V Las Vegas proběhla konference Black Hat, kterou lze (spolu s DefConem, jenž má však stejného pořadatele) pokládat za jednu z největších akcí v oblasti IT bezpečnosti. Příspěvky opět pokryly celou řadu témat, od ukázek konkrétních exploitů bankovních systémů k debatám o účasti vlád na vývoji malwaru.
Název Black Hat je vlastně mírně zavádějící, nejde o žádnou akci na pomezí počítačové kriminality – i když v minulosti některé příspěvky opravdu vyvolaly žaloby nebo alespoň pokusy o ně a nátlak vyžadující stažení prezentací; proto se mimochodem uvažovalo i o tom, že by program konference nebyl dopředu zveřejňován.
Apple a Microsoft nejen jako předměty útoků
Letos se akce účastnilo kolem 10 000 odborníků. Prezentaci zde měl poprvé za 15 let trvání konference Apple, nicméně přednáška manažera bezpečnosti platforem Apple Dallase De Atleyho o zabezpečení systému iOS byla řadou posluchačů kritizována jako „produktová prezentace“. Větší zájem vzbudil Jonathan Zdziarski ze společnosti ViaForensics, který naopak předváděl, jak lze bezpečnostní mechanismy iOS obcházet.
Pokud pomineme objev zero day zranitelnosti, další způsoby podle Zdziarskiho v zásadě vyžadují mít k zařízení fyzický přístup, nicméně pak prý dokáže ovládnout i telefon chráněný heslem – ať už jde o extrakci informací ze zařízení nebo i o instalaci malwaru.
Hlavní problém má spočívat ve zranitelnosti komponenty iOS KeyChain. „Monukultura“ systémů Applu navíc vede k tomu, že kdo dokáže ovládnout jeden telefon, má cestu otevřenou ke všem (i když i iOS pochopitelně existuje ve více verzích). Co se týče instalace malwaru do iPhonu chráněného heslem, Zdiarski dokázal do telefonu připojeného k počítači i tak přenést svůj kód, který čekal a aktivoval se po odemčení zařízení.
Naopak Microsoft se na rozdíl od Applu konference účastní již tradičně a při této příležitosti vyhlašuje svá ocenění Blue Hat. Hlavní cenu ve výši 200 000 dolarů letos získal Vasilis Pappas. Microsoft na rozdíl od konkurence ale neplatí za žádné reportování zranitelností ve svém softwaru, naopak do soutěže jsou přihlašovány obranné technologie. Letos se všechny vítězné práce zaměřily na to, jak znesnadnit exploity typu ROP (returned oriented programming). Technologie navržené v rámci loňského ročníku soutěže se již mezitím stihly stát i součástí nejnovější verze bezplatného bezpečnostního nástroje MS EMET (verze 3.5, zatím ve vydána jako preview).
Od kyberpunku ke Stuxnetu
Keynote na letošním Black Hatu přednesl sci-fi spisovatel Neal Stephenson, autor kyberpunkového bestelleru Sníh. Ve svém dalším románu Kryptonomicon (kromě toho, že je to prostě kniha o kryptografii, Turingovi/Enigmě etc.) např. předpověděl existenci „datového ráje“, jež by nepodléhal žádné legislativě. Neúspěšně byl tento projekt realizován na ostrově Sealand, nyní o „plovoucích serverech“ uvažuje např. projekt WikiLeaks. Stephenson ovšem v zahajovací řeči nehovořil ani tak o bezpečnosti IT, ale o sci-fi, kosmickém programu, technologickém pokroku (mezí ho jeho zpomalení), počítačových hrách, šermu i svém odporu k sociálním sítím. O Facebooku neměl iluze, zklamal ho ale Twitter. Stephenson se těšil, že díky limitujícímu rozsahu příspěvků by výsledkem mohla být jakási haiku, nicméně síť je namísto toho prostě zaplavena zbytečnými odkazy směřujícími ven.
