margin-top: 125px; border: 1px solid gray; } -->

Black Hat 2012 přinesl Stephensona, kybernetické zbraně i odvetné útoky

Pavel Houser , 31. červenec 2012 08:00 0 komentářů
Black Hat 2012 přinesl Stephensona, kybernetické zbraně i odvetné útoky

V Las Vegas proběhla konference Black Hat, kterou lze (spolu s DefConem, jenž má však stejného pořadatele) pokládat za jednu z největších akcí v oblasti IT bezpečnosti. Příspěvky opět pokryly celou řadu témat, od ukázek konkrétních exploitů bankovních systémů k debatám o účasti vlád na vývoji malwaru.

Název Black Hat je vlastně mírně zavádějící, nejde o žádnou akci na pomezí počítačové kriminality – i když v minulosti některé příspěvky opravdu vyvolaly žaloby nebo alespoň pokusy o ně a nátlak vyžadující stažení prezentací; proto se mimochodem uvažovalo i o tom, že by program konference nebyl dopředu zveřejňován.

Apple a Microsoft nejen jako předměty útoků

Letos se akce účastnilo kolem 10 000 odborníků. Prezentaci zde měl poprvé za 15 let trvání konference Apple, nicméně přednáška manažera bezpečnosti platforem Apple Dallase De Atleyho o zabezpečení systému iOS byla řadou posluchačů kritizována jako „produktová prezentace“. Větší zájem vzbudil Jonathan Zdziarski ze společnosti ViaForensics, který naopak předváděl, jak lze bezpečnostní mechanismy iOS obcházet.

Pokud pomineme objev zero day zranitelnosti, další způsoby podle Zdziarskiho v zásadě vyžadují mít k zařízení fyzický přístup, nicméně pak prý dokáže ovládnout i telefon chráněný heslem – ať už jde o extrakci informací ze zařízení nebo i o instalaci malwaru.

Hlavní problém má spočívat ve zranitelnosti komponenty iOS KeyChain. „Monukultura“ systémů Applu navíc vede k tomu, že kdo dokáže ovládnout jeden telefon, má cestu otevřenou ke všem (i když i iOS pochopitelně existuje ve více verzích). Co se týče instalace malwaru do iPhonu chráněného heslem, Zdiarski dokázal do telefonu připojeného k počítači i tak přenést svůj kód, který čekal a aktivoval se po odemčení zařízení.

Naopak Microsoft se na rozdíl od Applu konference účastní již tradičně a při této příležitosti vyhlašuje svá ocenění Blue Hat. Hlavní cenu ve výši 200 000 dolarů letos získal Vasilis Pappas. Microsoft na rozdíl od konkurence ale neplatí za žádné reportování zranitelností ve svém softwaru, naopak do soutěže jsou přihlašovány obranné technologie. Letos se všechny vítězné práce zaměřily na to, jak znesnadnit exploity typu ROP (returned oriented programming). Technologie navržené v rámci loňského ročníku soutěže se již mezitím stihly stát i součástí nejnovější verze bezplatného bezpečnostního nástroje MS EMET (verze 3.5, zatím ve vydána jako preview).

Od kyberpunku ke Stuxnetu

Keynote na letošním Black Hatu přednesl sci-fi spisovatel Neal Stephenson, autor kyberpunkového bestelleru Sníh. Ve svém dalším románu Kryptonomicon (kromě toho, že je to prostě kniha o kryptografii, Turingovi/Enigmě etc.) např. předpověděl existenci „datového ráje“, jež by nepodléhal žádné legislativě. Neúspěšně byl tento projekt realizován na ostrově Sealand, nyní o „plovoucích serverech“ uvažuje např. projekt WikiLeaks. Stephenson ovšem v zahajovací řeči nehovořil ani tak o bezpečnosti IT, ale o sci-fi, kosmickém programu, technologickém pokroku (mezí ho jeho zpomalení), počítačových hrách, šermu i svém odporu k sociálním sítím. O Facebooku neměl iluze, zklamal ho ale Twitter. Stephenson se těšil, že díky limitujícímu rozsahu příspěvků by výsledkem mohla být jakási haiku, nicméně síť je namísto toho prostě zaplavena zbytečnými odkazy směřujícími ven.

Z hlediska on-line bezpečnosti je prý Stephenson nyní klidný a fatalistický, nepoužívá žádné šifrování e-mailů ani speciální nástroje pro ochranu soukromí; podle něj to všechno sice po technické stránce funguje, ale komunikace se pak stává neefektivní.

Debata se rozpoutala ohledně legitimity používání kybernetických zbraní, jako byl Stuxnet. Zakladatel konference Jeff Moss podobné akce obhajoval. Podle něj jde o způsob, jak poškodit klíčovou infrastrukturu protivníka bez toho, aby při tom byly přímo ohroženy lidské životy. Měly snad USA a Izrael namísto toho íránské odstředivky na obohacování uranu bombardovat? Moss se domnívá, že jde o nekrvavý způsob použití síly, konečně je k dispozici „něco mezi rétorikou a řízenou střelou“. Miko Hyponnen z finské společnosti F-Secure ovšem soudí, že debata o etičnosti podobných prostředků je stejně zbytečná, protože se prostě staly realitou. Bezpečnostní odborníci nejsou placeni za to, aby přemýšleli, zda je to správné, ale jak se s tím naučit žít.

Lstivé karty a pomsta útočníkům

Z prezentovaných hacků zaujala demonstrace dvou způsobů, jak napadnout pokladní systémy pro zpracování platebních karet. V prvním případě, který převedli výzkumníci z britské společnosti MWR InfoSecurity, se systém ošidí tak, že transakce se ve skutečnosti nezpracuje, takže podvodník může „nakupovat“ zadarmo. Ve druhém případě pak speciálně upravená karta do systému rovnou vnese malware. Ten pak shromažďuje dále zadaná čísla a PINy karet.

Útočník se po nějaké době vrátí a na svou kartu si pak tyto údaje dokáže i rovnou jednoduše uložit. Příliš podrobností ovšem v tomto případě oznámeno nebylo, což je ovšem pochopitelné, protože zranitelnost se má týkat systémů aktuálně používaných (v Británii). Britská Cards Association v této souvislosti uvádí, že podvody tohoto typu ale zatím nezaznamenala. Navíc dodává, že popsaný postup by se týkal výhradně maloobchodních systémů, s bankomaty takto manipulovat nelze. Míra karetních podvodů v Británii je prý dnes nejnižší od roku 2000.

Dan Kaminsky, odborník na systém DNSSEC, zde mluvil o svém dalším projetu, nástroji, který by fungoval jako doplněk do webového prohlížeče a upozorňoval na cenzuru nebo pozměnění informace (na úrovni státního firewallu, poskytovatele Internetu apod.). Hlavním problémem podle něj není samotné omezování obsahu (budiž, třeba podle toho, jak nákladnou verzi připojení si kdo koupil), ale hlavně to, že není transparentní – uživatel by měl vědět, že přístup k určitému obsahu je mu odepřen. Svého času to takto dělal s výsledky vyhledávání Google v Číně, mimochodem, jaká je v tomto ohledu situace dnes?

Firma nCircle Security provedla mezi účastníky Black Hatu průzkum, zda se pokoušeli zaznamenané útoky oplácet. Výsledek: 64 % říká ne, 23 % jednou, 13 % často. Technický ředitel nCircle Tim Keanini k tomu uvedl, že v realitě mohou být odvetné útoky ještě mnohem častější, protože pochopitelně ne každý se k nim chce přiznávat. Zásada oko za oko je ale podle Keaniniho nebezpečná, pro většinu firem je rozhodně výhodnější na pomstu zapomenout. Odveta, především pokud je vedena impulzivně, může zasáhnout i někoho jiného než skutečného pachatele, a to je ještě jen jeden z možných problémů.

Po BlackHatu nyní aktuálně v Las Vegas běží sesterská konference DefCon, o té ale více v tradičním čtvrtečním přehledu.


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

Starší zprávičky

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů

Rozšířená realita bude za pár let běžnou záležitostí

ČTK , 17. srpen 2017 12:58

Za pět, šest let bude běžné, že si turisté při návštěvě zahraničních metropolí nasadí speciální brýl...

Více 0 komentářů

Podíl internetových kurzových sázek v ČR loni vzrostl na 88 %

ČTK , 17. srpen 2017 10:00

Velký podíl na internetových sázkách tvoří live sázky, které lze uzavírat opakovaně v průběhu zápasu...

Více 0 komentářů

Za polárním kruhem má vzniknout rekordní datové centrum

ČTK , 17. srpen 2017 08:00

V norském městě Ballangen, které se nachází za polárním kruhem, má vzniknout největší datové centrum...

Více 1 komentářů