Предисловие

Конференция CONFidence, по традиции проходящая в Кракове в последнюю декаду мая, представляет собой интересное событие с живой атмосферой для всех, кто готов поделиться результатами интересных ИБ-наработок, да и послушать тоже. Среди других аналогичных конференций её можно назвать лучшей. Атмосфера мероприятия не просто живая. Это "место дислокации хакеров" в стиле индастриал, снабженное игровыми консолями плюс открытая зона с возможностью проведения различных спортивных мероприятий, популярных даже несмотря на относительно пасмурную и дождливую погоду в этот раз. Однако на этом возможность для неформального общения не заканчивается. Например, каждый день докладчиков приглашают на ужин в очередной ресторан и предлагают пойти после в клуб. Так нам удалось пообщаться с одним из участников PHDays 2013, выступавшим там с докладом и проводившим на тему LockPicking и физической безопасности мастер-класс, где можно было научиться открывать замки на скорость с помощью отмычек. Он поделился своими позитивными и негативными впечатлениями от нескольких дней, проведённых в Москве.

Часть нулевая: Keynotes

Thomas Lim – ключевой докладчик первого дня и СЕО COSEINC & SyScan. Как и полагается ключевым докладчикам, Он разогревал или усыплял публику околофилософскими и спорными утверждениями на тему кибервойны. Он рассказывал о следующих особенностях развития Китая и ряда других азиатских стран (например, Тайвань, Япония) в области ИТ, экономики, энергетики, промышленности, включая военную:

· нет необходимости платить за разработку третьей стороне;

· нет необходимости разрабатывать с нуля;

· есть возможность и средства быть лучшими реверсерами в мире

· есть возможность и средства быть лучшими реверсерами в любой области

· не надо беспокоиться из-за нежелательных последствий ввиду особой политики государства.

Часть первая: Сетевая Безопасность

Mariusz Sawczuk и Jochen Belke как спонсоры конференции, в своем докладе представили демо-продукт по анализу сетевых данных на основе протокола NetFlow от Cisco. Протокол предназначен для сбора информации по сетевому трафику в оборудованиях Cisco Systems, Juniper и Enterasys и позволяет получать различную информацию, как например, адреса/порты источника/назначения, типы/коды сообщений для ICMP, номера протоколов, типы сервисов, метки потоков, адреса шлюзов и т.п. Докладчики отметили, что на данный момент собирают базовую информацию и статистику, поэтому видеть в этом панацею по отражению атак не стоит, но они непрерывно совершенствуют свой продукт.

Во второй день было представлено ещё два доклада по тематике сетевой безопасности и аутентификации соответственно: Gawel Mikolajczyk «Networking Security Treasures», [http://www.data.proidea.org.pl/confidence/11edycja/gawel_mikolajczyk.pdf], и Fernando Gont «Network Reconnaissance in IPv6 Networks», [http://www.data.proidea.org.pl/confidence/11edycja/fernando_gont.pdf], Ключевые идеи: как мало ещё сделано для защиты сетевых протоколов и как они ещё до сих пор уязвимы.

Вернемся к первому дню. Следующий докладчик на CONFidence, Ilja van Sprudel «Linux Desktop Insecurity» рассказал о недельном исследовании Ubuntu OS – не с целью поиска конкретного бага, а аналитическом исследовании всей ОС целиком и оценке, насколько она ушла в своём развитии с позиции безопасности 90-х годов. Это беглый анализ с локализацией всех мест для записи посредством рядом простых консольных команд: find / -perm -0666 -type f , find / -perm -0666 -type d и suid'ные файлы find / -perm +2000 -o -perm +4000 -type f. Выявленные артефакты: парсеры 80-х кодов, написанные на Си, и различные костыльные решения, созданные ранее 80-х, плохая валидация в сетевых протоколах (десятки банальных ошибок) и т.п. Затем докладчик представил комментарии людей, исправляющих данные баги: «Да эти ошибки возможны, но в сегодняшних реальных объёмах ресурсов трудно достижимы, поэтому это не ошибкиJ. Перефразируя слова «Отдельные ошибки появились в результате copy-paste» и цитируя [http://jokesland.net.ru/programmer.html] для отражения лучшего смысла, становится очевидным, что «В этом коде не просто живут баги. Здесь их гнездо. Это гнездо постоянно воспроизводит себя при помощи любимой китайской технологии реиспользования кода - copy/paste», хотя и уточняется, что они были актуальны в период Морисса и Митника, а сейчас не популярны, но не невозможны. «Но мы будем рады, если кто-то их исправит.» Докладчик отметил что в среднем каждые 1–1.5 недели выходит 100 – 120 патчей для сетевых библиотек и графического интерфейса, уже не говоря об остальных. Примерно за последние десять лет на волне «нового ленивого» администрирования в пакетах стали появляться некорректно настроенные права . Это быстро распространилось в различных пакетах и сборках и на сегодняшний день трудно отслеживается. В целом, автор привёл много интересных фактов, ряд из которых можно найти в его презентации, [http://www.data.proidea.org.pl/confidence/11edycja/ilja_van_sprudel.pdf].

Nikita Tarakanov в своём докладе «Exploiting Hardcore Pool Corruptions in Microsoft Windows Kernel» рассказал о поиске багов для Win7 и Win8 с учётом архитектур x86,x64; о кардинальных и не очень изменениях; о сторонних работах в этой же области. Он отметил любовь разработчиков к магическим константам, хардкодам в памяти и к использованию SMEP-технологии как аппаратного средства безопасности вкупе с процессорами INTEL, которая делает чуть более защищёнными новые ОС 8 и ОС 9. Доклад можно найти здесь: [http://www.data.proidea.org.pl/confidence/11edycja/Nikita_Tarakanov.pdf], а информацию о SMEP – здесь: [http://habrahabr.ru/company/pt/blog/152365/].

Arseny Reutovв своем докладе «PHP Object Injection revisted» продолжил тему поиска багов и рассказал о возможных уязвимостях в PHP и о возможности выполнения произвольного кода, об особенностях перехвата сессий и о том, что разработчики вспоминают о багрепортах только тогда, когда появляется metasploit с полным боекомплектом фунционала, позволяющего атаковать новые версии – так что ошибку надо будет закрывать во всех версиях сразу.

Часть третья : Реверсинг и малварь

Nguyen Anh Quynh, автор доклада «Opticode: machine code deobfuscation for malware analysts», давал дельные практические советы по оптимизации и деобфускации кода. Доклад крайне конкретный для реверсеров и тех, кто хотя бы немного любит математику :) Детали можно найти здесь: [http://www.data.proidea.org.pl/confidence/11edycja/NGUYEN_Anh_Quynh.pdf].

Тему реверсинга в деталях продолжили Gynvael Coldwind, Mateusz “j00ru” Jurczyk «Beyond MOV ADD XOR – the unusual and unexpected in x86», с рассказом о своём опыте в области архитектуры процессоров x86. Они отметили, что хоронить эту архитектуру пока рано, несмотря на x64, т.к. есть масса микроконтроллеров, использующих эту архитектуру. Доклад детальности выше среднего, дополняющийся обилием ссылок на различные источники.

На популярную и вечную тему реверсинга –, представили свойдоклад и Julian Bangert и Sergey Bratus: «ELF Eccentricities» [http://www.data.proidea.org.pl/confidence/11edycja/julian_bangert_rebecca_shapiro_sergey_bratus,.pdf]. Они рассказали о ELF-формате и его реверсинге. ELF-формат исполняемых файлов для *NIX не менее популярен, чем аналогичный формат для системы Windows, т.к. известны случаи обхода IDS-систем, использования его в качестве решений anti-AV или anti-anti-anti-debug (т.е. значительного затруднения реверсинга этих файлов), ну и, несомненно, как возможности спрятать много «полезного вредоносного» функционала. На второй день Rebecca Bx Shapiro, Julian Bangert, Sergey Bratus представили доклад «Any Input Is a Program: Weird Machines in ABI and architecture metadata», который частично получился филофофско-математическим, т.к. вначале Сергей рассказывал о машине Тьюринга и о том, как соотносятся с ней ELF-файлы: ввод информации и т.п. Т.е. можно считать, что оба эти доклада составляют единое целое.

Часть четвёртая: Пентест

Marek Zmyslowski представил немного философский доклад «Testy penetracyjne – 7 grzechow glownych» о том,как надо и как не надо проводить пентест с учётом ТЗ и особенностей мышления заказчика, требования которого, с его точки зрения, могут быть некорретны. Например: «протестируйте нам сетку, но это не трогайте, а то у нас сервер ляжет». Тема всегда спорная: какой критерий лучше – с технической стороны, с организационной и с позиции желания заказчика.

Послесловие

В отличие от прочих конференций, где доклады зачастую могут даже не относиться к области ИБ или быть просто коммерческими, здесь даже коммерческие доклады представлены как технические и делаются техническими специалистами. Это, несомненно, является плюсом, т.к. не всегда нетехнические специалисты могут грамотно ответить на все интересующие вопросы. Собственно, CONFidence – одна из конференций для посещения из серии must-have.