суббота, 2 июня 2012 г.

PHDays. Write-up.


Раз я веду блог, то глупо было бы не написать о своих впечатлениях, о таком громком мероприятии как PHDays.

До…

Событие обещало быть легендарным. В прошлом году именно PHDays сделало первый шаг в сторону «техники» и «хака». Это был смелый шаг и он удался. В этом году обещали уже и западных докладчиков с интересными темами, и целых два дня угара. По взрослому уже. Что же, любой человек, который, так или иначе, увлекается темой ИБ просто обязан был попытаться попасть туда. Мои коллеги  (Саша Поляков aka @sh2kerr, Дмитрий Евдокимов aka @evdokimovds и Саша Миноженко aka @al3xmin) уже были в программе как докладчики или как участники CTF. А мне пришлось в последний момент готовить (опять же с Сашей Миноженко) доклад про взлом VMware. И, о счастье. Нашлось меcто в секции FastTrack. Так что один из вариантов попасть на событие – быть прямым учаником, докладчиком или пройти отборные в CTF. Второй вариант – быть приглашенным. Как я понял, эта группа друзей и клиентов компании-организатора. Поэтому вдвойне приятно, что они пригласили и наших коллег и всех тех, кто занимается ИБ. На мероприятии я увидел почти всех знакомых мне деятелей ИБ! А это очень важный момент на таких мероприятиях 8) Более того, я познакомился с теми, кого знал например только по Твиттеру или блогам. Это огромный плюс организатору, ведь коммунити такой любви и внимания не забудет ;) К сожалению надо признать, что всем остальным. Кому не посчастливилось быть либо непосредственным участником программы либо приглашенным приходилось надеется на открытию регистрацию с оставшимися местами. Это самый неприятный момент всего PHDays, но оргов понять можно – зал не резиновый, а вход бесплатный. Поэтому  раздача оставшихся мест напоминало выходку Дурова в день города. Говорят даже получался эффект недоступности сервиса из-за наплыва желающих. В итоге за 8 минут все места были разобраны. Но надо сказать, что организаторы сделали еще доп. регистрацию, так что, надеюсь, обиженных не оказалось. Кроме того, если очень захотеть, то найти путь «проникновения» на конференцию не так уж сложно. Например, я в первый день потерял совой бейдж и спокойно ходил без него. Охранник подошел всего один раз, но мер не предпринял (достаточно добрый и приятный человек).

Во-время…

Место было выбрано удачно – центр города, рядом метро. Помещение хорошее, залы хорошие, экраны… ну вообщем то же хорошие. Звук отличный. Вообще организация была великолепной. В плане тех. обеспечения и удобства. Везде  есть места где можно присесть, есть на что посмотреть. Глаза всегда заняты чем-то. Это круто. Общий стиль выдержан достаточно хорошо, а на самом деле просто отлично 8) Сами организаторы выглядели измучено, но всегда помогали и не бросали в беде. Это просто превосходно, поэтому хочу сказать всем тем позитивным ребятам, когда я доставал их с всякими проблемами – СПАСИБО!

Доклады…

Треков много, они параллельны и приходилось выбирать куда идти. Но выбор был не сложным, так как технических и интересных докладов было не так много 8( Но те что были, были первоклассными 8) Отмечу:

Тревис Гудспид – доклад про использование шумов и внедрения пакетов на первом уровне! Весело, оригинально и интересно. Докладчик хорошо доносит тему, я правда слегка упустил идею с организацией шума, но потом мне объяснили и эту задачу 8)

Никита Тараканов и Александр Бажанюк – использование BitBlaze при фаззинге. Доклад хороший, технический, а главное очень объективный в плане возможностей по использованию сабжа. Очень жаль, что лично Саша не приехал по объективным причинам в Москву, очень хотелось бы пообщаться лично.

Маркус Нимец – тап-джекинг. Да это забавный доклад, а главное показывает, как обойти  такие вещи как «ограничение на звонки и запуск приложений» за счет багов юзер интерфейса. Посмотрим, конечно, будут-ли такие такие атаки реализованы злоумышленниками, но с точки зрения общей модели безопасности Андройда – явный фейл.

