Il periodo estivo sta per terminare, si ritorna al lavoro ad occuparsi delle solite faccende; l'estate però - almeno per chi si occupa di sicurezza - è tutt'altro che un periodo di pausa. In Agosto, infatti, Las Vegas è invasa da numerosi esperti d'informatica, geek, hacker, e altri strani personaggi del mondo dell'information security che si recano in questa città per partecipare a due grandi eventi: Black Hat e Defcon.
Queste due conferenze sono considerate da molti lo stato dell'arte della sicurezza informatica, il momento ideale per fare il punto della situazione, capire nuovi trend di attacco e difesa, anticipare le minacce dei mesi successivi; di sicuro rappresentano un momento di incontro per tutte le persone che professionalmente (e non solo) si occupano di sicurezza, un modo per scambiarsi idee al di fuori della Rete.
Black Hat USA 2006 (2-3 Agosto - Caesars Palace, Las Vegas)
I Black Hat Briefing, giunti ormai al decimo anno, sono l'evento "corporate" in cui vengono illustrate ad aziende ed esperti i nuovi pericoli della rete, del software e dei dispositivi tecnologici che quotidianamente usiamo. Sei track parallele suddividono le varie presentazioni della durata media di un'ora, in cui vengono illustrate nuove vulnerabilità (i cosidetti zero-day), nuovi metodi di attacco, innovative soluzioni di difesa. Gli argomenti affrontati spaziano dalle problematiche di sicurezza nelle applicazioni web, alla prevenzione di intrusioni, alla sicurezza dei dispositivi hardware e molto altro: una panoramica completa sulla vastità degli interventi la si può avere guardando il programma della conferenza.
Visto l'elevato numero di interventi, è difficile dare un giudizio sull'edizione 2006 che comunque - come sempre accade - è stata lo scenario di rivelazioni importanti: il bug nei driver WiFi, l'uso di rootkit evoluti nel database Oracle, i miglioramenti del framework MetaSploit e altro. Tra gli speech visti, meritano una nota a parte quelli analizzati nella pagina successiva.
Oracle Rootkits 2.0: The Next Generation
di Alexander Kornbrust
In questo intervento Kornbrust ha illustrato la possibilità di migrare il concetto di rootkit all'interno di Oracle per nascondere utenti del DB, job e procedure. Attraverso la modifica dei binari e delle procedure PL/SQL, utilizzate internamente da Oracle, un aggressore potrebbe attaccare un DBMS Oracle nascondendo la propria intrusione per lungo tempo. Disponibili le slide [Pdf] dell'intervento.
Physical Memory Forensics
di Mariusz Burdach
La memoria volatile dei personal computer è un ottimo contenitore di evidenze informatiche: processi in esecuzioni o terminati, connessioni di rete attive, informazioni relative ad applicazioni e molto altro. A seguito di intrusioni informatiche, l'acquisizione di tali dati è una pratica importante per capire le vulnerabilità sfruttate e risalire ai colpevoli. In questo speech sono stati illustrati alcuni metodi per recuperare queste informazioni, tanto importanti, quanto fragili; in particolari sono state presentate nuove tecniche per scovare ed analizzare rootkit e worm che risiedono nella memoria delle macchine compromesse. Disponibili le slide [Pdf] dell'intervento.
Foto 2: M.Burdach (il secondo da sinistra) e A.Kornbrust (il terzo da sinistra)
MatriXay, When WebApp & Database Sec Pen-Test/Audit Is a Joy
di Yuan Fan & Xiao Rong
Secondo una stima di DBAppSecurity, circa il 70% delle applicazioni web soffre di problemi di SQL Injection. Il tool MatriXay, presentato durante questo talk, vuole aiutare tutti gli sviluppatori e pentester che desiderano automatizzare i propri assessment. MatriXay è un software per Windows che esegue dei tentativi di injection "ragionati" all'interno delle applicazioni web sotto esame, cercando di ricavare informazioni dal database nel backend; MatriXay supporta l'analisi di diversi DBMS tra cui Oracle, SQL Server, DB2 e MS Access.
