Как всегда одна из самых значительных конференций уходящего года, это хакерский конгресс Chaos Communication Congress (CCC), проходящий традиционно в последнюю неделю декабря. Это культовое событие, является наверное одним из крупнейших мировых эвентов, посвященных хакерской культуре во всех ее проявлениях и стартовавший еще в прошлом веке (аж в 1984 году). В этом году слоган эвента "35C3: Refreshing Memories". Традиционно доступен livestream всех треков в реальном времени https://streaming.media.ccc.de/35c3/

Один из лучших докладов этого года на 35С3 это «wallet.fail:
Hacking the most popular cryptocurrency hardware wallets»😱. Исследователи продемонстрировали, как маркетинг и хайп позволяет известным производителям аппаратных криптокашельков экономить на безопасности и допускать эпичные ошибки, которые ставят под угрозу пользователей. Спойлер, проект Trezor вызвал наибольшую симпатию у авторов доклада 👻 https://media.ccc.de/v/35c3-9563-wallet_fail

Ещё один из докладов с конференции 35С3 на которой стоит обратить внимание это «Modchips of the State”. Собственно в этом докладе расказывается в деталях об экспериментах автора с атакой (классическая man in the middle) на SPI флэш чип посредством простейшего резистора (interposer) и насколько это действительно реально, то что преподнес Bloomberg, в случае с имплантами на материнских платах Supermicro. Очень поучительный доклад о возможных сценариях установки хардварных бэкдоров , а главное автор подкрепляет все фактами из собственных практических экспериментов и без каких-либо спекуляций https://youtu.be/C7H3V7tkxeA

в дополнение к докладу об уязвимостях в криптокашельках с 35C3, авторы выпустили подробное видео с атакой на бутлоадер Ledger Nano S https://www.youtube.com/watch?v=nNBktKw9Is4

Всех с Новым годом!! 🎄🎉 Новых свершений и интересных исследований! А NoiSeBit будет продолжать вас радовать интересным контентом и мы постараемся делать это почаще 🤪

Отличный способ измерить безопасность вашего мобильного устройства, это проверить цены на уязвимости для него. Как правило, чем дороже эксплойт, тем реже он встречается или сложнее находится. Основываясь на текущем повышении цен Zerodium на уязвимости с возможностью удаленного jailbreak на последнем iOS и iPhone, которые теперь стоят до 2 000 000$, что показывает увеличение стоимости в 30%. Это на порядки выше выплат для устройств на платформе Android, хотя за последние годы эта платформа сильно эволюционировала с точки зрения безопасности, но деградировала со стороны прайвеси конечного пользователя. https://twitter.com/Zerodium/status/1082259805224333312

Новое исследование “Page Cache Attacks” показывает возможность side-channel атаки на страницы памяти (с атрибутами только на чтение) расположенные в кэше (https://arxiv.org/pdf/1901.01161.pdf).

А тут вот ещё PoC для Win IPC https://github.com/depletionmode/wsIPC

Можно ли зарабатывать стабильно на bug bounties? Этот вопрос будоражит умы исследователей уже не первый год. Интересное исследование, подкреплённое статистикой, проливает немного света на этот вопрос https://blog.trailofbits.com/2019/01/14/on-bounties-and-boffins/

Automotive security набирает все больше оборотов в индустрии безопасности, причём с увеличением интереса к self-driving автомобилям безопасность начинает играть критическую роль. Вот и Pwn2Own в этом году обзавёлся новой целью для взлома в виде новенькой Теслы https://www.zerodayinitiative.com/blog/2019/1/14/pwn2own-vancouver-2019-tesla-vmware-microsoft-and-more

Атаки на прошивки в чипах, которые используются для Baseband, WiFi и Bluetooth уже давно не являются не для кого новостью. Но вот понимание покрытия таких атак с использованием одного и того же уязвимого чипа, но в разных продуктах разных компаний продолжает удивлять масштабностью проблем с безопасностью в этом направлении.

Недавно вышел отличный блог пост, подтверждающий все вышеописанное на практике "Remotely compromise devices by using bugs in Marvell Avastar Wi-Fi: from zero knowledge to zero-click RCE" https://embedi.org/blog/remotely-compromise-devices-by-using-bugs-in-marvell-avastar-wi-fi-from-zero-knowledge-to-zero-click-rce/

Еще стоит посмотреть видео доклада "BLEEDINGBIT: Your APs Belong to Us", который повествует об атаках на чипы bluetooth https://www.youtube.com/watch?v=ZI-E37e6UHA

У нас в гостях Дмитрий Недоспасов (@nedos). И тема этого выпуска атаки на чипы с использованием Fault Injection. Так же мы обсудили немного конференцию 35c3, на которой Дмитрий с коллегами представил исследование Wallet.fail в котором просто разгромил все популярные железные решения хранения криптовалют (Ledger, Trezor).

