Inspired by Insecure

October 8, 2015 at 10:46 am

Точка зрения: Hacker Halted 2015

«Пройдемте со мной» — говорит один из офицеров и указывает пальцем на коридор с множеством маленьких комнат для допроса.

— Цель визита?

– Выступление на конференции Hacker Halted 2015.

— Конечный пункт назначения?

– Атланта, Штат Джорджия…

После получасовой беседы нам возвращают багаж, и мы выходим из аэропорта, где нас встречают раскаленный воздух и джетлаг. Добро пожаловать в США.

Точка зрения: Hacker Halted 2015

Материал подготовлен специально для Securelist

Hacker Halted USA 2015

Мероприятие Hacker Halted USA, организатором которого выступает профессиональная организация EC-Council (да-да, та самая, что разработала курс Certified Ethical Hacker, который стал классикой в нашей индустрии), проводится один раз в год и, что типично для подобного рода конференций, собирает на своей площадке технических специалистов в области информационной безопасности и бизнес-аудиторию. Местом проведения выбран город Atlanta, и не просто так: климат привлекает к себе любителей солнца, а дневная жара не дает убежать из отеля и, возможно, кого-то «мотивирует» послушать доклады.

Точка зрения: Hacker Halted 2015

Главной темой конференции, к которой так или иначе были привязаны доклады, была «The Cyber Pandemic» — ассоциация технологического несовершенства с некой чумой, охватившей наше общество. И, как можно догадаться, в своих докладах спикеры должны были раскрыть детали этой общественной «болезни» и предложить свою «вакцину».

На Hacker Halted USA 2015 не было никаких отвлекающих от контента факторов, вроде отдельного зала для любителей поиграть в CTF или хакквест, ни каких-либо воркшопов. С одной стороны, это позволяет сконцентрироваться на выступлениях и впитать как можно больше информации, а с другой, те участники, кто любит что-то поломать, могли немного заскучать. Аудитория конференции, по нашим субъективным ощущениям и результатам общения с некоторыми участниками, была смещена в сторону бизнеса. Об этом же свидетельствовала отдельная секция со стендами компаний. Но при этом и для ценителей «хардкорных» докладов была выделена отдельная секция.

На выставке было представлено много стартапов и небольших компаний из индустрии ИБ, которые практически не известны на российском рынке и сфокусированы на своей узкой нише. Кому-то это покажется неудивительным, но если провести параллель с типичной российской ИБ-выставкой, где за каждым стендом стоит индустриальный борец-тяжеловес, то ситуация с рынком ИБ в США напоминает, скорее, гипермаркет с огромным ассортиментом товаров и услуг.

Точка зрения: Hacker Halted 2015

О докладах

Первый день по традиции был днем ключевых докладов конференции. После вступительной речи Jay Bavisi (президента EC-Council), открывшей мероприятие, и монолога о «высоких материях» и «The Cyber Pandemic», мы отправились на секцию «Cut the Crap – Show me the Hack». Как можно догадаться из названия, все доклады в рамках данной секции были посвящены практическим аспектам ИБ, а значит, представляли для нас наибольший интерес.

«SAP Afaria. One SMS to hack a company» — доклад нашего соотечественника, Дмитрия Частухина, пожалуй, лучше остальных докладов подходил для секции «Show me the Hack»: много технической информации об особенностях исследованной системы, описание различных недостатков конфигурации и уязвимостей, демонстрация сценария эксплуатации на небольшом стенде.

— Дим, у тебя через 5 минут доклад. Готов?

— Да, я тут думаю по-быстрому видео-демонстрацию запилить…

Политика BYOD (bring your own device, «принеси свое устройство») становится корпоративным стандартом, и бизнесу требуются защитные решения, которые учитывают и мобильную экосистему. Такими решениями стали продукты класса MDM (mobile device management), одним из которых является платформа Afaria от SAP. О ее популярности говорят более чем 130 миллиона мобильных устройств, находящихся под ее управлением в более чем 6000 организаций.

Одна из уязвимостей, о которых рассказывал Дима, позволяет атакующему отправлять служебные сообщения с сервера Afaria на мобильный телефон. Данные сообщения предназначены для удаленного администрирования мобильных инфраструктур и позволяют администратору выполнить различные критичные действия, например, удаленно стереть данные, заблокировать устройство, отключить Wi-Fi и т.д. Однако у атакующего, знающего IMEI мобильного устройства сотрудника, есть возможность сгенерировать служебное сообщение и отправить его на корпоративное мобильное устройство. Как результат: удаление данных с телефона, его блокировка или другие проблемы. Кроме того, злоумышленник может применить методы социальной инженерии для обмана владельца устройства и дальнейшего развития атаки на корпоративную инфраструктуру. Результатом этого могут стать значительные репутационные и финансовые убытки и даже полная остановка работы компании.

Другая интересная уязвимость, упомянутая в докладе, представляет собой хранимую XSS в административной панели MDM-решения, но с одной особенностью: злодею достаточно отправить специальным образом сформированный пакет на порт MDM-сервера, который осуществит внедрение JS-кода в страницу административной панели. Дальнейший сценарий развития атаки типичен: в консоль входит администратор, код автоматически выполняется, атакующий получает контроль над административной частью.

О нашем выступлении

«Тема деанонимизации пользователя в даркнете становится все более актуальной. В докладе будут рассмотрены методы эксплуатации уязвимостей onion-ресурсов и некоторых недостатков конфигурации, которые позволяют получить информацию о пользователе Tor.» — абстракт нашего доклада, который мы осуществили в секции «Show me the Hack». Сотни глаз, десятки вопросов после выступления, обмен контактами и визитками – наверное, все это означает, что доклад кого-то не оставил равнодушным.

Точка зрения: Hacker Halted 2015

Еще один доклад привлек своим названием, которое состояло только из имени спикера — «Sean Bodmer». Господин Бодмер является основателем компании, которая занимается разработкой чего-то похожего на ханипот, но ханипот не простой, а активный – довольно щекотливая с юридической точки зрения тема (можно ли атаковать атакующего?). Решения данного класса берут на себя задачу запутать злоумышленника, отнять у него время, силы и ресурсы на исследование целевой системы.

В докладе Шона Бодмера, несмотря на наличие «высоких материй», местами проскакивали ценные мысли. Так, например, если атакующий уже находится в скомпрометированной инфраструктуре, то ее владелец может делать с ним все, что хочет. Ключевой момент: все встречные действия осуществляются в пределах скомпрометированной инфраструктуры, при этом исполнение кода на машине злодея – нелегально (только если ты не государственное учреждение, атакованное страной-противником).

Точка зрения: Hacker Halted 2015

И наконец, один из самых ожидаемых нами докладов данного мероприятия – выступление Криса Робертса, знаменитого своими твитами про «взлом самолета». Естественно, никакие практические вещи, уязвимости «нулевого дня» или сценарии атаки не озвучивались по понятным причинам, но при этом доклад содержал ценные мысли, которые аккуратно заворачивались в безупречную подачу спикера и скармливались аудитории. Крис попытался объяснить бизнесу, почему его постоянно пытаются ломать, как правильно интерпретировать инциденты и, что самое главное, как правильно относиться к «наступательным» ребятам (исследователям) и их инициативам (предоставлением информации о багах). Человек, который уже обжегся на попытке обнародовать информацию об уязвимости в бортовых системах самолета, делится своим бесценным опытом и выводами. Не бейся об эту же ветку – пригнись!

Точка зрения: Hacker Halted 2015

Конференция Hacker Halted, несмотря на заметный уклон в сторону бизнеса, оставила только положительные впечатления. Непрерывное общение со спикерами, участниками и просто встретившими нас на другом континенте людьми – это нечто большее, чем просто участие в конференции. Доклады – это познавательно, но главной ценностью любого мероприятия являются люди и живое общение.

0 likes Blog # , , , ,
Share: / / /

Leave a Reply

Your email address will not be published. Required fields are marked *

Be aware of the first

Материалы, опубликованные в этом блоге, отражают исключительно точку зрения автора и могут не совпадать с мнением и позицией его текущего работодателя.