Pwn yıldızları
Hacker Yaz Kampı’na sayılı günler kaldı, iştahınızı açmak için, Günlük Swig geçmiş yılların en iyi konuşmalarından bazılarının bir listesini derledi.
Güvenlik dünyasının önde gelen araştırmacıları Black Hat USA ve DEF CON için Las Vegas’a indikleri için, yıllar içinde heyecanlar, sızıntılar ve (tabii ki) “sömürüler” yaşandı.
Yine hibrit bir etkinlik olarak gerçekleşen bu yılki Black Hat ve DEF CON teklifleri, geçmiş yıllardan beri zaten etkileyici olan çığır açan görüşmeler listesine eklenecek.
Artık Covid ile ilgili kısıtlamalar büyük ölçüde kaldırıldığına göre, 2022 baskısı, bilgi güvenliği takvimindeki tartışmasız en önemli olayın büyük bir yeniden açılması gibi bir şey vaat ediyor.
Lafı daha fazla uzatmadan (ve belirli bir sıra olmaksızın) işte geçmiş Black Hat ve DEF CON etkinliklerinden en iyi seçimlerimiz…
Cisco’da panik
Michael Lunn’in Cisco’nun ağ teknolojisinin güvenlik eksiklikleri hakkındaki 2005 konuşması, yalnızca keşfinin potansiyel etkisi nedeniyle değil, aynı zamanda güvenlik araştırmalarını bastırma girişiminin bir örneği olduğu için de önemliydi.
Lunn, Cisco’nun yönlendirici teknolojisindeki kritik bir güvenlik açığı hakkında bir konuşma yapmak için İnternet Güvenlik Sistemleri’ndeki görevinden istifa etti.
Güvenlik araştırmacısı, herhangi bir ayrıntıyı gizlerken, gizlice dinlemekten güvenliği ihlal edilen cihazı devre dışı bırakmaya kadar çeşitli saldırılara kapı açan bir istismar gösterdi. Cisco, konuşmadan önce belleniminde bir güvenlik düzeltmesi yayınladı, ancak etrafta dolanana kadar pek çok kuruluş bunu uygulamamıştı.
Cisco başlangıçta konuşma için izin verdi, ancak olayın yakın olduğu konusunda ikinci düşünceleri vardı. ISS, ağ devinden gelen bir talebi kabul etti, ancak Lunn aynı fikirde değildi. Bu, bulgularını sunmak için istifa etme kararına neden oldu.
Kaostan önbellek
Dan Kaminsky’nin 2008’de birden fazla DNS satıcısının yazılımını etkileyen bir önbellek zehirlenmesi kusurunu ortaya çıkarması, ağ güvenliğinde önemli bir olay olmaya devam ediyor.
Güvenlik araştırmacısı, Black Hat 2008 sırasında sorunu açıkça ortaya koymadan önce kritik güvenlik açığını gidermek için DNS satıcılarıyla aylarca çalıştı.
Nisan 2021’de ne yazık ki vefat eden merhum güvenlik araştırmacısının bir vasiyeti olmaya devam ediyor ve “nezaket, sınırsız enerji ve pozitiflik” ile karakterize edilen gerçek bir bilgi güvenliğine övgüler yağdırıyor.
Jackpot’u vurmak
Barnaby Jack’in ATM’deki canlı hack demosu, muhteşem hack’ler ve son teknoloji güvenlik araştırmaları için bir ölçüt oluşturdu. İkramiye – saldırının daha sonra bilindiği üzere – ATM’lerde çalışan yazılıma yönelik hedefli bir saldırıyı içeriyordu.
Sonuçta, nakit verme makinelerinin işletim sistemine kötü amaçlı yazılım enjekte edilerek, banknotların hileli bir şekilde dağıtılmasına neden oldu. Bir ATM’nin uzaktan yönetim sistemindeki istismar edilebilir güvenlik açıkları veya bir makineye yetkisiz fiziksel erişim (muhtemelen bozuk bir içeriden tarafından kolaylaştırılan) bir saldırı gerçekleştirmek için kullanılabilir.
Jack’in araştırmasından önce, ATM’ler gibi gömülü sistemlerin, yaygın olarak (ama yanlış bir şekilde) potansiyel hack saldırılarının kapsamı dışında olduğu düşünülüyordu. Araştırma, kalp pilleri ve insülin pompaları gibi tıbbi cihazların güvenliğine yönelik takip çalışmalarının yolunu açtı.
Havada kalmış
Hava trafik kontrol sistemlerinin güvenliğine olan ilgi, Black Hat 2012 sırasında Andrei Costin’in konuyla ilgili sunumuyla başladı. Costin’in konuşması, uydu tabanlı bir uçak takip teknolojisi olan ADS-B’nin (Otomatik Bağımlı Gözetleme-Yayın) güvenlik yönlerine odaklandı ve diğer uçuş teknolojileri.
Sunum, ADS-B’ye (güvensiz) pratik bir bakış açısıyla baktı ve “potansiyel saldırganların oluşturulan/enjekte edilen hava trafiğiyle nasıl oynayabileceğinin ve bu nedenle potansiyel olarak yeni saldırı yüzeyinin hava trafik kontrol sistemlerine nasıl açılacağının fizibilitesini ve tekniklerini” sundu.
yukarı bakma
Odağı havadaki uçaklardan yörüngedeki uydulara kaydıran Ruben Santamarta’nın 2014’te yaptığı iyi bir konuşma, uydu iletişim terminallerinin güvenliğini gözden geçirdi.