https://noisebit.podster.fm/29

Умные лампы, умные замки и прочие умности из IoT сферы, конечно, добавляют определенный уровень комфорта в нашу жизнь, но и увеличивают attack surface тоже. На этой неделе провинились разработчики известного проекта LIFX, когда они не только сохраняют wifi пароль в отрытом виде, но и оставили UART интерфейс, который позволяет сдампить прошивку вместе с паролем 🙈 Будьте внимательны, когда выкидываете подобного рода устройства 😈 https://limitedresults.com/2019/01/pwn-the-lifx-mini-white/

Бытует мнение, что альтернативные PDF смотрелки, более безопасны, чем продукция Adobe. Конечно, если смотреть на это с точки зрения attack surface, то безусловно альтернативные смотрелки для PDF не под таким пристальным вниманием со стороны исследователей, но вот насчет их большей безопасности это большой вопрос. Например, буквально вчера Foxit Reader закрыл аж 8 классических переполняшек на стеке! 😱 https://srcincite.io/blog/2019/02/01/activex-exploitation-in-2018-instantiation-is-not-noscripting.html

К сожалению, безопасных программ для просмотра такого сложного формата, как PDF я еще не встречал, слишком в нем много краеугольных камней, таких как Postnoscript. Поэтому, если у вас есть малейшие сомнения по поводу просмотра неизвестного pdf-файла, отрывайте его лучше в chrome и внутри VM 😜

Supply Chain вектор огромен, всегда нужно помнить об этом. Не используйте рендомные зарядки для телефонов и прочего в публичных местах или от случайных людей (кстати это касается их покупки тоже 😜). Даже зарядки для лэптопа могут быть не так безобидны, как кажется на первый взгляд, особенно, если это USB-C 😱

https://twitter.com/_mg_/status/949684949614907395?s=21

Всем владельцам устройств на iOS настоятельная рекомендация обновится. Исследователи из гугла предупреждают о активной эксплуатации закрытых сегодня уязвимостей https://twitter.com/benhawkes/status/1093581737924259840?s=21

В продолжении предыдущей темы о кабелях для зарядки, еще одно любопытное видео: https://twitter.com/_MG_/status/1094389042685259776?s=20

Все больше набирают обороты небольшие конференции нацеленные на offensive research. Такие как Offensivecon, Zer0con, Warcon и прочие. Так как большие эвенты, как Black Hat уже давно стали просто маркетинговой площадкой и даже в случае хорошего ресеча, чаще всего все нацелено на PR. А вот в случае небольших эвентов PR теряет смысл и отсеивает булшит ресеч. Вообщем крайне рекомендую эвент Offensivecon, проходящий на этой неделе в Берлине, и как докладчик, и как посетитель 😈 Расскажу в следующем подкасте об этом поподробнее 👾

Фазинг по-прежнему один из наиболее продуктивных методов поиска уязвимостей. Конечно, не все найденные крэшы могут быть эксплуатируемыми проблемами безопасности, но правильное направление для фазинга всегда дает интересные результаты. Вот и недавняя уязвимость в WinRAR не исключение и была найдена при помощи фазера WinAFL. Я не буду углубляться в суть уязвимости, так как все, наверное, уже читали первоисточник (https://research.checkpoint.com/extracting-code-execution-from-winrar/). Меня беспокоит то, что большое количество популярных приложений (например архиваторы), которые мы используем каждый день зачастую разрабатывается небольшой командой и иногда просто силами одного автора. Все это наводит меня на мысли о том, что конечно времени и сил на безопасность выделяется минимально, что приводит вышеописанным последствиям. А ведь конкретно с архиваторами это может быть отчасти и удаленный вектор, так как очень часто приходится прибегать к обмену информации в сжатом виде или просто зашифровать архив с паролем. В общем, все больше приложений мне приходится запускать в изолированной/виртуальной среде дабы избежать векторов атаки, которые набирают обороты и не так очевидны. Ведь стоимость уязвимостей в популярных архиваторах может превышать 100к по версии Zerodium 😈

Сегодня на конференции RSA наконец состоялся громкий релиз от NSA фреймворка GHIDRA (https://ghidra-sre.org/) для reverse engineering. Тула в целом интересная, но мне уже родную IDA она точно не заменит, хотя бы потому что в первые часы после релиза в GHIDRA была найдена уязвимость с возможностью удаленного выполнения кода (https://github.com/NationalSecurityAgency/ghidra/issues/6). Случайность? Я бы не рекомендовал запускать сие поделие без виртуальной машины, а то мало ли какие еще сюрпризы скрывает в себе эта гидра. Да, собственно, возникает вопрос почему сразу не отрыли исходный код, а раздают в виде бинарей 👾

Интересный факт, вчерашнее обновление для Chrome включает патч для уязвимости CVE-2019-5786, которая эксплуатировалась в дикой природе с полным набором, включая побег из песочницы хрома. О чем Гугл собственно выпустил блог пост (https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html).

Технические детали: https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html

Переписка в трекере гугла: https://bugs.chromium.org/p/chromium/issues/detail?id=917897