Nei giorni successivi al talk ho avuto modo di provare con mano il tool, accorgendomi della sua efficacia e potenza: in pochi minuti è stato possibile analizzare un sito campione, recuperare informazioni sulla struttura del DB sino a creare un dump completo dell'intera base di dati. A mio avviso, un progetto giovane che vale la pena di seguire in futuro. Disponibili le slide [Pdf] dell'intervento.
Ajax (in)security
di Billy Hoffman
Un talk vivace quello di Billy Hoffman, in cui è stata presentata la tecnologia ricordando come l'arricchimento della user experience sia stata fatta a spese della sicurezza. Ajax (vedi anche Ajax: basi di sicurezza) cambia completamente il paradigma di progettazione delle applicazioni web ma, dal punto di vista della sicurezza, espone maggiormente il software e la loro logica applicativa verso potenziali aggressori. Con Ajax parte della logica è svolta lato client nell'Ajax engine, esponendo il codice e perdendo parte dell'ipotizzata fiducia tra client e server. Sono quindi stati analizzate diverse tecniche di attacco tra cui XSS evoluti in cui risulta possibile infettare più volte lo stesso host con codice malevolo diverso, aumentare la dinamicità della propagazione facendo assomigliare l'attacco ad una vera e propria infezione virale. Interessante l'analisi sul worm JavaScript/Ajax che in Ottobre 2005 colpì il noto portale MySpace.com. Disponibili le slide [Pdf] dell'intervento.
Passiamo, nella pagina seguente, a Defcon 14.
DEFCON 14 (4-6 Agosto - Riviera Hotel & Casino, Las Vegas)
Senza perdere tempo, finito Black Hat, ha aperto i battenti la quattordicesima edizione di Defcon: un vero e proprio evento hacker in cui centinaia e centinaia di persone si ritrovano insieme per condividere scoperte e tecniche, fare festa e divertirsi con la tecnologia. Durante Defcon non c'è nulla di criminale ma puro piacere nel "mettere le mani" sulle cose, nel capire a fondo la tecnologia e riflettere sui benefici e rischi.
Tantissime le attività che, durante questa edizione, si sono affiancate al classico Capture The Flag, alle gare di LockPicking (l'arte di aprire lucchetti e serrature) e ad un numeroso carnet di speech tecnici.
Foto 4: Un momento della competizione di LockPicking
Particolarmente "folkloristico" il Wall of Sheep: durante tutta la manifestazione un gruppo di persone analizza il traffico della rete WiFi, utilizzata durante l'evento, alla ricerca di username e password in chiaro. Una volta recuperati questi account utilizzati nei protocolli insicuri (POP, SMTP, HTTP e così via) vengono pubblicati - ovviamente in parte oscurati - su un tabellone chiamato giustamente "ll muro dei pecoroni". Questa attività, che a prima vista può sembrare inutile e fastidiosa, dimostra in realtà come i protocolli che normalmente utilizziamo non siano stati progettati per garantire la riservatezza necessaria oggigiorno: spetta quindi ad ogni singolo utente essere consapevole del pericolo ed adottare le opportune precauzioni.
Foto 5: Il "muro dei pecoroni"
Tra gli interventi seguiti, sicuramente un posto d'onore deve essere riservato al grande Johnny Long (autore, tra l'altro, di Google Hacking) che, in uno spassoso intervento assolutamente non tecnico, ha presentato come la filmografia Hollywoodiana considera l'hacking. Utilizzando spezzoni di film, ha dimostrato come Hollywood non ha del fenomeno una visione così tanto distorta.
Parlando di speech tecnici, Adam Laurie ha letteralmente entusiasmato la folla con il suo "Old Skewl Hacking: Magstripe Madness". In questo esemplare talk ha dimostrato come le carte magnetiche, che utilizziamo ovunque, non sono per nulla sicure: le chiavi degli alberghi possono essere clonate e/o modificate in maniera semplicissima, i biglietti aerei modificati, le carte di credito lette e clonate. Per i più dubbiosi, Laurie ha chiesto una carta di credito al pubblico ed in meno di un minuto ha generato una nuova carta ringraziando il gentile spettatore. Per nostra fortuna Adam è un ethical hacker!
