CONFidence 2009

CONFidence 2009 är nu över så jag (Stefan) tänkte göra en sammanfattning av höjdpunkterna under konferensen. Det har varit två hektiska dagar så ni får allt i en post. (Det var inte meningen att den skulle bli såhär lång egentligen...)


Bruce Schneier, "Reconceptualizing Security"
Bruce höll dagens första keynote och fokuserade idag på psykologin bakom säkerhet. Han har skrivit en massiv artikel om ämnet tidigare. Det var inget nytt under solen men som alltid är det intressant att se Bruce prata.

Alexander Kornbrust, "Oracle SQL Injection in Webapps"
Kornbrust från Red Database Security pratade om SQL injection i Oracledatabaser. Han täckte från grunderna och uppåt till mer avancerade attacker och visade bl a hur hela tabeller kan plockas ut med bara ett request med hjälp av lite nya trick. De slides han använde var väldigt utförliga med många exempel så håll utkik på http://2009.confidence.org.pl/ efter materialet.

Alberto Revelli, Nico Leidecker, "Introducing Heyoka: DNS Tunneling 2.0"
Det här var förmodligen den bästa presentationen under konferensen. De hade riktiga, nya idéer som de implementerat och de förklarade hela sin tankeprocess på ett lättförståeligt sätt även om deras lösning var rätt intrikat.

Nico är snubben bakom verktyget sqlninja som jag nämnt i en tidigare post. De presenterade ett nytt verktyg de kallar Heyoka som tunnlar TCP över DNS. Det intressanta är att de implementerar lite nya trick som inte finns i till exempel OzymanDNS och Iodine. Målen är att öka bandbredden och göra tunneln svårare att upptäcka.

Heyoka (som för övrigt bara är i tidig beta ännu) använder två DNS-tunnlar; en för trafik uppströms (mot DNS-servern) och en för nedströmstrafik (från DNS-servern). Detta gör bland annat att källadressen på trafiken som ska skickas ut kan spoofas. Vanligtvis när man tunnlar trafik över DNS kommer det att skickas extremt många små paket från en maskin. Med hjälp av fejkad avsändare kan man "fördela" trafiken på alla andra maskiner i nätverket så att det blir svårare att upptäcka avvikelser. Man behöver inte bry sig om svaren, nedströms hanteras i den andra tunneln.

En annan intressant detalj är att Heyoka struntar i att använda base32 för att koda datan innan det skickas över DNS. De har nämligen upptäckt att många DNS-servrar klarar av binärdata i queries. För att hantera servrar som inte gör det sker ett handskakningsprotokoll när tunneln sätts upp så kodning görs bara när det krävs.

Michal Sajdak, "Remote Rootshell on a SOHO Router"
Det var den här presentationen jag skrev om igår kväll. Sårbarheten i ASMAX var bara en av de som togs upp; Linksys och D-Link var också representerade. ASMAX var förmodligen värst dock... Intressant för oss i OWASP är att Michal bara kollar på sårbarheter i enheternas webbgränssnitt. Hittills har undersökningen baserats på att han helt enkelt promenerat ner till elektronikaffären, köpt en router, ett modem eller en AP och gått hem för att testa den. Av allt att döma är det enkelt att hitta allvarliga sårbarheter i webbgränssnitten.

Hur kommer det sig att det är såhär? Man kan inte skylla på bristande datorkraft när det till exempel handlar om att validera indata till passthru(). Min teori är att inbyggda system inte ses på samma sätt som konventionella; det är ingen dator så den hanteras inte som en. Det gäller framförallt hur ägaren ser på det; en skrivare eller bordstelefon med webbgränssnitt tas inte med i säkerhetspolicyn på samma sätt som intranätservern. Har utvecklarna samma synsätt? Det är en spontan teori än så länge, jag skulle gärna höra era åsikter.

Sharon Conheady, "Social Engineering for Penetration Testers"
Sharon höll definitivt konferensens mest underhållande presentation. Hon jobbar på en firma i London och gör pentester där hon bara utnyttjar social engineering. Enligt egen utsago har hon aldrig misslyckats och jag tror henne. I sammanhanget är "att lyckas" när hon tar sig in i företagets känsliga lokaler (serverhall, arkivrum, etc) och inte är eskorterad.

Presentationen var bra strukturerad och nästan allt hon sa (förutom flera bra warstories) återfinns i de slides som publiceras på CONFidences sida om "ett tag". Om videon kommer online också så är även den varmt rekommenderad då hon som sagt har många intressanta historier. Under ett test blev hon stoppad av en säkerhetsvakt som sa att de hade ett "social engineering-test" på gång och att de var tvungna att dubbelkolla alla besökare men att hon var okej så hon kunde fortsätta...

Overall så var CONFidence en skön omväxling efter OWASP AppSec, presentationerna var inte lika inriktade på utveckling och var något mer tekniska. Jag skulle definitivt åka tillbaka nästa år om jag fick möjligheten.