За пятнадцать лет своего существования эта конференция прошла путь от небольшого междусобойчика до ключевого security-event’а, проходящего четыре раза в год и собирающего до 10 000 участников. В этом году мне наконец посчастливилось исполнить свою детскую мечту и выступить на BlackHat.

К сожалению, это произошло не в Лас-Вегасе, а всего лишь в Вашингтоне, но, тем не менее, это все-таки BlackHat. Хоть и не совсем тот, но, надеюсь, все впереди.
Честно говоря, с самого начала я был немного удивлен и ожидал чего-то большего. Традиционно BlackHat, который проводится в Вашингтоне, ориентирован на представителей американских военных ведомств и государственных учреждений, которым, видимо, не по статусу куда-то далеко уезжать из своего города.

В этом есть и свои плюсы — на ланче можно обменяться визитками с каким-нибудь директором по безопасности федерального резервного банка Нью-Йорка, а твои доклады услышат Response Team Oracle, которым потом будешь рассказывать, что у них не так с безопасностью. В общем, народу не десять тысяч, как в Вегасе, но зато все пришедшие ориентированы на доклады, а не на тусовку. )Обычно программа конференции заключается в следующем. Сперва в течение двух-четырех дней проводятся тренинги по безопасности от лучших мировых спецов.

Тренинги действительно грамотные — например, пользованию тем же метасплойтом обучают авторы метасплойта. Собственно, аналогичная ситуация и в других областях. Тренинг на BlackHat — это очень круто. Правда, цены кусаются ($3500 за курс), но если прикинуть объем данных и количество времени, которое придется потратить на самостоятельное изучение того же материала, то и цены начинают казаться вполне адекватными. Тем не менее, стоит отметить, что ничего кардинально нового в плане неопубликованных методик на тренинге ты не услышишь (в отличие от докладов), зато все разложат по полочкам и помогут на практике отработать весь материал.

Тренинги, как мне кажется, очень полезны, если тебе необходимо в кратчайшие сроки изучить какую-нибудь неизведанную ранее область — к примеру, «Mac Hacking Class» от Дино Дай Зови или «RFID, Access Control & Biometric Systems». А тренинг на тему Pentesting With backtrack в этот раз вел мой друг Вал Смит из компании Attack Research, с которым мы, собственно, делали совместный доклад на BlackHat.

Его тренинг назывался «Tactical Exploitation» и описывал методики проведения тестов на проникновение без использования программных уязвимостей, сосредоточившись на архитектурных багах и социальной инженерии. В общем, рассказывал он о том, на что должен быть похож настоящий пентест (в отличие от того, что сейчас предлагают на рынке в виде запуска метасплойта).

В целом в Вашингтоне в этот раз было совсем немного тренингов, зато появились воркшопы — нечто среднее между докладом и тренингом. Воркшоп обычно рассчитан на два-три часа и представляет собой некую демоверсию тренинга: то, что не уместится в рамки доклада, но и на полноценный курс не тянет.

По времени тренинги идут параллельно основным секциям докладов, что ставит нелегкую проблему выбора. Всего на конференции было четыре параллельных секции: по две на доклады и воркшопы, поэтому каждый раз приходилось решать, кого же отправиться слушать (или вообще остаться пообщаться с людьми в холле). На всех предыдущих конференциях, где я выступал, было по две параллельных секции, что гораздо удобнее. Впрочем, на BlackHat Las-Vegаs их вообще по восемь-десять, так что не все так плохо. Главное, что есть из чего выбирать. Собственно, воркшопы в этот раз были следующие:

  • Cyber-attacks to SAP platforms: The Insider Threat – от моего аргентинского коллеги;
  • Peach Fuzzing от Майкла Эддингтона;
  • Hardware Reverse Engineering: Access, Analyze and Defeat;
  • How to Hack Large Companies and Make Millions;
  • The Mac Exploit Kitchen от Винченцо Иоццо и Дино Дай Зови.

В общем, все достойны, но посетил я, естественно, первый, хотя практически ничего нового там не узнал. Наверное, стоило бы сходить на Дино Дай Зови, но жалко было пропускать целых три доклада.

