Sprawozdanie z konferencji CONFidence 2014
Transkrypt
Sprawozdanie z konferencji CONFidence 2014
Sprawozdanie z konferencji CONFidence 2014 Opracował Łukasz Niedośpiał 1 Spis treści Wstęp.........................................................................................................................................3 Dzień pierwszy...........................................................................................................................4 50 Shades of RED: Stories from the “Playroom”.............................................................4 NSA for dummies …methods to break RSA.....................................................................4 Scaling Security.................................................................................................................4 ATMs – We kick their ass ................................................................................................4 Bitcoin Forensics: Fact or Fiction?..................................................................................4 Shameful secrets of proprietary protocols.......................................................................4 Evaluation of Transactional Controls in e-Banking Systems..........................................4 All your SAP P@$$w0ЯdZ belong to us..........................................................................5 Protecting Big Data at Scale.............................................................................................5 Dzień drugi.................................................................................................................................6 Security Implications of the Cross-Origin Resource Sharing.........................................6 Asymmetric Defense “Using your home-field advantage”..............................................6 Preventing violation of memory safety in C/C++ software.............................................6 On the battlefield with the Dragons – the interesting and surprising CTF challenges. 6 SCADA deep inside: protocols and security mechanisms...............................................6 Exploring treasures of 77FEh...........................................................................................6 The Tale of 100 CVE’s.......................................................................................................6 Hacking the Czech Parliament via SMS...........................................................................7 Inne „atrakcje”...........................................................................................................................8 X-traction Point................................................................................................................8 Capture the Flag................................................................................................................8 Pozostałe...........................................................................................................................8 2 Wstęp CONFidence powstał w 2005 r. jako projekt stworzony przez grupę entuzjastów zainteresowanych poprawą bezpieczeństwa systemów operacyjnych i aplikacji. W ciągu kilku lat przeobraził się on w największe spotkanie ekspertów w swojej dziedzinie. Co roku CONFidence gromadzi prawie 400 uczestników: specjalistów ds. bezpieczeństwa IT z rządu, przemysłu, sektora bankowego i środowisk akademickich, a także naukowców i twórców oprogramowania. Z wymienionych wcześniej atrakcji, wyróżnić należy X-traction Point, która podczas poprzedniej edycji zdobyła rzeszę fanów. Gra, która wymaga nie lada umiejętności. Uczestnicy zabawy będą mieli nietypowe zadanie, w który będą musieli przechytrzyć i pokonać Zło-Corp. Uzbrojeni w swoje własne umiejętności będą musieli przejść niezauważenie obok czujnych strażników, uratować zakładnika oraz wykraść tajne akta. Okaże się to wyzwaniem niemałej wagi, ponieważ sprawę będą utrudniały detektory ruchu i dźwięku, alarmy oraz niezliczone fizyczne i komputerowe zabezpieczenia, które trzeba będzie złamać. CONFidence to jednocześnie bank wiedzy, zbiór wspaniałych osobowości i szansa, by z tego wszystkiego w pełni skorzystać. Słuchając najlepszych światowych W mniej i bardziej luźnej atmosferze. specjalistów i poznając ich osobiście. 3 Dzień pierwszy 50 Shades of RED: Stories from the “Playroom” Podczas tej prelekcji głównym zagadnieniem, które zostało poruszone było bezpieczeństwo fizyczne. Prowadzący opowiadał o różnego rodzaju wpadkach bezpieczeństwa, z którymi spotykał się w różnych firmach na całym świecie, w których nierzadko sam brał udział, jako „atakujący”. NSA for dummies …methods to break RSA Prelekcja mocno techniczna skupiona w dużej mierze na matematycznych problemach związanych z RSA. Scaling Security Podczas tej prelekcji prowadzący mówili o autorskich narzędziach pomagających wykrywać różnego rodzaju problemy z bezpieczeństwem. ATMs – We kick their ass W ramach tej prelekcji prowadzący przedstawili zasadę działania typowego bankomatu. Następnie wskazali konkretne braki w bezpieczeństwie oprogramowania tych urządzeń. Swoją wiedzę podparli doświadczeniem zdobytym podczas pracy dla różnych firm