Bugs in Malware

Emocje były wielkie …… ale jak dokładnie było możecie przeczytać poniżej:
Na wstępie powiem, że nie będę w żaden sposób komentował prezentacji Team’u HSPL w składzie (chronologicznie względem kolejności wystąpień):

Mateusz “j00ru” Jurczyk
Adam “pi3″ Zabrocki
Gynvael Coldwind

Żeby nikt nie zarzucał mi, że cukruje kolegą z pracy to tylko powiem, że każda prezentacja była petardą i warto na nie rzucić okiem ..Heheh.
More details below…

/* SecDay 2009 dzień pierwszy */
Jako, że obecnie mieszkam we Wrocławiu to kwestie dotarcia na konferencje pominę ponieważ nie było w niej nic nadzwyczajnego(15min taxi)….taaa to nie to samo co 5h spędzonych w pociągu w drodze na confidence .

Konferencje rozpoczął :
Dariusz Puchalak
prezentując temat:
„Bezpieczeństwo czy wydajność pracy?”
Niestety muszę się przyznać, że delikatnie się spóźniłem na ten wykład(sorry Darek ).
Już parę razy miałem okazje słuchać prezentacji Darka i także tym razem była ona prowadzona na wysokim poziomie. Ze względu na porę dnia długo nie zastanawiałem się
nad propozycją jaką Dariusz umieścił w swoim temacie i wybrałem …..NIEBEZPIECZEŃSTWO.:D.

Przemysław Świercz
Bezpieczeństwo Bluetooth
Na wstępie trzeba wspomnieć, że był to debiut Przemka co moim zdaniem po wysłuchaniu jego prelekcji jest jak najbardziej na plus. Temat myślę, że jak najbardziej na czasie, bo przecież bluetooth można spotkać teraz praktycznie w każdym telefonie komórkowym, większości nowych TV,itd. Prezentacja była mocno techniczna (a takie właśnie uwielbiam) + zabawne anegdoty prowadzącego działające silnie na wyobraźnie .
Jeżeli ktoś jest zainteresowany bezpieczeństwo Bluetooth to myślę, że warto prześledzić tą prezentacje.

/* Przerwa na kafkę i po niej …*/

Mateusz Jurczyk
Bootkit vs Windows
Jako, że j00ru prowadzi własny blog to zachęcam do przeczytania jego relacji z konferencji jak i pobrania materiałów -> j00ru’s blog

/* Przerwa obiadowa */
Mówiąc krótko i kolokwialnie „obiad był bez szału”, także nie mogę tutaj przyznać ani plusa ani minusa, ale na pewno wypadł o wiele lepiej niż tegoroczny podawany na confidence’e.
Małego minusa dam za to, że dwa dni była ta sama potrawa:P,,,,gdzie kucharz „zostawił” fantazję!?

wracamy do prelekcji:

Krzysztof Maćkowiak
„Zarządzanie ryzykiem podstawą profesjonalnego podejścia do bezpieczeństwa informacji i ciągłości działania.”
Prezentacja jak najbardziej wykonana jak i poprowadzona w sposób profesjonalny, chociaż nie interesująca mnie zbytnio ze względu na obszar działań jakie poruszała. Dlatego też 3/4 jej czasu przegadałem z carstein’em o niuansach związanych z pentestingiem .

Grzegorz Błoński
Problem ulotu elektromagnetycznego.
Bardzo interesująca prezentacja, mocno techniczna podczas, której mogliśmy zobaczyć parę narzędzi do monitorowania ulotu elektromagnetycznego stworzonych przez autora przy wykorzystaniu popularnych kart telewizyjnych . Jeżeli byłeś/jesteś fanem serialu MacGyver masz zbędną kartę TV to nie czekaj tylko przeanalizuj powyższą prezentacje i rozpocznij własne badania!

Michał Melewski
Metodyka testów penetracjnych.
Moim zdaniem elegancko wykonana prezentacja, przejrzysta, przedstawiona na luzie, dająca do myślenia jeżeli chodzi o podejście do pentestów. Dzięki za źródło do refleksji .

Leszek Miś
Rootkity w systemie Linux.
Niestety prelegent nie dotarł na konferencje, a szkoda bo z chęcią posłuchałbym jak wygląda kwestia związana z rootkit’ami na linuxach.

Janusz Żmudziński
Monitorowanie bezpieczeństwa jako istotny element skutecznego zarządzania bezpieczeństwem informacji
?

/* SecDay 2009 dzień drugi */
Jako, że miałem przyjemność rozpocząć dzień drugi to przejdę od razu do drugiej prezentacji, a o własnej wspomnę na końcu relacji.

Konrad Zuwała
Solaris jako bezpieczna platforma serwerowa.
Od strony technicznej prezentacja jak najbardziej poprowadzona bardzo dobrze. Przeznaczona raczej dla administratorów i w tym kręgu znalazła ona grono słuchaczy jak i wywołała burzliwą dyskusję.

Błażej Miga
Zagrożenia w Internecie – DNS
Muszę powiedzieć, że na opublikowanie tej prezentacji czekam ponieważ pojawiło się w niej parę smaczków, które z chęcią bym przetestował. Hehe no i pojawił się w niej kod python’owy z wykorzystaniem modułu scapy.. jak widać prelegent wie co dobre;).

/* Dinner */

Jakub Bryl
Testowanie planów ciągłości działania
?

Adam Zabrocki
Unusual bugs
Adam obiecał wystartować z nową stroną/blogiem, a wtedy na pewno będziecie mieli okazje przejrzeć jego materiały .

Gynvael Coldwind
PHP Internals (not another RFI/SQLI)
Relacja Gyn’a + jego materiały. -> LINK

Robert Dąbrowski
Monitoring bezpiecznej sieci – praktyczne wykorzystanie logów.
Przepraszam, ale prezentacje komercyjnych produktów mnie nie interesują. Tu chodzi o research w dobrym klimacie tzw „piwnicznym klimacie”:D!

I tak kończy się lista prelegentów wraz ich tematami, których miałem przyjemność w większości wysłuchać.

Jeżeli chodzi o mój temat to brzmi on następująco:
Bugs in malware
Moim główny zamiarem było uświadomienie słuchaczy o tym, że w wieluuuuu przypadkach tworzony malware NIE jest doskonały, bardzo często tworzą go ludzie, którzy nie mają nawet średnich umiejętności programistycznych, a gruntowne testowanie swojego tworu jest dla nich abstrakcją. Często zdarza mi się spoglądając w kod malware’u pomyśleć o wyrażeniu : tragizm połączony z idiotyzmem. Czy taki obraz złośliwego oprogramowania przedstawiany jest w prasie i mediach? NIE. Oczywiście głównymi hasłami jakie pojawiają się są następujące:
„nowy błyskawicznie rozprzestrzeniający się worm”
„bardzo trudny do usunięcia trojan”
„trudno wykrywalny wirus”
„maszynka do wykradania poufnych danych”
itp.

Taki obraz, będący totalną generalizacją na temat malware’u, który rzekomo jest absolutnie genialny, trudny do usunięcia, napisany przez pr0 cod3r0w miałem na zamiarze usunąć z mapy rzeczywistości słuchaczy, a przynajmniej wzbogacić ją o informacje, które pokazują „troszeczke” inny obraz tych „złośliwych” aplikacji . Czy mi się udało ?;]. Mam taką nadzieję;).

Jeżeli chodzi o moje materiały to możecie je pobrać stąd:

Pełna paczka(prezentacja + filmiki) => Icewall_SecDay_2009.zip

W kwestii wyjaśnienia: Jeden z filmików zbudził delikatne kontrowersje dlatego też został odpowiednio ocenzurowany.

Hiperlinki w ODP jak i w PDF’e są ustawione w sposób relatywny, także można na nie klikać dowoli jeżeli zachowacie następująco strukturę katalogów:

Delephant
GetCodec
Zeus
prezentacja.odp
prezentacja.pdf

PS: Możliwe, że nawet do końca tygodnia pojawi się photo jaki i video relacja z konferencji dla której myśle stworze osobny post. Na video relacji będziecie mogli obejrzeć wszystkie prelekcje ludzi zarówno z HSPL jak i Vexillium. Także bądźcie czujni;),będzie co oglądać.

