Black Hat USA 2011: dag 2

Dagen inleddes med att ikonen Mudge höll keynote med fokus på hans arbete för amerikanska staten (DARPA) där han började arbeta för något år sedan. Ett av hans första "stordåd" är Cyber Fast Track, möjligheten för små företag och enskilda grupper (läs: hackergrupper á la l0pht) att få statlig finansiering för forskning och utveckling. Teoretiskt har det varit möjligt att göra det förut, det har bara varit sådär byråkratiskt komplicerat som saker kan bli på myndigheter i USA. Häftigt initiativ TBH, programmet drog igång någon dag innan Blackhat, återstår att se vad som kommer från det. Kommer "statliga" hacker spaces att få en uppsving?

Mudge pratade förstås om fler saker, bl a ett fenomen som ligger mig nära om hjärtat. Jag har länge tyckt att Microsoft borde släppa Word/Excel/Powerpoint Light. Jag skulle hävda att bara någon procent av användarna utnyttjar mer än några procent av funktionaliteten i Office-paketet. Mudge jämförde det med sportbilar där man fick betala mer för de som var lättare (titan och kolfiber) men färre funktioner (ingen AC, inga fönsterhissar, ingen cruise control). Det handlar om att minska attackytan: dagens säkerhetsprogramvaror blir bara större och mer komplicerade för varje år medan medelantalet rader kod för malware fortsätter att vara 125 (tydligen). Jag vet inte om jag tycker att den beräkningen går att rättfärdiga men poängen är oantastlig.

Talet innehöll även ett utlägg om hur författare av malware och antivirusföretag spelar varandra i händerna. Nähä?

Malware cleaning with Sysinternal tools
Resten av förmiddagen spenderade jag på workshop med Mark Russinovich från Microsoft, mannen bakom Sysinternals-verktygen. Han visade hur man ska använda Process Explorer, Autoruns och Process Monitor för att städa Windows-datorer från malware. Det fanns presentationer parallellt som var intressanta också men de tar jag på film istället. Det var i a f kul att höra hans syn på Windows; han var väldigt tydlig på punkten att han inte var inblandad i utvecklingen av Vista, bara Windows 7...

Crypto for pentesters
Thomas Ptacek och hans kollega utan namn drog en underhållande genomgång av ett fåtal av de vanliga fallgropar man hamnar i när man ger sig på kryptering. Är man elak kan man säga att om du skriver något som rör kryptering och du använder funktioner som är på lägre nivå än GnuPG- eller Truecrypt-binärerna är du ute på för djupt vatten. Det var det gamla vanliga: t ex det är inte lätt att implementera en egen MAC, så fort du slappnar av kommer padding-djuret att bita dig i rumpan. (Det  finns en anledning till att HMAC är invecklat.) Vidare är strömkrypton som bara består av en enkel XOR-operation, föga överraskande, svaga. Det man egentligen implementerar är det gamla polyalfabetiska Vigenére-kryptot, först känt som "le chiffre indechifférable". Det var många, många år sedan Kasiski knäckte det (det stod sig dock i många hundra år innan). Testa dig fram statisktiskt hur lång nyckeln är, dela upp meddelandet i ett alfabet för varje tecken i nyckeln, fortsätt som för monoalfabetiska chiffer, space är vanligast därefter kommer bokstaven E o s v.

Matasano, där Ptacek arbetar, har publicerat ett wargame där man kan öva på att knäcka liknande kryptoimplementeringar. Ett fantastiskt initiativ måste jag säga, om jag bara kunde hitta länken också...

Faces of Facebook
Pudelns kärna: Alessandro Acquisti från Carnegie Mellon visade hur han och hans team hade lyckats kombinera ansiktsigenkänning, Facebook och Internetsökningar för  att kunna rikta mobilkameran mot en person (á la augmented reality) och få upp personens namn, SSN, DoB, adress, intressen och sånt. Riktigt imponerande arbete.   Det såg ut som att det var fler än jag som filmade under demot så det kanske dyker  upp något på YouTube. Man behöver ingen vidare fantasi för att se vad något sånt här kan komma att användas till. The future is both exciting and terrifying.

Chip & PIN is definately broken
Avslutade dagen med att gå på en presentation som fortsätter på samma spår som gänget från Cambridge stakade förra året. I korthet, med hjälp av MITM mellan ett EMV-kort och en EMV-terminal kan man plocka upp PIN-koden. Detta _ska_ inte vara möjligt p g a kryptering, när terminalen och kortet ska komma överens om hur PIN-koden ska överföras skickas en signerad lista på vilka metoder som accepteras över (inte olikt hur SSL fungerar). Även om överföring av PIN i klartext inte finns med i listan kan detta läggas till av MITM-shimmen, förändringen accepteras trots att signaturen inte stämmer(!). Som MITM kan man alltså alltid tvinga fram klartextöverföring av PIN-koden och sedan spara den. Skrämmande nog har tydligen sådana här makapärer (trojanade EMV-terminaler) rapporterats in till polisen redan under 2008. Jag återkommer om det här.

--
Stefan Pettersson

Kommentarer
Postat av: Fonseca

Hittade Faces of Facebook-presentationen i sin helhet på Youtube:

http://www.youtube.com/watch?v=ZFlPW81SJ10

2011-09-12 @ 13:51:08

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0