Izpod Črnega Klobuka, 2. dan

Nejc Škoberne

30. jul 2010 ob 06:39:04

V uvodnem predavanju je upokojeni general in direktor ameriške obveščevalne agencije CIA, Michael Hayden, nanizal nekaj misli o razliki med kiberprostorom in preostalimi "domenami" - zrakom, vodo, zemljo in vesoljem. "Napad na neko sovražno džihadsko spletno stran ima posledice tudi v fizičnem svetu," ugotavlja Hayden. "Če nismo previdni, lahko uničimo nekaj, kar se nahaja denimo v Bostonu." Posebno zanimiva pa je bila ideja, da bi se morale "zrele" svetovne velesile (denimo G20, nikakor pa ne ZN) dogovoriti za skupna pravila igre v kiberprostoru. Kot primer je navedel mednarodni "zakon", po katerem bi odgovornost za napade DDoS morale prevzeti države, iz katerih taki napadi prihajajo. Po predavanju ga je glede tega doletelo pomenljivo vprašanje iz publike: "torej lahko vsak 15-letnik v neki državi sproži mednarodni incident, če s svojim botnetom ohromi neko spletno stran druge države?" Hayden je priznal, da je vprašanje odgovornosti zelo vroča tema, vendar je ta drugotnega pomena - pomembno je, da je bil napad izveden iz določene države. Ali bi ZDA prevzele odgovornost za hipotetični napad DDoS na strežnike Ruske vlade, ki bi ga iz kiberkavarne v Las Vegasu izpeljal kakšen mudžahedin, ni povedal. Poleg tega takšno razmišljanje postavlja pod vprašaj eno osnovnih možnosti, ki jih internet danes posredno nudi: anonimnost.

Jeremiah Grossman je predstavil nekaj zanimivih novih napadov na spletne brskalnike z zlorabo možnosti za samoizpolnjevanje polj. Vsi sodobni brskalniki namreč to možnost omogočajo. Z nekaj preproste kode JavaScript lahko škodljive strani na preprost način kradejo vaše osebne podatke: ime, priimek, naslov, e-poštni naslov ... pa tudi tiste, bolj občutljive: uporabniška imena, gesla, številke kreditnih kartic itd. Skratka, pokazal je, da uporaba samozpolnjevanja polj ni dobra ideja.

Samy Kamkar, avtor znamenitega črva Samy, ki je leta 2005 v manj kot 20 urah okužil preko milijon uporabnikov spletne strani MySpace, je tudi prikazal nekaj zanimivih napadov: pokazal je, da 160-bitni identifikatorji sej PHP v resnici vsebujejo kvečjemu 40 bitov naključnosti, kar naredi napade z ugibanjem praktično izvedljive. Poleg tega je predstavil napad, ki ga je poimenoval "XXXSS Geolocation". Gre za kombinacijo napada XPS (cross-protocol scripting) in "NAT Pinning", kjer lahko napadalec, če uspe prepričati žrtev, da obišče zlonamerno spletno stran, ugotovi natančno fizično lokacijo žrtve. V prvem delu napada napadalec lahko ugotovi naslov MAC usmerjevalnika žrtve, v drugem delu pa s pomočjo naslova MAC in storitve Google Location Services ugotovi lokacijo.

Utrinke z nekaterih drugih predavanj je mogoče najti tukaj.