- BlackHat 2013 USA -
Spyphones jsou monitorovací nástroje tajně vysazené na uživatele kapesních zařízení. Zatímco škodlivé mobilní aplikace především aplikace telefon podvodům distribuovány prostřednictvím společných aplikačních programů - se zaměřují na běžného spotřebitele, spyphones jsou národní státy nástrojem útoků. Proč? Po instalaci softwaru nenápadný shromažďuje informace, například textové zprávy (SMS), geo-umístění informací, e-maily, a dokonce i prostorového nahrávek.
Jak jsou tyto mobilní kybernetické špionáže útoky provádí? V této poutavé zasedání představíme novou metodu proof-of-concept útoku techniku, která by se vyhnula tradiční mobilní opatření a detekci malware dokonce obejít běžné správu mobilních zařízení (MDM), funkce, jako je šifrování.
Windows 8 Secure Boot založený na UEFI Secure Boot 2.3.1 je důležitým krokem k zajištění platformy od malware kompromitující spouštěcí sekvenci před OS.Nicméně, tam jsou některé chyby platforma prodejci by neměli dělat, která může zcela narušit ochranu nabízené Secure Boot. Ukážeme příklad plné software obchvatu Windows 8 Secure Boot v důsledku takových chyb na některé z nejnovějších platforem a vysvětlit, jak lze tyto chyby lze vyhnout.
Incident reakce je obvykle velmi technické forenzní šetření a zmírňování pro jednotlivé organizace. Ale pro incidenty, které nejsou jen počítačové kriminality, ale opravdu národní bezpečnostní události, jako například rozsáhlé ničivé útoky, které by mohly být válečné jiný národ, proces je zcela odlišná, potřebují jiný druh myšlení.
Tato diskuse se bude diskutovat o tom, jak přesně, podrobně tok dopadající národní bezpečnosti reakci ve Spojených státech pomocí scénář velkého útoku na finančním sektoru. Reakce začíná u jednotlivých bank a výměn, a to prostřednictvím veřejného a soukromého sektoru, procesy pro sdílení informací (jako FS-ISAC).Ministerstvo financí zpracovává finanční stránku krize, zatímco DHS řeší technické.Pokud je to nutné, může být zvýšena na incident armády a prezident, zejména pokud k nehodě, je zvláště rušivá či destruktivní. Diskuse zkoumá tento tok a opatření a rozhodnutí v rámci národního bezpečnostního aparátu, uzavřít s klady a zápory tohoto přístupu, a přirovnal ji k procesu v dalších klíčových zemích.
Tato prezentace je případová studie představí technické detaily Android chyby zabezpečení 8219321, zveřejněných na Google v únoru 2013. Tato chyba zabezpečení se týká rozdílů v tom, jak jsou Android aplikace kryptograficky ověřit a instalaci, umožňuje změnu kódu APK bez porušení kryptografického podpisu, to je zase jednoduchý krok od systémového přístupu a ovládání. Tato chyba ovlivňuje širokou řadu zařízení se systémem Android, mezi generacemi a architektury, s malý k žádné úpravy exploitu. Prezentace se bude hodnotit, jak byla chyba nachází, jak byl vytvořen zneužití, a proč exploit funguje, dává vám nahlédnout do zranitelnosti problému a využívání procesu. Pracovní POC pro hlavní dodavatele zařízení Android bude k dispozici se shodují s prezentací.
Během posledních 2,5 roků Endgame obdržel 20m vzorků malwaru, což odpovídá zhruba 9,5 TB binárních dat. V tomto nejsme sami. McAfee uvádí, že v současné době dostává zhruba 100 tisíc vzorků malwaru denně a získal zhruba 10M vzorků v posledním čtvrtletí roku 2012 [1]. Jeho celková korpus se odhaduje na cca 100m vzorků. VirusTotal dostane mezi 300k a 600k jedinečné soubory za den, a těch zhruba jedna třetina až polovina jsou jednoznačně označit za malware [2].
Tento obrovský objem malware nabízí jak výzvy a příležitosti pro výzkum v oblasti bezpečnosti používají zejména strojové učení. Endgame provádí statickou analýzu malware za účelem získání sady funkcí používaných pro provádění rozsáhlých strojového učení. Vzhledem k tomu, malware výzkum je tradičně doménou reverzních inženýrů, nejvíce existující nástroje malware analýzy určen ke zpracování jednotlivých programy nebo více binární soubory na jednom počítači a jsou připraveni čelit terabajtů malware současně. Neexistuje žádný jednoduchý způsob, jak pro výzkumníky bezpečnosti použít statická analýza techniky v měřítku, firem a jednotlivců, kteří chtějí pokračovat v této cestě jsou nuceni vytvářet své vlastní řešení.
Naše první pokusy o zpracování těchto údajů však není měřítko dobře s rostoucí záplavou vzorků. Vzhledem k tomu, velikost naší malware zvýšené kolekce, systém se stal nemotorné a těžko zvládnutelná, zejména tváří v tvář selhání hardwaru. V uplynulých dvou letech jsme rafinované tento systém do vyhrazené rámce založeného na Hadoop, aby naše rozsáhlé studie jsou snadněji provádět a jsou opakovatelné přes rozšiřující datové sady.
Pro řešení tohoto problému, budeme prezentovat náš otevřený rámec, BinaryPig, stejně jako některé příklady použití této technologie provádět mnohaleté, multi-terabyte multi-vzorový malware sčítání lidu. Tento rámec je postaven nad Apache Hadoop, Apache prase, a Python. Zabývá se mnoho otázek škálovatelné malware zpracování, včetně jednání s stále větší objemy dat, zlepšení pracovního rychlost vývoje, a umožňující paralelní zpracování binárních souborů s mnoha již existujících nástrojů. To je také modulární a rozšiřitelný, v naději, že to pomůže bezpečnostní výzkumným a akademickým pracovníkům při řešení stále větší množství malwaru.
Dále si ukážeme, výsledky našeho průzkumu a techniky používané k odvození těchto výsledků. Rámec, analýza moduly, a některé příklady použití bude uvolněna jako open source (licence Apache 2.0) při blackhat.
https://www.virustotal.com/en/statistics/ k 04.09.2013
V roce 2011 Národní institut pro normy a technologie (NIST) vydal návrh speciální publikaci 800-155. Tento dokument obsahuje podrobnější popis než Trusted Platform Module (TPM) PC klient specifikace pro obsah, který by měl být měřeno v BIOSu poskytnout adekvátní Static Root of Trust pro měření (SRTM). Pro zdůvodnění významu 800-155 V tomto rozhovoru se podíváme na implementaci SRTM od prodejce předem 800-155 notebooku. Budeme diskutovat o tom, že systém BIOS, a proto SRTM lze manipulovat a to buď kvůli konfiguraci, která neumožňuje podepsané aktualizací systému BIOS, nebo přes exploit Zjistili jsme, že umožňuje BIOS přeflešuje i v přítomnosti podepsané aktualizace požadavku.
Také jsme ukázat, jak 51 byte náplast na SRTM může způsobit, že poskytují kovaná měření v modulu TPM BIOS označuje, že je dokonalý. Pokud Citace TPM se používá k dotazu spouštěcí stav systému, bude to TPM-signed falšování pak slouží jako kořen nemístné důvěry. Také jsme ukázat, jak přepálením BIOS nemusí odstranit tuto důvěry subverting malware. Chcete-li opravit un-důvěryhodné SRTM aplikujeme akademický postup, kdy software BIOS označuje svou integritu pomocí načasování side-channel.
Loni v Black Hat, Argyros a Kiayias zničený všechny věci pseudonáhodných v open-source PHP aplikací. Letos přinášíme PRNG útoky pro masy.
Budeme poukázat na nedostatky v mnoha z nejčastějších non-kryptografické generátory pseudonáhodných čísel (PRNG) a posoudí, jak identifikovat PRNG založené na black-box analýzy aplikace výstupu. V mnoha případech lze většinu nebo všechny z PRNG je vnitřní stav má být navrácena, umožňuje určit minulého výkonu a predikce budoucího výkonu. Budeme prezentovat algoritmy, které běží o několik řádů rychlejší než brute-force vyhledávání, včetně couvání a hledání PRNG tok v konstantním čase. Nakonec, samozřejmě, budeme demonstrovat všechno a dát pryč své nástroje, takže můžete provádět útoky během vlastní hodnocení.
BlackBerry se pyšní, že je silným kandidátem na poli bezpečných mobilních platforem. Zatímco tradičně BlackBerryOS byl založen na proprietární RTOS s JVM opřenou na vrcholu, byl zcela přepracován architektury s BlackBerryOS 10. Nyní je základní operační systém dříve off-the-shelf RTOS QNX, který není přesně mají vynikající bezpečnostní traťový rekord. Navíc poprvé v historii BBOS jsou nativní kód aplikace povolena na platformě.
Tato přednáška představí analýzu útoku povrchu BBOS 10, s ohledem na obě strany k eskalaci oprávnění místně a trasy pro vzdálený vstup. Navíc, protože těžba je jen polovina práce činu, ukážeme způsoby rootkity přetrvávat na zařízení. V neposlední řadě se bude řešit, zda BlackBerry Balance skutečně platí to, co slibuje: jsou mobilní zařízení opravdu připraveni bezpečně oddělit zásadní obchodní data z Angry Birds?
Inteligentní Bluetooth, AKA Bluetooth Low Energy (BTLE), je nový způsob modulace a linkové vrstvy Formát paketu je definováno v Bluetooth 4.0. Nová třída low-energetických zařízení a high-end smartphony jsou již na trhu pomocí tohoto protokolu. Aplikace zahrnují vše od posilovacích zařízení k bezdrátovým dveřních zámků. Dobrý: Bluetooth Smart je dobře navržená a dobře na to, co dělá.Vysvětlíme, jak funguje z PHY vrstvy (raw RF) celou cestu až na aplikační vrstvě.Špatný: Bluetooth SMART výměna klíčů je slabý. Budeme provádět živou demonstraci čichání a obnovení šifrovacích klíčů pomocí open-source nástrojů jsme vyvinuli. The Ugly: pasivní bosý posluchač může dešifrovat veškerou komunikaci s přičichl šifrovacího klíče pomocí našich nástrojů. Oprava: Realizujeme Elliptic Curve Diffie-Hellman k výměně klíč-band. To zpětně kompatibilní oprava omítek protokol zabezpečený proti pasivnímu odposlechu.
Během posledních dvou desetiletí, obor automatizované zranitelnosti objev se vyvinula v pokročilém stavu máme dnes: efektivní dynamická analýza je dosaženo s množstvím složitých, soukromě vyvinuté fuzzers věnovaných na konkrétní produkty, formáty souborů či protokolů, se zdrojovým kódem a binární úrovni statická analýza pomalu dohání, ale už dokázal užitečné v určitých situacích.Vzhledem k poptávce na trhu a obecné snadnému přístupu byly snahy byly primárně zaměřeny na software klienta, účinně omezují jádra pokrytí kódu na několik obecných syscall a IOCTL fuzzers. Vzhledem k současné dopad ring-0 zabezpečení na celkové držení těla zabezpečení systému a počtu kernel-specifických chyb tříd, chtěli bychom navrhnout nový, dynamický přístup k umístění drobné chyby zabezpečení jádra, které by jinak zůstaly nepovšimnuty pravděpodobně několik let.
Prezentace představí koncept identifikaci zranitelných míst v provozních jádra systémy "tím, že zaměstná dynamický procesor na úrovni přístrojové přes živé soustavy zasedání, na příkladu pomocí vzorců s přístupem k paměti získat informace o možných závodních podmínek v interakci s paměti v uživatelském režimu. Budeme diskutovat o několik různých způsobů, jak tuto myšlenku realizovat, se zvláštním důrazem na "Bochspwn" projektu jsme vyvinuli v minulém roce a úspěšně použita při objevu asi 50 místní zvýšení oprávnění zranitelnosti v jádru systému Windows tak daleko, s mnoha z nich se již zabýval MS13-016, MS13-017, MS13-031 a MS13-036 bulletiny zabezpečení. Nástroj sám o sobě bude open-source v průběhu konference, což umožňuje širší publikum testovat a dále rozvíjet přístup.
Bugwise je bezplatná on-line webové služby v www.bugalyze.com provést statickou analýzu binárních spustitelných souborů pro detekci chyby v softwaru a zranitelná místa. Detekuje chyby pomocí kombinace rozkladu obnovit vysokou úroveň informací a toku dat analýzy objevovat otázky, jako je používání-po-uvolní a dvojité osvobozuje. Bugwise byl vyvinut během posledních několika let a je realizována jako série modulů ve větší systém, který plní další úkoly binární analýzy, jako je detekce malwaru. Celý tento systém se skládá z více než 100.000 řádků jazyka C + + a škálovatelnou architekturou zatížení vyvážené víceuzlové Amazon EC2 clusteru. V této přednášce se budu vysvětlovat, jak Bugwise funguje.Systém je stále ve fázi vývoje, ale podařilo najít řadu skutečných chyb a zranitelností v Debian Linux. To zahrnuje dvojité zdarma, use-after-zdarma, a více než 50 getenv (, strcpy) chyby staticky nalezeno skenování celého systému Debian repozitáře.
Výzkumní pracovníci, novináři, bezpečnostní prodejci, výrobci softwaru, a další podnikavé ... uh ... podniky často analyzovat jejich zranitelnost statistiky s využitím velkých repozitářů zranitelnosti dat, například CVE, OSVDB a další. Tyto statistiky jsou prohlašoval, že ukazují trendy v popisu, jako je počet a typ chyb, nebo jejich relativní závažnosti. Horší je, že jsou často (zne) užívána k porovnání konkurenčních výrobků k posouzení, která z nich nabízí nejlepší zabezpečení.
Většina z těchto statistických analýz jsou vadné nebo jen čistá žvásty. Používají snadno k dispozici, ale drasticky nepochopení údaje k řemeslu irelevantní otázky na základě divoké předpokladů, a přitom nikdy přijít na to (nebo dokonce žádají nás o) omezení dat. To vede k celé řadě zkreslení, které obvykle jde bez povšimnutí, že v konečném důsledku tvoří statistické údaje, které se dostávají do titulků, a mnohem horší, jsou používány pro rozpočet a výdaje.
Jak správců dvou známých úložišť informace o zranitelnosti, jsme špatně slyšel o nedbalém výzkumu poté, co byl propuštěn, a my nebudeme brát nic víc.
Dáme konkrétní příklady zneužití a zneužívání zranitelnosti statistik v průběhu let, odhalila studie, která to správně (spíše, nejméně špatně), a jak posuzovat budoucí nároky, takže můžete dělat lepší rozhodnutí na základě těchto "studií. " Budeme pokrývat všechny druhy dokumentovaného a nedokumentované zkreslení, které mohou existovat ve zdroji dat zranitelnosti, jak změny v počítání bolet srovnávací analýzy, a všechny způsoby, že zranitelnost informace pozorované, katalogizovat, a poznámkami.
Steve poskytne prodejce-neutrální, přátelské, podpůrné návrhy pro průmysl. Jericho bude dělat nic takového.
Co TS Eliot, Puxatony Phile, eugenika, DLP, crowdsourcing, černé labutě, a narcismu mají společného? Jsou všechny klíčové koncepty pro efektivní program insider hrozby. Přijďte slyšet, jak FBI využívá překvapivou škálu metod boje zasvěcené. V této sekci FBI bude poskytovat pět klíčových lekcí o účinné odhalování a odstrašování techniky používané v zasvěcených FBI hrozeb programu vyvinutého v posledním desetiletí. Diskuse bude poskytovat přehled o tom, jak náš národ je přední vymáhání práva agentura zjistilo a odvrátilo hrozbu zasvěcených osob s použitím různých technik a technologií. Toto zasedání bude poskytovat jedinečné zkušenosti získané při budování reálného světa, provozní zasvěcených monitorování hrozeb a reakce programu.
Vývoj bezdrátových technologií umožnilo průmyslové automatizace a řídicí systémy (IACS), aby se stala strategickou výhodu pro společnosti, které se spoléhají na zpracování odpadu a zařízení v průmyslových odvětvích, jako je výroba energie, ropa, plyn, voda, služby, rafinace, petrochemie a distribuce a zpracování . Efektivní bezdrátové senzorové sítě umožnily těmto společnostem snížit implementaci, údržbu a náklady na vybavení a zvýšení osobní bezpečnosti tím, že nová topologie pro vzdálený monitoring a správu v prostředí s nebezpečím výbuchu.
Avšak způsob, jakým senzorové sítě zvládnout a řídit šifrovací klíče je velmi odlišný od způsobu, ve kterém jsou zpracovávány v tradičních obchodních sítí. Senzorové sítě zahrnují velké množství senzorových uzlů s omezenými hardwarovými možnostmi, tak distribuci a zrušení klíčů není triviální úkol.
V této prezentaci, zkontrolujeme nejčastěji prováděných klíčových distribučních systémů, jejich slabé stránky, a jak mohou dodavatelé efektivněji sladit své návrhy s klíčovými distribuční řešení. Dále předvedeme několik útoků, které využívají klíčové distribuce chyb, které jsme nedávno objevili v každé bezdrátové zařízení vyvinula během posledních několika let, tři hlavních průmyslových bezdrátových poskytovatelů automatizačních řešení. Tato zařízení jsou široce používány mnoho energie, ropy, vody, zemního plynu, jaderné energie, a rafinovaných ropných společností.
Nedůvěryhodný uživatel nebo skupina v rámci 40 mil rozsah může číst a aplikujte dat do těchto zařízení využívajících rádiové frekvenci (RF) transceivery. Dálkově a bezdrátově využívání poškození paměti chyba mohla zakázat všechny senzorové uzly a navždy vypnout celé zařízení. Když jsou napadeni snímače a vysílače, mohou vzdálení senzorové měření, na nichž jsou vyrobeny zásadní rozhodnutí změnit. To může vést k neočekávaným, škodlivé a nebezpečné důsledky.
Jste člověk s několika set dolarů a neukojitelná zvědavost svých sousedů, kteří se přesyceni tvrdé práci sledovat svůj cíl na každém kroku osobně? Dobrá zpráva! Ty taky, můžete naučit intimní tajemství a neustálé fyzické umístění celého města, z pohodlí vašeho pracovního stolu! CreepyDOL je distribuované snímání a data mining systém kombinující velmi-low-cost senzory, open-source software, a zaměřením se na uživatelský zážitek poskytnout identifikaci osob, sledování a analýzu, aniž by vysílal nějaká data do cíle. Jinými slovy, to se ti z ručně řemeslně, řemeslník skeeviness na halových zboží děsivost, a umožňuje vládní úrovni celkové povědomí o $ 500 off-the-police hardware.
Přiznejme si to: můžeme vyhrát nějaké bitvy, ale ztrácíme válku dost špatně. Bez ohledu na pokroky v malware a cílených útoků detekčních technologií, naše špičková bezpečnostní praktikující udělat mnoho ve 24 hodin denně, dokonce i méně, pokud je necháte jíst a spát. Na druhé straně, tam je vážný nedostatek schopných lidí, kteří dělají "jednoduchý" zabezpečení účinného sledování, natož komplexní detekce a reakce na incidenty.
Zadejte využití strojového učení jako způsob, jak automaticky upřednostňovat a klasifikovat potenciální události a útoky jako něco by mohly být blokovány automaticky, je jednoznačně benigní, nebo opravdu stojí za čas vašeho analytik.
Na této prezentaci budeme prezentovat veřejně poprvé skutečné provádění těchto pojmů, formou free-to použitelné webové služby. Využívá OSINT a znalosti o prostorovém rozložení na internetu vytvářet tekutinu a neustále aktualizovaný klasifikátor, který přesně vymezuje oblasti zájmu o předložených protokolů o provozu na síti.
Cross Site Request Padělek (CSRF) zůstává významnou hrozbou pro webové aplikace a uživatelská data. Aktuální protiopatření, jako jsou přání nonces může být těžkopádné nasadit správně a těžko použitelné na web zpětně. Detekce těchto vulns s automatizovanými nástroji může být stejně obtížné dělat přesně.
Prezentace začíná ukázkou, jak modelovat útoky ověřit, zda různé druhy protiopatření, jsou provedeny správně. Obsahuje nástroje a kód ukázat, jak detekovat tyto vulns s několika falešných poplachů.
Pak jsme se prozkoumat, jak by CSRF být zabráněno ve vrstvě HTTP navrhuje nový header politiku založenou, podobný záměr politiky pro zabezpečení internetového obsahu. Tato nová politika zavádí koncept nazvaný Původ Storage Security (SOS) pro soubory cookie relace a objekty, které fólie mnoho druhů útoků CSRF bez zatěžování stránky s HTML úpravami. Řešení je zaměřeno na jednoduchost, aby bylo snazší na dovybavení na současné aplikace, ale vyžaduje prohlížečů na podporu nové straně klienta bezpečnostní kontroly. Ukážeme, jak tento kompromis by mohl být rychlejší způsob, jak zlepšit bezpečnost na webu.
Vyberte malware rodin, které používají algoritmy Domain Generating, (DGAS) v posledních několika letech, ve snaze vyhnout se tradiční domény blacklisty, umožňují fast-flux registrace domény a použití, a vyhnout se "schopnosti předvídat útočníků analytiků kontrolní servery. Zatímco román bylo vykonáno mnoho práce jak soukromého sektoru a akademické sféry s ohledem na detekci DGA související síťový provoz, tato prezentace ukazuje end-to-end analýzu rodiny malware DGA, z binárního deobfuscation k analýze DGA, aby sinkholing k registraci domény výzkum, o přiřazení malware autorovi a spolupachatelů.
Malware rodina diskutovány v této prezentaci má tisíce aktivních variant aktuálně spuštěných aplikací na internetu a podařilo se mu zůstat mimo radar všech firem antivirových. Tato prezentace přinese na světlo, jak je to malware vázána na podzemní kampaně, která byla zapnuta po dobu nejméně posledních šest let.
Vládní požadavky, nové obchodní případy a chování spotřebitelů změny řídit hráče na trhu s energií s cílem zlepšit celkové řízení energetických infrastruktur.
Zatímco energetické infrastruktury je stále udržován a zlepšován některé významné změny byly zavedeny do energetických sítí z prodlení. Vlastně by významnost změn přirovnat k počátcích internetu, kde počítače začaly být do značné míry propojeny.Samozřejmě, že vyvstává otázka, zda je mřížka složená z mnoha interagujících komponent může ještě nesplňují dnešní požadavky na spolehlivost, dostupnost a soukromí.
Národů absolutně uznávají kritičnost energetické infrastruktury pro jejich ekonomickou a politickou stabilitu. Proto se různé iniciativy k zajištění spolehlivosti a dostupnosti svých energetických infrastruktur jede národa, stejně jako na úrovních národních svazů. S cílem přispět k hodnocení rizik národní kybernetické bezpečnosti, se autor rozhodl provést analýzu zabezpečení v oblasti inteligentní energie.
Nástroje začaly zavádět nové technologie Field Device - Inteligentní metrů. Jak už název napovídá, inteligentní měřiče se podporovat mnohem více případů užití, než nějaký starý konvenční elektroměr udělal. Nejen, že nová generace metrů podporují jemnou zrnitou dálkový odečet dat, ale také umožňuje dálkové řízení zátěže nebo vzdálené aktualizace softwaru. Proto, vybudovat bezpečný pokročilé infrastruktury měření (AMI), komunikační protokoly musí podporovat obousměrnou přenos dat a ochranu dat měřiče a kontrolní příkazy v tranzitu.
Proto analýza inteligentních měřicích protokolů je velký zájem. Předkládaná práce je analyzovat bezpečnost Meter Bus (M-Bus), jak je stanoveno v příslušných norem. M-Bus je velmi populární v režimu dálkového odečtu a má své kořeny v průmyslu měření tepla. Je průběžně byla přijata, aby se vešly složitějších aplikací během posledních dvaceti let. Podle dílny poznámce 15 milionů zařízení se spoléhat na bezdrátové verzi M-Bus v roce 2010. Bylo zkoumáno, zda inteligentní měřiče využívající bezdrátovou síť M-Bus to vhodné celkovou bezpečnost a spolehlivost potřeby sítě, nebo zda tyto prostředky by mohly ohrozit infrastruktury.
M-Bus norma byla provedena analýza, zda je poskytuje efektivní bezpečnostní mechanismy. Lze konstatovat, že bezdrátový M-Bus se zdá být odolné vůči odečtení spotřební chování od bezdrátového síťového provozu. Z tohoto důvodu se má za to soukromí chránit proti analýze síťového provozu. Bohužel, chyby byly identifikovány, že činí tato skutečnost zastaralý. Výsledky jsou spojeny hlavně se důvěrnosti, integrity a ověřování.
V důsledku toho, inteligentní měřiče spoléhat na bezdrátové M-Bus a podporu vzdáleného odpojení jsou náchylné stát předmětem komponované vzdáleného odpojení což představuje vážné riziko pro sítě. Další problémy mohou vést k nulové spotřebě detekce, sdělování hodnot spotřeby a zveřejnění šifrovacích klíčů.
V návaznosti na toto, dostupnost a spolehlivost inteligentní sítě, nebo alespoň některé části toho nelze zaručit.
Tato přednáška se bude zabývat 0-day zranitelnosti, které mohou být triviálně zneužity vzdálenému útočníkovi získat administrativní a kořenové úrovni přístup k spotřebitelských a podnikových síťových kamer sledování vyráběných D-Link, Trendnet, Cisco, IQinVision, Alinking a 3SVision. Tisíce těchto kamer jsou Internet přístupný, a známý pro nasazení v domácnostech, obchody, hotely, casina, banky a věznicích, stejně jako vojenská a průmyslová zařízení.
Kromě toho bude proof-of-concept útoku být prokázán ve kterém vzdálený útočník může využít popsané chyby zmrazit a měnit oprávněné video streamů z těchto kamer, v pravém módě Hollywood.
Ať už máte firewall další generace, IPS, IDS, nebo BD, zabezpečení poskytované těmito zařízeními, závisí na jejich schopnosti plnit robustní protokol TCP / IP smontování. Pokud toto selže, může být zařízení obejít. Zjišťovali jsme TCP / IP Reassembly schopností bezpečnostních schránek a zjistili, že jejich odhalení může dojít k daňovým únikům nebo vyhýbání se pronikly, které se vztahují k období šetření a TCP vrstvy. V TCP Reassembly schopnosti většiny bezpečnostních schránek jsou stále chudí. Místo toho, správné TCP opětovnou montáž, mnoho z analyzovaných polí snaží, aby se zabránilo útokům detekci anomálií, například tím, že blokuje malé segmenty TCP. Nicméně, blokování malé segmenty vede k chybnému vyhodnocení, takže tento druh blokovacího strategie nelze aplikovat na reálném provozu bez falešné pozitivity rizika. Také jsme zjistili, úniky, které umožnily útok uspět bez jakýchkoli protokolů v bezpečnostním poli, i kdyby byly všechny podpisy nastavit blokování.
V posledních několika letech došlo k explozi praktického využívání rozšířených kryptografických nedostatků, jako zvíře, kriminalita, Šťastných 13 a RC4 zkreslení zranitelnosti. Vynález těchto technik vyžaduje hodně tvrdé práce, hluboké znalosti a schopnost generovat jadrného zkratku, ale jen zřídka zahrnuje použití zcela neznámá slabina. Kryptografie vědci věděli o existenci komprese věštci, RC4 předsudky a problémy s CBC módu léta, ale obecný informační bezpečnosti byl vědom těchto nebezpečí, dokud plně funkční exploit byla prokázána.
V této přednášce budou reproduktory vysvětlí nejnovější objevy v akademické obci crypto a dívat se dopředu na to, co praktické otázky by mohlo dojít k oblíbeným kryptografickým. Konkrétně se zaměříme na nejnovějších objevů v diskrétní matematiky a jejich potenciální schopnost oslabit naši důvěru v nejzákladnějších asymetrických primitiv, včetně RSA. My vám vysvětlí základní teorie za RSA a state-of-the-umění ve velkém factoring číslování a jak několik nejnovějších článků může ukazovat cestu k obrovské zlepšení v této oblasti.
Diskuse se poté přepne na praktické aspekty scénář soudného dne, a bude odpovědět na otázku "Co se stane den po RSA je rozbité?" Budeme poukázat na mnoho zjevné a skryté použití RSA a příbuzné algoritmy a nastínit, jak softwaroví inženýři a bezpečnostní týmy mohou pracovat v post-RSA světě. Budeme také diskutovat o výsledky našeho průzkumu populárních výrobků a softwaru, a poukázat na způsoby, jimiž lidé mohou připravit na zombi ^ H ^ H ^ H apokalypsy crypto.
Za posledních 18 měsíců jsme viděli dramatický nárůst v oblasti výzkumu a prezentace na bezpečnost zdravotnických prostředků. I když to přineslo tolik potřebnou pozornost k problému, je také odhalil velké množství dezinformací. Tato diskuse se bude řešit ty matoucí a kontroverzní témata. Jaká je realita oprav zdravotnických prostředků? Je bezpečný pro provoz antivirovou ochranu na ně?Dozvíte se v tomto rozhovoru. Tato prezentace nastíní rámec na to, jak dodavatelé, odběratelé, a správci zdravotnických prostředků může přinést podstatné změny v bezpečnosti těchto zařízení. Tato diskuse bude mít také jedinečný prvek diskutovat o zdravotnické prostředky softwarová chyba, která InGuardians odhalil. Tato chyba bude podrobně popsány a replikovány na pódiu. InGuardians úzce spolupracuje s FDA na řádné zdokumentování a předložení této činnosti prostřednictvím svých sledovací systém. To bude pokryta v plném detailu tak, jiní výzkumníci budou vědět, jak správně odhalit chyby a zranitelnosti.
To je obecně předpokládal, že crafting svévolné, a šňupání, může Fast Ethernet pakety mohou být prováděny pomocí standardních síťových karet (NIC) a obecně dostupných packet injection software. Nicméně, plná kontrola rámových hodnot jako sekvence Frame Check (FCS), nebo start-of-Frame oddělovač (SFD) historicky vyžadoval použití specializované a nákladné hardware. Naše prezentace bude pitvat Fast Ethernet vrstvu 1 a 2, které představují nové techniky útoku podporované přijatelnou nastavení hardwaru s upraveným firmwarem, který bude veřejně uvolněna.
Tento výzkum rozšiřuje možnost testovat a analyzovat plnou útoku na síti vestavěných systémů, se zvláštním důrazem na automatizaci, automobilový průmysl a avioniky průmyslu. Aplikace útoků proti NIC s hard i soft Media Access Control (MAC) o průmyslových vestavěných systémů budou zkoumány.
Ukážeme vám, jak konkrétní snímek manipulace může vyvolat SFD analyzátoru anomálie a Ethernet Packet-In-packet injection. Tyto výsledky jsou analyzovány s ohledem na jejich bezpečnostní význam a scénáře použití. Konečně, podmínky pro úspěšnou vzdálenou Ethernet Packet-In-packet injection být projednány a prokázat, co je věřil být poprvé na veřejnosti.
Intel Thunderbolt umožňuje vysokorychlostní přenos dat pro různé periferie, včetně s vysokým rozlišením a velkou šířkou pásma grafických displejů, vše za použití stejného fyzického spojení. Tato výhoda je v trochu v ceně: externí port do počítače a případně i autobusem paměti! Thunderbolt portů objeví na high-end notebooky, jako je MacBook Pro, ale také stále více na PC hardware, a na novější stolní počítače a servery základní desky. Tato patentovaná technologie je nelegální, ale problémy s tím by mohla narušit soukromí a bezpečnost uživatelů.
Tato diskuse zaznamenává proces zkoumání těchto rizik prostřednictvím praktického cvičení v reverzního inženýrství. Zažijte trápení s reverzním Thunderbolt čipy, pochopit útočné strategie pro využívání DMA a vidět nástrahy jedna setkání na cestě, a zároveň získat hlubší pochopení rizik této nové funkci.
Lesklé a šumivé způsob, jak prolomit uživatelském prostoru ASLR, kernel ASLR a dokonce i najít ovladače chyby! Pochopení toho, jak konkrétní operační systém organizuje jeho strana tabulky vám umožní najít svůj vlastní ASLR obchází a dokonce i ovladače zranitelnosti. Budeme klesat jeden 0den Android ASLR bypass jako příklad, pak můžete zlomit všechny ostatní drahé hračky sami. Page Tabulky jsou datové struktury, které jsou mapovány mezi virtuálního adresového prostoru vidět vaše programy na skutečné fyzické adresy identifikující umístění na vaší fyzické paměti čipy. Budeme představit tyto datové struktury pro:
Windows 8 na x86_64
Windows 8 RT na ARMv7
Linux 3.8 na x86_64
Linux 3.4 na ARMv7 alias Android 4.2
XNU na x86_64 alias OS X
XNU na ARMv7 alias iOS
Kromě ukazuje hezké obrázky, budeme vlastně vysvětlit, co se ukázat a jak interpretovat společné rysy a rozdíly v rámci stejného jádra na různých architekturách.
Porovnáním tabulky stránek stát na stejné architektuře v různých běhů, budeme identifikovat statické fyzické mapování vytvořené ovladače, které mohou být užitečné pro útoky DMA (myslím FireWire nebo Thunderbolt forenzní vědy). Statické virtuální mapování jsou ještě zajímavější a může být použit pro (K) ASLR obchází.
Chcete-li konečný bod, že je to nejen hezké na pohled, ukážeme, jak jsme našli zmírnit Android <= 4.0.x obecný uživatelském prostoru ASLR bypass. Pro zájemce o skutečně vlastní cíle, ukážeme si Android 4.2.2 obecné uživatelském prostoru ASLR obchvat, který také ovlivňuje další nejnovější Linux / ARM jádra.
Chytré televizory prodalo přes 80.000.000 kusů po celém světě, v roce 2012. Tato nová generace "inteligentní" platforma je stále více a více populární. Na druhou stranu, my sotva vidět bezpečnostního výzkumu na chytré televizory. Tato prezentace se bude týkat chyby jsme našli na platformě.
Můžete si představit, že Chytré televizory mají téměř přesně stejné útoky, že PC a Smart telefony. Také Chytré televizory mají zajímavý nový útoku jako na dálkovém ovladači. Promluvíme si o útočných bodů pro Smart TV platformě a chyby na bezpečnostní jsme objevili. Tato diskuse se většinou soustředit na to, co můžete udělat, útočníci na hacknutý Smart TV.
Například, drahé Chytré televizory mají mnoho hardwarových zařízení, jako je kamera nebo mikrofon, který, je-li ovládat na dálku, znamená, že protivníci mohou špehovat na dálku, aniž byste o tom věděli. Ba co víc, je možné, aby se inteligentní televizory sledovat, 24/7, i když uživatelé vypnout i televizi, což znamená, # 1984 by mohlo být dosaženo.
Kromě toho budeme poukázat na rozdíl pohledu na unikly typu informací mezi PC, chytrý telefon a Smart TV. Nakonec dáme ukázku živého vzdáleným monitorovacím kameru, která je odeslána na serveru útočníka v tomto rozhovoru.
Tato diskuse je rozšířená verze jednoho, který jsem dal na CANSECWEST. To bude demonstrovat falešnou reportáž o hacknutý Smart TV a možná TVshing (Smart TV edice phishing).
Ve světě digitální úložiště, pryč jsou ty časy, otáčející magnetické plotny a zbytků.Tyto technologie byly nahrazeny elektronovou pastí, malé monitorování napětí a hodně magie. Tyto NAND zařízení jsou všudypřítomné v naší kultuře, z chytrých telefonů po přenosné počítače na paměťové USB paměti do GPS navigací.Realizujeme mnoho z těchto zařízení v našich kapsách denně bez ohledu na důsledky pro zabezpečení. NAND Xplore projekt je pokus vysvětlit, jak NAND flash paměťových funkcí, a vystavit logické nedostatky v hardware a realizace architektury. Součástí projektu je také předvádí, jak lze zranitelné opory hardware NAND lze obejít skrýt a přetrvávají souborů na mobilních zařízeních. Projekt uvolní dva open source nástrojů POC pro Android, jeden pro vstřikování a skrýt soubory na základní zařízení založených na NAND a další najít ty soubory. Nástroje představí, jak vyspělá malware nebo jiné útočné nástroje by mohly být pomocí NAND skrýt peristent soubory na vašem zařízení, a jak byste jít o jejich zjištění. Projekt se také zabývá tím, jak typické forenzní software komunikuje s NAND zařízeními a jak tyto nástroje lze obejít. Nakonec bude mluvit na to, jak vzdálené NAND manipulace může cihelné zařízení neopravitelné od smartphonů SCADA, a jak tuto chybu zabezpečení nemohou být reálně oprava nebo pevná (Tip: vaše stávající nástroje pravděpodobně nefungují, stejně jako byste chtěli věřit ).
Rostoucí trend v oblasti elektroniky je nechat začlenit do domácí sítě s cílem poskytovat potenciálně užitečné funkce, jako automatické aktualizace, nebo prodloužit použitelnost stávajících technologií, jako jsou dveřní zámky lze otevřít a zavřít z libovolného místa na světě. Co to znamená pro nás jako odborníci na bezpečnost, nebo i jen jako lidé žijící ve světě sítí připojených zařízení je to, že jsou ohrožena představují větší riziko, než dříve.
Kdysi dávno, kompromis určena pouze data byla mimo vaši kontrolu. Dnes, že umožní kontrolu nad fyzickým světem vede k nepříjemným pocitům, skryté audio / video dohled, fyzický přístup, nebo dokonce osobní újmu. Pokud váš zamykání nebo teplomet jsou ohroženy, budete mít velmi špatný den. Tato diskuse se bude diskutovat o potenciální rizika sítě připojených zařízení, a dokonce i demonstrovat nové útoky proti výrobků na současném trhu.
Systémy domácí automatizace poskytují centralizované řídicí a monitorovací funkce pro vytápění, větrání a klimatizace (HVAC), osvětlení a fyzických bezpečnostních systémů. Centrální ovládací panel a různé domácí spotřebiče, jako jsou bezpečnostní senzory a poplašné systémy jsou navzájem propojeny tvořit ok sítě přes bezdrátové nebo kabelové komunikační linky a jednat jako "inteligentní domácnosti". Jak jste se dostali domů, může systém automaticky otevírat vrata, odemknout dveře a vypnout alarm, světlo dolů, a zapněte televizor. Podle studie poradenské společnosti AMA výzkum, v roce 2011, ve Velké Británii domácí automatizace trh byl v hodnotě přibližně 65.000.000 liber s 12% nárůst oproti předchozímu roku. Celkový počet domovních instalacích automatizačních systémů ve Velké Británii se odhaduje na 189.000 teď. Domácí automatizace trh v USA byl v hodnotě přibližně $ 3,2 mld. 2010 a očekává se, že překročí 5500000000 dolarů v roce 2016.
Zigbee a Z-wave bezdrátové komunikační protokoly jsou nejčastěji používané RF technologie v systémech domácí automatizace. Zigbee je založen na otevřené specifikaci (IEEE 802.15.4) a byl předmětem několika akademických a praktických bezpečnostních výzkumů. Z-wave je proprietární bezdrátový protokol, který pracuje v oblasti průmyslové, vědecké a lékařské (ISM pásma rádiového). Přenáší na 868,42 MHz (Evropa) a 908.42MHz (Spojené státy) kmitočty určené pro nízkou šířkou pásma datových komunikací v embedded zařízeních, jako jsou bezpečnostní senzory, alarmy, domácí panely automatizačních. Na rozdíl od Zigbee, žádný veřejný výzkum v oblasti bezpečnosti na Z-Wave protokol byl k dispozici před naší práce.Z-wave protokolu bylo zmiňováno jednou během Defcon 2011 rozhovoru, když moderátor ukázal možnost zachycení AES výměny klíčů fáze, přičemž demonstraci.
Z-Wave protokol získává na síle proti ZigBee protokolu s ohledem na domácí automatizaci. Toto je částečně kvůli rychlejšímu a poněkud jednodušší, vývojového procesu. Další výhodou je, že je méně vystaven rušení signálu ve srovnání s ZigBee protokolu, která působí na široce obsazené pásmu 2,4 GHz sdílené Bluetooth i Wi-Fi zařízení.
Z vln čipy mají 128-bit AES crypto motorů, které se používají systémy kontroly přístupu, jako jsou dveřní zámky, pro ověřený paketů šifrování. Open-source implementace Z-wave zásobníku protokolu, openzwave, je k dispozici, ale to nepodporuje šifrování část jak přesto. Naše diskuse ukáže, jak lze Z-Wave protokol vystaven útokům.
Diamanty jsou nejlepším přítelem dívky, prvočísla jsou matematika je nejlepší přítel a automatizované analytické systémy (AAS) jsou AV výzkumníka nejlepší přítel.Bohužel je tato skutečnost známa malware autorů a tudíž techniky vyhnout automatizovaný systém analýzy se nejen stává nedílnou součástí APT, ale také mnoho neslavný malware vzkřísit a pomocí technik obejít automatizovaný systém pro analýzu zůstat pod radarem.
Neslavný Khelios botnet byl prohlašoval, že je mrtvý v roce 2011 a byl vzkříšen.Chcete-li se vyhnout automatizovaného systému analýzy jednoho vzorku aka Trojan Nap nalezené v roce 2013 zaměstnávala SleepEx () rozhraní API s 10 minutách časový limit. Vzhledem k tomu, automatizovaná analýza systémy jsou nastaveny na provedení vzorku v daném časovém rámci, který je v sekundách, tím, že zaměstná prodlouženou spánku volání, mohlo by to zabránit předběžné povolení od zachycení jeho chování. Ukázkové také zavolal na nelegální API NtDelayExecution () k provedení delší spánek hovory.
Jak na zprávu Mandiant se neslavný RAT Poison Ivy široce používá v cílených útoků, a zdálo se, že byl opuštěn v roce 2008. Trojan UpClicker, reportoval v prosinci 2012, obal kolem Poison Ivy, zaměstnává SetWindowsHookEx () API skrýt svoji škodlivou činnost. Odesláním 0Eh jako parametr funkce, pouze škodlivý kód se aktivuje po klepnutí na levé tlačítko myši a propuštěn. Vzhledem k tomu, v AAS není lidské interakce, kód zůstane spící obcházet AAS.
PushDo, další nechvalně známý malware, zkontroluje číslo sestavení operačního systému Windows. Jakmile je stanovena na číslo sestavení operačního systému Windows. Zjistí, ukazatel PspCreateProcessNotify () API rutiny odhlásit se všechny zpětná volání. Jakmile zpětná volání bylo odhlášeno, může vytvořit nebo odstranit malware procesy, obcházet proces sledování modul AAS.
Trojan hastati byl navržen tak, aby smazat všechny pevné disky počítače v Koreji.To používalo GetLocalTime () API aktivovat sám 20. března 2013 14:00 Pokud je vzorek proveden v AAS před 20. března 2013 nebude proveden a vyhýbá se AAS.
UpClicker, PushDo, hastati, Nap jsou některé vzkříšeného pokročilé malware a / nebo APT, které jsou s použitím anti únikové techniky se vyhnout detekci z AAS.
V první části prezentace poskytujeme vyčerpávající seznam technik, API a segmenty kódu z APT a aktivní malware, které jsou používány, aby se vyhnula AAS. Budeme mít také živou demonstraci některých anti-analytických metod, které se objevily v nedávné minulosti.
V další části prezentace zajišťujeme důkladnou, technická analýza automatizovaných technologií pro analýzu současný systém se zaměřením na hlediska počítačové bezpečnosti. Poskytne rámec pro srovnání různých technologií, které jsou v souladu, měřitelné a srozumitelné oběma správcům IT a bezpečnostních specialistů. Kromě toho máme také prozkoumat každé z hlavních komerčně dostupných automatizovaných chutí systém pro analýzu a zhodnotit jejich schopnost stát proti těmto únikům. Budeme prezentovat architektonický dekompozici automatizovaných systémů analýzy zdůraznit své přednosti i omezení a historický pohled na to, jak rychle Anti-AAS techniky byly vyvinula tak rychle v poslední době. To bude nastartování rozhovor o tom, jak nové vektory, které by mohly být použity sofistikované malware aktivně zaměřit AAS v budoucnosti.
CVSS skóre je široce používán jako standard-de-facto riziko metrické zranitelnosti, k názoru, že samotná vláda Spojených států podporuje organizace v používání to upřednostnit zranitelnost záplatování. Budeme řešit tento přístup testování CVSS skóre z hlediska jeho účinnosti jako "skóre rizika" a "priorit metrických." Testujeme CVSS against reálných útoků údajů, a jako výsledek, ukážeme, že celkový obraz není uspokojivá: na (dolní hranice) přeinvestovanost pomocí CVSS se vybrat, co zranitelnosti náplasti může jak vysoce jak 300% optimálního jeden. Rozšiřujeme analýzu ujistěte se, že získat statisticky významné výsledky. Nicméně, my prezentovat své výsledky na praktické úrovni se zaměřením na otázku: "Má smysl pro vás k použití CVSS upřednostňovat své chyby?"
Naučte se, jak vybudovat SPYPHONE Android služby, které je možno vkládat do libovolné aplikace. Prezentace bude obsahovat živou ukázku toho, jak jsou telefony sledovat a ovládat z webového bázi velení a řízení serveru a ukázka toho, jak aplikovat na SPYPHONE služby do libovolné aplikace Android Market. Prezentace se bude vztahovat i na API slouží ke sledování polohy telefonu, zachycovat telefonní hovory a SMS zprávy, extrahovat e-mail a seznamy kontaktů a aktivovat kameru a mikrofon, aniž by byla odhalena.
Binární techniky analýzy z akademického výzkumu byly zavedeny do reverzního inženýrství komunity, jakož i výzkumných laboratoří, které jsou vybaveny spoustou výpočetní výkon. Některé programové analýzy pomocí těchto technik dokonce začaly objevovat v hackerské konference. Ale významná omezení zůstávají:
Žádný praktický sada nástrojů poskytuje analýzu binárních programů na různých platformách (jako x86, ARM, MIPS, PowerPC apod.);
Žádné praktické Toolset váhy v reálném světě velkých programů a automatizuje všechny aspekty vysoce sofistikované úkoly jako analýzu zranitelnosti a využití energie;
Žádný praktický sada nástrojů běží na typické inženýra notebooku nebo se hladce integruje do všech populárních prostředí reverzního inženýrství.Zúčastněné reverzní inženýři musí přepínat tam a zpět mezi své známé nástroje životního prostředí a některých Dynamic binární instrumentace (DBI), životního prostředí (např. PIN), nebo celého systému emulátoru QEMU (např.).
V této přednášce se budeme prezentovat naše řešení těchto omezení. Budeme vysvětlovat multiplatformní binární Automatizovaná Symbolický-Execution System (CBASS), který jsme vyvinuli a předvést jeden ze svých interaktivních aplikací: IDA bázi Taint povoleno Reverzní inženýrství životního prostředí (strom). TREE může přinést techniky analýzy programu (poskvrnit analýza, dynamické krájení, symbolická poprava a omezení řešení) na rubové inženýra rukách. Binární analýza a její bezpečnostní aplikace, které byly značně bádal, a to především v kontextu jedné architektury instrukční sady x86 (převážně) a populárních desktopových operačních systémů (Linux nebo Windows). CBASS vykonává svou binární analýzy pro Common Intermediate zastoupení (IR), spíše než na rodném Instruction Set Architecture (ISA) z jakéhokoliv programu. Tato tenká vrstva umožňuje našim výkonné analytické nástroje pro práci na cross-platformní binárních aplikací.
Zatímco CBASS podporuje jak automatické a interaktivní bezpečnostní aplikace, TREE podporuje podmnožinu těchto schopností, ale ze se IDA Pro plug-in. TREE poskytuje užitečné interaktivní vizualizace výsledků na vyžádání binární analýzy.Symbolické provedení a concolic provedení (beton symbolické provedení) jsou základní techniky používané v binárním analýzy, ale jsou sužovány exponenciální problému cesty výbuchu. Řešení tohoto problému vyžaduje intenzivní algoritmy cesty prořezávání a vysoce paralelní výpočetní infrastruktury (jako mraky). Ani jeden z nich je obvykle k dispozici na reverzní inženýr. TREE tento problém řeší tím, že pomáhají zpětně analyzovat priority cesta provádění prostřednictvím interaktivní a intuitivní vizuální reprezentaci výsledků na vyžádání analýza toho, co vstupy a instrukce sekvence vedla na místo nehody nebo jiné podezřelé cesty, omezení pákového efektu cesty a SMT solver negovat zkažené pobočky podmínky pro nové, neprobádané cesty. Podrobnosti o skvrny analýzy, dynamické krájení a cesta omezení mechanismy řešení jsou transparentní zpětně analyzovat.
Využití stávající infrastruktury IDA Pro ladění, lze automatizovat TREE trasování energie z různorodých cílových platformách, včetně režimu jádra trasování pro Windows. K našemu překvapení, a to navzdory skutečnosti, že IDA Pro ladění API byl asi na dlouhou dobu, tam byl žádná vážná snaha o automatizaci trasování kolekci pro analýzu Extensible binární, zejména pokud jde o režimu jádra trasování. Naše práce přímo přispěla ke dvěma oprav chyb v nejnovějších záplat IDA Pro (IDA 6.4.130206). Naše prezentace bude obsahovat několik případových studií pomocí větve stromu k analýze reálných chyby.
APT útoky jsou nově vznikající hrozby a dělali titulky v uplynulých letech. Nicméně musíme ještě vidět full-stupnice hodnocení cílených útoků operací. Tchaj-wan byl dlouhodobý cíl těchto kybernetických útoků kvůli jeho vysoce rozvinutou síťové infrastruktury a citlivé politické postavení. Měli jsme jedinečnou příležitost sledovat, odhalování, vyšetřování a zmírnit velké množství útoků na vlády a soukromého sektoru. Tato prezentace představí naše výsledky společného výzkumu mezi Xecure-Lab a Academia Sinica na cílených útoků operací napříč Taiwanské úžině. Vyvinuli jsme plně automatizovaný systém, XecScan 2,0 (http://scan.xecure-lab.com) vybavená unikátním dynamickým (sandbox) a statické škodlivého softwaru forenzní technologie analyzovat povahu a chování škodlivých binárních souborů a dokumentů zneužití. Systém provádí v reálném čase APT klasifikaci a spolupracovníky analyzoval obsah se stávající znalostní základnu. V našich experimentech systém XecScan analýze a úspěšně identifikoval více než 12.000 APT e-maily, které obsahují malware a vypichování dokumentu využije. Díky této prezentaci budeme také analyzovat a skupina vzorků z nedávné Mandiant APT1 (61398) Zpráva a porovná vztahy mezi APT1 vzorků vzorků nalezených na Tchaj-wanu a diskutovat o historii za APT1 Hacker činnosti. Během této prezentace vydáme zdarma, veřejně přístupné portál naší spolupráce APT klasifikace plošiny a přístup k XecScan 2.0 API.
Mám krabici na stole, že CDMA mobilní telefon se automaticky připojí k při odesílat a přijímat telefonní hovory, textové zprávy, e-maily a surfovat na Internetu.Vlastním toto políčko. Dívám se veškerý provoz, který prochází přes to a nemusíte ani vědět, že jste připojeni ke mně. Vítejte do nového světa, kde jsem, a to je, vlastnit věže. Jo, a díky za to, že mi krabici ... zdarma.
Tato kolonka je MSI, low-power mobilní základnová stanice předány nebo prodány pro předplatitele operátory mobilních sítí. Funguje stejně jako malý mobilní věže, pomocí domácí připojení k internetu s rozhraním poskytovatele sítě. Když v rozsahu, bude mobilní telefon připojit k femtocelů, jako kdyby se jednalo o standardní buňka věž a poslat veškerou svou komunikaci přes něj bez uvedení uživatele.
State-of-the-art ověřování ochranu sítí mobilních telefonů může být impozantní cíl. Nicméně, s rostoucí popularitou femtobuňky existuje více než jeden způsob, jak zaútočit na mobilní sítě. Uvnitř běží Linux, a mohou být hacknutý.
Během tohoto rozhovoru, budeme demonstrovat, jak jsme použili MSI pro dopravní zachycení hlasu / SMS / data, aktivní síťové útoky a vysvětlete, jak jsme byli schopni klonovat mobilní zařízení bez fyzického přístupu.
V roce 2006 bylo přibližně 350 tisíc kardiostimulátorů a ICD je 173000 (Kardioverter defibrilátory) implantované v samotných Spojených státech. Rok 2006 byl důležitý rok, jak to je, když začala FDA schválení zcela na bázi bezdrátové technologie zařízení. V současné době existuje více než 3 miliony kardiostimulátory a více než 1,7 milionu ICD je v provozu.
