API documentation is supposed to be an example of clear and precision information so that developers can write effective applications and avoid security pitfalls. Of course certainly when it comes to Windows this isn’t always the case. This presentation will go into some issues I’ve discovered over my years of research which show clear lack of precise security documentation, leading to vulnerable conditions. The API documentation can also be a useful source of assumptions about the behaviour of a system which can be used to develop testing strategies.

This presentation should be interest to attendees who in particular have to develop applications on Microsoft platforms as well as security researchers who like interesting logical vulnerabilities. Not all the bugs are fixed, they continue to be issues with the documentation which will come back to haunt developers for many years to come.

Bezpieczeństwo platformy webowej od zawsze opierało się na Same Origin Policy, jednak owa polityka przeszła w ciągu ostatnich lat sporą ewolucję. Rosnące potrzeby aplikacji webowych spowodowały wysyp nowych funkcji. Powstał HTML5, CORS, Content Security Policy, Fetch API, Service Workers, First-party Cookies czy Per-Page Suborigins, każde z nich wprowadzając subtelne zmiany w klasycznym modelu bezpieczeństwa webowego i operując na żywym organizmie Same Origin Policy. Podczas  prezentacji zobaczymy, czy po tych zabiegach SOP wyszła zdrowsza (i dlaczego nie), a także jak wykorzystać tę wiedzę do praktycznych ataków na aplikacje internetowe.

Stary, 16-bitowy format obrazków WMF a także jego odświeżone wersje (EMF, EMF+) nie cieszą się dziś dużą popularnością, lecz błędne byłoby przekonanie, że całkowicie odeszły w zapomnienie i nie są już istotnym wektorem ataku. Pliki te wciąż są wspierane przez przeglądarkę Internet Explorer, są natywnym formatem przechowywania obrazków wektorowych w dokumentach pakietu Microsoft Office, a także grają istotną rolę w procesie buforowania wydruków. Jako zapis graficzny będący w zasadzie listą wywołań funkcji GDI, są one przede wszystkim niezwykle ciekawym i obiecującym celem z perspektywy badacza. Jednym ze znanych odkrytych dotychczas błędów była podatność związana z funkcją SetAbortProc naprawiona w 2005 r., która wykorzystywała udokumentowaną cechę formatu w celu nadpisania wskaźnika na funkcję adresem danych wejściowych, prowadząc do zdalnego wykonania kodu.

Czy GDI i powiązane implementacje zostały od tego czasu gruntownie przebadane? Czy wciąż kryją się w nich równie poważne błędy? Do jakiego stopnia pliki EMF mogą wchodzić w interakcję z systemem operacyjnym? Celem tej prezentacji jest odpowiedzenie na owe pytania poprzez omówienie wyników niedawnych badań autora w tym obszarze, wraz ze szczegółowym opisem procesu odkrywania i exploitacji wielu interesujących podatności załatanych przez firmę Microsoft w ostatnich miesiącach.

Fuzzujesz kod by znaleźć błędy bezpieczeństwa, analizujesz malware, grasz w CTF-y, czy też może debugujesz skomplikowany program? Każde z tych zadań na pewno byłoby nieco prostsze gdybyś mógł w efektywny sposób uzyskać informację na temat tego jak Twój program tak naprawdę się zachowuje: które partie kodu wykonuje i w jakiej kolejności.

Typowe narzędzia oferowane security researcherom oraz programistom, i dostępne w popularnych systemach operacyjnych, bywają albo mało precyzyjne albo też mało wydajne. Dlatego też producenci mikroprocesorów w ostatnich latach zaczęli implementować coraz to bardzie zaawansowane metody śledzenia wykonywanych programów. Te najnowsze pozwalają na śledzenie wykonywanego kodu w czasie już niemalże rzeczywistym.

Przegląd metod zaczniemy od przypomnienia tych najstarszych (od znanego każdemu programiście printf-based debuggingu), lecz szybko przejdziemy do metod najnowszych – opartych o technologie takie jak Intel Processor Trace, ARM CoreSight czy też Branch Trace Store. Pokażemy też praktyczne zastosowania prezentowanych metod.

Podłączenie niezaufanego urządzenia do komputera może mieć nieoczekiwane konsekwencje. Szyna PCI daje dostęp do całej pamięci systemu, szyna USB jest stosunkowo skomplikowana i wiele sterowników (jak i same kontrolery!) zawiera luki. W prelekcji zostaną pokazane zagrożenia jakie niosą ze sobą różne urządzenia i jak można nim przeciwdziałać w Qubes OS. Będzie o VT-d, urządzeniach blokowych, HID, audio i kilku innych. Szczególna uwaga będzie poświęcona niezaufanym urządzeniom wejściowym (mysz, klawiatura).

Prezentacja zawiera szereg przykładów krytycznych podatności związanych z błędną konfiguracją usług. Zostaną przedstawione szczegóły błędów oraz ich wpływ na bezpieczeństwo systemów. Prelegent zwróci uwagę na najważniejsze aspekty ochrony zasobów firmowych, z perspektywy osób odpowiedzialnych za konfigurację.

W trakcie prezentacji zaprezentowanych zostanie kilkanaście podatności w urządzeniach sieciowych. Hackowanie samochodów, dziury w elektronicznych zabawkach dla dzieci, problemy w kamerach, monitorach czy domowych routerach – to tylko kilka przykładów, które będą omawiane w trakcie prelekcji.

Czym jest Red Teaming ? Czy to nie to samo co pentesty?

Case studies.

Czym jest Purple Teaming ?

Przykłady / doświadczenia.

Instrumentacja jest metodą analizy zachowania aplikacji. Polega ona na wstrzyknięciu napisanego przez nas kodu do oryginalnego kodu aplikacji. Metoda ta jest przydatna przy analizie aplikacji do których nie posiadamy kodu źródłowego i aplikacji, które są zabezpieczone przed debugowaniem/uruchomieniem w środowiskach wirtualnych/deasemblacją.

Podczas wykładu pokażemy w jaki sposób wykorzystać tę technikę do analizy złośliwego oprogramowania dla systemów Microsoft Windows (x86, x86_64) oraz do aplikacji mobilnych (iOS). Prezentacja zawiera przykłady zastosowań dla programów zabezpieczonych narzędziami komercyjnymi czy złośliwym oprogramowaniem Andromeda i Nymaim.

Warto zauważyć, że również w przypadku aplikacji mobilnych ta technika pozwala nam na śledzenie zachowania aplikacji i jej interakcji z komponentami systemu (np. dla systemu iOS z keychain czy Security Enclave).

Podatność mobilnej aplikacji finansowej na wyciek danych lub wykonanie niezamierzonych przez użytkownika akcji zagraża długofalowymi konsekwencjami. Mowa tak o utracie środków, jak i np. nieświadomym udziale w praniu brudnych pieniędzy. W prezentacji przedstawione zostaną wyniki badań, jakim pracownicy PGS Software poddają obecnie aplikacje polskich banków działające na smartfonach z systemami Android. Ze wstępnych wyników dowiadujemy się, że już na pierwszy rzut oka dostrzec można liczne błędy w sztuce, jak np. komunikacja przy użyciu niezabezpieczonych połączeń HTTP, obecność debugowego i testowego kodu, próby eskalacji uprawnień do poziomu super użytkownika czy brak reakcji na błędne certyfikaty HTTPS.

Przegląd najpoważniejszych ataków dotykających w ostatnich miesiącach firmy i użytkowników na całym świecie. Przykłady z Polski i ze świata, związki, skutki i prognozy.