Бумага против сплоитов ;)

Пропущу вступление, вполне очевидно и так о чем будет этот пост. Тема стала такой “животрепещущей”, что каждый считает своим долгом высказать субъективную и уникальную – свою точку зрения.

Поддавшись воле толпы, напишу и сам. Не претендуя на идеологическую верность позиций, объективность и самое гланое – справедливость.

Итак, история повторяется. Хочется провести некую аналогию современной ИБ с не такой уж далекой физикой. На заре становления любой точной науки (точность ИБ оспорима, но считаю, что такое не очень уместное название ИБ – дается учению о методах поиска ошибок, их эксплуатации и противодействию им, а также их эксплуатации в программном/аппаратном обеспечении) возникает множество мук и терзаний ученых мужей, выливающихся в невиданные теории и эксперименты. Раньше был эфир, флюиды и прочие забытые термины, теперь СТО, кванты и кварки.

На заре становления, теоретическая и экспериментальная науки идут вместе, воплощаясь в руках и умах одних и тех же людей. Затем в силу каких-то объективных причин направления разделяются, люди концентрируются на одном направлении, пытаясь добиваться чего-то, двигать процесс, названный наукой.

Теперь что на местах – “ты всего лишь инженер, Говард” (с). Люди, фактически имеющие должности в отделах ЗИ и ИБ являются инженерами по взятой аналогии. Это совсем не мешает им двигать науку на рабочем месте как теоретики и эксприментаторы, но это НЕ то, за что они получают зарплату. Поэтому верно, считаю, писать в трудовых книжках: “инженер по защите информации”. Важная и почетная работа.

Законодательное регулирование – в этой отрасли без него никуда, но давайте не сгущать краски, у нас (России) еще не самый немецкий случай. По сути, что есть закон о защите перс. данных – аналогия техники безопасности, пожарных, санпидемстации, ТК. Это требования закона к области деятельности – обработке информации. Где связь между физиком, изучающим электромагнетизм и требованиям к укладке кабелей в короба? Законодатели консультируются с инженерами, все.

Все эти рассуждения упираются в одну очень болезненную тему – отсутствие образования по специальности. Нету ВУЗов, которые готовят экспериментаторов и теоретиков в области информационной безопасности (защиты информации, более точно). Нету и программ учебных курсов, которые могли бы достойно применяться, как и нету самого порядка – базовой классификации, той самой теории, которая так сейчас нужна. Классифицировать бы все векторы атак по областям – так еще бы десяток вектором стал очевиден, при вщгляде на общую картину свысока, – некому.

На прощание, попробую высказать основные, имхо, причины нападков со стороны экспериментаторов к теоретикам (бумажникам):

  • - занимаются не тем: вместо того, чтобы классифицировать и писать концепты, играют на чувствах молодой науки и разводят людей на свои ненужные услуги. А между тем, OWASP, WASC, CWE остро нуждаются в их помощи
  • - инженеры выдают себя за теоретиков
  • - демогоги выдают себя за инженеров и теоретиков
  • - продают ненужные услуги
  • - обсуждают законы и их интепретации
  • - задача инженеров, им эти требования соблюдать

Leave a Comment

Top Ten Web Hacking Techniques of 2012

Как наверное многие в курсе, сейчас идет финал выбора самых крутых техник атак на веб-приложения за год.

Все это организует Гроссман, результаты доступны тут:

http://blog.whitehatsec.com/top-ten-web-hacking-techniques-of-2012/

Здесь я решил потроллить финалистов, вот они:

Final 15 List (In no particular order)

Что тут самое забавное? Тут целых три работы по SSRF!

  1. Cross-Site Port Attacks
  2. Pwning via SSRF (memcached, php-fastcgi, etc) (23)
  3. Using WordPress as a intranet and internet port scanner

Это какое-то засилие одного и того же, которое просто ужасно смотриться.

Ну сами подумайте, как сюда вообще попало сканирование портов через вордпресс и его более общий случай, названный Cross-Site Port Attacks.

Не хочу никого ругать и все такое, но мне было бы просто стыдно подавать такие “техники” в рейтинг.