Tato přednáška se zaměří na zabezpečení bezdrátových implantabilních zdravotnických prostředků. Budu diskutovat o tom, jak tato zařízení fungovat a komunikovat a bezpečnostní nedostatky současných protokolů. Naše interní výzkum software bude zjištěno, že využívá společnou noční vysílač pro vyhledávání a vyslýchat jednotlivé lékařské implantáty.
Budu se také diskutovat o nápadech výrobci mohou provádět zlepšit bezpečnost těchto zařízení.
Obrany a vojenských operací sítě točí kolem letité hry: vytváření dlouhodobých opor hluboko uvnitř sítě. V této přednášce se budeme věnovat specifické techniky a taktiky dodržovat při poskytování služeb obranné reakce na incidenty organizací ohrožen zahraniční zpravodajské a obranných agentur. Diskuse bude zahrnovat i uvolnění a jako open source několika soukromých projektů, které slouží k identifikaci pass-the-hash/impersonation útoků, včetně: soubor démonů pro monitorování sítě, známé jako breachbox, z nichž část byla financována Cyber DARPA Fast Track programu a open-source nástroj a plán na pomoc trojanize vlastní síť pro sledování a odhalování nepřátelské činnosti.
Za poslední tři roky, Oracle Java stala exploit autora nejlepší přítel, a proč ne? Java má bohatou útoku, široký instalací základního systému, a běží na více platformách, které umožňují útočníkům maximalizovat jejich návratností investice. Zvýšený důraz na odhalení nedostatků v prostředí Java Runtime Environment (JRE) posunul výzkumu mimo klasických otázek týkající se poškození paměti do porušování odrazu API, které umožňují vzdálené spuštění kódu. Tato diskuse se zaměřuje na zranitelnosti v Javě trendy v průběhu posledních tří let a protíná veřejně oznámenou chybu zabezpečení dat pomocí zranitelnosti Java předložených Zero Day Initiative (ZDI) programu. Začneme kontrolou Javy architekturu a patch statistiky identifikovat sadu ohrožených komponent Java. Pak jsme se vyzdvihnout pět nejlepších zranitelnost typů vidět v podání badatele ZDI, které mají dopad těchto JRE komponenty a zdůraznit jejich poslední historický význam. Prezentace pokračuje s důkladný pohled na konkrétní nedostatky v několika dílčích komponent-Java, včetně zranitelnosti podrobnosti a příklady, jak zranitelnost projevuje a co zranitelnosti výzkumní pracovníci by měli hledat při auditu komponentu. Nakonec, budeme diskutovat o tom útočníkům typicky pákový nedostatky v Javě. Zaměřujeme se na konkrétní typy útočníků zranitelnosti a využívat soupravy autory používáte, a co dělají nad rámec samotné zranitelnosti ke kompromisu stroje. Došli jsme k závěru s podrobnostmi o zabezpečení, které byly použity v letošní soutěži Pwn2Own a přehodnotit kroky, Oracle přijatá k řešení nedávné problémy odkryté v Javě.
Dnes, více a více vývojářů přechází do JavaScriptu jako jejich první volbě jazyka.Důvod je jednoduchý JavaScript se nyní začal být přijímán jako hlavního programování aplikací, ať už na webu nebo na mobilním telefonu, ať už na straně klienta, ať už na straně serveru. JavaScript pružnost a její volné psaní je přátelský k vývojářům vytvářet bohaté aplikace neuvěřitelnou rychlostí. Hlavní pokrok v plnění tlumočníků JavaScriptu, v posledních dnech, téměř eliminovat otázku škálovatelnost a propustnost od mnoha organizací. Pointa je tedy JavaScript je nyní velmi důležité a mocné jazyka, kterou dnes máme, a to je použití roste každý den. Z kódu na straně klienta ve webových aplikacích se rozrostla na straně serveru pomocí Node.JS a je nyní podporován jako správný jazyk psát aplikace na hlavních mobilních operačních systémů, jako je aplikace Windows 8 a nadcházející Firefox OS Apps.
Ale problém je, že mnoho vývojářů praxe v-Secure kódování, které vede k mnoha klienty bočních útoků, z nichž DOM XSS je nejvíce neslavný. Snažili jsme se pochopit příčinu tohoto problému a zjistil, že tam není dost prakticky použitelné nástroje, které lze řešit reálné problémy. Proto jako náš první pokus k řešení tohoto problému, chceme mluvit o JSPrime: javascript statická analýza nástroj pro zbytek z nás. Je to velmi lehká a velmi snadné použití point-and-click nástroj! Statická analýza nástroj je založen na velmi oblíbený Esprima parser ECMAScript od Aria Hidayat.
Chtěl bych poukázat na některé ze zajímavých vlastností nástroje níže:
JS knihovna Aware Source & dřezy
Většina dynamické nebo statické analyzátory jsou vyvinuty na podporu nativního / čistý JavaScript, který je ve skutečnosti problém pro většinu vývojářů od představování a širokoúhlý přijetí rámce pro JavaScript / jQuery knihovny, jako je, YUI atd. Vzhledem k tomu, tyto skenery jsou určeny na podporu čistý JavaScript, oni selhání v pochopení souvislostí vývoje v důsledku použití knihoven a produkují mnoho falešně pozitivních a falešně negativní výsledky. Chcete-li vyřešit tento jsme identifikovali nebezpečné zdroje vstupu uživatele a kód funkce spuštění dřez na jQuery a Yui pro původní verzi a budeme mluvit o tom, jak mohou uživatelé snadno rozšířit pro další rámců.
Variabilní a funkce sledování
Tato funkce je součástí naší analýzy kódu toku algoritmu
Variabilní & Funkce Působnost Aware analýza
Tato funkce je součástí naší analýzy kódu toku algoritmu
Známý funkce filtru si vědom
OOP a Protoype souladu
Minimální falešně pozitivní výstrahy
Podporuje minified javascript
Bleskurychlé výkon
Bod a klepněte :-) (můj osobní favorit)
Připravované funkce:
Automatické Kód de-zmatek a dekomprese pomocí hybridní analýzy (Ra.2 improvizace; http://code.google.com/ra2-dom-xss-scanner )
ECMAScript podpora rodiny (ActionScript 3, Node.JS, WinJS)
Jemnozrnný rozvržení adresního prostoru randomizace (ASLR) byl nedávno navržen jako metoda efektivní zmírnění runtime útoků. V této prezentaci se seznámíme s návrhem a implementací rámce založeného na nové útočné strategie, přezdívaná just-in-time opětovné použití kódu, který oba ohrožuje výhody jemnozrnné ASLR a výrazně zvyšuje snadnost exploit vývoje na dnešních platformách které kombinují standardní ASLR a DEP (např. Windows 8). Konkrétně jsme se vykolejit předpoklady ztělesněné v jemnozrnné ASLR tím, že využívá schopnost opakovaně zneužívat paměti zpřístupnění map aplikace Rozvržení paměti on-the-fly, dynamicky se objevit API funkcí a pomůcky, a JIT kompilovat cílový program, pomocí které gadgets - vše v rámci skriptu prostředí v době exploit je vypuštěn. Jsme demonstrovat sílu našeho rámce použití v kombinaci s real-svět zneužití proti Internet Exploreru, ukázat svou účinnost v systému Windows 8, a také rozsáhlé hodnocení, které ukazují praktičnost just-in-time útoků opětovného použití kódu.Naše zjištění naznačují, že jemnozrnné ASLR nemusí být tak slibné, jak původně myslel.
Chránit sebe, své síti a uživatelů při FBI nebo NSA klepe:
Když se dostanete Národní bezpečnostní dopis, nikdo neuslyší křičet. Se podává s povolením k prohlídce pro vyšetřování trestného činu může být děsivé dost, ale národní bezpečnostní vyšetřování mohou být vyloženě kafkovskému. Vy pravděpodobně nebudete moci nikomu říct o tom. A mohou požádat o více než jen uživatelská data, jako backdoor pro přístup nebo nainstalovat speciální monitorovací hardware nebo software hluboko uvnitř vaší sítě. Tento panel bude sdružovat širokou škálu odborných znalostí o nebezpečí tajných odposlechů "zákonným" v dnešních sítích. Budeme diskutovat o technických rizik dozoru architektur, právních a technických zábran proti nadměrné širokých nebo invazivní vyhledávání a skutečných zkušeností boj proti tajné sledování objednávek.
Plnospektrální počítačové sítě (aktivní), obrany znamenají víc než jen "hackerské zády." Viděli jsme hodně o této problematice v poslední době. Orin Kerr a Stewart Baker měl dlouhou debatu o tom online. Nové firmy s některými velmi významnými hráči tvrdí, že poskytují "aktivní obrany" služby pro své klienty. Ale all-in-všechny, co to vlastně znamená? A proč je to, že když jdete na své právníky, říkají naplno, "Ne!"
Tato prezentace se zabývá kompletní právní režim kolem celé spektrum počítačové sítě (aktivní) obranu. To se ponoří do těch oblastí, které jsou snadno právní a dívá se na sporných otázek kolem druhé. Jako takový budeme diskutovat o technologii a senzory (ECPA a poskytovatel služeb výjimka), informační systémy kontroly a řízení (DRM) a "aktivní obrany" se zaměřením na - honeypot, majáky, klamání (pozdravit mého malého přítele Security and Exchange Komise), open source business intelligence shromáždění (CFAA, ekonomické špionáže, krádeže obchodních tajemství) vysledovat a vyhledávání odcizených dat (CAFA).
Minulé prezentace ukázaly, hodně z toho, co je odnášen je publikum řízen v závislosti na jejich otázky a následné diskuse. A jako vždy se snažím vštípit profesionály počítačové bezpečnosti je důležité úzce spolupracovat se svým právním zástupcem brzy a často, a samozřejmě "Clarkův zákon" - vysvětlit technické aspekty počítačové bezpečnosti k vašim advokátů na třetí úrovni třídy, aby mohou pochopit a pak se otočit a vysvětlit, že na soudce či porota v prvním ročníku.
Bezpečnost mobilní komunikace se stává stále důležitější, pobízet bezpečnostní výzkumníci zaměřit svou pozornost na chyby v buněčných systémech. Výzkumní pracovníci si musí plně pochopit právní důsledky interakce s specializovaný hardware, mobilní komunikace, a omezení uložených poskytovateli služeb. Tento materiál bude poskytovat právní přehled o tom, co výzkumník by měl mít na paměti při vyšetřování mobilní komunikace, technologie a sítí. Probereme právní otázky smlouvy s koncovým uživatelem licence, jailrooting nebo zakořenění zařízení a zachycení komunikace.
Dne sobota 23 březen 2013, distribuované odmítnutí služby (DDoS) útok proti SpamHAUS, které byly rostoucí týdny kulminoval s více než 300 gigabitů za sekundu náběhu provozu cílení Anti-Spam sítě organizace. V tomto okamžiku se stala největším takový útok vůbec hlášeny v historii - alespoň 4x velikost útoků, které zmrzačil americké banky jen o několik měsíců dříve. Útočníci zahájen v plném rozsahu DDoS metod na SpamHAUS - současně zaměření Layer 3, 4, vrstvy a vrstvy 7. Spamhaus nám dal svolení říci plnou, behind-the-scenes příběh o tom, co se stalo, ukazují, jak byly zahájeny útoky, nastínit techniky útočníci používají, a podrobně, jak Spamhaus.com byl schopen zůstat on-line po celou dobu. Zatímco příběh Spamhaus má šťastný konec, masivní DDoS vystaveny klíčové zranitelnosti po celém internetu, že budeme potřebovat adresu, pokud je síť, aby přežili další, nevyhnutelně větší, útok.
36000000 Domácnost a kancelář bezpečnostní systémy jsou umístěny v USA, a všichni jsou zranitelné. To není váš děda si promluvit o fyzické bezpečnosti, což je diskuse o obchází domácnosti a kanceláře digitální fyzických bezpečnostních systémů, od jednoduchých dveří senzory zachytí signály a dokonce i klávesnice, než může upozornit orgány. Veškeré uvedené metody jsou pro skryté položky a neponechávají fyzické znamení vstupu nebo ohrožení. Máte-li zájem zlepšovat své dovednosti jako Zkoušečka ve tvaru pera, nebo jen chcete vědět, jak proniknout do kanceláře jako špion Hollywood je to diskuse pro vás. Přijďte k nám vidět živé ukázky toho, co se bezpečnostní společnosti nikdy nechci vidět.
Apple iOS zařízení jsou považovány za mnoho být bezpečnější než jiné mobilní nabídky. Při posuzování tuto víru, jsme zkoumali, do jaké míry byly bezpečnostní hrozby vzít v úvahu při provádění každodenních činností, jako je nabíjení zařízení.Výsledky byly alarmující: přes nepřeberné množství obranných mechanismů v iOS, jsme úspěšně aplikovat libovolný software do současné generace Apple zařízení se systémem nejnovější operační systém (OS) software. Všichni uživatelé jsou ovlivněny, jak náš přístup nevyžaduje ani jailbroken zařízení ani zásahu uživatele.
V této prezentaci jsme se ukázat, jak může být ohrožena iOS zařízení do jedné minuty zapojit do nebezpečného nabíječky. Jsme první zkoumat Apple stávající bezpečnostní mechanismy na ochranu proti svévolnému instalaci softwaru, a pak popsat, jak USB funkce lze využívat k obcházení těchto obranných mechanismů. Pro zajištění stálosti výsledného infekce, ukážeme, jak útočník může skrývat jejich software stejným způsobem Apple skrývá své vlastní vestavěné aplikace.
K prokázání praktické uplatňování těchto chyb zabezpečení, jsme vybudovali důkaz konceptu škodlivého nabíječky, tzv. mactans, pomocí BeagleBoard. Tento hardware byl zvolen prokázat snadnost, s níž nevinně vypadající, může škodlivý USB nabíječky být budován. Zatímco mactans byla postavena s omezeným množstvím času a malým rozpočtem, jsme také krátce zvážit, co více motivovaní a dobře financované protivníci mohli dosáhnout. Konečně, doporučujeme způsoby, jakými mohou uživatelé chránit sebe a navrhnout bezpečnostní funkce Apple mohl provést, aby se útoky popíšeme podstatně těžší sundat.
Od vlády, armády, letecké společnosti vůči bankám, mainframe je živ a zdráv a dotkne se vás ve všem, co děláte. Bezpečnostní komunita, která je pověřena přezkoumáním zabezpečení na sálových počítačích, i když vlastně neví velmi málo o těchto šelem. Ať už je to nedostatek přístupu bezpečnostní komunity, nebo falešná představa, že sálové počítače jsou mrtvé, tam je zřetelný rozdíl mezi IT bezpečnosti světa a sálových světě. Sálové počítače v IT bezpečnostní komunity se mluvilo zašeptal potichu v uličkách. Ani nevěděl, jestli jsou tak bezpečné jako IBM (a mainframers) pohledávky nebo když jsou zralé s problémy s konfigurací připraven být využíván. Tato diskuse bude odstranit některé záhady obklopující mainframe, poškodí, že "starší zdi." Diskuse o tom, jak implementaci zabezpečení na mainframu (včetně, kde najít konfigurační soubory), jak se k nim dostat, jednoduché sítě a konfiguračních příkazů apod. struktura souborů budou prezentovány v rámci tohoto zasedání.
Maltego byl vždy silným favoritem před útokem inteligenčního shromáždění - se stát, že pro sociální inženýrství, doxing nebo pro mapování infrastruktury. Ve skutečnosti je to získal své právoplatné místo v Kali Linux top 10 nástrojů.
Tak dlouho, jak si může pamatovat na Paterva jsme byli naštvaný, že Maltego postrádal schopnost sdílení zpravodajství efektivně. Až dosud jediný způsob, jak sdílet grafů bylo poslat aktuální soubory kolem. To je vše brzy změní - s Tungsten Maltego. Tungsten uvolnění (při BlackHat) umožňuje více uživatelům sdílet grafy v reálném čase. To vytváří zajímavé příležitosti a nové pracovní postupy - najednou budeme mít tým analytiků a / nebo pero testery pracují společně v reálném čase a na stejný cíl. Ať už je to profilování (nebo "doxing"), Human Target nebo útočit síť - v reálném čase graf sdílení máme platformu, kde lze bezpečně (a anonymně) sdílené jak se to stane.
Další chybějící aspekt Maltego byl skutečný skus. V minulosti jsme se záměrně vyhýbal všem z útoku - soustředit se spíše na informační setkání. V tomto rozhovoru jsme se také ukázat, jak integrovat Maltego se standardními nástroji útoků. To se bude pohybovat od infrastruktury útoků, webovou platformu, útok a vzdálené trojské koně na sociální inženýrství, stejně jako odmítnutí služby.
Spojte lidskou inteligenci, stroje (představen v Radium vydání) a spolupráce v reálném čase s těmito silnými transformací a čekat ... oh sítí excelence ... jsme vytvořili monstrum!
On-line reklamní sítě může být webový hacker nejlepší přítel. Pro pouhé haléře za tisíc zobrazení (to znamená, že prohlížeče) jsou poskytovatelé služeb, kteří umožňují široce distribuovat libovolný JavaScript - dokonce i škodlivý javascript! Ty mají používat tuto "funkci", aby zobrazovat reklamy, sledovat uživatele, a dostat kliknutí, ale to neznamená, že musíte dodržovat. Absolutně nic nebrání utratil 10 100 dolarů, nebo více k vytvoření masivní javascript řízené prohlížeče botnet okamžitě. Reálném světě moc je strašidelný cool. Víme, protože jsme testovali ... in-the-wild.
S několika řádků HTML5 a JavaScript kód budeme demonstrovat, jak se můžete snadno zabavit prohlížeče provádět DDoS útoky, podílet se na e-mail spam kampaně, trhlin hashes a dokonce pomoci brute-force hesla. Jednoduše řečeno, pokyn prohlížeče, aby HTTP požadavků neměli v úmyslu, ani něco tak známý jako Cross-Site Request padělání. S CSRF, je zapotřebí žádné nulové dny nebo malware.Jo, a není oprava. Web má fungovat tímto způsobem. Také pěkné, když uživatel opustí stránku, naši kód zmizí. Žádné stopy. Žádné stopy.
Před využitím reklamních sítí, důvod tento útok scénář netrápilo mnoho lidí je, protože to bylo vždy těžké navýšit, což znamená, že současně ovládat dost prohlížeče (aka botnety) k dosažení kritického množství. Dříve webové hackeři snažili otravy výsledky vyhledávání, phishing uživatelům prostřednictvím e-mailu, odkaz spam Facebook, Twitter a instantní zprávy, cross-site scripting útoky, vydávání zmanipulované otevřené proxy, a škodlivé pluginy. Zatímco všechny užitečné metody v určitých situacích, chybí jednoduchost, neviditelnost, a co je nejdůležitější - stupnice. To je to, co chceme! V co nejkratší době, si ukážeme, jak je možné spustit javascript, efektně velkém počtu prohlížečů najednou, a nikdo nebude moudřejší. V současné době je to možné, a praktické.
Využití a rootkitting ARM zařízení stále více a více zajímavější. Tato přednáška se zaměří na využití odpališť (Trusted Execution Environment) běží v ARM TrustZone skrýt TrustZone bázi-Rootkit (uveden na Black Hat EU 2013).
Výrobci mobilních zařízení často multiplex několik kabelové rozhraní do jediného konektoru. Některé z těchto rozhraní, pravděpodobně určené pro testování a vývoj, stále aktivní, když zařízení lodi. Ukážeme vám, jak můžete získat shell na populární mobilní telefon přes USB port bez použití připojení USB a vydáme open source nástroj pro zkoumání multiplexní kabelové rozhraní.
Return-Oriented Programming-(ROP) je základní technika, aby se vyhnula široce používaný DEP založenou na vykořisťování zmírnění. Bohužel, k dispozici nástroje, které vám mohou pomoci najít ROP miniaplikace záviset především na syntaktické vyhledávání. Tato metoda se ukázalo být neefektivní, časově náročné a dělá proces rozvoje ROP založené na shell kód docela frustrovaný pro využívání spisovatelů.
Tento výzkum se snaží tento problém vyřešit tím, že zavádí nástroj s názvem OptiROP, který umožňuje vykořisťování spisovatelé Hledat gadgety ROP s sémantických dotazů. OptiROP podporuje vstupní binární všech spustitelných formátů (PE / ELF / Mach-O) na x86 a x86_64 architektury. Kombinace sofistikované techniky, jako je normalizace kódu, optimalizace kódu, kód krájení, SMT solver, paralelní zpracování a některé heuristické metody vyhledávání, OptiROP je schopen zjistit požadované gadgets velmi rychle, s mnohem méně úsilí. Naše Nástroj také poskytuje detailní sémantický význam každé nalezené gadget, takže uživatelé mohou snadno rozhodnout, jak řetěz jejich gadgets pro konečné shell kód.
V případě, že žádný vhodný gadget se zjistí, OptiROP snaží se pochytat a řetěz k dispozici miniaplikace vytvořit sekvenci gadgets, které splňují vstupní požadavky.To výrazně usnadňuje těžkou práci shell kódu spisovatelů, takže se mohou soustředit svůj čas na jiné nudné částech využívání procesu.
Naše diskuse bude bavit publikum s trochou živé demo, takže můžete vidět, jak OptiROP generuje gadgets v realitě.
Amerika je další velký ropy a zemního plynu boom je tady: Spojené státy jsou na dobré cestě stát se největším světovým producentem ropy v roce 2020. Nové vrty vyžadují nové potrubí pro distribuci jejich štědrost. Tyto ropovody a plynovody křižují zemi nesoucí těkavých kapalin přes hustě obydlených oblastech. Co běží tato potrubí? Jak jsou řízeny? Co se stane, když tento proces pokračuje vymkne kontrole?
Na tom není nic špatného na vaší televizi. Nepokoušejte se nastavit obraz. Jsme řízení přenosu.
"Inteligentní" televizory jsou stále více a více obyčejný. Samsung a další výrobci jako Sony a LG se prodalo více než sto milionů inteligentní televizory se v posledních několika letech. Během této přednášky bude Aaron Grattafiori a Josh Javor projednat Samsung smarttv design, útok plochy a celkovou nejistotu nástupiště. Krátká diskuse o aktuálním zásobníku aplikace, operačního systému, TV a další podrobnosti budou poskytnuty na pomoc půdu pro informace o významných nedostatků zjištěných v rámci Samsung smarttv aplikační architektury, rozhraní API a aktuální aplikace.
Počet zranitelností budou zkoumány a prokázány, které umožňují vývojářům zlomyslné nebo vzdáleně unesená aplikace (například webový prohlížeč nebo aplikacím pro sociální média) umožnit získat úplnou kontrolu nad TV, krást účty uložené v ní a nainstalovat rootkit uživatelské aplikace. Využití těchto chyb také poskytuje možnost pro útočníka používat front-čelí videokameru nebo vestavěný mikrofon pro špionáž a sledování, jakož i usnadnit přístup k místní síti pro další využití. Tato diskuse se bude také diskutovat způsoby, jak obejít to, co (hubený) bezpečnostní ochrany existují a navrhl několik nejhorší možné scénáře (TV červ někdo?).
Uzavření této přednášky bude Áron a Josh diskutovat, co bylo opraveno společností Samsung a diskutovat, co celkové slabosti by se měli vyhnout budoucím "chytrých" platforem. Video ukázky využije a Userland rootkity bude zajištěno.
Svatým grálem směrování útoků je vlastní směrovací tabulky směrovače. V této práci prezentujeme silný útok, který OSPF využívat nově zjištěnou dvojznačnost protokolu OSPF - nejoblíbenější směrovací protokol uvnitř autonomních systémů (AS). Útok umožňuje útočníkovi, který získal kontrolu nad jen jeden router v AS ovládat směrovacích tabulek všech ostatních směrovačů v tom, že AS. Útok může být použita k vyvolání černé díry, síťové řezy a delší trasy s cílem usnadnit DOS domény směrování nebo získat přístup k informačním tokům jinak útočník neměli přístup. Útok může být také použit snadno dos oběť routeru pomocí jediného paketu. Více dodavatelů úsilí je nyní pod způsobem, jak opravit tuto chybu, která v současné době napáchat mnoho dnešních OSPF routery. Tato práce je pokračováním práce "vlastnících Tabulka směrování" Představili jsme v Hat Black USA 2011.
Jedná se o společnou práci s Eitan Menachémův, Yuval Elovici a Ariel Waizel společnosti Telekom inovace laboratoří Univerzity Bena Guriona.
Protáhněte hash (PTH) se stal jedním z nejrozšířenějších útoků, které ovlivňují naše zákazníky a mnoho našich zákazníků, a proto je jejich nejvyšší prioritou pro řešení těchto útoků. V reakci, Microsoft sestavil pracovní skupinu, aby prošetřila účinná a praktická snižující závažnost rizika, které by mohly být použity dnes, stejně jako budoucí platformy úprav. Tato prezentace se bude týkat problému krádeží přihlašovacích údajů a opětovného využití, se zaměřením na Pass-the-hash útoky jako příklad, a diskutovat společnosti Microsoft doporučené snižující závažnost rizika. Předkladatelé jsou členy pracovní skupiny: Patrick džunglí Trustworthy Computing Group a Mark Simos z týmu Cybersecurity Services.
Některé chyby prostě nemůže být oprava. Pass-The-Hash útoky proti podnikům Windows jsou stále úspěšní a jsou populárnější než kdy jindy. Vzhledem k tomu, PTH-Suite byl propuštěn na Black Hat minulý rok, Microsoft publikoval své pokyny pro zmírnění útoku. Skip a Chris se bude týkat některé nedostatky ve svých strategiích a nabízí praktické způsoby, jak detekovat a potenciálně zabránit hashe budou předávány ve vaší síti. Naučte se, jak zastavit útočníka boční pohyb ve vašem podniku.
Možná jste slyšeli předtím - HTML 5 a souvisejících technologií přináší celou zabil nových funkcí, webových prohlížečů, z nichž některé mohou být hrozbou pro bezpečnost a soukromí. Ale jemné interakce mezi méně prozkoumaných koutů nových funkcí prohlížeče mohou mít některé neočekávané a nebezpečné vedlejší účinky.
V této prezentaci, budu představí řadu nových technik, které používají JavaScript na bázi načasování útoků získat citlivá data z vašeho prohlížeče. Ve své řeči se budu demonstrovat cross-browser zranitelná proti Chrome, Internet Explorer a Firefox, které lze použít pro přístup k vaší historie prohlížení a čtení dat z webových stránek, ke kterým jste přihlášeni do. Budu se také podívat na obtíží při stanovení těchto typů chyb.
Cloud zálohování řešení, jako je Dropbox, poskytují pohodlný způsob pro uživatele synchronizovat soubory mezi uživatelských zařízení. Tyto služby jsou velmi atraktivní pro uživatele, kteří chtějí vždy nejaktuálnější verzi kritické soubory na každém zařízení. Mnoho z těchto aplikací, "nainstalovat" do profilu uživatele adresáře a synchronizační procesy jsou umístěny v uživatelském větve registru (HKCU). Uživatelé bez oprávnění správce můžete použít tyto aplikace, aniž by tolik jako objevovat dialogové okno Řízení uživatelských účtů. Tato svoboda je nelegální instalace těchto aplikací ještě pravděpodobnější.
Poskytovatelé Cloud zálohování se přímému prodeji, vedení podniků nabízejících služby, které "zvyšují produktivitu zaměstnanců" nebo "zajistí virtuální týmovou příležitosti." Nabídne, jako jsou tyto, aby bylo častěji než kdy jindy, že nějaké dané podnikatelské prostředí má nějaké řešení cloud zálohování nainstalovány.
Vydali jsme se DropSmack nástroj v blackhat EU. Ukázalo se, podnikovým obráncům rizika vyvolaná software synchronizace cloud a dal pen testery novou hračku na hraní (můžete se vsadit, že pero testeři nebyli jediní, kdo si všiml). V reakci na zpětnou vazbu od původní prezentaci, se DropSmack bylo vylepšeno řešit některé z unikátních provozních výzvám synchronizace prostředí. Zejména jsme přidali možnost pracovat s více služby synchronizace automaticky.
V této přednášce budeme demonstrovat, jak DropSmack v2 práce a vysvětlí, jak ji nasadit v provozním prostředí. My se podíváme na některé z protiopatření na tyto útoky, včetně šifrování synchronizovaných souborů pomocí softwaru třetích stran.Dále budeme zkoumat potenciál využití tzv. "nové generace", firewally porazit DropSmack.
Dozvíte se také o problematice úložiště pověření v kontextu synchronizace služeb cloud. Některé synchronizační aplikace také použít nezabezpečené metody ověřování. Budeme zdůraznit těchto aplikací, takže víte, co funguje a co ne, a co byste měli spustit (chodit) od. Dozvíte se o post-těžebních činností, které lze provést, když váš čerstvě ohrožen cíl je spuštěn cloud synchronizace produktu.
Nakonec si ukážeme, kroky, které musíte sledovat, aby krást přihlašovací údaje pro produkty, které ukládají je. Proč byste měli chtít ukrást uložená pověření pro službu cloud synchronizace se ptáš? Koneckonců, musí být všechny soubory, které byly synchronizovány do oblak již na stroji stačí ohrožena, ne? Ne nutně. Dozvíte se řadu ošklivých věcí, které můžete dělat s portály cloud služby synchronizace, které jste možná nikdy v úvahu., /
Pokud jste sítě obránce, budete opustit tento rozhovor s novým zhodnocení rizika spojená synchronizace cloudové služby (a odporný pocit, pokud je máte ve vašem prostředí). Pokud jste pronikání tester, budete odcházet s novým triků. Ať tak či onak, fun time je určitě, aby se měl o všechno.
Útoky Power analýzy předložit vychytralý způsob praskání kryptografických systémů. Ale při pohledu na prací publikovaných v této oblasti ukazují, že často používané vybavení je poměrně drahé: typický použít osciloskop má často alespoň 1 GSPS vzorkovací frekvence, a pak různé sondy a zesilovače také přidat k této ceně. Co je to špatná výzkumník udělat bez těchto nástrojů? Tato prezentace vám poskytne podrobný popis, jak nastavit napájení analýzu laboratoř za několik set dolarů, ten, který poskytuje dostatečný výkon k útoku na skutečné zařízení. Je založen na nějakém open-source hardware a software jsem vytvořil, a je dost malý na to, aby se vešly do kapsy. To bude živě demonstrován proti mikroprocesoru se provádí šifrování AES, s údaji stanovenými takže účastníci mohou duplikovat demonstraci. Toto je otevřený design hardwaru pro digitalizaci desky, open-source nástrojů pro Python dělá zachycení a open-source například útoky. Podkladové teorie za postranní kanál útoky budou prezentovány, což účastníkům ucelený obraz o tom, jak takovým útokům práce.
Jsou někteří Twitter uživatelé přirozeněji s predispozicí k interakci se sociálními roboty a může sociální bot tvůrci využít tyto znalosti pro zvýšení šance na odpověď?
Sociální roboti jsou stále chytřejší, a překonat jednoduchými reposts obsahu standardizovaný ad pokusit se zapojit uživatele a pak využít této důvěry na podporu produktu nebo agendu. Zatímco hodně výzkum se zaměřil na to, jak identifikovat takové roboty v procesu detekce spamu, menší výzkum se podíval na druhou stranu otázka, zjišťování uživatelů, které mohou být oklamáni roboty. Tato diskuse poskytuje přehled výzkumu a vývoje v oblasti sociální zbrojení bots závod před sdílet výsledky našeho experimentu zkoumá uživatele citlivosti.
Zjistili jsme, že Klout uživatelů skóre, přátelé, jejich počet a počet následovníci jsou nejvíce prediktivní, zda uživatel bude komunikovat s robotem, a to Random Forest algoritmus produkuje nejlepší klasifikátor, pokud je použit ve spojení s vhodnými algoritmy mají pořadí. S touto znalostí, může sociální bota tvůrci výrazně snížit šanci na zaměření uživatele, kteří jsou nepravděpodobné interakce.
Uživatelé zobrazující vyšší úroveň extraverze se častěji k interakci s našimi sociálními roboty. To může mít důsledky pro e-learning založený povědomí odborné přípravy uživatelům vyšší u extraverze bylo prokázáno, že fungují lépe, když mají velkou kontrolu nad učebního prostředí.
Celkově tyto výsledky dávají naději na pomoc pochopit, které uživatelé jsou nejvíce ohroženy sociálním roboty.
UEFI stala v posledních letech velmi veřejný cíl pro rootkitů a malware. Loni Black Hat 2012, snare je bystrý diskuse poukázala na reálné a velmi významný potenciál pro rozvoj UEFI rootkity, které jsou velmi obtížné, ne-li nemožné, odhalit a / nebo odstranit. Od té doby, několik praktických bootkits se objevily.
V boji proti této nové hrozbě, jsme vyvinuli detekce rootkitů rámec pro UEFI ("RDFU"), který zahrnuje jednotnou sadu nástrojů, které řeší tento problém napříč širokým spektrem implementací UEFI. Budeme demonstrovat ukázku bootkit pro Apple OSX, který byl navržen speciálně pro účely testování. Jako řidič UEFI, napadá jádro OSX využívající UEFI "rootkit" techniku. Celý infekce proces provádí v paměti (z místa řidiče UEFI sám). Proto bootkit nepotřebuje instalovat žádné OSX moduly jádra rozšíření. Bootkit demonstruje následující funkce:
Čichání FileVault hesla (čichání klávesy při bootování)
Privilege eskalace (root)
Skrytí PID, soubory a adresáře s vybranými vzory
Zjišťování virových nástrojů Rámec pro UEFI byl vyvinut pod DARPA CFT. Po této přednášce budeme veřejně uvolnit RDFU otevřený zdrojový kód spolu s technickou dokumentaci, které nastiňují možný případ použití této technologie.
Vestavěné systémy jsou všude, od televizorů do letadel, tiskárny ke zbraním řídicích systémů. Jako bezpečnostní výzkumník, když jste tváří v tvář s jedním z těchto "černých skříněk", aby test, někdy in-situ, je těžké vědět, kde začít.Nicméně, v případě, že je USB port na zařízení je užitečné informace, které mohou být získány. Tato diskuse je o použití technik pro analýzu USB stack interakce poskytovat informace, například OS běží na embedded zařízení, rozhraní USB ovladače nainstalovány a zařízení podporována. Diskuse se bude týkat také některé z významných problémů, jimž čelí vědci se snaží využít USB zranitelnosti pomocí Windows 8 USB chyba nedávno objevil u přednášejícího (MS13-027) jako příklad.
Už jste někdy navštívili RFID hacking prezentaci a odešel s více otázek než odpovědí? Tato diskuse bude nakonec poskytne praktické rady o tom, jak systémy RFID bezkontaktní odznak fungovat. Budeme pokrývat co budete potřebovat vytvořit si vlastní RFID fyzické penetrační nástrojů, a jak snadno používat mikrokontroléru Arduino k vyzbrojení obchodní RFID odznak čtenáře - a proměnili je vlastní, dlouhý dosah nástroje RFID hacking.
