В конце мая в Москве прошел ежегодный форум по практической безопасности PHDays VII, организованный компанией Positive Technologies. Форум посетили около 5000 участников из самых разных стран. Мы — компания ООО “ИНФОРИОН” — также приняли участие в форуме и хотим рассказать о самых, на наш взгляд, интересных докладах:
Лазейки в прошивке ядра LTE-модема (Андрей Ловянников)
Андрей Ловянников выступил с докладом по анализу прошивки ядра LTE-модема Huaiwei E3372. В результате анализа было получено устройство с полностью отключенным шифрованием трафика. Анализ происходил по следующей схеме: выявление технической документации об устройстве; выявление архитектуры микропроцессора; определение работающих операционных систем; выявление основных API системы, связанных с GSM; выявление функций, отвечающих за шифрование.
В ходе реверс-инжениринга были исправлены функции, отвечающие за шифрование трафика, после чего модифицированная прошивка была запакована и зашита в устройство. Тесты показали, что устройство отлично работает с собранной локальной базовой станцией без поддержки шифрования.
По результатам данного исследования в компанию Huiawei был направлен репорт о найденной уязвимости и были предложены методы решения проблемы. В результате компания представила обновленную версию безопасности VxWorks ядра. Исследователи заявили, что будут продолжать изучать новые версии прошивок с целью поиска новых уязвимостей уже исправленных версий.
Методы защиты JAVA-приложений и их обход (Филипп Лебедев, Андрей Ловянников)
Популярные JAVA –приложения не так надежны, как кажутся на первый взгляд. Несмотря на то, что у приложений существует несколько методов защиты, их можно обойти. Филипп Лебедев и Андрей Ловянников из компании ASP рассмотрели следующие методы:
1. модификация исходного байткода;
2. обфускация исходного кода;
3. использование динамической загрузки классов с возможным шифрованием и разделением кода с применением.
А также был рассмотрен наиболее интересный случай защиты JAVA-приложения:
• Bootstrap Classloader;
• Extension Classloader;
• System Classloader – загружает основные классы приложения;
• Secured Classloader – шифрует и расшифровывает загружаемые классы;
• Classloader 1;
• …
• Classloader N.
Авторы доклада отмечают, что рано или поздно все классы хотя бы раз будут загружены в память, какие бы ни были использованы варианты шифрования и динамической загрузки. Ключи шифрования аналогично будут располагаться в памяти. Таким образом, при помощи сканирования памяти, существует возможность достать ключи шифрования и все классы исходной программы, после чего становится возможна их декомпиляция сторонними программными средствами. А значит, большую часть способов защиты JAVA-приложений можно обойти с помощью известных программных инструментов и техник.
Взлом учетных записей в WhatsApp и Telegram (Роман Заикин)
Роман Заикин доказал, WEB-версии WhatsApp и Telegram весьма уязвимы. Атаки вирусов направлены, прежде всего, на получение контроля над аккаунтами пользователей в указанных сетях. В основе реализации атаки лежит принцип End-to-End шифрования, в результате которого сервер не знает и не может знать, какие данные подвержены пересылке по каналу связи, вследствие чего проверка пересылаемых данных невозможна. WhatsApp и Telegram хранят историю сообщений на своих серверах (за исключением секретных чатов Telegram), вследствие чего, получив доступ к отрыктой сессии клиентской стороны, становится возможным чтение всей истории сообщений, получение и отправка новых сообщений. Роман воспользовался данными фактами и модифицировал доступные для загрузки MIME-типы данных в WEB-версии WhatsApp. Был сформирован гибрид картинки и HTML-страницы с JavaScript-кодом, отсылающим на подконтрольный атакующему бэкэнд данные об открытых сессиях на клиентской стороне, после чего Роман успешно продемонстрировал данную атаку на примере WhatsApp. Для выявления уязвимости Telegram потребовалось создать гибрид описанной выше страницы HTML с JavaScript-кодом и MP4-файлом. Следующий шаг — предполагаемая «жертва» должна была открыть зараженный документ в новой вкладке, и активировать вирус. Этот сценарий атаки был аналогичным образом продемонстрирован участникам форума.
