KazHackStan 2019: хакеры бывают белыми
Центр анализа и расследования кибератак (ЦАРКА) в третий раз провел масштабную конференцию KazHackStan.
В этот раз она проходила в столице и при организационной поддержке PROFIT Events, когда первый день был посвящен вопросам регулирования отрасли и современной повестке киберугроз, а во второй день площадка стала территорией практических вопросов кибербезопасности.
Руслан Абдикаликов, зампред Комитета по информационной безопасности Министерства цифрового развития, в приветственной речи вспомнил свое знакомство с ЦАРКА: «Они взламывали сайты госорганов, постоянно находили какие-то дыры, присылали всю эту информацию, донимали нас… Не скрою, ко мне приходили люди из МВД и КНБ и предлагали закрыть ребят по статье. Но вместо этого наша страна поменяла законы. И теперь, если есть лицензия, можно заниматься такой деятельностью легально, создавая частные центры реагирования на инциденты». Г-н Абдикаликов уверен, что такие компании нужны стране, и много. А следовательно, им нужны кадры, которых рекрутируют именно на таких конференциях.
В первом же докладе сотрудник ЦАРКА Максим Ефименко подтвердил нужность «белых» хакеров. В этом году на казахстанские банки была совершена массированная фишинговая атака. В сети плодились сайты с названиями типа homeybank.com, homeebank.com, hometbank.com, kaspi-bannk.com. Максиму довольно легко удалось добраться до админ-панели этих сайтов, но с паролем оказалось сложнее. По некоторым IP и языку панели было понятно, что работают турецкие хакеры. Максим использовал брутфорс, перебрал весь турецкий словарь, но попасть внутрь не удавалось. Тогда он подменил страницу администратора, то есть сделал фишинг против фишеров. Хакеры тут же невольно сдали все логины и пароли. Пароль, кстати, оказался «1»! После этого осталось только зайти внутрь, забрать скомпрометированные данные и передать их в банки. Ложные домены еще довольно долго плодились, пока фишеры не поняли, что их раскусили. Отслеживать домены помог сервис dnspedia.com. Кажется, по этой истории стоит снять кино на «Казахфильме», тем более, что внешность Максима полностью ломает стереотипы о тщедушных хакерах в окружении оберток от шоколадных батончиков. Фильм мог бы начинаться сценой, где Максим, в определенных кругах более известный как slider, отдыхая на турецком курорте взламывает сеть гостиницы и вынуждает всех отдыхающих слушать гимн Казахстана. Абсолютно реальный случай.
Гость из Испании Леонардо Нгу Нве Егеа рассказал о подмене файла при скачивании на лету. Пользователь нажимает на реальную ссылку, а на компьютер к нему попадает уже инфицированный файл. Это возможно, если файл передается по http, причем сам сайт может быть защищен ssl. Он увидел эту уязвимость на сайте Nvidia, VLC, 7zip. Файлы могут быть любого формата, хотя с архивами злодеям придется немного помудрить.
Дмитрий Евдокимов и Алексей Коврижных из России — любители реверс-инжинирига. Когда выходит новый патч безопасности, при помощи RE можно понять, какую дыру, собственно, заделали. Но если ее залатали, то, казалось бы, какой в этом смысл? Дело в том, что те же куски кода могут использоваться разработчиком в другом месте. Кроме того, есть масса устройств, которые в силу разных причин не получают обновлений — например, те, что работают на промпредприятиях и их просто нельзя трогать. В этот раз предметом изучения стала продукция фирмы Apple. Язык Objective-C, разновидность С, отлично подходит для реверс-инжиниринга, так как на выходе в файлах содержится масса символьной информации. Так вот, с помощью этой техники удалось выяснить, что все мобильные устройства Apple, вплоть до IPhone X, включая часы и планшеты, содержат дыру в загрузчике. Причем он находится в неперезаписываемой памяти, соответственно, патчами это не лечится. Все владельцы айфонов, кажется, должны озадачиться сменой устройства.
Эрик Фильоль, прослуживший 22 года во французской армии криптоаналитиком, посоветовал использовать исключительно алгоритмы с открытым ключом. «Бэкдоры делятся на два типа. Первые — это те, которые встроены изначально, и про них мы узнаем достоверно, когда случается утечка. Так произошло в 2013, когда ушла информация о бэкдорах ЦРУ/АНБ. Вторые — это математические бэкдоры». Ими можно пользоваться, если речь идет о потоковой криптографии, прочитывая до 25% информации. Многие государства до сих пор полагаются на оборудование, шифрующее с помощью таких алгоритмов, не исключая и дипломатические ведомства. Интересен был вопрос о том, хорош ли алгоритм ГОСТ или лучше все-таки использовать AES. Эксперт сказал, что все такие алгоритмы хороши, так как они блочные. И скорее всего, во всех них есть бэкдор — вам только остается выбрать тот, который вам больше нравится.
Йогешь Ойха из Непала, живущий сейчас в Индии, любит взламывать устройства. В ходе своей презентации он походя бросил: «Поглядите видео по ссылке, я там сломал Xiaomi Band, получив к нему полный доступ. Там, например, лежали токены Facebook, можно было зайти и посмотреть переписку в мессенжере…» Он говорит, что аббревиатура IoT означает Internet of Threats. Попасть в устройство можно через UART или JTAG — служебные порты, можно перезаливать в память модифицированную прошивку и так далее.
Денис Легезо из Kaspersky рассказал о целевых атаках. Речь не о массовых заражениях, а о работе по заказу против конкретной компании. Решения могут быть очень элегантными. Например, он в своей практике встретил такой случай, когда информация передавалась через незашифрованное поле Client Hello протокола TLS. Обычно там содержится при первой передаче случайное число. Хакеры подменили все генераторы случайных чисел в компьютере. Причем большая часть числа, создаваемого такой библиотекой, так и оставалась случайным числом. Черные хакеры ничем не гнушаются, даже используют DLL от антивирусов, чтобы получить особые права в системе.
Пока шли доклады, юные и не очень хакеры пытались взломать условную атомную станцию на развернутом Киберполигоне. Для этого нужно было выполнить несколько заданий и обойти защиту. Победили два молодых человека из Костаная, один из которых даже умудрился получить рут-права. Кроме того, можно было попробовать свои силы на стенде по методам вскрытия и защиты механических замков, посетить стенд по исследованиям методов социальной инженерии и другие.
Специалист по информбезопасности, посетив KazHackStan, должен был бы сначала ужаснуться изобретательности взломщиков. Но потом вспомнить, что белые хакеры на его стороне.
Посмотреть фоторепортаж с KazHackStan 2019
Видеозапись конференции: