DefCamp 2015: Впечатления

defcamp-1.png

О конференции DefCamp

19-20 ноября 2015 в Бухаресте (Румыния) прошла шестая международная конференция Defcamp 2015, посвященная вопросам информационной безопасности и технологиям защиты информации. DefCamp является одной из успешных конференций по взлому и информационной безопасности в Центральной и Восточной Европе. Среди прочих можно отметить Hacktivity (Венгрия) и CONFidence (Польша). Цель Defcamp - обсуждение практических новейших исследованиях специалистами по безопасности и предпринимателями.

Прошедшее мероприятие крупнейшее событие в области информационной безопасности и взлома области из Румынии, оно собрало более 700 участников из Румынии и соседних стран, участников с разным знанием и опытом – от студентов до руководителей в различных отраслях, экспертов по информационной безопасности и исследователей. По заявлениям организатора в этом году участники прибыли из 34 стран и 75 городов, включая как Европу, так и США, Индию и ОАЭ.

defcamp-2.png

defcamp-3.png

Организатором выступает неправительственная организация - Научно-исследовательский центр кибербезопасности Румынии / Cyber Security Research Center from Romania. Целью является поощрение, поддержка, реализация и координация исследований в области информационной безопасности в Румынии, а также международных действий с краткосрочной, среднесрочной и долгосрочной перспективой партнерства. Перечень активностей включает (но не ограничивается):

  • Участие с опытом работы в области информационной безопасности, разработку новых технологий и внедрения новых систем информационной безопасности;
  • Исследования в области информационной безопасности;
  • Развитие партнерских отношений с ключевыми международными структурами с целью нейтрализации угроз в области информационной безопасности;
  • Расследования информационных систем с целью повышения качества информационной безопасности;
  • Кампании СМИ и проведения конференций безопасности;
  • Разработка проектов для развития местной и региональной ИТ.

При этом перечень направлений представлен достаточно широко:

  • «Наступательная» и «Оборонительная» Безопасность / Offensive and Defensive Security;
  • Кибероружие;
  • Вредоносное ПО и уязвимости;
  • Разработка и реверсинг;
  • Сетевая безопасность;
  • Вопросы приватности;
  • 0-day, APT, DDoS;
  • Разведка в соцмедиа;
  • Криптография;
  • Мобильная безопасность;
  • Встроенные системы;
  • SCADA, SOC и SIEM.

Портфель проектов организации представлен 4 мероприятиями:

Постоянным спонсорами мероприятия являются Orage и BitDefender. Они также являются золотыми спонсорами, к которым в этом году присоединился Checkmarx. Также постоянным является SafeTech.

О DefCamp 2015

Формат проведения мероприятия включает традиционную секцию с докладами, а также CFP-конкурс. Победители конкурса за первые три места получили призы в размере 1500, 1000, 500 евро. Россию представляла команда студентов/выпускников из МИФИ, однако в призера она не попала. Секция с докладами в этом году проходила с двумя параллельными треками: для сравнения в прошлом году трек был один. Официальным языком программы был английский.

defcamp-photo1.jpg

Конференция была направлена на обмен прогрессивными и инновационными идеями, результатами новейших исследований и разработок, профессиональным опытом по всем направлениям ИТ-безопасности. При этом важно отметить, что качество докладов было высокое, опыт докладчиков – разный, а взгляды на вопросы безопасности также различались особенностями решения проблемы в каждом конкретном случае. Например, стоить отметить, что специфика Индии и Пакинстана, а также Восточной Европы интересна детализацией технической стороны вопроса, в то время как американские коллеги все сводят к организационным моментам и тренингам/обучению либо к изложению фактов.

Тематика конференции должна была охватывать широкий круг вопросов по информационной безопасности и технологиям защиты информации, но по факту включала:

  • Безопасность IoT;
  • Пентест;
  • Безопасность мобильных устройств;
  • Безопасности каналов передачи данных;
  • Социальная инженерия;
  • Мониторинг различных событий;
  • Прочие доклады.

Все доклады организаторами позже будут опубликованы на сайте, возможно, в течение месяца или до конца года (зависит от начавшейся в Румынии BlackFriday и надвигающегося рождества). Также организаторы планируют переносить мероприятие на весну и рассматривают возможность проведения других fast/short-мероприятий не только на территории Румынии.

