Konec novembra se je tako kot vsako leto na Dunaju odvijala varnostna konferenca DeepSec. Na letošnjem srečanju je bilo predstavljenih kar nekaj zanimivih varnostnih problemov.
Letos so s svojo udelezbo popestrili med drugim tudi Ivan Ristić s podjetja Qualys, Raffael Marty ustanovitelj podjetja Loggly, Mitja Kolšek z ACROS Security, Max Goncharov s podjetja TREND MICRO, Aaron Kaplan in Christian Wojner s CERT.at, neodvisni raziskovalec Fabian Mihailowitsch in Ron Bowes s SkullSecurity.org, katerih izpostavljeno problematiko varnosti in rešitve bom predstavil v tokratnem Fokusu.
V pozdravnem nagovoru je Ivan Ristić izpostavil problem varovanja povezave na relaciji brskalnik – strežnik. Pri tem je izpostavil po njegovem mnenju nujnost uvedbe SSL zaščite prenosa, ki onemogoča prisluškovanje in spreminjanje vsebine v pretoku. Predlagal je tudi validacijo ne samo vstopnih podatkov, pač pa tudi pregledovanje izstopnih podatkov, ki jih pošilja strežnik odjemalcu. V primeru, da strežnik pregleduje za škodljivo kodo, ki bi se lahko interpretirala na strani odjemalca na škodljiv način, lahko le-to izloči in onemogoči varnostni problem. Prav tako predlaga, da bi dokončno odstranili ročne zahtevke nad SQL podatkovnimi bazami, ter jih nadomestili z vnaprej pripravljenimi, ter se na tak način polotili problema podtikanja škodljivih zahtevkov v dobre SQL stavke. Več o Ivanu Rističu si lahko preberete tudi na njegovemu blogu.
Log vizualization in Cloud
Ustanovitelj podjetja Loggly Raffael Marty je predstavil svojo storitev LaaS (Logging as a Service) Loggly. Pri tem pomenu oblačne storitve gre za storitev oblačnega dnevniškega zapisovanja oziroma logiranja. Naloga administratorja pa je, da usmeri logiranje svojega strežnika na oddaljeni oblačni strežnik. Loggly kot ponudnik storitve omogoča tudi SSL zaščito vaših dnevniških podatkov, ki prepreči prisluškovanje na poti. In nenazadnje storitev Loggly nudi poleg zapisovanja tudi analizo in grafični prikaz prejetih podatkov: med drugim tudi t.i. Treemap prikaz IP naslovov, ki dopušča boljši pregled nad posameznimi skupinami IP naslovov. Z njegovo pomočjo si lahko lažje predstavljamo na primer izvor napadov na naš požarni zid. Več o razvoju nove storitve si lahko preberete tukaj.
Primer podobnih različnih vizualizacij podatkov in posledičnega boljšega razumevanja podatkov si lahko pogledate tudi v govoru Davida McCandless na TEDu.
Remote Binary Planting
Letošnjega DeepSeca se je udeležil tudi Mitja Kolšek s podjetja ACROS Security, ki je govoril o letos izpostavljeni ranljivosti oddaljenega podtikanja oziroma t.i. Remote Binary Planting. Pri binary plantingu gre za ranljivost iskanja knjižnic oziroma izvršljivih programov, kadar ni navedena absolutna pot lokacije. Problem nastane v vrstnem redu iskanja knjižnjice, saj v primeru, da pride do iskanja, sistem Windows knjižnico, potrebno za izvršitev programa, predhodno išče v trenutni delovni mapi preden pogleda za njo v mapo programa. Pri tem velja izpostaviti, da je pogosto namen vključevanja določenih knjižnic preizkušanje različice sistema. Zaradi tega pa jih na predhodnih oziroma določenih sistemih ni moč najti. Tako lahko podtaknemo našo zlonamerno knjižnico v mapo izvršitve programa in program, na primer Microsoft Word, jo bo poskusil vstaviti v svojo kodo, ki se bo izvršila.
Rešitev tega problema je zelo dolgotrajna, poleg tega pa so ranljiva že kar sama razvijalska orodja, ki nevede razvijalcu, samodejno vključijo v končno kodo knjižnice z relativno potjo, oziroma knjižnice, ki na določenih sistemih sploh niso prisotne. Na ta način postane obseg ranljivih aplikacij kar širok.
Načinov za okužbo sistema je veliko. Zlonamerno knjižnico lahko na primer podtaknemo v skupno omrežno mapo, kjer hranimo naše dokumente. Tako bo naš nič hudega sluteči sodelavec odprl naš dokument, njegov program za ogled dokumentov, pa bo nevede vključil tudi knjižnico iz trenutne mape, kjer se nahaja dokument, ter izvedel zlonamerno škodljivo kodo. ”Napadalci” pa se lahko poslužijo bolj naprednega načina preko WebDav, kjer lahko preko spleta na podoben način podtikajo škodljive knjižnice.
Podoben problem je tudi pri iskanju lupinskih ukazov, saj je tukaj uporabljen sistem iskanja, ki preferira trenutno delovno mapo.
