Jackey's 感悟

Do Research

>美国骇客年会 Black Hat 2008 观察:第一天

>

美国骇客年会 Black Hat 2008 观察:第一天

2008.08.25 来自:armorize  Wayne 共有评论(13)条 发表评论 <!– [收藏到我的网摘] –> 收藏

编者按:全球瞩目的信息安全会议Black Hat USA 2008上周在美国拉斯维加斯开幕,众多的安全厂商和独立安全研究人员都在会上发表了自己最新的研究成果。作为亲身经历的Wayne,将自己的所见、所闻、所想与大家分享。

会场就在我住的旅馆的对面,但是还是很早起床,因为每天都很忙,除了听一些 talk 还有很多人要碰。今天天气很好,有太阳时才发现我房间看出去的view还不错:

到了会场,今年一样布置得很漂亮:

注册之后,我先去找负责媒体的 Dirk 跟 Nico。不是要拿免费的 pass,我已经付全额了,但是我要拍照,需要先跟他们 check 过,确定今年大会的规则。尤其是之后的 DEFCON,需要更加小心。结果很顺利,规则都没变,大会还给了我一个 press 的名牌,让我可以大方的拍照……great!感谢你们,Dirk and Nico!

Black Hat 今年第12年,人非常的多,而且听众的技术都有一定的水準,年龄层与产业皆涵盖得很广,今年一共有8个track一起举行,分别是:Root Kits、0-day、App Sec(应用程式安全)、Bots & Malware(恶意程式)、Deep Knowledge、The Network (网路安全)、Over the Air(无线网路安全)以及 Reverse Engineering (逆向工程)。

一去就忙着跟一大堆人打招唿,看来所有认识的厂商都到了,明年阿码也应该要展,但是我们一年真的展太多了。还好我早到,跟所有人打完招唿就差点错过了开场跟 keynote。

大会照往例,由大会主席 Jeff 开场。看起来还是这么年轻,而且开场简洁,很好!

第一天的 keynote 由 London School of Economics (LSE)的 Ian Angel教授开场,题目是“Complexity in Computer Security–A Risky Business”,没有特别讲什么新的,但是把当前资安的挑战用很好笑的方式讲得很清楚:

他的看法是,目前资安没有解决方案, 只有事件发生的可能与造成的影响(there are no solutions, only contingencies),所以我们就应该:尽人事听天命,然后保持愉快的心情(Start the day with a smile and get it over with)。您觉得呢?

这里是他在现场接受采访的视频下载地址:http://www.youtube.com/watch?v=x5dXfi4xIhY&eurl=http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html

听完 keynote 我们前往 Jared DeMott的逆向工程 talk,题目是:“AppSec A-Z”。Jared 是“Fuzzing for Software Security Testing and Quality Assurance”一书的作者之一,并创办了 VDA Labs。Jared 写了几个免费的工具,包含 Win32 DLL injection 用的 pyfault,以及叁个 fuzzing 用的工具 EFS/GPF、cmdline、以及ikefuzz。Jared 也是2007年l@stplace二次拿下 DEFCON CTF 冠军时的一员。

我是觉得,虽然题目是逆向工程,其实整个演讲就是之前五月他讲的「Onion, not parfait: Today’s security check-up and malware for the rest of us」的衍伸,这些新的逆向技巧主要针对目前 Web 上的各种恶意程式之分析所用。看来 Web 成为散播 malware 主要管道后,由于这些 malware 加壳的方式都很特别,逼出了很多这样的研究。

介绍的 技巧先不说,因为我要写这么多天的观察,没办法谈细节,但是我觉得 Jared 一开始的介绍很有系统性,把恶意程式的分析分成动态与静态两种,然后循序渐进分门别类的介绍。我觉得这是讲师该有的责任-如何讲一场让大家都听得懂得演 讲,而不是自己讲爽的就好,而别人只感觉「似乎很屌」但是实际上却听不懂。就技术而言,这次听来听去我都觉得这些讲师用的技巧没有Birdman 在 HackAlert 中用的技巧好,Birdman 的技巧都是快、準、狠,简单又一针见血,可能是长期被对岸训练出来的缘故吧!

听到一半自己看完投影片的 PDF 档,觉得差不多了,闪人,看看还有谁可以听的,同时间的还有 Billy Rios 跟 Nitesh Dhanjani(作者:Network Security Tools (O’Reilly)、HackNotes :Linux and Unix Security (McGraw-Hill))的演讲,但是他们的演讲我最近在其他的会中都听过了,所以跳过,来看看 NMAP 的 Fyodor Vaskovich 好了!

Fyodor 的讲场挤到连站的位子都没有。Fyodor 这次讲的是 internet scanning,也就是大规模透过 internet 的网路层扫瞄。我记得 web 的威胁还没有起来时,讲到 internet security 或 web security,一定会提到 NMAP,NMAP 似乎也是每个骇客(还有网管)必学的第一套工具,也是电影裡的常客。我想很多人选这场也是为了亲自见 Fyodor 一面吧?

Fyodor 开场时说的话让我印象深刻:“Internet scanning 非常难,还有许多的挑战,但我想这也许是好的,至少这让我站在台上给演讲,不然我得去学那个叫什么 “XSS” 的鬼东东了!”

Fyodor 说这次 Internet scanning 的计划,最困扰他的是,常常 ISP 会把他的家的网路停掉:

ISP:“先生,我们把你的网路停掉了,因为根据你的流量分析,你中了木马,你的木马正在做很多不法的事情,你已经成为僵尸网路(botnet)的一员了!”

Fyodor:“把我的我网路还给我,那些流量都是我刻意产生的,我有目的的……”

ISP:“可是这些流量是违法的!”

Fyodor:“我是 NMAP 的作者,我在研究并发展更强大的版本……”

ISP:“喔,你就是 “那个” Fyodor?请受小弟一拜…NMAP 会有新版?太帅了,您辛苦了!”

根据这次 Fyodor 大规模扫瞄计画的结果,port 80 仍然是最常见的开放 port,其他依序是:80 (http), 25 (smtp), 22 (ssh), 443 (https), 21 (ftp), 113 (auth), 23 (telnet), 53 (domain), 554 (rtsp), 3389 (ms-term-server)。

Fyodor 讲了很多加速 NMAP 的技巧以,例如 stateful firewalls 适合用 SYN 来 scan,而 stateless firewalls 适合用 ACK 来 scan等等,也介绍了 NMAP 的新功能,例如可以设定最大与最小流量,scripting engine,还有会画 network map 的新图形介面 Zenmap,以及可以比对两次扫瞄差别的 Ndiff 等。

Fyodor 的投影片可以到这裡下载:http://insecure.org/presentations/BHDC08/

接下来决定去 Dan kaminsky的演讲“Black Ops 2008 — Its The End Of The Cache As We Know It”,因为这次他公开的 DNS 弱点太红了,预计会大爆满。

这个 DNS cache poisoning 的弱点 Dan 在七月初就已经公开:

资安之眼, US CERT TA08-190B / VU#800113, CVE-2008-1447

其实自从 Dan 七月初公开此 DNS 弱点到现在,一方面由于资讯不足(一方面要留到 Black Hat 才公布,一方面也让厂商有足够时间初修补程式),造成很多声音说此漏洞早就有很多研究员发现了,但是另一方面,却也很快被其他人猜出整个漏洞的细节,而后 很快地就有人写出了攻击程式(例如:MILW0RM:6122、MILW0RM:6123、MILW0RM:6130)。Dan 则在七月24日 Black Hat 的会前会上公布了漏洞的细节。在这裡註册后可以看到当时的录影。

来到 Dan 的演讲,果然感受到美国这些大型会议的特色:好的讲师,大家挤到连站的位子都没有;坏的讲师,一开讲五分鐘之后,你会发现大家一窝峰往外衝,底下右边是某讲师的演讲,左边是 Dan 的:

先不论这个演讲能听到些什么(细节之前都公布了),但是 Dan 的确是一个很好的演讲者,他的演讲生动有趣,我是从头笑到尾。很多人说都没听到新的东西,也很多人说,Dan 不需要解释这么多 DNS 漏洞的影响,因为 man-in-the-middle 后什么安全当然都别谈了,但是我是觉得,讲这些就忘了:好笑,有趣,一直是这个会议的精神之一。不论 Dan 发现的漏洞是否其实简单,其实很多人有提到过了,他的演讲非常生动,绝对让大家对此漏洞以及整个 DNS 架构的不安全性印象深刻,以及他一个人真的推动了所有厂商对此漏洞的重视并出修补程式,这些我觉得都是我很欣赏他的原因。

看看右图,Dan 讲得手足舞蹈的,左图,Dan 的演讲真是老少咸宜,大家都来看他的风采 🙂

这个漏洞的特色之一,是影响了大多数的厂商。Dan 公布后,主要的 DNS 上修补程式的速度多快呢?可以按这裡下载 avi 档:http://www.doxdns1.com/yellow-7days-with-percentage.avi,这裡有对于此 DNS 漏洞的详细图解。

以下是 Dan 在会议中接受的访问的视频地址:http://www.youtube.com/watch?v=R-SSVxsH7vw&eurl=http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html

听完了 Dan 的,接下来去找 PDP(Petko D. Petkov)(个人网站, 大会介绍),题目是:「Client-side Security」。PDP 讲的就跟我们做得有关了,所以虽然今年他在很多地方讲的我都听过了,但是还是来捧场啦!PDP 本来就很多 fans,去年公开 Gmail 的 CSRF 漏洞并示範给 ZDNet 确认后(资安之眼),其研究更受到大家的注意。

PDP 的这个演讲跟他之前的演讲差不多,讲了很多浏览器的 外挂(plugins)产生的漏洞,其中包含了Adobe PDF(PDP、资安之眼),Apple Quicktime(PDP、资安之眼),SecondLife(PDP),Flash UPnP(PDP-1、PDP-2、资安之眼),Skype(PDP、资安之眼-1、资安之眼-2)等。

最后 PDP 提到了第四代 rootkit 的观念,认为以后 rootkit 会存在于浏览器上。我自己则是认为,浏览器的外挂安全问题,还会存在好一阵子,加上在浏览器上执行的恶意程式,基本上都是以 script 的形式存在,而非执行档,而 script 的变形非常方便以及容易(我之后会介绍一场 DEFCON 有趣的演讲),这样的情况会彻底击败以样本(signatures / patterns)为基础的防御技术,如多数的防毒软体。

PDP 这次演讲的投影片可以在这裡下载:http://lab.gnucitizen.org/presentations/Client-side_Security_-_Slides_-_BH.pdf?attredirects=0

听完 PDP,去看好朋友 RSnake (ha.ckers,sla.ckers,SecTheory,大会介绍)的演讲。

看到 RSnake 让我想到这次 Kuon 没有来有点可惜。他只要有碰到这些讲师都会有问不完的问题……

(上:Kuon 于 OWASP-WASC US 2007)

RSnake 这次花了很多时间讲他跟 Google 之间不是那么顺利的互动。我想,弱点揭露(vulnerability disclosure 一直是资安研究人员最困扰的议题之一,听 RSnake 在台上讲,我想到我自己很多不是很愉快的经验。我们做源码检测,手上有很多美国大厂的 0-day。如果已经是我们的客户,那沟通方式很简单,但是如果还不是我们的客户,有时候就复杂了。通常对方第一个动作就是传一份保密合约(NDA)过来 让我们签,而这些保密合约,我给我们公司律师检阅后,从来没有一次是律师跟我说可以签的。基本上签了之后,我们丧失任何在公开场合讨论此漏洞的权力(即使 在修改了之后),对方也不会有任何承诺何时会修正或公开时会不会提及是我们发现的。每次这种会议不论是台上的讲师或台下的私人聚会,弱点揭露永远是热门的 话题。这次 DEFCON,MIT 学生被法院禁止讲捷运 RFID 卡的破解方式,RSnake 还有很多其他讲师也在演讲中对弱点揭露提出看法,我也有很多自己的经验,所以我会另外写一篇探讨。

基本上,RSnake 发现 gmodules.com 这个网域有 XSS 漏洞,但是 Google 却觉得此非 google.com 网域,即使有 XSS 漏洞,骇客也不会因此而能偷到 google.com 的 cookie,所以没有修復的必要。

呵呵,问题是,XSS 漏洞不只是可以偷 cookie 而已,也可以用来 phishing或挂马。gmodules.com 这个网域有 XSS,如果这不重要的话,那我想 gmail.com 是否一样呢?如果攻击者像是利用 SEO Posioning 那样的利用 GModules.com XSS 来挂马,那么 Google 会怎么看待这样的问题?

这让我想到去 Black Hat / DEFCON 之前,我受邀到国防部为叁军的资安人员讲一场演讲,同时受邀的有叡扬资讯的某先生。这位先生一开场就介绍资安之眼的「TW 网站沦陷资料库」:各位如果有 XSS 的话,会被登入在这个资料库中喔!千万别让自己的网站上了这个资料库… 这位先生,您不知道贵公司也已经上了这个资料库吗?随后这位先生大力建议,网站不要被攻的方法,就是尽量裡头不要摆东西,骇客攻进来发现没有东西可以拿, 也没有资料库,就不会对你的网站有兴趣了…这位先生,您没有听过什么叫 botnet (僵尸网路)吗?骇客攻机器只是为了拿资料,我还第一次听到…那天我在台下真的是听不下去了!

回到主题,RSnake 这个 talk 我很喜欢,因为我最近开发阿码外传,选择用 Blogger,也发现很多这样子的问题。Blogger 之前非 google,上面推荐了摆在很多第叁方的 widget,这些 widget 目前仍大量被使用。Blogger 被 Google 买了之后,大家相信 Google 也因此相信 Blogger,但是这些摆在第叁方的 script 安全吗?

接下来 RSnake 就介绍了他做的许多可以摆在 gmodules.com 下的恶意的 Google gadget,包含会扫瞄网路的,会偷资料的…等等。这部分技术上没什么难度主要是,但是听起来蛮有趣的 🙂

最后,RSnake 介绍了gmodules.com 的proxy cache 弱点,可以在上面放恶意程式,而这种恶意程式,他取名做 「GMalware」。

最后一场,我跳过了美国机敏单位与骇客大拜拜的「Meet the Feds」,因为反正DEFCON也有,而去了Paul Royal 的演讲:「Alternative Medicine: The Malware Analyst’s Blue Pill」。Paul Royal 是 Georgia Tech Dr. Wenke Lee 的学生,主攻 binary 分析,目前是 Damballa 的首席研究员。

Paul Royal 在他演讲的简介裡,把现在恶意程式设计与侦测的挑战讲得很清楚:对于动态侦测,恶意程式有各种方法侦测 sandbox,对于静态侦测,恶意程式有各种不同加壳技术,所以恶意程式设计与侦测,就是一场永无止境的赛跑。Paul 介绍如何利用中央处理器对虚拟化(virtualization)的硬体支援(例如 Intel 的 VT),以建构出一个 KVM 式的 sandbox,使得恶意程式无法侦测出,其已经被置入 sandbox 执行,并正在被分析。Royal 有当场解释 source code,并秀出此研究的雏形(prototype):Azure,与之前其他研究的雏形:Renovo 和 Saffron。

Paul 用了 15 套加壳程式来比较这叁个技术的差别:Armadillo, Aspack, Asprotect, FSG, MEW, Molebox, Morphine, Obsidium, PECompact, Themida, Themida VM, UPX, UPX S, WinUPack, Yoda’s Prot,其中 Azure 侦测到所有的恶意程式,而 Renovo 只侦测到 13 隻,Saffron 只侦测到 10 隻。我想叫 Birdman 跑一下我们的 Archon Analyzer (HackAlert的引擎)比比看……顺便跑一下趋势跟赛门好了。

最后,我发现今年 Black Hat 也有绵羊墙了!绵羊墙(wall of sheep)(CNET 报导:中文、英文)一直是 DEFCON 有趣的特色之一,而今年也来到了 Black Hat。绵羊墙团队约有十位核心成员,他们全天候监控大会的网路封包,抓到与会者的机密资料,如帐号密码或信用卡号码等,就贴到绵羊墙上去恭喜他。


(我来不及问绵羊墙可不可以照,上面这张不是我照的,是 wired 的 blog 上的)

绵羊墙团队不使用任何解密工具,所以墙上的绵羊都是自己使用了明码的通讯(没有加密的 FTP、POP、SMTP…)而光荣上榜的。CNET 这次有访问绵羊墙的团队:

有趣的是,今年在 Black Hat 有叁位法国的记者(我有媒体牌所以我在媒体室有碰到他们),没有先告知大会工作人员,就自行 sniff 媒体室裡的有线网路封包,抓到其他媒体记者的帐号密码后,通知绵羊墙的工作人员,将这些「媒体绵羊」希望加入榜单。老兄… 你没听说 Black Hat 这些工作人员的风格吗?这是他们的会,怎么会让你们来撒野?

主要是,美国联邦法律规定,被监听者需要知道自己被监听,而 Black Hat 大家都知道无线网路是被监听,被扫瞄,充满 0day 攻击的。可是记者室裡的网路,大会是宣称安全的,因为许多记者不是技术出身,不能要求他们懂得如何设定安全的连线(这样喔?)…

整个报导在这裡(照片也是这裡来的)。最后这叁位记者被大会驱逐,并且也被禁止参加 DEFCON 以及未来所有的 Black Hat / DEFCON。

tgdaily 的记者 Humphrey Cheung 有趁乱拍下了这叁位记者当时秀的画面,除了 eWeek 之外,CNET 也在榜上

(这张是 Humphrey 照的,故事在这裡,另外 CNET 也有两篇报导:CNET 报导-1、CNET 报导-2)

对了,这裡有被偷帐号密码的 eWeek 记者 Brian Prince 的自白:eWeek 在 Black Hat 如何被骇的(How eWEEK Got Hacked at Black Hat)。

疑似也被偷了帐号的 CNET 记者 Elinor Mills 女士也写了一篇可爱的自白:“与我同桌的记者锁定要骇我(Targeted for hacking by reporters at my table)”。报导中她说:“我报导了各资安会议十四年了,觉得很幸运一直没有被骇,一直到这星期四…事情是这样的……”McAfee 的资深 VP 对我说:在这行够久的人,一定都在某个时间有被骇过。这让我好过一些,但是我无法抹去被侵犯(violate)的感觉,就好像一阵风把我的裙子吹了起来, 让我的内在暴露给一群陌生人看到一样,也许这是在这行必须接受的风险,但是从现在开始我都会穿保险裤的(overalls)。」

我对这件事有很深的看法,我会再写 blog。基本上,就像锁匠一样,骇客最重要的是纪律。我们会开锁,不代表我们可以去吓别人;骇客的功夫我都很尊敬,但是行为不约束的我只有不屑。这些改天再写吧!

我看会来后大家最好换一下帐号吧…应该说最好换一台电脑吧,用什么扫毒软体确定?阿码的 Archon 吗?不用了啦!应该都中了,直接 format 吧!不过现在很多都会跑到 bios 裡面去,我看换一台比较快啦!

大会结束后我去了一个私底下约的聚会,内容就不能公开啦!只能说现在 rootkit 都已经军规化了,真恐怖!

作者 Wayne 为阿码科技 CEO

<!– 这篇新闻中是否有争论或者观点交锋呢?如果希望读者参与,请点击这里,创建一个观点PK –>

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

You are commenting using your WordPress.com account. Log Out /  更改 )

Google photo

You are commenting using your Google account. Log Out /  更改 )

Twitter picture

You are commenting using your Twitter account. Log Out /  更改 )

Facebook photo

You are commenting using your Facebook account. Log Out /  更改 )

Connecting to %s

%d 博主赞过: