Настало время поделиться новостями программы конференции ZeroNights. Мы расскажем о каждом докладе, который можно будет послушать на ZN, предстоящих мастер-классах, конкурсах, а также представим нововведение этого года — Web Village (наконец-то).
В этом году будет нечто небывалое, невиданное и неслыханное — сразу двое ключевых докладчиков на ZeroNights. Один откроет первый день мероприятия, другой зажжет в начале второго!
Томас Даллиен (aka Halvar Flake)
Машинное обучение, атака и будущее автоматизации
Томас Даллиен начал свою деятельности в реверс инжиниринге и технических средствах защиты авторских прав в середине 90-х. Тогда он сразу же начал использовать методы реверс инжиниринга для изучения уязвимостей. Томас положил начало heap-эксплуатации Windows, сравнительному анализу патчей и бинарных файлов, а также целому ряду других техник реверс инжиниринга. В 2004-м году Halvar основал zynamics – компанию, специализирующуюся на технологиях реверс инжиниринга. Между тем, его исследования на тему реверс инжиниринга, разработку эксплойтов методами обратно-ориентированного программирования и технологий управления знаниями применительно к реверс инжинирингу продолжили публиковаться. В 2011 “zynamics” была приобретена компанией “Google” и несколько последовавших за этим лет Halvar занимался технологиями защиты обсуждавшихся в то время на каждом углу больших данных и машинного обучения. В 2015 Halvar получил награду Pwnie и решил сделать годовой перерыв, чтобы попутешествовать, почитать и порассекать волны на серфе.
В своем докладе Томас Даллиен расскажет о машинном обучении и близящихся коренных переменах в сфере IT сегодня буквально не смолкают. Хоть и сложно отсеять порожденные всеобщим ажиотажем заблуждения и мифы, очевидно, что компьютерные технологии всё больше переходят на уровень абстракций, для которого классификаторы – такое же обычное явление, как операторы ветвления. А что с исследованиями в области атак? A хотя бы у домашнего бизнеса есть иммунитет от автоматизации? Или же “ИИ” (в каком-либо из его проявлений) и на него повлияет? А, может, уже повлиял?
Данный доклад расскажет, чему нас может научить AlphaGo, а также обозначит те сферы индустрии, где в ближайшие годы машинное обучение сделает шаг вперед (хотя пока сложно сказать насколько большой).
Шей Герон
Атаки на зашифрованную память: За пределами одного бит
Шей Герон является доцентом математических наук Хайфского университета, руководителем инженерно-технической службы по облачной информационной безопасности в компании "Amazon". Ранее Шей был главным инженером и старшим криптографом в “Intel”. Его сфера интересов включает в себя криптографию, информационную безопасность и алгоритмизацию. Шей — создатель таких наборов команд для процессоров, как: AES-NI, PCLMULQDQ и увидящий свет в скором будущем VPMADD52, — а также различных микроархитектурных особенностей, способствовавших ускорению работы алгоритмов шифрования. Он внес вклад в развитие библиотек с открытым исходным кодом (OpenSSL, NSS), повысив скорость симметричного шифрования, алгоритмов с использованием открытых ключей и хэширования. Шей Герон был одним из архитекторов технологии Intel Software Guard Extensions (SGX) и был ответственным за ее внедрение и криптографию. Помимо этого он стал создателем Memory Encryption Engine.
Его доклад посвящен проблеме безопасности пользовательских данных в виртуализированной облачной среде, которая вызывает все большую обеспокоенность как самих пользователей, так и поставщиков облачных провайдеров. Гипервизор предоставляет администратору хостинга возможности на чтение любой области памяти гостевой виртуальной машины.Следовательно, не существует никаких гарантий, что администратор не использует данные возможности для получения доступа к пользовательским данным. Данная угроза не предотвращается, даже в том случае, если вся память будет зашифрована одним (секретным) ключом. Гостевые виртуальные машины могут быть изолированы от администратора, если области памяти зашифрованы, уникальным для каждой гостевой машины ключом. При этом возможности гипервизора по получению доступа к памяти не будут изменены, a чтение памяти виртуальной машины расшифровывает зашифрованные данные виртуальной машины неправильным ключем, что не дает атакующему никаких преимуществ. Именно этим руководствовались разработчики технологий, внедренных в новейшие процессоры.
Как бы то ни было, основная мысль и посыл данного доклада заключаются в том, что любая технология, использующая уникальные ключи шифрования, не гарантирует изоляцию гипервизора администратора от гостевых виртуальных машин. В качестве наглядного примера будет продемонстрирован новый тип атак «Blinded Random Block Corruption” (BRBC). В рамках того же сценария с уникальными ключами шифрования на виртуальную машину, атака позволяет администратору облачного провайдера использовать возможности (доверенного) гипервизора для входа в гостевую виртуальную машину (не говоря уже о получении доступа к зашифрованной памяти), что полностью компрометирует конфиденциальность пользовательских данных. Помимо этого мы также продемонстрирует, что даже не булевые значения могут быть эффективно атакованы атакующими, для повышения привилегий процессов, запущенных в защищаемых виртуальных машинах.
Это еще раз говорит о том, что само по себе шифрование памяти не является defense-in-depth механизмом от атакующих с возможностями чтения/записи памяти. Большая надежность защиты достигается если механизм шифрования памяти включает и механизм аутентификации.
