Wrażenia z Secure 2014

Opublikowany: 30-10-2014 23:47 przez Krystian

Po owocnej pod względem zdobytej wiedzy i nawiązanych znajomości wizycie w Krakowie na Confidence 2014 postanowiłem wybrać się do Warszawy do Centrum Nauki Kopernik na konferencję SECURE organizowaną przez NASK i CERT.pl. Ponieważ przy okazji rzeczonej konferencji odbywały się różne warsztaty przygotowane przez NASK/CERT postanowiłem zabawić w stolicy jeden dzień więcej i wziąć udział w warsztatach pod tytułem "Przydomowe laboratorium analizy malware'u". Analizowanie złośliwego kodu od dawna wydawało mi się interesującym tematem, na który wcześniej brakowało mi czasu, a takie małe warsztaty pozwoliłyby mi dobrze wystartować bez robienia sobie krzywdy (-:

Wróćmy jednak do samej konferencji. Trwała ona dwa dni, każdy dzień zaś podzielony był na przedpołudniową sesję gdzie odbywały się pojedyncze prelekcje oraz na popołudniową sesję, podczas której prelekcje odbywały się równolegle (trzy w jednym czasie). W konsekwencji musiałem dokonać analizy i wybrać prezentacje, które bardziej mnie interesowały. Problemem było to, że czasem wszystkie trzy prelekcje wydawały mi się ciekawe. Prawdziwy ból głowy z nadmiaru urodzaju (-:

Postaram się w skrócie opisać najbardziej interesujące z mojego punktu widzenia prezentacje. Już sama prelekcja otwarcia, prowadzona przez Mikko Hypponena wzbudziła mój entuzjazm. Nie tylko ze względu na popularność autora, ale ze względu na dopracowanie i odpowiednie tempo samej prezentacji. Prezentacja omawiająca raport Verizon na rok 2014 przydała mi się po kilku dniach jako świetne źródło informacji dla pewnej analizy. Zresztą polecam ten dokument, zwłaszcza tabelki przedstawiające informacje jakie branże w jaki sposób odbierają różne zagrożenia i jakie metody przeciwdziałania preferują. Dokument to obowiązkowa lektura dla osób mających kontakt z klientami. Sceptycznie podchodziłem do prezentacji omawiającej Heartbleeda zupełnie niesłusznie obawiając się nudy. IIkka Sovanto zdradził wiele szczegółów związanych nie tylko z samym błędem, ale też z historią jego znalezienia oraz wydarzeniami związanymi z jego upublicznieniem. Z sesji równoległych pierwszego dnia wybrałem najpierw "The exploitation arm race between attackers and defenders" Adama Zabrockiego, który przedstawił swoje przemyślenia na temat zwiększania kosztów (pracochłonności) exploitacji oprogramowania, co jest skuteczną formą zniechęcania części napastników. J00ru w ramach "Ucieczka z Matrixa: (nie)bezpieczna analiza malware" poruszył ciekawy temat exploitacji oprogramowania do analizy malware co można uznać za kolejny front walki pomiędzy twórcami złośliwego oprogramowania, a analitykami - aktywnie broniący się malware? (-:


Jeśli chodzi o drugi dzień to najbardziej zainteresowała mnie prezentacja Williama Hagestada na temat Chińskich i Rosyjskich hakerów. Było widać, że autor dobrze poznał cyberprzestępcze podziemie obu krajów i wyczerpująco opisał zarówno poszczególne, głośne kampanie jak i samą motywacją jaką kierują się hakerzy w obu tych państwach. Nieodległa tematycznie prezentacja Andrzeja Dereszowskiego skupiła się na rootkicie Uroburos, który zgodnie z różnymi analizami był jednym z narzędziu użytych podczas cyber-szpiegowskiej kampanii prowadzonej przez Rosję przeciwko (głównie) Ukrainie. Zarówno sposób działania złośliwego oprogramowania jak i przebieg samej operacji zostały ciekawie przedstawione. Wczuwając się w nadchodzące kolejnego dnia warsztaty z analizy malware podświadomie (chyba) dobierałem sobie prelekcje, ponieważ drugiego dnia posłuchałem też o sandboxie Cuckoo służącym do przeprowadzania analizy oraz o YARA, czyli o rozwiązaniu pomagającym katalogować próbki złośliwego oprogramowania na podstawie ich cech charakterystycznych.

Jak już wcześniej wspomniałem dzień po SECURE brałem udział w warsztatach prowadzonych przez NASK/CERT. "Przydomowe laboratorium analizy malware'u" okazało się całkiem wartościowym, jednodniowym szkoleniem. Czarnej magii się nie nauczyłem, ale udało nam się przeanalizować zachowanie kilku próbek starszego złośliwego oprogramowania. Poznaliśmy podstawowe metody komunikacji (np. bot IRC), czy też sposoby ukrywania się w systemie, włącznie z zabawą jednym rootkitem. Niestety ostatnia próbka była mi już wcześniej znana, ponieważ pojawiła się ona w HackMe zorganizowanym przez CERT.pl kilka tygodni wcześniej. Najcenniejszym doświadczeniem z tego szkolenia było podłapanie odpowiedniego sposobu myślenia o procesie analizy dynamicznej malware. Teraz znacznie spokojniej do tego podchodzę i wiem jakie kroki po kolei powinienem wykonać oraz na co trzeba uważać, aby zabawa z malwarem nie była niebezpieczna.

Podsumowując. SECURE 2014 bardzo mi się podobało i chętnie wezmę udział w przyszłorocznej edycji. Liczę też na ciekawe warsztaty, które pozwolą mi wykonać pierwszy krok na jakimś nieznanym mi jeszcze dobrze obszarze bezpieczeństwa.

See ya soon, bro

Brak komentarzy