Pozdrawiam i zapraszam na kolejną edycje SecDay już we wrzesniu, bo warto;).

Postępując chronologicznie:

/* Podróż */
W tym roku bez żadnych dodatkowych kłopotów z PKP( tak tak ,warto o tym wspomnieć ,bo w tamtym roku czekaliśmy z Coldwind’em ok.3.5h na spóźniony pociąg, a jego delay time co 45min był sukcesywnie inkrementowany o kolejne 45 ) w sielankowej atmosferze podziwiając krajobrazy ,przemierzaliśmy z Gyn’em kolejne setki kilometrów. Gdzieś po drodze do przedziału zainjectował się j00ru i już pełną tegoroczną ekipa zmierzaliśmy do celu.

/* Camp place */
Camp place tudzież miejsce noclegowania to dość nietuzinkowy tegoroczny pomysł organizatorów nazwany Hackers’ Squad.

Pomysł polegał na umieszczenie uczestników we dwóch hostelach przy czym uczestniczy trafiali do pokojów w sposób losowy . Powiem szczerze, że na początku miałem mieszane uczucia co do tego pomysłu, ale ostatecznie muszę postawić wielkiego plusa za hostel/śniadania i ekipę jaką można tam było poznać . Dodatkowym atutem
hostelu była jego lokalizacja , jakieś 300m od Kina Kijów gdzie odbywała się konferencja
Fotka z pokoju:

j00ru & me

/* Before party */
Kolejna innowacja . Jako, że Kino Kijów ma własny klub to organizatorzy postanowili wykorzystać i tą możliwość do zagospodarowania nam pierwszego wieczoru poprzez projekcje następujących tytułów:

Gry Wojenne (Wargames)
Metropolis
PI
Wróg Publiczny (Enemy of the State)
H4ck3rs Are People Too

me & Gynvael Coldwind na seansie w klubie Kijów

Napisałem „oglądając”, bo wytrwaliśmy do końca pierwszego filmu , ale w sumie bez większych strat, bo widziałem wcześniej już:
H4ck3rs Are People Too jak najbardziej polecam i jakby ktoś nie reflektował tego dokumentu to jest to video o społeczności związanej z security, a film ten został po raz pierwszy zaprezentowany na DefCon’e 2008.
PI – bardzo klimatyczny film, polecam jeżeli lubisz nie przeciętne kino
Gry Wojenne – ten film właśnie udało mi się obejrzeć w całości w klubie i powiem, że czasami był zabawny:D Najlepszy tekst z filmu:
Teacher: “Who first suggested the idea of reproduction without sex?”
David: “Your wife?”
I tak upłynął pierwszy wieczór.

/* Dzień pierwszy */
Kolejną delikatna zmianą, która pojawiła się w tym roku (można ją było odczuć rano)jest godzina rozpoczęcia się wykładów. Przesunięto ją z 9:00 na 10:00 (imo bardziej ludzka godzina).
Oczywiście jak to zwykło bywać na konferencjach po rejestracji zostaliśmy obdarzeni przez piękne hostessy torbą z gadgetami:

Konferencje rozpoczęła się prezentacja:
Bruce Schneier’a – „Reconceptualizing Security”
Mówił on o tym jak odczuwamy bezpieczeństwo ,kiedy czujemy się bezpieczni, a tak w ogóle nie jest oraz kiedy jesteśmy bezpieczni, a tego bezpieczeństwa nie odczuwamy. No…., moim zdaniem prezentacja nietuzinkowa ze szczyptą filozofii tak jak lubię, widać tu po prostu wieloletnie doświadczenie w branży oraz ogrom przemyśleń na temat security. Mistrzostwo po prostu;).

Joanna Rutkowska – „Thoughts about Trusted Computing”
Bardzo dobra prezentacja (czego można się było z resztą spodziewać;)) ,m.in. omawiająca składniki
Trusted Computing: takie jak : TPM,TXT,VT. W szczególności muszę wspomnieć, że forma samej prezentacji przypadła mi do gustu ponieważ slajdy były przejrzyste(bez zbędnego przerostu formy nad treścią oraz wodotrysków), czarne tło kilka bloków/schematów objaśniających bieżące zagadnienie i to wszystko. Co do ciekawostek to Joanna zapowiedziała opublikowanie najnowszych badań w najbliższe wakacje m.in. na temat Trusted Computing . Czyżby wspomniane komponenty nie były tak bezpieczne jak zakładają ich twórcy ?Przekonamy się w wkrótce.

