Slo-Tech - Te dni se v Las Vegasu ponovno odvija največja krekerska konferenca, Black Hat. Letos naj bi število obiskovalcev po nekaterih napovedih preseglo že 8000 ljudi. Hkrati poteka 8 sledi.
Uvodni govor je letos imel nekdanji agent CIE, ki je deloval v sklopu protiteroristične skupine, predaval pa je o tem kako je Stuxnet zaznamoval začetek nove dobe, ko napad na kiber infrastrukturo pusti posledice v delovanju fizičnih naprav in da so z dostopnostjo kode črva Stuxnet ta sredstva na voljo tudi teroristom.
Eno bolj obiskanih predavanj je imel Dan Kaminsky, ki je govoril o iznajdljivi rabi protokola TCP/IP, da dosežemo nekatere zelo zanimive reči, kot npr. hitro skeniranje omrežja za odprtimi vrati (celotno skeniranje /16 omrežja traja 4 sekunde) in odpiranje povezave med dvema računalnikoma, ki sta oba skrita za požarnim zidom z NAT preslikavo. Za nekoliko več si lahko ogledate prosojnice.
Zanimiva naprava, predstavljena na letošnji konferenci je tudi predelava modelarskega letala v vohunski švicarski nož: s pametnim modelarskim letalom je namreč dostop do nekaterih varovanih okolij lažji, kot pa bi bil po zemlji, naprava pa je sposobna vdiranja v omrežja, beleženja omrežnega prometa, predstavljanja kot lažna bazna postaja za mobilno telefonijo, sledenja mobilnikom in prestrezanja klicev. Za napravo sta raziskovalca porabila zgolj dobrih šest tisoč dolarjev in pa kar 1300 ur dela. Raziskovalce pa sta že postavila pred izziv kako se zaščititi pred tako napravo, ki zaradi električnega pogona niti ne pušča toplotne sledi in jo zato raketa ne izsledi.
To pa sta zgolj dve predstavitvi izmed množice, od izboljšanih v preteklosti že predstavljenih stvari (Diggity), pa do reverznega inžiniringa pametnih kartic. Jutri bo govora še o SSL protokolu in o (pre)pametnih MacBook baterijah, ki jih lahko izkoristimo za napad.
Podeljevali pa so seveda tudi Pwnie nagrade, zmagovalci so:
Pwnie za hrošča na strežniški strani sta dobila Juliano Rizzo in Thai Duong za ASP.NET Framework Padding Oracle
Pwnie za hrošča na odjemalčevi strani si je zaslužil Comex za FreeType ranljivost v iOSu
Pwnie za najboljše izkoriščanje privilegijev je dobil Tarjei Mandts za Windows kernel win32k user-mode callback ranljivost
Pwnie za najbolj inovativno raziskavo je dobil Piotr Bania za pripravo raziskave in podrobnega opisa z naslovom Securing the Kernel via Static Binary Rewriting and Program Shepherding
Pwnie za življensko deljo je dobil pipcacs/PaX Team
Pwnie za najbolj lame vendor response, si je letošnje leto prislužilo podjetje RSA
Pwnie za najboljši song pa Geohot in sicer za komad The Light It Up Contest.
Dragi avtor, hvala za interesantno branje. Žal se je v novico prikradel tiskarski škrat v obliki nerazumljive GNU terminologije. Kakšni krekerji neki. Hekerji, Majkl, hekerji... Mimogrede, linkani slajdi Kaminskega so iz leta 2002.
@Denial Zanimivo čtivo o Sophosu. Zgleda da kar nekaj megle prodajajo. V bistvu sem malo razočaran. Če je takšno stanje tudi drugje, ni čudno da so virusi in botneti toliko razširjeni. Pravzaprav niti nočejo biti predobri. Sami sebi pa res nočejo pljuvati v skledo... Zanimiva bi bila analiza še kakšnega drugega znanega AV programja.
Never trust a computer you can't throw out a window
Kaj a mi je post požrlo ??? Hvala bogovom imam Lazarus plugin... Evo sporočila:
odpiranje povezave med dvema računalnikoma, ki sta oba skrita za požarnim zidom z NAT preslikavo.
Kul. To sem nekje (pred)lani sprobaval. V bistvu je tako preprosto, da večina ne verjame. Daš outgoing TCP connection na enem koncu in istočasno (plus/minus par sekund) outgoing connection z ujemajočimi parametri (naslova in porta, to je vse) na drugem. Puf, TCP povezava med dvema NAT-anima (in/ali firewalliranima) host-oma. Preverjeno dela z Windows XP Firewall, OpenWRT 1.0 NAT, company firewall (ne vem kaki točno, neka enterprise zadeva).
Žal nimam časa za konkreten izdelek. A ta AllNewt je kje dostopen? Google nič ne najde. Sicer se ta Paketto Keiretsu s tem ukvarja že tam pet ali več let. Pa jim ne rata univerzalno rešitev sproducirat. Verjetno, ker je 100% delujočo težko narediti. Čeprav bi za prakso 75% uspešnost tudi bila dobra stvar (par nesrečnikov bi bilo na istem kot prej, večini pa bi naenkrat izmenjava bedarij, err... fajlov, preko Messengerja&co delovala s polno hitrostjo). Heh, mogoče pa jih vseeno prehitim.
Sicer se ta Paketto Keiretsu s tem ukvarja že tam pet ali več let.
Kot piše, glavni problem je da eni NAT-i spremenijo source port number na nepredvidljiv način.* (pa timing, samo to je trivialno rešit) Vsekakor zanimivo branje.
