Popíšu zde jen pár z přednášek, které byli mediálně populárnější a uvedu odkazy na informace a dokumenty k ostatním přednáškám, takže si každý vybere podle libosti.
Black Hat USA 2013
Jako první byla keynote ředitele NSA, generála Keitha Alexandera. Cílem jeho přítomnosti má být uklidnění situace, nalezení rovnováhy mezi obranou/ochranou státu a zajištění občanských práv a svobod. Přímo vyzval odborníky, ať jim řeknou co dělají špatně a jak by to šlo dělat lépe. Jsou tu prý proto, aby naslouchali názorům ostatních. Nečekaně popsal, jak některé součásti NSA fungují, protože chce prý navázat komunikaci s komunitou a k tomu je důležité, aby komunita znala fakta. Záznam přednášky můžete nalézt na YouTube.
Tom Ritter a Doug DePerry (iSec Partners) představili na konferenci metodu jak odchytit telefoní hovor, SMS či data posílaná přes 3G. Útok je účinný za použití femtobuňky, což je vlastně zařízení pro pokrytí signálem míst s horším nebo žádným signálem (např. výtahové šachty, serverovny, podzemní garáže atp.). Pomocí HDMI portu na femtobuňce byli schopni se dostat do OS (Linux) a pomocí root přístupu ji upravit tak, aby mohli dosáhnout útoku. Také ukázali možnost klonování mobilu připojeného na femtobuňku.
Don Jackson a Joe Stewart (Dell SecureWorks) se dostali do C&C centra RAT (remote access trojan/tool) Comfoo, který byl použit při úspěšném APT útoku před třemi roky proti společnosti RSA jednou z největší kyberšpionážních skupin zvanou Beijing Group (podle lokace infrastruktury). Při tomto útoku se dostali ke klíčům používaných v SecureID tokenech pro generování one-time hesel. I když je tato skupina zodpovědná za infiltraci do cca 200 korporátních společností, převzetí backend serverů infrastruktury Comfoo zas tak náročné nebylo.
Billy Lau, Yeongjin Jang a Chengyu Song představili zranitelnosti iOS (iPhone, iPad, …), kdy je možné pomocí upravené nabíječky či dokovací stanice zkopírovat veškerý obsah zařízení a pomocí provisioning profilů i nainstalovat jakoukoliv aplikaci, ne nezbytně podepsanou App Storem (díky developerskému účtu). To vše bez interakce uživatele. Pro účely prezentace nainstalovali trojanizovanou verzi aplikace pro Facebook. Zranitelnost by měla být opravena v nastávajícím iOS 7.
DDoS botnet vytvořen pomocí reklamních serverů a prohlížečů uživatelů? Proč ne. Odborníci Jeremiah Grossman a Matt Johansen představili na konferenci koncept tvoření botnetu pomocí reklamních serverů, protože ty často zákazníkům nabídnou vložit do stránky javascript spolu s obrázkem/flashem apod. Tímto je možné si (po dobu co bude mít uživatel načtenou stránku s reklamou) jednoduše vytvořit dočasný botnet a směrovat útok na cíl. Počkejte, až někoho napadne hacknout reklamní servery, případně vložit odkaz na svůj javascript a servírovat místo obrázků drive-by-download… ale to jsem asi neměl zmiňovat.
BREACH (Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext) je nová metoda vycházející z CRIME umožňující získat z HTTPS provozu data jako jsou session ID, login tokeny a další během 30 vteřin. Nejedná se o dešifrování celé komunikace a útok je podmíněn MitM a přesměrováním uživatele na svoji stránku před spojením na HTTPS, takže je zde poměrně dost limitujících faktorů, ale na druhou stranu je útok nezávislý od použitého algoritmu, nebo verze SSL/TLS. Na konferenci Black Hat útok představil Angelo Prado, Neal Harris a Yoel Gluck.
Na BH se také hned ve dvou podobných přednáškách rozebírali možnosti hackování Smart TV, kdy se vlastně jedná o výbornou špionážní platformu. Smart televize mají mikrofon, kameru a většina aplikací běží (jako např. na WebOS) formou webových appletů, takže se budou znovu objevovat ty staré chyby nalézané v Internet Exploreru, Chrome, Firefoxu apod. Přednášející demonstrovali, jak je možné převzít úplnou kontrolu nad vaší televizí a jak je jednoduché nahlížet do vašich soukromých životů. Diskutuje se i to, že podle reakcí vašeho obličeje se bude hodnotit úspěšnost reklam, nebo se vám podle vaší nálady budou konkretní podsouvat. Usmívejte se, možná se někdo dívá.
Ostatní informace o přednáškách na Black Hat USA 2013
DEF CON si nechme na další díl.
Naše postřehy
Jak se chránit proti APT útokům? Někdo doporučuje tvořit oddělené sítě s vlastní infrastrukturou a AD servery, další apelují na co nejrychlejší aktualizace aplikací a operačních systémů. Pravda tentokrát není někde mezi, ale je spíše nejasná. Budovat síť proti APT útokům vlastně znamená zabezpečit všechny komponenty na nejvyšší možnou úroveň. Od switchů po mainframe serverů. Znamená to identifikovat všechna možná rizika a eliminovat je, případně pak snížit na minimum.
APT je cílený útok, kdy se útočníci snaží využít jakoukoliv slabší část řetězce, takže zabezpečit se proti těmto útokům je za a) ne zcela možné a za b) velice náročné. Ve stručnosti se jedná o zabezpečení každého prvku sítě, každého operačního systému, implementaci antivirového systému se schopností sandboxingu, systému pro analýzu chování malwaru, implementaci intrusion prevention systémů (IPS), systémů zamezujících úniku informací (DLP), systémů schopných identifikovat/předpokládat 0-day útoky, síťový systém behaviorální analýzy komunikace (NBAD) a kvalitní SIEM. APT útoky dokáže spíše detekovat systém s behaviorální analýzou než systém založený na signaturách. Postavit takovou síť je “state of the art” bezpečnosti.
To, že Brian Krebs leží v žaludku několika kyberzločincům díky svým článkům, je známý fakt. Několikrát k němu poslali policejní komando a snaží se na něj shodit kdejaký internetový zločin. Novinkou je poslední akce zvaná “Drugs for Krebs”, kdy se na fóru thecc(dot)bz uspořádala sbírka a nechali poslat do jeho domu 1 gram (13 pytlíčků) kokainu, přes prodejce na Silk Road, s tím, že až balíček dorazí, tak podvrhnou číslo volajícího někým z jeho sousedů a pošlou k němu domu policii. Brian dané fórum naštěstí monitoroval, a tak o všem dopředu informoval policii.
CZ.NIC aktivně vyvíjí router, který by měl sledovat dění na síti a identifikovat potenciální útoky. Pokud daný provoz operátoři CZ.NIC vyhodnotí jako útok, tak upravý politiku na firewallu vedoucí k zamezení. Tuto novou politiku dále rozdistribuují i na ostatní routery. Router by vlastně fungoval jako IPS/Honeypot sonda. Záleží jak se k tomu postaví, jak bezpečný bude OS routeru a především jak bezpečný bude centrální server, který bude distribuovat novou politiku pravidel, aby se někdo nenaboural do systému a nenastavil např. “drop any any”. Nicméně s vlastnostmi honeypot systémů by to mohlo mít svůj potenciál.
Spoofování HTTP hlaviček se zdá být novou metodou skrývání komunikace zombie, či malwaru. Ve zkratce se malware připojí na IP adresu C&C serveru a do pole “Host:” zadá například “google.com”. Daný server samozřejmě nepatří Googlu, ale má nastavený VirtualHost, takže regulérně odpoví s např. dalším kódem, nebo instrukcemi. Toto může zmást některé systémy, které komunikaci vyhodnotí jako komunikaci s google.com a povolí přístup (např. in-path proxy). Tuto techniku používá např. StealRat botnet.
Bruce Shneier ve článku na CNN mluví o vztahu k NSA a o ztrátě důvěry občanů vůči vyjádření společností k aféře PRISM a dalším. Doporučuji přečíst.
Edvard Snowden odhalil další ze špionážních projektů NSA s názvem X-Keyscore. Tento systém pro sběr informací běží na 700 serverech umístěných všude po světě, kde sbírají všechna možná data. Databáze tvořená těmito daty obsahuje údaje o IP provozu (např. kdo přistupuje na danou doménu), emailovou komunikaci, chat komunikaci (Facebook apod.), přenášená data obsahující jména, telefonní čísla/hovory, adresy, nick name, specifický podpis počítače v cookies apod. Podle všech těchto údajů je možné v databázi vyhledávat a to i nad právě probíhající komunikací. Trochu to připomíná Echelon, viďte? Asi ten přístup k datům společností nebude vždy podmíněn soudním příkazem, jak tvrdili.
Další perličkou od Snowdena je prezentace, kde se zmiňuje, že sedm mobilních operátorů (Vodafone, BT, Verizon, … ) spolupracuje s britskou tajnou službou, která má neomezený přístup k datům o hovorech, poslaných emailech a komunikaci na Facebooku.
Ve zkratce
- Anatomie bezpečnosti BIOSu. Rozdíl mezi běžným a UEFI, co je to Secure Boot a tak dále.
- Co to je, jak funguje a konkretní příklady Content Spoofingu.
- Bezpečnost Cloudu? Jde jen o úhel pohledu. Nicméně neopomínejte směřování dnešních útoků.
- Hard disk hacking. Výborný článek na dané téma vysvětlující možnosti skrytí rootkitu v útrobách disku.
- Joseph Bonneau dostal prestižní cenu od NSA a na oplátku zkritizoval jejich praktiky.
- Hackeři z Číny spadli do léčky. Nabourali se do Potěmkinovy vodárny.
Závěr
Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.
Děkujeme
ČLÁNKY DO MAILU