Archive

Athcon 2010

H Πέμπτη, 2 Ιουνίου, ήταν αφιερωμένη στο Athcon, ένα μονοήμερο συνέδριο ασφάλειας πληροφοριακών συστημάτων που διοργανώθηκε στην Αθήνα.

Από το πρωί μέχρι αργά το βράδυ, είχαμε την ευκαιρία να παρακολουθήσουμε ορισμένες ιδιαίτερα καλές τεχνικές παρουσιάσεις, στους τομείς της ασφάλειας συστημάτων, δικτύων και πληροφοριακών συστημάτων. Η συμμετοχή του κόσμου ήταν πολύ καλή, με δεκάδες blackhats, whitehats και greyhats να παρευρίσκονται στο συνέδριο! Για μας το συνέδριο ήταν η επιβεβαίωση οτι η ελληνική αγορά διαθέτει άτομα με πολύ υψηλές γνώσεις σε αυτούς τους τομείς, και αν υπολείπεται σε σχέση με τις αντίστοιχες ευρωπαϊκές, αυτό δεν αφορά τεχνικούς τομείς. Σε αυτό το post θα καταγράψουμε τις εντυπώσεις και τους προβληματισμούς μας για ορισμένες από τις παρουσιάσεις που έγιναν.

Athcon banner

Οι παρουσιάσεις ξεκίνησαν με τον Κωνσταντίνο Παπαπαναγιώτου από το Owasp.gr ο οποίος έδειξε το Owasp Top 10 risks για Web applications (με τα διάφορα Injections να κλέβουν την πρωτιά στα προβλήματα των web εφαρμογών) και πώς αυτό μπορεί να χρησιμοποιηθεί στον κύκλο ανάπτυξης ενός λογισμικού.

Η επόμενη παρουσίαση ανήκε στον Sandro Gauci, από την EnableSecurity, ο οποίος κάνει σημαντική δουλειά ερευνώντας προβλήματα σε διάφορα πρωτόκολλα VoIP. Το όφελος που μπορεί να έχει ένας επιτιθέμενος εκμεταλλευόμενος ανασφαλή Voip clients και servers είναι δωρεάν κλήσεις (κάτι που φυσικά χρησιμοποιούν στο underground) και ατελείωτο spam (voice spam!).

Η ομιλία του Sandro Gauci

Στη συνέχεια, είχαμε μια παρουσίαση για το tor στο iPhone, το android και άλλες φορητές πλατφόρμες/κινητά από τον Marco Bonetti και την ιταλική Cutaway. Δουλειά χρήσιμη για το μέλλον, καθώς για την ώρα δεν μπορούμε να φανταστούμε πολλούς χρήστες iPhone να μπαίνουν μέσω tor.

Οι επόμενες παρουσιάσεις είχαν μεγάλο ενδιαφέρον, με την επίδειξη επίθεσης σε ένα εμπορικό CMS, και μια παρουσίαση από την Encode περί Extrusion Testing. Η τελευταία μας άρεσε πολύ σε θεωρητικό επίπεδο όμως ο περιορισμένος χρόνος μας απαγόρευσε να κάνουμε περισσότερες ερωτήσεις στον ομιλητή. Ο τελευταίος ανέφερε ότι η εταιρεία του, στη διάρκεια των τελευταίων χρόνων που κάνει penetration testings, απέκτησε windows domain admin πρόσβαση σε 78 από τα 80 (?) εταιρικά δίκτυα που κλήθηκε να δοκιμάσει την ασφάλεια τους με extrusion testing. Το ποσοστό μας φαίνεται υπερβολικά μεγάλο, χωρίς από την άλλη να έχουμε ενδείξεις ότι δεν ισχύει.

Ενδιαφέρουσα παρουσίαση και από τον Χαρίτωνα Καραμήτα περί fuzzing, ο οποίος φαίνεται ότι κάνει πολύ ποιοτική δουλειά. Στην παρουσίαση του ωστόσο δεν φάνηκαν ξεκάθαρα τα πλεονεκτήματα της προσέγγισης του σε σχέση με άλλους τύπους fuzzing, όπως πχ intelligent fuzzing. Πολύ καλή και η παρουσίαση του Φώτη Χατζή, nmap hacker, ο οποίος μετέφερε την ιδέα του zombie port scan για την εκμετάλλευση της αδυναμίας του πρωτόκολλου xmpp και την πραγματοποίηση επιθέσεων DoS και stealth port scan.

Στη συνέχεια είχαμε μια ακαδημαϊκή παρουσίαση περί μεθόδων παράκαμψης συστημάτων ανίχνευσης επιθέσεων (IDS) από τον Δ. Γλυνό και την census labs, η οποία μας φάνηκε υπερβολικά πολύπλοκη για να έχει χρήση από blackhats, όμως η εμπειρία του ομιλητή σε παρουσιάσεις αποζημίωσε το ακροατήριο.

Η ομιλία του Δ. Γλυνού

Ομολογούμε ότι δεν εντυπωσιαστήκαμε από την ιδέα του A.R.Samhur περί επέκτασης των DHCP Exhausting attacks. Η ιδέα βασίζεται στο spoofing και στην γνώση των gateways για κάθε VLAN που θέλουμε να κλέψουμε τις ip's, κάτι που δεν προσδιόρισε πώς μπορεί να γίνει εφικτό σε μια επίθεση.

Η παρουσίαση του Α.Βενιέρη ήταν ενδιαφέρουσα,για ένα θέμα που δεν έχει λάβει τις διαστάσεις που θα έπρεπε και είναι σίγουρο ότι θα ανεβαίνει σε επικινδυνότητα (csrf, session hijacking, κα). Τα θέματα προς συζήτηση και σε αυτή την περίπτωση είναι πάρα πολλά και δεν μπορούν να περιοριστούν σε μια παρουσίαση. Αντίθετα είναι το κίνητρο για περισσότερη έρευνα και μελέτη στους τρόπους που τα διάφορα CMS (ή σε χαμηλότερο επίπεδο οι γλώσσες προγραμματισμού) χειρίζονται την αυθεντικοποίηση και τα sessions, σε παραδείγματα προβληματικών σχεδιασμών, επιτυχημένων υλοποιήσεων κτλ. Μια καταπληκτική ανάλυση στο θέμα βρίσκεται στο ycombinator.com.

Στη συνέχεια και για μια ώρα περίπου έλαβε χώρα το Capture the flag! Η ιδέα είναι ότι όσοι θέλουν να παίξουν, ατομικά ή σε μικρές ομάδες, συνδέονται σε ένα δίκτυο και προσπαθούν να παραβιάσουν ένα σύστημα, ή σε παραλλαγές να παραβιάσουν τα συστήματα των αντιπάλων ομάδων και παράλληλα να προστατέψουν τα δικά τους. Το goal για το Athcon ήταν η εύρεση ενός web server εντός του δικτύου, και η αλλοίωση της σελίδας του. Συνολικά, για την επίτευξη αυτού του στόχου, περιλαμβανόταν η εύρεση κωδικού προστατευμένου με στεγανογραφία, cookie manipulation, local privilege escalation σε ένα windows 2003 σύστημα και πολλά άλλα! Το σύστημα ήταν αρκετά καλά στημμένο με αρκετά distraction points προς αποπροσανατολισμό των συμμετέχοντων :) Η εμπειρία του CtF ήταν εξαιρετική και ανυπομονούμε να πάρουμε μέρος όταν και όπου ξαναγίνει. Αν καταλάβαμε καλά ο νικητής κέρδισε μάλιστα και ένα netbook :)

Στο τελευταίο μέρος του athcon και ενώ τα μυαλά είχαν "πάρει φωτιά" από τις προηγούμενες παρουσιάσεις και το CtF, ακολούθησαν οι πιο ενδιαφέρουσες παρουσιάσεις της ημέρας από πραγματικούς guru του χώρου. Ο Alberto Revelli μας έδειξε το open source sqlninja το οποίο έχει γράψει ο ίδιος και αποτελεί μια de facto επιλογή για sql injection testing. Φοβερή παρουσίαση, πολύ έμπειρος ομιλητής, ομολογούμε ότι παραλίγο να πάθουμε επιληψία όταν έδειξε demo exploitation mssql server και επίθεση στο σύστημα μέσω dns tunelling! Έχασαν όσοι είχαν αποχωρήσει.

Η ομιλία του Alberto Rivelli

Πλησιάζοντας στο τέλος, εξαιρετική παρουσίαση περί fuzzing από τον Rodrigo Marcos, ένα απο τα μεγάλα ονόματα του χώρου και δημιουργό του taof open source fuzzer. Αυτή η παρουσίαση έπρεπε να γίνει στην αρχή του athcon για να την παρακολουθήσουν περισσότερα άτομα, αλλά και επειδή εξηγούσε απλά και αναλυτικά τα περί fuzzing και θα χρησίμευε για τις παρουσιάσεις που ακολούθησαν. Αναδρομή στο παρελθόν, και αναφορά στο μέλλον του fuzzing, 3 demos με τα taof και zzuf να σπάνε έναν httpd server και απόπειρα κρασαρίσματος του totem player!

Η ομιλία του Rodrigo Marcos

Δυστυχώς δεν υπήρχαν δυνάμεις για την τελευταία παρουσίαση...

Συνολικά, το επίπεδο των παρουσιάσεων ήταν πολύ υψηλό. Ορισμένοι ομιλητές "έχασαν" πόντους κάνοντας πάρα πολλές παραδοχές για το τί γνωρίζει το ακροατήριο. Ακόμα και σε έναν τέτοιο συνέδριο, δεν είναι απαραίτητο ότι το κοινό γνωρίζει τα πάντα για ορισμένα προχωρημένα θέματα, οπότε καλό είναι ο παρουσιαστής να εξηγεί για 5-6 δευτερόλεπτα κάποια βασικά στοιχεία παρά να προχωράει με ένα "υποθέτω ότι το Χ θέμα το ξέρετε όλοι". Τέλος, δυστυχώς δεν φαινόταν τίποτα στις κονσόλες οπότε την επόμενη φορά ζουμ στα γράμματα παιδιά.

Ραντεβού στο επόμενο athcon!