Также на конференции была выставка вендоров, где были представлены стенды таких компаний, как Rapid7, Nessus, IOActive, CoreSecurity и прочих. Там, кстати, можно было получить в подарок футболку Metasploit или Nessus (правда, они были рассчитаны на американцев, и размеров меньше XL не было в принципе). На стендах в том числе выставлялась HBGarry, которая недавно неслабо облажалась, попытавшись разобраться с анонимусами. Вообще, заметно невооруженным взглядом, что основная масса вендоров направлена на Forensics-софт. Это новый зарубежный тренд, да и до нас уже добирается.

 

Доклады

Но перейдем наконец к докладам. Основное событие, ради чего существует BlackHat, и о чем потом месяц треплется пресса по всему миру. Как раз об одном из докладчиков писали все СМИ в начале этого года – это самый молодой участник конференции, Томас Рот, ему всего девятнадцать лет. Вообще меня слегка удивил средний возраст участников: когда я вернулся, меня кто-то спросил: «Ну что? Ты там был самым молодым?». Если бы…

На самом деле, большинству докладчиков меньше двадцати пяти лет: Исааку Аврааму – двадцать три, Мариано Нунезу – двадцать пять, РальфуВильяму тоже не больше, он вообще студент. Да и остальные не намного старше, хотя, конечно, и старые аксакалы попадались. Итак, возвращаемся к докладу Томаса Рота, в просторечье – «Джастина Бибера». Если бы ты только знал, как этот парнишка похож на Джастина! Половина докладчиков только это и обсуждала.

Парень был реально звездой мероприятия. Еще бы, выступить на Блекхат в девятнадцать лет, да еще и быть копией популярного певца. Или может это скрытая вторая жизнь, кто знает…

В общем, ты наверняка слышал недавнюю шумиху на тему того, что некий исследователь взломал WPA2, используя облачные вычисления. Так вот — это было про него. Правда, журналисты как всегда все переиначили, и смысл события был отнюдь не в WPA, но кто уж теперь вспомнит… Кстати, все те, кто писал про пресс-релиз этого парня гнусные комментарии на форумах — знайте, он тут не причем. Парень действительно толковый, и никому он не доказывал, что взломал WPA2. Смысл доклада – показать, как просто сейчас каждый может организовать распределенный перебор паролей на графических процессорах, используя сервисы Amazon. Начнем с банального сравнения – перебор паролей на четырехъядерном Core i7 происходит примерно в двадцать пять раз медленнее, чем на кластере из четырех карт GeForce 295 GTX. А вот конфигурация стандартной GPU-ячейки в облаке Amazon:

  • 22GB RAM
  • 2 x Intel Xeon X5570
  • 2 x NVIDIA Tesla “Fermi” M2050
  • $2.10/час

В результате за $16 в час, используя восемь GPU-инстансов, мы получаем скорость 400 000 PMK (подбор ключей для WPA) в секунду, что в несколько тысяч раз больше, чем на PC. Софтину, которая позволяет реализовывать эти действия, Томас обещал выложить в свободный доступ, но пока с этим возникли проблемы из-за немецких законов. В общем-то, написать ее самому не такое уж и сложное дело, но парнишка все равно молодец!

Любителям докладов похардкорнее могу предложить еще два выступления: первое от Винченцо Иоццо и Джованни Гола – «Stale pointers are the new black» (про то, как искать уязвимости класса dangling pointers, double frees и uninitialized memory), второй — доклад Тарьея Мандта «Kernel Pool Exploitation on Windows 7» (тут все понятно из названия). Но об этом знающие люди напишут подробнее, а я перейду к другим докладам.

 

Мобильный беспредел

Рассмотрим доклады, которые я объединил в актуальную на данный момент тему безопасности мобильных устройств, протоколов и операционных систем. Начнем с модной нынче темы мобильной безопасности. К слову, если у тебя есть мысли по поводу исследований в этой области, то я тебе гарантирую — тема перспективная и еще себя покажет. Как, впрочем, и тема бизнес-приложений, о чем будет сказано в конце статьи.