Rešitev za razvijalce je uporaba absolutnih poti pri vključevanju knjižnjic in lupinskih ukazov, ter na tak način onemogočanje podtikanja.
Uporabniki se lahko za zaščito pred ranljivostjo Binary Plantinga zaščitijo z uporabo začasne rešitve. Velja opozoriti, da bodo verjetno pri najvišji nastavitvi prenehali zelo verjetno delovati nekateri že nameščeni programi.
Skrbnikom omrežij pa, v kolikor je mogoče, priporoča poleg blokade CIFS in SMB vrat na požarnem zidu, tudi pregled in blokado WebDav prometa, preko katerega je tudi moč izkoristiti opisano ranljivost.
Traffic Direction System and Sourcing challenges
Max Goncharov s podjetja TREND MICRO je pojasnil novejše pristope usmerjanja prometa, t.i. Traffic Direction System. Gre za spletne strani, ki na podlagi izvornega IP naslova oziroma države, jezika in brskalnika, prikažejo prilagojeno večinoma uporabniku škodljivo vsebino, oziroma ga preusmerijo na drugo prilagojeno spletno mesto. Pri tem velja omeniti, da si večina takih sistemov zapisuje IP naslove obiskovalcev, ter jim ob drugem obisku prikaže drugačno vsebino, saj že okuženega računalnika ni moč ponovno okužiti. V podjetju Trend Micro imajo za ta namen nameščenih več sistemov, razpršenih po različnih lokacijah na svetu/globi/kontinentih, ki poizkušajo z različnimi zapisi brskalnikov (t.i. user agent), priti do prikaza različne vsebine škodljivega spletnega mesta.
Malware analysis with Minibis
Sodelavca CERT.at Aaron Kaplan in Christian Wojner sta podrobno predstavila sistem za analizo škodljivih datotek. Za tiste, ki poznate online analizatorje škodljivih datotek, kot na primer Anubis, veste, da gre v tem primeru za primer offline analize datoteke. Govor je o postavitvi gostiteljskega sistema, na katerem tečejo virtualizirani podrejeni gostiteljski sistemi, v katerih se izvaja škodljiva koda. Minibis predstavlja okvir, ki omogoča avtomatizirano delovanje in uporabniku prijazen vmesnik. Tako se uporabniku ni potrebno ukvarjati s podrobnostmi, dovolj je le, da pošlje sumljivo datoteko v analizo, Minibis pa le-to prenese, izvede in prikaže interpretacijo dobljenih rezultatov.
Detection of hardware keyloggers
Fabian Mihailowitsch se je dotaknil problematike stojnih zapisovalcev tipk (t.i. keyloggers). Izpostavil je dva ponudnika, in sicer KeyGhost in KeyCarbon. Pri obeh je kot metodo ugotovitve navedel večjo zakasnitev pri spraševanju(poizvedbi) od običajne. Za to metodo so potrebne referenčne vrednosti proizvajalca posamezne tipkovnice, ki jo nato primerjajo z izmerjeno vrednostjo, in tako v primeru večjega odstopanja lahko predvidevajo, da se na povezavi med tipkovnico in našim računalnikom nahaja vmesni člen – zapisovalec. Pri USB tipkovnicah pa se lahko poslužimo tudi naprednejše metode ugotavljanja prisotnosti zapisovalca. V nekaterih primerih, se namreč ob prisotnosti zapisovalca, pojavi dodaten USB hub, ki služi kot vmesen element, v katerem je nameščen zapisovalec. Tako lahko ob prisotnosti dodatnega USB huba sklepamo na prisotnost strojnega zapisovalca. Več informacij si lahko preberete na spletni strani projekta.
Passwords in the wild
Ron Bowes s SkullSecurity.org je predstavil najbolj pogosta gesla, ki jih uporabljajo uporabniki za dostop do spletnih forumov in družabnih omrežij. Podatke je pridobil iz različnih virov, v večini pa gre za podatke gesel, ki so ušli različnim spletnim stranem, bodisi preko ranljivosti spletnega mesta, bodisi preko drugega razkritja. Nedaven primer izgubljenih gesel se je pripetil spletnemu portalu Gawker, kateremu so bila odtujena zgoščena gesla uporabnikov portala. V predstavljenih primerih je šlo za zgoščena gesla (t.i. password hash), ki jih je bilo potrebno razbiti. Za potrebe razbijanja s silo (t.i. brute force) je uporabljal kar podatke o imenih, pridobljenih s spletne strani Facebook, naslovih filmov pridobljenih iz IMDB, angleški slovar, nemški slovar, besede iz biblije, sci-fi strani ter same spletne strani, iz katerih so izvirala zgoščena gesla. Kot povzetek vsega je izpostavil, da je najpogostejše uporabljeno geslo v večini primerov kar osebno ime in dvomestna številka. V večini primerov bi lahko sklepali, da gre za ime uporabnika, ter letnico rojstva, kar tako velja za najpogostejšo in najslabšo izbiro gesla. Več o tem si lahko preberete na SkullSecurity.org wikiju, prezentacija pa je dosegljiva tukaj.
Matej Breznik