бы Гленн стал копать дальше, он наверняка бы определил где эти люди работают и отдыхают с помощью открытой базы данных вайфай сетей - Wigle.net.
Корпоративный вайфай тоже засветился в Wigle.

Имея под рукой такую информацию можно, к примеру, выявлять конкурентов или искать инсайдеров среди своих сотрудников ("А почему на твоем телефоне сохранен вайфай корпоративной сети наших конкурентов?") или узнать какие ночные клубы посещает симпатичная девушка за соседним столиком.

А знаете ли вы как удалить или хотя бы просмотреть сохраненные вайфай сети на устройствах Apple? А как это сделать в Windows 8.1? Ответ - никак!

Разработчики этих операционных систем скрыли от нас возможность просмотреть и удалить сохраненные вайфай сети....
Кроме пассивного сбора метаинформации коробка Гленна умеет притворятся нужным вайфаем и устраивать MITM атаки на телефоны пользователей (нечто такое показывали специалисты Positive Technologies c помощью Wifi Pineapple). 

Второй интересный доклад на конференции я услышал от Adrian Furtuna - "Практическая эксплуатация уязвимостей округления в приложениях для интернет-банкинга". 

Допустим вам необходимо поменять рубли на доллары. Вы открываете страничку интернет-банкинга и меняете 32.40 копеек на 1 доллар. А что если ваша сумма меньше, чем 1 доллар?

0.32 RUR (32 копейки) - > 0.01 USD (1 цент)
0.17 RUR (17 копеек) -> 0.005 USD (округляем, так как сумма меньше 1 цента) -> 0.01 USD (опять 1 цент!)

Проведя тысячу операций по обмену 17 копеек на 1 цент с помощью автоматизированного скрипта мы получим 10 долларов США, заплатив всего 170 рублей! Самое любопытное в этой уловке то, что мы не нарушили ни правила банка, ни законы РФ! Легальный способ делать деньги из воздуха :), если банк не будет нам мешать.

А банк может нам мешать, введя обязательную аутентификацию каждой транзакции с помощью аппаратного ключа - генератора OTP паролей.

Чтобы обойти это ограничение, Адриан собрал из ардуины, фонарика и вебкамеры девайс, который по команде нажимает на токене кнопку и считывает с помощью OCR софта и вэбкамеры генерируемый токеном код. 

Для токенов, которые требуют ввода инициирующего кода для генерации OTP, Адриан изобрел вот такую штуку!
Девайс подключается к компьютеру и по команде скрипта набирает код, который передал банк. Затем вэбкамера считывает и распознает ответ токена, который возвращается скрипту для генерации транзакции. Гениально :)

Оба эти доклада показательны тем, что настоящий хакер должен уметь взглянуть на любую технологию под нестандартным углом, обнаруживать дыры не сколько в конкретных технологиях, сколько в идеях, заложенных в эти технологии.

Ток шоу

На удивление мне очень понравилось ток шоу Microsoft VS OpenSource, которое прошло перед закрытием конференции. Было очень даже весело и шумно. Андрей Бешков очень старался убедить нас в небезопасности OpenSource (и безопасности Windows), манипулируя статистикой покруче Чурова. Однако симпатии зала как-то сразу перешли на светлую сторону харизматичных сотрудников компании "РОСА", которые выступали на сцене без подготовки и гламурных презентаций, за что им респект!
Апогеем презентации стало слово "п...ц", произнесенное представителем Microsoft в микрофон на весь зал. Ну в этом он точно прав.

Пару слов об организации

Обычно на любую критику в адрес конференции принято отвечать, что это "тусовочное хардкорное мероприятие" и вайфай с обедом тут не главное. Но нужно все равно сказать, что я уже слишком стар, чтобы бегать и искать свободный туалет по всему зданию, или стоять по часу в очереди на оплаченный мною обед, или пытаться подключиться к вайфаю, который сдох через час после начала конференции. Это никак не уровень предыдущей конференции, и это печально.
Место, где очередь на обед сливается с очередью в сортир.
Однако выбирать не приходится, так что увидимся на ZeroNights 2014 =)

Что еще почитать?
Оцените материал:
Total votes: 36
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя paulmg

М-да....
Не ожидал....
Во-первых, что касается финального шоу, то аудитория, ПОДАВЛЯЮЩИМ большинством голосов, а также Илья, как арбитр, и Олег, как ведущий, все вместе отдали безоговорочную победу с сухим счетом 3:0 Андрею.
А во-вторых, что касается мошенничества с центами, то, как говорится: "проблема старая - интереса не представляет", или в новой интерпретации: "уязвимость unexploitable"
Этой теме уже лет *-дцать.
Началась она с реального хака программера, который как-раз такие остатки округления сбрасывал на свой счет. Но эта тема уже столько раз обсосана в банковской среде, что я слабо представляю себе банк, который бы не поставил внутренние контроли на подобные схемы.
Начиная со специальных технологических счетов, на которых накапливаются подобные разницы с целью последующего выравнивания баланса, и заканчивая тупыми лимитами на количество операций.
В любом случае экономическая целесообразность подобного майнинга у меня вызывает сильнейшие сомнения: десяток долларов в день до того, как упадут заслонки, можно заработать гораздо более эффективными способами.
(Хотя, конечно, в действительности все не так, как на самом деле).

