ZeroNights 2015: Hack now — Save the future

image


Наверное, многие в России уже соскучились по хорошей, хардкорной хакерской атмосфере и докладам. Докладам, которые не просто интересно послушать, но и полезно как для защиты, так и для атаки. Но не грустите: 25-26 ноября в Москве в пятый раз состоится конференция ZeroNights ;) Часть программы уже известна, и мы рады представить вам ее. Так что добро пожаловать под кат.

Основная программа



Ключевой доклад: «Ода хакерам»
Докладчик: Rodrigo Rubira Branco

Описание доклада

Хакеры создают знания и делятся информацией с зарождения высоких технологий. Они действительно глубоко понимают, как устроены системы изнутри, но мотивирует каждого из них что-то свое. Как компания, сталкиваясь с конкуренцией и внешними вызовами, стремится создавать продукцию, отвечающую на эти вызовы, и улучшать ее с каждой новой версией (или не делать этого), так и хакер накапливает знания и развивается благодаря им. Поскольку у разных хакеров разные цели и задачи, они направляют свои таланты в разные области. Если кому-то взлом некоторой системы кажется легким, он, вероятно, уже обзавелся соответствующими знаниями и разобрался в задаче, но это не значит, что кто-то другой не может быть в начале того же пути, идти по нему с увлечением и с вниманием к сложности системы. Разные цели – разные средства. Работа может быть любимой, интересной и сложной, но все равно оставаться работой со всеми ее традиционными преимуществами. У всех своя жизнь, и каждому следует понимать это, нести ответственность за собственные решения и расплачиваться за ошибки. Как поднимаясь по карьерной лестнице технического специалиста в крупной корпорации, так и охотясь за багами на вольных хлебах (а между этими двумя крайностями немало общего), исследователь должен принимать осознанные решения, и их-то мы и обсудим в данном докладе. Конечная цель – показать, что существуют как трудности, так и возможности, и что можно устроить свою жизнь очень по-разному, сохраняя верность основным приоритетам: приобретать знания и получать удовольствие.


«Взлом виртуальных устройств»

Докладчик: Jeremy Brown

Описание доклада

Виртуальные устройства сейчас стали использоваться повсеместно, поскольку виртуализация вездесуща, а гипервизоры – обычное дело. Все больше крупных вендоров предоставляют виртуальные клоны своих продуктов, раньше доступных только в виде физической инсталляции. Как и в случае Интернета вещей и CAN-шин, все только начинается, а вендоры уже опоздали. Они не готовы, в первую очередь, к появлению огромной поверхности атаки, кишащей уязвимостями. Кроме того, многие вендоры считают, что виртуализованное ПО для пользователя – это удобная возможность оценить продукт перед покупкой физической версии, поэтому такая версия продукта более доступна и легче поддается отладке с помощью возможностей платформы, на которой она запущена. В своем докладе я разберу реальные случаи появления разнообразных уязвимостей из-за ошибок, которые многие крупные игроки допускают при поставке виртуализованного ПО. Вы научитесь находить такие баги сами, узнаете, как вендоры подошли к задаче их исправления и решали ли они ее вообще. В результате доклада вы будете твердо знать, как решается задача удаленного запуска кода на виртуальном устройстве.


«Вырываем больной (синий) зуб»

Докладчики: Matteo Beccaro, Matteo Collura

Описание доклада

Знаете, сколько сейчас в мире устройств с включенным Bluetooth? С приходом Интернета вещей и технологии Smart Bluetooth (экономит энергию) их стало невероятно много.
Безопасны ли они? Что, если я скажу вам, что могу разблокировать ваш смартфон? Что, если я скажу вам, что способен открыть новенький замок SmartLock, на который заперта дверь вашего дома? В этом докладе мы кратко объясним, как работают протоколы Bluetooth (BDR/EDR/LE), с акцентом на их безопасности. Затем мы покажем некоторые известные уязвимости и, наконец, совершенно секретные, даже продемонстрируем их.