Z hlediska on-line bezpečnosti je prý Stephenson nyní klidný a fatalistický, nepoužívá žádné šifrování e-mailů ani speciální nástroje pro ochranu soukromí; podle něj to všechno sice po technické stránce funguje, ale komunikace se pak stává neefektivní.
Debata se rozpoutala ohledně legitimity používání kybernetických zbraní, jako byl Stuxnet. Zakladatel konference Jeff Moss podobné akce obhajoval. Podle něj jde o způsob, jak poškodit klíčovou infrastrukturu protivníka bez toho, aby při tom byly přímo ohroženy lidské životy. Měly snad USA a Izrael namísto toho íránské odstředivky na obohacování uranu bombardovat? Moss se domnívá, že jde o nekrvavý způsob použití síly, konečně je k dispozici „něco mezi rétorikou a řízenou střelou“. Miko Hyponnen z finské společnosti F-Secure ovšem soudí, že debata o etičnosti podobných prostředků je stejně zbytečná, protože se prostě staly realitou. Bezpečnostní odborníci nejsou placeni za to, aby přemýšleli, zda je to správné, ale jak se s tím naučit žít.
Lstivé karty a pomsta útočníkům
Z prezentovaných hacků zaujala demonstrace dvou způsobů, jak napadnout pokladní systémy pro zpracování platebních karet. V prvním případě, který převedli výzkumníci z britské společnosti MWR InfoSecurity, se systém ošidí tak, že transakce se ve skutečnosti nezpracuje, takže podvodník může „nakupovat“ zadarmo. Ve druhém případě pak speciálně upravená karta do systému rovnou vnese malware. Ten pak shromažďuje dále zadaná čísla a PINy karet.
Útočník se po nějaké době vrátí a na svou kartu si pak tyto údaje dokáže i rovnou jednoduše uložit. Příliš podrobností ovšem v tomto případě oznámeno nebylo, což je ovšem pochopitelné, protože zranitelnost se má týkat systémů aktuálně používaných (v Británii). Britská Cards Association v této souvislosti uvádí, že podvody tohoto typu ale zatím nezaznamenala. Navíc dodává, že popsaný postup by se týkal výhradně maloobchodních systémů, s bankomaty takto manipulovat nelze. Míra karetních podvodů v Británii je prý dnes nejnižší od roku 2000.
Dan Kaminsky, odborník na systém DNSSEC, zde mluvil o svém dalším projetu, nástroji, který by fungoval jako doplněk do webového prohlížeče a upozorňoval na cenzuru nebo pozměnění informace (na úrovni státního firewallu, poskytovatele Internetu apod.). Hlavním problémem podle něj není samotné omezování obsahu (budiž, třeba podle toho, jak nákladnou verzi připojení si kdo koupil), ale hlavně to, že není transparentní – uživatel by měl vědět, že přístup k určitému obsahu je mu odepřen. Svého času to takto dělal s výsledky vyhledávání Google v Číně, mimochodem, jaká je v tomto ohledu situace dnes?
Firma nCircle Security provedla mezi účastníky Black Hatu průzkum, zda se pokoušeli zaznamenané útoky oplácet. Výsledek: 64 % říká ne, 23 % jednou, 13 % často. Technický ředitel nCircle Tim Keanini k tomu uvedl, že v realitě mohou být odvetné útoky ještě mnohem častější, protože pochopitelně ne každý se k nim chce přiznávat. Zásada oko za oko je ale podle Keaniniho nebezpečná, pro většinu firem je rozhodně výhodnější na pomstu zapomenout. Odveta, především pokud je vedena impulzivně, může zasáhnout i někoho jiného než skutečného pachatele, a to je ještě jen jeden z možných problémů.
Po BlackHatu nyní aktuálně v Las Vegas běží sesterská konference DefCon, o té ale více v tradičním čtvrtečním přehledu.