DEF CON 25: na co se těšit v IT bezpečnosti

Pár základních postřehů z velké konference:

1. Lidi si rádi přivstanou, aby byli ve frontě první. V Las Vegas jsme přistáli po 11. večer, ráno v 6 jsme byli u Caesar's Palace, tedy kasína, kde se DEF CON pořádal. I když jsme mysleli, že jsme na místě s předstihem, čekala nás kilometr dlouhá fronta.
2. Organizátoři vědí, co dělají. Jakékoliv nahánění je jen pro urychlení celkového postupu. Díky jejich výborné organizaci a zabavení davů ve formě všude létajících balónu jsme byli odbaveni za 45 minut.
3. Předpoklad "když je něco volné teď, bude to volné i potom" je špatný. Původně jsme si mysleli, že krámek s DEF CON předměty bude volnější po registracích. Nebyl ani další 3 dny.
4. Držte se pravidla 3-2-1. Denně alespoň: 3 hodiny spánku, 2 teplá jídla, 1 sprcha.
5. (Ne)stihnu vše, co jsem si naplánoval. Tento DEF CON měl návštěvnost rekordních 25 tisíc lidí ... přesunout se k fontánce pro vodu a zpět je téměř nadlidský úkol, který zaručeně zahrnuje i návštěvu LineConu¹. Přejít přes celou konferenci na půlhodinovou prezentaci je vcelku nemožné.
6. Předpoklad "to zní moc zajímavě, to si budu pamatovat" je opět špatný. Po 8 hodinách přednášek, kdy každá popisuje zajímavé a nové téma, to prostě nejde.

Vím, že body můžou znít poměrně samozřejmě, ale je dobré na ně pamatovat. Ať vás velikost DEF CONu nesemele. Pište si poznámky. Řiďte se doporučeními organizátorů. Pamatujte na 3-2-1.

¹ LineCon je roztomilé jméno, které dostaly všechny  fronty na DEF CONu. Někdo si ho omlouvá úžasnou možností se seznámit s novými lidmi.

Trendy v IT bezpečnosti

Nových trendů je spousta! Zaměřím se na novinky z oblasti útoku na síťovou infrastrukturu a útoky a obranu na Windows po Creators Update, který čekáme na podzim. V závěru doplním zamyšlení, proč vlastně věříme hardware víc než software.

‍

Prezentace referované níže jsou dostupné na oficiálním media serveru DEF CONu. Videa z prezentací budou pravděpodobně dostupná v průběhu roku na YouTube kanálu DEF CONu.

Útoky na bezdrátové sítě

Původní implementace WPA2-EAP jsou děravé! Dobrá, tohle je novinka zhruba poslední dekádu. Bohužel penetrace jejích náhrady do světa IT je bolestivě pomalá a stále ve firmách narazíme na použití starých WPA2-EAP (MD5 a PSK). Vinit místní IT, že jsou líní, není úplně na místě. Nasazení opravného řešení WPA2-EAP-TTLS je poměrně komplikované na údržbu, či v lepším případě jen drahé. A odezva odvětví na komplikovanost TTLS, tedy WPA2-PEAP, má svá úskalí, která vedou k možnosti odchytit klienty původního AP (přístupový bod WiFi) na námi nasazené AP a následně modifikovat jejich provoz.

‍

Říkáte si, že toto ale taky není moc novinka? Poměrně neotřelý způsob, jak vše využít, popsal v prezentaci "Advanced Wireless Attacks Against Enterprise Networks" Gabriel Ryan. Prezentace nejen ukazuje, jak hezky a poměrně chirurgicky útočit na AP cíle bez velkého ovlivňování okolí, ale i jak přes tento útok dostat zadní vrátka do jinak zvenku uzavřené sítě.

Jak tento útok ztišit před forenzní analýzou? To si (včetně technických detailů) popíšeme v dalším blogu.

Windows update jako cesta do interní sítě

Jedním z principů udržování vysoké úrovně zabezpečení je zaručeně aktualizace OS. A jedním z principů, jak aktualizovat OS v zabezpečené síti, co nevidí do internetu přímo, je aplikovat aktualizace z WSUS serveru (Windows Server Update Services), který je sám o sobě schopen stáhnout aktualizace z validních zdrojů na internetu.

‍

Když se útočníkovi podaří prorazit do DMZ, kde takový server je, ale stále nemá přístup do interní sítě, může využít menší logické díry od Microsoftu. Chyba spočívá v tom, že je obsah aktualizačních balíčků dobře zabezpečen, manifest definující obsah je distribuován přes https v xml formátu, ale obsah lze na WSUS serveru modifikovat (s vhodnými právy).

‍

Prezentaci útoku za pomocí nástroje WSUSpendu provedli Romain Coltel a Yves Le Provost v přednášce “WSUSpendu: How to hang WSUS clients”. Ve svém novém vektoru útoku ukázali, jak využít legitimní bezpečnostní aktualizace a modifikací metadat v xml přinutili aktualizované klienty vykonat libovolný kód. Jako bonus při využití bezpečnostní aktualizace je její automatická instalace v klientech. Lekce pro obránce: před aplikací aktualizací je dobré si pročíst, co vlastně daná aktualizace vykonává.

Jak nový update Windows 10 ochrání před nejpalčivějšími útoky

V článku Phishingové útoky využívající Microsoft Office uváděl kolega Petr Medonos, jak se dá přes MS Office útočit na klientské stanice.  Petr popsal některé možné vektory útoků,  nicméně existuje jich nespočet, což se rozhodl Microsoft řešit. V Creators update, který vyjde na podzim, odstraňuje zpětnou kompatibilitu pro PowerShell 2.1. Ten byl jedním z hlavních nástrojů útočníků a do produktů z rodiny Windows Defender přidává režim učení, který pomůže omezit:

• spouštění obfuskovaného kódu,
• spouštění kódu který není běžně uživateli spouštěný,
• celkově detekce aktivit neběžných pro uživatele.

Z prezentací MS by se mohlo zdát, že se již nemusíte bát otevřít jakýkoliv dokument z internetu. V prezentaci "MS Just Gave the Blue Team Tactical Nukes" shrnuje Chris Thompson nejen to, jaké novinky od nové verze Windows 10 čekat, ale jak se jim útočníci mají přizpůsobit. Z jeho výzkumu vyplývá, že detekce útoků se masivně zlepšuje s nasazením nových Microsoft Defender produktů². Zároveň ale výzkum ukazuje, že je stále co zlepšovat a chytrý útočník se může stále pohybovat nedetekován.

‍

Už odbylo dobám, kdy můžete relativně bezpečně pouštět všechny možné enumerační skripty, pouštět libovolný reverzní shell kód (v horším případě kopírovaný ze StackOverflow), nebo jen zkoušet napadnout doménový kontrolér z prvního počítače, na který se dostanete. Útočníci se teď budou muset pohybovat chytřeji, zjistit nejdříve, co OS, na kterém jsme, běžně dělá, a na tyto aktivity se omezit.

‍

Toto je stále velmi dobrá zpráva pro obránce, jelikož můžou získat důvěru, že ty nejočividnější útoky budou detekovány.

² MS Defender ATP

Proč věříme hardwaru více než softwaru?

Rád bych teď odkázal na výzkum Christophera Domase  z přednášky “Breaking the x86 ISA”. Autor shrnuje, že lidé se postupně naučili nedůvěřovat software, protože může obsahovat chyby, úmyslné nedostatky nebo rovnou zákeřný kód. Většina populace ale naprosto neřeší, co obsahuje procesor, který si bez sebemenších problémů nechají dát do počítače. Hardware ale může obsahovat naprosto stejnou sadu problémů pro uživatele. Christopher se rozhodl zmapovat sadu instrukcí, které je procesor schopný vykonat, a porovnat ji s oficiálně vydaným seznamem instrukcí pro daný procesor. Pro tyto účely vytvořil nástroj Sandsifter, který poměrně elegantně dokáže zmapovat instrukce vykonatelné procesorem. Následné porovnání oficiálně zdokumentovaných a vykonatelných instrukcí ukazuje, že si možná výrobci hardware nezaslouží úroveň důvěry, kterou mají. Už jen kvůli pozdní dokumentaci funkcionalit procesorů, které vydávají (v rámci let).
 

DEF CON opět ukázal, že se nemusíme bát toho, že by se pole IT bezpečnosti mohlo zpomalit nebo stát monotónním.