Eddie Schwarz – „Understanding Social Networking Threats Using Live Threat Intelligence”
Prezentacja dość na czasie zważając na to, że niektórzy wydają się żyć portalami społecznościowymi.

no i nadszedł czas na …

/* Lunch Break */

Jeżeli chodzi o same snacki, które są cały czas dostępne podczas konferencji to jest git, ale niestety ja jako wielki smakosz musze niestety przyznać minusa za obiad, bo to były dania w stylu:
„prawie zupa” oraz „prawie szaszłyk”. Także zdecydowanie to nie było to co misie lubią najbardziej. W swojej opinii nie byłem osamotniony ,bo moje zdanie podzieliło jeszcze parę osób, także coś w tym musi być .

Po wydłużonym lunch’u ,zdecydowałem się( tak tak ,sesje NIESTETY zostały podzielone po 3’im wykładzie) na prezentacje:

Alexander Kornbrust – “Oracle SQL Injection in Webapps”
Dla mnie interesująca prezentacja z tego względu, że o ile przeprowadznie pentestów na bazach MSSQL czy MySQL to jest chleb powszedni to jednak bazy Oracle chodź tak powszechne i lubiane w świecie biznesu to widywane są przeze mnie rzadko, a wręcz wcale. Także miło było zobaczyć co do „zaoferowania” mają funkcjonalności w różnych wersjach baz Oracle podczas ataków np. SQL (Blind) Injection .

Walter Belgers – „Lockpicking 101”
To był jeden z wyczekiwanych przeze mnie tematów ponieważ panowie zajmujący się Lockpicking’em mieli pojawić się na zeszłorocznej konferencji, a niestety się to nie udało. To co można było zobaczyć na prezentacji to masa różnego rodzaju zamków oraz metod, którymi można je otworzyć w sposób mniej lub bardziej inwazyjny. Widać było także wieloletnie doświadczenie prelegenta w tej branży.
Zabawna historia związana z tym tematem, którą przytoczę wydarzyła się wieczorem podasz powrotu do hostelu kiedy to równocześnie doszliśmy do drzwi(ja,Gyn,j00ru) i cześć ekipy loockpickerów już w środku kamienicy. Chwila konsternacji ,każdy uderza się po kieszeni gdzie te klucze po czym ,któryś lockhackerów chciał się pochwalić skillem i zamierzając otworzyć zamek niczym szpieg z krainy deszczowców świecąc miniaturowa latarką zaczął wyciągać picka ,ja nacisnąłem po prostu dzwonek do drzwi i ktoś otworzył je od wewnątrz ..hahah..byłem szybszy. Kolejny raz potwierdza się reguła, że najprostsze metody są najlepsze .

Michał Sajdak – „Zdalny root na ruterze klasy SOHO”
Prezentacja ok., bez jakiś większych rewelacji, ale ukazująca potencjał wykorzystania błędów w tanich powszechnie używanych router’ach .

Martin Mocko – “Race to baremetal: UEFI and hypervisors”
Interesująca prezentacja oraz ciekawa dyskusja, która wywiązała się tuż po niej, pomiędzy Joanna( w tym temacie to było do przewidzenia ) oraz prelegentem.
. Tam trzeba było po prostu być.

… i tak minął pierwszy dzień prelekcji. Wieczorem w klubie kijów było o czym rozmyśla jak i dyskutować, także pozytywnie .

/* Dzień drugi */

Rich Smith – „VAASeline: VNC Attack Automation Suite”
Rich jest członkiem firmy Immunity, myślę, że jest to firma, którą większość z was kojarzy m.in. przez takie projekty jak CANVAS czy Immunity Debugger. Rich stworzył bardzo użyteczną biblioteka dla pythona ułatwiającą proces automatyzacji ataków na VNC, której moim zdaniem warto się przyjrzeć;).

