BlackHat 2015 ASIE
ZÁKLADNÍ TÓN
Jako odvětví jsme se počítají na stabilní bubnování technologie zálohy řídit polovodiče a výsledné mikroprocesory stále vyšší úrovně integrace a výkonu. To bubnování byl Mooreův zákon, hrubý zdvojnásobení hustoty technologie každých 18 měsíců za poslední tři nebo více let. Nicméně, ve lhůtě dvou nebo tří dalších úderů, že buben ztichne, a to již výrazně uklidnil, protože mnoho technologických prvků se blíží fyzické limity. Výsledkem toho bylo vznik mnoha nových systémových architektur, které zaměstnávají zrychlující prvky, jako jsou FPGA a GPU, nových procesorů první generace založené na synaptických vzorů, a řadou nových softwarových přístupů, navrženy tak, aby i nadále k dosažení pokroku v oblasti informačních Technologie a kompenzovat ztrátu jednoho klíčového minulé akcelerátoru.
Výsledné zvýšení výkonu přesahující 100X nyní umožňují hluboké šifrování a analytických údajů v reálném čase na podporu INFOSEC bez snížení výkonu systému, zatímco zároveň zavádí zcela nové systémové prvky, hardware a software, který musí být podobně zajištěny. Nové pomocné funkce vznikají v oblasti umělé inteligence, zatímco ve stejné době vyvolává obavy o dlouhodobý dopad tohoto vznikajícího technologie. Zaměřím se na klíčových změnách v nadcházejících technologií, které Underlay náš průmysl, a dopad, který zrychlil inovace měl na našich očekávání toho, co Informační technologie může skutečně dosáhnout, spolu se souvisejícími riziky.
Na konci letošní konference, připojit Black Hat Zakladatel Jeff Moss a členy váženého Black Hat Review Board pro bystrý konverzaci o nejnaléhavějších problémů, kterým čelí INFOSEC komunita dnes. To Locknote bude představovat upřímné diskusi o klíčových takeaways vycházejících z Black Hat Asie 2015.
BRÍFINKY
Mobilní bankovnictví je asi, aby se stal de facto standardem pro bankovní činnosti.Bankovní aplikace na chytré telefony a tablety - jsou stále rozšířenější a tento vývoj se zaměřuje na silně omezit klasický přístup k bankám (fyzické, prostřednictvím PC prohlížeče, přes ATM). Cílem je, aby nejprve snížit náklady, ale také pro to, aby osobní údaje explodovat. Pak tři kritické problémy vznikají proto, že jsme se svěřit tyto mobilních aplikací tím, že krmí je s hesly, soukromých informací a přístup k jedné z nejdůležitějších částí našeho přání (peněz): Myslíte ty žádosti, chránit náš soukromý život, a především, jaký druh informací je unikající do banky? Jsou obsahující zranitelnosti, které by mohly být využity útočníky? V tomto rozhovoru, budeme prezentovat hlubokou analýzu mnoha bankovních aplikací shromážděných na světě. Provedli jsme statické a dynamické analýzy založené na binární soubory a zdrojový kód. Ukážeme, že téměř všechny aplikace jsou ohrožují naše soukromá data (někdy hrozně), ale v několika případech přítomnost zranitelnosti jsou velmi znepokojující. I když jsme se snažili kontaktovat všechny příslušné banky pro svobodné, podrobnou technickou zpětné vazby a pomoci jim upevnění své aplikace, budeme vysvětlovat, že několik z nich se nestaral o této zpětné vazby, a proto nechtěl přijmout jakékoli bezpečnostní opatření. Tato diskuse obsahuje ukázky a provozní výsledky na stávajících aplikací a přinese konkrétní zaměření na banky z Asie a Austrálie (Pacifik oblast).
Balicí API technika se běžně používá mezi malware a kódu obfuscators. Jedním z pokročilých obalových API technik je runtime-zmatek používá Themida. Runtime-mlžení ztěžuje zvrátit inženýr zamlžování funkce API na každém běhu. Zatím, binární odpovídající vzoru nebo vzor na bázi optimalizace kódu techniky byly použity k identifikaci původních funkcí API z runtime-popletl funkcí. Použití nové mlžení vzor snadno poruší tyto přístupy vzor-umístěný. V tomto rozhovoru jsem předložit odolnější schéma API deobfuscation založený na analýze přístupu do paměti. Tato metoda využívá Memory Access vzor runtime-zmatku technikou.Vložený runtime-obfuscator v náplňovém binární zatemňuje jedné funkce API najednou. Zatímco funkce API je popletl, každá vzpomínka hodnota instrukcí je čtení, výuka je transformována do zatemnil pokyny, a popletl instrukce jsou zapsány do nově přiděleného bloku paměti. Tak, sada paměťových adres zápisu v průběhu jednoho rozhraní API funkce zmatku procesu je nadmnožinou odpovídajících popletl API funkcí adres. API deobfuscator je realizován na základě analýzy vysvětlil přístup k paměti. Každá vzpomínka adresa zápis je zaznamenán poté, co funkce API je čtení z paměti před další funkce API je přečíst. Po každé funkce API je popletl, mapa z každé funkce rozhraní API do popletl funkčních adres je konstruován. Původní funkce API jsou identifikovány za použití cílové adresy z popletl funkce volání mapy. API deobfuscator využívá Intel Pin sledovat paměť zpřístupňuje. Nástroj provádí Themida balené binární soubory až do původního místa vstupu a obnoví všechny popletl funkce volání API k původní funkci API volání. Deobfuscated proces může být analyzována pomocí běžných debuggers, jako je OllyDbg.