Если посмотреть на статистику докладов по различным операционным системам, да и вообще на интерес к ним, то явно видно, что Linux сейчас как-то не в моде, да и винда уже давно сдает позиции, а вот Mac OS, Android, BlackBerry – набирают популярность. В юзерском сегменте мобильные ОС точно со временем вытолкнут винду и линукс, так что, господа троянописатели, меняйте профиль.

Итак, хватит лирики, приступим к делу. В докладе «Popping Shell on A(ndroid)RM Devices» молодой израильский исследователь Исаак Авраам рассказал подробности написания шелл-кода под андройд и ARM-железо (эх, зря я в универе прогуливал лабы по микроконтроллерам). Итак, на черном рынке эксплойт под Webkit (движок браузера, используемый в Google Chrome) стоит $35000-39000, и это клиентская часть, то есть эксплуатация требует какого-то действия от пользователя. Уязвимость через SMS или GSM-трафик будет стоить гораздо больше. Это было коммерческое обоснование проделанной им работы, а сделал он следующее: написал эксплойт под уязвимость, обнаруженную им же в андроиде. В общем, стандартная техника RET2LIBC на ARM-процессорах не работает, ибо там другая архитектура, и он выдумал три новых методики (о них ты сможешь прочесть, скачав слайды), а потом успешно применил их к найденной им 0-day уязвимости в webkit, показав ее на Motorola Droid. Но не тут-то было. По умолчанию пользователь имеет лимитированные права в системе, и после получения шелла надо, так или иначе, повысить привилегии. Один из вариантов — это бесконечные попытки вызова приложения, пока пользователь не устанет нажимать «cancel» и не согласится его запустить.

Другой вариант использует методы социальной инженерии — это модификация текста о попытке запуска неразрешенного приложения. В общем, получилось довольно круто, а самое поразительное — это уязвимость, которую он обнаружил. Я до сих пор в шоке, как такое возможно в нашем веке – оставить багу в URL-строке, которая находится простейшим фазером!

Продолжаем мобильную тему и переходим к докладу Диониса Блазакиса «The Apple Sandbox». Этот исследователь уже наделал много шума год назад, рассказав про новый метод атак Jit-Spray, идею которого развил Алексей Синцов. На этот раз Дионис сделал доклад в том же стиле общих слов. Правда, если в прошлом году он выдал идею, но не представил реализацию, то в этом году он просто рассказал, что такое Apple Sandbox (XNU Sandbox) и как она устроена, чтобы помочь ресечерам в попытках найти уязвимость в этой системе. Разговор идет о так называемой песочнице Apple, в которой с ограниченными правами запускается браузер и приложения, не входящие в группу доверенных.

Соответственно, мечта многих — обойти этот механизм. Дионис признался, что обойти он его не смог, но вот различный инструментарий для упрощения дальнейшего анализа представил в избытке. Так что, если есть желающие повторить путь Алексея и продолжить новое исследование Диониса – вперед! Мировая слава и +500 к фолловерам в твиттере прилагаются.

Теперь переходим от софтверной части к более железной и рассмотрим доклад Давида Переса и Жозе Пико под названием «А practical attack against GPRS/EDGE/UMTS/HSPA mobile data communications». Одна из тем, о которой кто-то в конце концов должен был рассказать. И вот оно, собственно, свершилось — после того, как всем уже стало понятно, что GSM-трафик легко прослушивается (Practical Cellphone Spying. Chris Paget. DEF CON 18 July 2010). То есть, цена девайсов упала до сотен долларов, ПО для симуляции базовой станции (OpenBTS) и проведения атак с ложной точкой доступа стало доступно всем, а исследователи перевели взгляд на более актуальные протоколы мобильной связи.

Итак, для перехвата GPRS- и EDGE-трафика понадобится ip.access nanoBTS – профессиональная базовая станция с IP-интерфейсом. А также набор различного открытого софта, который ты можешь найти на слайдах, и Cellphone Jammer (по-русски — глушилка для диапазонов UMTS/HSPA). Собственно, в описанной атаке нет ничего необычного, теории тут немного, главная проблема — это софт и железо. Сперва атакующий пытается подобраться как можно ближе к жертве. Затем прослушивает канал и устанавливает свою ложную BTS-станцию со всеми данными в обнаруженной свободной ячейке. Дальше остается лишь убедиться в том, что канал связи с интернетом налажен, и спокойно дожидаться, когда жертва переподключится к твоей станции. После чего, используя ноутбук и софт по перехвату пакетов, можно творить любые атаки.

В том числе было показано, как подменять трафик для iPhone/iPadприложений и перехватывать пароли от мобильных банк-клиентов. Аналогично можно красть и одноразовые пароли, передаваемые по SMS, что сейчас считается самым безопасным способом. Также докладчик продемонстрировал, что UMTS тоже не безопасен, если телефон поддерживает более ранние протоколы, так как можно сперва включить UMTS-глушилку, заставив телефон перейти на использование GSM, а потом вернуться к первому пункту.

Чтобы окончательно добить тебя темой безопасности мобильных устройств, расскажу про доклад Ральфа-Филиппа Вейнмана из университета Люксембурга. Доклад называется «The Baseband Apocalypse» — он тоже наделал немало шумихи в новостных источниках. Как только исследователи получили в руки софтверный инструмент для отправки пакетов по GSM-протоколу, то стало возможным проводить атаки на драйвера GSM-модуля, используемого в телефонных аппаратах. Ровно такая же история произошла лет пять назад, когда было обнаружено первое переполнение буфера в драйверах Wi-Fi устройств, правда там оно нашлось фаззингом.

Здесь же исследователь решил пойти путем реверс-инжиниринга драйверов. Преимущество атак на драйвера, помимо всего прочего, заключается в том, что они никак не защищены. Нет защиты кучи, нет ASLR, нет NX-бита (за исключением чипсета Infineon XMM6180, используемого в IPhone 4). В общем, после тщательного реверсинга докладчик нашел немало багов в прошивках Qualcomm и Infineon, продемонстрировав удаленные атаки на iPhone и HTC Dream. Во время доклада, как это зачастую и бывает, атака не сработала, но позже в кулуарах желающие смогли убедиться в ее реальности.

А главное заключается в том, что если запустить такую ложную базовую станцию в месте массового скопления людей и посылать пакеты с эксплойтами, то можно заполучить доступ к немалому количеству мобильных устройств. Ну или перепрошить их так, что они превратятся в кирпичи :).

Кстати, все доклады на блекхате сопровождаются вайтпейперами (документами, подробно описывающими то, что представлено в презентации). Зачастую презентация состоит из набора картинок и малопонятных слов (предполагается, что основную часть докладчик будет произносить вслух), так что для полного понимания сути доклада рекомендуется читать вайтпепер.

 

Вайлд, вайлд веб

Теперь порадую немного фанатов веба. Кто еще не слышал про модный Layer7 DOS? Тогда мы идем к вам. На седьмом уровне модели оси у нас расположены такие протоколы, как HTTP(S), SMTP, FTP. Вот про атаки на отказ в обслуживании на эти протоколы и шла речь. В 2009 году Вонг Онн Чи рассказал про атаки на отказ в обслуживании через POST-запросы, что гораздо интереснее.

К слову сказать, ни Майкрософт, ни Апач вначале даже за уязвимость это не посчитали — типа это просто фишка такая. Так как же это работает? Поле «Content-Length» в HTTP-заголовке сообщает серверу, какова длина пакета. К примеру, «Content-Length = 1000». В случае, если написать, что длина пакета = 1000, а отправить только 1 байт, то сервер будет ждать остатков, держа коннект открытым и зарезервировав в памяти место. Ну естественно — ведь нужно же как-то заботиться о клиентах с медленным коннектом! Таким образом, если послать 20 000 таких запросов с рандомной длиной с различных IP-адресов, то сервер просто не сможет обслуживать новые запросы, и произойдет отказ в обслуживании. Для демонстрации этого исследователи выпустили тулзу owasp.org/index.php/OWASP_HTTP_Post_Tool.

С ее помощью любой школьник сможет DDOS’ить неугодный ему сервер (привет скрипткидди, если ты дочитал до этого момента — тебе крупно повезло). Самое интересное, что пока не придумано адекватных мер для защиты и обнаружения такого рода атак, хотя некоторые идеи были озвучены в докладе.

Переходим от нападения к защите. Еще ни одна конференция BlackHat не проходила без доклада про XSS. На этот раз вызвались ребята из Trustwave. Пару слов хочу сказать о компании Trustwave и их исследовательском подразделении Spider Labs. Вообще эти парни выступают практически на каждой конференции, но, к сожалению, я ни разу не видел от них ничего стоящего. Либо баяны, либо попытка рассказать о совершенно новой области, но ограниченная только теоретическими описаниями возможных угроз. Тем не менее, сами люди по общению классные. Вот и на этот раз, чего только стоил доклад с громким названием «Hacking the Fast Lane: security issues with 802.11p, DSRC and wave» где предполагалось показать различные атаки на новые протоколы.

В итоге все вылилось в описание теоретических основ всех упомянутых сокращений и одного слайда о том, что там могут быть те же атаки, что и в других протоколах: всем бояться. Что касается веб-темы, то ребята из Trustwave в докладе «XSS: Street Fight» по сути описали сборник довольно известных методик по защите от XSS-атак на примере того, как это работает в Mod Security (автор доклада является одним из разработчиков данного творения). В прошлом году уже был доклад «Our favorite XSS filters and how to bypass them» — видимо, ребята решили рассказать, как же можно защититься от всего этого, и какие методы защиты реализованы в Mod Security.

 

Бизнес-приложения – новый тренд

Про один тренд — мобильные ОС и девайсы — ты уже понял. Пора ознакомиться с еще одним. Это критичные бизнес-приложения уровня Enterprise, которые являются ядром практически каждой компании. Бизнес-приложения делятся на три типа:

  • малого размера (MS Office и подобное);
  • среднего размера (CRM, интернет-магазины, управление человеческими ресурсами, групповая работа и так далее);
  • enterprise размера (ERP, BPM, PLM и прочее).

Вот об enterprise-уровне речь и пойдет. Одним из примеров ERPсистемы (Enterprise Resource Planning – Система управления ресурсами предприятия) является SAP. Это наиболее крупный поставщик данных решений во всем мире. Что касается России, то у нас есть своя ERP- 1С:Предприятие. Только если 1С используется в малом и среднем бизнесе, то SAP используют компании, где в системе работают сотни или даже тысячи клиентов. В эту область до недавнего времени исследователи практически не лезли. Все началось приблизительно в 2006 году, когда был представлен один из первых докладов по техническим вопросам безопасности SAP.

В 2007 году Мариано Нунез (тогда еще сотрудник компании Cybsec) рассказал на конференции BlackHat про атаки на протокол RFC, используемые в SAP. С тех пор я также начал заниматься этой темой и с 2009 года выступаю на конференциях именно по ней. К слову сказать, если в 2007-2008 году про безопасность SAP было всего пара докладов в год, то в 2010 их было аж двенадцать! В 2011 году, уверяю, будет не меньше. Собственно, и на этот раз Мариано представил новый доклад о том, как ломать web-интерфейсы SAP-систем через интернет. Самое обидное, что это была моя тема, и я даже посылал запрос с ней на одну из прошлых конференций BlackHat, но мне тогда отказали. Видимо, сейчас организаторам эта тема показалась актуальной. Тем не менее, сам доклад Мариано на меня впечатления не произвел, так как все это и даже больше я бы мог рассказать сам (да, я просто завидую). Самая грандиозная атака, представленная на его слайдах, заключалась в том, что можно обойти SSOаутентификацию, добавив секретный заголовок в HTTP-запрос.