Основной трек
Помимо ключевых докладов в основном треке можно будет услышать доклады от исследователей со всего мира. Встречаем!
Докладчик — Коди Шоффит Эксплуатация багов в POS-системах
Описание доклада
Системы Point of Sale (POS) постоянно оказываются в новостях, потому что они — легкие жертвы. Рынок Point of Sale терминалов сейчас оценивается в 46 миллиардов долларов США, а к 2022 году ожидается его рост до 100 миллиардов долларов. Учитывая объем денег, которые постоянно перемещаются между платежными системами и банковскими счетами, такие атаки только участятся. Несмотря на то, что POS-системы известны давно, чаще всего связанные с ними атаки направлены на слабые методы аутентификации или неправильную настройку серверов. Реже замечены атаки на программное обеспечение, на котором они базируются.
В этом докладе будут описаны POS-системы, а также продемонстрировано удаленное исполнение кода в новой аппаратной части POS-системы от крупнейшего в мире производителя подобного оборудования. С помощью данного метода мы сможем установить руткиты или даже удаленно открыть кассовый аппарат. Наконец, будут представлены механизмы, которые POS-компании могут внедрить, чтобы усилить защиту.
Докладчик — Алексей Тюрин Другой взгляд на MitM-атаки на HTTPS
Описание доклада
Цель TLS/HTTPS – защита от MitM-атак. Мы привыкли смотреть на атаки на TLS/HTTPS с точки зрения криптографии. А если мы взглянем на TLS базовые архитектурные решения? Например, на то, что аутентификация по сертификатам возможна только до уровня отдельного хоста или — ещё шире – группы хостов. И если мы при этом вспомним, что TLS/HTTPS – это не какая-то сущность в вакууме, и что современные системы представляют собой переплетение технологий, протоколов и состоят из множества сервисов, то, добавив немножко логики и трюков, получим возможность проводить успешные MitM-атаки на HTTPS!
Виртуальные машины играют решающую роль в современных вычислительных системах. С их помощью часто изолируют несколько клиентов на одном физическом сервере. Исследователи и специалисты по безопасности используют виртуальные машины, чтобы изолировать потенциально опасный код, а затем изучить и проанализировать его. Предполагается, что при запуске на виртуальной машине потенциально опасный код не может быть выполнен где-либо еще. Однако, данный метод не является полностью надежным, поскольку уязвимости в гипервизоре виртуальной машины могут открыть доступ ко всей системе. Данный сценарий когда-то рассматривался только как гипотетический, но две независимые демонстрации на конференции Pwn2Own 2017 показали, что это возможно. В данном докладе подробно рассказывается о связях между узлами в VMware. Кроме того, в презентации описаны функциональные возможности интерфейса RPC. Мы обсудим методы автоматического перехвата или анализа RPC запросов, отправленных с гостевой ОС на основную. Мы также продемонстрируем, как создать инструменты отправки запросов на RPC интерфейс в C++ и Python для фаззинга. Наконец, мы покажем, как использовать уязвимости типа Use-After-Free в VMware, последовательно разобрав исправленную уязвимость.
Докладчик — Мэтт Оу Последние тенденции в области эксплойтов, тактики противодействия и обнаружения
Описание доклада
Когда в систему внедряют высокоуровневые средства противодействия атакам, злоумышленникам приходится отходить от традиционных методов эксплуатации. Так произошло и с выходом Windows 10. Благодаря недавним обновлениям технологий предотвращения атак, например Control Flow Guard (CFG), традиционные методы исполнение кода с помощью перезаписи указателя функции просто устарели. Итак, существуют три основные тенденции в области разработки эксплойтов для Windows 10.
Охота за примитивами чтения-записи, чтобы получить полный обзор памяти.
Поиск логических уязвимостей и их эксплуатация.
Использование социальной инженерии для исполнения вредоносного кода.
Докладчик — Алекс Матросов Предаем BIOS: что не так со стражами BIOS
Описание доклада
Эта презентация призвана стать сигналом для поставщиков оборудования, исследователей безопасности BIOS и специалистов по безопасности, а также продвинутых заинтересованных лиц, которые хотят знать об актуальных исследованиях UEFI и обнаруженных угрозах. Ситуация серьезная, но с правильными инструментами и знаниями мы одержим верх. В последние годы ситуация с безопасностью прошивки UEFI становится все более критической. С одной стороны, повысилась активность со стороны сообщества исследователей ИБ. С другой, появляется все больше информации об имплантах для UEFI, например, это профинансированные государством импланты от HackingTeam. Чаще всего информация становится достоянием общественности из-за утечек, потому что средств обнаружения имплантов для UEFI нет, а сами импланты используют для нацеленных атак.
Роль UEFI в мире значительно выросла в последние годы: прошивку используют в компьютерах и ноутбуках, умных устройствах, автомобилях, дронах и так далее. К счастью, безопасность UEFI также улучшается по многим направлениям. Уровень безопасности, который показывают современные поставщики оборудования для предприятий значительно вырос. Однако не все поставщики одинаковые. К сожалению, некоторые из них не используют современные аппаратные средства защиты, например, представленные Intel много лет назад защитные биты для SMM и SPI (BLE, BWE, PRx). Так как активной защиты памяти на аппаратном уровне нет, устройства этих производителей становятся легкими мишенями для атакующих. В моем выступлении на Black Hat Asia в этом году я показал эти уязвимости, установив постоянный руткит во флэш-память с SPI (на компьютере с Microsoft Windows 10 и активным Secure Boot).