Jacob Appelbaum – „Tor Network”
Było technicznie ,było filozoficznie czyli bardzo dobra mieszanka.
Na tej prezentacji można było się dowiedzieć o tym jak działa sieć tor jak można stać się jej aktywnym węzłem , itd. , ale nie tylko. Jacob wspomniał także jaki jest sens tworzenia takiej sieci. Na szczęście w Polsce nie mamy takich problemów jak np. w Chinach, że rządowi nie podoba się youtube no to trach!!! i nikt już nie zobaczy kolejnego odcinka Tiger Team’u, a dzięki Tor’wi można to ominąć. Prelegent wspominał także o takich krajach, w których anonimowość, jaką daje Tor np. dziennikarzom, którzy piszą otwarcie na swoich blogach o tym co nie podoba się im w ich kraju ,jest na wagę ich życia.
Zabawną historią była opowieść o dwóch obozach FBI, które wzajemnie się kłócą czy Tor przynosi im więcej korzyści czy kłopotów .

Alessio Pennasilico – „Bakeca.it DDoS: How evil forces have been defeated.”
Hehhe jeden z moich ulubionych prelegentów confidence. Niesamowity sposób opowiadania oraz zabawny akcent (wyrażenie brzmiące “eso hon” rozkminiałem sporo czasu w tamtym roku, aż udało mi się odganąć, że chodzi tu o „and so on” ). Jeżeli chodzi o sprawy techniczne związane z prezentacja to tak jak w temacie Alessio opowiadał o ataku DDoS na firmę Bakeca.it ( coś ala allegro),
która pozwoliła mu jak widać zresztą ( i brawa dla niej) na opisania i opowiedzenie całego zdarzenia.
Genialnie opowiedziane kolejne kroki postępowania ataku oraz środków przeciw działania.

Michael Kemp – „Rootkits are awesome: Insider Threat for Fun and Profit”
To wystąpienie było mega zabawne, a zarazem tragiczne . Inaczej skomentować tego nie mogę, bo jeżeli, ktoś pokazuje listing Dll’ek wykorzystywanych przez dwie aplikacje, porównuje je, dochodzi do wniosku że są one identyczne i na tej podstawie stwierdza, że obie aplikacje działają identycznie to sorry Po prostu po parunastu minutach słuchania zacząłem się obawiać o tego człowieka jak daleko posunie się on w swoich fantazjach i jak wiele osób naskoczy na niego po prezentacji .
Tłumaczyć go może jedynie fakt, że tak jak wspomniał na samym wstępie był na dużym kacu i nie bardzo pamięta jak wrócił do hotelu:D…mam też nadzieje, że cała tą prezentacje tworzył w podobnym stanie wtedy jestem w stanie o tym zapomnieć. Oczywiście zgodnie z moimi oczekiwaniami po prezentacji znalazło się „parę” osób entuzjastycznie (tak to nazwijmy ) wytykających prelegentowi pewne nieścisłości w jego rozumowaniu. No niestety, Michael chciał zareklamować swoją nową firmę,
ale imo nie robi się tego w takim stylu .

Raoul Chiesa – „Corporate Security and Intelligence: the dark links”
Niestety obiecałem, że nic nie powiem . Prezentacja naprawdę bardzo ciekawa, a fakty przerażające.

I tym sposobem dotarliśmy do końca konferencji……
Podsumowując, wielki plus dla orgów za przygotowania i organizacje pozostaje mi tylko mieć nadzieję, że za rok znów się tam pojawię .

Jak zapewne większość z was wie w ostatnim tygodniu października , a dokładnie
w dniach 27-29 odbyła się konferencja IT Underground 2008(Warszawa).
Jako ,że miałem okazję uczestniczyć w tym wydarzeniu to postaram się wam przybliżyć jego przebieg z mojej perspektywy .Btw: agenda’e znajdziecie tutaj: IT U Agenda.

Niestety w pierwszy jak i w drugi dzień nie udało nam się dotrzeć na 9:00(w nocy:P),także ominęły nas dwie początkowe prelekcje:
„A first inspection of Microsoft’s Hyper-V security” i
“The Kata of Secure Coding Exploitation techniques” ,
”na szczęście” nie słyszałem jakiś szczególnych zachwytów obiema . Pierwszą interesującą dla mnie prezentacja była :
” Discussing secure input solutions for web applications”,
ponieważ pojawiły się w niej m.in. rozważania na temat bezpieczeństwa transakcji bankowych i słusznie ,bo wieeeeeeele dzisiaj stosowanych rozwiązań już dawno się nie sprawdza: wirtualne klawiatury, zdrapki, sms code.
Tak ,tak te wszystkie „zabezpieczenia” ,są bez problemu omijane przez dzisiejsze trojany bankowe. Niestety jak to przeważnie bywa funkcjonalność nie idzie w parze z bezpieczeństwem i tak było tym razem w zasugerowanym przez A.Rosiello rozwiązaniu ,już teraz nie pamiętam detali ,ale sam problem polegał na tym ,że klient musiałby przy każdej transakcji używać czegoś w rodzaju księgi telefonicznej zawierającej masę kluczy jednorazowych ,gdzie klucz byłby wybierany na podstawie wcześniejszych wyliczeń PRZEPROWADZONYCH PRZEZ klienta:D!? Wyobrażacie to sobie?…
Oczywiście nie musze chyba nikomu mówić ,że z miłą chęcią słuchało się wykładu
„64-bit Imports Rebuilding and Unpacking” prowadzonego przez TiGa’e z ARTeam’u , komentować tego nie będę zobaczcie sami ->Video z RECon.
Dzień pierwszy kończył się dla mnie prezentacją „Fast-Flux Service Networks BYOL”
(ehmm BOYL w nazwach prezentacji pojawia się często i niestety tylko tam pozostał )
Wątek jak najbardziej na top’e, ciągle zgłębiany (nowe algorytmy wykrywania domen należących do Fast-flux oraz sposoby na dezaktywacje takich sieci),ale i też ciągle ulegający zmiana pod wpływem inwencji twórczych twórców BotNet’ow np. Hydraflux- Fast-Flux,także ogólnie mówiąc prezentacja jak najbardziej na plus .
Hehe panel dyskusyjny przejdzie do histori,, tego się nie da opisać , zaczęło się niewinnie
Temat:” co było największym trendem w Sec 2008 ?:”
1.Dan Kaminsky – luka w DNS
2.MS08-067
3.BGP….(nie pamiętam dokładnie w czym był problem…mniejsza o to)
Czyli miało być wiele dywagacji itd, ale rozmowy poszły całkiem w innym kierunku i skończyło się na przepychankach słownych odnośnie RBN vs reszta świata , a zakończyło na krążącym winie po sali .

Dzien II

„Code injection techniques BYOL” ciekawa prezentacja raczej nie wnosząca nic nowego do tego tematu ,duży plus za to ,że prezentowane techniki był zarówno dla windows’a jak i linux’a ,także na gorąco można było sobie porównać jak dana sprawa wygląda na tych dwóch platformach. Kolejna i zarazem ostatnia prezentacja była „Exploring Novelty Ways in Building Botnets BYOL” (ahh znowu Bonet,,no coz takie trendy:P).Bardzo ciekawa prezentacja rzucająca światło na to w jakim kierunku twórcy sieci zombie mogą pójść zmieniając ich architekturę. Hehe i kolejny przykład na to jak funkcjonalność rodzi zagrożenia, panowie przedstawili przykładowy kod bot’a (pare linijek w C#, hehe ogólnie było trochę śmiechu ,że Microsoft powinien w następnej wersji framework’u umieścić klasę TBot i TCommandAndControl or something:P) oraz serwera opartego o nowy protokole PNRP dla którego support jest zaimplementowany domyślnie w Windows Vista ,Windows 2008 ,ale również w Windows XP po zainstalowaniu SP3. Protokół został stworzony w celu ułatwienia połączeń P2P w czasach gdzie większość przeciętnych użytkowników skrywa się za NAT’em, ale jak widać już niektórzy dopatrzyli się innych zastosowań . Info -> PNRP.
I tak konferencja dobiegła końca ,ogólne wrażenia pozytywne niemniej jednak wole Confidence No i na koniec fotka ekipy jaką wybraliśmy się na IT Underground:

j00ru, Gynvael Coldwind,no i moja skromna osoba;).