Rapport från fronten


2016-08-29, 11:36 Publicerat av: Alexander Hvidt-Andersén & Janne Haldesten

Sammanfattning av Blackhat USA 2016 och DEFCON 24

Så var det dags igen för årets Blackhat- och DEFCON-konferenser. På plats i Las Vegas, Nevada var vi, Alexander Hvidt-Andersén och Janne Haldesten, från Cybercom som under några dagar tog del av det senaste inom sårbarhetstrender och säkerhetsforskning.

Med tanke på den 40-gradiga värmen, var vi nordbor tacksamma för att konferenserna gick av stapeln i väl luftkonditionerade utrymmen.

Först ut av konferenserna är Blackhat på Mandalay Bay där vi spenderade mycket tid att tala med personer från diverse företag - framförallt för att få reda på vad som är mest efterfrågat just nu och vad olika leverantörer har för lösningar för att adressera aktuella säkerhetsproblemen.

Ett intressant och givande möte var med Cyber Security Forum Initiative, CSFI:s grundare, Paul de Souza (till vänster).

Vi hann även med att ta del utav sponsrade föredrag och paneldiskussioner.
Flertalet företag har jobbat på att presentera stora datamängder på ett överskådligt sätt liksom att smidigt kunna utföra arbete med dessa datasets - detta var alltså produkter som ska hjälpa vid exempelvis nätverkstrafikanalys för incidenthanteringsteam (s.k. Blue Teams). Men det fanns även för de som önskar att jaga skurkar.

Företaget Sqrrl låter säkerhetsanalytiker (utöver Incident Response) även att jaga, bryta upp samt analysera hot. Som en extra bonus går det även att arbeta med User Behavior i plattformen.

Cisco Talos var där och körde flera korta mini-föreläsningar. Vi satt in på en som handlade om Bitcoins och hur Talos arbetar för att spåra kriminella som använder sig utav valutan. Detta var mycket intressant, framförallt då föreläsaren bad om att folk ska börja delge sig utav sin data/intel med enda syfte att jobba för en säkrare värld. Mycket bra initiativ som vi hoppas att det kommer att leda till mer informationsspridning och därmed fler skurkar som får skaka galler.

A.I var två ord som förekom ofta. Många talade om att ”den” ska arbeta preventivt och lära sig hur attacker ska stoppas. Detta kallas för ”Next-Generation Antivirus” eller Advanced Threat Protection for the Endpoint. Genom allt detta ska alltså kund vara skyddad mot sk zero-days. Cylance (som är en utav de företag som stoltserar med detta) personalen sprang själva omkring med t-shirts där det stort stog på ryggen ”TRUST NO VENDOR”. Så frågan är hur effektivt det egentligen är :). Det kördes även en tävling på DEFCON där endast maskiner fick tävla om att identifiera sårbarheter och skydda klienter mot de andra deltagarna.

Fysisk säkerhet kom upp i en föreläsning om effektiviteten av att lämna infekterade USB Flashdrives nära eller i företagslokaler. Det var förvånande att höra resultaten då de hade en tämligen hög procent hit

chance. Vi hade tippat på att detta var lite av en urban legend att det gick såpass bra och det var kul att bli motbevisad. Dock så är det väl tråkigt på sitt sätt att det går bra att göra på detta viset. Så ha det i åtanke nästa gång du hittar en övergiven sticka.

Natalie Silvanovich från Google Project Zero hade en mycket intressant och väldigt teknisk föreläsning om sina äventyr i Adobe Flash. Hon presenterade, i korta drag, forskning om säkerheten i Flash. Den baserades mestadels på det hon själv hittat men även buggar från andra källor, exempelvis Hacking Team och Kaspersky. Hon har gått från att hittat 1 allvarlig bugg per dag till (ungefär) 1 per vecka. Något som gör att framtiden för Flash ser ljus ut (nåja, någorlunda ljus). Enligt hennes beräkningar kan vi se fram emot att ha ett säkert Adobe Flash år 2020. En väldigt imponerande exploit av en bugg i Flash hoppade igenom drygt 100 nästlade if-statements för att uppnå kod-exekvering. Som Natalie sa: ”någon ville verkligen att detta skulle funka”. Hon spår att nästa stora attackvektor kommer att bli webbläsaren och ska därför börja arbeta med det härnäst.

Till skillnad från Blackhat, som är mer kommersiellt, är DEFCON-konferensen mer riktad mot det egentliga hackarcommunityt där erfarenheter utbyts och nya bekantskaper ser dagens ljus (eller i allla fall ljuset från skärmarna i mörka källarlokaler). I likhet med Blackhat har även denna konferens har många intressanta dragningar (4 tracks i år) där man inte hinner gå på alla då de löper parallellt, utan där man väljer ut de mest intressanta.

En föreläsning handlade t ex om kritiska sårbarheter i flygplans radar och Traffic Collision Avoidance System (TCAS) blev inställt utan någon förklaring. Ett rykte sa att föreläsaren Sebastian Westerhold fick ett cease-and-desist brev av den Amerikanska myndigheten. Om detta är sant eller inte är ej bekräftat.

Lucas Lundgren levererade ett fantastiskt bra och skrämmande föreläsning om IoT protokollet MQTT och hur det är sårbart. Det visar sig att de flesta uppkopplade servrar som kör denna tjänst ej har säkrat det (~70.000 unika hits). Detta innebär att vem som helst kan manipulera saker som flygplan, bilar, jordbävningsalarmsystem, ATM’s, fängelsedörrar, chattprogram, fitness devices mm. Han sa även att han snubblat över ett system där en regering verkade spåra privatpersoner men ville ej gå in på detaljer om det hela. 40 minuter efter denna föreläsning rapporterade BBC felaktigt att Japan haft en jordbävning som nått upp till 9.1 på richterskalan. Läskigt!

Med tanke på vilka personer som åker iväg på dessa konferenser, betraktas Las Vegas under dessa dagar som världens mest fientliga nätverksmiljö av given god anledning. Under vår vistelse där lyckades betalsystemet bli angripet liksom att FBI grep tre personer som använde IMSI-catchers på området, dvs. falska basstationer.

Fyllda av nya tankar, uppslag och erfarenheter var det så dags att bege sig hem till Göteborg och förmedla kunskaper och insikter liksom att jobba på skydden.

Avslutningsvis måste vi också rekommendera våra egna nationella konferenser, SEC-T i Stockholm och SecurityFest i Göteborg. De må vara mindre, men håller väldigt hög kvalitet med många bra talare.

Vid pennan,
Alex och Janne


comments powered by Disqus