Impresii de la DefCamp

Impresii de la DefCamp

A 8-a editie a DefCamp s-a desfasurat anul acesta pe 9 si 10 noiembrie, in Bucuresti, si a adus laolalta specialisti in securitate cibernetica din intreaga lume.

Locatia (deja traditionala) acestei conferinte a fost Crystal Palace Ballrooms. Peste 40 de speakeri, impartiti pe 3 scene (salile Bucuresti, Roma si Viena), au abordat subiecte precum securitatea infrastructurii, GDPR, razboi cibernetic, ransomware, malware, social engineering, masuri de securitate defensive si ofensive etc.

Din pacate, timpul mi-a permis sa asist doar la prezentarile de joi. Dimineata am ajuns cu o mica intarziere si am ratat inceputul primei prezentari, retrospectiva celor doi specialisti de la CERT-RO, Alexandru Stoian si Catalin Patrascu, care au povestit cateva situatii cu care s-au confruntat anul acesta si lectiile pe care le-au invatat (cel mai important ar fi atacul WannaCry).

Am ramas in fata primei scene si am urmarit cea de-a doua prezentare, “In Soviet Russia, Vulnerability Finds You” a israelianului Inbar Raz, in care ne-a povestit intr-un mod atractiv si amuzant despre mai multe vulnerabilitati pe care le-a cercetat, unele dintre ele descoperite intamplator. Cea mai interesanta mi s-a parut cercetarea despre un card (magnetic) de loialitate al unui brand din Israel. Cu id-ul de pe acest card putea intra in aplicatia web a companiei si vedea diverse informatii utile (promotiile disponibile pentru el, online balance check, etc.), doar ca schimband cateva cifre din id a descoperit ca putea afla informatii si despre alti posesori de carduri.

In prima sala am gasit si un mare ecran, adus de Orange, pe care era afisata o harta a atacurilor cibernetice, in timp real. Harta respectiva poate fi gasita aici bis-threatmap.orange.ro.

Am mers apoi, prin ploaie, catre a treia scena si am urmarit “ATM: every day trouble”, prezentata de doi specialisti in penetration testing de la Kaspersky, acestia au aratat diverse moduri prin care ATM-urile sunt atacate. De la ei am aflat, de exemplu, cum prin intermediul site-ului shodan.io (motor de cautare a device-urilor conectate la internet si nu numai) poti gasi ATM-uri conectate la internet, daca stii cum arata headerele returnate de acestea. La finalul prezentarii au facut si o recomandare, toolkit-ul pentru penetration testing frida.re.

Dupa o binemeritata pauza de cafea m-am mutat la scena a doua (aici am si ramas pana la finalul zilei), unde Mihai Vasilescu a abordat subiectul “IoT botnets? How do they work?” si ne-a aratat cum el si colegii lui de la Ixia au analizat malware-ul Mirai. Acest malware transforma device-urile ce ruleaza Linux si sunt conectate la internet in boti controlabili de la distanta, care pot fi folositi, ca parte a unui botnet, in atacuri pe scara larga, el targheteaza in special dispozitive precum camerele de supraveghere video IP si routerele. Mirai a fost folosit in unele dintre cele mai mari atacuri DDoS spre finalul anului 2016 iar codul sursa a fost publicat pe forumurile de hacking ca open-source. Mihai spune ca pe durata analizei a gasit mai mult de 200 de servere unice command-and-control (CnC) si a observat ca hackerii comunicau si se organizau prin intermediul Pastebin, Twitter si chiar Github.

Au urmat nigerianul Uzoma Ogbonna si Daniel Barbu de la Adobe cu “Splunking the Clouds: finding the needle in AWS & Azure”, ei au aratat cum putem aduna log-urile de pe toate serverele din cloud (AWS sau Azure) ale unei organizatii si cum le putem trimite catre Splunk pentru a fi procesate si mai apoi analizate pentru a descoperi posibile amenintari cibernetice.

In pauza de masa am mancat o jumatate de felie paine neagra, putin orez, 3 rondele de castravete murat, 1 bucata pui shangai, o frigaruie, putina salata de varza si cel putin inca doua chestii pe care nu mi le amintesc si care oricum nu conteaza, dupa care am vizitat Hacking Village, sala in care se gaseau diverse challenge-uri (precum “Hack the Bank”) si mai multi hackeri concurau in competitii precum “Capture the flag” sau “Defend the Castle.

Cu burtile pline am revenit in sala a doua si l-am urmarit pe Mohamed Bedewi care a explicat ce este “active defense”, cum putem intelege cine ne ataca si de ce, diverse modalitati prin care ii putem detecta si bloca pe atacatori (un exemplu dat, deschiderea tuturor port-urilor, in momentul in care detectam pe cineva care incearca sa se conecteze la acestea, il blocam definitiv) si a oferit si o recomandare: ADHD (Active Defense Harbinger Distribution) – o distributie de Linux sponsorizata de DARPA, care implementeaza toate metodele de active defense.

Pe scena a urmat Adrian Furtuna, care a oferit un demo al unei aplicatii web – pentest-tools.com, creata de el, aplicatie ce contine diverse tool-uri pentru penetration testing (adunare informatii, testare infrastructura, descoperirea de subdomenii sau aplicatii neupdatate si vulnerabile, etc.). A oferit si un demo live in care a analizat diverse site-uri, sugerate de public.

In continuare Alexandru Suditu de la Enevo Group a prezentat o evolutie a amenintarilor asupra infrastructurilor critice si retelelor de energie electrica, aducand aminte de atacurile Stuxnet (o lectura pe acest subiect https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/), Dragonfly, Sandworm, Blackenergy, Blackenergy 3 sau Chashoverride (pentru fiecare se pot gasi pe internet explicatii interesante despre cum s-au desfasurat atacurile, cine le-a orchestrat si care a fost scopul lor).

La finalul zilei Cosmin Radu a vorbit despre cum el si colegii lui de la KPMG au construit un mic device ce poate scana retelele WiFi, intercepta traficul, analiza loguri si crea rapoarte sau chiar efectua atacuri asupra unor useri/access points, folosindu-se de Raspberry PI si cateva accesorii. Acesta poate fi controlat de la distanta, prin SMS, scopul lor fiind de a realiza un device similar cu WiFi Pineapple, dar cu costuri mult mai mici.

 

Alexandru Raduta

 
Comments

No comments yet.