Однако производители оборудования, такие как Intel, представили технологии защиты, например Boot Guard (начиная с Haswell) и BIOS Guard (начиная с Skylake). При загрузке платформы Boot Guard проверяет, входит ли UEFI в список доверенных компонентов Secure Boot, и, таким образом, защищает его от атак с использованием прошивки. При активном BIOS Guard флэш-память с SPI могут модифицировать только защищенные модули, что защищает от постоянных имплантов. Обе технологии запускаются на отдельном процессоре, известном как ACM (Authenticated Code Module), который изолирует их от злоумышленников и защищает от атак в состоянии гонки. Такие защитные технологии иногда называют убийцами руткитов UEFI. Об этих технологиях нет подробных сведений.
В данной презентации будет рассказано о конкретных возможностях их применения на оборудовании с самыми современными процессорами Intel, например Skylake и Kaby Lake. Большая часть доступной информации была получена из модулей прошивки UEFI с помощью обратной инженерии. Данные модули (DXE и PEI) можно запускать, настраивать и устанавливать, используя код ACM. Кроме того, в докладе я затрону слабые стороны таких защитных технологий. Что не так со стражами BIOS? Насколько сложно обойти такую защиту и установить постоянный руткит из операционной системы? Ответы на эти вопросы вы получите в докладе.
Трассировка с помощью железа является мощным средством получения информации о покрытии во всей системе в реальном времени и без излишних затрат ресурсов. Архитектура ARM CoreSight включает технологию Embedded Trace Macrocell, которая позволяет получить доступ к трассировке через интерфейс JTAG, экспортировать через ETM-порт, а также перепрограммировать ее для выполнения только программными средствами с сохранением в кольцевом буфере. В Linux версии 4.9 и выше трассировку на базе ETM можно использовать без дополнительной настройки, поскольку ARM CoreSight поддерживается подсистемой производительности. Однако, на других операционных системах для работы потребуется низкоуровневое программирование. В этом докладе рассматривается доступность трассировки выполнения программы на основе ETM в системах на архитектур ARMv7 и ARMv8, а также объясняется, как самостоятельно настроить программную трассировку и использовать информацию о покрытии кода, чтобы повысить эффективность фаззера.
Докладчик — Джон Дунлап Прыжок через забор: сравнение и возможные улучшения существующих инструментов для программирования, ориентированного на JMP-переходы
Описание доклада
В этом докладе будут продемонстрированы созданные спикером инструменты для JOP-атак (Jump Oriented Programming). Будет рассказано, как использовать виртуальную машину, чтобы проверить Jump-устройство, а также продемонстрирован инструмент, который помогает в разработке эксплойтов при помощи техник удовлетворения ограничений.
Количество умных устройств растет с каждым днем, и это требует повышения внимания к их безопасности. Хакеров больше всего привлекает поверхность удаленной атаки. Zerodium обновил программу Bug Bounty и включил в список WeChat, Viber, FB Messenger и прочие программы. За уязвимости, которые позволят удаленно запустить код в этих приложениях готовы заплатить до 500 000 долларов США.
В этом докладе мы разберем поверхность удаленных атак на Android-приложения и смартфоны, а также умные устройства. Затем мы подробно рассмотрим множество критических уязвимостей для реализации удаленных атак. Среди них: удаленное исполнение кода, удаленный перехват контроля над смартфоном, удаленное получение полного контроля над умным устройством и так далее. Мы сможем контролировать устройство через уязвимость открытого порта и даже незаметно исполнять код через уязвимость pull-протокола.
Мы подробно поговорим об электромеханических замках. Вы узнаете, как работают такие замки и в чем отличия технологий разных производителей. После обзора мы более подробно рассмотрим принципы работы замков. Затем, мы откроем один замок при помощи RFID-передатчика и искусственно созданной среды. Постойте-ка. Это слишком просто. Много кто уже так делал. Я покажу вам, как открывать замки без действующего RFID-передатчика, а также расскажу, почему это возможно и где найти нужные инструменты. Слушатели узнают, где найти хороший замок. Мы покажем пример безопасного устройства и идентификации.
Докладчик — Нгуен Ань Куинь Создание современного фаззера с обратной связью на основе покрытия для бинарных файлов
Описание доклада
Фаззинг с обратной связью в виде покрытия кода — это новый метод, который широко применяется для обнаружения уязвимостей в ПО. Метод уже показал высокую эффектность. Фаззеры такого рода работают с инструментированными двоичными файлами, поэтому фаззер может использовать информацию о покрытии кода, собранную во время выполнения, для изменения входных данных, чтобы максимизировать покрытие кода.
Однако фундаментом для большинства фаззеров с обратной связью на основе покрытия является инструментирование исходного кода. Прилагаются огромные усилия, чтобы перенести этот метод в мир Windows, где множество очень важного ПО доступно только в двоичной форме. К сожалению, все современные решения для Windows ограничены в возможностях эффективного поиска уязвимостей. К их недостаткам можно отнести низкую производительность или необходимость использовать особый процессор и последнюю версию ОС.
Мы представим Darko, новый фаззер для реальных наборов бинарных файлов с информацией об отладке. Он имеет несколько неоспоримых преимуществ.