Давайте каждый эксполоит провозглашать техникой года :)

Остальное вполне понятно – мы с коллегами из ERPScan взяли один термин SSRF для обозначения атак, стали его использовать и попали в один ресёч. Вполне логично, мы же не идем двумя строками типа:

  • SSRF pwn SAP
  • SSRF pwn memcached/fasctgi/etc

Но портскан через вордпресс и CSPA в финале  Top-10, то есть по факту они уже в Top-15 – просто доставляет!

Люди чего-то нашли, мало того, что не поняли что нашли, так еще и использовать нормально не смогли это, полный факап, а не техника. Вот аргументы: http://lab.onsec.ru/2013/01/wordpress-xmlrpc-pingback-additional.html

Bypassing Flash’s local-with-filesystem Sandbox - хорошая штука, сам ее использовал еще в 2011м году (http://www.slideshare.net/phdays/ss-8359219). Ну и что здесь делает техника, опубликованная в 2011м!

Как можно было ее пропустить вообще? :(

Blended Threats and JavaScript явно не дотягивает – все было и так очевидно и известно, нового в этой атаке ничего имхо.

Bruteforcing/Abusing search functions with no-rate checks to collect data - пусть автор читает timing attacks, которые почему-то не вошли судя о_О. Там все еще больше и лучше описано.

XSS: Gaining access to HttpOnly Cookie in 2012 - очень хорошая идея, но уж очень незначительная и маленькая, на мой взгляд. Ну вот скажем, можно получить httpOnly куки через phpinfo(). Это очевидно и достойно хорошего твита, но никак не тянет на Top10…

Permanent backdooring of HTML5 client-side application - тоже не очень новая штука, может быть я предвзято отношусь, но все это уже давно было описано.

Теперь о хорошем – следующие работы считаю достойными:

Не забывайте, здесь рейтинг атак, а не исследований и хорошим примером является Bruteforce of PHPSESSID от коллег из PT-research. Они запилили крутейшую эксплуатацию, то есть провели атаку, описанную ранее без эксплоита другими людьми. Это по-настоящему достойное дело, а атаки новых многих новых исследования еще не имеют применения или не так критичны, поэтому не могут войти в этот список.

P.S. : Я бы отдал первое место CRIME атаке, остальное – пофигу. Ну и наверное, разумно было бы выше поднять атаки, релевантные для многих платформ, а не завязанные только на .Net или PHP…

P.P.S.: считаю что в этом списке не хватает Ruby атак десериализации YAML и Timing attacks.

Опомнитесь, люди!

Tags: , , ,

Comments (11)

#YandexBugsBounty глазами и руками

Сегодня первый раз за всю свою практику участия в reward программе пообщался лично с обратной стороной силы.

С теми людьми, которые уязвимости разбирают, проверяют, и, собственно, выписывают счастливые письма и чеки с вознаграждениями – я был в Яндексе.

Конечно, бывал там пару раз и раньше и общался с ребятами в разных неформальных обстановках, но сейчас приехал по приглашению именно в рамках reward программы #YandexBugsBounty.

[Read the rest of this entry...]

Tags: , , ,

Comments (1)

ZeroNights 2012 впечатления

Решил назвать пост именно так, потому что впечатлений было масса, и именно впечатления остались у меня спустя 3 дня.

Конференция прошла очень удачно – я пришел туда за докладами и получил их сполна, пришел за общением с живыми людьми, и получил его :)

По вебу было на что посмотреть:

“They told me I could be anything, so I became BAh7BkkiDHVzZXJfaWQGOgZFVGkG”
Speaker: joernchen of Phenoelit

Сессии в рубях. Нормальный обзор, немного идей, немного эксплуатации, основанной на раздолбайстве разработчиков (из серии – “вы сказали зашифровать, вы не говорили хранить закрытый ключ в тайне”)

“That’s why I love XML hacking!”
Speaker: Nicolas Gregoire

Отличный обзор, отличная эксплуатация (нашел вторую багу в Postgres, взял наш CVE-2012-3489 и запилил отличную эксплуатацию до RCE через SQL, молодец! Пруф http://www.agarri.fr/kom/archives/2012/08/28/all_your_postgresql_databases_are_belong_to_us/index.html, всем учиться крутить  пост-эксплуатацию). Много находок по части XSL. Пятерка

“A blow against MongoDB”
Speaker: Mikhail Fyrstov
Хороший доклад, хоть и не хватает связности. Баги интересные, обзор нормальный. На фоне остальной чуши про MongoDB, выглядит вообще идеально, по-честному тоже хороший ресеч. Видно, что слайды “myself”, а над скоростью изложения докладчику надо поработать :) Как бы там ни было – первый раз ни разу не комом вышел, поздравляю!

