Ads 468x60px

perjantai 8. elokuuta 2014

Black Hat USA - viimeinen päivä

Black Hat -konferenssi on nyt takana ja kyllä pitää todeta, että aika paljon jää näkemättä kun yhtä aikaa on käynnissä monta mielenkiintoista puhetta. Tässä kuitenkin tiivistelmä niistä puheista, joita kävin itse kuuntelemassa.

Toinen päivä alkoi osaltani Ross Andersonin puheella Chip and PIN -pankkikorttien turvallisuuden analyysillä. Anderson toi vahvasti esille sen, miten vaikea on tehdä globaalia järjestelyä ja miten vastuun siirtyminen pois pankeilta kuluttajille ja kaupoille vähentää pankkien motivaatiota tehdä järjestelmästä turvallisempi. Lisäksi hän esitteli useita eri tapoja murtaa järjestelmä esimerkiksi jo aiemmin julkaistulla menetelmällä.

Daniel Brodie ja Michael Shaulov esittivät tapoja, joilla voidaan hyökätä mobiililaitteissa käytettyjä VDI-ratkaisuja vastaan. Hyökkäykset kohdistuivat pääasiassa tapoihin, joissa laitteelle täytyy ujuttaa hyökkääjän koodia, jota siinä ajetaan. Sen jälkeen pääsyä VDI:n kautta käytettäviin järjestelmiin saadaan esimerkiksi keyloggerilla, ajamalla laitteella debuggeria ja sitä kautta hakemalla käyttäjätunnuksia, kopioimalla tietoja leikepöydän kautta tai tallentamalla ruutukaappaus. Huolimatta esitetyistä haavoittuvuuksista, Brodie ja Shaulov kuitenkin korostivat sitä, että VDI-ratkaisut ovat hyödyllisiä turvamekanismeja ja mahdollistavia teknologioita, mutta tietoturvan varmistaminen vaatii erilaisia mekanismeja kuten hyökkäyspinta-alan vähentäminen ja monitorointi.

Brian Gorenc ja Jasiel Spelman kävivät läpi erilaisia tapoja ajaa sovelluksia rajoitetussa hiekkalaatikkoympäristössä ja yleisiä tapoja kiertää hiekkalaatikkoteknologioita, mutta pääpaino oli epätyypillisissä tavoissa kiertää rajoituksia. Näissä haavoittuvuuksissa hyödynnettiin ongelmia MS Explorerin tallennusikkunassa, Cromen leikepöydän käsittelyssä sekä Internet Explorerin ja Cromen linkkien käsittelyssä. Esityksessä ratkaisuksi esitettiin mm. hiekkalaatikkoympäristössä mahdollistettujen rajapintojen vähentämistä sekä yleistä hyvien käytäntöjen käyttämistä sovelluskehityksessä.

Ruben Santamarta kävi läpi ongelmia, joita on satelliittikommunikaatiolaitteissa, joita käytetään muun muassa lentokoneissa sekä laivoissa. Tyypillisiä havaittuja ongelmia ovat kaikille melko tutut kovakoodatut salasanat, valmistajan tekemät takaovet, turvattomat protokollat sekä dokumentoimattomat protokollat. Näiden ongelmien kanssa saadaan ilmeisesti elää vielä pitkään, sillä esiintyjän saama palaute tuotteiden valmistajilta on ollut hyvin yhtenäinen viesti siitä, että ongelmat eivät ole olennaisia ja niitä ei korjata.

Päivän päätti Ivan Novikovin esitys injektiohaavoittuvuuksista memcached-järjestelmissä. Injektioissa ideana on, että käyttäjän syöte esim. verkkosivulta syötetään suoraan tietokantakyselyyn tai ainakaan sitä ei sanitoida riittävällä tavalla. Halutun tiedon lisäksi käyttäjän syötteessä voi olla pahantahtoista tietoa, jonka ideana on jollakin tavalla keskeyttää normaali tietokantakysely ja ajaa hyökkääjän haluama uusi tietokantakysely. Tärkeänä muistutuksena esityksestä on se, että ulkopuolelta saatavaan syötteeseen ei ikinä voi luottaa, vaan sen oikeellisuus tulee tarkastaa.

Tässä kaikki tämän vuoden Black Hatista. Konferenssin puheiden teemat painottuivat selvästi mobiililaitteiden ja sulautettujen järjestelmien turvallisuuteen, joten jatkossa saamme varmasti viettää runsaasti aikaa niiden turvallisuuden parantamiseksi.

Ei kommentteja:

Lähetä kommentti