Главная > Uncategorized > И еще (не)много о РусКрипто’2011

И еще (не)много о РусКрипто’2011

Вот и собрался я написать свои впечатления о конференции РусКрипто’2011. Очень много букв, поэтому под катом.

30-е марта началось прекрасно — солнце и голубое небо как бы намекали на окончательную победу весны, и я поверил. Помыл машину. «Если хочешь рассмешить Бога, расскажи ему о своих планах», плюс несколько слов покрепче повторял я спустя несколько часов, продираясь сквозь кромешную метель по Ленинградке в направлении Солнечного парк отеля.
В этом году конференция проводилась в отеле по системе «всё включено». Проверка на местности подтвердила первоначальные опасения — действительно все включено (особенно включен был звук от соседей). А вот Интернет и мобильная сеть Билайн были выключены. Отдельно хочется отметить местную команду аниматоров: они настоящие молодцы. Как танцуют девушки — мое почтение, глаз не оторвать.
Первый день конференции по традиции был посвящен криптографии. Пленарное заседание, круглый стол — умнейшие люди и интереснейшие точки зрения. Всегда полезно послушать о том, как идут дела в других областях — во избежание закукливания в свой веб-безопасности.
После обеда началась наша секция — «Интернет и информационная безопасность«. Ну что я могу сказать про войну во Вьетнаме? Коммерческие доклады расстроили, остальные — порадовали. Пройдусь по порядку.
Первый доклад был от представителя Инфотекса про облака. Интересный взгляд на облачные технологии в разрезе того, как и почему они поддерживаются национальными правительствами, и что из этого следует.
Второй доклад был про расследование инцидентов от Group-IB. Ничего нового. Обсуждения заявленного в теме рынка российской киберпреступности не состоялось. Показанная структура — очень примитивна. Ни в какое сравнение с отчетами от Trend Micro и Finjan ([1] и [2]) не идет.
Третий доклад был про системы распределения трафика от Максима из Trend Micro. Очень интересный доклад, сам докладчик оказался специалистом, а не маркетологом. Очень позабавил рассказанный случай о том, что бот, который они запускали для сбора экземпляров ВПО, по «какой-то причине» не попадал на вредоносные страницы, на которых их клиенты «ловили» всякую дрянь. Оказалось, что их бот не пытался мимикрировать под браузеры, а практически явно представлялся «Я бот, собирающий ВПО для Trend Micro». А меж тем, browser fingerprinting и blacklisting по IP-адресам применяется плохими ребятами повсеместно с 2008 года…
Четвертый доклад был про методы обхода систем обнаружения атак от представителя StoneSoft. Это было что-то. Зацените логику:
— CVE содержит более 45 000 записей;
— средний размер базы сигнатур у системы обнаружения атак — 3000 штук.
Делается вывод, что существующие СОА ловят менее 10% атак.
Как могло прийти в голову сравнивать число уязвимостей и число атак, даже не переходя к классам? Представим, что в CVE содержались бы описания 45 000 экземпляров уязвимости, позволяющей внедрять операторы SQL, в различных веб-приложениях. Очевидно, что все они эксплуатируются атакой одного (!!!) класса — SQL injection. А вы говорите 3000 сигнатур.
Пятый доклад был мой. Презентацию можно взять вот тут. Сам свой доклад оценить не могу, поэтому ругать себя не стану (коллеги говорят, что по результатам анкетирования доклад занял третье место, но вещдока этому нет) :)
Шестой доклад был про безопасность SCADA. Делал его, как и в прошлом году, Андрей Комаров. На мой взгляд, доклад этого года получился намного лучше, чем предыдущий. Единственное пожелание докладчику — поменьше использовать канцелярский язык. Т.е. все, что говорится — очень правильно, но воспринимать на слух очень тяжело. Жаргонизмы в нужных местах, по-моему, существенно улучшили бы воспринимаемость доклада.
После началась секция «Reverse Engineering». В теме я не особый специалист, поэтому оценки дать не могу.
Второй день — это секция «Академические вопросы информационной безопасности«, на которой выступали мои коллеги — Денис и Света. Доклад Дениса был посвящён вопросам методологии в области сетевой безопасности. Смотрите, с одной стороны публикуемые результаты в научных статьях должны быть верифицируемыми любыми желающими (иначе как понять, что заявленный метод работает?). С другой стороны, исследователи почти никогда не предоставляют ни реализации своих методов, ни исходных тестовых данных, на которых они проводили исследования. Возникает закономерный вопрос: как показать, что твой метод лучше других? Все делать с нуля за всех сторонних исследователей и проверить на своих тестовых наборах?
Света представила доклад по теме своей диссертации — обнаружение вредоносного исполнимого кода в высокоскоростных каналах передачи данных. Свету хочется поздравить с дебютным выступлением на конференциях — так держать!
Еще очень запомнился стриптиз на секции «Общие вопросы информационной безопасности» имени первого апреля, который я пропустил.
Параллельно внизу проходили соревнования РусКрипто CTF, о которых отдельно написано тут и тут. Наши заняли четвертое место. Alas.
Финалом конференции стал вечер в стиле Чикаго, где каждый мог принять участие в развлекательных играх: турнир по покеру (где ваш покорный слуга поделил первое место с неким Сергеем), blackjack, русский бильярд и пул, настольный теннис и боулинг, аэро хоккей и гонки на игровых автоматах. Приятно было увидеть все тех же людей уже в неформальной обстановке, веселых и счастливых.
Благодарности принимают организаторы конференции — однозначно, получилось лучше, чем в прошлом году. Единственное, что хотелось бы пожелать — более жесткого отбора докладов к непрофильным секциям (я понимаю, что быть может и выбирать-то не из чего было, но все же).

