Ads 468x60px

torstai 7. elokuuta 2014

Black Hat USA - ensimmäinen päivä

Black Hat USA:n koulutus ja ensimmäinen päivä on nyt takana ja aika paljon eri asioita on tullut käsiteltyä. Kahden päivän CCSK+ (Certificate of Cloud Security Knowledge) -koulutus antoi hyvän kuvan eri pilvipalvelujen tietoturvasta luentomuodossa ja jatkui hands-on -harjoituksina, joita tehtiin erityisesti Amazonin pilvipalveluista. Koulutuksesta nousi esiin erityisesti kolme isoa asiaa

  • Ajatustavan täytyy muuttua siinä, miten pilvipalveluja käytetään ja rakennetaan sekä ylläpidetään. Yhtenä muutoksena ajatusmaailmassa on ympäristöjen nopea rakentaminen, esimerkiksi versionvaihdossa voidaan rakentaa tuotantoympäristön rinnalle uusi tuotantoympäristö ja testata sitä tuotannossa osalla tuotantoliikenteestä. Ympäristöjen nopea ja automaattinen rakentaminen voi ääritilanteessa mahdollistaa myös tilanteet, joissa tuotantoympäristöön ei tarvita ylläpitotunnuksia, sillä ongelmatilanteissa voidaan vain rakentaa uusi ympäristö.
  • Palveluntarjoajan kanssa ei voi neuvotella erityisehtoja, vaan on hyväksyttävä palveluntarjoajan normaalimuotoinen sopimus
  • Hyvin tehdyissä pilvipalveluissa on tarjolla hienojakoisia keinoja määritellä käyttöoikeuksia ja ne mahdollistavat sopivien käyttöoikeuksien antamisen eri tarkoituksiin. Joustava käyttöoikeuksien määrittely mahdollistaa ikävä kyllä myös niiden asettamisen ja jakamisen väärin, jolloin ulkopuolinen voi saada pääsyn kaikkiin resursseihin.


Dan Greer esitti keynote-puheessa useita parannusehdotuksia, joilla voidaan jatkossa parantaa tietoturvatilannetta. Näitä ehdotuksia olivat muun muassa

  • Pakollinen raportointi riittävän vakavissa tietoturvaloukkauksissa. Greer vertasi tilannetta potilastietojen luottamuksellisuuteen, jossa tiedot ovat normaalisti luottamuksellisia, mutta vakavien tarttuvien tautien kohdalla tehdään luottamuksellisuuden osalta poikkeus.
  • Tuotevastuun ulottaminen ohjelmistoihin. Tällöin ohjelmistojen tekijöillä olisi riittävä motivaatio tehdä ohjelmistoista turvallisia.
  • Ilman tukea olevien tuotteiden lähdekoodin avaaminen. Esimerkkinä Greer antoi Windows XP-käyttöjärjestelmän tietoturvapäivitysten loppumisen. Mikäli Windows XP:n lähdekoodi avattaisiin, voisivat  Microsoftin ulkopuoliset toimijat tehdä käyttöjärjestelmälle tietoturvapäivityksiä.


Antoine Delignat-Lavaud esitteli SSL:stä löydettyjä heikkouksia, jotka liittyivät virtuaalihostingiin, jossa saman IP-osoitteen takaa palvellaan useita eri sivustoja sekä tilanteeseen, jossa selailu aloitetaan ilman salausta ja myöhemmin aloitetaan salattu SSL-yhteys. Ratkaisuina esitettyihin ongelmiin on päivitys nykyisiin protokolliin, SSL-yhteyden pakottaminen HSTS-politiikalla sekä virtuaalihostingin konfigurointi oikein.

Omasta mielestäni päivän mielenkiintoisin puhe oli Rob Raganin ja Oscar Salazarin esitys siitä, miten ilmaisista pilvipalveluista voidaan rakentaa isoja kokonaisuuksia automaation avulla (tosin tällöin rikotaan palveluiden käyttöehtoja). Ideana on rekisteröidä automaattisesti useita tilejä pilvipalveluihin ja käyttää näitä tilejä omaan tarkoitukseen. Näitä tilejä voidaan käyttää esimerkiksi tietojen tallennukseen sekä erilaisten virtuaalivaluuttojen luomiseen. Tällaisen automaation mahdollistaa se seikka, että pilvipalvelut eivät tehokkaasti estä tilien automaattista luontia, vaan varmistavat käyttäjän identiteetin vain sähköpostin avulla.

Stephen Breen ja Christophe Camenjo kävivät läpi älypuhelinten hallintaan ja tietoturvan varmistamiseen käytettävien MDM-ohjelmistojen turvallisuutta. He ovat löytäneet tuotteista useita haavoittuvuuksia ja ilmoittaneet niistä tuotteiden valmistajille. Käytännössä monissa tuotteissa on perustason puutteita, kuten salausavaimien välittäminen salaamattomana ja eri toimintojen mahdollistaminen ilman auktorisointia. Monet ohjelmistot esimerkiksi välittävät autentikointitietoja, mutta eivät kuitenkaan käytä niitä laisinkaan. Esiintyjien neuvona on, että ennen tuotteen käyttöönottoa kannattaa miettiä, tarvitaanko MDM-ohjelmistoja laisinkaan, kunnon tietoturvatestaus ennen käyttöönottoa ja säännölliset päivitykset ohjelmistoon.

Brad Antoniewicz kävi läpi 802.1x, eli porttikohtaisen autentikoinnin heikkoja kohtia. Johtavien 802.1x –tuotteiden valmistajien tuotteista ei ole aiemmin löytynyt tietoturvaheikkouksia (tai ainakaan niille ei ole annettu CVE-numeroa). Antoniewicz ihmetteli, miksi tilanne on tämä, sillä hän teki fuzz-testausta tuotteille ja havaitsi, että niissä on runsaasti haavoittuvuuksia.

Black Hatin tunnetuinta antia ovat yllä mainitut, isot luentomuotoiset esitykset. Niiden lisäksi yhtä tärkeää antia ovat pienemmät esitykset, yritysten tuote-esittelyt, murtokilpailut, hauskanpito ja kaikki muut vapaamuotoisemmat tilaisuudet.

Ei kommentteja:

Lähetä kommentti