Знакомимся с уязвимостями macOS – 2016 (Патрик Уордл)
Патрик Уордл – бывший сотрудник АНБ и NASA – представил свой доклад, описывающий наиболее популярные зловреды для операционной системы macOS. В силу меньшей распространенности данной операционной системы, под macOS существует куда меньше вредоносного програмнного обеспечения, чем под Windows, однако его количество продолжает расти. Наиболее ярким примером оказался шифровальщик KeRanger. Злоумышленники взломали официальный сайт торрент-клиента Transmission, разместили в программе свой код, пересчитали хеш-суммы и переподписали цифровой подписью дистрибутив, после чего выложили его на официальный сайт, что привело к заражению машин. Зловред шифровал файлы в системе и требовал выкуп размером в 1 биткоин. Еще одним характерным примером из доклада стала установка на машину жертвы старой версии брандмауэра LittleSnitch, содержащей опасную уязвимость и имеющую доступ к функциям ядра системы. Автор описал основные распространения зловредов в системе и осветил основные способы защиты: утилита Gatekeeper – блокировщик неподписанного кода; утилиты KnockKnock / BlockBlock – мониторы демонов и событий в системе.
DDoS-атаки в 2016-2017: переворот (Артем Гавриченков)
Артем Гавриченков в своем докладе обратил внимание общественности на современные возможности DDoS-атак, а также провел краткий экскурс в историю их модификаций. В своем докладе он привел список наиболее распространенных уязвимых протоколов (DNS, LDAP, NetBIOS и т.д.), многие из которых проектировались в то время, когда о безопасности никто не думал. Автор обратил внимание на характер старых DDoS атак: маленький запрос к серверу генерировал непропорционально большой ответ, вследствие чего не требовалось большое количество нод для выведения сервера из строя. Новые атаки используют большое количество зараженных машин и “умных” вещей, объединенных в ботнеты для атаки на сервисы. Были сделаны выводы об архитектурах сетей, предсказано усиление DDoS-атак как следствие распростанения интернета вещей (IoT).
Взлом в прямом эфире: как хакеры проникают в ваши системы (Себастиан Шрайбер)
Доклад Себастиана Шрайбера был более похож на некий перформанс, нежели на технический доклад. Себастиан описал и продемонстрировал ряд впечатляющих атак:
• DOS-атаку на WEB-сервер (посылка специально сформированных запросов останавливала обработку входящих соединений вследствие ошибки SSL);
• перехват и воспроизведение сообщений беспроводных клавиатур и мышек с помощью Raspberry Pi и радиоантенны;
• собственные модификации зловредов на основе распространенного фреймворка для создания зловредов под Android (демонстрация включала в себя аналог криптолокера WannaCry, шпионские функции со снятием снимков с фотокамер устройства и их загрузкой на удаленный сервер);
• посылку SMS-сообщений от произвольного отправителя (был выбран случайный человек в зале, ему было послано SMS-сообщение с номера 900, принадлежащего Сбербанку);
• атаки на USB-ключи со встроенной реализацией стойкого ассиметричного шифрования (атаки направлены не на схему шифрования, а на слабую реализацию оной);
• обход сигнатурных проверок антивирусов (с помощью аналога утилиты Veil Evasion).
Антология антифрода: переход к математическим моделям с применением элементов искусственного интеллекта (Алексей Сизов)
Алексей Сизов в своем докладе поделился с общественностью математическими методами с элементами искусственного интеллекта для обнаружения фрода. Задача обнаружения фрода свелась к бинарной классификации, однако она была осложнена необходимостью малого времени обучения и быстрой скоростью реакции. Были продемонстрированы возможные инструменты для реализации машинного обучения, а также описаны плюсы и минусы алгоритмов машинного обучения. Отдельно был выделен метод градиентного бустинга с помощью библиотеки XGBoost, метод случайного леса для выявления фрода и метод K-средних для детекции аномалий. Помимо этого, были описаны основные подводные камни данной задачи. По мнению авторов, наибольшей сложностью этой темы является не интерпретируемый результат.
Уязвимости мобильной связи (Дмитрий Курбатов)
Дмитрий Курбатов и его коллеги в своем докладе, посвященном уязвимостям сетей мобильной связи, показали реальные угрозы, поджидающие любого пользователя мобильных сетей 2G, 3G, 4G. В докладе были подробно описаны уязвимости протокола SS7 (2G и 3G сети) при относительной легкости их реализации, был показан целый спектр атак на пользователя – от простой атаки типа отказ в обслуживании и раскрытия местоположения пользователя до перехвата SMS и голосовых сообщений. Авторы описали уязвимости протокола DIAMETER (4G) и показали, что большинство описанных ими атак возможно и в этом стандарте. Были описаны причины появления подобных угроз, а также даны рекомендации об отношении к мобильным сетям как к недоверенному каналу связи.
Обход проверки безопасности в магазинах мобильных приложений (Пауль Амар)
Пауль Амар представил свой доклад, посвященный обходу проверки безопасности в магазинах мобильных приложений. Автор описал цикл мобильной разработки с использованием инструментария Apache Cordova (Hybrid App), после чего продемонстрировал возможность удаленного обновления приложения в обход магазина мобильных приложений (App Store, Play Market и т.д.). Таким образом, подобный способ порождает новый спектр проблем в безопасности мобильных устройств.