up
3 users have voted.
Аватар пользователя merced2001

Теперь моя очередь удивляться! Говоря по правде, я ушел с середины ток шоу так как пора было лететь домой. Но я не мог и предположить, что все закончится таким образом %). Как это могло произойти?
В докладе Адриана мне понравилась идея с распознованием OTP кодов с аппаратных ключей. Такого я еще не видел.
 

up
7 users have voted.
Аватар пользователя paulmg

Странно! По-моему, Андрей с самого начала брал аргументами, а не эмоциями. И ушел в отрыв со старта.
А вот на его вопросы ребята, к сожалению, столь же аргументированно ответить не смогли. Было очень похоже на избиение младенцев....
Ну а тему с распознаванием кодов с токенов я тоже видел уже, дай Бог памяти, лет несколько назад.....
Не rocket science....
Слышал даже о решении по дистанционному контролю температуры в серверных с помошью веб-камеры и цифрового термометра :)
В одном флаконе контроль доступа с контролем температуры...

up
4 users have voted.
Аватар пользователя merced2001

Очень показателен был вопрос "А докажите что в Windows нет закладок!" и ответ Бешкова - "Исходники Widnows были показаны ФСТЭКу!". Сложно назвать такой ответ аргументом...

up
8 users have voted.
Аватар пользователя paulmg

С точки зрения конкретного критерия и удовлетворения требований конкретного заказчика - ответ абсолютно конкретен и корректен.
С точки зрения реального доказательства - на определенном размере кода задача становится физически недоказуемой, а на современном уровне развития технологий и вообще бессмысленной.
Мы все прекрасно знаем, как можно установить закладку в абсолютно отпруффленную систему.
Поэтому сам факт такого вопроса не очень хорошо характеризует того, кто его задал.
Из серии: "Докажи, что ты не верблюд" или "Купи слона".
Смысл было его задавать?

up
4 users have voted.
Аватар пользователя merced2001

Слово "абсолютно" само по себе предпалагает независимость события от "конретного заказчика". 
Не существует такого объема открытого кода, при котором задача поиска закладок была бы "физически недоказумой" либо бессмысленой. Даже если технически и организационно аудит большого исходного кода программы сложно организуем, сам факт возможности такого аудита вкупе с популярностью программного обеспечения среди профессиональных программистов уже гарантирует определенную степень надежности системы, гораздо большую чем фраза "проверено во ФСТЭК".
Установить закладку в популярную и отпруффленную систему гораздо, гораздо сложнее и под силу только Большому Брату, если ему очень повезет. В то время как заложить закладку в операционную систему Windows проще простого. Для этого достаточно выписать первый судебный ордер, предписывающий внедрить закладку, и второй судебный ордер запрещающий говорить о первом судебном ордере.
Смысл вопроса был в том, что покупая черный ящик в виде проприетраного ПО Windows ты можешь считать его надежным ровно в той степени, в которой считаешь надежным фирму Майкрософт. И ответ "сертифицированно во ФСТЭКе" нельзя считать сколько-нибудь приемлимым, ибо:
1. Сертификация ФСТЭКа бывает разной. При самой слабой сертификации ФСТЭК, фактически, проверяет только соответствие контрольных сум скомпилированного программного продукта исходному.
2. Многие пользователи программного продукта не сочтут ФСТЭК надежным аудитором.
 

up
5 users have voted.
Аватар пользователя merced2001

Если взглянуть на сегодняшнюю ситуацию с открытым программным обеспечением - можно порадоваться. Созданы и функционируют крупнейшие порталы, нацеленные на совместную разработку (github, stackoverflow, sourcefordge). Активно развивается краудфандинг программного обеспечения через kickstarter, идет сбор денег на профессиональный аудит открытых продуктов (truecrypt).
Если так дальше и будет идти - то не за горами день, когда новую операционную систему будут разрабатывать профессиональные программисты на деньги собранные через kickstarter и вопрос с качеством и техподдержкой открытых продуктов отпадет сам собой.

up
5 users have voted.
Аватар пользователя paulmg

Увы! Пока не верю!
Особенно с высоты жизненного опыта.
И как заказчика меня не убедили.
Вопрос именно в доверии.
От MS я знаю чего ждать и могу планировать бюджет, хотя с Андреем мы познакомились на почве очередного фэйла (IMHO) от MS.
Чего ждать от "человеческого облака" я не знаю......

up
7 users have voted.
Аватар пользователя merced2001

Все верно. Сегодня opensource - это часто сложно, глючно и ненадежно. 
Но зоркий глаз заметит, что на рынке проприетарного ПО так же назревает системный кризис. Сегодня уже никому не продаш архиватор, или медиапроигрыватель на ПК, которые отлично продавались 5 лет назад. Как только широкая конкуренция добереться до операционных систем - Windows падёт, как пал он на мобильных платформах (ещё одни враки Бешкова, кстати, про то, что Windows - самая популярная ОС в мире. Это место уже давно занял Андроид).
Опенсорс же с ростом конкуренции только крепчает за счёт растущего числа программистов, и модель, заложенная под развитием opensource, имхо намного живучей, чем у монополиста.

up
5 users have voted.
Аватар пользователя paulmg

Ну, с наличием факта передела рынка никто и не спорит.
Но что касается живучести, то это всего лишь один из критериев.
Тараканы - одни из самых живучих существ.
А вот считать TCO для опенсорса - задачка не тривиальная.
В общем, пока я не верю ни во что, что начинается с "клауд" и "крауд".... :)

up
19 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.