Tato prezentace se neváží vás s teoretickými údaji, diskuse o rádiových kmitočtů a modulační schémata, nebo mluvit induktivní vazby. Bude sloužit jako praktický průvodce pro penetrační testery pochopit útočné nástroje a techniky, které mají k dispozici za krádež a používání RFID bezkontaktní odznak informace o získání neoprávněného přístupu do budov a dalších zabezpečených oblastí. Schémata a Arduino kód bude propuštěn, a 100 šťastní diváci obdrží vlastní PCB, které můžete vložit do téměř všech komerčních RFID čtečkou ukrást odznak informace a pohodlně uložit do textového souboru na paměťovou kartu microSD pro pozdější použití (např. odznak klonování). Toto řešení vám umožní číst karty až ze 3 stop daleko, což je významné zlepšení oproti několika centimetrů řady společných nástrojů RFID hacking.
Některá z témat, budeme zkoumat, jsou:
Přehled nejlepších hackerské nástroje RFID k dispozici parkoviště pro vaše nástrojů
Krádež RFID bezkontaktní odznak informace od nic netušící kolemjdoucí
Přehrávání RFID odznak informací a vytváření falešné klonované karty
Brute-nutí vyšší privilegované odznak čísla získat přístup k datové centrum
Útok odznak čtenáře a řadiče přímo
Sázení PwnPlugs, malina Pis a podobných zařízení, jako jsou fyzikální zadní vrátka pro udržení vnitřní přístup k síti
Vytváření vlastních RFID hackerské nástroje pomocí Arduino
Bránit se před hrozbami RFID hacking
Tento DEMO bohaté prezentace bude přínosem jak pro nováčky i ostřílené profesionály z oboru fyzikální penetračních testů.
SIM karty jsou mezi nejvíce široce rozmístěných počítačových platformách s více než 7 miliard karet v aktivním užívání. Málo je známo o jejich bezpečnosti nad rámec nároků výrobce.
Kromě hlavní SIM karty "účely identifikace účastníků, většina z nich poskytuje programovatelné Java runtime. Na základě této pružnosti, SIM karet na nejlepší cestě stát snadno rozšiřitelný trust anchor protože jinak nedůvěryhodné chytré telefony, embedded zařízení a automobilů.
Ochrana předstírání SIM karet je založen na pochopení, že nikdy nebyly využívány.Tato diskuse končí tento mýtus z nerozbitného SIM karet a ilustruje, že karty - jako každý jiný výpočetní systém - je sužován implementace a konfigurace chyby.
Tyto útočníci měli plán, že jednal podle svého plánu, a oni byli úspěšní. Ve své první prezentaci, uvedené na Black Hat EU v roce 2013, jsem se vztahuje robustní ICS HoneyNet které jsem vytvořil, a který byl skutečně na ně útočí. V tomto rozhovoru jsem se pokrývají mnoho ze stejných konceptů, ale jdu několik kroků dále, profilování útočníky, které zneužívají svou ICS HoneyNet.
Tato diskuse se budou moci profilovat, poskytovat informace, a seznam subjektů, které napadl mou ICS honeypot prostředí. Tato diskuse bude také ukázku z útočníků v pokroku, exfiltrating vnímány citlivá data. Dále se budu zabývat podrobněji, jak jsem geograficky nachází těmto osobám, a sledovat jejich pohyb, provoz a útoky.
Některá zjištění jsou opravdu překvapivé a podstatné, a moje ne to, co si myslíte, že jsou. Tato diskuse se uvolní zbrusu nových statistik a detaily útoku vidět nikde jinde v rámci komunity ICS.
Font Engine Scaler je široce používán pro kalibraci osnovy písma definice, jako TrueType / OpenType písmo pro glyph na konkrétní velikost bodu a převádí osnovy do bitmapy v určitém rozlišení. Revoluce písma v počítači, který se používá zejména pro účely stylista se, že si mnoho uživatelů ignoruje své bezpečnostní problémy. Ve skutečnosti by Písmo Scaler motoru způsobit mnoho bezpečnostních dopadů, zejména v režimu jádra systému Windows.
V této přednášce se základní struktura motoru Font Scaler diskutovat. To zahrnuje konverzi osnovy do bitmapy, matematický popis každého symbolu v obrysové písmo, soubor výuky v jednotlivých glyfů, které pověřit písma Scaler Engine změnit tvar symbolu a návod tlumočníka atd.
Dále jsme představili naši inteligentní písma fuzzing metodu pro identifikaci nových zranitelností motoru Font Scaler. Jiný tupého fuzzing a zranitelné funkce budou vysvětleny a dokážeme, že hloupý fuzzing technika není dobrá volba pro fuzzing písma Windows.
Nakonec se zaměříme na útoku, které by mohly být použity k zahájení útoků na dálku a na místě. Demonstrace nových písem TrueType zranitelnosti a útoku na Windows 8 a Windows 7 budou zobrazeny.
Je to stát samozřejmostí pro bezpečnostní reportéry a poskytovateli bezpečnostních technologií, které sami najdou cíle hněvu hackerů ", zvláště když dal trestné činnosti do popředí pozornosti. Začátkem tohoto roku, Brian Krebs udělal nějakou práci vystavit "zavaděč" službu. Stejně jako ostatní veřejné bezpečnosti údajů se přistihl, že terčem opakovaných útoků DDoS. V případě, že Brian to vyvrcholilo v "plácat" útok - překvapení návštěva desítek těžce ozbrojené policie na jeho dveře.Výzkum na služby "zavaděč" prozrazuje poměrně jednoduchý, ale vysoce ziskové kriminální komunitu DDoS-pro-najmout webové stránky, které jsou schopné značného vlivu. Pracují podle právních záštitou využití legitimní DDoS služby.Každý, kdo se sekyrou brousit a malé množství peněz, můžete najmout některou z těchto služeb mají téměř každá osoba nebo webové stránky srazil na internetu. Jako ukazatel toho, jak mainstream tyto služby se staly, většina z nich přijímat platby přes Paypal. Tato diskuse se ponořit do nedávné šíření těchto škodlivých komerčních DDoS služeb, a odhalit, co se dozvěděl o svém tajném fungování, vystavovat majitelům pozadí těchto nelegálních služeb, a to, co je známo o jejich cíle a jejich tisíce platících zákazníků. Důraz bude kladen na detaily o zranitelnosti, které jsou ve většině míst, zavaděč a zkušeností můžeme vyvodit, jak terčem těchto útoků mohou bránit.
V této praktické přednášky, budeme zavádět nové cílené techniky a výzkumu, která umožňuje útočníkovi získat spolehlivé šifrované tajemství (identifikátory relace, CSRF tokeny, OAuth tokeny, e-mailové adresy, ViewState skryté pole, atd.) z kanálu HTTPS. Budeme demonstrovat tento nový prohlížeč vektor je skutečná a praktická provedením PoC na hlavní podnikové produkt za 30 sekund. Popíšeme algoritmus za útokem, jak může používání základní statistické analýzy být použita k extrakci dat z dynamických stránek, stejně jako praktické zmírňování můžete realizovat dnes. Budeme také popsat postoj různých dodavatelů SaaS vis-à-vis tohoto útoku.Nakonec poskytovat komunitu s možností stavět na našem výzkumu, stanovení úrovně expozice, a nasadit vhodnou ochranu, vydáme porušení nástroj.
Naše prezentace se zaměřuje na dva živé ukázky vykořisťování a obhajobou široké škále všudypřítomných sítí vestavěných zařízení, jako jsou tiskárny, telefony a routery.
První demonstrace bude obsahovat proof-of-concept vložený červ schopný stealth, autonomní polyspecies propagace. Tento PoC červ bude obsahovat alespoň jeden * 0-day zranitelnosti na Cisco IP telefony, stejně jako několik embedded zařízení zranitelnosti dříve zveřejněny autory. Budeme demonstrovat, jak může útočník získat utajené a vytrvalý přístup k oběti síti přes více vzdálených počátečních vektorů útoku proti směrovačům a tiskáren. Jakmile jste uvnitř, si ukážeme, jak může útočník použít i jiné embedded zařízení jako odrazový můstek ke kompromisu významné části oběti síti, aniž byste museli slevit na univerzální počítače umístěných na síti. Naše PoC červ je schopen sítě průzkumu, manuální full-mesh šíření mezi IP telefonů, síťových tiskáren a síťových zařízení společné.Nakonec si ukážeme, plně autonomní průzkum a využívání všech vestavěných zařízení na demo síti.
Druhá ukázka předvádí host-based vložené obranné techniky, tzv. symbiontů, vyvinuté autorů na Kolumbijské univerzitě za podpory z Cyber DARPA Fast Track a pád programů, stejně jako IARPA je STONESOUP a DHS S & T výzkumných programů.Symbiote, je OS a dodavatelem agnostik host-based obrana navržen speciálně pro proprietární vestavěných systémů. Budeme demonstrovat automatické vstřikování Software symbiotes do jednotlivých ohrožených embedded zařízení předložené během první demonstrace. My pak opakujte všechny scénáře útoku uvedené v prvním demu proti symbiont bránil zařízení k prokázání real-time detekci, varování a zmírnění všech škodlivých vložených implantátů používaných naší PoC červa.Nakonec ukážeme, škálovatelnost a integraci symbiont detekce a výstražné mechanismy do stávajících podnikových systémů Endpoint Protection jako koncový bod Symantec.
Během posledních dvou let jsme objevili zranitelnost a rozvíjet a využije pro několik vestavěných systémů. 2011 měl nejen nevěřící verze Cisco IOS rootkit ("Zabít Mýtus Cisco IOS rozmanitost" Black Hat USA), ale také HP RFU zranitelnost ("Tisk mě máte-li odvahu," 28C3). V roce 2012 jsme uvedli na Cisco IP telefonu Chyba zabezpečení jádra systému ("Hacking Cisco telefony", 29C3). Zatímco každý exploit zaměřen na jednom zařízení, jsme navrhli polyspecies škodlivému množení v zařízení, které by mohly z jednoho typu se používá k využití zařízení na zcela jiného druhu. V této prezentaci se prokázat tiskárny HP používají k využití dva různé Cisco IP telefony (který zahrnuje přesto-k-být-zveřejněny eskalaci práv exploit na 8900/9900 sérii). Můžeme hodit čtvrtiny přesto-k-být-jmenován zařízení jen na správnou míru. Pak jsme se stejné zařízení ve stejné síti a nainstalovat host-based obranu odhalování nebo předcházení stejné využije.
V TERIDIAN 8051 založené na čipy se nacházejí v různých místech v každodenním životě, od inteligentních energetickou síť na čipové karty a PIN polštářky. Zatímco nejvíce prominentní umístění v USA je v současné době metrologie a měření výkonu straně inteligentních měřicích přístrojů, 8051 Jádro je všudypřítomný v embedded zařízení. Oni jsou navíc uvedeny v automatizaci distribuce elektrické energie (backend výkon odhazování uvnitř utility) a domácí automatizace (monitorování využívání energie a změny konfigurace zařízení a podobné v domácnosti).
TERIDIAN System-on-a-Chip platforma zábaly kompletní systém kolem upravené jádro 8051, s dalšími funkcemi pro zabezpečení čipu zablokovat ladění funkce a externí přístup k paměti. Navíc, Harvard architektura konstrukce nastaví poměrně tuhé bariéry mezi kódu a dat (na rozdíl od x86/64), která uvádí neúmyslné bezpečnostní bariéru, poněkud podobný k robustní hardware DEP na x86/64 platformách.
V této přednášce se budeme rychle pokrýt architektura a systém přehledy, pak se ponořit do scénáře odlovu s technikami k útoku Harvardská architektura systémů a realizace bezpečnostní kód. Výsledky konečného stavu zahrnují cesty k získání kýžené binární obrazy firmwaru a rezidentní kódu.
SSL a TLS se staly de facto standardy pro dopravní vrstvy šifrování. V uplynulých letech, mnoho chyby byly odhaleny v obou norem, jejich provádění a způsob, jakým lidé konfigurovat a používat je. Tato diskuse je zkoumá v detailech méně známé a méně mluvil o součást standardu, který poruší některé z bezpečnostních vlastností by se dalo očekávat. Nástroj umožňující soudní vymáhání holého textu (i když PFS kódy jsou používány), bude propuštěn.
Aaron Swartz, geniální programátor a aktivista, spáchal sebevraždu v lednu. V době jeho smrti, Aaron čelí obvinění z trestných činů nesoucích možnost desetiletí ve vězení na základě jeho použití v síti areálu MIT ke stažení miliony časopiseckých článků z databáze stipendia.
Aaron smrt vyvolala bouřlivou veřejnou diskusi o faktory, které přispěly k jeho tragédií, včetně mnoha problémů s počítačem podvod a zneužití aktu, včetně jeho vágního jazyka a drsné pokutového režimu. Informační bezpečnosti má důležitou roli v oblasti vzdělávání a přesvědčování zákonodárců k reformě tento nebezpečný zákon. Na tomto setkání radnice, připojit aktivistů zapojených do reformních snah CAFA, aby diskutovali o tom, jak se můžete zapojit do veřejné diskuse kolem CAFA reformy a přitom strategii, jak mít největší dopad.
Navzdory skutečnosti, že UART byl asi navždy, a je ve skutečnosti často používané zranitelnosti výzkumníků v hardwaru prostoru, nebylo diskutována specializované téma na jeho vlastní. Tato diskuse je zaplnit tuto mezeru. Budeme poskytovat přehled o tom, co je UART, nástroje, které existují s ní pracovat, a poskytnout příklady, proč bezpečnostní výzkumník by se měla starat. Budeme také zkoumat, proč UART je mocný přítel pro každého, kdo má rád opakované využití hardwaru.Budeme také BKMs pro firmy, stavební výrobky, které obsahují UART pro snížení pravděpodobnosti, že bude použito proti nim.
Dnešní obchodní DDoS zmírnění technologie používají mnoho různých metod identifikace DDoS přenosů a blokování těchto hrozeb. Běžné techniky se pohybují od základní poškozeným dopravní kontrole na dopravní profilování a omezení rychlosti, ověření provozu zdroje a tak dále, s využitím interního přesměrování javascript nebo CAPTCHA založené na autentizaci přičemž nejúčinnější zdaleka.Nicméně, v našem výzkumu nedostatky byly zjištěny v každé takové techniky.
Jsme zavedli všechny naše využije na PoC útoku nástroj, což je téměř stoprocentní DDoS zmírnění obtok proti všem existujících komerčních řešení DDoS zmírnění.Rozvětvení je obrovský, protože pro drtivou většinu webových stránek, tato zmírňující řešení stojí jako jejich poslední linii obrany, přičemž tento poslední řádek porušení může vystavit backend těchto webových stránek "na ničivé škody.
Jsme zkoumal intenzivně celý rozsah DDoS zmírnění technologií dostupných na dnešním trhu, odhalování protiopatření techniky, které zaměstnávají, jak fungují a jak je porazit každého z nich. V podstatě bypass je dosaženo díky emulaci legit dopravní charakteristiky. Poté náš útok nástroj je představen demonstrovat, jak lze všechny tyto exploity se sešli ke spuštění "dvojitý útok" obejít všechny vrstvy ochrany, aby bylo možné získat přístup k backendu.
U příležitosti zveřejnění tohoto rozhovoru, naše vysoce efektivní _attack_tool_will_be_made_freely_available_. Účinnost tohoto nástroje je znázorněn pomocí zkušebních výsledků v boji proti konkrétních zmírňujících produktů DDoS a populárních webových stránek známo, že jsou chráněny konkrétních technologií.Na závěr našeho výzkumu je next-gen zmírnění technika také navrhl jako protiopatření proti našemu útoku metodiky.
Každý den vyrábíme spoustu digitálních strouhankou prostřednictvím našich aktivit v on-line služeb - od sociálních sítí, sdílení fotografií, e-mailové konference, online fóra a blogy na více specializovaných nástrojů, jako je například zavazuje, že open source projekty, poslech hudby služby a cestovní plány. Ty byly dlouho známí poskytnout užitečné informace při profilování cíl pro účely sociálního inženýrství, a to zejména kvůli zběsilé tempo a často bez cenzury způsob, ve kterém se vytvářejí takový obsah.
Naše diskuse trvá nástroj orientovaný přístup k těmto profilování činností. Při použití techniky dolování dat v kombinaci s zpracování přirozeného jazyka, můžeme určit vzory ve způsobu, jakým uživatel komunikuje s ostatními uživateli, jeho obvyklá volba slovní zásoby a frází, přátelé / kolegové se nejčastěji komunikuje s jakož i tématy s nimi . Konzumací veřejně dostupných údajů, jak pomocí oficiální API a škrábání webové stránky, náš profil použít k ověření, jak blízko kované obsah je skutečným cílem generovaných dat.
Budeme diskutovat indexování nestrukturovaného obsahu, včetně otázek, jako jsou právní a technické důsledky používání oficiálního API oproti škrábání Jak se staví grafy uživatelského vztahu a jak přidat časové odkazy na shromážděných údajů.
Budeme také uvolnit nástroj, který automatizuje dolování dat a zpracování přirozeného jazyka (NLP) nestrukturovaných informací k dispozici na veřejných datových zdrojů, stejně jako porovnání obsahu vytvořeného uživatelem proti generovaného profilu pomocí různých kritérií, včetně:
Síť přáteli / kolegy;
Frekvence komunikace s přáteli / kolegy;
Společné zájmy mezi cíli a přáteli / kolegy;
Koníčky a osobní činnosti;
Nadcházející a minulé cesty;
Frekvence použití sloves;
Frekvence použití přídavných jmen;
Frekvence použití podstatných jmen;
Průměrný počet slov na větu nebo odstavec
Zatímco tam bylo hodně výzkum provádí automaticky reverzní inženýrství virtualizačních obfuscators, tam byl žádný přístup, který nevyžaduje mnoho člověkohodin identifikaci bytecode (statické přístupy) nebo kompletní rekreaci na bytecode zpět na původní zdrojové formě (dynamické přístupy). Nástroj jsem vytvořil, Virtuální Deobfuscator bude vyžadovat žádné statické člověkohodin couvání na bytecode umístění nebo jak VM tlumočník funguje a bude znovu pokyny téměř rovnocenné originálního návodu.
Věříme, že chyby v síťové protokoly nebudou objeveny, pokud fyzické vrstvy komunikačních plechu řešení jsou k dispozici výzkumníky bezpečnosti. Aby bylo možné mít důvěru v našich sdělovacích prostředků je třeba schopnost monitorovat a modifikovat pakety převedeny na drátě. 802,11 monitorování sítě povoleno nedostatky v WEP a WPA, které mají být vystaveny, Bluetooth Low Energy sledování ukázalo, problémy v klíčových výměnného protokolu, ale jsou často důvěřiví drátových spojů. Projekt Daisho je pokus opravit tuto důvěru tím, že umožňuje vědcům zkoumat drátových protokolů za použití existujících softwarových nástrojů, pokud je to možné. Daisho je open source, rozšiřitelný modulární síť kohoutek pro kabelové sdělovacích prostředků, jako je Gigabit Ethernet, připojení HDMI a USB 3.0 připojení. Všechny aspekty projektu jsou open source, včetně návrhů hardware, software a FPGA jádra. Projekt je produkovat první open source USB 3.0 FPGA jádro.
Federální anti-hacking právo, Computer podvod a zneužívání zákona, je nechvalně známý pro své široké jazyka a těžké tresty, a byl použit v posledních letech, aby těžkopádný obvinění proti cílům jako Andrew Auernheimer (aka Weev) a Aaron Swartz. Tato prezentace bude vysvětlovat, proč CAFA je takový nebezpečný nástroj v rukou příliš horlivý zástupců. Budu zkoumat některých právních precedentů nejdůležitější pro komunitu bezpečnosti informačních systémů, včetně případů na skenování portů, porušuje Podmínky užívání stránek a navrhování nástrojů schopných obejít technické kontroly přístupu. Budu také vysvětlit stíhání proti Weev do hloubky a diskutovat o jeho větší dopad na zabezpečení výzkumných pracovníků. Nakonec budu diskutovat, co odborníci na bezpečnost se mohou učit od těchto případech snížit potenciál pro právní problémy.
Pojďme se podívat na místa, kde je kritická data uložena pro další analýzy poté. Je to Business Warehouse (BW) a velkých objemů dat. Klasické zpracování online transakcí (OLTP systémy) nejsou zcela vhodné pro zpracování velkých objemů dat, proto byly nahrazeny OLAP s multi-dimenzionální struktury. Tato technologie je přítomen téměř ve všech aplikacích Business Intelligence včetně hlavních výrobců, jako jsou Microsoft, Oracle a SAP. Všechny kritické firemní data na jednom místě, no ... není to sladké cílem pro útočníka?
Technologie OLAP přinesl spoustu nových termínů a pojmů do světa: OLAP krychle, opatření, rozměry, XMLA a jazyk MDX, který se používá pro požadavky na vícerozměrných datových struktur. V dnešním Business Intelligence (BI) trhu, většina OLAP servery a téměř všichni klienti BI mluvit MDX. Tato přednáška bude obsahovat podrobný popis všech subjektů této technologie a zejména požadavek MDX jazyk. Diskuse bude také přehled možných MDX souvisejících s útoky, stejně jako přehled o vložení kódu, vyhledávání dat a aktualizace vektorů.
Navíc, ukážu některé příklady systémů, které lze zneužít MDX souvisejících chyb, jejich systém související s rozdíly, post-těžebních vektorů, a cheat list s nástrojem pro zjednodušení MDX injekce.
Tato přednáška představí některé z nejnovějších a nejmodernějších optimalizaci a zmatek dostupných technik v oblasti injekce SQL. Tyto techniky mohou být použity k obcházení firewallů pro webové aplikace a systémy detekce průniku na alarmující rychlostí. Tato diskuse bude také demonstrovat tyto techniky na obou open-source a komerčních firewallů a prezentovat ALPHA verzi rámci tzv. Skákání přes kozu, která Roberto vyvíjí; Leapfrog je určen na pomoc bezpečnostní profesionály, IT správcům, firewall dodavatelé a firmy v testování jejich pravidla brány firewall, a provádění, zda jsou dostatečné, obrana opatření k zastavení skutečný kybernetický útok.
Mnohé z těchto technik, které budou prezentovány byly vytvořeny Roberto Salgado a jsou v současné době jedny z nejrychleji metod získávání informací z databáze pomocí injekce SQL. Roberto bude demonstrovat, jak snížit množství času to bere pro využití SQL Injection o více než třetinu času, který by za normálních okolností trvat. Bude také doložit, proč firewally a systémy detekce průniku nejsou dokonalým řešením pro bezpečnost a důvod, proč by další měření také být provedena.
Za méně než 500 dolarů, můžete si vytvořit svůj vlastní mobilní Intrusion Detection System pro detekci škodlivého činnost prostřednictvím vlastní lokální femtocelů.Náš tým vám ukáže, jak se zadlužuje root na femtocelů, reverzní inženýrství aktivační proces, a obrátil ji do proof-of-concept mobilní monitorovací sítě narušení systému.
Máme pákové komerční Home Node-B ("femtocell") a vytvořit 3G mobilní sítě sniffer, aniž byste museli reimplement UMTS nebo CDMA2000 zásobníků protokolu.Uvnitř Faradayovy klece, jsme propojeni smartphony s upravenými femtobuňky systémem Linux distribuce a přesměrovat provoz na Snort instance. Pak jsme zachycen provoz z infikovaných telefonů a ukázaly, jak Snort je schopen detekovat a upozornit na nebezpečný provoz. Také jsme psali vlastní CDMA protokol Dissector aby lépe analyzovat CDMA provoz.
Embedded zařízení se stávají "obvyklé přítomnost" v síti (m) každé domácnosti (y), SOHO, podniku nebo kritickou infrastrukturu.
Kázal Internet věcí slibuje, že "triliony" uple jejich počet a různorodost v příštích několika letech.
Nicméně, embedded zařízení se stávají v poslední době se "obvyklí podezřelí" v narušením bezpečnosti a bezpečnostní rizika upozorňováni, a tak se stát "Achillovou patou" něčí celkové zabezpečení infrastruktur.
Důležitým aspektem je, že vložené zařízení běží na to, co je obecně známý jako firmware.
Abychom pochopili, jak zabezpečit embedded zařízení, je třeba pochopit jejich firmware a jak to funguje.
Tento workshop se zaměřuje na prezentaci rychlý start, jak kontrolovat FW a hands-on s prezentací cvičení na reálných firmware z hlediska bezpečnostní analýzy.
On-chip ladění (OCD) rozhraní může poskytnout na úrovni čipu kontrolu nad cílovým zařízením a jsou primární vektor používané hackery k získání programový kód nebo data, měnit obsah paměti, nebo ovlivnit chod zařízení on-the-fly. V závislosti na složitosti cílového zařízení, jsou k dispozici manuální umístění OCD spojení může být obtížný a časově náročný úkol, někdy vyžadující fyzické zničení nebo úpravy zařízení.
V této relaci se Joe představit JTAGulator, open source hardware nástroj, který pomáhá při identifikaci OCD spojení z testovacích bodů, průchody, nebo komponentní polštářky. Bude se diskutovat o tradiční hardwarové metody reverzního inženýrství a dosavadního stavu v této oblasti, jak OCD rozhraní fungují a jak JTAGulator může zjednodušit úkol objevovat takové rozhraní.
Bezpečnostní zařízení, vše od firewallu pro přístup k šifrovaným SAN zařízení jsou velmi levný v těchto dnech. Prodejci jsou házení žargon do všeho, co jen možné, aby spotřebitel, že oni mají top-of-line zařízení, s každou možnou funkcí člověk mohl chtít. Každý, kdo slyšel prodejní akce, ale někdo opravdu vzít čas na ověření tvrzení, nebo porozuměli, jak tyto přístroje fungují?
Půjdeme do hloubky na metodách, které používáme poškodí kalené bezpečnostní zařízení pro analýzu pomocí reálných příkladů, kdy je to možné. Doufáme, poukázat na možné selhání body v konstrukci bezpečnostní zařízení, aby bylo možné lépe vzdělávat kupující a výrobce o tom, proč produkty nezdaří. Budeme analyzovat metody správy klíčů, šifrovací implementace, obnovení systému detekce sabotáže, rozhraní a mnohem více.
Kukačka Sandbox je široce používaný open-source projekt pro automatizované malware dynamické analýzy. Trvá to nebezpečné dokumenty nebo URL jako vstup a poskytuje jak základní přehled zpráv, jakož i podrobná stopy volání API z činností pozorovaných uvnitř virtuálního stroje. Projekt byl založen Claudio Guarnieri a je speciálně vyvinuta čtyřmi vývojáři ve volném čase ao víkendech. Kukačka Sandbox odlišuje od jiných řešeních, díky své modulární konstrukci a flexibilní možnosti přizpůsobení. Vzhledem k této jedinečné důrazem několik velkých IT korporace a bezpečnostních agentur spustit Kukačka Pískoviště pro analýzu vzorků malwaru na denní bázi, a to je často umístěny vedle tradičních výrobků perimetru jako přidanou zbraň na incidentů a arzenály bezpečnostních týmů. Být open-source, ale také umožňuje nezávislé a akademické bezpečnostní výzkumníci použít plnohodnotnou analýzu malware pískoviště volně.
Pro nejnovější dostupnou verzi jsme viděli více než 8000 ke stažení a několik set neustále běžící nasazení s povoleným kontroly update-. Tato komunita rovněž přispívá k projektu v různých formách, jako jsou pokyny k nastavení kódu příspěvků, chování podpisů, požadavky na nové funkce a použitelnosti zpětnou vazbu a je aktivně zapojen do konverzace přes e-mailových konferencí a IRC.
Vývojový tým již představila o projektu a provedených školení na několika příležitostech. Avšak vzhledem k množství nových funkcí a zvýšené úsilí vývoje, projekt roste a stává se více stabilní a schopný v nedávné době. Z tohoto důvodu chceme uspořádat seminář, který jsme vytvořili od začátku se zcela novým přístupem. To předvede nástroje obsahují několik náročných hands-o cvičení s zajímavých vzorků malwaru a vysvětlit možnosti přizpůsobení opět s příklady, které účastníci mohou vyzkoušet. Navíc v této prezentaci budeme zabývat náš nový VM-introspekce založené modul analýzy poprvé. Máme v úmyslu uvolnit ji jako alternativu k naší userland nadechl přístupu založeného za účelem vyhnutí malware se snaží odhalit nám. Takže v budoucnu, mohou uživatelé použít několik metod analýzy a porovnat výsledky určit únikové techniky.
Diváci se mohou spolupracovat a podílet se na dílně jen s webovým prohlížečem a ssh klient.
Otestujte si své sítě forenzních-fu v této smrtící dílně. Účastníci obdrží zbrusu novou verzi této sítě zachytí Forenzní pracovní stanice a paket obsahující VoIP, video streaming, IRC provoz, proprietární protokoly TLS šifrováním provoz, Aplikace pro Android dopravy a další.
Wireshark tě nezachrání v tomto Battle Royale! Soutěžící budou muset:
Reverzní inženýr proprietární protokol odhalit tajný dokument
Ručně extrahujte streamované video z relace VLC
Carve telefonního hovoru při dopravních SIP
Crack TLS šifrováním Facebook provoz z mobilního telefonu relaci k zachycení podezřelého umístění
Porazit všechny ostatní síťové forenzní expert na řešení
Nejrychlejší síť forenzní expert vyhrává! Kola jsou časované, a první osoba, která má řešit v každém kole vyhraje cenu. Řešení budou přezkoumány v průběhu workshopu. Dostanete, aby důkazy a sítě forenzních pracovní stanice obraz.
PDF útok: Cesta z Exploit Kit na shell kód dílna, ukázat, jak analyzovat zatemnil JavaScript kód z Exploit Kit stránky, extrahovat použité využije, a analyzovat je. V dnešní době je možné použít automatizované nástroje pro získání adresy URL a binární soubory, ale je také důležité vědět, jak to udělat ručně nenechte ujít detail.Zaměříme se na dokumentech PDF většinou, od jednoduchého JavaScriptu dokumentu World Hello a konče skutečným souborem, který používá čerstvé Exploit Kit. Tento seminář bude zahrnovat také cvičení upravit škodlivé soubory PDF a poplést je pokusit se obejít AV software, velmi užitečné v pentesting. Nejnovější verze peepdf (je součástí REMnux, BackTrack Linux a Kali), budou použity pro splnění těchto úkolů, a proto tato prezentace týká nejnovější triky používají zločinci, jako je použití nových filtrů a šifrování, aby analýzu složitější.
Dnes je celá činnost společnosti závisí na podnikové obchodní aplikace. Jsou to velké systémy, které uchovávají a zpracovávají všechny důležitá data firem. Veškeré informace, útočník by mohl chtít, ať už je to cybercriminal, průmyslové špionážní nebo soutěžící, je uložena zde. Tyto informace mohou zahrnovat finanční, zákaznické nebo public relations, duševní vlastnictví, osobní informace a další.Průmyslová špionáž, sabotáž a podvodu nebo zpronevěry zasvěcených mohou být velmi efektivní, pokud zaměřena na oběti obchodní aplikace a způsobit značné škody na podnikání. Existuje mnoho druhů těchto aplikací: ERP, CRM, SRM, ESBs.Bohužel, je stále velmi málo informací o bezpečnost těchto systémů, zejména jak pentest je.
Během naší práce na OWASP-EAS podprojekt, sešli jsme se top 10 kritických oblastí (podobně jako většina podnikových aplikací), takže budeme prezentovat solidní přístup k pentesting tyto druhy systémů. Podíváme se na tři různé systémy od špičkových dodavatelů podnikových aplikací: SAP, Oracle a Microsoft, a ukázat, jak se pentest jejich používání našich cheatsheets, které budou vydány pro BlackHat, stejně jako bezplatný nástroj: ERPScan Pentesting nástroje.
To bude prezentace zaměřené na zneužívání webových aplikací API pomocí souvisejících Android aplikací. Budeme demonstrovat pomocí JVM skriptovací jazyk založený na JRuby načíst, upravit a spustit kód z cílených APKs ve snadno skriptech.Budeme Díky této prokázat attacks proti Web API, které snížily své požadavky na zabezpečení, aby umožňovaly tření mobilní zážitky, například odejmutí potřebu captchas, email ověřování a jiném provozním omezení. V návaznosti na to, že ukážeme kód vycházející ze stávajícího testovacího rámce Burp apartmá a jeho rozhraní Ruby Buby, aby požadavky na API funkci používat jsme vystaveni prostřednictvím skriptování najít různé odpovědi na podobné požadavky a identifikaci potenciální slabá body. Budeme uzavírat s několika případových studií populárních aplikací demonstrujících soukromého klíče získávání, libovolné neomezené Vytvoření účtu na sociální síti, a vyhledávání a využívání vlastních šifrovacích rutin v našich vlastních skriptů bez nutnosti pochopit jejich provádění.
Agresivní praktiky sběru dat od poskytovatelů mobilních vyvolaly novou FCC zájem o uzavření mezery v právních předpisech v ochraně spotřebitele soukromí. Napětí existují mezi spotřebiteli a nosičů, jakož i mezi regulačními orgány. Tato přednáška se bude zabývat současnou krajinu z technické, tak i regulačního hlediska, a zjistit, jak to může změnit v blízké budoucnosti.
Stav zabezpečení aplikace je přímo úměrná množství informací, které je známo o aplikaci. I když výhody analytiky z hlediska vědy dat jsou dobře známé a dobře zdokumentované, výhody analýzy z hlediska zabezpečení webové aplikace nejsou ani známé, ani dobře zdokumentovány. Jak můžeme my, jako webové lékařů zabezpečení aplikací, využijte velkých datových sad zlepšit stav zabezpečení našich aplikací? Tato diskuse se ponořit do způsobů, jak velké analýzy dat může být výhodou pro vytvoření účinné obrany webových aplikací dnes. Budeme nastínit základní problémy, které mohou a měly by být řešeny s velkými daty a nastínit třídy bezpečnostní mechanismy, které prostě, na základě jejich povahy, nelze řešit s velkými daty. Po pochopení je vybudována, budeme zkoumat několik konkrétních příkladů, které nastiňují, jak jeden bezpečnostní tým používá velkých objemů dat každý den řešit těžké, zajímavé problémy a vytvořit bezpečnější prostředí pro své uživatele.
Jsme znovu UI útokům (např. clickjacking) z hlediska percepční a tvrdí, že omezení lidského vnímání, aby UI zabezpečení obtížné dosáhnout. Vyvíjíme pět nových útoků, které jdou nad rámec současných bezpečnostních obrany UI. Naše útoky jsou silné se 100% úspěšností v jednom případě. Nicméně, oni jen poškrábat povrch možných útoků na vnímání bezpečnosti UI. Jsme hovořili o možnostech obrany proti útokům naše vnímání a zjistíte, že možná obrana buď nepřijatelné použitelnosti cenu nebo neposkytují komplexní ochranu. Nakonec jsme předpokládají, že počet útoků je možné se více komplexní studii lidského vnímání.