«Cisco IOS shellcode – all-in-one»

Докладчик: Георгий Носенко

Описание доклада

Сетевое оборудование Cisco всегда было притягательной целью атаки, ввиду широкой распространенности и той ключевой роли, которую играет данное оборудование в построении сетевой инфраструктуры и её безопасности.
Данное оборудование имеет большое разнообразие архитектур, видов и версий операционных систем (прошивок), под управлением которых работает сетевое оборудование Cisco, что сильно затрудняет разработку универсального шелл-кода. Шелл-коды для Cisco IOS, которые доступны в открытом доступе, заточены под конкретное сетевое оборудование, не отличаются широкой функциональностью и малополезны во время тестов на проникновение.
В данном докладе пойдет речь о результатах исследования, которое было предпринято нашим исследовательским центром, для того чтобы создать максимально переносимый между прошивками Cisco IOS шелл-код, предоставляющий пентестерам широкой спектр возможностей, благодаря способности динамически менять назначение шелл-кода на этапе постэксплуатации.
Также рассмотрим возможность возникновения «червя», распространяющегося по сетевой инфраструктуре от брандмауэра к роутеру, от роутера к свитчу и т. д.


«Почини сам: закрываем уязвимости в UEFI своими руками»

Докладчик: Николай Шлей

Описание доклада

В вашей прошивке нашлась уязвимость, а с обновлением производитель не торопится? Или обновление вышло вчера, но вместо исправления старой уязвимости добавили две новых?
Хватит это терпеть, пора брать безопасность прошивки в свои руки! Этот доклад о том, как самостоятельно обнаружить и закрыть известные на данный момент уязвимости в UEFI-совместимых прошивках.


«Большие проблемы с «большими данными»: безопасность интерфейсов Hadoop»

Докладчик: Jakub Kaluzny

Описание доклада

Какие новые вызовы бросают аудиторам безопасности вошедшие в моду «облачные технологии» и «большие данные»?
Если не учитывать сложность Hadoop-инсталляций и количество интерфейсов, с помощью стандартных методик можно тестировать уязвимости веб-приложений, безопасность SSL и остального шифрования. Мы проверили распространенные Hadoop-окружения и нашли ряд критичных уязвимостей, способных омрачить репутацию «больших данных».


«illusoryTLS: Никто, кроме нас. Имитация, модификация и эксплуатация»

Докладчик: Alfonso De Gregorio

Описание доклада

Узнайте, как внедрить ассимметричный бэкдор на основе эллиптической кривой в RSA-модуль с помощью Elligator. Поймите, что вся защищенность TLS может оказаться фикцией, если в хранилище сертификатов собеседников попадет всего один CA-сертификат с незаметно внедренным бэкдором. Выясните, как кое-кто изучал криптографические бэкдоры на практике в интересах разведки, независимо от юридических ограничений.


«Ломай как кинозвезда: пошаговое руководство к созданию боевой нагрузки под SCADA для физических атак с катастрофическими последствиями»

Докладчик: Marina Krotofil

Описание доклада

Почти все доклады по уязвимостям в SCADA заканчиваются ошеломляющими сценариями физических атак с леденящими кровь последствиями. Им вторят голливудские фильмы и многочисленные публикации в СМИ, так что теперь в искусство вызова кибергеддона посвящен каждый: взламываешь что-нибудь, что сойдет за SCADA-систему, в нужное место тут же хлынет газ, и мир сойдет с ума. А так как никто особо не понимает, что это за SCADA такая, то и на конференции докладчик может сколько угодно вешать аудитории лапшу на уши.
Этот доклад – экспресс-курс по программе действий после взлома SCADA. Если злобный инопланетянин удаленно атакует достаточно сложный процесс, у него ведь не появляются магическим образом исчерпывающие знания об этом процессе, и перед финальной атакой ему предстоит решить ряд промежуточных задач. Как процесс контролируется? Какие команды он понимает? Какие возможности можно проэксплуатировать? Без ответов на эти вопросы не обойтись. Внедрить можно любые данные, но это еще не гарантирует возможности произвольно контролировать процессы. Физика процесса и хитросплетения логики управления могут здорово спутать злодею карты. В качестве примера мы приведем в катастрофическое состояние светофор, чтобы слушатели получили практические знания о взломе SCADA. Доклад включает все стадии киберфизической атаки с описанием задач, выполняемых на каждой стадии, и нетривиальных обходных путей, к которым иногда приходится прибегать злоумышленнику.
Предполагается, что к концу презентации слушатели будут способны вывести шарлатанов на чистую воду и вдохновлены на создание собственных интересных и оригинальных атак на SCADA с произвольными физическими последствиями.