“No locked doors, no windows barred: hacking OpenAM infrastructure”
Speakers: Andrey PetukhovGeorgy Noseyevich
Постановка задачи – пятерка. Но я бы расширил тему до общих методов PWN tomcat’а через SSRF с примером под OpenAM. Исполнение – пятерка чистая, приятно видеть как крутят такие баги до RCE. Желаю авторам новых успехов!

Отличный был воркшоп по рандомам в РНР! Жду софта под линукс и AMD от ребят (Arseny ReutovTimur YunusovDmitry Nagibin, СПАСИБО!)

Не по вебу, как всегда – Саша Матросов+Женя Родионов разворотили Flamer, Дима Скляров и Андрей Беленко разворотили PKI на iOS и показал MITM на iOS Алексей Трошичев из SIEG.IN, Никита Тараканов, как обычно, разворотил ядро :)

Остальных не успел послучать. соотв. и писать не буду, приношу извинения.

Мы отчитались параллельно с Алисой Шевченко (так бы сходил послучать обязательно).

По своему докладу судить не мне, но SSRF bible прочитали более 700 человек за эти 2 дня, что меня несказанно радует (кстати, добавил туда syslog забавную эксплуатацию, посмотрите).

See you at HITB 2013!

Comments (2)

PHDays 2012 как это было.

30-31 мая в Москве прошел международный форум по практической безопасности PHDays.

Хочу поделиться впечатлениями, пока они еще свежи в моей несвежей голове…

Прежде всего, для меня PHDays – это общение с людьми, многих из которых видел ровно год назад. 29го прилетел Артур Геркис и небольшая культ-программа этого дня стала для меня, фактически, первым днем форума.

Площадка

Digital October, много места, центр города. Антураж и декорации – на пятерку: чисто, аккуратно и очень красиво. В таких помещениях одно удовольствие общаться.

Главный зал просто отлиный – большой и просторный, первый зал (в нем я выступал) меньше, но тоже большой и удобный. Особо хочется отметить прекрасные LCD панели в этих залах – яркие слайды даже при дневном свете гораздо удобнее, чем отраженный свет проектора. Были еще три зала по-меньше, на интересные доклады в них было много народу. Но тут ничего не поделаешь – если достойный спикер читает интересный доклад зал всегда будет переполнен, сколько бы людей он ни вмещал. По-другому никогда не видел, значит это невозможно.

Синхронисты! В первом зале был просто отличный мужик, он потом вел и церемонию награждения. Передавал не только смысл, но и интонации. Что самое главное – не пытался переводить терминологию, понимал как адаптировать фразы на английский и русский. Личный вклад этого человека во все доклады первого зала трудно переоценить.

Экраны, много экранов, трансляция докладчиков велась профессиональными операторами (это важно, как оказалось, какой план выбрать и когда переключаться между спикером и слайдами). Экраны в баре, в CTF зоне, разве что в туалете не было экранов.

Если придираться, то можно пожелать на будущий год микрофоны-прищепки (как сказал Тревис – “я был похож на олимпийца с факелом”) и прогон слайдов на LCD панелях перед началом выступления (стыки панелей при неудачном стечении обстоятельств закрывали текст слайдов).