na całym świecie. Bitcoin Forensics: Fact or Fiction? Prezentacja ta traktowała o krypto-walicie, jaką jest Bitcoin. Prowadzący pokazał jak analizować przebieg waluty oraz jak zacierać ślady transakcji. Podczas prelekcji przytoczone zostały przykłady SilkRoad oraz SheepMarketplace znane nam z różnych portali oraz blogów traktujących o bezpieczeństwie. Shameful secrets of proprietary protocols W trakcie tej prelekcji prowadzący postawili sobie za cel napiętnowanie różnych błędów bezpieczeństwa we własnościowych protokołach wykorzystywanych w oprogramowaniu, po którym spodziewalibyśmy się wykorzystania bezpiecznych rozwiązań. Prowadzący wspomnieli m.in. o błędach w oprogramowaniu do obsługi FOREX'a. Evaluation of Transactional Controls in e-Banking Systems Podczas tej prezentacji prowadzący wskazali różnego rodzaju luki bezpieczeństwa w systemach transakcyjnych. Przedstawił zalety, ale przede wszystkim wady i zagrożenia płynące z wykorzystania niektórych zabezpieczeń transakcji oraz wektory ataku na każdy ze wspomnianych rodzajów zabezpieczeń. 4 All your SAP P@$$w0ЯdZ belong to us Podczas tej prezentacji prowadzący przedstawili sposoby eksplorowania systemów SAP, sposoby na pozyskanie przydatnych danych dla pentesterów oraz narzędzia przydatne podczas wykonywania powyższych czynności. Protecting Big Data at Scale Big Data niesie dla firm wiele korzyści jednak obsługa oraz co ważniejsze zabezpieczenie tak dużej ilości danych nie jest sprawą trywialną. Prowadzący mówił o problemie zabezpieczenia tak dużej ilości danych gdzie typowe metody zabezpieczania nie zawsze znajdują zastosowanie. 5 Dzień drugi Security Implications of the Cross-Origin Resource Sharing Wykład ten poświęcony był zagadnieniu Cross-Origin Resource Sharing. Ta niezwykle wygodna funkcja HTML5 może jego zdaniem stanowić całkiem poważne zagrożenie dla bezpieczeństwa. Asymmetric Defense “Using your home-field advantage” Podczas tej prezentacji zostało omówionych kilka metod ataku/obrony na systemy oraz infrastruktury związane z otaczającym nas „środowiskiem”. Głównym celem była analiza na bazie, której można było podjąć działania zapobiegające atakom. Preventing violation of memory safety in C/C++ software W trakcie tej prezentacji prowadzący wskazał wiele bardziej bądź mniej popularnych błędów popełniachych podczas pisania kodu w językach C i C++. Głównym hasłem tej prezentacji było: „Jeżeli nie musisz – nie pisz w C/C++ ponieważ najprawdopodobniej nie umiesz tego zrobić dobrze”, co prowadzący kilkukrotnie udowodnił. On the battlefield with the Dragons – the interesting and surprising CTF challenges Podczas tej prezentacji Gynvael Coldwind oraz j00ru podzielili się z nami opisem rozwiązania kilku problemów w ramach różnych zadać CTF. Błędy opisywane przez prowadzących dotyczyły różnych zagadnień bezpieczeństwa, a niejednokrotnie wykorzystywali oni luki, które były nieznane samym autorom zadań. SCADA deep inside: protocols and security mechanisms W trakcie tej prezentacji prowadzący przedstawił kilka protokołów otwartych oraz własnościowych, z którymi spotkał się podczas swojej pracy z systemami SCADA. Wskazał ich możliwości, luki oraz sposoby na obejście ich zabezpieczeń. Exploring treasures of 77FEh Prowadzący podczas tej prezentacji pokazał kilka przykładów na to jak obejść zabezpieczenia wykorzystywane w urządzeniach firm takich jak Lantronix służących do „wypuszczenia” do Internetu urządzeń, które nie posiadają swojego bezpośredniego interfejsu dostępowego do tego medium. The Tale of 100 CVE’s Podczas tej prezentacji prowadzący postanowił zapoznać widownię z problemami bezpieczeństwa w bardzo popularnym CRMie jakim jest WordPress. Jako główny cel, prowadzący obrał sobie pluginy oraz motywy do tego CRMa. 6 Hacking the Czech Parliament via SMS Prowadzący tą prelekcję Słowacy z projektu “Ztohoven”, którzy zdradzili nam kulisy akcji “The Moral Reform”, w ramach, której członkowie czeskiego parlamentu dostali bardzo intrygujące smsy. 7 Inne „atrakcje” X-traction Point To już trzecia edycja CONFidence, podczas której ekipa z The Core Group prowadziła warsztaty z zakresu otwierania awaryjnego zamków, zastosowań tzw. Posi-Taps oraz wykorzystania narzędzia do ominięcia blokady ekranu w praktycznie każdym systemie operacyjnym, pracującym na komputerze zaopatrzonym w port FireWire. Dostępna była również strzelnica, na której można było sprawdzić swoją celność, strzelając z replik ASG. Podczas pierwszego dnia zostały przeprowadzone eliminacje do samego konkursu X-traction Point polegającego na wykonaniu powierzonej misji na terenie starego laboratorium korporacji Zło-Corp. Capture the Flag Kolejną atrakcją dostępną na tegorocznej edycji CONFidence był zorganizowany przez Dragon Sector dwudniowy konkurs Capture the Flag. W ramach tego konkursu uczestnicy musieli złamać tak dużo przygotowanych zabezpieczeń ile byli w stanie. Dostępne zadania zaczynały się od prostych do rozwiązania przez „perełki”, których nikomu nie udało się rozwiązać. Pozostałe W ramach tej edycji można było porozmawiać z przedstawicielami różnych firm z branży IT przy stoiskach, które zostały przez nich przygotowane. Oprócz tego dostępne było również stoisko z drukarkami 3D. 8