«Модификация прошивок промышленных свитчей»

Докладчик: Александр Ермолов

Описание доклада

Сердцем любой современной инфраструктуры АСУ ТП является шина передачи данных. В подавляющем большинстве случаев она основана на базе семейства технологий Ethernet. В докладе рассматриваются атаки на основные элементы шины – промышленные коммутаторы. Будут показаны методы подмены прошивки коммутаторов, используя различные уязвимости и слабости конфигураций «по умолчанию». Компрометация такого коммутатора позволяет получить практически безграничные возможности контроля над технологическим процессом: можно вмешиваться и менять данные внутри различных соединений между ПЛК и SCADA, между шлюзами и ПЛК, подделывать данные, передаваемые на HMI и в системы журналирования и т. п. Все это может привести к тому, что оператор не будет контролировать реальное состояние технологического процесса и, как результат, к остановке процесса или аварии. Кроме того, будет рассмотрена возможность перманентного внедрения (посредством компрометации загрузчика) кода в коммутатор.


«Direct X – прямой путь к ядру Microsoft Windows»

Докладчик: Никита Тараканов

Описание доклада

Благодаря графическим технологиям в драйверах режима ядра появилось много API, доступных для кода 3-го кольца защиты. Если вы создаете материалы для компьютерной игры или видеопроигрывателя, вам придется использовать одну из низкоуровневых функций, предоставляемых Windows Display Driver Model для взаимодействия с драйвером ядра. Графические операции ресурсоемки, сложны и доступны непривилегированному пользователю. Это исследование посвящено поиску уязвимостей в низкоуровневых взаимодействиях 3-го кольца с 0-м в рамках WDDM и посредством библиотеки режима пользователя GDI. В презентации будут показаны статистика и методики фаззинга, а также уязвимости, найденные в драйверах Intel, NVIDIA и ATI.



Defensive Track



«Сыграем в игру: еще один способ тестирования на проникновение»

Докладчик: Кирилл Ермаков

Описание доклада

Любая современная корпорация проходит внешние пентесты, аудиты и другие проверки «контролей» информационной безопасности. Существует множество разнообразных подходов к этим процессам. Одни из них получаются по эффективности чуть лучше, чем автоматизированное сканирование, другие претендуют на симуляцию реальной атаки. Я расскажу вам про наш подход к «тестированию на проникновение» и историю двухмесячной игры на выживание.


«Как мы боролись с 0-day в Adobe Flash: охота на поврежденный вектор»

Докладчики: Андрей Ковалев, Константин Отрашкевич, Евгений Сидоров

Описание доклада
В 2015 году эксплуатация Adobe Flash остается в моде среди исследователей безопасности, а равно и среди киберпреступников. Ведь это проигрыватель, состоящий из единой базы кода и работающий во всех современных браузерах и на всех ОС. Такие условия позволяют атаковать разные платформы одним эксплойтом.
История эксплойтов для Flash, основанных на повреждении векторных объектов, началась в 2013, когда вышел первый эксплойт для CVE-2013-0634 «Леди Бойль». В 2014 уязвимость CVE-2014-0322 подсказала более простой подход: повреждение поля Vector.length, позволяющее читать и перезаписывать память процесса IE, создавать ROP-шеллкод и запускать его. Это очень мощный подход, используемый во всех новых эксплойтах (включая утекшие из ресурсов HackingTeam).
Только в июле 2015 Google и Adobe изобрели новую технологию противодействия, защищающую конечного пользователя, но разработчикам эксплойт-паков до этого дела нет.
У нас в Яндексе есть собственная технология поведенческого анализа, разработанная для таких эксплойтов, и в нашей презентации мы поделимся ключевыми принципами, на которых она основана. Мы также дадим указания по разработке системы поведенческого анализа для обнаружения сложных Flash-эксплойтов.
Мы уделим особое внимание:
  • основным техникам, использованным в недавних эксплойтах под проигрыватель Adobe Flash;
  • технике проверки корректности Vector<...>.length от Google и ее обходу;
  • подходам к снижению рисков от эксплуатации уязвимостей Abode Flash и методам их обхода (обхода Adobe Flash Control Flow Guard);
  • нашему опыту обнаружения подобных попыток эксплуатации.