Falešně pozitivních je velkým problémem v oblasti bezpečnosti prostoru.Organizace mohou strávit více času a inženýrství na snížení rámcových než na detekci nového malwaru. Whitelisty může pomoci, ale tam jsou problémy s nimi.Mnoho organizací nedovolí výměnu souborů pro důvody autorského práva. 3. Vývojáři se musí vypořádat s několika výrobců bezpečnostních řešení, aby si jejich software whitelisted.
CMX je systém napájen z IEEE. 3. strana vývojáři softwaru mohou podat metadata pro své aplikace do jediného portálu. Bezpečnostní prodejce účastníci pak mohou vytáhnout - v reálném čase - to vše metadata tlačen do systému. Protože pouze metadata dochází k výměně, nejsou tam žádné problémy autorských práv.
Tento systém by značně zjednodušilo udržování globálních whitelistů.
Vzhledem k explozi počtu unikátních malware binární soubory na internetu a pomalým proces potřebný pro ruční analýzu těchto binárních souborů, bezpečnostní praktici dnes mají pouze omezený přehled o funkčnosti realizovaného světové populace malware. K dnešnímu dni málo práce byla zaměřena výslovně na rychle a automaticky detekovat celou řadu propracovaných funkcí hladiny škodlivého softwaru, jako je například schopnost malwaru pořizovat snímky, komunikovat přes IRC, nebo tajně ovládat kamery uživatelů.
Pro řešení tohoto rozdílu, jsme debut CrowdSource, open-source strojové učení založené na reverzní inženýrství nástroj. CrowdSource přistupuje k problematice identifikace malwaru schopnosti novým způsobem, tím, že cvičí malware schopností detekce motor na miliony technických dokumentů z webu. Naše intuice tohoto přístupu je to, že inženýři malware reverzní již spoléhají na webu "davu", (provádějící vyhledávání na webu zjistit účel obskurních funkcí volání a byte řetězce, například), tak automatizované přístupy, pomocí nástrojů strojového učení, by také měla využít tohoto bohaté a přesto nevyužitého zdroje dat.
Jako nová detekce malware schopnosti přístupu CrowdSource provede následující akce:
Generuje seznam nalezených softwarových funkcí, na nových vzorků malwaru (např. schopnost malwaru komunikovat přes konkrétní protokol, výkon dané datové průsaků činnost, nebo načíst ovladače zařízení);
Poskytuje výstup pro sledovatelné schopností detekce tím, že zahrnuje "citací" na webových technických dokumentů, které jsou založeny na detekce;
Poskytuje detekci malwaru pravděpodobnostní schopností v případě potřeby: např. může být výkon systému číst, "s ohledem na následující webové dokumenty jako důkaz, že je 80% pravděpodobnost, že příklad používá jako IRC kanálu C2 a 70% pravděpodobné, že také šifruje tento provoz."
CrowdSource je financován v rámci DARPA Cyber Fast Track iniciativy je vyvíjen podle strojového učení a malware analytické skupiny v Invincea Labs a je naplánovaný na beta, open source uvolnění do bezpečnostní komunity letos v říjnu.V této prezentaci budeme dávat kompletní informace o našem algoritmu CrowdSource tak jak je, včetně přesvědčivé výsledky, které ukazují, že CrowdSource již mohou rychle zvrátit inženýr řadu v současné době aktivní malware variantách.
Představte si, že DDOS'd opakovaně až 10Gbps provozu na denní bázi. Vaše záznamy jsou k ničemu (pokud vaše systémy jsou dokonce schopny shromáždit údaje). Jak zastavit útoky? Zmrzačení Distributed Denial of Service "jako služba" nebo DDoSaaS (tm) útoky může být provedeno s 200 dolary celoživotní členství proti největších organizací po - a téměř nemožné přestat. Asymetrické válčení v té nejlepší kvalitě.
Prezentace se zaměří na zkoumání, která byla provedena v roce 2013, pokud jde o velký DDOS útok proti regionálního ISP v Quebecu, Kanada. DDoS útok postižených desítek tisíc občanů, včetně komunálních služeb (911 neptejte) do kuřecích zemědělce.
Promluvíme si o vyšetřovacích technik (včetně sociálního inženýrství), které byly použity k vypátrat podezřelého a případné uvěznění.
V tomto věku levné a snadné DDOS útoků DDoS služby slibují jít mezi serverem a internetem, které vás ochrání před útočníky. Cloud DDoS trpí několik zásadních nedostatků, které budou předvedeny v tomto rozhovoru. To byl původně objeven v procesu vyšetřování škodlivé webové stránky chráněné Cloudflare, ale problém se týká také celou řadu dalších služeb cloud včetně ostatních mraku na základě anti-DDOS a poskytovatelé WAF. Vyvinuli jsme nástroj - tzv. Cloud povolena Ne - že bude využívat tuto novou Cloud Security ruční metodou a odhalit správně nakonfigurován DDOS chráněné webové stránky. Tato diskuse bude také diskutovat o jiných odhalovat metody a poskytne vám arzenálem provést audit své cloud DDOS nebo WAF ochranu.
LTE je NGN, že je vše na bázi IP s lepší kapacity, rychlosti a zisk, ale přináší rizika bezpečností na internetu v telekomunikačních sítí, které byly dosud uzavřeny. To přichází s novými zranitelnosti, má více útočných povrchy a je více pravděpodobné, že bude napaden v blízké budoucnosti. S širší bezpečnostní hrozby otevírá nové dveře pro vetřelce. Nová infrastruktura prvky IMS, STP, SIGTRAN a SS7 síťové protokoly mají neopravených zranitelností a více vstupní body pro DDoS spuštění kódu, což může vést k narušení zákazníka hlasové a datové soukromí. Techniky k provedení útoků, jako DDOS, paket čichání a VOIP,, modifikace útoky na aplikační vrstvě budou diskutovány zde.
Obchodní forenzní software, jako je obalit, FTK a X-Ways Forenzní využívá stejnou knihovnu komponent pro prohlížení obsahu souborů. Pokud je knihovna komponent zneužitelné, se spousta forenzních vyšetřovatelů vystaveny rizikům, jako je malware a zmrazení softwaru zaškrtnutím vytvořený škodlivé soubory.
Tato prezentace představuje anti-forenzní techniky využívající zranitelnosti komponenty vložené do forenzní software. Konkrétně si ukážeme jeden nebezpečný soubor může vyvolat spuštění libovolného kódu na více soudních softwarových produktů. Využití má velký vliv na soudního vyšetřování, protože většina forenzní software zahrnuje to.
Prezentace se skládá následovně. Nejprve vysvětlím File Viewer komponent ve forenzní software a jak chmýří s vlastním skriptem forenzní software, MiniFuzz a kernel driver pro anti-ladění. Dále jsem popsal dvě chyby (přetečení haldy a nekonečná smyčka DoS) detekovány fuzzer tedy prokázat, spuštění libovolného kódu a zavešení forenzní software procesu s využitím škodlivé soubory. Také jsem vyplnit mezery na některých triků pro využití přetečení haldy (např. přepsání ukazatele na funkce, najít stav haldy stříkání s bitmapovými obrazy). Nakonec jsem se odkazovat na protiopatření.
Tradiční Anti-Virus paradigma se zaměřuje na signatur a behaviorální detekce. Ty vyžadují značnou zpracování, což poškozuje pouze omezený výkon zdroje telefonů.Také dopravci jsou ochotni a pomalé dodat Firmware Over The Air (FOTA patche), vzhledem k přísným zkouškám, které potřebují, aby se na změnách, a náklady na over-the-air aktualizace. Přechod na cloudové screeningu nedokáže pochopit, že ne všechny hrozby budou šířeny na páteř, může poplést se v tranzitu, nebo bojovat (jako rootkity dělat) vyhnout se podávání zpráv nebo použití technik takový jako "Google přepínače kill" .
Výrobci hardwaru hodnotí bezpečnostní řešení s podporou hardwaru, jako TrustZone, ale zároveň to snižuje zranitelnost, ale stále odhaluje útoku. Software založený na osvědčení bylo navrženo několik výzkumných skupin na základě různých metod, které jsou založeny na fyzikou zařízení (například na rychlosti sběrnice, atd.) k detekci nežádoucích rutiny. Tyto techniky obvykle vyžadují určitou hardwarovou podporu na zařízení, i když, jako důvěryhodnou autentizaci (zařízení k externímu ověřovatelem) a časovač, který nelze manipulovat malware.
Fast-flux sítě bylo přijato útočníků na mnoho let. Stávající funguje pouze soustředí na charakteristiky, jako jsou rychle se měnícím kurzu IP adres (např. záznam) a adresy DNS serveru (NS záznamy), jediný tok / dvojitý tok struktura atd. V této práci jsme sledovat a analyzovat více než 200 Fast-flux domén a zjistili jsme, že rysy fast-flux sítě se posunuly. Přesněji řečeno, jsme zjistili, že rychlost změny adresy IP a adresy DNS serveru jsou pomalejší než dříve, v některých případech dokonce pomalejší než některé benigní aplikací, které využívají fast-flux podobně techniky.Také jsme zjistili, že IP adresy a jména servery jsou sdíleny mezi různými rodinami fast-flux domén uvádějí, že je dobře zaveden pod zem ekonomický model pro použití fast-flux sítě. Kromě toho jsme také zjistili, že místo toho, aby jednu nebo dvě tok, proud fast-flux domén vykazuje "n-úrovně" toku, tj. chování, zdá se, že "n" úrovně jmenných serverů v systému DNS pro fast-flux domén . Nakonec jsme také studovali benigní aplikace, které vypadají podobně fast-flux domén, ale ne. Ve světle těchto nových vlastností jsme navrhli několik nových detekčních přístupy, které postihují objevy nových funkcí Fast-flux domén.
CIA už není technologicky vyspělé než průměrný Američan, a jako výsledek, utrpěla vážné a nepříjemné provozních poruch.
Jedná se o vzácný nahlédnout dovnitř operací CIA shromažďování zpravodajských a ohromující nedostatek odborných znalostí, které může přinést práci.
V roce 2005, zpravodajské organizace na celém světě oznámila, že italský soud podepsal zatykač na 26 Američanů v souvislosti s mimořádnou ztvárnění muslimského duchovního. Jádrem věci bylo ohromující nedostatek OPSEC tým špionů používaných zatímco oni sledován a pak popadl svůj cíl z ulic Milána.
Incident, známý jako The Italian Job uvnitř CIA, se stal mezinárodní skandál a způsobil globální pobouření. Co jen velmi málo lidí někdy pochopil, bylo, že CIA špičkoví špióni byli směšně nevzdělaní o technologie mobilního telefonu a neznalý elektronických otisků prstů zanechal.
Příběh by být překvapující, ale starý, ne-li za to, že osm let po debaklu v Miláně, historie opakuje.
V roce 2011 byla celá CIA síť informátorů libanonských zatkli Hizballáhem. Důvod: mobilní telefon OPSEC selhání. Po obdržení varování od Mossadu, který ztratil svou síť o rok dříve stejným způsobem, CIA odmítl Hizballáhu schopnost spustit analytický software na syrové provozu mobilního telefonu. Ale oni. A s trochou úsilí se CIA síť špionů, jakož i svých vlastních důstojníků, identifikoval jeden po druhém.
Toto je pravdivý příběh Kops Keystone amerických výzvědných služeb je.
Hesla jsou rozházeny všude: operační systémy, smartphony, webové služby, nástroje Disk Encryption, SSH soukromé klíče, hesla atd. Hašovací zmírňuje dopad narušenou databáze nutit útočníky BruteForce hesel. Bruteforce je jednodušší, je hash funkce není "solené", rychle vyhodnotit a snadno implementovat jako několik souběžných instancí GPU a vícejádrových systémů. Nicméně stávající řešení nejsou uspokojivé, a značná většina systémů spoléhají na slabé hash (např. únik od Sony, LinkedIn, nebo více nedávno Evernote).
Po krátkém úvodu tohoto problému a řešení předchozích pokusech, to talk představuje plán na nové vylepšené hashovací metody, podle přání několika stran (z průmyslu a standardizace organizace).
Za prvé, budeme výčet technické problémy pro softwarové inženýry a bezpečnost, stejně jako kryptografie a útočníků, diskusní otázky jako: proč proti intuitivně, paralelismus je žádoucí? Jak je možné teorie složitosti prospěch heslo hash? Jak definovat metriku, která zahrnuje výkon na GPU a ASIC? Pokud hash se provádí klient, server, nebo obojí? Co DoS vyvolané pomalými hash? atd.
Pak budeme popisovat iniciativu, která motivovala toto Diskuse: Heslo Hashing Soutěž (PHC), což je projekt podobný Pure-kryptografie soutěží AES, eSTREAM nebo SHA-3, ale zaměřil na problém hesla hash: PHC shromažďuje přední odborníci z prolomení hesla scény, stejně jako kryptografie a softwarových inženýrů z akademické sféry, průmyslu, jakož i NIST, rozvíjet hash metody budoucnosti.
Operace přístup do paměti v OS, můžete VM nebo tradičních aplikací z různých procesů a podprocesů vést k různým otázkám bezpečnosti v závislosti na kompilátoru / hardware - zejména v neblokujícího kódu. Kompilátory / hardware předstírat, aby sekvenční vyřízení objednávky, a tato iluze se držte jedno-threaded kód. Nicméně, oni nejsou vědomi, které jsou paměťová místa sdíleny a vývojáři často dělat špatné předpoklady o paměťových modelů. Může to být jemné k ochraně těchto paměťových části z agresivní čtení / zápis re-uspořádání a různé optimalizace v závislosti na kompilátoru na x86, x86-64 nebo IA64 volně nařídil, ARM procesory, stejně jako GPU - a to může snadno vést k " ztrácí iluze "sekvenční konzistenci.
Budu diskutovat společné problémy v závislosti na hardwaru a kompilátor používá, většinou v souvislosti s volně objednaného hardwaru a C / C + 11 paměťových modelů, ale také porovnat, jak se drží v jazycích vyšší úrovně. Vývojáři budou lépe pochopit, jak lze tyto problémy zmírnit, a výzkumníci budou moci nalézt snadněji.
Globální Tor síť a její směrovacích protokolů poskytuje vynikající rámec pro on-line anonymity. Nicméně, výběr Tor příjemný software pro Windows v současné době na hovno.
Chcete-li procházet web anonymně? Nevíte jak dál s Firefoxem a nepřemýšlejí o snaze anonymně používat Flash.
Chcete dynamicky analyzovat malware, aniž by server C2 znát své domovské IP adresu? Jsi ven štěstí.
Chcete anonymně použít jakýkoli program, který nativně nepodporuje SOCKS nebo HTTP proxy? To se nestane.
Zatímco některé řešení, v současné době u druhově přesměrování provozu přes Tor, tato řešení buď nepodporují Windows nebo potřebujete další síťové brány zařízení.
Tato diskuse představuje nový nástroj pro bezpečné, anonymně a transparentně směrovat všechny TCP / IP a DNS provoz přes Tor, bez ohledu na klientský software, a bez spoléhání se na VPN nebo přídavný hardware nebo virtuální stroje.Black Hat 2013 bude znamenat vydání tohoto nového nástroje Tor - Tortilla!
Identifikujeme logické nedostatky webové aplikace, které mohou být zneužity zkrácení útoky TLS desynchronize uživatele i serverové perspektivu aplikace státu.Z toho vyplývá, že okamžitě servery mohou dělat falešné předpoklady o uživateli, tedy vada představuje bezpečnostní zranitelnost. Navíc, v rámci ověřování systémů jsme tuto chybu zabezpečení zneužít ke spuštění následující praktická útoky: využíváme Helios elektronického hlasovacího systému hlasovat jménem poctivých voličů, převzít úplnou kontrolu nad účty Microsoft Živé a získat dočasný přístup k Google účty.
Více než 14 lety, Kevin Ashton byl první razit termín "internet věcí", a poukázal na to, že údaje na internetu je většinou vytvořen lidmi. Věci se změnily od roku 1999 značně - Lou Bega Mambo No 5 je již v rádiu, mnoho spotřebičů lodi s embedded systémy, které lze dálkově monitorovat a inteligentní domácnost je něco, co jsme všichni nadšeni pro a hrůzu.
Motouz je spotřebitel zařízení, které umožňuje dálkové monitorování životního prostředí prostřednictvím různých senzorů, jako je vlhkost, teplota, vibrace, atd. ..Budeme diskutovat o naší analýzy Motouzy, a povede vás provede kroky, aby pochopili, co se děje pod kapotou "black box" zařízení. Diváci se seznámí s nimiž se potýkají problémy a různé přístupy, které lze využívat pochopit (a využít!) Embedded zařízení (chladnička, že tweety a podobných zařízení). Témata zahrnují: zachytit provoz na non-proxy, vědomi zařízení, získávání a reverzní inženýrství firmware, analýzu neprůhledný binární provozu, napodobující Motouz zařízení a získat přístup prostřednictvím konzoly ladění sériový port.
Cross-site scripting otázky zůstávají velkým problémem na webu: pomocí kombinace velkého dolování dat a relativně jednoduché metody detekce, jsme identifikovali útočníci úspěšném zneužití XSS chyby na více než 1000 zranitelné stránek na stovky internetových stránek, zahrnující více zemí, druhy organizace, všechny hlavní TLD a dobře známé mezinárodní společnosti. Našli jsme také četné nebezpečné útoky různými stupni využití stávajících XSS zranitelnost.
V tomto rozhovoru nejprve shrneme naše zjištění, jak prezentovat neobvyklé případy a různé statistiky a pak sledujeme s dárkem a state-of-art metod ochrany před sondování XSS zranitelnosti XSS a útoků ukazuje, že jsou schopny zachycovat více než 95% reálných škodlivých vzorků. Budeme také zavést nový výzkumný nástroj s názvem detectXSSlib, který je lehký modul pro Nginx serveru věnovaný real-time detekce XSS útoků.