Black Hat 2010 – конференция черных шляп: коротко о главном
Но начать повествование о конференции стоит, пожалуй, с одной из самых волнующих тем - какие из докладов оказались снятыми на этот раз. Так уж устроен человек, что наиболее интересные для общественности вещи особенно хочется утаить под строгим запретом.
Еще за две недели до начала мероприятия доклад под названием "Китайская кибер-армия: археологическое исследование с 2001 по 2010", который должны были представить Уэйн Хуан (Wayne Huang), технический директор тайваньско-американской фирмы Armorize, и Джек Ю (Jack Yu), исследователь той же компании, был заменен самими же докладчиками на более нейтральную презентацию. Изначально доклад был анонсирован как углубленный анализ спонсируемых правительством Китая хакерских инициатив. А в качестве основы для данной исследовательской работы послужила обширная разведывательная информация, которая на протяжении многих лет собиралась из источников в различных структурах азиатского региона. Опираясь на установленные факты, докладчики собирались воссоздать истинное лицо Кибер-Армии Китая, включая то, кто в нее входит, где она располагается и кто является объектами ее атак. А также раскрыть ее основные цели и задачи, источники финансирования, организационную структуру и поведать про ее инструментарий и методы деятельности.
В частности, среди примеров информационного шпионажа, организованного данной структурой, наиболее широко известны операции под условными именами Aurora, GhostNet и Titan Rain. Помимо этого, авторы также планировали включить в доклад данные и о недавних вторжениях в информационные системы, принадлежащие ООН и канадской разведслужбе CSIS. Стоит ли говорить о том, что доклад обещал наделать много шума и раскрыть уникальную по информативности картину, отображающую тайные инициативы Китая по поддержке хакерских разведывательных операций.
Однако оказанное на авторов давление сразу с нескольких сторон сделало свое дело, в результате они добровольно решили отозвать свой доклад. Обеспокоенность по поводу публичного раскрытия сведений, содержащихся в материалах доклада, одновременно проявили государственные структуры как Тайваня, так и Китая.
Один из основателей и одновременно исполнительный директор Armorize, Калеб Сима (Caleb Sima), в одном из интервью относительно произошедшего поведал, что компания и непосредственно Уэйн Хуан подверглись сильнейшему прессингу со стороны правительств Тайваня и Китая. Так, чиновниками было решено, что содержание доклада содержит слишком деликатную информацию, и ее лучше не стоит выносить на широкую публику. По словам Симы, предпринимались различные меры, чтобы разрешить данную конфликтную ситуацию, однако все их попытки не увенчались успехом. Официальная штаб- квартира Armorize Technologies находится в Калифорнии, однако основной штат сотрудников базируется в Тайване. В ходе переговоров местные госчиновники дали понять исполнительному директору, что тайваньские сотрудники Armorize попросту не смогут получать визы в США, если фирма не откажется от выступления на конференции. А лично Хуану намекнули, что если он проигнорирует рекомендации властей, то для него будет лучше в последующем отказаться от полетов в Гонконг или Пекин, так как там его с большой долей вероятности просто арестуют. Сам же докладчик, Уэйн Хуан, прокомментировал все несколько иначе. По его словам, он решил отозвать доклад после обсуждения с несколькими организациями, которые обычно предоставляли им разведывательные данные, а теперь из-за этого также оказались под давлением из Тайваня и Китая. В интервью он не стал раскрывать, кто именно попал в сложную ситуацию, но отметил, что, отозвав свой доклад, Armorize сможет сохранить хорошие отношения с азиатским сообществом компьютерной безопасности.
Все эти обстоятельства, а также и то, несомненно, что официально власти Китая до сих пор самым категорическим образом отрицают какое-либо свое участие в известных инцидентах массового кибершпионажа, в совокупности сделали доклад невозможным или пока невозможным. Но только вряд ли это помешает распространению информации. Как показывает опыт, подобного рода материалы рано или поздно все равно просачиваются в Сеть.
А теперь, пожалуй, остановимся подробней на самых интересных докладах, которые были прочитаны на конференции. Одним из самых первых на конференции Black Hat выступил Барнаби Джек (Barnaby Jack), исследователь и директор компании IOActive, занимающейся тестированием безопасности. Наверное, все помнят сцену из фильма Терминатор 2, когда один из главных героев с легкостью взламывает банкомат и снимает с него наличные. Так вот, доклад как раз и был посвящен уязвимостям банковских терминалов и банкоматов, которые позволяют красть пароли администраторов, данные кредитных карт и, естественно, деньги.
В ходе своего выступления эксперт наглядно продемонстрировал процесс эксплуатации двух уязвимых моделей банкоматов от двух крупнейших производителей. В одном случае использовалась дыра в программном обеспечении для удаленного администрирования банкоматов фирмы Tranax Technologies. После взлома данного программного обеспечения был установлен специальный руткит, который позволил исследователю получить пароли администраторов и номера PIN-кодов. Помимо этого, прямо во время выступления был продемонстрирован процесс взлома, после чего терминал выдал приличное количество долларовых банкнот.