С подробной программой конференции можно познакомиться на официальном сайте:
www.phdays.ru/program
Лазейки в прошивке ядра LTE-модема (Андрей Ловянников)
Андрей Ловянников выступил с докладом по анализу прошивки ядра LTE-модема Huaiwei E3372. В результате анализа было получено устройство с полностью отключенным шифрованием трафика. Анализ происходил по следующей схеме: выявление технической документации об устройстве; выявление архитектуры микропроцессора; определение работающих операционных систем; выявление основных API системы, связанных с GSM; выявление функций, отвечающих за шифрование.
В ходе реверс-инжениринга были исправлены функции, отвечающие за шифрование трафика, после чего модифицированная прошивка была запакована и зашита в устройство. Тесты показали, что устройство отлично работает с собранной локальной базовой станцией без поддержки шифрования.
По результатам данного исследования в компанию Huiawei был направлен репорт о найденной уязвимости и были предложены методы решения проблемы. В результате компания представила обновленную версию безопасности VxWorks ядра. Исследователи заявили, что будут продолжать изучать новые версии прошивок с целью поиска новых уязвимостей уже исправленных версий.
Методы защиты JAVA-приложений и их обход (Филипп Лебедев, Андрей Ловянников)
Популярные JAVA –приложения не так надежны, как кажутся на первый взгляд. Несмотря на то, что у приложений существует несколько методов защиты, их можно обойти. Филипп Лебедев и Андрей Ловянников из компании ASP рассмотрели следующие методы:
1. модификация исходного байткода;
2. обфускация исходного кода;
3. использование динамической загрузки классов с возможным шифрованием и разделением кода с применением.
А также был рассмотрен наиболее интересный случай защиты JAVA-приложения:
• Bootstrap Classloader;
• Extension Classloader;
• System Classloader – загружает основные классы приложения;
• Secured Classloader – шифрует и расшифровывает загружаемые классы;
• Classloader 1;
• …
• Classloader N.
Авторы доклада отмечают, что рано или поздно все классы хотя бы раз будут загружены в память, какие бы ни были использованы варианты шифрования и динамической загрузки. Ключи шифрования аналогично будут располагаться в памяти. Таким образом, при помощи сканирования памяти, существует возможность достать ключи шифрования и все классы исходной программы, после чего становится возможна их декомпиляция сторонними программными средствами. А значит, большую часть способов защиты JAVA-приложений можно обойти с помощью известных программных инструментов и техник.
Взлом учетных записей в WhatsApp и Telegram (Роман Заикин)
Роман Заикин доказал, WEB-версии WhatsApp и Telegram весьма уязвимы. Атаки вирусов направлены, прежде всего, на получение контроля над аккаунтами пользователей в указанных сетях. В основе реализации атаки лежит принцип End-to-End шифрования, в результате которого сервер не знает и не может знать, какие данные подвержены пересылке по каналу связи, вследствие чего проверка пересылаемых данных невозможна. WhatsApp и Telegram хранят историю сообщений на своих серверах (за исключением секретных чатов Telegram), вследствие чего, получив доступ к отрыктой сессии клиентской стороны, становится возможным чтение всей истории сообщений, получение и отправка новых сообщений. Роман воспользовался данными фактами и модифицировал доступные для загрузки MIME-типы данных в WEB-версии WhatsApp. Был сформирован гибрид картинки и HTML-страницы с JavaScript-кодом, отсылающим на подконтрольный атакующему бэкэнд данные об открытых сессиях на клиентской стороне, после чего Роман успешно продемонстрировал данную атаку на примере WhatsApp. Для выявления уязвимости Telegram потребовалось создать гибрид описанной выше страницы HTML с JavaScript-кодом и MP4-файлом. Следующий шаг — предполагаемая «жертва» должна была открыть зараженный документ в новой вкладке, и активировать вирус. Этот сценарий атаки был аналогичным образом продемонстрирован участникам форума.
Знакомимся с уязвимостями macOS – 2016 (Патрик Уордл)
Патрик Уордл – бывший сотрудник АНБ и NASA – представил свой доклад, описывающий наиболее популярные зловреды для операционной системы macOS. В силу меньшей распространенности данной операционной системы, под macOS существует куда меньше вредоносного програмнного обеспечения, чем под Windows, однако его количество продолжает расти. Наиболее ярким примером оказался шифровальщик KeRanger. Злоумышленники взломали официальный сайт торрент-клиента Transmission, разместили в программе свой код, пересчитали хеш-суммы и переподписали цифровой подписью дистрибутив, после чего выложили его на официальный сайт, что привело к заражению машин. Зловред шифровал файлы в системе и требовал выкуп размером в 1 биткоин. Еще одним характерным примером из доклада стала установка на машину жертвы старой версии брандмауэра LittleSnitch, содержащей опасную уязвимость и имеющую доступ к функциям ядра системы. Автор описал основные распространения зловредов в системе и осветил основные способы защиты: утилита Gatekeeper – блокировщик неподписанного кода; утилиты KnockKnock / BlockBlock – мониторы демонов и событий в системе.
