Сегодня на конференции RSA наконец состоялся громкий релиз от NSA фреймворка GHIDRA (https://ghidra-sre.org/) для reverse engineering. Тула в целом интересная, но мне уже родную IDA она точно не заменит, хотя бы потому что в первые часы после релиза в GHIDRA была найдена уязвимость с возможностью удаленного выполнения кода (https://github.com/NationalSecurityAgency/ghidra/issues/6). Случайность? Я бы не рекомендовал запускать сие поделие без виртуальной машины, а то мало ли какие еще сюрпризы скрывает в себе эта гидра. Да, собственно, возникает вопрос почему сразу не отрыли исходный код, а раздают в виде бинарей 👾

Интересный факт, вчерашнее обновление для Chrome включает патч для уязвимости CVE-2019-5786, которая эксплуатировалась в дикой природе с полным набором, включая побег из песочницы хрома. О чем Гугл собственно выпустил блог пост (https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html).

Технические детали: https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html

Переписка в трекере гугла: https://bugs.chromium.org/p/chromium/issues/detail?id=917897

Видео докладов Black Hat Europe 2018 теперь в публичном доступе https://youtube.com/playlist?list=PLH15HpR5qRsWaSKcyrZhmSvxQhoIitj4W

В этом выпуске мы с Алексеем Синцовым (@Eik00d) обсудили конференцию Offensivecon (https://www.offensivecon.org/) на которой нам удалось побывать. А так же затронули тему популизации эвентов нацеленных на офенсив ресеч и все большую актуальность небольших конференций в целом.

https://noisebit.podster.fm/30

Наверное не все читатели канала помнят культовую хакерскую группу
💀Cult of the Dead Cow💀
Один только релиз Back Orifice на Defcon навёл сколько шума 😈Перечислять их заслуги перед комьюнити и современной ИБ сценой можно долго. Поэтому скоро выйдет книга о творчестве этих ребят: ”Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World” https://www.amazon.com/dp/154176238X

NoiSeBit 0x24 в эфире!! Вместе с Никитой Вдовушкиным, Дмитрием Скляровым и Омаром Ганиевым обсуждаем конференцию @offzone_moscow, собственно нафига, что было интересного на первом эвенте и куда все катится дальше. https://noisebit.podster.fm/32

Немного Black Hat Asia 2019 вам в ленту. Jeff Moss на открытии конференции сообщил интересный (но всем уже известный) факт, что мы вступаем/вступили во всемирную гонку кибервооружений. И если задуматься то в мире есть только две страны, которые производят сетевое оборудование на своей собственной элементной базе для всего остального мира, это Китай и США. Причём речь идёт и о мобильных сетях тоже. А ведь контроль над оборудованием означает контроль над сетевой инфраструктурой в целом.

Mikko Hypponen дополнил и расширил мысль Джеффа о перемещении гонки вооружений в интернет в своём кейнот. Он назвал интернет ”internet of low hanging fruits”, так как количество подключённых уязвимых устройств только растёт, а IoT устройства значительно ускоряют этот рост. А ведь IoT устройства могут быть отличной точкой проникновения в корпоративную сеть.

Один из важных докладов, прозвучавших в рамках BHASIA, был «Intel VISA: Through the Rabbit Hole». В котором исследователи рассказали о недокументированных отладочных возможностях современных x86 систем на базе процессоров Intel. В докладе было продемонстрировано, как можно прочитать значения FUSE’ов. Которые могут быть доступны только для чтения из специального привилегированного режима. И хранящие информацию о ключах, в том числе и для различных технологий безопасности, таких как TPM, Intel Boot/BIOS Guard’s и другие. Такие исследования все больше заставляют задуматься о фундаментальной безопасности современного железа и насколько безопасность зачастую становится просто маркетинговым инструментом. Слайды уже доступны: https://i.blackhat.com/asia-19/Thu-March-28/bh-asia-Goryachy-Ermolov-Intel-Visa-Through-the-Rabbit-Hole.pdf

Исходный код фреймворка Ghidra наконец-то опубликован. На самом деле тула оказалась куда интереснее, чем я ожидал в начале. Честно скажу у меня была большая доля скептицизма на этот счёт. Поигравшись немного могу сказать, что IDA она мне не заменит, качество декомпиляция у Hex-Rays намного лучше, да и анализатор кода тоже. Но в целом достойное приминание этому инструменту найти можно, правда раздражает то что вся расширяемость так или иначе построена вокруг java. Вообщем за бесплатно наверное лучший RE тул. Качайте, но будьте осторожны в использовании 🙃 https://github.com/NationalSecurityAgency/ghidra

Эксперемент с интерактивным выбором темы следующего выпуска NoiSeBit получился успешным. Побителем, с отрывом в 5% голосов, является тема "Эволюция инструментов и подходов для реверсинга"! Теперь перед планированием каждого выпуска мы будем определять тему именно таким образом, то есть по интересу нашей аудитории 🎧

Опубликованы видео записи докладов с конференции Offensivecon’19. Много хорошего контента, настоятельно рекомендуем! 👻

https://www.youtube.com/channel/UCMNvAtT4ak2azKNk6UlB1QQ

Ещё одно интересное видео опубликовано сегодня. На этот раз с конференции Insomni’hack доклад «Secure Boot Under Attack: Simulation to Enhance Fault Attacks & Defenses» 👾

https://www.youtube.com/watch?v=_ZLJraOtrDA

Создание патчей для закрытия уязвимостей, с точки зрения разработчика, в большинстве случаев сводится к возведению искусственных барьеров для блокирования работы конкретного эксплойта на пути к триггеру для уязвимости. То есть зачастую патч блокирует конкретную уязвимость (или хуже того эксплойт), а не закрывает класс проблем безопасности вокруг нее. Именно эта проблема обсуждается в докладе "Bugs so Nice they Patched them Twice! A (Continuing)?", который я крайне рекомендую к просмотру.

https://www.youtube.com/watch?v=IXKlMYeVVe4