По словам докладчика, необходимо пересмотреть процесс производства банковских терминалов, так как на данный момент при конструировании практически не применяются современные методы по защите данных. А среди главных причин называется отсутствие большого количества хакерских атак, направленных именно на программную оболочку банковских терминалов.
В ходе второй атаки специалист использовал для доступа к внутренним компонентам банкомата от компании Triton Systems ключ, который можно свободно купить через Интернет. После чего в систему был установлен руткит, который был скопирован на устройство с USB-накопителя.
Обе компании-производители банковских терминалов Triton и Tranax уже закрыли продемонстрированные уязвимости, однако, как сообщил Барнаби Джек в ходе своего выступления, он полностью уверен в том, что способен обнаружить аналогичные дыры в банкоматах и от других производителей. По его словам, не было еще банкомата, в котором бы нельзя было обнаружить уязвимость для снятия наличности. Так, им был разработан специальный набор утилит Dillinger, который может быть использован для доступа к банкоматам, соединенным с телефонной сетью или сетью Интернет. Обнаружить банкоматы можно, обзванивая большие диапазоны телефонных номеров или посылая специальные запросы по IP-адресам. Те из них, которые привязаны к банкоматам, будут посылать ответы, которые не составит труда распознать.
Еще одной из не менее актуальных тем, представленных на конференции, являлась возможность перехвата разговоров в GSM-сетях. Уже не первый год существует программное обеспечение Kraken, которое посредством использования специальных криптографических таблиц помогает взламывать алгоритм шифрования A5/1, который на данный момент массово используется операторами мобильной связи для GSM-сетей. Ранее данный продукт уже представлялся на подобных конференциях, однако в то время его признали несовершенным. Но на этот раз эксперт по криптографии Карстен Ногл (Karsten Nohl) представил усовершенствованный программный пакет Airprobe. По заявлению разработчика, это программное обеспечение вместе с несколькими компонентами позволяет максимально упростить задачу расшифровки сигналов, передаваемых по GSM-сетям, в том числе оно позволяет записать и раскодировать разговоры и SMS.
При этом, чтобы пошпионить за кем-нибудь, не нужно являться членом какой-либо спецслужбы. Достаточно приобрести программируемый радиомодуль для компьютера (его стоимость составляет порядка 1000 долларов США), воспользоваться Kraken и его криптографическими таблицами, которые, к слову, легко найти в Сети, а также взять на вооружение сам комплект Airprobe, который сразу же после конференции также стало возможным загрузить из Глобальной сети. Естественно, понадобится также компьютер или ноутбук.
Уязвимость в стандарте GSM связана в основном с использованием небезопасного алгоритма шифрования A5/1, который еще несколько лет назад был формально заменен на алгоритм A5/3. Однако практического внедрения A5/3 почти нигде не произошло, поскольку алгоритм требует больших затрат на обновление оборудования и не совместим со старыми телефонами. Во многих странах до сих пор используется алгоритм A5/0, который вообще не предполагает какого-либо значимого шифрования.
Интересный факт заключается в том, что непосредственно сразу после выступления Карстена Ногла организация GSM Alliance, которая представляет интересы 800 операторов из 219 стран мира, заявила, что представленный метод атаки является чисто теоретическим, поскольку алгоритм A5/1 не является единственным средством защиты, предотвращающим перехват переговоров в реальном времени.
Конечно же, не остались без внимания и мобильные платформы iPhone и Android. В частности, компания Lookout представила результаты статистического исследования, посвященного потенциальным угрозам безопасности мобильных приложений для двух данных платформ. В ходе проведения проекта под названием App Genome Project было проанализировано порядка 300.000 приложений. В результате выяснилось, что количество приложений, имеющих доступ к данным о местоположении смартфона и, соответственно, его пользователя, для обеих платформ примерно одинаково: 33 процента для приложений iPhone и 29 процентов - Android. Сопоставима статистика и по доступу к данным из адресной книги. Данный показатель по доле приложений iPhone, требующих таких прав, составляет 14 процентов, в то время как приложений для Android с аналогичными запросами насчитывается порядка 8 процентов. Тем не менее, выяснилось, что приложений для Android, в которых содержится код третьих сторон, существенно больше, чем у iPhone: соответственно 47 и 23 процента. По словам главы Lookout, Джона Херинга (John Hering), наличие постороннего кода и таит в себе зачастую наибольшую опасность для пользователя, так как по сути даже сами разработчики могут не знать всего того, что делают их приложения.
Во многом подобный показатель связан с использованием разработчиками различных рекламных модулей, в первую очередь для повышения доходов. А именно рекламные модули и являются ярчайшим примером кода третьих сторон. По данным Lookout, доля бесплатных приложений iPhone составляет всего 28 процентов, в то время как для платформы Android этот показатель равен 64 процентам. Важнейшей причиной, по которой пользователи зачастую могут подвергнуться угрозе потери персональных данных, является то, что смартфоны не всегда предупреждают о возможных опасностях должным образом. Например, iPhone выдает предупреждение только для приложений, требующих доступ к геолокационным данным. Но даже если предупреждения и выдаются, как это обычно происходит в Android, пользователи чаще всего просто пролистывают их не читая, чтобы ускорить процесс установки самих приложений.
В частности, специалисты Lookout поведали о приложении для Android под названием Jackeey Wallpaper, которое, обладая функциональностью обычных обоев для экрана, собирает определенные данные, включая номер самого телефона, и пересылает их на определенный китайский сервер.
Лавры победителям!
Также на Black Hat состоялась церемония присуждения наград The Pwnie Awards, призы в которой были распределены по семи номинациям и достались компаниям, создавшим самые глючные и уязвимые приложения, а также экспертам, их обнаружившим. The Pwnie Awards проводится с 2007 года, а определяет «победителей» судейский комитет, в состав которого входят Дино Даи Зови (Dino Dai Zovi) и Александр Сотиров (к слову, они и явились инициаторами данной церемонии), а также HD Мур (HD Moore), Марк Дауд (Mark Dowd), Халвар Флэйк (Halvar Flake), Дейв Голдсмит (Dave Goldsmith) и Дейв Эйтель (Dave Aitel).
В номинации «Самый громкий провал» победу одержал браузер Internet Explorer 8, в системе защиты которого от межсайтового скриптинга нашли баг, позволяющий этот межсайтовый скриптинг осуществлять.
В номинации «Лучший баг на стороне сервера» победил Медер Кадыралиев (Meder Kydyraliev), обнаруживший критическую уязвимость в инфраструктуре Apache Struts2. Используя обычный запрос HTTP всего с пятью параметрами, он смог выполнить произвольный Java-код непосредственно на веб-сервере.
Награду за «Лучший баг на стороне клиента» забрал Сами Койву (Sami Koivu), создавший эксплоит, подрывающий основы модели безопасности Java. Приз в категории «Лучший баг с повышением уровня привилегий» получил Тэвис Орманди (Tavis Ormandy), который обнаружил бреши в обработчике прерываний Windows NT #GP.
Награду за «Самый инновационный подход к исследованию» получил Дионисий Блазакис (Dionysus Blazakis), разработавший две новых технологии обхода ASLR за счет уменьшения вариантов рандомизации с помощью размещения в памяти указателей на объекты Flash и использования метода JIT-spray. В номинации «Лучшая композиция» приз присуждался хакеру, создавшему, на взгляд судей, лучшую песню. Победителями стали исполнители Dr. Raid и Heavy Pennies, написавшие песню “Pwned - 1337 edition”.
Награду «Самая нелепая реакция на обнаружение дефекта» получила фирма Absolute Software, вице-президент которой Тим Паркер на вопрос о наличии критической уязвимости в программе удаленного администрирования LANRev ответил: «Есть ли теоретическая возможность эксплуатации подобного? Конечно, есть. Однако нам не известно ни об одном пользователе, у которого бы возникали подобные проблемы. Если бы хоть кто-то из них выразил озабоченность, мы бы немедленно выслали ему патч». Остается лишь добавить, что указанный дефект позволял полностью скомпрометировать компьютер.
В качестве небольшого послесловия хотелось бы привести еще один весьма интересный факт. Как бы это не иронично звучало, но непосредственно на самом сайте конференции была обнаружена довольно серьезная уязвимость. Так, Майкл Коутс (Michael Coates), эксперт по сетевым приложениям из компании Mozilla, обнаружил баги, которые позволяли просматривать прямые видеотрансляции с конференции без уплаты взноса за право доступа. Все дело в том, что в этом году организаторы конференции решили монетизировать ее популярность с помощью специального сервиса, на котором любой желающий может просмотреть прямые трансляции докладов и ознакомиться с документальными материалами. Эта услуга дает право на полное ознакомление со всем контентом мероприятия всего за 395 долларов США.
Однако, как заявил Майкл, платить столь внушительную сумму вовсе необязательно. Во время регистрации на сайте для просмотра трансляций с конференции он наткнулся на ряд странностей, которые сподвигли его на более глубокое исследование. Немного поковырявшись, он сумел завершить регистрацию без предоставления данных о своей кредитке. После этого он обнаружил специальную страницу, позволяющую смотреть видео без оплаты. Впоследствии на своем блоге он написал, что «его нестандартный подход к регистрации выявил уязвимости в алгоритме системы сайта конференции, на которой собираются знатоки уязвимостей». Впрочем, стоит отметить, что система платного доступа к видеоконтенту была разработана сторонней организацией, а не непосредственно самими организаторами Black Hat. Спустя несколько часов после того, как разработчикам стало известно о существующих проблемах, все они были устранены.
По материалам Blackhat; Pwnies; Networkworld; Michael-coates.blogspot.com; Cnet
Павел Новик
Компьютерная газета. Статья была опубликована в номере 30 за 2010 год в рубрике безопасность