* - opisana rešitev tega z kratkim TTL je kul
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Oh, glede antivirusa. Sem se pred leti malo igral z nekaj AV programi. Polovico jih pretentaš z levo. Sicer ne kot okužba sistema z malware, ki ga AV pozna, ampak so tu in tam velike luknje, ki jih od profi izdelkov ne bi pričakoval. Recimo: - AV se zažene med loginom: če se malware zažene na enak način in se požene pred AV, je zmagal. Ker je vrstni red zaganjanja ... kaj jaz vem, po abecedi? Je to izvest mala malca. - exe fajlu deny-aš read permission: Polovica AV on-access scanner-jev več ne prepozna virusa. Smeh. Sicer so z leti večino tega popravili, ampak hecen priokus ostaja.
PS: Prispevka o AV nisem prebral. Mogoče spet piše o stvari, katero sem sam počel. Ali pa nekaj čist drugega...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Sicer ne kot okužba sistema z malware, ki ga AV pozna
Sem preveril. Dejansko lahko malware poženeš na "zaščitenem" sistemu. Sprobal pred nekaj minutami z enim od Top 5 AV programov. Ne moreš da verjameš. Zbiramo stave, koliko drugih pade na enako foro?
Bi kdo objavil, če to spišem v nek paper ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
AV se zažene med loginom: če se malware zažene na enak način in se požene pred AV, je zmagal.
A to misliš, da na sistem naložiš malware gonilnik, ki se nato zažene pred AV-jem? To bi delovalo pod pogojem, da AV ne odkrije gonilnika kot ZlobnoKodo v času namestitve.
Vendar je na tej stopnji odpovedalo že cel kup varnostnih mehanizmov: kako je sploh prišel malware na sistem (exploit? USB/autoruns?); kako si pridobil Admin privilegije za namestitev gonilnika (EoP? UAC bypass?); zakaj AV ni odkril malwara (crypter? packer?). Sicer pa, zakaj bi sploh počel kaj takega? Ko imaš enkrat fizičen dostop ali remote shell z Admin privilegiji lahko preprosto killaš AV proces.
V bistvu je tako preprosto, da večina ne verjame. Daš outgoing TCP connection na enem koncu in istočasno (plus/minus par sekund) outgoing connection z ujemajočimi parametri (naslova in porta, to je vse) na drugem. Puf, TCP povezava med dvema NAT-anima (in/ali firewalliranima) host-oma.
denial, ja, tisto s startupom je bolj tak, vprašanje če je v praksi relevantno (čeprav so v sisteme prišli že skozi mnogo manjše luknje).
Druga finta je boljša. Pridem do službenega PC-ja z USB ključkom (okužil se je na domačem PC), poženem svoj programček na njem (recimo kaki FileSync, ali fansi kalkulator ali karkoli pač. Program je seveda okužen) in puf - malware je aktiven.
Sem danes sprobal. AV je zadnji Nod32 (v4.2.71.2 , definicije od danes) Testni program je Back Orifice 2k GUI klient (vsak AV ga označi kot malware). Priklopim ključek, nič. Odprem vsebino, nič. Dvokliknem, požene se BO2K GUI. NOD32 nič.
Prav tako lahko pri aktivenem NOD32 (AV+firewall) downloadam taisti bo2k (ZIP) , extraktam na disk in ga poženem. V tem primeru sicer vrže proti koncu postopka NOD32 opozorilo, ampak to je vse. Lahko avtor malware-a pred tem "obvesti" uporabnika, da eni AV jamrajo, ampak da bo "vse delalo"... in se malware lepo požene.
Prvi primer je FAIL. Drugi pa tudi 75% fail. Z malo več truda kot pol ure, bi verjetno lahko tudi opozorilo zaobišel. In kriminalci imajo več kot pol ure.
Če prav razumem druga finta predvideva aplikacijo z bindano ZlobnoKodo in R- permissioni? No, v bistvu je najlažje pretentat ravno signature based detekcijo (zlonamerno kodo lahko napišeš tudi sam), vendar to še ni garancija, da AV ne bo programa flagal v kasnejši fazi zaradi "neprimernega obnašanja" (bind port, write registry, itd). Če AV poleg signature based detekcije ne uporablja še kakšen drug mehanizem zaščite, potem je najbrž čas za menjavo.
Saj teorija je znana. Tako kot za fisijo leta 1934. Do prakse pa je še malo manjkalo.
Zakaj recimo uTorrent in podobni gredo reimplementirati celoten TCP stack over UDP, če pa obstaja (delujoč) TCP hole punching? Moje ugibanje: Ker ne (obstaja (delujoč) TCP hole punching).
A to je tak, kot Linux instalacije? Ogromno jih je, samo so nevidni?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Kul. To sem nekje (pred)lani sprobaval. V bistvu je tako preprosto, da večina ne verjame. Daš outgoing TCP connection na enem koncu in istočasno (plus/minus par sekund) outgoing connection z ujemajočimi parametri (naslova in porta, to je vse) na drugem. Puf, TCP povezava med dvema NAT-anima (in/ali firewalliranima) host-oma. Preverjeno dela z Windows XP Firewall, OpenWRT 1.0 NAT, company firewall (ne vem kaki točno, neka enterprise zadeva).
A ga vidiš kje v praksi?
Saj teorija je znana. Tako kot za fisijo leta 1934. Do prakse pa je še malo manjkalo.
Zakaj recimo uTorrent in podobni gredo reimplementirati celoten TCP stack over UDP, če pa obstaja (delujoč) TCP hole punching? Moje ugibanje: Ker ne (obstaja (delujoč) TCP hole punching).