Огромная скорость: тест производительности показывает, что наш фаззер работает гораздо быстрее существующих решений.
Интеллектуальность: Darko совмещает статический анализ и анализ помеченных данных, что значительно расширяет покрытие, а также позволяет гораздо быстрее находить уязвимый код.
В основе только программные компоненты: для работы фаззера не нужны последние модели процессоров или версии ОС. Таким образом, Darko можно развернуть где угодном, в том числе внутри виртуальной машины.
Последнее по порядку, но не по значению. Наше решение работает на разных платформах и архитектурах, а не только в Windows. Darko также поддерживает все популярные ОС и модели процессоров (Windows, Linux, MacOS, *BSD и так далее на X86, X86_64, ARM, ARM64, Mips, PPC, Sparc).
В этом докладе мы немного расскажем о фаззинге с обратной связью на основе покрытия и сосредоточимся на проблемах, которые есть у доступных решений. Затем мы расскажем, как создавали фаззер с обратной связью, чтобы преодолеть эти проблемы. Наконец, чтобы показать эффективность Darko, будет представлен список уязвимостей, зарегистрированных в CVE. Вас также ждет несколько крутых демонстраций.
Докладчики — Сергей Темников и Владимир Дащенко «Серебряная пуля» среди уязвимостей и бэкдор. Охота за более чем 30 тыс. поставщиками с помощью маленького токена
Описание доклада
В докладе будут описаны последние исследования команды по защите критической инфраструктуры Лаборатории Касперского, которые затрагивают различные серьезные уязвимости в популярном средстве управления лицензиями — токенах. Найдено 15 уязвимостей, в том числе несколько для удаленного выполнения кода, множество уязвимостей для DoS и одна странная особенность логики ПО, которая позволяет злоумышленнику манипулировать файлами конфигурации и прокси-сервером для обновлений, перехватывать NTLM-хэш системного пользователя и совершать другие сомнительные действия. Поставщик отказался называть это «незадокументированной функцией», заявив, что это обычные уязвимости. В этом докладе мы хотели бы представить техническую информацию об уязвимостях и странных функциях популярных токенов для лицензий.
Докладчики — Идо Наор и Амихай Нейдерман Бензин слишком подорожал! Давайте сделаем его бесплатным.
Описание доклада
В этом докладе мы отправимся в мир автопарков и учета топлива. Рассказ начнется со слов: «Жили были два хакера, которые хотели получить бесплатный бензин…». Приходите на наше выступление, чтобы посмотреть, как мы используем несколько эксплойтов, чтобы удаленно получить контроль над заправочными станциями, а также доступ к особо важным данным и правам. Это было очень легко.
Докладчики — Максвел Кох и Кит Ли Обход 2FA и кража личных ключей для двухфакторной аутентификации без социальной инженерии. Представление 2FAssassin.
Описание доклада
Эффективность двухфакторной аутентификации зависит от того, насколько хорошо пользователь защищает «то, что есть только у него». Что, если есть способ украсть личные ключи без социальной инженерии? В этом докладе будут продемонстрированы техники обхода двухфакторной аутентификации. Покажем на примерах из реальной жизни, как злоумышленник крадет сертификаты клиента и личные ключи, чтобы пройти аутентификацию на защищенных сайтах, а также возможный масштаб последствий. Кроме того, мы представим собственный инструмент (2FAssassin), который эксплуатирует уязвимости с целью спровоцировать утечку личных ключей с последующей компрометацией целой сети с их помощью. В конце доклада будут даны рекомендации по защите личных ключей от кражи, а также советы на случай, если произошел худший сценарий.
Мы живем в мире бума криптовалют. Огромный шум вокруг Smart contact, ICO, DAO и будущего экономики. К чему все это приведет, говорить еще рано. А вот расcмотреть, как это выглядит глазами атакующего и куда он может приложить свои усилия для получения выгоды, уже определенно можно
На конференции будет рассказано об уязвимостях современных автомобилей. В живом режиме мы покажем:
перехват управления автомобилем через шину CAN, подключение к шине, основы протокола передачи данных, подделку команд, имитацию блоков управления, режимы работы блоков управления;
получение доступа в автомобиль через CAN-шину, воздействие на блоки управления, обман штатного иммобилайзера;
воздействие на блоки управления через шину LIN, подключение к шине, основы протокола передачи данных, подделку запросов и ответов блоков управления;
доступ к шинам CAN и LIN через GSM-сигнализации, использование сигнализаций в качестве аппаратных закладок, использование уязвимостей сигнализаций для атаки на автомобиль;
доступ к шинам CAN и LIN через устройства «ЭРА Глонасс», использование систем экстренного реагирования при аварии в качестве аппаратных закладок, использование их уязвимостей для атаки на автомобиль;
доступ к шинам CAN и LIN через штатные мультимедийные системы средствами подключенного по каналу BlueTooth мобильному телефону, получение дистанционного доступа к самому мобильному устройству, перенастройку мультимедийных систем для работы в качестве аппаратных закладок, управляемых через подключенный по BlueTooth телефон;
доступ к шинам CAN и LIN через штатную мультимедийную систему, оборудованную беспроводными стандартами GSM и WiFi, внешнее подключение к беспроводным системам в автомобиле и использование мультимедии в качестве аппаратной закладки для атаки на автомобиль;
пререхват ключевой информации из оптической шины MOST, прослушивание салона, получение координат и шпионаж за автомобилем и его водителем;
имитацию аппаратных закладок в реальных блоках управления, перепрошивку реальных блоков управления с внедрением вредоносного ПО для работы блока управления в качестве программной закладки.
Так же будут продемонстрирована реализация некоторых из данных угроз на реальном автомобиле (угон авто, взрыв подушек безопасности).
Докладчик — Джеймс Ли Игры с уязвимостями нулевого дня в элементах ActiveX для IE11
Описание доклада
Технология ActiveX позволяет реализовывать внешние объекты. Ее внедрили в Internet Explorer почти с самого рождения браузера. Мы рассмотрим данную технологию и разберем, как я обнаружил уязвимость в ходе работы.
Роботы становятся мейнстримом. В ближайшем будущем они будут повсюду: на военных миссиях, в операционных, на строительстве небоскребов, в магазинах, больницах и коммерческих компаниях, в постели, у плиты и на семейных вечерах.
Экосистема роботов растет и все больше меняет жизни людей, общество и экономику. В то же время, они могут представлять серьезную угрозу людям, животным и организациям, если использовать небезопасные технологии. Если злоумышленник воспользуется уязвимостью в роботе, его физические возможности можно использовать для нанесения ущерба собственности, финансам компании, или для создания ситуаций, влекущих угрозу жизни людей. Роботы, по сути, — это компьютеры с руками, ногами и колесами, поэтому потенциальные угрозы их окружению возрастают в геометрической прогрессии, а вектор таких угроз раньше подробно не рассматривался в компьютерной безопасности.
В ходе недавнего исследования мы обнаружили несколько критичных уязвимостей в бытовых и промышленных роботах совместного использования от известных производителей. Мы передали все находки разработчикам и теперь пора раскрыть технические подробности, угрозы и способы компрометации различных компонентов экосистем роботов при помощи практических эксплойтов. В живых демонстрациях мы покажем разные сценарии эксплуатации, в которых присутствует кибершпионаж, опасные внутренние угрозы, повреждение собственности и многое другое.
Используя реалистичные сценарии, мы расскажем, как небезопасны современные робототехнологии и почему взломанные роботы представляют большую опасность, чем другие уязвимые технологии. Наша цель — сделать роботов более безопасными и предотвратить эксплуатацию уязвимостей, которые могут нанести серьезный ущерб компаниям, клиентам и тому, что находится вокруг.
Докладчик — Николас Алехандро Экономоу Использование GDI для запуска вредоносного кода в примитивах ring0: Перезагрузка
Описание доклада
Эволюция современных техник использования ядра Windows для атак заставляет поставщиков прилагать огромные усилия для обеспечения защиты ПО от эксплойтов, в том числе применяя песочницы в Chrome, Edge, Firefox и последних версиях Office.
В то же время, Microsoft усилила свои попытки защитить ядро Windows и, в частности, ядро Windows 10, добавляя важные средства защиты от эксплойтов в каждую новую версию (наиболее полно в Anniversary и Creators Update). В 2015 году в результате известного инцидента с Hacking Team произошла утечка эксплойтов ядра с новыми техниками использования объектов GDI, о которых подробно рассказано в первом докладе «Использование GDI для запуска вредоносного кода в примитивах ring0».
С появлением Windows 10 Anniversary Update (RS1) часть этой технологии была нейтрализована. Спустя год, во второй версии того же доклада, были представлены новые техники для использования объектов GDI. В апреле этого года с выходом Windows 10 Creators Update (RS2) была нейтрализована еще одна часть этой техники. Несмотря на попытки Microsoft устранить уязвимость, последние техники использования объектов GDI остаются такими же эффективными, как в предыдущих версиях до Anniversary Update (RS1).
В новой презентации я расскажу о надежном способе запуска кода в Windows 10 Fall Creators Update при помощи этих техник. В конце я продемонстрирую, как выбраться из песочницы Microsoft Edge, используя описанные техники.
Докладчик — Джеймс Форшоу Использование токенов доступа для обхода системы UAC
Описание доклада
Система контроля учетных записей (UAC), в частности, в режиме Admin-Approval, как известно, была взломана при первом же появлении в составе Windows Vista. Большая часть исследований обхода системы UAC была посвящена злоупотреблению неправильным поведением приложений с повышенным уровнем полномочий, автоматическому повышению уровня полномочий или совместному реестру и файловым ресурсам. Тем не менее, UAC изначально функционировал в корне неверно из-за того, как Microsoft реализовала систему безопасности процессов с повышенным уровнем полномочий, а особенно токенов доступа. В этом докладе мы подробно рассмотрим, как работает данный метод, позволяющий вам без особых усилий получить права администратора, если работает хотя бы одно приложение с повышенным уровнем привилегий. Будет рассказано, как Microsoft попыталась исправить это в Windows 10 и как вы можете обойти их защиту. Доклад также подробно рассматривает ранее недокументированную технику злоупотребления более безопасной, как предполагалось, системой повышения полномочий Over-The-Shoulder в Windows 10.
Fast Track
На конференции будет секция докладов Fast Track, где докладчику дается 15 минут на то, чтобы рассказать о своем исследовании, новом инструменте для взлома или другой находке.
Докладчик — Николай Клендар Превращение почтовой песочницы в бэкдор с помощью одного вредоносного письма
Описание доклада
Сегодня почти все компании сталкиваются с атаками, использующими электронную почту для доставки вредоносной нагрузки, которая не обнаруживается сигнатурными антивирусами. Чтобы защититься от таких атак, компании внедряют песочницы для динамического анализа файлов и ссылок, получаемых по электронной почте. В данном докладе мы рассмотрим уязвимости (CVSS 10) в TrendMicro DDEI (полный патч вышел 7 марта 2017 года), которые позволяли превратить средство защиты в бэкдор с помощью одного вредоносного письма.
DEF CON RUSSIA (DC#7812) выпускает новое расширение для Meterpreter. Данное расширение добавляет новый транспортный канал для контроля над агентом Meterpreter по DNS-туннелю. Новый транспортный канал открывает дополнительные возможности для скрытого контроля (без разъемов и прямого подключения) и глубокого контроля без прямого подключения по Интернету. Это позволяет пентестерам получать удаленный доступ к песочницам (в том числе изолированным).
Докладчик — Иван Журавлев Организация атаки звонками через callback-сервисы
Описание доклада
Вектор атаки на телефон через флуд звонками используя callback-сервисы.
Докладчик — Алексей Бусыгин Эхо Heartbleed: MITM с использованием отозванных сертификатов
Описание доклада
Что делать, если у вашего веб-сервера скомпрометирован закрытый ключ? Вопрос, ставший особенно актуальным после Heartbleed. Наиболее очевидная последовательность действий: отозвать сертификат сервера, перегенерировать ключи, получить новый сертификат и наслаждаться обретённым ощущением защищённости. К сожалению, даже после выполнения этой процедуры сервер остаётся уязвимым к MITM. Причиной тому является нестрогая процедура проверки статуса сертификатов, выполняемая браузерами. В докладе будет подробно рассказано о данной уязвимости; о причинах, по которым она до сих пор не закрыта; а также о том, как можно защититься сегодня, и что ожидает нас «завтра».
Ни для кого не секрет, что подавляющее количество пользователей использует пароли, которые являются словарными и легко запоминающимися. Знание таких закономерностей формирования паролей позволит существенно ускорить атаку перебора. В докладе рассматривается статистический анализ выборки паролей, позволяющий выделить основные паттерны и словари. Рассматривается процесс формирования правил для hashcat на основе паттернов и их тестирования на реальных базах паролей с целью формирования «статистически» лучшего списка правил.
React — популярная javascript-библиотека для создания UI. В докладе будут рассмотрены основные уязвимости, которые могут совершать разработчики при создании React-приложений. В React реализована защита по умолчанию от уязвимостей типа HTML-injection, так что разработчики зачастую “забывают” о других возможностях проведения XSS-атак. Также будут показаны уязвимости типа “CSS injection” в CSS-in-JS библиотеках и способы их эксплуатации.
Докладчик — Михаил Егоров Трюки для обхода CSRF-защиты
Описание доклада
Уязвимости Cross-Site Request Forgery (CSRF) являются «классикой» AppSec. Сегодня трудно встретить веб-приложение, у которого вовсе отсутствует какая-либо защита от CSRF. На практике баги/особенности веб-приложения, браузера или среды, где развернуто приложение, позволяют обойти имеющуюся защиту и проэксплуатировать CSRF. Часто на такие возможности не обращают внимание в ходе аудита, в результате можно найти CSRF-уязвимости после секьюрити аудиторов. В докладе пойдет речь о способах обхода защиты от CSRF в тех или иных условиях. Также будет представлен плагин для Burp’a, позволяющий автоматизировать поиск уязвимостей.
Докладчик — Андрей Бирюков Создаем бекдоры с помощью легальных приложений
Описание доклада
Есть множество приложений, которым мы привыкли доверять — программы делающие работу с компьютером более удобной. Однако, функционал многих из них позволяет вести слежку за пользователями и их действиями на компьютере. При этом, это абсолютно легальные приложения и легальные настройки, которые вряд ли обнаружат средства защиты. Остается только грамотно настроить этот функционал в приложениях. В этом нам могут специальные устройства, подключаемые через USB порт и маскирующиеся под клавиатуру или мышь. В моем докладе будут рассмотрены примеры автоматизации настройки офисных приложений для слежки за пользователями с помощью устройств, построенных на базе макетных плат Teensy и Digispark.
Defensive Track
В секции Defensive Track представлены доклады для тех, кто больше заинтересован в практическом обеспечении защиты информации. Представители известных компаний поделятся своим опытом на примере интересных кейсов.
Докладчик — Андрей Лабунeц Развертывание процессов secure by design в ИТ-организации с сетевой структурой и гибкими процессами
Описание доклада
Работы в области информационной безопасности, как правило, посвящены решению сложных технических проблем, которые встают перед атакующей стороной. Главные результаты таких исследований – новые уязвимости, атаки или техники – наиболее актуальны, если они опровергают существующие представления о защищенности широко используемых систем.
При этом достижение достаточного уровня защищенности зачастую не воспринимается пользователями и исследователями как новый результат, несмотря на изменяющуюся среду, ограниченные ресурсы и атакующих, постоянно адаптирующихся к новым методам защиты. Хотя информационная безопасность и стоит на прочном научном основании, опираясь на такие дисциплины как криптография, в целом она еще слабо формализована, ее методы, в основном, эвристические и продиктованы экономическими причинами. Цель данного доклада – восполнить пробел между независимыми исследователями и инженерами безопасности в понимании процессов, лежащих в основе безопасности продуктов крупной ИТ-компании.
В данной работе автор описывает подходы и методы защиты сложных систем с миллиардами пользователей и пересматривает некоторые общепризнанные положения в индустрии информационной безопасности, делится опытом практического применения принципа secure-by-design с учётом сегодняшних условий жизненного цикла программного обеспечения.
Докладчик — Келли Шортридж Эксплуатация в целях защиты: как хакнуть мозг хакера
Описание доклада
В этом докладе я передам техники эксплуатации из лап злоумышленников и руки защитников. Я на практике покажу, как блокировать злоумышленников и превратить их силу в слабости благодаря эксплуатации механизма принятия решений хакера.
Докладчик — Алексей Трошичев Compressed signature and Public key recovery with GOST R 34.10-2012
Описание доклада
Мы расскажем, как используя сертифицированную реализацию ГОСТ, создавать подписи, не требующие для проверки публичного ключа.
Докладчик — Александр Антух Как стать чемпионом безопасности. Руководство
Описание доклада
Чемпионы безопасности — это интересная идея по масштабированию безопасности в компаниях, где работают командами. Во время доклада я поделюсь опытом создания команд чемпионов, трудностями, которые пришлось преодолеть, и метриками, помогающими оценить эффективность данной модели. В качестве бонуса, аудитории будет представлено руководство по тому, как стать чемпионом безопасности.
Докладчик — Андрей Ковалев Как внедрить SDL и не поседеть
Описание доклада
Внедрить методологию безопасной разработки aka Secure development lifecycle (SDL) для комплексного программного продукта весьма непросто. В индустрии до сих пор существует весьма распространненое мнение, что для проектов, которые разрабатываются в рамках agile’a, это почти нерешаемая задача. И действительно, канонический цикл безопасной разработки включает в себя довольного много сложных контролей, которые легко могут превратиться в убивающий все сроки bottleneck. О том, как этого не допустить и внедрить SDL, адаптированный под релизный цикл конкретного проекта, и пойдет речь в этом докладе. Кроме того, команда продуктовой безопасности Яндекса поделиться своим опытом решения различных проблем, которые возникают при внедрении и реализации различных контролей безопасности.
В 2016 году Spotify решила мигрировать всю свою инфраструктуру из собственных дата центров по всему миру в Google Cloud Platform. В данный момент статистика примерно такая:
~ 1300 Projects
~ 5000 GCS Buckets
~ 14000 Compute instances
~ 200 CloudSQL instances
~ 6400 Google Groups
~ 1000 AppEngine instances
Облака, к сожалению, не только добавляют гибкости, но и привносят ряд проблем с безопасностью. Spotify совместно с Google представили инструмент Forseti, который позволяет отслеживать, контролировать и усиливать допустимые опции конфигурации облачной инфраструктуры. Доклад рассматривает архитектуру Forseti, возможности и примеры использования, а также проблемы с которыми мы столкнулись при реализации задуманного.
Докладчик — Карим Валиев Как перестать использовать криптографию и начать жить
Описание доклада
Все слышали о «золотом правиле криптографии»: do not roll your own crypto. Многие знают про популярные виды уязвимостей, возникающие в самодельной криптографии. Но почему-то это не действует на разработчиков, и они раз за разом продолжают придумывать свои криптографические схемы. В своем докладе я на примерах практических задач расскажу, почему во многих из них имеет смысл вообще отказаться от использования криптографии, а также про то, в каких случаях криптографию действительно стоит использовать, и как это делать безопасно.
Докладчик — Максим Суханов Глубокий технический анализ файлов реестра Windows
Описание доклада
Компьютерный технический эксперт. Максим занимается реагированием на инциденты информационной безопасности, обратной инженерией, проверкой инструментов компьютерно-технической экспертизы, а также борьбой с киберпреступностью в целом.
Предлагается новый подход к разработке атрибутного управления доступом (ABAC), ориентированный на переносимость, гибкость и простоту программной реализации в различных компьютерных системах (КС). В основе подхода лежит модель взаимодействий механизмов ABAC, принятая в XACML и модифицированная следующим образом.
Для описания и задания политики атрибутного управления доступом используется DSL ALFAScript, основанный на языке ALFA. Политика на языке ALFAScript компилируется в код на Lua, а не в XML-код или в язык рантайма (Java, Python, Scala и т.п.), как это делается в известных библиотеках и фрэймворках для реализации ABAC. При поступлении запроса субъекта на доступ к сущности строится соответствующий контекст (в терминах XACML), для которого происходит запуск кода на Lua в среде выполнения (runtime) механизма управления доступом. Результатом выполнения Lua-кода является решение о возможности предоставления субъекту доступа к сущности.
Модель взаимодействия, набор программных компонент, структур данных и инструментов, позволяет разработчику самостоятельно реализовать такой механизм независимо от целевой системы, предметной области, элементов управления доступом, их состава и структуры. Новизна предлагаемого подхода заключается в компиляции политики атрибутного управления доступом на ALFAScript в код на языке Lua с последующим его выполнением в среде этой системы. Рассматриваются примеры реализации управления доступом для протоколов HTTP и MySQL.