DDoS-атаки в 2016-2017: переворот (Артем Гавриченков)
Артем Гавриченков в своем докладе обратил внимание общественности на современные возможности DDoS-атак, а также провел краткий экскурс в историю их модификаций. В своем докладе он привел список наиболее распространенных уязвимых протоколов (DNS, LDAP, NetBIOS и т.д.), многие из которых проектировались в то время, когда о безопасности никто не думал. Автор обратил внимание на характер старых DDoS атак: маленький запрос к серверу генерировал непропорционально большой ответ, вследствие чего не требовалось большое количество нод для выведения сервера из строя. Новые атаки используют большое количество зараженных машин и “умных” вещей, объединенных в ботнеты для атаки на сервисы. Были сделаны выводы об архитектурах сетей, предсказано усиление DDoS-атак как следствие распростанения интернета вещей (IoT).
Взлом в прямом эфире: как хакеры проникают в ваши системы (Себастиан Шрайбер)
Доклад Себастиана Шрайбера был более похож на некий перформанс, нежели на технический доклад. Себастиан описал и продемонстрировал ряд впечатляющих атак:
• DOS-атаку на WEB-сервер (посылка специально сформированных запросов останавливала обработку входящих соединений вследствие ошибки SSL);
• перехват и воспроизведение сообщений беспроводных клавиатур и мышек с помощью Raspberry Pi и радиоантенны;
• собственные модификации зловредов на основе распространенного фреймворка для создания зловредов под Android (демонстрация включала в себя аналог криптолокера WannaCry, шпионские функции со снятием снимков с фотокамер устройства и их загрузкой на удаленный сервер);
• посылку SMS-сообщений от произвольного отправителя (был выбран случайный человек в зале, ему было послано SMS-сообщение с номера 900, принадлежащего Сбербанку);
• атаки на USB-ключи со встроенной реализацией стойкого ассиметричного шифрования (атаки направлены не на схему шифрования, а на слабую реализацию оной);
• обход сигнатурных проверок антивирусов (с помощью аналога утилиты Veil Evasion).
Антология антифрода: переход к математическим моделям с применением элементов искусственного интеллекта (Алексей Сизов)
Алексей Сизов в своем докладе поделился с общественностью математическими методами с элементами искусственного интеллекта для обнаружения фрода. Задача обнаружения фрода свелась к бинарной классификации, однако она была осложнена необходимостью малого времени обучения и быстрой скоростью реакции. Были продемонстрированы возможные инструменты для реализации машинного обучения, а также описаны плюсы и минусы алгоритмов машинного обучения. Отдельно был выделен метод градиентного бустинга с помощью библиотеки XGBoost, метод случайного леса для выявления фрода и метод K-средних для детекции аномалий. Помимо этого, были описаны основные подводные камни данной задачи. По мнению авторов, наибольшей сложностью этой темы является не интерпретируемый результат.
Уязвимости мобильной связи (Дмитрий Курбатов)
Дмитрий Курбатов и его коллеги в своем докладе, посвященном уязвимостям сетей мобильной связи, показали реальные угрозы, поджидающие любого пользователя мобильных сетей 2G, 3G, 4G. В докладе были подробно описаны уязвимости протокола SS7 (2G и 3G сети) при относительной легкости их реализации, был показан целый спектр атак на пользователя – от простой атаки типа отказ в обслуживании и раскрытия местоположения пользователя до перехвата SMS и голосовых сообщений. Авторы описали уязвимости протокола DIAMETER (4G) и показали, что большинство описанных ими атак возможно и в этом стандарте. Были описаны причины появления подобных угроз, а также даны рекомендации об отношении к мобильным сетям как к недоверенному каналу связи.
Обход проверки безопасности в магазинах мобильных приложений (Пауль Амар)
Пауль Амар представил свой доклад, посвященный обходу проверки безопасности в магазинах мобильных приложений. Автор описал цикл мобильной разработки с использованием инструментария Apache Cordova (Hybrid App), после чего продемонстрировал возможность удаленного обновления приложения в обход магазина мобильных приложений (App Store, Play Market и т.д.). Таким образом, подобный способ порождает новый спектр проблем в безопасности мобильных устройств.
С подробной программой конференции можно познакомиться на официальном сайте:
www.phdays.ru/program
