четверг, 21 июня 2012 г.

Стоимость эксплойта...

Прочитал тут новость:  http://www.securitylab.ru/news/426076.php


Суть:


"Некий Джонатан Несс (Jonathan Ness), менеджер по информационной безопасности Trustworthy Computing (одно из подразделений Microsoft) заявил, что софтверный гигант разрабатывает методы уменьшения количества атак с использованием эксплойтов путем увеличения затрат, необходимых для обнаружения и использования уязвимостей.

...



1. Увеличение количества инвестиций, необходимых для поиска опасных уязвимостей.
2. Увеличение количества инвестиций, необходимых для написания функциональных и работоспособных эксплойтов.
3. Сокращение возможности хакеров вернуть свои инвестиции."

(с) SecurityLab



Как обычно - комментарии радуют 8)  Но я вот поделюсь своими мыслями...


На самом деле Несс прав и более того, то о чем он говорит происходит последние лет 7-8.  Печально, что читатели секлаба не видят разницы между "уязвимостью"  и "эксплойтом". Ведь на самом деле большенство уязвимостей не стоят и гроша. Хотя затраты на ихз поиск могут реально что-то стоить. но вот готовый эксплойт уже реально стоит денег. Если прикинуть, что средняя цена эксплойта под ходовой продукт будет около 100.000$, то очевидно, что для повышения стоймости разработки этого эксплойта приведет к повышению его цены.  Из чего складывается цена эксплойта для браузера или плагина к браузеру для win32 (как пример)?


1. Затраты на поиск узвимости V1
    1.1  Разработка фаззера
    1.2  Организация фаззинга (генерация данных, тестирование)
    1.3  Реверсинг и бинарный анализ
    1.4  Анализ исходных кодов (если доступны)2. Захват контроля
    2.1  Контроль EIP (ESP)
        2.1.1 Обход safeSEH
        2.1.2 Обход SEHOP

        2.1.3 Обход /GS в стеке
        2.1.4 Обход защиты кучи

    2.2  Контроль над размещением шеллкода
        2.2.1 Обход DEP (ROP/JIT Spray)

        2.2.2 Обход защит от HeapSpray (Nozzle/Bubble)
    2.3  Передача управления
        2.3.1 Обход ASLR (эксплойт утечки адреса - V2 / Spray)
3. Выполнение произвольного кода
   3.1 Обход песочницы (ring0 эксплойт V3 /  escape эксплойт V4)

В 2002 году не было пунктов 2.1.1-2.1.4, 2.2.1-2.2.2, 2.3.1 и 3.1. В 2007 году не было 2.1.2, 2.2.2,2.3.1. Очевидно, что сложность разработки эксплойтов возрастает, как и цены! Чудесный пример Сергея Глазунова - что бы захакать Хром ему понадобилось 14 мини-эксплойтов. В простейшем же случае вам нужно 2 нормальных эксплойта - под браузер или плагин + эксплойт для ринг0, что бы вырваться из песочницы. Это значит что финальная цена вырастает пропорционально. Не говоря уж и о том, что обход ASLR и DEP по прежнему часто задача творческая и требующая дополнительных усилий. Ровно неделю назад писал эксплойт под SAP 2008 года. Там был /GS и DEP и не было SEH для обхода /GS.  Задача была решена, потому что тогда GS был слабенький ;) Сейчас тот же эксплойт под SAP 2010 года уже не написать так просто, мне лично в падлу 8)  А вот под SAP 2005 года намного проще - там же /GS нету. Так что чем больше будут усложнятся механизмы защиты - тем дороже будет разработка. Ну это, как бы, очевидно. Зато вот финальная цена эксплойта будет определятся следующими показателями:

1. Популярность продукта.

2. Стабильность эксплойта
3. Статус 0Day. (0day дороже, 1day дешевле. Ваш Кэп)
4. Вектор применения (чем меньше нужно сделать "жертве" для срабатывания, тем лучше-дороже / чем легче доставить до цели - тем дороже.)
5. Время от запуска до срабатывания (чем меньше, тем лучше).
6. Насыщенность рынка


Отсюда, мне думается, что на пункт 1 производитель ни как не повлияет 8) На пункт 2 - легко, все тем mitigations что они придумывают, в этом деле легонечко помогают. Пункт 3 - могут косвенно, если сами будут искать баги или с помощью ZDI. Например поробуйте найти в windows7 stack BoF? Нету? Ага, Майкрософт уже давно все самое простое нафаззил и нашел и горе-хакерам осталось искать что-то менее тривиальное =)
4 пункт не очевиден, но в целом повлиять на него сложно не ухудшив юзабилити продукта,  на что вендоры пойти не готовы. 5 - могут. И все это приведет к тому, что кол-во эксплойтов, стабильных и дешевых станет меньше, зато качественные и стабильные, будут стоить НАМНОГО дороже, чем сейчас, ведь на рынке их будет недостаток (пункт 6). Насколько 
и как в таком будущем изменятся цены - я не знаю 8) Если сейчас средняя цена 100к$, то думаю в 2000 она была не такой, почти уверен, что в 10 раз ниже....  Что будет в 2020? Веселое время, однако 8)

среда, 13 июня 2012 г.

Defcon встреча DCG#7812. Номер 10.

Юбилейная встреча нашей группы. Во-первых, она 10ая. Во-вторых, нам ровно ГОД. Да-да, ровно год назад мы собрались первый раз. А помните как все начиналось - http://devteev.blogspot.com/2011/05/defcon.html ?

Что нас ждет 15-го Июня 2012 года в СПбГПУ в 19-00? Три доклада и одна дискуссионная панель, где может высказаться каждый!


1. OAuth и что с ним можно сделать by Егор Хомяков
2. Целостность процессов ОС by Кетов Дмитрий и Нестеров Кирилл
3. Взлом VMware vCenter за 60 секунд by Александр Миноженко и /me

Дискуссионная панель: Offensive Security - WTF?

Дискуссионная панель для всех страждущих общения и обмена опытом. Тема дня - разработка эксплойтов, продажа эксплойтов, тесты на проникновение, любительский взлом. Где граница между злом, добром, честностью и бизнесом? Откровения и признания! Тайны, интриги, расследования!

Let's fucking rock! Oi!Oi!Oi! и тд и тп 8)

P.S.  Ах да, карта, адреса, явки: https://defcon-russia.ru/10.php

суббота, 2 июня 2012 г.

PHDays. Write-up.


Раз я веду блог, то глупо было бы не написать о своих впечатлениях, о таком громком мероприятии как PHDays.

До…

Событие обещало быть легендарным. В прошлом году именно PHDays сделало первый шаг в сторону «техники» и «хака». Это был смелый шаг и он удался. В этом году обещали уже и западных докладчиков с интересными темами, и целых два дня угара. По взрослому уже. Что же, любой человек, который, так или иначе, увлекается темой ИБ просто обязан был попытаться попасть туда. Мои коллеги  (Саша Поляков aka @sh2kerr, Дмитрий Евдокимов aka @evdokimovds и Саша Миноженко aka @al3xmin) уже были в программе как докладчики или как участники CTF. А мне пришлось в последний момент готовить (опять же с Сашей Миноженко) доклад про взлом VMware. И, о счастье. Нашлось меcто в секции FastTrack. Так что один из вариантов попасть на событие – быть прямым учаником, докладчиком или пройти отборные в CTF. Второй вариант – быть приглашенным. Как я понял, эта группа друзей и клиентов компании-организатора. Поэтому вдвойне приятно, что они пригласили и наших коллег и всех тех, кто занимается ИБ. На мероприятии я увидел почти всех знакомых мне деятелей ИБ! А это очень важный момент на таких мероприятиях 8) Более того, я познакомился с теми, кого знал например только по Твиттеру или блогам. Это огромный плюс организатору, ведь коммунити такой любви и внимания не забудет ;) К сожалению надо признать, что всем остальным. Кому не посчастливилось быть либо непосредственным участником программы либо приглашенным приходилось надеется на открытию регистрацию с оставшимися местами. Это самый неприятный момент всего PHDays, но оргов понять можно – зал не резиновый, а вход бесплатный. Поэтому  раздача оставшихся мест напоминало выходку Дурова в день города. Говорят даже получался эффект недоступности сервиса из-за наплыва желающих. В итоге за 8 минут все места были разобраны. Но надо сказать, что организаторы сделали еще доп. регистрацию, так что, надеюсь, обиженных не оказалось. Кроме того, если очень захотеть, то найти путь «проникновения» на конференцию не так уж сложно. Например, я в первый день потерял совой бейдж и спокойно ходил без него. Охранник подошел всего один раз, но мер не предпринял (достаточно добрый и приятный человек).

Во-время…

Место было выбрано удачно – центр города, рядом метро. Помещение хорошее, залы хорошие, экраны… ну вообщем то же хорошие. Звук отличный. Вообще организация была великолепной. В плане тех. обеспечения и удобства. Везде  есть места где можно присесть, есть на что посмотреть. Глаза всегда заняты чем-то. Это круто. Общий стиль выдержан достаточно хорошо, а на самом деле просто отлично 8) Сами организаторы выглядели измучено, но всегда помогали и не бросали в беде. Это просто превосходно, поэтому хочу сказать всем тем позитивным ребятам, когда я доставал их с всякими проблемами – СПАСИБО!

Доклады…

Треков много, они параллельны и приходилось выбирать куда идти. Но выбор был не сложным, так как технических и интересных докладов было не так много 8( Но те что были, были первоклассными 8) Отмечу:

Тревис Гудспид – доклад про использование шумов и внедрения пакетов на первом уровне! Весело, оригинально и интересно. Докладчик хорошо доносит тему, я правда слегка упустил идею с организацией шума, но потом мне объяснили и эту задачу 8)

Никита Тараканов и Александр Бажанюк – использование BitBlaze при фаззинге. Доклад хороший, технический, а главное очень объективный в плане возможностей по использованию сабжа. Очень жаль, что лично Саша не приехал по объективным причинам в Москву, очень хотелось бы пообщаться лично.

Маркус Нимец – тап-джекинг. Да это забавный доклад, а главное показывает, как обойти  такие вещи как «ограничение на звонки и запуск приложений» за счет багов юзер интерфейса. Посмотрим, конечно, будут-ли такие такие атаки реализованы злоумышленниками, но с точки зрения общей модели безопасности Андройда – явный фейл.

Александр Матросов и Евгений Родионов – очень любопытный доклад-обзор на тему атак интерфейсов смарт-карт реальными вредоносами. Считаю что именно такими и должны быть доклады антивирусников. К примеру, все три доклада от Касперских – унылы с точки зрения техники и были общими и пугательными. Хотя я уверен, что они могли бы и что-то адовое рассказать, но видимо ЦА была другая… да, да - для «пиджаков»  и таких докладов для детей или пиджаков было много 8(

Андрей Костин – знаменитый хакер, который ломает то, что любой пен-тсетер часто игнорирует при  работах – принтеры. Реально интересный и зрелищный доклад.

Владимир Воронцов – про XXE атаки и о том, как прочитать валидный XML документ. Хорошо рассказано, даже 0дэей показал 8) а главная ценность доклада – практическая применимость в реальной жизни. Например при тех-же пен-тестах. Люблю такие доклады и поэтому, несмотря на  то. что он был в 9 утра второго дня, мы, с болью в голове и не выспавшиеся пришли на него… и мест в зале не было 8) Это круто!

Кстати, потом Володя сделал «доклад инжешн атаку» атаку и на секции фасттрек незапланированно рассказал про особенность нового РФЦ, а именно про то, что теперь согласно новой религии стандарта, все под домены могут читать куки домена более высокого уровня. Я бы даже назвал этот доклад «breaking news» 8)

Кроме того, доклад Владимира Кочеткова был техничным и хорошим, и реально интересным. Так же были и другие интересные доклады от Сергея Щербеля, Мирослава Штампара, Дмитрия Склярова и  Андрея Беленко, Федора Ярочкина и Владимира Кропотова, Александра Лямина (кстати, Александр потом рассказывал, что есть более интересная тема, про вынос nginx и предложил нам его на Zeronights. Я попросил рассказать детали, но Александр молодец - не сдал 0дэя и рассказал мне только про slowloris-подобие, но надеемся, что на ZN этот доклад все же состоится).
 
Дмитрий Скляров показывает как некоторые девелоперы выбирают алгоритм для генерации случайных чисел 8)
 А как же Шнаер? Нет, про его доклад ничего плохого сказать не могу. А вот хорошее скажу – складно говорит, интересно слушать. Вообще сложилось впечатление, что больше всего люди хотели просто сфотографироваться с ним 8) А как же Solar Designer? Доклад может и «исторический», но человек он интересный и очень умный, жаль пообщаться не удалось особо.
 К сожалению фасттрек был не в зале, а прямо в проходе. Так что тем, кто говорил тихо и скромно - было тяжело. Вообще фасттрек прошел как то скучно. Надеюсь я там не очень нес чепуху –чувствовал себя не очень (ветер, алкоголь, недосып… ну типа я оправдываюсь). 
Мастер классы…
 
Говорят, что были унылы и для «нубов». Я был только на одном – про HTML5. Да, он общий конечно, но вот не унылый. Все подготовлено на хорошем уровне – тесты, задачи. Демонстрации. Все красиво и эффективно для обучения. Так что спасибо Андресу Рьянчо (@w3af). Отличная работа!
 Ну теперь пару неприятных моментов – остальные доклады были уж больно «пиджачные» или унылые. Так хакеры Москву не взламывают ).Это лично мое мнение. Возможно, я зануда и придираюсь. Простите меня за это. Так же – во второй день народу пришло явно меньше чем в первый.
 Про халяву, еду, пиво и односолодовый виски вы прочитаете в других врайт-апах, а я дальше расскажу про конкурсы. 
Федор Ярочкин, Александр Поляков и я – встретились на лодке. Прямо как в Амстердаме в 2010, тогда мы так же катались на лодке… (ностальгия)
 
