» »

Hekerska meka v Las Vegasu

Hekerska meka v Las Vegasu

Slo-Tech - Te dni se v Las Vegasu ponovno odvija največja krekerska konferenca, Black Hat. Letos naj bi število obiskovalcev po nekaterih napovedih preseglo že 8000 ljudi. Hkrati poteka 8 sledi.

Uvodni govor je letos imel nekdanji agent CIE, ki je deloval v sklopu protiteroristične skupine, predaval pa je o tem kako je Stuxnet zaznamoval začetek nove dobe, ko napad na kiber infrastrukturo pusti posledice v delovanju fizičnih naprav in da so z dostopnostjo kode črva Stuxnet ta sredstva na voljo tudi teroristom.

Eno bolj obiskanih predavanj je imel Dan Kaminsky, ki je govoril o iznajdljivi rabi protokola TCP/IP, da dosežemo nekatere zelo zanimive reči, kot npr. hitro skeniranje omrežja za odprtimi vrati (celotno skeniranje /16 omrežja traja 4 sekunde) in odpiranje povezave med dvema računalnikoma, ki sta oba skrita za požarnim zidom z NAT preslikavo. Za nekoliko več si lahko ogledate prosojnice.

Zanimiva naprava, predstavljena na letošnji konferenci je tudi predelava modelarskega letala v vohunski švicarski nož: s pametnim modelarskim letalom je namreč dostop do nekaterih varovanih okolij lažji, kot pa bi bil po zemlji, naprava pa je sposobna vdiranja v omrežja, beleženja omrežnega prometa, predstavljanja kot lažna bazna postaja za mobilno telefonijo, sledenja mobilnikom in prestrezanja klicev. Za napravo sta raziskovalca porabila zgolj dobrih šest tisoč dolarjev in pa kar 1300 ur dela. Raziskovalce pa sta že postavila pred izziv kako se zaščititi pred tako napravo, ki zaradi električnega pogona niti ne pušča toplotne sledi in jo zato raketa ne izsledi.

To pa sta zgolj dve predstavitvi izmed množice, od izboljšanih v preteklosti že predstavljenih stvari (Diggity), pa do reverznega inžiniringa pametnih kartic. Jutri bo govora še o SSL protokolu in o (pre)pametnih MacBook baterijah, ki jih lahko izkoristimo za napad.

Podeljevali pa so seveda tudi Pwnie nagrade, zmagovalci so:
  • Pwnie za hrošča na strežniški strani sta dobila Juliano Rizzo in Thai Duong za ASP.NET Framework Padding Oracle
  • Pwnie za hrošča na odjemalčevi strani si je zaslužil Comex za FreeType ranljivost v iOSu
  • Pwnie za najboljše izkoriščanje privilegijev je dobil Tarjei Mandts za Windows kernel win32k user-mode callback ranljivost
  • Pwnie za najbolj inovativno raziskavo je dobil Piotr Bania za pripravo raziskave in podrobnega opisa z naslovom Securing the Kernel via Static Binary Rewriting and Program Shepherding
  • Pwnie za življensko deljo je dobil pipcacs/PaX Team
  • Pwnie za najbolj lame vendor response, si je letošnje leto prislužilo podjetje RSA
  • Pwnie za najboljši song pa Geohot in sicer za komad The Light It Up Contest.
  • Pwnie Epic FAIL: Sony.


Več o nagradah na http://pwnies.com/

Kogar tematika zanima še bolj podrobno, si lahko prebere še intervju z glavnim organizatorjem konference Jeffom Mossom in natančnejše pokrivanje dogajanja na konferenci.

21 komentarjev

denial ::

Dragi avtor, hvala za interesantno branje. Žal se je v novico prikradel tiskarski škrat v obliki nerazumljive GNU terminologije. Kakšni krekerji neki. Hekerji, Majkl, hekerji... Mimogrede, linkani slajdi Kaminskega so iz leta 2002.

Še tri zanimive (ali pa tudi ne) predstavitve:
- Tavis Ormandy (GOOG sec dude): A Critical Analysis of Sophos Antivirus
- Mario Vuksan & Tomislav Pericin (guys from Serbia): Undocumented PE-COFF
- Charlie Miller: Battery Firmware Hacking

Za konec še Microsoft BlueHat Prize contest: KLIK
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

phantom ::

V novici manjka pwnie za Epic 0wnage: Stuxnet
~
~
:wq

Pyr0Beast ::

Warflying - pa sem ga dočakal :)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

black ice ::

Pyr0Beast je izjavil:

Warflying - pa sem ga dočakal :)

Ideja se je pojavila že nekaj časa nazaj. Ko so se pojavili prvi diy droni.