RC4 je nejpopulárnější proud šifra ve světě, a zejména se používá k ochraně významnou část SSL / TLS relace. V této relaci, ukážeme, jak stará zranitelnost RC4 může být použita pro montáž částečný útok holého textu pro obnovu dat na SSL-chráněný, když RC4 je zvolena šifra. Na rozdíl od šelmy pudlem, zločin, a jiné útoky na SSL, které byly publikovány v posledních letech, včetně útoku Bernstein et al-o využití RC4, nový útok není omezen na obnovu časových relace tokenů, ale mohou být použity k ukrást části stálých tajných dat, jako jsou pověření účtu při dodání jako POST parametry. Kromě toho, jedna z variant nového útoku vyžaduje pouze pasivní naslouchání pro připojení SSL, a představuje první praktický útok na SSL, který nevyžaduje aktivní man-in-the-middle. Další jedinečnou vlastností nového útoku umožňuje, aby jeden z jeho variant obnovit s nezanedbatelné pravděpodobnosti, části tajemství, který byl přenášen pouze jednou přes připojení TLS.
V tomto rozhovoru, budeme demonstrovat a představí nejnovější vývoj v prohlížeči specifických slabých stránek, včetně tvůrčí nové mechanismy ke kompromisu důvěrnosti, úspěšně vykonávat login a detekci historie, sloužit smíšený obsah, doručit škodlivé strašidelné binárních souborů bez serveru C & C, využití cache / načasování postranní kanály extrahovat tajemství z domén třetích stran, a využít nové funkce HTML5 provádět další kradmé útoky. To je praktická prezentace s živými demonstracemi, které bude výzvou své znalosti stejného původu politiku a posunout hranice toho, co je možné s dnešními webovými klienty.
On-line bankovní aplikace jsou vystaveny zejména útoky škodlivého softwaru. Pro minimalizaci ztrát, banky investovaly do malware detekčních mechanismů, které nejsou spuštěny jako programy na klientském počítači, ale každé straně serveru, nebo pomocí JavaScriptu v rizikové žádosti. Testovali jsme mnoho řešení, které používají různé metody detekce, jako vzory chování, web vstřikuje podpisy, nebo uživatelské vstupní analýzu. Náš výzkum poukazuje na to jasně: i "100% malwaru důkaz řešení" mají vážné chyby implementace. Je jen otázkou času, kdy tvůrci malwaru začne cílení své zbraně proti těchto chyb zabezpečení, účinně obcházet nebo zneužívat nákladných protiopatření. Je to cesta k selhání, nebo se můžeme zlepšovat?
Cross-site scripting (XSS) je jedním z nejzávažnějších bezpečnostních zranitelností webu. Se zavedením HTML5, složitost webových aplikací je stále rostoucí, a to i přes existenci robustních knihoven ochrany, Cross-site scripting zranitelnost jsou dnes všudypřítomné na webu. V zájmu ochrany koncovým uživatelům z zneužívána, dodavatelé prohlížeče reagoval na tuto závažnou hrozbu tím, tuning, vybavení jejich prohlížeče s straně klienta XSS filtr. Bohužel, jak jsme museli všimnout, v současné době za předpokladu, ochrana je silně omezena, takže koncovým uživatelům zranitelné vůči využije ve většině případů. V tomto rozhovoru, nejprve předložit analýzu XSS auditora Chrome, ve kterém jsme objevili 17 chyby, které nám umožní obejít možnosti filtrování auditora. Budeme demonstrovat obchází a představují nástroj, který automaticky generované XSS útokům využívajících obchvatů. Dále budeme informovat o praktické, empirické studie schopností ochrany auditora, ve které jsme běželi naše vygenerovaných útoky proti soubor několika tisíc DOM-based, zero-day zranitelností XSS v Alexa Top 10.000. V našich experimentech, jsme byli schopni úspěšně obejít XSS filtr na první pokus ve více než 80% všech zranitelných webových aplikací. Tak se zdá, bezpečné konstatovat, že stávající straně klienta obrany proti DOM-XSS jsou nedostatečné pro ochranu koncové uživatele. Nicméně, na rozdíl od všeobecného XSS, ve variantě DOM-bázi, všechny významné informace jsou snadno dostupné.Proto jsme se prezentovat alternativní design, XSS filtr, který spolehlivě detekuje úspěšné XSS útokům prostřednictvím straně klienta sledování nákazu v motoru JavaScriptu. Na rozdíl od současného přístupu, náš filtr nespoléhá na hrubém přiblížení, ale na přesné informace o toku dat, která nám umožňuje robustně zastavit Dom-XSS pro dobro.
Android malware jsou stále složité s pokročilými technologiemi pro ochranu kód, jako je mlžení, balení, bytecode injekce, a způsob úkrytu a tak dále. Aby bylo možné porazit ty, byly statické a dynamické analytické nástroje byly použity jako například IDA, Smali, mobilní pískoviště atd. Nicméně, malware jsou dost chytří na to rozlišit jejich chování za běhu nebo skrýt své záměry detekcí běžící prostředí. V této prezentaci, představujeme první interaktivní android binární debugger DABiD (Dynamic Android Binary Debugger), který odhaluje skryté drápy malwaru. DABiD je vybavena třemi klíčových funkcí. Za prvé, DABiD zjistí dynamické změny v běhu a odráží je na pochodu. Tato funkce umožňuje analytikům konfrontovat s dynamickými technologiemi pro úpravu kódu, jako je balení, nebo bytecode injekce. Za druhé, DABiD sleduje dynamicky načtených tříd a připravuje je pro ladění. Analytici nepotřebují výpis nebo analyzovat nově načteny sklenic nebo Dalvik spustitelné soubory ručně. Za třetí, analytici jsou schopni upravit instrukce pro řízení toku vykonávání nebo zakázat určité pokyny. Tato funkce pomáhá analytiků pro efektivní ladění. Stejně jako pokročilými funkcemi, DABiD poskytuje základní funkce, jako je automatické nastavení pro ladění, dekódování Dalvik spustitelný soubor, nastavení zarážky, získávání dat z registru, a rámce zásobníku a tak dále. DABiD může běžet na Smartphone a kořenové oprávnění není vyžadováno.
Blockchain je veřejný kniha stohování všechny Bitcoin / altcoins transakce. Je neustále roste jako "dokončil" ?? bloky jsou automaticky přidány do něj novou sadu záznamů. Tyto bloky jsou přidány do blockchain v lineární a chronologickém pořadí. Blockchain má úplné informace o adresách a jejich zůstatků přímo z Genesis bloku k nejvíce nedávno dokončené bloku pomocí důlního procesu. V závislosti na krypto-měny a provádění jejích protokolů, by existovat pevná otevřený prostor, kde mohou být data uložena, odkazoval nebo hostované na blockchain v šifrované transakcí a jejich záznamů. Tento velmi univerzální povaha blockchain nabízí skvělé příležitosti pro budoucí inovace, zejména v decentralizovaných systémů. Výzkum je zaměřen točí kolem hrozby vkládání decentralizované kousky malware na blockchain buď hostingu, nebo odkazování s kaskádovitě ukazateli.Transakce a data jsou šifrována během blockchain sítí využívajících různé verze veřejného / šifrování soukromého klíče. Mohl by malware přežít věčně uvnitř krypto-operace? Proof of concept bude vysvětlen zvýraznění obavy se točí kolem "zneužití a nadýmání" ?? z blockchain zatímco přirovnal ji k předchozímu malwaru hosting a modely nasazení. V tomto rozhovoru, INTERPOL bude tvořit rámec působnosti tohoto budoucího ohrožení a poskytnout potenciálním řešení pro ohrožení kolem blockchain technologii.
Představujeme dva nové útoky proti navigačních služeb sociální. Tyto útoky jsou založeny na vytvoření velkého počtu renomovaných "řidičů bot," a kontrola jejich nahlášené umístění a pohyby vzor pomocí falešné zprávy GPS. Ukážeme, jak lze tyto útoky použity ke kompromisu navigačních systémů sociální aplikací je k Waze - prominentní aplikace sociální navigační používá více než 50 milionů řidičů. První útok nám umožňuje ohrozit soukromí uživatele tím, že sleduje umístění a pohyb uživatelů na libovolném místě. Tento útok je usnadněno tím, že automaticky interakci s aplikací, sběr dat obrazovky, a analýze jej pomocí OCR technik vyrábět informace o umístění v průběhu času. Druhý útok může falešné dopravní zácpy a dramaticky ovlivnit směrování rozhodnutí. Tento útok účinně ovlivňuje nepublikovanou straně serveru Waze směrování algoritmus a umožňuje nám nasměrovat uživatele na určité trase. V kombinaci, útoky se mohou použít k ovlivnění je směr jízdy vyrobené pro daného uživatele. Uvádíme několik technik pro zabránění útokům, a ukazují, že účinné zmírnění pravděpodobně vyžaduje použití dodatečné informace nosiče.
Dostupnost moderního systému na čipu (SoC) dílů, které mají nízkou spotřebu energie a vysokou integraci většiny počítačových komponent v jediném čipu, zmocňuje open source komunitě při vytváření všech druhů vestavěných systémů.
Prezentace ukazuje cestu, která jsme přijali, aby první svého druhu vyvinout otevřený hardware rady: USB zbrojnici, open-source hardware designu, provádění velikosti počítač flash disk pro bezpečnostní aplikace.
Bezpečnostní prvky zbrojnice systému USB na čipu (SoC), v kombinaci s otevřeností návrhu desky, je chtěl zmocnit vývojáři a uživatelé s plně přizpůsobitelné USB důvěryhodné zařízení pro otevřené a inovativní aplikace osobní bezpečnosti.
Prezentace zkoumá zkušenosti získané při výrobě malý tvarový faktor, vysoké specifikace, embedded zařízení s výhradně open source nástroje, jeho architektura a bezpečnostních prvků, jako jsou zabezpečené zavazadlového prostoru a provádění ARM TrustZone.
Bezpečnostní aplikace zavedeného konceptu jsou zkoumány, ilustrující výhody otevřeného USB zařízení se zvýšenou výpočetní síly.
První open source aplikace pro platformu, vyvinutý Inverzní stezky, pro pokročilé funkce šifrování souborů, budou také zahrnuty.
Cloud instance životní cykly se rychle mění a nutí nás ke zlepšení způsobu, jakým zajistit těchto instancí IaaS. V současné době můžeme najít servery, které jsou nainstalovány, zahájen procesní data a ukončit - vše v rozsahu minut. Tento nový urychlený lifecycle dělá tradiční bezpečnostní procesy, jako pravidelné záplaty, skenování zranitelnosti, kalení, a forenzní nemožné. V této zrychlené životního cyklu, nejsou tam žádné okna údržby pro záplaty nebo schopnost zmírnění zranitelnosti, takže bezpečnostní infrastruktura musí přizpůsobit novým metodám.V této nové myšlení, požadujeme automatizaci konfigurace zabezpečení instance, kalení, sledování a ukončení. Vzhledem k tomu, nejsou tam žádné okna údržbu, musí být servery oprava dříve, než se nastartovat, konfigurace zabezpečení a kalení postupy by měly být integrovány s instalací serveru a skenování zranitelnosti a zmírnění rizik by mělo být automatické. V této prezentaci, oznamujeme nový open source nástroj nazvaný "Cloudefigo", a vysvětlit, jak to umožňuje zrychlený životní cyklus zabezpečení. Máme ukázat, jak zahájit přednastavenou, již opravenou instanci do šifrovaného úložiště prostředí automaticky při hodnocení jejich bezpečnost a zmírnění jejich automaticky, pokud je nalezena zranitelnost. V živém demu jsme využít Amazon Web Services EC2 Cloud-init skripty a skladování objektu pro poskytování automatické konfigurace zabezpečení, integraci šifrování, včetně zabezpečeného šifrovacího klíče úložišť pro komunikaci bezpečném serveru. Výsledkem těchto technik je cloud servery, které jsou odolné, automaticky nakonfigurována, se sníženou útoku.
Chtěli jste někdy komunikovat s NASA kosmická sonda byla zahájena v roce 1978, nebo zfalšovat pager systém a Restaurant je? Existují překvapivé podobnosti! Jak se o použití letiště je primární přehledový radar postavit svůj vlastní bistatických radarový systém a sledovat pohybující se objekty? Jaké druhy RF transakcí uskuteční v RFID systémy, jako jsou například dálniční poplatek vybírá, zabezpečení budov, a automobilovou centrál na DO? Pak je tu "Printing" steganographic obrazu na rádiového spektra.
Bezdrátové systémy, a jejich rádiové signály, jsou všude: spotřebitel, corporate, vláda, amatérský - široce zavedeny a často zranitelní. Pokud jste někdy nad tím, jaké informace je bzučení kolem vás, bude tato diskuse představí, jak můžete ovládat RF spektra o "slepě" analýze žádný signál, a potom začněte reverzní inženýrství to od fyzické vrstvy nahoru. Budu demonstrovat, jak lze tyto techniky použít na pitvat a hack RF komunikační systémy, jako jsou ty výše, za použití open source software a levné rádia hardware. Kromě toho, ukážu, jak lze dlouhodobě rádio shromažďování údajů používá rozlousknout špatně implementovaných šifrovací systémy, například Radio Data Service je Traffic Message Channel.
Budu také stručně podívat na některé jiné systémy, které jsou blízké mému srdci: zpětných družicové komunikace, sledování letadel pomocí režimu S a vizualizaci místní vzdušného prostoru v reálném čase na 3D mapě, sledování zdravotního stavu letadel s ACARS (kolik závad Byly hlášeny další letadlo budete cestovat na, např dělat záchody fungují?), a stopovat zdroj interferenčního tajného rádiového vysílání.
Pokud máte nějaké SDR vybavení, přineste ji s sebou!
Zavedení nového Android Runtime (ART) přináší několik vylepšení v Android. Ale jako u každé nové technologie, ale také přináší nové způsoby chování nebo zvýšení škodlivé činnosti. V této prezentaci, budeme detail jeden z těch způsobů. Jakmile útočník či malware získal přístup k zařízení se systémem Android, dalším krokem je najít způsoby, jak skrýt sebe a získání vytrvalost, a to je obvykle dosaženo instalací rootkit. Většina těchto rootkity jsou v režimu jádra rootkity a obyčejný způsob, jak dosáhnout vytrvalost je změnou souborů v systémovém oddílu.Nicméně, nedávné pokroky v Android zabezpečení, jako například ověřené kufru, dělali to stále obtížnější. Tato prezentace bude demonstrovat, jak obejít tento problém tím, že hru z režimu jádra a ze systémového diskového oddílu. Ukážeme vám, jak využít mechanismů ART k vytvoření uživatelského režimu rootkit.
Začneme s diskusí minulého Android rootkit výzkumu a jak tyto techniky jsou stále obtížné používat v moderních systémech Android. Pak půjdeme hluboko do umění niternosti, kde budeme diskutovat o formáty souborů a mechanismy týkající se vytvoření rootkitu. Poté, co jsme pochopili zapojeny mechanismy, budeme pak diskutovat o metodách tvorbě rootkit tedy to, co změnit, kde je najít, a jak je změnit, a techniky na získávání vytrvalost v systému. Budeme také zkoumat omezení tohoto přístupu a případné budoucí práci v této oblasti.
Přednáška se bude uzavírat s živou ukázkou umění rootkit.
Controller Area Network (CAN) se vyskytuje v několika systémech, a je hlavní forma síťování používají v automobilovém průmyslu. Každý nový vůz má několik autobusů může řadiče, které umožňují komunikovat. Tento autobus řídí vše od vačkového hřídele na váš motor do napájecího místa. V tomto rozhovoru, budeme prezentovat a uvolnit kachna, open-source toolkit, který umožňuje snadnou skriptování CAN sběrnice úkolů. Tato sada nástrojů nám umožňuje snadno pracovat s CAN, mluvit do automobilových regulátorů, provádět diagnostiku akce, a chmýří protokoly. Začneme se stručný úvod do CAN, podívejte se na požadovaném hardwaru, a pak začít posílat a přijímat zprávy. Budeme zkoumat vlastnosti Canard je, a vidět několik ukázky reálného světa zranitelnosti pomocí našeho nástroje.Budeme demonstrovat, jak číst a jasné chybové kódy, crack diagnostiky zabezpečení, a regulátory Fuzz převzít provoz vozidla. diskuse se zaměří na praktické aplikace. Na konci přednášky, se účastníci nejen získat pochopení zařízení automobilů, ale bude mít také nástroje k jejich útoku.
Četné webové stránky přizpůsobit své služby v závislosti na různých geografických místech uživatelů, dále poskytovat více relevantní obsah a lepší odezvu, včetně Google, Craigslist, Google Maps, atd Nedávno, mobilní zařízení umožňují webové aplikace přímo číst informace geo-umístění uživatelů z GPS senzorů. Pokud se však tyto webové stránky opustit obsah umístění citlivé v cache prohlížeče, jiné weby mohou čichat geo-umístění uživatelů s využitím časové vedlejších kanálů. V této prezentaci, jsme ukázat, že takový geo-umístění svodové kanály jsou široce otevřeny v oblíbeném webu Aplikace dnes, včetně 62% 55 Alexa Top 100 stránek a 11 webových stránek mapová služba. S geo-inference útoky, které měří načasování cache prohlížeče dotazů, můžeme najít uživatelů států, měst a čtvrtí v našich případových studiích. Ukázali jsme, že takové útoky ovlivňují všech pět mainstreamové prohlížeče (např, Chrome a Firefox), jakož i TorBrowser v některých případech. Budeme také hovořit, zda jsou stávající protiopatření lze účinně předcházet takovým útokům a dodatečnou podporu potřebné pro lepší nasazení obrany.
Současný stav teoretických útoků proti bezdrátových sítí, by mělo umožnit tento bezdrátový svět, aby byl plně subverted pro všechny, ale některé případy hran.Zařízení mohou být oklamán do připojování k sítím s falešnou identitou, autentizace k bezdrátovým sítím mohou být buď popraskané, nebo zachyceny, a dlouho byl zřízen naše schopnost zachytit pověření na úrovni sítě. Často, nejvýznamnější uživatelé ochrany již je bít na pravé tlačítko na chybové hlášení, které jen zřídka rozumí. Horší pro uživatele, útoky se může opakovat za bezdrátové síti umožňující útočníkovi zaměřit nejslabším článkem.
Tato kombinace zranitelných a intenzivně používaných komunikací by mělo znamenat, že útočník potřebuje jen dorazí na místě a nastavení pro pověření a přístup k začít svržení z nebe. Nicméně realita je daleko od toho; karma útoky pracují špatně proti moderních přístrojů, ověřování síť nejslabšího druhu porazí nepoctiví AP a jímací nástroje se snaží najít užitečné informace.
Tato diskuse je výsledkem našeho úsilí, aby nepoctiví útoky AP do moderní doby.Přednáška bude poskytuje detaily našeho výzkumu do zvýšení účinnosti spoofing bezdrátové sítě, a výhody Přitom (tj získání přístupu). To zahrnuje vydání nového nebezpečného přístupového bodu toolkitu prováděcí tento výzkum.
Multicast Listener Discovery (MLD) a jeho nástupce, MLDv2, je protokol IPv6 sady použité IPv6 směrovače pro objevování posluchače multicast na přímo připojené odkaz, podobně jako IGMP se používá v protokolu IPv4. Multicasting je klíčovým rysem IPv6, která má být použita ani souseda Discovery procesu. Většina moderních operačních systémů (OS), jako je Windows, Linux a FreeBSD, nejen přijít per-nakonfigurován s IPv6, ale také start-up zasláním MLDv2 provoz, který se periodicky opakuje. I přes použití out-of-the-box z MLDv2, je to jeden z protokolů IPv6, které nemohou být studovány ještě do vhodného rozsahu, a to zejména pokud jde o jeho potenciální bezpečnostní důsledky. Tyhle se mohou lišit od skenování sítě a OS otisky prstů na místní-link, na zesílený DoS útoky a spotřeby zdrojů u směrovačů. Za tímto účelem, budeme diskutovat o možné problémy zabezpečení související s návrhem MMR a budeme zkoumat, jak mohou být zneužita útočníky. Live demo vám ukáže, jak takový útok může probíhat pomocí MLD zpráv s cílem narušit multicasting komunikaci. A konečně, techniky snižování specifické bezpečnostní být navrženy na obranu proti nim, což nám umožní zabezpečit sítě IPv6 na nejlepší možné rozšířit na vznikajícím IPv6 éry.
Podvodníci jsou stále větší problém pro více hráčů hraní. Jako hry stále složitější, úroveň propracovanosti v oblasti detekce podvádět a anti-podvádění strategie je nucen držet krok. Zatímco někteří vývojáři tráví čas vytvořit své vlastní ochrany, mnozí se obrátili na externí anti-podvádět knihoven. Tyto nástroje jsou řízeny centrálním serverem a nabízejí ideální cíl pro útočníky. V tomto rozhovoru jsme demonstrovat způsob, jak komplexně Bypass stávající anti-cheat mechanismy a nastínit dva praktické útoky proti jedné z nejpopulárnějších anti-cheat motory, demonstrovat důsledky úspěšného útoku proti anti-cheat software.
Představujeme první zranitelnosti v EMV (Europay, MasterCard a VISA) Bezkontaktní, které nepoužívají starší režimy, a které jsou použitelné pro prakticky všechny karty EMV Bezkontaktní a terminály. Zejména jsme ukazují, že relé útok může být provedena s velmi omezenými zdroji a široce dostupné off-skladového hardware.Naše proof-of-concept relé útok dokazuje, že zločinec může zaplatit na Point-of-Sale terminálu, který využívá tuto kartu uvnitř peněženku oběti, zatímco oběť je libovolný daleko od terminálu. Použití EMV a Android specifické optimalizace, ukážeme jako první na světě rozeslat transakce, která je rychlejší u některých karet, než transakce prováděné přímo se stejnou kartou. Proto, nejzřejmější protiopatření, načasování omezení, budou pravděpodobně nebude účinná vůbec.Kromě toho jsme identifikovali další slabá místa v kartách z určitých emitentů, a nejpoužívanější typ Point-of-Sale terminálů v Nizozemsku. Například, některé karty Maestro mít chybu zabezpečení, která se týká proces distribuce těchto karet. Navíc některé Visa karty prolomit bezpečnostní požadavky EMV pomocí tajné klíče, které nejsou jedinečné. Nejpoužívanějším typem Point-of-Sale terminálů v Nizozemsku, je náchylná k denial of service, který pravděpodobně je výsledkem přetečení vyrovnávací paměti. Naše nálezy mají významné důsledky pro přijetí bezkontaktních transakcí ze strany veřejnosti. Vskutku, bezkontaktní transakce nebudou široce přijímaný zákazníky, nejsou-li přesvědčeni o bezpečnosti bezkontaktních karet, a banky mohou utrpět významné poškození pověsti.
Zjistili jsme, útok, který umožňuje non-privilegovaný aplikace neustále vynutit generování a logování citlivých informací procesů v čitelném souboru protokolu pomocí / System / bin / dumpstate binární na zařízeních Samsung. Log Výstup dumpstate binární zahrnuje Android protokoly, protokol jádra a další data protokolu proces závislý. Nicméně, začínat s operačním systémem Android 4.1, četl protokoly Android již není povoleno uživatelských aplikací, protože oprávnění READ_LOGS byla odstraněna, ale my jsme byli schopni obejít toto omezení. K dosažení tohoto cíle jsme řemeslně exploit, který vyžaduje aplikace s zdánlivě neškodné android.permission.RECEIVE_BOOT_COMPLETED svolení. Čtení protokoly Android umožňuje non-privilegovaný uživatel aplikace k získání soukromých dat obcházel všechny kontroly oprávnění. Přístup k získání Android protokolu dat pracoval na všech zařízeních Samsung Ověřili jsme od Samsung Galaxy S1 až do Samsung Galaxy S5 a Samsung Poznámka: 4. Android protokolu obecně obsahuje soukromá data napsané operačním systémem Android (OS), aplikace Google, a uživatelské aplikace. Navíc jsme identifikovali 12 Samsung staví pro Android, kde Android OS píše text oznámení standardně na Android protokolu. Pomocí našich útoky na těchto 12 se buduje, jsme schopni získat přístup ke zprávám Facebook Messenger, textových zpráv (včetně nového hesla), Google Chat zprávy, WhatsApp zprávy, zmeškané hovory, turn-by-turn pokyny z Google Maps, odesílatele a Předmět e-mailů, a všechna další oznámení. Naše proof-of-concept aplikace může získat text ze všech oznámení, že Android OS obdrží pro tyto sestavení. To umožňuje uživatelské aplikace k získání značně soukromá data od uživatele těchto zranitelných Samsung zařízení. To, že sestavení jsou pro předchozí generaci zařízení Samsung, které jsou stále ještě v současné době prodávají v maloobchodních prodejnách (např Samsung Galaxy S4, Samsung Note 3, Samsung Poznámka: Pro 12,2, atd.).
Security Content Automation Protocol (SCAP) federates řadu otevřených standardů, které se používají k výčet softwarové chyby a problémy s konfigurací související se zabezpečením. Měří systémy najít slabá místa a nabídka metod skórovat tato zjištění s cílem posoudit možný dopad. Existuje celá řada SCAP komponent, jako jsou společné zabezpečení a ohrožení (CVE), Common Configuration Enumeration (CCE), Common Platform Enumeration (CPE), společný Sanace Enumeration (CRE), Extensible konfigurace Checklist Popis Format (XCCDF), a Open se chyby zabezpečení a posuzování Language (OVAL). Malware Atribut Výčet a charakteristika (MAEC) je standardizovaný jazyk pro kódování a komunikaci hi-fi informace o malware založený na atributy, jako chování, artefakty, a útok vzory.Tyto standardy činí dat ve formě XML. I když jsou tyto standardy jsou spojeny k sobě navzájem, je nedostatek shodnosti v jejich definice schématu XML. Tam je potřeba unikátní společné metadat schématu zastupovat důležité aspekty relevantní pro vytváření efektivních vyhledávačů. Tento společný metadata podporuje distribuci dat napříč různými úložišť, které poskytují obsah SCAP. Přes všechny databáze obsahu zabezpečení jednoznačnou identifikaci a krátký popis bude společný. Kromě toho, tento model je výstavba odkazů na více složek SCAP intuitivní. Rozlišování atributy obsahu zabezpečení může být reprezentován jako seznam vlastností, každou vlastnost bytí dvojice klíč-hodnota. Například, v případě, CVE (CVSS, 9.4) představuje klíčový CVSS a skóre 9,4, kde je běžná CVSS zranitelnost skóre závažnosti. V tomto modelu, změny schématu SCAP komponent lze snadno být ubytováni pouhým přidáním nebo odstraněním dvojice vlastnost klíč-hodnota bez změny modelu. Vyhledávání na této metadatech umožňuje rychlou reakci na dotazy a pomáhá prokládaný různých složek SCAP; např OVAL odkazy CVE a každý CVE závisí na různých platformách a produktech označený CPE. Tento model umožňuje zpracování přirozeného jazyka (NLP) a učinit smysluplné odpovědi na dotazy, jako je nejpotřebnějším aplikací oválných definic, zranitelnosti v Adobe Readeru v roce 2014, co bylo včera propuštěn atd. To umožňuje, které uznají, data, SCAP komponenty požádal, výrobky, plošiny, nebo prodejci. NLP podporuje pochopení záměru vyhledávání v repozitářích, čímž obohacující uživatelský komfort a zároveň mít prospěch z obsahu SCAP měřit stav zabezpečení systémů. Tento archetyp pomáhá vyřešit zranitelná místa před útokem stane. Tento model pomáhá pochopit incidentu v počítači a analyzovat, zda je malware útok. To bude další pomoc, které kontrolují, který chyba zabezpečení byla zneužita malware a co je nejdůležitější, opravit tento útok.
V poslední době, malware se neustále rozrůstá, které nutí malware analytici do tvrdé práce. Automatizovanou analýzu malware může pomoci bezpečnostní inženýry, ale některé malware nelze spustit v prostředí sandbox. Například, sofistikovaný malware, jako je Citadela a Zeus / GameOver jsou vyzbrojeni technikami anti-pískoviště, aby se zabránilo běží kromě infikovaného hostitele.Tyto malware detekovat prostředí pro spouštění a nejsou zapojeni do škodlivého chování při aktuální hostitele se liší od infikovaného hostitele. V této prezentaci, představujeme automaticky odzbrojení systém pro ozbrojené malware s anti-sandboxu. Systém se zaměřuje na 1) hostitel-snímání otisků prstů malware, jako citadely, 2) ozbrojený malware s obecným anti-sandboxu pro automatické analyzátory karantény. Odzbrojení přístup se zaměřuje na výstupní důvody a výjezd před aktivitou v malware provedení. Vyvinuli jsme CPU emulátor založený na odzbrojení systém s instrumentací. Systém navrhne vhodné prostředí pro dynamické analýzy pro jednotlivé malware. Budeme poskytovat statistiky vyhýbacích malware v reálném světě. Budeme oznámí výsledek analýzy vzorků rozsáhlých.
Velká část mobilních aplikací v obchodě jsou vyvíjeny pákového rámců pro křížové rozvoj platformy, aby se kódovat jednou a spouštění na každé mobilní platformě.Ale jsou takové rámce bezpečné, nebo je obchodování developer off zabezpečení pro snadnou rozvoje? Budeme zkoumat a analyzovat nejoblíbenější křížové platformy rámce pro mobilní vývoj, vystavovat zranitelnosti nalezené v nich, a detail, jak vážné důsledky jsou jejich použití z hlediska bezpečnosti.
Point of Sale (POS) malware byly krást výsluní letos. Byly elementární faktor v některých z největších porušení odkryté v posledních několika letech. Tato diskuse se bude týkat aspektů toho, co se stane poté, co tyto údaje byly zaslány autorům malwaru. Celý ekosystém podvodů kreditní karty mohou být široce klasifikované do následujících tří kroků: 1. Nákup suroviny detailů a skládek 2. Převod je do plastových hotovosti / karet 3. Shop! Shop! Shop! zaměření této přednášky bude na výše zmíněných bodů, a jak se tvoří organizovanou síť počítačové trestné činnosti.Tam byly rozhovory na POS malware a velkých porušování, že způsobily. Víme, že miliony detailů byly ukradeny, ale následky se sotva diskutována. Je důležité pochopit celý podvod ekosystém máme-li zabít své kořeny. Přednáška bude zahrnovat údaje o fór, které mají pouze privilegovaný přístup, vnitřní detaily kupujících / prodávajících, osobní rozhovory, a IRC setkání, které je unikátní a výzkum orientovaný.
Zaregistrujte se Justin Searle na dvouhodinový seminář, kde vezmu vás prostřednictvím protokolu Modbus standardu sítí a vás provede praktická cvičení, včetně analýzy síti Modbus zachytí, konfiguraci modbus koncových bodů simulátory, a vytváří si vlastní Modbus provoz na dotaz a fuzz Modbus zařízení.Přijďte připraveni se svými notebooky, DVD mechanika, a nainstalovaná verze VMware Player, aby plně využily tohoto workshopu!
V poslední době, Android aplikace používá některé techniky chránit svůj kód, jako je APKProtect, DexGuard, BangCle, Ijiami a LIAPP. Tyto nástroje upravit původní DEX (Dalvik spustitelný), nebo nahradit původní DEX k druhému DEX (pro rozbalení & loader) generované balení nástroj. Tyto nástroje využívají mnoho anti-analytické metody, aby se zabránilo analyzovány jako je anti-ladění (pro gdb), anti-jdwp (pro Java debugger), anti-sabotážní a zmatek v pojmech pro Dalvik a nativním kódu. I oni jsou pomocí self-ladění (self-Ptrace) techniky. Tyto techniky způsobují zpětně analyzovat, aby se zlobí a zničený. Také, nástroje a systémy, které automaticky analyzují Aplikace pro Android není analyzovat správně protože jejich anti-analýzy technikou. Nicméně, navrhujeme novou obecnou vybalení metodu, aniž by se kořenový oprávnění pro rozbalení. V této prezentaci, budeme vám ukázat, jak to funguje.