DC25 foi meu último DEF CON?

20.000 entusiastas de segurança e eu acabamos de retornar do Caesar's Palace, que pela primeira vez (?) sediou a mais antiga, e alguns dizem que a melhor, conferência de hackers do mundo, a DEF CON. Este ano, como todos os anos, os participantes disseram a mesma coisa: “Meu Deus, tem muita gente aqui!” Eles estavam dizendo isso até mesmo na DEF CON 7 (minha primeira), que teve talvez 1.000 participantes amontoados em tendas no gramado do antigo hotel Alexis Park.

A DEF CON completou 25 anos este ano e, pela primeira vez, me perguntei se esta seria a última. Perdi a maioria dos aniversários dos meus filhos devido ao calendário constante da conferência. O pobre rapaz é bem compreensivo, principalmente porque eu o levei para o DC22.

E mesmo que este ano tenha havido algumas palestras muito legais, tive a sensação de já ter visto isso antes . Porque quantas palestras sobre hackers você consegue assistir ao longo de duas décadas antes de começar a perder seu senso de admiração infantil? Então, estou considerando ativamente deixar o DC26 para os mais jovens.

Enquanto pondero minhas opções para o DC26, vamos recapitular algumas das palestras, eventos e subcomunidades mais interessantes do DC25. Você também é altamente incentivado a ouvir essas palestras se elas estiverem disponíveis no servidor de mídia do DEF CON (ou no YouTube, o que ocorrer primeiro).

A nova pilhagem do voto, opa, quis dizer, a vila do voto

Dadas todas as notícias sobre interferência eleitoral nos últimos seis meses, os organizadores de DC foram inteligentes ao incluir uma nova Vila de Votação, onde os entusiastas puderam testar as diversas máquinas de votação usadas nos Estados Unidos. A repercussão no primeiro dia foi que a maioria das máquinas foi hackeada em até 90 minutos após a abertura. Ao final da conferência, todas as máquinas de votação haviam se rendido aos hackers. Ninguém deveria ficar realmente surpreso com isso; ter acesso físico a um dispositivo quase garante uma chance, dado tempo e talento suficientes, e havia muito dos dois no DC25.

O chamado à ação após a Votação na Vila foi, de modo geral, que nós, como nação, deveríamos voltar às cédulas de papel. Mas especialistas razoáveis e bem informados sugerem uma combinação de cédulas eletrônicas e de papel para melhor segurança, como evidenciado por esta excelente discussão da NPR Science Friday .

Tema: Muitos dos palestrantes contam com fontes de dados públicas (como o projeto Certificate Transparency) e o Projeto Sonar como base para suas pesquisas.

Oradores notáveis
 

• O famoso autor e editor do Boing Boing, Cory Doctorow, fez um discurso apaixonado sobre gerenciamento de direitos digitais.
• O grande mestre de xadrez Garry Kasparov falou sobre o provável impacto da inteligência artificial nos empregos.
• Richard Thieme falou no primeiro Blackhat Briefings há vinte anos e ainda fala sobre privacidade hoje.
   

Apresentações notáveis

► Abuso de registros de transparência de certificados - Hanno Böck (@hanno)

Escrevi sobre o projeto muito legal Certificate Transparency (CT) há quase três anos para o SecurityWeek.com. Desde então, o projeto CT vem coletando registros das autoridades certificadoras. Em teoria, os navegadores estão comparando certificados existentes com os registros para detectar certificados emitidos incorretamente. De fato, de acordo com o palestrante Hanno Böck, a Symantec está finalmente participando do projeto CT após ser ameaçada pelo Google. Observação: A Symantec acabou de encerrar todo o negócio e está vendendo sua autoridade de certificação para a DigitCert.

O jardim de certificados comunitário, Let’s Encrypt, tem participado do projeto CT, e agora o Cloud Flare também.

Outra nota: O projeto CT tem um pequeno portal excelente em crt.sh , onde os pesquisadores podem visualizar todo o conjunto de logs por meio de uma interface web (ou até mesmo Postgres, meu favorito).

De qualquer forma! O pesquisador Hanno Böck formulando uma ideia de ataque interessante: Monitore os logs do projeto CT para novos nomes de domínio. À medida que novos nomes forem encontrados, verifique os sites para ver se alguém está criando um site WordPress ou Joomla. Há uma pequena janela de tempo em que alguém inicia uma instalação, mas não a conclui, onde um invasor inteligente pode inserir um plug-in malicioso para obter um backdoor para o site.

O operador do site não teria ideia de que você fez isso. Böck mostrou uma demonstração de como isso funcionaria e depois tentou descobrir se alguém já estava fazendo isso (ainda não havia sinal disso). Ele praticou a divulgação responsável e alertou o WordPress e o Joomla sobre isso, e até ofereceu algumas medidas de mitigação. Uma das estruturas implementou sua sugestão, mas depois ambos perceberam que era uma correção imperfeita e que o ataque provavelmente ainda funcionaria.

Remover: Se você estiver registrando um novo domínio e obtendo um certificado para ele, certifique-se de concluir a instalação do WordPress o mais rápido possível. Se você deixar o instalador parado, poderá acabar hospedando algo que não pretendia.

► As Aventuras de AV e a Sandbox Vazada - Itzik Kotler (@itzikkotler) e Amit Klein

Imagine que você é um agente de espionagem em um ambiente altamente seguro; pense em um militar, um contratante de tecnologia secreta ou outro. Agora imagine que você precisa exfiltrar alguns dados, mas não pode usar os canais normais (Google Drive, pendrive, etc.). Tudo é monitorado, exceto a rede, que usa uma das muitas soluções antivírus que possuem um detonador de nuvem.

Os pesquisadores Itzik Kotler e Amit Klein demonstraram uma nova técnica para exfiltração de dados em ambientes de antivírus em nuvem. Eles criaram dois binários: um externo (o foguete) e um interno (o satélite). Eles codificaram seus dados dentro do binário do satélite e então codificaram esse binário dentro do binário do foguete. O binário de foguete que eles introduziram na rede.

O foguete grava o binário do satélite no disco, onde o AV pode vê-lo. O AV, desconfiado do binário do satélite, o envia para fora da rede, para seu detonador de nuvem, onde é executado. O satélite então comunica os dados do detonador de nuvens para uma zona de lançamento.

Tão fofo! Dos 10 scanners AV de nuvem testados por Kotler e Klein, quatro permitiram que o satélite se comunicasse com a zona de lançamento.

► DNS - Serviços de Nomes Desonestos: Destruindo a privacidade e o anonimato sem seu consentimento - Jim Nitterauer (@jnitterauer)

Jim Nitterauer falou pela primeira vez na DEF CON. Seguindo a tradição, ele tomou uma dose (de uísque?) no início de sua palestra. Como houve tantos palestrantes novos este ano, o pessoal da DEF CON deve ter comprado Wild Turkey em grandes quantidades.

De acordo com Nitteraur, as solicitações de DNS têm um novo campo “sub-rede do cliente” (consulte RFC 7871 ). Os clientes devem colocar seu endereço LAN real lá. Os resolvedores de DNS ao longo do caminho podem usar esse endereço para decidir como armazenar a resposta em cache. Parece bem lógico, certo?

Mas Nitteraur está preocupado que “os observadores” estejam usando as informações da sub-rede do cliente para rastrear pessoas. Para vigilância em massa ou outros serviços nefastos.

Há pouca evidência de que o campo de sub-rede do cliente esteja realmente sendo usado para vigilância em massa de amplo espectro. Se houver alguma coisa, ele será usado para rastreamento de anúncios (os autores do RFC incluem Google e Akamai), mas parabéns a Nitteraur por levantar a bandeira da privacidade sobre esse possível pesadelo de privacidade. Mas, por outro lado, todo o DNS é um pesadelo de privacidade e é provável que continue assim por muito tempo.

► Segurança de Hardware e Cadeia de Suprimentos Tolerante a Trojans na Prática - Vasilios Mavroudis e Dan Cvrcek (@dancvrcek)

Problema: e se o seu módulo de segurança de hardware (HSM) FIPS 140 for malicioso? Ou seja, ele continha chips maliciosos que estavam comprometendo suas chaves RSA sagradas. Você ao menos saberia? E como?

Essa é a premissa de uma palestra interessante de dois pesquisadores de Londres, Mavroudis e Cvrcek. A premissa pode parecer absurda, mas há organizações que precisam modelar tramas de filmes de espionagem tecnológica como este. Por exemplo, imagine a NSA ou o Serviço Secreto dos EUA observando com desconfiança os circuitos integrados de seus computadores fabricados na China?

Mavroudis e Cvrcek sugerem uma solução retirada da aviônica de aeronaves: redundância da cadeia de suprimentos. A aeronave Boeing 777, por exemplo, usa controladores triplamente redundantes de três cadeias de suprimentos diferentes em uma única placa. Para aviônicos, a preocupação é a confiabilidade, mas Mavroudis e Cvrcek aplicam essa redundância para segurança.

Eles construíram alguns HSMs caseiros (muito legal!) e os distribuíram pela Internet. Cada HSM participa de um conjunto de protocolos de criptografia distribuídos nos quais eles têm acesso parcial a dados secretos. A rede HSM pode detectar se um de seus membros fica inativo ou tenta corromper a criptografia. Suspeito que haja alguma matemática complicada envolvida aqui, da qual eles não mostraram seu trabalho, mas tudo bem, podemos esperar pelo white paper.

Eles também incluíram instruções e imagens sobre como construir seu próprio HSM caseiro usando um hub USB antigo, alguns circuitos integrados, seu applet e um pouco de chiclete. Bacana!

► Cabo Tap: Interceptando sua rede doméstica sem fio

A palestra mais legal na DEF CON 25 sobre a qual ninguém está escrevendo foi “CableTap: “Interceptando sua rede doméstica sem fio.”

Dois pesquisadores da Bastille Networks começaram a investigar as implantações de redes de consumo da Comcast e da Time Warner. Um dos pesquisadores mal sabia sobre Linux ou redes quando começou em janeiro, mas em março já havia descoberto como obter acesso remoto a milhões de roteadores domésticos e decodificadores. A sequência de ataques deles foi incrível, e a apresentação foi engraçada e inspiradora.

Leia mais sobre isso no meu artigo SecurityWeek.com: A palestra mais legal da Defcon 25 sobre a qual ninguém está escrevendo

Estarei no DC26?

Ok, depois de escrever tudo isso, decidi que SIM, provavelmente estarei no DC26. Tem muita coisa legal acontecendo na DEF CON; seis dias em Vegas (porque Blackhat também) me deixaram exausto, mas isso não é culpa da DEF CON, é?

Aqui está meu plano para o próximo ano.

• Transferir hotéis de Mandalay para Caesar’s. Arrastar-se pela faixa algumas vezes por dia só cansa. Então registre seu quarto com antecedência.
• Veja mais das palestras do Google. Ouvi coisas ótimas sobre os palestrantes deles este ano.
• Beba menos (Ha! Veremos sobre isso!).
• Passe mais tempo nas aldeias. Os mais populares deste ano parecem ser o Voting Village, o Packet Hacking e estou especialmente interessado no IoT Hacking Village. O organizador do último disse, durante as cerimônias de encerramento: “Gostaríamos de agradecer à botnet Mirai por trazer a segurança da IoT para a mente das pessoas!”

Bem, brinde a isso, e nos vemos no DC26.