1300 ur dela - impresivno. :)

poweroff ::

Pa OpenBTS so implementirali gor. Slin, slin...
sudo poweroff

Highlag ::

@Denial
Zanimivo čtivo o Sophosu. Zgleda da kar nekaj megle prodajajo. V bistvu sem malo razočaran. Če je takšno stanje tudi drugje, ni čudno da so virusi in botneti toliko razširjeni. Pravzaprav niti nočejo biti predobri. Sami sebi pa res nočejo pljuvati v skledo...
Zanimiva bi bila analiza še kakšnega drugega znanega AV programja.
Never trust a computer you can't throw out a window

MrStein ::

Kaj a mi je post požrlo ???
Hvala bogovom imam Lazarus plugin... Evo sporočila:

odpiranje povezave med dvema računalnikoma, ki sta oba skrita za požarnim zidom z NAT preslikavo.

Kul. To sem nekje (pred)lani sprobaval.
V bistvu je tako preprosto, da večina ne verjame.
Daš outgoing TCP connection na enem koncu in istočasno (plus/minus par sekund) outgoing connection z ujemajočimi parametri (naslova in porta, to je vse) na drugem.
Puf, TCP povezava med dvema NAT-anima (in/ali firewalliranima) host-oma.
Preverjeno dela z Windows XP Firewall, OpenWRT 1.0 NAT, company firewall (ne vem kaki točno, neka enterprise zadeva).

Žal nimam časa za konkreten izdelek.
A ta AllNewt je kje dostopen? Google nič ne najde.
Sicer se ta Paketto Keiretsu s tem ukvarja že tam pet ali več let. Pa jim ne rata univerzalno rešitev sproducirat.
Verjetno, ker je 100% delujočo težko narediti. Čeprav bi za prakso 75% uspešnost tudi bila dobra stvar (par nesrečnikov bi bilo na istem kot prej, večini pa bi naenkrat izmenjava bedarij, err... fajlov, preko Messengerja&co delovala s polno hitrostjo).
Heh, mogoče pa jih vseeno prehitim.

Sicer se ta Paketto Keiretsu s tem ukvarja že tam pet ali več let.

Po tem sodeč že 10 let. 8-O
http://freshmeat.net/projects/paketto/
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Kot piše, glavni problem je da eni NAT-i spremenijo source port number na nepredvidljiv način.*
(pa timing, samo to je trivialno rešit)
Vsekakor zanimivo branje.

* - opisana rešitev tega z kratkim TTL je kul
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Oh, glede antivirusa.
Sem se pred leti malo igral z nekaj AV programi.
Polovico jih pretentaš z levo.
Sicer ne kot okužba sistema z malware, ki ga AV pozna, ampak so tu in tam velike luknje, ki jih od profi izdelkov ne bi pričakoval.
Recimo:
- AV se zažene med loginom: če se malware zažene na enak način in se požene pred AV, je zmagal. Ker je vrstni red zaganjanja ... kaj jaz vem, po abecedi? Je to izvest mala malca.
- exe fajlu deny-aš read permission: Polovica AV on-access scanner-jev več ne prepozna virusa. Smeh.
Sicer so z leti večino tega popravili, ampak hecen priokus ostaja.

PS: Prispevka o AV nisem prebral. Mogoče spet piše o stvari, katero sem sam počel. Ali pa nekaj čist drugega...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

MrStein je izjavil:


Sicer ne kot okužba sistema z malware, ki ga AV pozna

Sem preveril. Dejansko lahko malware poženeš na "zaščitenem" sistemu.
Sprobal pred nekaj minutami z enim od Top 5 AV programov.
Ne moreš da verjameš.
Zbiramo stave, koliko drugih pade na enako foro?

Bi kdo objavil, če to spišem v nek paper ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

denial ::

AV se zažene med loginom: če se malware zažene na enak način in se požene pred AV, je zmagal.

A to misliš, da na sistem naložiš malware gonilnik, ki se nato zažene pred AV-jem? To bi delovalo pod pogojem, da AV ne odkrije gonilnika kot ZlobnoKodo v času namestitve.

Vendar je na tej stopnji odpovedalo že cel kup varnostnih mehanizmov: kako je sploh prišel malware na sistem (exploit? USB/autoruns?); kako si pridobil Admin privilegije za namestitev gonilnika (EoP? UAC bypass?); zakaj AV ni odkril malwara (crypter? packer?). Sicer pa, zakaj bi sploh počel kaj takega? Ko imaš enkrat fizičen dostop ali remote shell z Admin privilegiji lahko preprosto killaš AV proces.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

denial ::

V bistvu je tako preprosto, da večina ne verjame.
Daš outgoing TCP connection na enem koncu in istočasno (plus/minus par sekund) outgoing connection z ujemajočimi parametri (naslova in porta, to je vse) na drugem.
Puf, TCP povezava med dvema NAT-anima (in/ali firewalliranima) host-oma.