Workshops



«Кроссплатформенный реверсинг с Frida»

Докладчик: Ole André Vadla Ravnås

Описание воркшопа
Frida – программируемый тулкит для динамической бинарной инструментации, позволяющий радикально сократить цикл разработки инструментов для динамического анализа и реверс-инжиниринга. Имеет интерфейс командной строки на основе API. Написан на портируемом C, выпущен под удобной для бизнеса OSS-лицензией, содержит привязки к языкам Python, Node.js и другим. Это лучший инструмент для динамической инструментации двоичного кода под любой из современных платформ (Windows, Mac, Linux, iOS, Android или QNX).
Воркшоп предназначен для слушателей, желающих получить актуальную информацию о новейших технологиях динамической инструментации на компьютерах и мобильных устройствах. Мы начнем с введения в API и интерфейс командной строки Frida, а затем научимся писать инструмент для реверсинга с нуля.

Требования к участникам воркшопа:

  • 2-3 часа
  • Знание английского языка
  • Желательно ноутбук с Windows, Mac или Linux, опционально – джейлбрейкнутое/рутованное iOS/Android-устройство


«Практическая эксплуатация устройств на базе МК AVR»

Докладчики: Александр Большев, Борис Рютин

Описание воркшопа
На базе МК AVR построено множество современных устройств – от любительских проектов на базе Arduino до IoT, автомобильных подсистем и промышленных контроллеров. Этот воркшоп – попытка суммировать весь набор опыта по эксплуатации переполнений буфера в прошивках AVR.
Несмотря на обилие информации по этой теме в сети Интернет, до сих пор не существует практического руководства «от и до» на эту тему.
В процессе воркшопа мы обсудим специфику реверс-инжиниринга прошивок на базе AVR, поговорим об особенностях гарвардской архитектуры и обсудим существующие инструменты для эксплуатации AVR. Мы обсудим методы построения ROP-цепочек и как в этом может помочь radare2. Кроме того, поговорим о техниках постэксплуатации и создания перманентного присутствия в прошивке.

План воркшопа:

Часть 1. Общие сведения об устройствах AVR

  • Введение
  • Гарвардская архитектура
  • Особенности МК AVR
  • Краткое введение в AVR-ассемблер
  • Бутлоадеры в AVR
  • Инструменты для разработки, отладки и эксплуатации AVR

Часть 2. Пре-эксплуатация
  • Первые шаги
  • Методы получения прошивки
  • Немного о реверс-инжиниринге печатных плат
  • Поиск уязвимостей – фаззинг и статический анализ
  • AVR «libc»
  • Что такое watchdog
  • Примеры и упражнения

Часть 3. Эксплуатация
  • Базовые понятия
  • Типы эксплуатабельных уязвимостей
  • Источники ROP-гаджетов
  • Построение ROP-цепочек
  • Примеры и упражнения

Часть 4. Постэкcплуатация
  • Перманентное присутствие
  • Примеры

Практические упражнения будут проводиться с использованием эмулятора в Atmel Studio и плат Arduino.