 
Конкурсы.
 Одной из особенностью PHDays это его CTF. Я не участник этого праздника хака, но могу сказать, что редко где такое внимание и любовь дается участникам CTF. Конечно заставлять играть два дня подряд и всю ночь может и безжалостно, но это для тру-хакеров - стойких нервами и обладающих выносливостью и усидчивостью. Короче не для меня 8) Но я очень рад. Что победила там наша команда из LeetMore. Во-первых. Это команда из Питера, во-вторых там играет мой коллега по работе - @al3xmin, в-третьих там много классных и умных ребят. И не удивительно, ведь Книга Дракона для них классическое чтиво. А вот я её не читал и воспринимаю этот пробел как свой личный недостаток как специалиста 8) (todo: купить и прочитать).
 Кроме CTF было и много других конкурсов, но  я выделю один. Где мы приняли участие. Вернее я отказался участвовать сославшись на то, что я приехал сюда общаться, а не сидеть перед ноутом (который я так же не взял) но вот мои коллеги Дима @_chipik и Глеб @cherboff приняли этот челлендж. Конкурс – «Большой Ку$». За день до экшена, зарегистрированые участники получали образ ОС с развернутой системой ДБО и тестовой БД. Кроме того, понятно дело, давались исходники  этой самой ДБО. После того, как ты сутки искал баги, на второй день проходит конкурс: всем участникам дается свой логин и пароль к ДБО и карточка (реальная!), которая привязана к вашему счету. Дается около 30 минут. За это время участники должны захакать уже боевую инсталляцию ДБО, задача – перечислить деньги с других счетов на свой собственный, после чего с помощью выданной карточки снять ЖИВЫЕ деньги с банкомата, который был так же настоящим и стоял себе в сторонке и ждал победителей. Я так понимаю, организаторы замутили свой псевдо-процессинг, привязали его к СУБД ДБО и к банкомату. Очень классное решение и очень живой конкурс. Ведь бабло можно тырить не только с подготовленных аккаунтов, но и у других участников. Состояние счетов было выведено на экран и все 30 минут можно было видеть, как идет процесс и кто более крутой ворюга 8) Очень живой конкурс и тот кто его придумал – гений. Сами уязвимости были не тупо-вебскими, но и логическими. Наш сплойт перебирал ИД пользователей ДБО, сбрасывал им пароль через соответствующую багу (пропуск одного шага), заходил к ним в аккаунт получал баланс и все бабло переводил на наш счет. Для этого надо было обойти одноразовый пароль, что так же было сделано за счет алгоритма слабой генерации этого-самого кода. Для автоматизации всего это процесса была найдена бага в капчте, так что в итоге эксплойт все делал сам – полная автоматизация. Оператор только следил 8) Кроме того, был учтен и тот факт, что нас так же могут поиметь, поэтому наш эксплойт не только воровал но и защищал нас – менял пароль и сбрасывал сессию  раз в период. В итоге наши ребята получили второе место, обойдя таких именитых хакеров как CYBERPUNK и Raz0r, так что я ими очень горжусь. К сожалению, они не стали заморачиваться над другими багами в этом конкурсе – слабая генерация сессии и обход аутентификации в Хэлпдеске. Эти баги давали информацию об аккаунтах с цифровыми паролями (что в дальнейшим позволило их брутить) и, как следствие, получать доступ к аккаунтам с другим балансом. Если я ошибся, надеюсь, меня поправят...  Так что героем конкурса, стал GiftS, которые за эксплойтил эти слабости, занял первое место и украл заработал 3500 руб, а мои друзья - лишь второе место и 900 рублей 8) Все деньги банкомат честно выдал. Третье место досталось Raz0r
. Надеюсь, ребята расскажут, что там было в этом конкурсе еще! Но реально, конкурс удался... я получил массу удовольствий болея за ребят, глядя на хладнокровные лица участников и табло с таблицей баланса!
 
Участники конкурса «Большой Ку$h»
 Ах да, еще я выиграл в конкурсе футболок (в конкурсе script-kiddies):
 

 И конечно конкурс HACK2OWN. Он прошел с двумя пробивами: от Никиты Тараканова было получено повышение привилегий в Windows XP, а второй победитель – Павел Шувалов добился, вроде бы, выполнения кода через SMS в iPhone.
 
Никита Тараканов - двукратный призер 8)
 

 
Артур Геркис, Андрей Костин, Федор Ярочкин, я, Александр Поляков и Дмитрий Евдокимов.
 
Александр Матросов, я, Артур Геркис, Владимир Воронцов (кстати, победитель алко-хак конкурса «Наливайка»), Александр Поляков 8)

//Фото Артура Геркиса и Владимира Кропотова