Реклама
  1. 05.04.2011 в 20:41

    Доказательством «третьего места» могут быть куча свидетелей церемонии награждения и если бы автор бы на месте, то получил бы пластмассовую статуэтку :)
    А что же не понравилось в непрофильных секциях? Что бы хотелось что бы было отсеяно?

    • 05.04.2011 в 20:48

      Я не хочу по понятным причинам тут называть доклады, которые по моему мнению не прошли бы нормального рецензирования, но такие были. Яркий пример — про методы обхода систем обнаружения атак, о котором я, собственно, и написал.

      • 05.04.2011 в 20:59

        Надо посмотреть презентацию еще раз. Доклад в целом воспринимался сложно. Понятно было что человек представляет уязвимость «это пропускают ids, потому что атака получается после сборки сессии», но технических подробностей вроде не было. Нужно еще посмотреть на слайды, может упустил что …

  2. 05.04.2011 в 21:05

    artem :

    Надо посмотреть презентацию еще раз. Доклад в целом воспринимался сложно. Понятно было что человек представляет уязвимость «это пропускают ids, потому что атака получается после сборки сессии», но технических подробностей вроде не было. Нужно еще посмотреть на слайды, может упустил что …

    В этом и фишка. Никаких технических подробностей. Когда речь заходила о технических деталях, докладчик говорил странные вещи из серии «много уязвимостей, а база сигнатур — маленькая». При этом не было дано никакой оценки существующих продуктов. Например, сенсор Cisco IPS делает нормализацию трафика. Чем он плох?
    Нет ответа…

  3. 07.04.2011 в 20:29

    Прочитал твою презентацию и с ужасом не нашел там слайдов с каноническими обезьянками. То есть обезьянки были, но их смысл не был раскрыт. Как и вообще слайда про аудиторов. Видимо, это политкорректность, цензура или маркетинг. А может все вместе ;)

    Судя по отзывам, конференция удалась. Хорошо что не поехал %)

    Вообще всегда очень жду доклады по методике выявления уязвимостей. Твой приятное исключение, хоть как-то проливающее свет на эту темную область )
    Хотя 10 слайдов и 8 с текстом это мало…

    Таких докладов единицы (в том году только Тарас и XSS вспоминается на площадке Яндекса), а будет еще меньше. И все по понятным причинам…

    • 07.04.2011 в 20:46

      >>Судя по отзывам, конференция удалась. Хорошо что не поехал %)
      Захлебнулся чаем от смеха!!!

      >>а будет еще меньше. И все по понятным причинам…
      А мне кажется, методика (в классическом понимании этого слова) у всех примерно одинаковая, а «вкусности» начинаются уже на техническом уровне. Именно эти вкусности являются тем самым джентельменским набором, о котором не принято распространяться )
      Или у тебя другой взгляд?

      зы. ты в итоге вошел в контакт с Богданом из Акунетикса (см. проблема останова, хыхы)? Я хочу ему доложить о косяках их сканера.