О докладах DefCamp 2015

На DefCamp 2015 было сделано несколько любопытных докладов. Постараемся вкратце о них рассказать

Безопасность умных вещей / IoT Security

defcamp-photo2.jpg     defcamp-photo3.jpg

Докладчиками были аспиранты МИФИ и сооснователи AVULN Security Industries, реверсер Андрей Ловянников (Andrey Lovyannikov) и криптоэксперт Антон Прохоров (Anton Prokhorov). AVULN Security Industries – компания, основанная в 2014 году, «молодая команда специалистов по кибербезопасности, которая стремится делать небумажную, но реальную безопасность». AVULN предлагает

  • услуги по безопасности, включая пентест web-приложений, ДБО, сетей, анализ защищённости приложений mobile, cloud, desktop, анализ исходного кода;
  • SaaS-решение по непрерывному тестированию на проникновение на уровне одной кнопки «введи URLàполучи результат», так и закрытого бета-тестирования;
  • домашнее «инновационное» решение AVULNATOR для защиты ПК, мобильных устройств, TV, игровых консолей, роутеров и умного дома со скидкой 10% и бесплатной доставкой.

Ребята весело и бодро за 15 минут отбарабанили часовой доклад о том, что их решение лучше и его надо срочно купить. Рассматриваемая в докладе проблематика состояла в том, что есть умные устройства, для которых производители не выпускают обновления к прошивкам, поэтому они небезопасны, варианты атак на них общеизвестны. Докладчики рассказали о решении, которое защищает от этих атак и заметили, что оно лучше, чем Snort. Правда, на два ключевых вопроса, чем это лучше Snort'а и почему нельзя написать сигнатуру для него, а также, в чем преимущество над IDS/IPS, ответы даны не были.

Из блога, известно, что прототип представлен на PHDays в этом году. Кроме этой публикации, есть ещё одна о важности защиты термодатчиков. Также присутствует «детальное» сравнение с аналогами, где нет ни IDS, ни Snort (с которым они сравнивали с их слов во время презентации).

Также, если рассмотреть черновик страницы по безопасности OWASP, то можно обнаружить гораздо больше проблем, чем в чеклисте, который представлен отдельной страницей на портале и не включен в проект OWASP IoT Security и на который докладчики ссылаются при сравнении.

defcamp-4.png

Finding media bugs in Android using file format fuzzing

defcamp-photo4.jpg

Докладчиком выступил Костел Максим (Costel Maxim), сотрудник Security QA Lead Intel's Open Source Technology Center (Румыния). Он рассказал об опыте Intel, полученном в рамках реализации различных проектов, когда приходилось иметь дело с различными компактными ОС. По одному из них было необходимо создать стабильную сборку ОС для выносных/уличных рекламных и ТВ-бордов. Учитывая, что Android являлся для платформы x86 удачным решением, было решено использовать эту ОС. Однако в процессе реализации проекта возникли сложности с медийными форматами, которые заключались в большом количестве ошибок и падений ОС. По итогам проекта появился специальный фаззер, который позволял выполнять тестирование Android без запуска на реальных устройствах. Изначально не нацеленный на поиск уязвимостей фаззер, тем не менее, успешно справляется и с поиском разного рода уязвимостей. По словам докладчика, инструмент позволяет выявлять уязвимости, которые могут локально привести к эскалации привилегий, однако крайне маловероятно, что с его помощью можно найти уязвимости для удалённой эксплуатации.




Integrating Mobile Devices into Your Penetration Testing Program

defcamp-photo5.jpg

Докладчица Джорджия Видман (Georgia Weidman), основатель и глава Bulb Security & Shevirah (США) выступала по теме мобильной безопасности в условиях корпоративной среды. Речь шла о EMM/MDM-решениях, которые стали крайне популярны за последние годы. Также докладчица отмечает, что EMM/MDM не защищают от уязвимостей и достаточно атаковать устройства, имеющие доступ к сети, чтобы получить доступ к инфраструктуре.

Идея атаки через устройство всей инфраструктуры не нова и включена в категорию proxy-attack. Она предполагает сбор данных с устройства для доступа к инфраструктуре и данных, полученных из инфраструктуры, а также выполнение действий от имени легитимного пользователя в инфраструктуре через браузер, программы или другие доступны средства. Для реализации такого рода атаки, необходимо доставить на устройство-жертву вредоносный объект. Способы доставки разные, в т.ч. каналы доступа (SMS, Bluetooth, Wi-Fi, NFC и т.д.). Докладчица, основываясь на её предыдущих докладах, предпочитает следующий способ. Изготовляется вредоносный исполняемый файл, снабжается известной уязвимостью и доставляется на устройство жертвы. После чего жертву убеждают в необходимости запустить этот файл (социнженерия). Последствия включают эскалацию доступа для получения содержимого устройства и выполнения дальнейших действий.

Детали разработки уязвимостей не разглашаются (коммерческий секрет). Необходимо лишь отметить, что участница выиграла в свое время спонсорский грант от DARPA на стартапы в области ИБ около 8 лет назад

Так как докладчица выступает каждый раз с одним и тем же материалом, поэтому презентации и видеоматериалы можно в интернете по ключевым словам: Georgia Weidman + названия конференций CONFidence 2013, Hackfest.ca 2013, HackerHalted 2014. Также была на других мероприятиях.

 

Breaking in Bad (I'm the one who doesn't knock)

defcamp-photo6.jpg

Докладчик Джейсон Стрит (Jayson Street) Infosec Ranger at Pwnie Express (США) отметил важность социальной инженерии и ее необходимость для проведения теста на проникновение. Джейсон демонстрировал видео проникновения в здания и помещения без специальных средств путём разговора с людьми. Ключевой цитатой доклада является «"I've never met a stupid employee. They're intelligent and do what they've been trained." When they fail, it's our fault». «Я никогда не встречал тупых сотрудников. Они делают то, чему были обучены. Когда они совершают ошибку, это наша ошибка [наша – специалистов по обучению безопасности]». Ключевой посыл докладчика – нужно перестать продавать услуги аудита и начать продавать услуги по обучению персонала навыкам безопасности (security awareness training).

Pentesting Android Applications

defcamp-photo8.png

Индийская докладчица Sneha Rajguru (Снеха Раджгуру), консультант по ИБ компании Payatu Technologies Pvt. Ltd (Индия), рассказала про опыт проведения исследования Android-приложений на проникновение. Занимается проведением мастер-классов. Презентация была детальная на основе материалов для мастер-классов, но в целом  представляет собой обобщение знаний по аудиту и пентесту для ОС Android. Компания Payatu также является основным организатором конференции в Индии NullCon.

Untrusted mobile applications. State of art of security app-apocalypse

defcamp-photo9.jpgБолее подробно мы остановимся на докладе нашего сотрудника – эксперта по безопасности мобильных устройств и приложений Юрия Чемёркина.

По факту в него включена информация не только о приложениях для мобильных ОС, но и для кроссплатформенных ОС. Доклад состоял из нескольких частей «что мы уже знаем» и «что планируем узнать». Первый раздел освещал известные факты независимых исследователей по ИБ, реакции компаний на заявления о небезопасности их приложений. Второй – описывал подход и границы исследования, а также результаты исследования. Дополнительно в презентацию были включены слайды с общими рекомендациями по защите. Главная мысль доклада – «разработчики делают небезопасные приложения в большинстве случаев и перекладывают ответственность и риски на пользователя. При этом стоимость защиты приложений не дороже стоимости лицензии продукта на взлом – от $30 до $2000 [среди популярных решений по взлому данных]». В презентации рассматривались различные практические примеры:

  • hotels.ru присылает учётные данные в почтовом письме в открытом виде, а остальные данные хранимые или передаваемые по сети не защищает, полагаясь на защиту сторонних ресурсов, на которые он переадресовывает;
  • kinvey сервис-backend для разработчиков не противодействует MITM атакам;
  • сети Wi-Fi – как бесплатные и открытые, так и закрытые и предоплаченные – могут быть недоверенными – JFK Airport / Boingo Network, Bucharest Henri Airport / Free WiFi Network. В работе в этих сетях есть схожие признаки, возникающие при попытке совершения MITM.

Так же во время доклада был запущен опрос, цель которого узнать отношение разных категорий людей к безопасности данных. В опросе приняло участие всего 17 человек. Все голосовавшие единогласно сошлись во мнении, что они понимают важность безопасности и защиты их данных.

 defcamp-5.png

defcamp-6.png

defcamp-7.png

defcamp-9.png

Отдельного внимания заслуживает подборка высказываний разработчиков о небезопасности их данных. Например, представители Instagram считают, что использовать https более чем достаточно, особенно после того как долгое время они использовали http, даже несмотря на MITM-атаки. Kik Messenger защищает от MITM-атак, но не планирует защищать локальные данные, т.к. песочница – это достаточная защита данных. Разработчики 1Password считают, что отсутствие защиты помогает повысить производительность приложений и сэкономить батарею. Сложно в этом их переубедить. Разработчики 4talk заявляют о том, что они защищают пользовательскую информацию. На 2014 год ни одна редакция приложения под популярные ОС не защищала данные. В этом году редакция для Windows (Desktop) защищает как хранимые, так и передаваемые данные, для Android – только передаваемые данные, клиенты iOS, Mac OS – не имеют механизмы защиты данных. Некоторые разработчики считают, что утечка данных – это результат нормальных действий программы, в отличие от уязвимостей, что является слабостью, поэтому слабость не равна нормальным действиям и заботиться об утечке данных не стоит. Тем не менее, согласно исследованию 30% недовольных клиентов готовы удалить приложение за несоблюдение норм безопасности данных. А, вот, например, Viber считает, что персональные данные включают в себя «пароль».

defcamp-10.png

Текущее исследование, представленное в докладе, включало около 700 неуникальных приложений для различных платформ – iOS (iPhone/iPad), Mac OS X, Windows Modern Apps, Android, BlackBerry. В результате исследования была проведена оценка использования системных механизмов защиты данных и собственных в сравнении с максимально возможным показателем защиты данных, для обхода которого потребовались бы jailbreak, root как минимум. На двух следующих графиках для каждой категории информации приведены 2 показателя для всех приложений: серый – это фактический показатель защиты (условно в равномерных баллах) и белый – максимальный, который можно было достичь. Сравнивания их между собой, а также системные и собственные механизмы защиты данных,  можно сделать соответствующие выводы о глобальном характере небезопасности данных, циркулирующих в мире.

defcamp-11.png

defcamp-120.png

 Также в докладе отмечены следующие списки-категории приложений по признаку

  • самых защищённых приложений, которые используют системные механизмы для сетевой защиты;
  • самых защищённых приложений, которые используют собственные механизмы для сетевой защиты;
  • самых защищённых приложений, которые используют собственные механизмы для локальной защиты;
  • cамых защищённых приложений, которые используют кэширующие механизмы для локальной защиты. Здесь понимается неполное или временное хранение данных, а также невозможность запросить данные более, чем за полугодичный период времени;
  • cамых защищённых приложений для Mac: здесь смешивается использование разработчиком механизмов системной защиты сетевых данных и хранимых локально в keychain – системном защищённом хранилище данных;
  • Windows Modern 10 (UWP-приложения) в рассмотренной редакции ОС Inside Developer Build (от июня 2015) отличны тем, что не удалось провести атаки по перехвату защищённых данных; при этом сложностей в получении доступа к локальным данным нет. Однако, точно делать выводы нельзя, т.к. на момент исследования не было официального релиза Windows Mobile 10, а для настольной версии ОС Windows 10 ещё не вышли обновления безопасности.
  • BlackBerry ОС традиционно держит пальму первенства по защите данных; здесь разработчикам не требуется прикладывать усилия для их защиты, т.к. на системном уровне механизмы защищают от известных атак. При доступе к данным, здесь можно говорить о незащищённых передаваемых по сети, например, http, или данных, сохраняемых в резервных копиях
  • самых небезопасных приложений, которые передают данные в открытом виде по http;
  • самых уникальных приложений, которые имеют случайные ошибки в безопасности, например, раскрывают информацию о передаваемых или получаемых данных, и вместе с тем, блокируют попытки перехвата трафика;
  • самых уникальных приложений, разработчики которых не всегда своевременно обновляют приложения для разных платформ;
  • самых уникальных приложений, которые работают по https, но не проверяют сертификаты на подлинность или в лучшем случае сообщают о недоверенном подключении вместо блокирования подключения.