Александр Матросов и Евгений Родионов – очень любопытный доклад-обзор на тему атак интерфейсов смарт-карт реальными вредоносами. Считаю что именно такими и должны быть доклады антивирусников. К примеру, все три доклада от Касперских – унылы с точки зрения техники и были общими и пугательными. Хотя я уверен, что они могли бы и что-то адовое рассказать, но видимо ЦА была другая… да, да - для «пиджаков»  и таких докладов для детей или пиджаков было много 8(

Андрей Костин – знаменитый хакер, который ломает то, что любой пен-тсетер часто игнорирует при  работах – принтеры. Реально интересный и зрелищный доклад.

Владимир Воронцов – про XXE атаки и о том, как прочитать валидный XML документ. Хорошо рассказано, даже 0дэей показал 8) а главная ценность доклада – практическая применимость в реальной жизни. Например при тех-же пен-тестах. Люблю такие доклады и поэтому, несмотря на  то. что он был в 9 утра второго дня, мы, с болью в голове и не выспавшиеся пришли на него… и мест в зале не было 8) Это круто!

Кстати, потом Володя сделал «доклад инжешн атаку» атаку и на секции фасттрек незапланированно рассказал про особенность нового РФЦ, а именно про то, что теперь согласно новой религии стандарта, все под домены могут читать куки домена более высокого уровня. Я бы даже назвал этот доклад «breaking news» 8)

Кроме того, доклад Владимира Кочеткова был техничным и хорошим, и реально интересным. Так же были и другие интересные доклады от Сергея Щербеля, Мирослава Штампара, Дмитрия Склярова и  Андрея Беленко, Федора Ярочкина и Владимира Кропотова, Александра Лямина (кстати, Александр потом рассказывал, что есть более интересная тема, про вынос nginx и предложил нам его на Zeronights. Я попросил рассказать детали, но Александр молодец - не сдал 0дэя и рассказал мне только про slowloris-подобие, но надеемся, что на ZN этот доклад все же состоится).
 
Дмитрий Скляров показывает как некоторые девелоперы выбирают алгоритм для генерации случайных чисел 8)
 А как же Шнаер? Нет, про его доклад ничего плохого сказать не могу. А вот хорошее скажу – складно говорит, интересно слушать. Вообще сложилось впечатление, что больше всего люди хотели просто сфотографироваться с ним 8) А как же Solar Designer? Доклад может и «исторический», но человек он интересный и очень умный, жаль пообщаться не удалось особо.
 К сожалению фасттрек был не в зале, а прямо в проходе. Так что тем, кто говорил тихо и скромно - было тяжело. Вообще фасттрек прошел как то скучно. Надеюсь я там не очень нес чепуху –чувствовал себя не очень (ветер, алкоголь, недосып… ну типа я оправдываюсь). 
Мастер классы…
 
Говорят, что были унылы и для «нубов». Я был только на одном – про HTML5. Да, он общий конечно, но вот не унылый. Все подготовлено на хорошем уровне – тесты, задачи. Демонстрации. Все красиво и эффективно для обучения. Так что спасибо Андресу Рьянчо (@w3af). Отличная работа!
 Ну теперь пару неприятных моментов – остальные доклады были уж больно «пиджачные» или унылые. Так хакеры Москву не взламывают ).Это лично мое мнение. Возможно, я зануда и придираюсь. Простите меня за это. Так же – во второй день народу пришло явно меньше чем в первый.
 Про халяву, еду, пиво и односолодовый виски вы прочитаете в других врайт-апах, а я дальше расскажу про конкурсы. 
Федор Ярочкин, Александр Поляков и я – встретились на лодке. Прямо как в Амстердаме в 2010, тогда мы так же катались на лодке… (ностальгия)
 
 
Конкурсы.
 Одной из особенностью PHDays это его CTF. Я не участник этого праздника хака, но могу сказать, что редко где такое внимание и любовь дается участникам CTF. Конечно заставлять играть два дня подряд и всю ночь может и безжалостно, но это для тру-хакеров - стойких нервами и обладающих выносливостью и усидчивостью. Короче не для меня 8) Но я очень рад. Что победила там наша команда из LeetMore. Во-первых. Это команда из Питера, во-вторых там играет мой коллега по работе - @al3xmin, в-третьих там много классных и умных ребят. И не удивительно, ведь Книга Дракона для них классическое чтиво. А вот я её не читал и воспринимаю этот пробел как свой личный недостаток как специалиста 8) (todo: купить и прочитать).
 Кроме CTF было и много других конкурсов, но  я выделю один. Где мы приняли участие. Вернее я отказался участвовать сославшись на то, что я приехал сюда общаться, а не сидеть перед ноутом (который я так же не взял) но вот мои коллеги Дима @_chipik и Глеб @cherboff приняли этот челлендж. Конкурс – «Большой Ку$». За день до экшена, зарегистрированые участники получали образ ОС с развернутой системой ДБО и тестовой БД. Кроме того, понятно дело, давались исходники  этой самой ДБО. После того, как ты сутки искал баги, на второй день проходит конкурс: всем участникам дается свой логин и пароль к ДБО и карточка (реальная!), которая привязана к вашему счету. Дается около 30 минут. За это время участники должны захакать уже боевую инсталляцию ДБО, задача – перечислить деньги с других счетов на свой собственный, после чего с помощью выданной карточки снять ЖИВЫЕ деньги с банкомата, который был так же настоящим и стоял себе в сторонке и ждал победителей. Я так понимаю, организаторы замутили свой псевдо-процессинг, привязали его к СУБД ДБО и к банкомату. Очень классное решение и очень живой конкурс. Ведь бабло можно тырить не только с подготовленных аккаунтов, но и у других участников. Состояние счетов было выведено на экран и все 30 минут можно было видеть, как идет процесс и кто более крутой ворюга 8) Очень живой конкурс и тот кто его придумал – гений. Сами уязвимости были не тупо-вебскими, но и логическими. Наш сплойт перебирал ИД пользователей ДБО, сбрасывал им пароль через соответствующую багу (пропуск одного шага), заходил к ним в аккаунт получал баланс и все бабло переводил на наш счет. Для этого надо было обойти одноразовый пароль, что так же было сделано за счет алгоритма слабой генерации этого-самого кода. Для автоматизации всего это процесса была найдена бага в капчте, так что в итоге эксплойт все делал сам – полная автоматизация. Оператор только следил 8) Кроме того, был учтен и тот факт, что нас так же могут поиметь, поэтому наш эксплойт не только воровал но и защищал нас – менял пароль и сбрасывал сессию  раз в период. В итоге наши ребята получили второе место, обойдя таких именитых хакеров как CYBERPUNK и Raz0r, так что я ими очень горжусь. К сожалению, они не стали заморачиваться над другими багами в этом конкурсе – слабая генерация сессии и обход аутентификации в Хэлпдеске. Эти баги давали информацию об аккаунтах с цифровыми паролями (что в дальнейшим позволило их брутить) и, как следствие, получать доступ к аккаунтам с другим балансом. Если я ошибся, надеюсь, меня поправят...  Так что героем конкурса, стал GiftS, которые за эксплойтил эти слабости, занял первое место и украл заработал 3500 руб, а мои друзья - лишь второе место и 900 рублей 8) Все деньги банкомат честно выдал. Третье место досталось Raz0r
. Надеюсь, ребята расскажут, что там было в этом конкурсе еще! Но реально, конкурс удался... я получил массу удовольствий болея за ребят, глядя на хладнокровные лица участников и табло с таблицей баланса!
 
Участники конкурса «Большой Ку$h»
 Ах да, еще я выиграл в конкурсе футболок (в конкурсе script-kiddies):
 

 И конечно конкурс HACK2OWN. Он прошел с двумя пробивами: от Никиты Тараканова было получено повышение привилегий в Windows XP, а второй победитель – Павел Шувалов добился, вроде бы, выполнения кода через SMS в iPhone.
 
Никита Тараканов - двукратный призер 8)
 

 
Артур Геркис, Андрей Костин, Федор Ярочкин, я, Александр Поляков и Дмитрий Евдокимов.
 
Александр Матросов, я, Артур Геркис, Владимир Воронцов (кстати, победитель алко-хак конкурса «Наливайка»), Александр Поляков 8)

//Фото Артура Геркиса и Владимира Кропотова

7 комментариев: