CC'11 впечатления

В выходные мне таки давилось побывать на Chaos Constructions'2011 и сразу хочу сказать, что мои опасения сбылись. В этом году фестиваль значительно уступал прошлогоднему мероприятию в плане ИБ составляющей, да и в принципе народу было меньше. Конечно, по анонсированной программе семинаров это все было итак понятно, я туда ехал скорее пообщаться с друзьями, нежели на сам фестиваль. Что касается HackQuest в этом году, то со слов организаторов, задания были упрощены, так как по опыту прошлых лет немногие с ними могли справится. Но вот удалось ли им достичь баланса между упрощением заданий и интересными квестами, сам судить я не могу, ибо не участвовал (крякми то не было никакого). Но слов некоторых участников, по сравнению с прошлом годом получилось хуже. Из позитивного в этом году был интересный конкурс от ONsec и Владимира Воронцова по обходу WAF.

Chaos Constructions'2011

Уже традиционно в последние выходные лета в Питере проходит компьютерный фестиваль Chaos Constructions. И так же уже традиционно на этом фестивале большая часть докладов и конкурсов посвящены тематике информационной безопасности. Для себя отметил несколько докладов, которые хочу посетить:

"Lockpicking - зачем это нужно ИТ специалистам?" - Алексей Синцов

"Безопасность расширений веб-браузеров на примере Mozilla Firefox"- Тарас Иващенко

"Безопасность браузеров. Атаки на пользовательский интерфейс" - Владимир Воронцов

Так, что на этих докладах меня можно будет поймать в зале и пообщаться ;)

Техники обхода проверок цифровой подписи на x64

Множится нынче количество угроз для 64-битных платформ с виндой, причем множатся не только различные троянцы, но и рукиты/буткиты в том числе. Причины очевидны, доля WinXP уверенно снижается, а предустановленных версий Win7(x64) становится все больше. В подтверждение этому факту вот такая интересная статистика за последний год:

Сейчас из наиболее интересных и активных угроз для x64 можно выделить следующие семейства: 

• Win64/Olmarik (MBR bootkit) 
• Win64/Rovnix (VBR bootkit) 
• Win64/TrojanDownloader.Necurs 
• Win64/Spy.Banker 

Используемые ими подходы можно разделить на две большие группы и представить графически в виде следующей схемы:

Насколько защищены современные браузеры?

Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:

Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуатации и является слабым звеном, не смотря на все новомодные "песочницы" и прочий стаф. Если из этой цепочки исключить java, то все становится значительно сложнее для злоумышленников:

А вот, что бывает после обхода "песочницы":

Проверить насколько актуальна ваша версия Java-плагина можно, к примеру, при помощи сервиса SurfPatrol от PT.

Противодействие криминалистической экспертизе со стороны вредоносных программ

Вчера мы выпустили исследовательский отчет об одном интересном троянце Win32/Hodprot. Интересен он тем, что использует довольно хитрые механизмы противодействия своему обнаружению в системе. Итак, давайте обо всем по порядку ;)

Процесс заражения системы можно описать следующей схемой:

Practical C++ decompilation

слайды презентации