Докладчик — Теймур Хеирхабаров Hunting for Credentials Dumping in Windows Environment
Описание доклада
Практически каждая целевая атака не обходится без применения такой техники, как «Credentials Dumping». После первичного проникновения в корпоративную сеть интересующей компании злоумышленники обязательно попытаются заполучить в своё распоряжение аутентификационный данные привилегированных пользователей, обладающих правами на множестве хостов корпоративной сети. И здесь в их распоряжении множество различных способов – использование утилит типа mimikatz/pwdump/wce и т.п., дамп памяти процесса lsass, механизм теневых копий, копирование файлов с аутентификационными данными через “raw”-доступ к диску и др.
В своём докладе автор рассмотрит все известные на сегодняшний день способы получения аутентификационных данных в инфраструктуре Windows и покажет, как можно обнаружить их использование как по штатным логам ОС Windows, так и с использованием расширенного аудита, реализуемого общедоступным инструментом Sysmon.
Докладчик — Александр Ермаков Атаки с использованием сетей ОКС-7. Мифы, реальность, защитные меры
Описание доклада
Атаки с использованием сетей ОКС-7. Взгляд оператора
Инженеры по информационной безопасности в больших компаниях сталкиваются с необходимостью автоматизации сканирования веб-приложений. Однако на рынке сложно найти гибкий и изменяемый продукт. В докладе мы расскажем, как из популярного инструмента ручного анализа поиска уязвимостей Burp Suite сделать по-настоящему хороший инструмент автоматизации и встроить его в цикл безопасной разработки программного обеспечения. Поговорим о том, какую роль играет дедупликация и cовременные технологии фронтенд разработки в сканировании веб-приложений. Поделимся опытом написания настраиваемых модульных плагинов с добавления индивидуальных проверок. Рассмотрим, с какими трудностями столкнулись, какие плюсы и минусы содержит такое решение.
Докладчик — Юрий Дорошенко OpenSource Sandbox в корпоративной среде
Описание доклада
Есть ли место Open Source решениям в корпорациях и насколько это оправдано. На реальных примерах будут продемонстрированы результаты того, как в рамках проведения расследований инцидентов мы начали применять Open Source песочницы совместно с IOC — сканерами, и к чему это все привело.
Докладчик — Тарас Иващенко Внедрение Content Security Policy в «промышленных» масштабах
Описание доклада
Реальность такова, что XSS-ки никуда не делись, не смотря на развитие встроенных защитных механизмов в современных браузерах, а также использование фреймворков с включенным по умолчанию «эскейпингом». Content Security Policy видится достаточно мощной компенсационной мерой, будучи при этом открытым стандартом. В Яндексе накопился большой опыт внедрения CSP в «промышленных» масштабах. В рамках доклада расскажем о всех подводных камнях внедрения технологии в большом количестве сервисов.
Workshops
Помимо докладов на ZN будут мастер-классы, в которых может поучаствовать любой желающий.
Докладчик — Красимир Цветанов Workshop: Основы противодействия DDoS-атакам
Докладчики — Сергей Пономарьков, Никита Коновалов, Максим Ромодин и Игорь Лырчиков Workshop: Системы мониторинга. Как захватить сервер и все хосты (взгляд пентестера)
В этом году на конференции целых два дня будет работать площадка Web Village. Здесь можно будет узнать о современных атаках на веб-приложения, попробовать себя в роли атакующего, выяснить, как работает современный веб, поучаствовать в конкурсах и многое другое!
Первый день будет полностью посвящен атакам на клиентов веб-приложений (Client-side). Широко известные для комьюнити докладчики расскажут о том, как эксплуатировать уязвимости в современных браузерах, производить действия от лица жертвы и докажут, что открывать ссылки от незнакомцев — плохая идея.
Тема
Докладчики
Введение в client-side
Антон "Bo0oM" Лопаницын
CRLF + OpenRedirect
Егор "Shikari" Карбутов
CSRF/CORS/WS/PostMessage
Сергей "BeLove" Белов
Иван "igc_iv" Чалыкин
XSS. CSTI
Егор "Shikari" Карбутов
XSS. Обходы фильтров и защиты
Игорь "Psych0tr1a" Сак-Саковский
Антон "Bo0oM" Лопаницын
XSS. Эксплуатация. Js для хакеров
Дмитрий "Azrael25" Мулявка
Темная сторона браузерных расширений
Андрей "L1kvID" Ковалев
В рамках второго дня будут представлены атаки на серверную часть (Server-side). Слушатели смогут разобраться в природе серверных уязвимостей, научатся находить и эксплуатировать большинство из них: от типичных ошибок конфигурации веб-серверов до выполнения произвольных команд операционной системы.
Тема
Докладчики
SQL Injection
Михаил "Cyberpunkych" Фирстов
SSRF
Денис "thefaeriedragon" Рыбин
ffmpeg
Николай "yngwie" Ермишкин
XXE
Ярослав "yarbabin" Бабин
Deserialization vulns
Алексей "GreenDog" Тюрин
Logic vulns
Омар "Beched" Ганиев
Bugbounty и все-все-все
Антон "Bo0oM" Лопаницын
Сергей "BeLove" Белов
Все темы будут объяснены на простых примерах, поэтому если у вас нет опыта работы с вебом, это нисколько не помешает погрузиться в мир веб-уязвимостей!
Web Village — место, где можно поговорить о вебе, bugbounty, классных находках и смешных ситуациях.
Ждем всех через неделю 16 — 17 ноября 2017 в КЦ ЗИЛ, г. Москва!