  4. 07.04.2011 в 21:12

    Нет, Богдан на связь не вышел. Их сканер так и зацикливается. На самом последнем билде тоже. Странный софт, странный смарт.

    Надо только почаще отдавать статус 200 и акунекс вас будет вечно краулить… Он не может сравнить страницы, если только они не похожи байт в байт…

    По методике… Ну примерно так, но порога нету у этого «примерно одинаково». Скажем, сам факт поиска уязвимостей не в области точных решений по сигнатурам — это ведь еще не техника, имхо. Но вот так пока никто не делает, как я понимаю, или не прав?

    • 07.04.2011 в 21:27

      В black-box не встречал (за исключением подзадачи сравнения страниц на эквивалентность, а также классификации форм по типу для автозаполнения — применяется machine learning), а вот в white-box есть идея искать уязвимости на основе likely invariants: Toward Automated Detection of Logic Vulnerabilities in Web Applications

      Если я правильно понимаю, что ты имеешь в виду под неточными методами )

      p.s. Если есть вопросы по публикациям, давай в почту — могу накидать ссылок!

  5. 09.04.2011 в 18:50

    Ознакомился…
    Ну ребята теоретики глубокие, что сказать.
    Ошибки логики очень страшное дело, своей точки зрения на этот вопрос у меня пока не выработалось. С радостью приму все ссылки на эту проблему (именно ошибки логики) почтой.

    Я говорил в разрезе блэкбокса, конечно.
    Самый тупой пример — при определенном параметре в ходе фаззинга страницы отдалась за сильно более время, чем при остальных. Опыт повторился несколько раз. Надо залогировать и уведомить. Какой-нибудь инструмент это делает сейчас? Думаю, в xspider теперь такое появится ;)

  6. 09.04.2011 в 20:36

    Факт, что для лулзов только…
    HPшный хакер там даже не рассказал как классифицировать их.
    У него пример, такого рода:
    Через форму нельзя выбрать больше 10 для параметра, он передает изменяя форму 30 и все работает.
    Вот где здесь логика работы ПРИЛОЖЕНИЯ нарушена? Все идет по тем же веткам, в коде, скажем стоит ограничение в 50 записей. Ну верстальщик долбо*б, ну и что? Уязвимости тут нет.

    Короче, чую, опять все самому делать =)

    • 09.04.2011 в 20:46

      На самом деле, непонятно, как отобразить изначально неформальное понятие бизнес-логики на технические сущности, которыми оперируют во время тестирования.

      А то, что сделал человек из HP — просто переназвал известные вещи новыми именами и пересказал известные методы в новых терминах )

  7. 09.04.2011 в 21:30

    Сейчас у меня есть наработка (очень сырая), которая минимизирует риски в области ошибок логики таким способом:
    1. Анализуются вниз по стеку польз.переменные (в широком смысле)
    2. Ищутся все ветки, где они (1) влияют на переключения по веткам (switch, if, else, и т.д.) и где могло бы не дернуться ни одной ветки при определенном значении (1)
    3. Проверяется, что после (недо)переключателя (2) значения (1) влияли еще на что-то.
    4. Показываются все (2) и те значения (1) которые должны стоять, чтобы не было переключений.

    Это очень сыро, очень сливочно (снимает только сливки проблемы). Зато если весь кода написан по этому простому правилу (все переключатели замкнутые), жить такому коду становиться сильно проще.
    Но чем больше думаю, тем больше хочется отказаться от такого варианта.

    * Решается задача анализа исходного кода.

    • 09.04.2011 в 21:58

      В общем случае хочется иметь язык типа xpath, который работает в терминах статического анализа (зависимости там, то се) + средство его поддерживающее. Тогда твоя эвристика или, например, taint-анализ, были бы правилами (сигнатурами, если угодно) в таком языке. Есть исследования, которые пытались приблизиться к реализации этой идеи, но пока только на уровне PoC.

  8. 09.04.2011 в 23:16

    xpath совсем не обязательно. можно разложить во что угодно, как искать дело техники. готово решения, я тоже не увидел, поэтому и писал.
    сейчас так именно и работаю.
    только этого все-равно мало. поэтому приходиться к динамике обращаться.

  9. 10.04.2011 в 00:19

    в моем случае СУБД типа xpath получается :)

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: