Меню
Купить билет

Основной трек

Добро пожаловать на физический уровень

Докладчик: Михаэль Оссманн

Я приглашаю Вас отправиться вместе со мной в путешествие по нехоженным тропам. Мы пройдем через тернии абстракций и инкапсуляций, по дорожкам, заросшим неясностью и незнанием, и в итоге достигнем точки, в которой все наши теории и гипотезы найдут свое подтверждение. Вы станете свидетелями чудес, ранее виденных лишь отважными первооткрывателями таких методов, как Packet-In-Packet и Rowhammer. В дебрях физического уровня мы отыщем давно проторенные дорожки и вновь пройдем по ним, уходя все глубже в густые джунгли уязвимостей, выросшие рядом с абсолютно исследованными областями. Физический уровень, который наиболее прост, но часто недооценен, и с которого, собственно, все и начинается, открывает новые возможности.

17 ноября 11:30 — 12:20. Зал «Track 1»

Инструмент DPTrace – двойное назначение трассировки для анализа потенциальных уязвимостей

Докладчики: Родриго Рубира Бранко и Рохит Мот

В этом исследовании рассматриваются возможности практической эксплуатации программных уязвимостей с помощью анализа сбоев. Задача состояла не в том, чтобы автоматически генерировать эксплойты или полностью автоматизировать процесс анализа сбоев, а в том, чтобы создать целостный подход с обратной связью, который помогает исследователю определять возможности эксплуатации программного сбоя (или ошибки), а также степень его воздействия. В результате, была получена система полуавтоматического анализа сбоев, которая позволяет ускорить работу разработчика эксплойтов.
Фаззинг, действенный метод для раскрытия уязвимостей, продолжает набирать популярность среди различных специалистов в области безопасности — начиная от разработчиков и заканчивая охотниками за багами. Фреймворки для фаззинга становятся все совершеннее (и умнее), а это значит, что группам по безопасности продуктов и эксплойт-аналитикам все сложнее обрабатывать нескончаемый поток отчетов сторонних исследователей об ошибках и сбоях систем. С новыми трудностями сталкиваются и разработчики эксплойтов: у них все меньше времени, чтобы проанализировать обнаруженную потенциальную проблему и написать рабочий эксплойт. Всему виной — высокоразвитые современные механизмы защиты, bug bounty программы и большие затраты на устранение уязвимостей.
Поэтому современные инструменты и методики анализа программных сбоев нужно совершенствовать. И наша разработка позволяет гораздо быстрее справляться с большинством таких сбоев. Мы рассматриваем современные проблемы и взгляды на анализ сбоев и представляем наш подход, который по сути является совокупностью систем прямого и обратного распространения помеченных данных (backward and forward taint propagation systems). Идея заключается в том, чтобы совместить эти два подхода и интегрировать их в одну систему, которая в момент сбоя находит зоны входа данных, влияющие на его появление, и анализирует потенциальные возможности для исполнения кода.
Мы рассматриваем концепции и внедрение двух разработанных нами функциональных инструментов (один из них ранее был опубликован), а затем говорим о преимуществах их интеграции. Наконец, мы демонстрируем работу интегрированного инструмента DPTrace с открытыми уязвимостями (бывшие уязвимости нулевого дня), включая те, что мы сами обнаружили, проанализировали и отразили в отчетах. DPTrace будет выпущен в качестве ПО с открытым исходным кодом на Def Con.

18 ноября 17:00 — 17:50. Зал «Track 1»

Hadoop сафари — охота за уязвимостями

Докладчики: Томас Дебиз и Махди Брайк

Так называемые «Большие данные» («Big Data») — одна из самых популярных областей в IT на данный момент в связи с потребностью в объемном анализе постоянно растущего трафика. Многие компании сейчас работают в этом направлении, разворачивая кластеры на Hadoop — самом популярном, на сегодняшней день, фреймворке для работы с Большими данными. В самом начале, как и все новые домены в информатике, Hadoop (в конфигурации по умолчанию) не обладал никакой защитой. В течение прошлого года мы погружались в Hadoop, чтобы разобраться в его структуре и безопасности. В докладе мы задались целью доступно рассказать о проблемах или даже «концепциях» безопасности Hadoop, а также показать множество различных векторов атак на кластер. Под векторами мы понимаем практическую реализацию атак, то, как именно получить доступ к заветному хранилищу Data Lake после подключения своего лэптопа к целевой сети. Более того, вы узнаете, как была разработана модель (не)безопасности Hadoop, и какие механизмы защиты были внедрены в ключевые сервисы. Плюс ко всему, вы познакомитесь с инструментами, техниками и процедурами, которые мы создали и консолидировали, чтобы вы могли добраться до так называемого «нового черного золота» — данных. Различные примеры прольют свет на то, как легко применять эти инструменты и методы, чтобы получить доступ к данным, а также удаленный системный доступ к элементам кластера. Вы поймете, что, поскольку Hadoop — это совокупность множества сервисов и проектов, патч-менеджмент в этой области зачастую очень сложен, а уязвимости нередко остаются активными некоторое время после обнаружения.

17 ноября 17:00 — 17:50. Зал «Track 2»

Я знаю адрес твоей страницы: дерандомизация адресного пространства ядра последней версии Windows 10

Докладчик: Энрике Ниссим

Последняя версия Windows 10 (Anniversary Update) снова подняла планку успешной эксплуатации уязвимости в ядре. Компания Microsoft сделала шаг вперед, когда остановила утечку объектов GDI в ядре, которая широко применялась после печально известного эксплойта группы хакеров. Также, с появлением рандомизации страничной организации памяти, система использует ASLR в режиме ядра (KASLR), что требует утечки памяти для получения контроля над RIP с помощью метода ROP или DKOM. В этой презентации представлена атака под названием DrK, «De-randomizing Kernel Address Space» (Де-рандомизация адресного пространства ядра), которая была представлена на конференции Blackhat 2016 и применима к рандомизации структуры PML4. Совмещая инструкции TSX и несколько трюков, возможно определить точное размещение «PML4 SelfRef Entry». После этого все известные атаки на страничную организацию памяти можно проводить так, как если бы KASLR и вовсе не существовал.

18 ноября 12:00 — 12:50. Зал «Track 1»

О мышах и клавиатурах: на страже безопасности современных беспроводных устройств ввода

Докладчики: Маттиас Диг и Герхард Клостермайер

Беспроводные устройства ввода за последние пару лет стали очень популярными. С точки зрения атакующего, эти беспроводные девайсы представляют собой привлекательную мишень, которая позволяет взять контроль над системой компьютера и получить такие особо важные данные, как пароли. Мы представим результаты нашего исследования и продемонстрируем способы атак на беспроводные устройства ввода на примере эксплуатации различных уязвимостей.

17 ноября 13:30 — 14:20. Зал «Track 2»

«FIRST»: новый взгляд на реверс-инжиниринг

Докладчик: Ангель Вильегас

Реверс-инженер затрачивает приличное время, чтобы определить, является файл вредоносным или нет. При использовании дизассемблеров, например, IDA Pro, реверс-инженер может анализировать одинаковые процессы на нескольких файлах в течении их жизненного цикла. Неважно, используются ли статические библиотеки, повторное исполнение кода тормозит процесс реверса. В этой презентации будет представлен новый инструмент для реверс-инжиниринга FIRST — Function Identification and Recovery Signature Tool (Инструмент для функциональной идентификации и восстановления сигнатур) — решение для получения сведений об аналогичных функциях, что позволяет сократить время анализа и обеспечить обмен информацией.

18 ноября 13:00 — 13:50. Зал «Track 2»

Падение системы CICS: в мир транзакций через взлом

Докладчик: Аюб Эль Ассал

CICS (Customer Information Control System) — это самая широко распространенная система обработки транзакций в мире, через которую ежедневно проходит более чем 20 миллиардов транзакций. В основном, она развернута на системах IBM z/OS. На самом деле, с большой вероятностью можно предположить, что, когда человек снимает деньги со счета, на каком-то из этапов операции в ход идут CICS-приложения. Это относится и к разным банковским операциям, включая создание счета, управление возвратами, уплату налогов и т.д. В докладе будут развеяны мифы вокруг этой важной системы, также спикер объяснит принцип ее работы, и уделит самое пристальное внимание тому, как злоупотреблять некоторыми ее функциями, чтобы безнаказанно читать и редактировать бизнес-файлы, получать доступ к другим приложениям, удаленно исполнять код без аутентификации. В ходе доклада будет представлен инструмент Cicspwn, созданный в помощь специалистам по тестированию на проникновение для проверки безопасности системы CICS и эксплуатации ее ключевых уязвимостей.

18 ноября 11:00 — 11:50. Зал «Track 2»

Разбираемся в режиме восстановления OS и процессе ее локального обновления на компьютерах Mac

Докладчик: Патрик Уордл

Мы поговорим о скрытой OS в режиме восстановления и посмотрим, как можно повредить ее в виртуальной среде, чтобы вредоносный код смог пережить полное восстановление OS X и обойти SIP. Затем рассмотрим, как OS X обновляет систему с учетом того, что этот процесс может быть поврежден локально даже на аутентичном железе. В этом докладе также затронем различные новые стратегии заражения OS X и некоторые общие методологии укрепления защиты OS X, способные предотвратить такие атаки или хотя бы усложнить их проведение.

18 ноября 18:00 — 18:50. Зал «Track 1»

Проект Excite: вся правда о символьном исполнении для защиты BIOS

Докладчики: Илья Сафонов и Александр Матросов

Мы работаем над проектом Excite, который предназначен для автоматизированного поиска уязвимостей в UEFI BIOS, включая такой известный класс уязвимостей, как SMM call-out. Инструментарий Excite на данный момент применим только к обработчикам прерываний, которые работают с переменными SMM, но работа над проектом продолжается, наша цель распространить данный подход на другие части BIOS. Мы рассмотрим ограничения и проблемы, возникающие при использовании символьного исполнения для работы с BIOS. Также мы обсудим смешанный подход к созданию тестов, в котором к результатам символьного исполнения добавлена щепотка фаззинга, чтобы была возможность копнуть поглубже при поиске уязвимостей. В проекте используется open-source пакет S2E (Selective Symbolic Execution) для автоматической генерации тестов с помощью символьного исполнения и виртуальная платформа Simics от Intel для исполнения тестов с детектированием обращений к памяти за пределами допустимых диапазонов адресов. Все инструменты и подходы в этом докладе рассматриваются в рамках реальных уязвимостей, которые были обнаружены с их помощью.

17 ноября 13:30 — 14:20. Зал «Track 1»

На страже руткитов: Intel BootGuard

Докладчик: Александр Ермолов

Intel BootGuard – новая технология аппаратной защиты BIOS от модификаций, которую вендор компьютерной системы может перманентно включить на этапе производства. В докладе будет подробно рассказано о самой технологии, о связанных и не связанных с ней недокументированных подсистемах (Intel ME, загрузочный код внутри CPU и не только). А также слушатели узнают о том, как годами клонируемая ошибка на производстве нескольких вендоров позволяет потенциальному злоумышленнику воспользоваться этой технологией для создания в системе неудаляемого (даже программатором) скрытого руткита.

17 ноября 16:00 — 16:50. Зал «Track 1»

JETPLOW мертв, да здравствует JETPLOW!

Докладчики: Роман Бажин и Максим Малютин

В докладе будут рассмотрены варианты реализации буткитов, позволяющих контролировать и влиять на весь процесс работы программного обеспечения сетевого оборудования компании Cisco. Результаты исследования показали, что ситуация с безопасностью данного оборудования выглядит печально. Тесты, проведенные специалистами, показали, что существует возможность внедрения произвольного вредоносного кода в самые ранние этапы загрузки платформы. В рамках доклада будут представлены варианты реализации от внедрения до запуска полезной нагрузки для ASA 5525-X и Catalyst 3850.

17 ноября 17:00 — 17:50. Зал «Track 1»

Наносим удар по управлению пином в программируемых логических контроллерах

Докладчики: Али Аббаси и Маджид Хашеми

Встраиваемые системы взаимодействуют с внешним миром и управляют им посредством механизмов ввода/вывода (I/O). Ввод/вывод встраиваемых систем должен быть особенно надежным и безопасным в случае систем, предназначенных для выполнения критически важных задач. Ввод/вывод встраиваемой системы управляется посредством пинов. В этом докладе мы исследуем вопросы безопасности управления пином встраиваемых систем. В частности, мы демонстрируем, как взломщик может скомпрометировать целостность и доступность ввода/вывода встраиваемой системы путем использования определенных операций управления пином и отсутствием связанных с ними аппаратных прерываний.

18 ноября 16:00 — 16:50. Зал «Track 1»