IOActive, eriştikleri tüm cihazların potansiyel olarak kötüye kullanıma açık olduğunu tespit etti. Ortaya çıkan güvenlik açıkları arasında birden çok arka kapı, sabit kodlanmış kimlik bilgileri, belgelenmemiş ve/veya güvenli olmayan protokoller veya zayıf şifreleme algoritmaları yer aldı.
IOActive, “Bu güvenlik açıkları, uzak, kimliği doğrulanmamış saldırganların etkilenen ürünleri tamamen tehlikeye atmasına izin veriyor” diye uyardı. “Belirli durumlarda, güvenlik açığından yararlanmak için herhangi bir kullanıcı etkileşimi gerekmez, yalnızca bir gemiden diğerine basit bir SMS veya özel hazırlanmış bir mesaj göndermek bunu yapabilir.”
Politika forumu
Black Hat ve DEF CON hiçbir zaman tek başına teknik tartışmalar ve hack demoları için forum olmadı. Dan Geer ve Jennifer Granick gibi kişilerin yaptığı konuşmaların da gösterdiği gibi, politika sorunları da sıklıkla gündemde.
ABD istihbarat topluluğunu destekleyen teknolojiler arayan kar amacı gütmeyen bir girişim kapitalist firması olan In-Q-Tel’in CISO’su Geer, 2014’te siber uzaydan uluslar arasındaki çatışma ve güç politikaları için bir alan olarak bahsetti.
Stanford İnternet ve Toplum Merkezi’nde sivil özgürlükler direktörü Granick, 2015’te internetin gelişiminin sonraki aşamalarını dört gözle bekliyordu.
Daha yakın zamanda Google mühendislik direktörü Parisa Tabriz, güvenli geliştirme konusunda pratik bir bakış açısı sağlamak için 2018 Black Hat açılış konuşmasını kullandı. Ve geçen yıl Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, bilgisayar korsanlarının, hükümetin ve özel sektörün siber tehditlere karşı nasıl birlikte çalışabileceğini anlattı.
Kettle, HTTP istek kaçakçılığını yeniden icat ediyor
PortSwigger’dan James Kettle, 2019’da DEF CON’da HTTP desync saldırılarına ilişkin sunumuyla uzun süredir ihmal edilen istek kaçakçılığı konusunu yeniden keşfetti.
Kettle, web önbelleklerini zehirlemek için web isteklerini değiştirmenin nasıl mümkün olduğunu gösterdi. Hack, Kettle’ın diğer hedeflerin yanı sıra PayPal’ın giriş sayfasını tehlikeye atmasına ve 70 bin dolarlık hata ödülü talep etmesine izin verdi.
Saldırı, bir makalede açıklandığı gibi, web sistemlerinin ön uç ve arka uç sistem arasında web tabanlı istekleri nasıl ilettiğindeki kusurlardan yararlanmaya dayanıyordu. Günlük Swig konuşma sırasında yayınlanan makale.
SSRF’de yeni bir dönem
Tanınmış web güvenliği araştırmacısı Orange Tsai, sunucu tarafı istek sahteciliği (SSRF) korumalarını atlamak için kullanılabilecek bir istismar tekniği varyantını özetlemek için bir 2017 Black Hat konuşmasını kullandı.
Teknik, Python, PHP, Perl, Ruby, Java, JavaScript, Wget ve cURL dahil olmak üzere programlama dillerinin kitaplıklarında daha önce keşfedilmemiş güvenlik açıklarını ortaya çıkarmak için bulanıklaştırmaya dayanıyordu.
Sorunun temel nedeni, URL ayrıştırıcılarının ve URL talep edenlerin tutarsızlığında yatmaktadır.
Güvenlik araştırmacısı Black Hat USA’nın 2017’de katıldığını söyleyen güvenlik araştırmacısı, WordPress, vBulletin, MyBB ve GitHub gibi web uygulamalarındaki kusurların da aynı yaklaşım kullanılarak ortaya çıkarıldığını söyledi.
Hoşçakal
Polonyalı güvenlik araştırmacısı Joanna Rutkowska, Black Hat USA 2006’da Windows Vista’nın çekirdek koruma mekanizmasına yönelik bir saldırıyı göstermesinin ardından güvenlik camiasında iyi tanındı.
Aynı sunum sırasında, gizli kötü amaçlı yazılım yerleştirmek için sanal bir makinenin işleyişini hacklemeyi içeren ‘Mavi Hap’ adlı bir teknik de gösterdi.
40ms içinde gitti
Güvenlik araştırmacıları Charlie Millar ve Chris Valasek, değiştirilmemiş bir fabrika aracına karşı uzaktan siber saldırının nasıl başlatılacağını gösterdikten sonra 2015 yılında bilgisayar korsanlığı yollara çıktı.
Güvenlik araştırmacıları, CAN veri yolu üzerinden kritik elektronik kontrol ünitelerine mesaj göndermelerine izin veren bir teknikle eğlence sistemine mobil bağlantı yoluyla bir Jeep Cherokee’yi hacklediler. Bu da, arabanın frenini, direksiyonunu ve hızlanmasını kontrol etmelerine izin verdi.
Bu, Hacker Yaz Kampı’ndaki şimdiye kadarki en iyi konuşmaları özetledik – peki sizin tercihleriniz neler?
Kaçırılmaması gereken herhangi bir görüşmeden bahsetmedik mi? Favori hileleriniz neler? Twitter’da @DailySwig adresinden bize bildirin.
DEF CON ve Black Hat arşivleri aracılığıyla YouTube’daki önceki Hacker Yaz Kamplarından daha fazla görüşmeyi görüntüleme sayısına göre sıralanmış olarak izleyebilirsiniz.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR ParseThru: Birkaç Go uygulamasında ortaya çıkan HTTP parametre kaçakçılığı hatası