CONFidence 2010 – IT Security Event – relacja

CONFidence 2010 - Kraków

źródło: 2010.confidence.org.pl

W dniach 25-26.05 2010 w Krakowie odbyła się konferencja CONFidence 1, w której miałem przyjemność uczestniczyć. Konferencja odbyła się już ósmy raz (od 2005r.). Skupia czołówkę światowej klasy specjalistów. W trakcie tej dwudniowego spotkania odbyło się wiele prezentacji opisujących nowe, nieujawniane dotychczas wyniki badań. CONFidence to nie tylko konferencja, to także profesjonalne warsztaty, panele dyskusyjne, konkursy, Fight Club, Hackers for Charity Roulette, CONFidence Speed Breaking oraz wiele innych.

Tematy konferencji obejmowały wiele aspektów bezpieczeństwa, w tym także bezpieczeństwa aplikacji internetowych, o czym w dalszej części wpisu.

Słowem wstępu

Klub Społem - Żuk

źródło: www.krakow.come2europe.eu

Na wstępie chciałbym zauważyć, że przygotowanie konferencji było na bardzo wysokim poziomie. Obsługa, lokalizacja (Kino Kijów), zaplecze, a przede wszystkim prelegenci.

Zabytkowe kamienice Krakowa, mnogość pubów w piwniczkach (genialny Społem Pub), konkursy polegające na zdobywaniu kolejnych i kolejnych tworzyły ciekawą mieszanką.

Generalnie mam bardzo pozytywne wrażenia. Wróćmy do tematu – bezpieczeństwa.

 

Agenda

Konferencja skupiła ponad 30 specjalistów. Rozłożenie tej grupy zaledwie na 2 dni konferencji spowodowało konieczność utworzenia dwóch równoległych bloków. Niestety, trzeba było wybierać na które prezentacje się idzie, a które omija. Pełna agenda dostępna jest na stronie CONFidence – Agenda 2

Wybrane prezentacje, o których chcę wspomnieć

  1. Anonimowość, prywatność i współpraca z TORem w rzeczywistym świecie – Jacob Appelbaum
  2. Bezpieczeństwo jest „do bani” – Eddie Schwartz
  3. Dobrze znane luki w ludzkim mózgu i zachowaniu – powszechne błędy administratorów – Wojciech Bojdol
  4. Dan Kaminsky
  5. Teraźniejszość i przyszłość wielowarstwowych ataków sieciowych i XSSQLI – Mario Heiderich

Powyżej prezentują listę tylko tych wybranych, współgrających z tematyką bloga. Oczywiście ciekawych wystąpień było dużo więcej, jak chociażby prezentacja: „Nie możecie nas zatrzymać: najnowsze trendy w technikach exploit” – Alexey Sintsov. Czy Ataki na telefonię komórkową i sposoby zapobiegania im – jak bezpieczeństwo zmieni sytuację na rynku telefonii komórkowej – Tam Hanna

Prezentacje

Anonimowość, prywatność i współpraca z TORem w rzeczywistym świecie – Jacob Appelbaum 3

Temat tego wystąpienia nie jest ściśle związany z tematyką bloga, jednak warto o nim wspomnieć. TOR jest projektem i otwartą siecią, wykorzystywanym przeciwko cenzurze, dającym ludziom na całym świecie możliwość dostępu do treści nie filtrowanych przez rządy. Pomaga chronić użytkowników przed inwigilacją, która zagraża anonimowości, prywatności, prowadzeniu poufnych interesów i osobistej komunikacji. Niestety, często u nas kojarzony jest przez wielu ludzi jako siedlisko zła, pedofilii. Być może za sprawą wypowiedzi kilku nieznających tematu polityków.

Z punktu widzenia web developera, korzystanie przez odwiedzających z TOR’a powoduje trudności w zbieraniu statystyk odwiedzin. Większość statystyk opisujących źródła odwiedzin będą zakłamane. Jeśli na domiar tego, użytkownicy będą korzystać ze specjalnie przygotowanych przeglądarek, traking takich osób będzie niemożliwy, bądź gromadzone statystyki będą zakłamane.

Bezpieczeństwo jest „do bani” – Eddie Schwartz 4

Świetna prezentacja, raczej nie związana z projektowaniem aplikacji www. Skupia się na bezpieczeństwie systemów, sieci. Sposób przedstawienia tematu oraz sam autor (Eddie Schwartz jest głównym oficerem ds. bezpieczeństwa w NetWitness i ma 25 lat doświadczenia w dziedzinie bezpieczeństwa informacji i prywatności), zrobiły na mnie duże wrażenie.

Dobrze znane luki w ludzkim mózgu i zachowaniu – powszechne błędy administratorów – Wojciech Bojdol 5

Prezentacja dająca spojrzenie z trochę innej strony – psychologicznej. Temat dość ciekawy, rzeczy, o których większość się nawet nie zastanawia. Na prezentacji zostały przedstawione błędy wynikające z wad ludzkiej percepcji, lekceważenie niepomyślnych informacji, nie dopuszczanie informacji sprzecznych z naszym zdaniem, iluzje pamięciowe, iluzja nieomylności. Moim zdaniem warte uwagi kwestie, nie tylko z punktu widzenia bezpieczeństwa systemów, sieci. Programiści też czasem myślą, że są nieomylni, że skoro mają 5 lat doświadczenia to wiedzą najlepiej jak rozwiazać dane zagadnienie, wydają się nie widzieć oznak problemów, błędów. Ma to swoje odzwierciedlenie później w jakości powstałego kodu, czy to aplikacji stacjonarnej, czy webowej.

Dan Kaminsky 6

Dan Kaminsky jest znaną postacią w kwestiach bezpieczeństwa. Trzeba przyznać, że poza wiedzą jest bardzo ciekawą osobowością. Jego wystąpienie poruszało tematykę bezpiecznego tworzenia aplikacji internetowych. Wiele miejsca zostało poświęcone tematyce SQL-Injection, z tym, że z innego, niż powszechnie, punktu widzenia. Dan skupił się na takim przygotowaniu narzędzi, aby programiści z łatwością mogli z nich korzystać. Jak zauważył na wstępie, większość luk pojawia się ponieważ developerzy są leniwi. Przykładowo, pomimo, że istnieje w PDO bindowanie parametrów i tak wielu programistów woli podstawiać zmienne bezpośrednio do zapytania.

$query = "SELECT * FROM `TABELA` WHERE `POLE` like $pole OR `POLE2` like $pole2";

Powyższy zapis jest wygodniejszy w stosowaniu, niż ten poniżej. W dodatku zawiera się w jednej linii, nie w trzech.

$stmt = $this->_db->prepare("SELECT * FROM `TABELA` WHERE `POLE` like :pole OR `POLE2` like :pole2");
$stmt->bindParam(':pole', $pole, PDO::PARAM_STR);
$stmt->bindParam(':pole2', $pole2, PDO::PARAM_STR);

W związku z tym, proponuje stworzenie takich narzędzi, które spowodują, że programiści będą tworzyć aplikacje w najszybszy dla nich sposób, z tym, że będą one bezpieczne.

Teraźniejszość i przyszłość wielowarstwowych ataków sieciowych i XSSQLI – Mario Heiderich 7

Moim zdaniem najlepsza prezentacja (dla web developera) z całej konferencji. Mario Heiderich jest niezależnym konsultantem ds. bezpieczeństwa i trenerem, mieszka w Kolonii, a także pracuje dla szerokiej gamy firm niemieckich i międzynarodowych. W wolnym czasie Mario lubi spędzać dużo czas z oknem konsoli Firebug. Zakres poruszonych kwestii jest bardzo szeroki, wstęp do prezentacji wygąda następująco:

  1. Co się stało z bezpieczeństwem aplikacji www?
  2. XSS, wstrzykiwanie SQL, Auth i path traversal
  3. Mamy obecnie niesamowite rzeczy! NoScript, the IE8 and Chromium XSS filter and CSP
  4. Użytkownicy muszą być bezpieczniejszi niż kiedykolwiek!
  5. WWW się nie zmieniło?
  6. Nie było żadego HTML5 i następnego pokolenia przeglądarek?

Mario zaprezentował bardzo dużo różnorodnych luk, niestety zabezpieczenie się przed większością z nich możliwe jest tylko poprzez wyłączenie JavaScript. Oczywiście, w obecnej sytuacji, tak radykalny krok spowoduje pojawienie się utrudnień w korzystaniu z aplikacji webowych, niektóre z nich całkowicie unieruchomi. W związku z tym, pozostaje nam czekać na aktualizacje przeglądarek. W gestii ich producentów pozostaje napisanie takich silników, które uniemożliwią przeprowadzenie takich ataków

Przykładowo, osoby dysponujące przeglądarką z zainstalowanym firebugiem (lub inną konsolą js) polecam przetestowanie kilku poniższych kawałków kodu

top[(Number.MAX_VALUE/45268).toString(36).slice(15,19)]((Number.MAX_VALUE/99808).toString(36).slice(71,76)+'("XSS")')
ω=[[,Ŕ,,É,,Á,Ĺ,Ś,,,Ó,]=!''+[!{}]+{}][Ś+Ó+Ŕ+],ω()[Á+Ĺ+É+Ŕ+](Ó+ω()[++Ó+Á]('Á«)'))

Ten kod to szaleństwo! Sprawdźcie demo na stronie Mario’s: http://heideri.ch/jso/what??? (działa tylko w IE)

1;--<?f><l₩:!!:x\
/style=`b&#x5c;65h\0061vIo\r/ĸ
:url(#def&#x61ult#time2)/';'`₩/onb
egin=
&#x5bμ=\u00&#054;1le&#114t&#40&#x31)&#
x5d&#x2f/&#xyŧ\>

Lub zaprezentowanego ataku XSSQLI (atak XSS poprzez wykorzystanie SQL Injection)

SELECT UpdateXML(concat( 0x3c,'script',0x3e,'alert(1)',0x3c,'/script',0x3e),'/x', 0);

Obszerniejsza relacja z prezentacji Mario w kolejnym wpisie.

Źródła

  1. CONFidence []
  2. CONFidence 2010 – Agenda []
  3. Jacob Appelbaum – CONFidence 2010 []
  4. Eddie Schwartz – CONFidence 2010 []
  5. Wojciech Bojdol – CONFidence 2010 []
  6. Dan Kaminsky – CONFidence 2010 []
  7. Mario Heiderich – CONFidence 2010 []
 

Przeczytaj także

Komentarze: 2

Dodaj komentarz »

 
 
 

[…] This post was mentioned on Twitter by Vokiel and Vokiel, Vokiel. Vokiel said: CONFidence 2010 – IT Security Event – relacjaCONFidence 2010 – IT Security Event – report http://cli.gs/0NrX4 […]

 

Odpowiedz

 

1;--<?f><l₩:!!:x\
/style=`b&#x5c;65h\0061vIo\r/ĸ
:url(#def&#x61ult#time2)\ö/';'`₩/onb
egin=
&#x5bμ=\u00&#054;1le&#114t&#40&#x31)&#
x5d&#x2f/&#xyŧ\>

na jakiej zasadzie działa ten kod? niezłe.. 😀

 

Odpowiedz

 

Dodaj komentarz

 
(nie będzie publikowany)
 
 
Komentarz
 
 

Dozwolone tagi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
© 2009 - 2016 Vokiel.com
WordPress Theme by Arcsin modified by Vokiel