Требования к участникам воркшопа:

  • 3 часа
  • Знание русского языка
  • Установленные radare2 или IDA Pro
  • Среда Atmel Studio (мы выдадим флешки с дистрибутивом)
  • Ноутбук
  • Кабель Micro-USB


«Enlarge your Burp, или Как перестать бояться Javadocs»

Докладчики: Иван Елкин, Игорь Булатенко

Описание воркшопа
Многие используют сканеры уязвимостей без понимания алгоритмов их работы, поэтому часто получают неоптимальный результат. А если сканер выдает false positive, или наоборот не может найти уязвимости, которые спокойно находятся руками, то большинство пентестеров просто смиряются или используют набор сканеров. Burp Suite позволяет писать свои плагины, поэтому многие его недостатки можно исправить собственными руками. В рамках текущего workshop мы покажем основные принципы разработки плагинов, какие методы и почему стоит использовать в том или ином случае.
Теоретическая часть будет закреплена практическим обучением. Разработка будет показана с использованием двух языков – Python и Java, с рассмотрением принципиальных отличий и плюсов того или иного языка в контексте Burp Suite. После воркшопа вы перестанете бояться описания API в формате Javadoc.

Требования к участникам воркшопа:

  • 3-4 часа
  • Знание русского языка
  • Обязательно: компьютер, Burp Suite Professional. Бесплатная версия Burp Suite не включает в себя сканер уязвимостей, доработке которого и будет посвящен воркшоп
  • Минимальное знание Python или Java
  • Среда разработки для Java (Eclipse, IntelliJ IDEA), JDK 1.7/1.8. Рекомендуется, даже если вы никогда прежде не писали код на Java. Это несложно, а в рамках воркшопа мы покажем плюсы Java



Hardware Village


В этом году по старой доброй традиции проект Hardware Village на ZeroNights продолжит радовать посетителей разного рода трюками и хаками на самом низком уровне. Если слово «железо» для вас означает не только элемент таблицы Менделеева, то вам определено стоит заглянуть к нам. Будет много железа и электроники.
Большая часть времени в течении двух дней будет занята воркшопами, докладами от старой и новой школы хакеров, а также будут устраиваться сессии «вопрос-ответ» и конкурсы по взлому железа на время.
В этом году мы постараемся учесть ошибки прошлых лет, и попробуем лучше структурировать проект как по содержанию, так и по времени. 
Первый день будет посвящен проводным сетям и таким стандартным интерфейсам передачи данных, как Ethernet, 1Wire, UART, JTAG, SPI и т.д. Также будет показано рекомендованное для такого рода анализа оборудование, в том числе осциллографы, логические анализаторы и мультиметры. Мы обязательно расскажем, как правильно работать с ними. Дмитрий Недоспасов отдельно раскроет тему FPGA/ПЛИС и их применения для взлома. 
Второй день будет выделен исключительно под беспроводные сети передачи данных. В этом году мы попробуем покрыть основную часть нелицензируемых диапазонов частот (в частности: 350Mhz, 433Mhz, 868Mhz, 915Mhz, 2.4Ghz, 5Ghz) и популярные протоколы обмена RFID, NFC, Wi-Fi и Bluetooth. А небольшой воркшоп по SDR может оказаться полезным для тех, кто хочет заниматься этой темой, но не знает, как начать.
Говоря о целевой аудитории, стоит отметить, что Hardware Village – это проект от энтузиастов мира железа и для энтузиастов любого уровня. Если у вас есть желание принять участие в организации Hardware Village, то мы будем рады принять вас в наш коллектив. 
С вопросами и предложениями пишите напрямую – hardware@zeronights.ru
Надеемся, что результат наших трудов в этом году не оставит равнодушным как начинающих, так и профи.

Яндекс.Браузер на ZeroNights


Уже скоро Яндекс.Браузер станет доступен для поиска ошибок и уязвимостей в рамках специального конкурса. Проводиться он будет Яндексом совместно с организаторами ZeroNights. Победителей будут ждать денежные призы. Следите за новостями!

Если вы хотели бы выступить с докладом, но до сих пор не подали заявку в рамках CFP, обратите внимание: у вас остались считанные часы! CFP закрывается 1 октября.
Тех же, кто планирует посетить конференцию в качестве слушателя, приглашаем зарегистрироваться. До встречи в ноябре!

image

© Habrahabr.ru