Yep, that's known as hole punching.
SELECT finger FROM hand WHERE id=3;

MrStein ::

Ja, samo tvoj link je za UDP, tole tu pa za TCP.
"Mala" razlika.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

Hmmm, let me guess.... TCP hole punching?
SELECT finger FROM hand WHERE id=3;

MrStein ::

denial, ja, tisto s startupom je bolj tak, vprašanje če je v praksi relevantno (čeprav so v sisteme prišli že skozi mnogo manjše luknje).

Druga finta je boljša. Pridem do službenega PC-ja z USB ključkom (okužil se je na domačem PC), poženem svoj programček na njem (recimo kaki FileSync, ali fansi kalkulator ali karkoli pač. Program je seveda okužen) in puf - malware je aktiven.

Sem danes sprobal.
AV je zadnji Nod32 (v4.2.71.2 , definicije od danes)
Testni program je Back Orifice 2k GUI klient (vsak AV ga označi kot malware).
Priklopim ključek, nič.
Odprem vsebino, nič.
Dvokliknem, požene se BO2K GUI. NOD32 nič.

Prav tako lahko pri aktivenem NOD32 (AV+firewall) downloadam taisti bo2k (ZIP) , extraktam na disk in ga poženem.
V tem primeru sicer vrže proti koncu postopka NOD32 opozorilo, ampak to je vse. Lahko avtor malware-a pred tem "obvesti" uporabnika, da eni AV jamrajo, ampak da bo "vse delalo"... in se malware lepo požene.


Prvi primer je FAIL.
Drugi pa tudi 75% fail. Z malo več truda kot pol ure, bi verjetno lahko tudi opozorilo zaobišel. In kriminalci imajo več kot pol ure.

denial je izjavil:

Hmmm, let me guess.... TCP hole punching?

Ja.
A ga vidiš kje v praksi?

--------------------

Glede AV finte:
Z Avira-o recimo ta finta ne pali.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

denial ::

Če prav razumem druga finta predvideva aplikacijo z bindano ZlobnoKodo in R- permissioni? No, v bistvu je najlažje pretentat ravno signature based detekcijo (zlonamerno kodo lahko napišeš tudi sam), vendar to še ni garancija, da AV ne bo programa flagal v kasnejši fazi zaradi "neprimernega obnašanja" (bind port, write registry, itd). Če AV poleg signature based detekcije ne uporablja še kakšen drug mehanizem zaščite, potem je najbrž čas za menjavo.

Ja.
A ga vidiš kje v praksi?
Vprašaj Gugl.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

MrStein ::

Sem že. Jaz pišem o stvari, ki sem jo dobro predelal.
Kaj pa ti počneš?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

sudo poweroff

MrStein ::

MrStein je izjavil:


A ga vidiš kje v praksi?


Saj teorija je znana. Tako kot za fisijo leta 1934. Do prakse pa je še malo manjkalo.

Zakaj recimo uTorrent in podobni gredo reimplementirati celoten TCP stack over UDP, če pa obstaja (delujoč) TCP hole punching?
Moje ugibanje: Ker ne (obstaja (delujoč) TCP hole punching).

A to je tak, kot Linux instalacije? Ogromno jih je, samo so nevidni? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

denial ::

Kul. To sem nekje (pred)lani sprobaval.
V bistvu je tako preprosto, da večina ne verjame.
Daš outgoing TCP connection na enem koncu in istočasno (plus/minus par sekund) outgoing connection z ujemajočimi parametri (naslova in porta, to je vse) na drugem.
Puf, TCP povezava med dvema NAT-anima (in/ali firewalliranima) host-oma.
Preverjeno dela z Windows XP Firewall, OpenWRT 1.0 NAT, company firewall (ne vem kaki točno, neka enterprise zadeva).


A ga vidiš kje v praksi?


Saj teorija je znana. Tako kot za fisijo leta 1934. Do prakse pa je še malo manjkalo.

Zakaj recimo uTorrent in podobni gredo reimplementirati celoten TCP stack over UDP, če pa obstaja (delujoč) TCP hole punching?
Moje ugibanje: Ker ne (obstaja (delujoč) TCP hole punching).


Kaj sedaj ali obstaja v praksi ali ne?
SELECT finger FROM hand WHERE id=3;

MrStein ::

Ne. (če komu ni očitno).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pisci malwara vedno bolj domiselni, skrivališče tudi miška (strani: 1 2 )

Oddelek: Novice / Varnost
5811553 (8548) Beezgetz
»

Hekerska meka v Las Vegasu

Oddelek: Novice / Varnost
217601 (6250) MrStein
»

The cat is out of the bug

Oddelek: Informacijska varnost
172354 (1182) denial
»

Štajerski hekerji okužili svet (strani: 1 2 )

Oddelek: Informacijska varnost
5412220 (9349) st0jko
»

Pwnies

Oddelek: Informacijska varnost
51238 (980) denial

Več podobnih tem