Relacja z Security BSides Warsaw 2019

Szacunkowy czas czytania: 5 minut

 

Co roku październik to miesiąc cyberbezpieczeństwa. Odbywają się wtedy konferencje i inne wydarzenia związane z tym tematem. Tak jak i przed rokiem, udałam się na konferencję Security BSides Warsaw. Relację z zeszłego roku możecie przeczytać tutaj.

W tym roku konferencja składała się z trzech dni, prelekcje trwały od 9:00 do 16:00 lub 17:00 w zależności od dnia. Mimo ogromnych chęci, nie byłam w stanie być na wszystkich prezentacjach, ale i tak wyniosłam solidną dawkę wiedzy oraz kubek 🙂

Dzień 1 – piątek

 

Piotr Głaska – Jak cyberprzestępcy wykorzystują DNS

Prezentacja tematycznie ocierała się o phishing, który jest tematem moich zainteresowań. Dowiedziałam się, że phishing SMS-owy to smishing 🙂 Prelegent mówił o tym, że złośliwe domeny zmieniają się co chwilę, by nie można było ich sprawdzić w systemie reputacyjnym.
Domeny używane do phishingu mogą wyglądać tak:

  • domeny podobne do oryginalnych (look-a-like), np. g00gle.com / appIe.com (tu wbrew pozorom, w miejscu „L” jest „I”)
  • domeny ze slashami, pauzami, np. apple.com-login…….
  • domeny homograficzne, używające podobnych znaków do łacińskich, np. z cyrylicy
  • domeny non-stop generowane wg słowników, np. słowo ze słownika 1 + słowo ze słownika 2 + .com
    (cool + look + com / cool + face + com / nice + look + com / nice + face + com…)

Innym tematem poruszonym na prelekcji były już same DNSy, np. złośliwy kod wysyłany rekordami.
Przykłady: przejęcie domeny banku na jakiś krótki czas (łatwiejsze i bardziej efektywne niż klasyczne włamanie lub podszywanie się pod bank), przekierowanie poczty do siebie.

 

Kamil Frankowicz – Trzy lata fuzzingu… I czy coś to zmieniło?

Z prelekcji dowiedziałam się, że wiedza o bezpieczeństwie wśród developerów jest głównie teoretyczna. Bezpieczeństwo zależy od technologii, niektóre są po prostu mniej podatne. Jeśli chodzi o rozwiązania open source, to około 1/4 developerów w ogóle nie bada swojego kodu (czyli „działa = jest OK”).

A co to w ogóle jest fuzzing? 
Fuzzing lub fuzz testing to zautomatyzowane wysyłanie do programu lub aplikacji losowych danych wejściowych, a następnie rejestrowanie niepożądanych wydarzeń. W ostatnich latach wzrosła zarówno świadomość w tym zakresie, jak i rozwinęły się narzędzia pomocne w fuzzingu. Mówi się także o wykorzystaniu AI w tego typu testowaniu.
Wprawdzie świadomość i zainteresowanie wzrasta, ale wiele zaczętych projektów jest potem porzucanych i nierozwijanych.

Rada od prelegenta: Testujcie swój kod i wykorzystywane biblioteki!

O fuzzingu była mowa także na konferencji Test Dive w Krakowie (22.10.2019) – Julio Cesar Fort Slaying bugs and improving software security through fuzz testing.

 

Mariusz Kapusta – Jak być PM Ninja w każdym projekcie

Ta prelekcja była dla mnie trochę zaskakująca, ponieważ była bardzo luźno powiązana z bezpieczeństwem. Mimo tego, została przyjęta całkiem nieźle. Mnie także się podobała, a zwłaszcza to, że prelegent zmusił uczestników do interakcji. W skrócie -prezentacja dotyczyła zarządzania projektami i pytań, które należy zadać przed rozpoczęciem projektu. Mariusz Kapusta jest autorem metody 12 pytań KISS PM™.

Dzień 2 – sobota

 

Wojciech Reguła – Budowanie i hakowanie nowoczesnych aplikacji iOS

Prelekcja dotyczyła bezpieczeństwa natywnych aplikacji na iOS-a. Pojawiają się wciąż nowe sposoby, by oszukać Apple.
Przykłady:

  • w złośliwym kodzie znajduje się warunek, by złośliwych działań nie pokazywać, gdy kod odpala się w Cupertino (główna siedziba Apple),
  • wirtualizacja środowisk np. iOS dla iPhone z jailbreakiem w rozwiązaniu takim jak Corellium (Corellium zostało pozwane przez Apple w sierpniu 2019, Corellium w swoich wirtualizacjach korzysta z oryginalnego oprogramowania Apple).

Problemem są błędy samych developerów, którzy zaszywają wrażliwe dane w kodzie (np. klucze SSH, API, konta testowe) lub nie korzystają z połączeń szyfrowanych HTTPS. Pojawiają się też rozwiązania kryptograficzne domowej roboty lub sposób komunikacji między aplikacjami przy wykorzystaniu schowka (!).

 

Adam Haertle – Prelegent odmówił podania tematu

Na tę prezentację czekałam chyba najbardziej. Rok temu bardzo podobała mi się prelekcja Adama, a było to case study pewnej akcji phishingowej. Tym razem temat też dotyczył phishingu i tego jak jest to zorganizowane w Polsce. Prelegent przedstawił 10 kroków, które należy podjąć, by oszukiwać („łowić”) ludzi.

Nie będę tu ich opisywać z dwóch względów: po pierwsze ktoś mógłby potraktować to jako ściągę dla nielegalnej działalności, a po drugie prelegent nie pozwalał na streaming i nagrywanie, więc chcę uszanować tę decyzję i nie przekazywać informacji dalej.

W skrócie – okradanie i oszukiwanie użytkowników internetu na fałszywe maile i SMSy wymaga dość dobrych umiejętności menedżerskich oraz szybkiego dostosowywania się do zmieniających trendów. Nawet kilka wpisów wcześniej pisałam o przykładowych próbach ataków, które przydarzyły się moim znajomym (artykuł tutaj). Pomysłowość socjotechniczna to pierwszy krok do sukcesu… A do tego trzeba dorzucić kody BLIK, Paczkomaty, zatrudnianie ludzi jako „testerów” przelewów.

 

Borys Łącki – Ataki socjotechniczne w praktyce

Prezentacja była przeglądem socjotechniki z ostatniego okresu. Socjotechnika to gra na emocjach i zaufaniu. Obecnie już prawie nikt nie nabiera się na promocje viagry czy powiększania penisa. Ostatnio najbardziej popularne są akcje związane z… byciem mądrzejszym (tzw. brain food – kup, zjedz i bądź mądry). Nie dziwię się, że nabierają się na to ludzie… niemądrzy. Prawdziwy majstersztyk 🙂

Najlepszym dniem na przeprowadzanie akcji jest poniedziałek, ponieważ ludzie się jeszcze nie obudzili po weekendowym letargu. Sukces można osiągnąć przez presję czasu, wzbudzanie strachu czy zainteresowania. Stworzyć taki mail, by odbiorca nie mógł się oprzeć przed kliknięciem w linka. Nawet taki, który jest świadomy niebezpieczeństw tego typu.

Jak już wiele razy było to podkreślane na konferencjach i prezentacjach z zakresu cyberbezpieczeństwa – testy penetracyjne oparte na socjotechnice zawsze kończą się sukcesem. W organizacji zawsze się znajdzie choćby jedno słabe ogniwo.

Problemem jest także wielokrotne używanie haseł. Rozwiązaniem jest dwuetapowe logowanie, ale z punktu widzenia organizacji musi ono zostać wprowadzone wszędzie (a nie wybiórczo), by miało sens.

Czy potrafisz odróżnić wiadomości phishingowe od prawdziwych? Prelegent poleca quizy. Polską wersję znajdziecie go tutaj. Składa się z 10 pytań. Angielską tutaj.

Dzień 3 – niedziela

 

Wiktor Szymański – Czego o hakowaniu można dowiedzieć się z polskich seriali i filmów?

Prezentacja o hakowaniu w polskich produkcjach filmowych była idealna na niedzielne przedpołudnie. Śmieszna i trochę też straszna, jak bardzo nieprofesjonalne informacje przekazywane są w filmach. Choć oczywiście były też chlubne przykłady.

Ze śmieszków:
W Brzyduli maile na ekranie były pisane w Paincie, Na Wspólnej – rozmowa video przez Media Player 🙂

Prelegent prowadzi bloga Bezpieczny Blog, który jest przeznaczony dla osób nietechnicznych. Czasem tam zaglądam.

Nie będę tutaj opisywać prezentacji Wiktora, wszystko, wraz z urywkami filmów, znajdziecie na Bezpiecznym Blogu.

 

Adam Lange – Cyberhydraulik w akcji – czyli skąd i jak cieknie!

Prelegent przedstawił w skrócie skąd i jak mogą wyciekać dane. Odpowiedzialna za to jest: głupota, zaniedbania, włamania, celowe działania.
Zaniedbania czy głupota mogą doprowadzić do tego, że wcale nie trzeba będzie się włamywać do systemu, by uzyskać pożądane informacje. Jednym z przykładów były zdjęcia z uploadów testowych, z których można było wydedukować pewne nieujawnione fakty (dotyczy zwłaszcza nowych modeli sprzętu lub nowych wersji/funkcjonalności oprogramowania).

 


Niektórzy prelegenci zamieścili materiały z prezentacji. Można je ściągnąć na stronie BSides.

Za rok też chętnie zjawię się na BSides Warsaw. Na konferencji wciąż bywa mało dziewczyn i kobiet. Może się to zmieni w najbliższych latach?