Руткиты в прошивках UEFI: мифы и реальность

Докладчики: Александр Матросов и Евгений Родионов

В последнее время тема безопасности прошивок UEFI крайне актуальна. За последние годы вышло множество публикаций, обсуждающих уязвимости, обнаруженные в UEFI. Такие уязвимости позволяют злоумышленнику поставить скомпрометировать систему на одном из самых привилегированных уровней и получить полный контроль над системой жертвы. В этом докладе авторы рассмотрят наиболее актуальные виды атак на прошивки UEFI с практической точки и проанализируют применимость описанных атак к реальным сценариям: можно ли с легкостью использовать такие уязвимости в реальных руткитах (ОС-> SMM-> SPI Flash)?
В первой части доклада авторы детально рассмотрят различные типы уязвимостей и атак на прошивки UEFI, обобщая и систематизируя известные атаки: нацелена ли уязвимость на какого-то конкретного разработчика прошивки, необходим ли злоумышленнику физический доступ к платформе жертвы и подобные темы. Такая классификация полезна для понимания возможностей злоумышленника. Авторы также рассмотрят атаки, чтобы понять, могут ли они быть реализованы в реальных руткитах или же возможности атакующего весьма ограничены и вектор атаки не выходит за рамки экспериментальной концепции. Во второй части доклада авторы рассмотрят технологии защиты и способы снижения серьезности некоторых атак. В современных платформах на базе Intel реализованы различные методы и технологии по предотвращению атак прошивки и самого процесса загрузки.

17 ноября 12:30 — 13:20. Зал «Track 1»

Hacking ElasticSearch

Докладчик: Иван Новиков

В докладе пойдёт речь о популярной системе индексации данных и поиска ElasticSearch. Будут рассмотрены вопросы безопасности всего технологического стека, необходимого для внедрения данной технологии в современные веб-приложения:
• Классы-обёртки (т.н. «драйверы») для популярных платформ (php, nodejs, Java, python).
• Протокол программного взаимодействия (API) ElasticSearch.
• Встроенный интерпретатор.
• Взаимодействие сервиса с файловой системой.
Будет дана ретроспектива всех обнаруженных уязвимостей и сделаны предположения о будущих возможных проблемах. В докладе представлены новые уязвимости и практические методы их эксплуатации. Также приведены примеры наиболее частых ошибок, допущенных при внедрении этой технологии, на основе проведённых аудитов безопасности веб-приложений.

17 ноября 16:00 — 16:50. Зал «Track 2»

Критический анализ сложных атак с повторным использованием кода с помощью ROPMEMU

Докладчик: Мариано Грациано

Атаки с повторным использованием кода, основанные на концепции возвратно-ориентированного программирования (ROP), с каждым годом набирают все большую популярность. Изначально применяемые в качестве способа обойти защиту операционных систем от внедряемого кода, сейчас такие атаки используются как метод сокрытия вредоносного кода от систем обнаружения и анализа. Это означает, что если раньше ROP цепочки были короткими и простыми (и, следовательно, не требовали какого-либо специального инструмента для анализа), то сейчас мы все чаще сталкиваемся с очень сложными алгоритмами (например, полным руткитом), полностью реализованными в виде последовательности ROP механизмов. К сожалению, все доступные на сегодняшний день инструменты создавались для противодействия атакам на основе внедрения кода. Это означает, что сейчас не существует инструментов для анализа данных, сгенерированных с применением концепции повторного использования кода. Именно поэтому я предложил ROPMEMU, которая представляет собой комплексную систему из множества различных техник анализа ROP цепочек и восстановления их эквивалентного кода в форме, которая может быть проанализирована традиционными средствами обратного проектирования.

18 ноября 12:00 — 12:50. Зал «Track 2»

Составляющие шлюза Tesla Motors

Докладчики: Сен Не и Лин Лю

Автомобильный шлюз представляет собой микроконтроллер, который управляет обменом данными между различными каналами CAN. В автомобиле Tesla он также является связующим звеном между Ethernet и CANBus для передачи/фильтрации сообщений, передаваемых из системы Infotainment во внутреннюю сеть CANBus. В настоящее время шлюзы играют важную роль в работе внутренних сетей транспортных средств, особенно если автомобиль подключен к Интернету (так называемые автомобили с сетевыми возможностями). В докладе специалисты опишут процесс проектирования и внедрения автомобильных шлюзов, а также раскроют секреты функционирования шлюза в автомобиле Tesla. В частности, они расскажут о том, как восстановить исходный код прошивок шлюза, как шлюз управляет сервисами: оболочкой, файловой системой, сетью, регистрацией и т.д.

17 ноября 18:00 — 19:00. Зал «Track 1»

Advanced Web Application Fuzzing

Докладчик: Михаил Степанкин

В докладе речь пойдет про методы фаззинга веб-приложений для поиска сложных инъекций (не только SQL). Автоматические сканеры веб-приложений часто проводят только базовые проверки на уязвимости, при этом достаточно просто блокируются при помощи WAF. Ручной анализ в тоже время не покрывает все возможные случаи. Автором был разработан собственный инструмент для фаззинга веб-приложений, который сочетает в себе автоматический и ручной анализ с целью поиска сложных инъекций. Также в докладе будет рассказано об уязвимостях в серверах PayPal и Yahoo, которые были найдены автором с помощью представленного инструментария.

17 ноября 18:00 — 19:00. Зал «Track 2»

Как обмануть АЦП, ч.3 или инструментарий для атак на устройства преобразования аналоговых данных в цифровые

Докладчик: Александр Большев

Мы привыкли работать с цифровыми системами, но мир вокруг нас — аналоговый. Для того, чтобы как-то повлиять на него или наоборот, получить информацию о нем, в цифровых устройствах используются механизмы преобразования данных (в самом простейшем случае — АЦП (аналого-цифровой преобразователь)). Аналоговые сигналы с определенными характеристиками могут быть по-разному интерпретированы различными АЦП, даже если они подключены к одной и той же линии. Это может привести к «ложному восприятию» состояния системы управления каким-либо процессом или неправильным данным на выходе сенсора, что в свою очередь, тоже окажет воздействие на процесс. В этом докладе мы рассмотрим различные инструменты и способы влияния на преобразования из аналоговых данных в цифровые, которые позволят нам проводить атаки на АСУ ТП, встраиваемые и другие системах.

18 ноября 17:00 — 17:50. Зал «Track 2»

Истории из жизни о взломе low-cost телефонов

Докладчик: Алексей Россовский

Докладов про взлом топовых моделей телефонов достаточно много. А вот телефоны из более низкой ценовой категории незаслуженно обделены вниманием. Хотя они также продаются и используются на рынке. В рамках данного доклада я хотел бы рассказать ряд случаев когда было анлокнуть или пропатчить телефон из бюджетной ценовой категории. Я затрону такие темы как: мобильный чипсет Intel XMM, бажные AT команды, эксплуатация OTA с помощью MITM, перепрошивка Qualcomm-based устройств, эксплотация на ARM устройствах, получения рута с включенным SELinux и многое другое.

18 ноября 18:00 — 18:50. Зал «Track 2»

Cisco Smart Install. Возможности для пентестера

Докладчики: Александр Евстигнеев и Дмитрий Кузнецов

В докладе рассматривается ранее не опубликованные ошибки в Cisco Smart Install, позволяющие, в совокупности, получить контроль над коммутаторами Cisco, которые поддерживают функции Smart Install.

18 ноября 16:00 — 16:50. Зал «Track 2»

Подход к разработке LPE эксплоитов на Windows 10 с учетом последних обновлений защиты

Докладчики: Юрий Дроздов и Людмила Дроздова

В докладе рассказывается о трудностях написания LPE эксплоитов на Windows 10 и методах их преодоления. Акцент будет сделан на новый способ управления хендлами gdi объектов (в последнем обновлении Windows 10), как это повлияло на процесс эксплуатации. Кратко будут рассмотрены и другие особенности Windows 10, влияющие на процесс эксплуатации.

18 ноября 13:00 — 13:50. Зал «Track 1»

Взлом криптографии для чайников

Докладчик: Никита Абдуллин

Можно ли взломать криптосистему, не будучи криптографом? Ответ — да. В докладе мы поговорим о новых приложениях атак на программные реализации криптографической функциональности в ПО, не требующих научной подготовки и основанных на давно известных атаках на криптографию «в железе». Мы увидим, как можно атаковать практически любую программную криптозащиту, включая white-box криптографию, невзирая на обфускацию кода, и с минимальным использовнием реверс-инжиниринга, используя готовые инструменты, как коммерческие, так и свободные.

17 ноября 12:30 — 13:20. Зал «Track 2»

Беззащитность: подавление систем безопасности

Докладчики: Джеффри Тан и Александр Матросов

Перехваты в пользовательском режиме не просто остались в прошлом, а даже считаются опасными из-за конфликтов с механизмами защиты на уровне ОС, такими как, например, Control Flow Guard (CFG). В докладе «Капитан Крюк», прозвучавший на конференции BlackHat US 2016, был обозначен целый ряд серьезных проблем безопасности в методах перехватов антивирусных систем. Мы поставим точку в этой теме и покажем, насколько это просто  обходить перехваты в пользовательском режиме. Мы продемонстрируем универсальный метод обхода перехватов в пользовательском режиме, который может быть включен в любой двоичный код для подавления функций мониторинга кода и выполнения эвристического анализа систем безопасности. Готовый инструмент и его исходный код будут выложены на GitHub по окончании доклада.

18 ноября 11:00 — 11:50. Зал «Track 1»