Martin Dráb
Secit.sk
Přednáška: Implementace systémů HIPS – historie a současnost
Přednáška si klade za cíl podat ucelený přehled o různých technikách používaných při programování systémů HIPS, jejich výhodách a nevýhodách. Nejprve si zadefinujeme, co pro nás v kontextu přednášky spojení „systém HIPS“ znamená. Budeme pokračovat chronologickým výčtem používaných technik a jejich silných a slabých míst. Podíváme se také na rozhraní, která pro implementaci těchto systémů nabízí současné verze Windows. V závěru přednášky se budeme zabývat několika primitivy, která sice nevznikla přímo za účelem ochrany operačního systému, ale v jistých případech je lze k tomuto účelu použít. Přednášku doplní praktické ukázky.
Při práci s databází se musíme poměrně často potýkat s problematikou vícenásobného souběžného přístupu k datům. Prezentace se zabývá touto problematikou, představuje dva mechanismy řešící souběžné transakce: pessimistic a optimistic offline lock. Dále zmiňuje možné problémy každého z těchto přístupů a na závěr vzájemně porovná vhodnost jejich použití v různých případech.
Autoři: Luboš Krčál, Ondřej Machulda - ČVUT FEL
Martin Dráb – Zranitelnosti ovladačů jádra Windows v praxi
Obzvláště 64bitové verze OS Windows obsahují silné mechanismy zamezující vykonávání škodlivého kódu v režimu jádra. Cílem přednášky je ukázat, že tato opatření nemusí být vůbec efektivní, pokud autoři ovladačů udělají při programování chybu. Tento fakt bude demonstrován ukázkou zneužití takové chyby, která dovolí útočníkovi vykonat libovolný kód se stejným oprávněním jako ovladač jádra.
www.security-session.cz
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Další důležitý krok v mém procesorovém životě — představení procesoru RISC63 v rámci obhajoby mé bakalářské práce na Fakultě informatiky Masarykovy univerzity v roce 2020. Procesor je popsán v jazyce VHDL.
Zdrojový kód RISC63 (English friendly): https://github.com/dominiksalvet/risc63
Text bakalářské práce: https://github.com/dominiksalvet/bachelor-thesis
Při práci s databází se musíme poměrně často potýkat s problematikou vícenásobného souběžného přístupu k datům. Prezentace se zabývá touto problematikou, představuje dva mechanismy řešící souběžné transakce: pessimistic a optimistic offline lock. Dále zmiňuje možné problémy každého z těchto přístupů a na závěr vzájemně porovná vhodnost jejich použití v různých případech.
Autoři: Luboš Krčál, Ondřej Machulda - ČVUT FEL
Martin Dráb – Zranitelnosti ovladačů jádra Windows v praxi
Obzvláště 64bitové verze OS Windows obsahují silné mechanismy zamezující vykonávání škodlivého kódu v režimu jádra. Cílem přednášky je ukázat, že tato opatření nemusí být vůbec efektivní, pokud autoři ovladačů udělají při programování chybu. Tento fakt bude demonstrován ukázkou zneužití takové chyby, která dovolí útočníkovi vykonat libovolný kód se stejným oprávněním jako ovladač jádra.
www.security-session.cz
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Další důležitý krok v mém procesorovém životě — představení procesoru RISC63 v rámci obhajoby mé bakalářské práce na Fakultě informatiky Masarykovy univerzity v roce 2020. Procesor je popsán v jazyce VHDL.
Zdrojový kód RISC63 (English friendly): https://github.com/dominiksalvet/risc63
Text bakalářské práce: https://github.com/dominiksalvet/bachelor-thesis
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Jaroslav Prodelal
Webinář, který vás uvede do problematiky virtualizace desktopů, vysvětlí objektivně výhody, které vám takové řešení může přinést, seznámí s aktuálními trendy v oblasti virtualizace, pomůže zejména s licencováním ve vztahu k software Microsoft a ukáže reálné příklady užití ve školském prostředí.
„Virtualizaci desktopů využívám již od roku 2008 a ulehčuje mi život každý den. Adaptace studentů i učitelů a ostatních pracovníků proběhla bez větších problémů, jako velkou výhodu vnímají možnost práce z domu na stejném počítači jako ve škole. Jsme technická škola a provozujeme virtuálně i aplikace AutoCAD nebo SolidWorks a to nejenom pro výuku, ale i při soutěžích. Navíc máme již díky této technologii ve škole Windows 8 a nemuseli jsem zaplatit ani korunu za nový hardware.“
Petr Škrabal, správce ICT, Střední průmyslová škola Hranice
Agenda:
------------
* základní informace o konceptu virtuálních desktopů (VDI)
* výhody využití VDI pro organizaci a správce
* licencování ve vztahu k Microsoftu a vašim existujícím licencím
* dostupná řešení na trhu a jejich rozdíly
* modelové konfigurace a orientační cenové hladiny
* modelové konfigurace po stránce technické
* tenký klient a jeho využití nejenom pro VDI
* referenční projekty VDI
konkrétní případy nasazení VDI
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Oracle Solaris Day 2013 - Oracle DB and OS SolarisMartin Cerveny
Presentation from training day for Oracle Solaris customers to explain advantages of running Oracle Database on Oracle Solaris.
Presentation covers following themes:
- system and network virtualization
- filesystem ZFS
- security with RBAC
- running with SMF
- tuning with DTrace
Demo labs: http://www.slideshare.net/m_cerveny/osd2013-cmd
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Jaroslav Prodelal
Webinář, který vás uvede do problematiky virtualizace desktopů, vysvětlí objektivně výhody, které vám takové řešení může přinést, seznámí s aktuálními trendy v oblasti virtualizace, pomůže zejména s licencováním ve vztahu k software Microsoft a ukáže reálné příklady užití ve školském prostředí.
„Virtualizaci desktopů využívám již od roku 2008 a ulehčuje mi život každý den. Adaptace studentů i učitelů a ostatních pracovníků proběhla bez větších problémů, jako velkou výhodu vnímají možnost práce z domu na stejném počítači jako ve škole. Jsme technická škola a provozujeme virtuálně i aplikace AutoCAD nebo SolidWorks a to nejenom pro výuku, ale i při soutěžích. Navíc máme již díky této technologii ve škole Windows 8 a nemuseli jsem zaplatit ani korunu za nový hardware.“
Petr Škrabal, správce ICT, Střední průmyslová škola Hranice
Agenda:
------------
* základní informace o konceptu virtuálních desktopů (VDI)
* výhody využití VDI pro organizaci a správce
* licencování ve vztahu k Microsoftu a vašim existujícím licencím
* dostupná řešení na trhu a jejich rozdíly
* modelové konfigurace a orientační cenové hladiny
* modelové konfigurace po stránce technické
* tenký klient a jeho využití nejenom pro VDI
* referenční projekty VDI
konkrétní případy nasazení VDI
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Oracle Solaris Day 2013 - Oracle DB and OS SolarisMartin Cerveny
Presentation from training day for Oracle Solaris customers to explain advantages of running Oracle Database on Oracle Solaris.
Presentation covers following themes:
- system and network virtualization
- filesystem ZFS
- security with RBAC
- running with SMF
- tuning with DTrace
Demo labs: http://www.slideshare.net/m_cerveny/osd2013-cmd
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
Ačkoli je e-mail často používán i pro důležitou komunikaci, stále je náchylný na odposlech nebo modifikaci nešifrovaných zpráv na cestě. Přitom existuje způsob, jakým lze nakonfigurovat
e-mailový server k vynucení šifrovaného předávání pošty při zachování plné kompatibility se stávajícími poštovními systémy. Využívá se přitom speciálních vlastností protokolů DNSSEC a DANE.
2. HIPS: základní definice
● Majoritně používané operační systémy
disponují bezpečnostními modely, které dovolují
jednotlivým uživatelům určit, co smějí a co
nesmějí.
● V případě Windows je většina domácích
uživatelů zvyklá pracovat neustále s
oprávněním administrátora, což činí
bezpečnostní model značně neefektivní.
● Systémy HIPS – programy, které monitorují,
oznamují (a blokují) podezřelé aktivity v
operačním systému.
3. Čemu se budeme věnovat
● 64bitovým verzím Windows
● Rozhraním, která pro ulehčení (a umožnění)
implementace poskytuje Microsoft.
● Zajímavým aspektům jádra, které mohou při
implementaci systému HIPS pomoci (ač k
tomuto účelu původně zamýšleny nebyly)
4. Čemu se budeme věnovat
● Patchguard
● OB Filtering Model
● Chráněné procesy
● GUI a možnosti s ním spojené
● Případně něco dalšího
6. Patchguard
● Ochrana integrity některých součástí jádra
● Nedeterministický
● Ověřování kontrolních součtů různých oblastí
● V případě zjištění nesrovnalosti je běh systému
zastaven modrou obrazovkou smrti
● V režimu ladění není aktivní
● Implementován tak, aby nebylo snadné naň užít
reversní inženýrství
7. Patchguard
● Není tedy možná „jen tak“ modifikovat kód a
důležité datové struktury jádra
● Souborový systém
● Registr
● Procesy a vlákna
● Síť
● Některá jsou použitelná až od Windows Vista
SP1
8. Objektový model
● Jádro Windows reprezentuje mnoho entit
(procesy, vlákna, klíče registru, otevřené
soubory...) jednotným způsobem; entitou
zvanou objekt jádra (kernel object)
● Jednotná reprezentace dává těmto entitám
například možnost pojmenování či nastavení
ochrany v rámci bezpečnostního modelu.
● Aplikace s objekty jádra pracují prostřednictvím
nepřímých odkazů – handle. Každé handle v
sobě nese zakódovanou informaci o cílovém
objektu a o tom, co skrz něj může s objektem
aplikace dělat.
9. OB Filtering Model
● Oficiálně dokumentované, a tedy legitimní
● Dovoluje monitorovat (někdy i blokovat či měnit)
přístup k objektům jádra
● Zatím podporovány pouze procesy a vlákna
● Dává jistou kontrolu pouze nad vytvářením
handle, ostatní operace nejsou podporovány.
● Dostupné od Windows Vista SP1
10. Chráněné procesy
● Speciální typ procesu dostupný od Windows
Vista
● Systém brání obyčejným procesům získat k těm
chráněným některá oprávnění. Mezi
chráněnými procesy navzájem žádná bariéra
neexistuje.
● Chráněné procesy nemohou mít děti
● Hlavní soubor chráněného procesu a jím
používané knihovny musí být podepsány
speciálním certifikátem
11. Chráněné procesy
● Chráněné procesy lze:
● Násilně ukončit
● Čekat na ukončení
● Zjistit některé vlastnosti
● Pozastavit
● Chráněná vlákna lze:
● Pozastavit
● Čekat na ukončení
● Číst některé vlastnosti
● Měnit některé vlastnosti (ale kontext k nim nepatří)
12. Chráněné procesy
● Důvodem vzniku není pomoci systémům HIPS,
ale lepší podmínky pro implementaci DRM
● System a audodg.exe
● Vytvoření chráněného procesu
● Změna bitu ve struktuře procesu
● Okamžitý účinek
● Patchguard to zřejmě nehlídá
13. Grafické uživatelské rozhraní
● Implementováno v rámci ovladače win32k.sys
● Vlastní tabulka systémových volání
● Mnoho ovládacích prvků (okna, tlačítka, textová
pole...) reprezentováno objekty zvanými okna
(windows)
● Založeno na zasílání zpráv příslušným oknům,
případně vláknům
● Příliš nepodléhá bezpečnostnímu modelu (okna
nepatří mezi objekty exekutivy)
14. Grafické uživatelské rozhraní
● Služby ovladače win32k.sys jsou zajímavé pro
malware či spyware. Proto by se mělo jednat i o
předmět zájmu systémů HIPS
● Škodlivý kód může prostřednictvím win32k.sys:
● Ukončovat ostatní procesy
● Injektovat vlastní knihovny do cizích procesů
● Monitorovat nejen události myši a klávesnice
● Útočit na GUI ostatních aplikací
● ...
● Windows zatím nedisponují žádnými
speciálními rozhraními.
15. Grafické uživatelské rozhraní
● Ovladač win32k.sys však není hlídán
technologií Patchguard
● Obranu lze založit na modifikaci jeho kódu
● Také lze modifikovat jeho tabulku systémových
volání
● Obtížnější než na 32bitových verzích Windows
● V některých případech lze použít i elegantnější
způsoby, které jsou založené na implementaci
jednotlivých nebezpečných mechanismů.
17. Windows Hooks
● Velmi staré rozhraní (snad již od Windows 3.x),
které umožňuje monitorovat a ovlivňovat
zejména transport přijímání zpráv
● Při většině použití dochází k samovolnému
vložení knihovny DLL s monitorovacím kódem
do adresového prostoru aplikace přijímající
zprávy. Prováděno líným algoritmem.
● Rozhraní tedy poskytuje možnost injekce kódu
do cizích procesů, naštěstí její rozsah lze i
legitimními způsoby omezit
19. Důsledky a zajímavosti
● Aplikace se může rozhodnout, zda bude
pomocí WH monitorována (a ovlivňována)
● Lze zajistit pouze pomocí modifikací knihoven v
uživatelském režimu, pokud si ohlídáme, aby
tyto modifikace nemohly být odstraněny
● Funguje i na některé další mechanismy
ovladače win32k.sys použitelné pro špatnou
věc
● Podobným způsobem lze monitorovat i
předávání výjimek a APC
20. Další zajímavé koncepty
● Objekty Desktop a WindowStation
● Omezení dosahu zpráv a rozhraní Windows Hooks
na vlákna/procesy běžící na v rámci jednoho
objektu Desktop (WindowsStation).
● Objekty Job (omezení na skupinu procesů)
● Zprávy pouze v rámci procesů v objektu
● Zákaz změny rozlišení, změny nastavení systému...
● I standardní limity (paměť, doba běhu, počet...)
● Primárně pro systémy HIPS nepoužitelné, nelze
se dotázat uživatele. Sandbox realizovatelný
● Chromium, Avast, ...
21. Závěr
● Jsou nějaké otázky?
● Kontakt
● Email: martin.drab@email.cz
● ICQ: 332970040
● Máte-li s sebou moji knížku a chcete-li ji
podepsat, přijďte nyní nebo kdykoliv během
konference