Организация

Не знаю, как это было сделано, но со стороны все выглядело более чем отлично. Наблюдал за огранизаторами недолго, но в каждый момент времени было видно – каждый делает свою часть большой работы. Непредвзятым взглядом, проблем обнаружить не удалось. Хотя я не очень внимательный по-жизни и мог что-то пропустить :)

Доклады

Докладов было много, из того, что удалось посетить в основном технические работы, то есть практика. Хочу отметить (в порядке следования на сайте мероприятия), те доклады, которые мне понравились:

Трэвис Гудспид:	Эксплуатация радиопомех при помощи технологии Packets-in-Packets
Александр (Solar Designer) Песляк:	Парольная защита: прошлое, настоящее, будущее
Владимир Кочетков:	Взломать сайт на ASP.NET? Сложно, но можно!
Сергей Щербель:	Не все PHP одинаково полезны
Мирослав Штампар:	Утечки данных через DNS: использование sqlmap
Александр Матросов, Евгений Родионов:	Уязвимости смарт-карт с точки зрения современных банковских вредоносных программ
Маркус Нимиц:	Перехват пользовательского интерфейса в Android
Дмитрий Евдокимов:	Средства анализа кода: светлая и темная сторона
Александр Михайлович Поляков:	Небезопасность SAP: новое и лучшее

Жаль, что не смог послушать про naxsi (дайте слайды и запись!!!) – просто не обратил внимание на этот доклад. И еще на мастер-классы не ходил, как-то не смог организовать время.

Приятно удивило, что на мой доклад в 9 утра второго дня (самое нелетное время) пришло больше полного зала слушателей. За что все получили PostreSQL 0day за этот подвиг :)

Конкурсы

Достоверно могу сказать только про два конкурса – наливайка и взлом WAF.

WAF bypass организовывали мы, обходился он очень просто – все что за 1024 байтом не проверялось. Победитель нашел альтернативный и более правильный с способ обхода – исследовал весовую модель, сделал верное предположение об функции рассчета и разбавил запрос легитимными констркуциями “and true”. На следующий день и еще сегодня участники нашли более простые вектора, основанные на выходе за 1024 символ запроса. Конкурс был простой, но на смекалку.

Победитель – студент ВМиК Георгий Носеевич заслуженно получил новый iPad (РСТ, первая партия).

Наливайка такая наливайка… Как обычно, взял не свой ноутбук, так как ethernet забыл дома. Первый ноут был убит пролитой текилой – клавиатура перестала работать. Второй чужой ноут прожил до конца конкурса. Сами задания были несложные, до эксплуатации уязвимостей даже не добрался, взял бонусные флаги, причем не додумался даже до robots.txt. Был чуть быстрее и выиграл из-за этого. Кубок “маринованные мозги” остался у меня :)

CTF был, как говорят, удачным, победили наши ребята из LeetMore, с чем их и поздравляю. Прошлогодние победители – РРР вроде 5е, хотя могу ошибаться.

Подводя итог – это было круто! Ждем нового ZeroNights.

Comments (1)

Холивар на тему продажи уязвимость и эксплоитов.

Навеяно темой и общением в блоге Сергея Гордейчика (http://sgordey.blogspot.com/2012/03/blog-post_24.html)
Собственно, сделал следующие выводы, предлагаю потроллить обсудить.

1. Уязвимости есть интеллектуальная собственность.

2. Эксплоиты (программы для проведения атак используя уязвимости) есть обычное ПО (то есть их также можно патентовать)

3. 1 и 2 есть интеллектуальная собственность, то есть актив компании, в случае, если уязвимость обнаружена и программа (сплоит) написана ее сотрудниками в рабочее время (с нормировками на трудовой договор).

4. 1 и 2 можно продавать как обычный софт, так как это и есть обычный софт, в случаях, явно не установленных УК 273, то есть экспертами. И если не нарушает лиц. соглашение ПО, в котором эксплуатируется уязвимость (спасибо Андрею Петухову за коммент)

5. Исторически сложилась модель продаж с локализованными крупными покупателями (zdi, госдеп и проч.).

Отсюда делаю вывод, что нету разницы что продавать – сканер уязвимостей, эксплоиты, или очередную игрушку типа “фермы”. У кого что лучше получается писать, продавать.

Не согласны?

Comments (23)

Defcon russia #7 Moscow (MSU) meeting

Завершили 7-ю встречу defcon-group в Москве на площадке МГУ.

Всем спасибо, было круто.

Выкладываю свою презентацию:

Готов обсуждать в блоге )

Comments (2)

Как можно было взломать Яндекс

Выкладываю презентацию.

Можем обсуждать, но все было тупо – XXE и вперед.

Коммент для людей, которые возмущались регистрации:

На тему регистрации – все было просто. В хакспейсе банально не хватило бы стульев на всех участников. Хотели рассчитать количество и из этого исходить. В хакспейсе ВСЕГДА есть регистрация на семинары. Если Вы зотите прийти лично – обязательно регистрируйтесь.

P.S. Никому НАФИГ не нужны Ваши IP адреса, тем более, что для этого пришлось бы хакнуть timepad (регистрация на семинары производится ТОЛЬКО через этот сервис).  Не, мы можем, конечно, но НАФИГА?

 

Leave a Comment

Доклад на ZeroNights

По просьбам трудящихся, размещаю свою презентацию на ZeroNights.
Можем обсуждать здесь что не понятно/спорно.
Замечание Андрея Петухова про прокси сервера для локальных адресов считаю очень стоящим. Скоро насобираю технические примеры обхода этой проблемммы.

View more presentations from d0znpp

Leave a Comment

ZeroNights как это было

Вернулся домой с ZeroNights и спешу поделиться впечатлениями, пока они свежи.

Начну с организации – место, пафос и транспорт – это все не очень про ZN. Может избалован СС, конечно, но казалось, в Питере все конференц-залы должны быть рядом с метро.

Сам Катовски очень напомнил Молодую Гвардию – большой зал и гостиница рядом. Очень удобно – приехал, кинул вещи и сразу на конфе. Можно сбегать в душ и переодеть футболку (футболок было море).

Внутри удобно и эффективно – два больших зала семинаров, особенно первый здоровый. Коридор между ними с двумя столами чай-кофе-cookies. Столовая с обедом в этом же здании – короче, зачет )

Не хватало, имхо, динамиков в коридорах и проекторов для конкурсов/всякой фигни. Все было заточено на доклады, а можно было бы пустить музыку и делать объявления централизовано на два зала+коридоры. Народ, разумеется сидел в залах, но и между ними тоже приличная часть аудитории находилась.

Конент…

Тут просто вне конкуренции – первый раз столько докладов по безопасности от исследователей со всемго мира в одном месте. Сразу видно Питер – культурная столица. Никаких продуктов, никаких долбоменеджеров. Хакеры с горящими глазами, – это да, это было, сам видел )

Тем кто не был – настоятельно рекомендую поискать видео/презы, не пожалеете.

Конкурсы…

Удивительно, но нам с Esage спокойно дали возможность провести конкурсы и повесить свои банеры без всяких денег. Что могу сказать – респект и уважуха, всем бы так. Вот она, поддержка малого бизнеса, а не всякие там умные слова про налоги…

SCADA конкурс прошел на ура – все-таки живые железяки, которые можно похакать реалтайм – это наше все. Надо было еще терминал/киоск поставить, очень подробно рассказали/показали как их затапывать – #СПАСИБОЧИПИКУЗАЭТО

Наш конкурс был размещен в инете, начался в 15 часов и закончился на самом награждении. Что могу сказать – RDOT, он и в Африке RDOT. Ребята знают с чем едят веб ) За что и получили планшетку Acer в полном фарше. Второе место отдал за старания группе ребят, которые так и не представились, если напишете – исправлю. Второе место – 32Гб флэшка и мегафутболка Матрица с эквалайзером. Все молодцы,  PMA на HTTPS поломали, Мага на вас нету )

 Яндекс…

Ну глупо было бы не написать про месяц поиска уязвимостей. Поежде всего, респект всем участникам за их баги и нервы, уж я – то знаю чего стоило это ожидание. Что я нарыл расскажу в Хакспейсе через ~60 дней.  Отсюда делаем вывод, что нарыл в самом начале конкурса. Уязвимость серверная ес-но. Также могу сказать, что подошел к заданию не по принципу – искать “все уязвимости на сервисах”, а по принципу “искать сервис под уязвимость”. А затем уже расширял набор этих сервисов. Искренне поздравляю @ASintsov и @Kyprizel за второе и третье место. Очень интересно что вы нарыли, не терпится узнать детали )

Резюме

То, что надо. Море информации, отличные эмоции, прекрасная программа дня и энтузиасты, которые исследуют системы. Как докладчику еще оплатили проезд, просто сказка.

Вместо заключения

Nice to meet you at ZN2012

 

Comments (12)