Но главное даже не в том, насколько она опасна и проста, а в том, что данная бага известна в узких кругах с 2006 года! Да и на официальном сайте SAP в разделе настроек SSO упоминается вскользь об этой проблеме, так что Мариано просто громко заявил о том, что было известно и ранее. Что ж — тоже неплохо, ведь пока еще мало кто понимает, что ERP-системы содержат массу уязвимостей.

Теперь перейдем к моему докладу, в котором я осветил вопрос безопасности ERP-систем, показав, как можно найти их в интернете при помощи google-хакинга; как атаковать юзеров через уязвимости в ActiceX-компонентах клиентского софта; а также как при помощи уязвимостей не просто получить шелл на сервере, а незаметно подменить банковский счет клиента компании на свой, а потом, получив перевод, поменять все обратно, скрыв следы.

Вообще в бизнес-приложениях присутствует масса различных уязвимостей, но наиболее интересные – это архитектурные. Их прелесть заключается в том, что закрыть такую багу – непросто и небыстро, а обновить установленную систему — еще дольше, так как это может потребовать столько времени, что в течение этого периода бизнес компании будет попросту остановлен. Хороший пример такой баги, который мы нашли во время анализа безопасности одного бизнес-приложения, — обход аутентификации в СУБД OpenEdge. Бага заключается в том, что когда пользователь вводит имя и пароль в клиентское приложение, они теоретически должны отправляться на сервер (причем в виде хэша) и сравниваться там со значением, которое лежит в базе. Но не тут-то было! На сервер отправляется запрос о попытке аутентификации, а от сервера приходит хэш пароля, который на клиенте сравнивается с введенным. В общем, более эпического провала я не видел.

Вначале даже сложно было поверить в это. И это только один из примеров архитектурных уязвимостей в бизнес-приложениях, другие ты можешь почитать в моем докладе. Там же ищи информацию о том, как проводить пентест бизнес-приложений, и в чем заключаются его особенности. Про бизнес-приложения также рассказал Крис Гейтс, с которым мы в прошлом году писали модули для Metasploit для атак на СУБД Oracle. На этот раз он тоже ушел в сторону нового тренда и дополнил свой движок атаками на различные оракловые веб-приложения — такие как Oracle Application Server и Oracle Fusion Middleware, что является основой для построения всех бизнес-приложений типа Oracle E-business Suite.

 

Заключение

В общем, тема бизнес-приложений сейчас активно развивается, так что если ты заинтересован в любых исследованиях в данной области (будь то взлом или аналитика), то пиши письма на Research@dsecrg.com, и, возможно, ты станешь следующим, кто поедет на Blackhat :).

 

5 лучших докладов BlackHat 2011

 

За пределами AutoRun: эксплуатация софтверных уязвимостей с помощью внешних накопителей

Разного рода малварь вот уже многие годы использует функциональность автозапуска Windows, приспособив в качестве одного из каналов распространения внешние накопители (и прежде всего флешки). Да, эту фичу всегда было легко отключить, но тому же самому Stuxnet это не помешало идти по миру через USBдрайвы, опираясь на неизвестную ранее уязвимость Windows. В этом докладе Джон Лаример представил несколько новых техник, которые может использовать малварь для автоматического выполнения зловредной загрузки с USB-накопителей и при этом вообще не зависеть от системы AutoRun винды. Где тут секрет? Существует большое количество кода, который выполняется между USB-драйверами и десктопными программами, которые, к примеру, рендерят иконки и превьюшки для документов. Это открывает security-исследователям большое количество целей для эксплуатирования. Причем поскольку обычные пейлоады (вроде открытия шелла) здесь не всегда полезны, в докладе предложено несколько альтернативных нагрузок, которые немедленно предоставляют хакерам доступ к системе. Проблема касается не только Windows, что продемонстрировал ресерчер, когда сумел разблокировать экран Linux, вставив USB-флешку в ноутбук.

 

Практические атаки на сотовые сети GPRS/EDGE/UMTS/HSPA

Еще несколько лет назад мало кто представлял, что для атаки на сотовую сеть можно будет использовать открытое доступное оборудование, стоимость которого не превышает $10 000. Дэвид Перес и Жозе Пико в своем докладе решили на практике продемонстрировать, насколько просто сейчас установить фейковую базовую станцию (Rogue BTS), заставить телефон жертвы к ней подключиться и благодаря этому получить полный контроль над его общением через сотовый телефон. В основе атаки лежат две особенности сотовых сетей. Первая заключается в полном отсутствии взаимной авторизации в GPRS и EDGE (2G) сетях, что приводит к тому, что GPRS- и EDGE-устройства тотально уязвимы к такому виду атак.

Смысл второй кроется в общем механизме работы, который реализован в телефонах, предназначенных для работы в UMTS- и HSPA (3G)-сетях. В случае недостаточного сигнала они принудительно подключаются к сетям GPRS/EDGE, что позволяет использовать атаку не только на 2G-, но и на 3G-девайсы.

 

Смартфон, подключенный по USB? Эксплуатируем это!

Подключение через The Universal Serial Bus (USB) окончательно стало стандартом де-факто как для зарядки смартфона, так и для обмена данными между ним и компьютером. Это в том числе касается iPhone, BlackBerry, устройств на Android и т.п. В таких девайсах используется мощное программируемое USB-железо, позволяющее реализовать альтернативные варианты «общения» с компьютером. Добавляем сюда практически полное отсутствие защитных механизмов как со стороны компьютера, так и со стороны мобильного устройства — и получаем целый ряд совершенно новых атак. Например, можно запрограммировать USB-железо смартфона так, чтобы при подключении к компьютеру он определялся как Human Interface Device (HID), то есть фактически мышь и клавиатура. Дальше ничего не стоит отправить системе последовательность нажатий клавиш и движений мышью, выполняя любые действия. Авторы доклада, Анжелос Ставроу и Чжаоху Уонг, показали также, как перевести смартфон в режим работы USB-хоста и получать контроль над другими мобильными девайсами, подключая их с помощью хитро собранного data-кабеля.

 

Деанонимизация LiveCD ОС

Традиционные методики криминалистики обычно основываются на исследовании образа жесткого диска. Специалист может провести целый ряд экспертиз, в том числе общее исследование файлов, восстановление удаленных документов, построение временных диаграмм доступа к разным компонентам и т.д. Но если злоумышленник использует для работы LiveCD (мотай на ус!), то привычная модель проведения экспертизы летит в тартарары. Такие ОС полностью загружаются в оперативную память и никак не взаимодействуют с локальным диском. Это сводит на нет возможность проведения обычного исследования файловой системы. Как быть? Автор доклада, Эндрю Кэйз, поделился рядом техник для полного извлечения из памяти структуры файловой системы LiveCD, а также частичного восстановления ранее удаленного ее содержимого.

Помимо этого докладчик представил методику, применяемую сейчас для анализа памяти приложения Tor, которое используется во многих LiveCD-дистрибутивах для анонимизации работы в Сети и шифрования всего проходящего трафика.

 

Эксплуатация Mac’а на кухне

Кто-то еще хочет сказать, что Mac — это исключительно безопасная система, для которой нет ни троев, ни эксплоитов? Чепуха! Парни Дино Дай Зови и Винченцо Иоццо решили прямо на Black Hat’е провести кулинарное шоу и приготовить несколько сплоитов для Mac. Шеф-повар показал все стадии работы над блюдом, начиная с поиска и выбора правильных ингредиентов (уязвимостей) и заканчивая разными способами их приготовления (техниками эксплуатации), которые каждый может использовать на своей собственной кухне. Продемонстрированные рецепты включают сплоиты как для локального поднятия привилегий, так и для удаленного выполнения произвольного кода через браузер. В качестве жертвы была выбрана последняя версия Mac OS X — Snow Leopard, а основным инструментом для приготовления сплоита стала IDA Pro.

Теги:

Оставить мнение

Check Also

Признаки «Оперы». Йон фон Течнер об идеологии браузера Vivaldi

«Хакер» побеседовал с сооснователем фирмы Opera и основателем Vivaldi Йоном фон Течнером, …