Zpět na seznam článků     Číst komentáře (3)     Verze pro tisk

H&S Konf. - Odpovědi přednášejících

Autor: .cCuMiNn.   
14.3.2012

Odpovědi přednášejících na dodatečně položené dotazy návštěvníků SOOM.cz Hacking & Security Konference 2012.


    mjr. Mgr. Václav Písecký

  • Snaží se PČR dešifrovat HDD, případně crackovat hesla? Jak je to s dešifrováním dat u telefonů BlackBerry, vychází v tomto směru RIM České policii vstříc?
    Ano, desifrovat HDD, pripadne prolamovat hesla se snazime. Sifrovaci algoritmy jsou natolik sile, ze pouziti metod brutal-forced nepripada v uvahu. Nejcasteji podobna "zkoumani" konci tak, ze heslo dostaneme jinou cestou. Spolupraci s RIM nebudu komentovat, jsou to informace dulezite pro nasi dalsi cinnost.

  • Dosáhla PČR při pátrání po "českých Anonymous" nějakého pokroku?
    Bez komentare, vysetrovani pokracuje.

  • Které ze zemí vycházejí v pomoci s vyšetřováním české policii zpravidla vstříc a se kterými se jedná nejhůře?
    Take bez komentare, tyto informace by mohly byt vyuzity pri pokusech o znesnadnovani pripadneho vysetrovani trestne cinnosti.

  • V přednášce a ani v diskusi, pokud vím, nepadla otázka na phishing. Děláte něco proti phisherům a při nalezení 'napodobeniny' webu na českém hostingu pátráte po autorovi? Pokud ano, s jakým úspěchem?
    Pokud se "napodobenina" webu nachazi v ceske hostingove spolecnosti (coz bohuzel nebyva tak caste), neni problem vyzadat informace nejen o registraci, ale i o tzv. administratorskych pristupech a dale provadet bezne setreni za ucelem zjisteni pripojneho mista.

  • Ve vašem oddělení počítačové kriminality pracují pouze policisté, a nebo využíváte i pracovníky z "venku"?
    Pracovnici "meho" oddeleni jsou vsichni bez vyjimky policiste, kriminaliste s dlouholetou praxi. Pri vysetrovani trestne cinnosti ale muzeme vyuzivat pomoci a znalosti externistu, at uz se jedna o soudni znalce nebo jine osoby nebo i organizace. Neni tajemstvim, ze tuto "pomoc" casto vyuzivame.

  • Zmiňoval jste, že vás pracuje v oddělení tuším pouze 15? Zvládáte práci? Respektive, jestli vám na stole leží případ třeba X měsíců/let, než se do něj vůbec pustíte? Po delší promlce už můžou být stopy po pachateli nedohledatelné (a to nemluvím jen o nákupu na internetu).
    Praci zvladame. Musime. Jsme operativni slozka SKPV. Jdeme tzv. "po horke stope". Uvedomujeme si, ze nase rychla reakce je nutne. Kazda delsi prodleva objasneni jen znesnadni. Po zajisteni vsech dukazu a informaci tyto predavame vysotrovateli, ktery dal vede pripad. Nase oddeleni se nemusi zabyvat dalsi administrativou. 15 policistu se muze zdat jako malo, ale vzhledem k soucasne situaci u PCR jsem vdecny i za tento pocet.

    • Martin Dráb

  • Jak hodnotíš vývoj jádra v průběhu vývoje Windows(98 -> XP -> Vista -> 7)? Je vidět velká změna(k lepšímu) a nebo je to pořád bída? Zajímá mě hlavně Vista vs 7. Jelikož tyto OS byly vydány chvilku po sobě a tak se mi nezdá, že by tam byl nějak extra rozdíl. Jak to vidíš ty?
    Co se týče přechodu od Windows 98 k linii Windows NT (tedy 2k/XP...), tak ten nelze hodnotit jinak než kladně. Tím se systém použitelný snad pouze v prostředí s jedním uživatelem nebo tam, kde není nutné definovat oprávnění, stal systémem se slušným bezpečnostním modelem, který již lze využít i v síťovém prostředí a omezit možnosti jednotlivých uživatelů.
    Další velký krok nastal s přechodem mezi Windows XP a Vista. Z bezpečnostního hlediska má podle mě význam hlavně technologie UAC, případně nová rozhraní pro snažší programování systémů HIPS (případně vylepšení těch starých). Nesouhlasím se zavedením tzv. chráněných procesů (mluvil jsem o nich včera na Security Session), ale co nadělám.
    Z hlediska systémů HIPS přinesly Windows 7 další novinky, například v podobě rozšíření rozhraní Windows Filtering Platform, které lze využít k monitorování, ovlivňování a blokování síťových aktivit. Za mnohem větší přínos (teď nemyslím bezpečnostní) ale považuji celkový zrychlení (byly za tímto účelem činěny i úpravy v jádře), podporu více procesorů a vylepšení některých nástrojů (například DISKPART).

    • Tomáš Rosa

  • Mám pravdu, když předpokládám, že se u karet ISIC, kterými jsou vybaveni snad všichni vysokoškoláci, jedná až dodnes pouze o Mifare UID only?
    Karty ISIC jsou poměrně komplikované téma, neboť se mění jak čipy, tak i způsob použití. Zatím jsem zde viděl MIFARE Classic i MIFARE DESFire. Dále je nutné rozlišovat služby, které daná karta může nabídnout, služby, které byly vydavatelem karty skutečně použity, a konečně služby, které od karty očekává příjemce. Vzhledem k nepřehlednosti výsledné situace se řada příjemců uchyluje k pochopitelnému kroku, kdy v rámci zachování zdravého rozumu z karty čtou jen UID. Z hlediska bezpečnosti to rozhodně není ideální, s tím zcela souhlasím. Zároveň se ovšem snažím nastínit, že na vině není jen samotný příjemce, ale vůbec celý systém, který dosud evidentně nebyl schopen přijít s rozumným otevřeným standardem.

    • Vlastimil Klíma

  • Který z 5 kandidátů na sha-3 je Vaším favoritem a proč?
    Jediný kandidát z pětice finalistů, který splňuje zadání soutěže (být rychlejší než stávající SHA-2), je BLAKE. Líbí se mi tak o deset procent více než Skein. V okamžiku, kdy NIST vybral pět finalistů, začala jít šuškanda, že vyhrál Skein. Pokud vyhraje Skein, je pravděpodobné, že nebude příliš používán a že místo něj průmysl bude používat o něco rychlejší algoritmus, který je už nyní schváleným a vydaným platným standardem - je to SHA-512-256. Pod touto zkratkou se skrývá SHA-512, jejíž výstupní kód se zkracuje na 256 bitů. Je to tedy 256 bitová hašovací funkce. Proč použít SHA-512-256 místo SHA-256 ? Z bezpečnostních důvodů nikoli, ale proto, že SHA-512-256 je založená na 64bitových instrukcích, které budou převládající v budoucnu (v oblasti PC). Skein-256 nebude tak rychlý jako SHA-512-256, která je na 64bitových procesorech také rychlejší než SHA-256. Mým favoritem je tedy rychlejší z dvojice BLAKE a SHA-512-256. NIST si to v té soutěži docela zavařil.

  • Ve své přednášce jste uvedl, že u RFID čipů je limit na cca 2500 hradel, jestli se dobře pamatuji. Zároveň jste také mluvil o tom, jak velký je největší a nejmenší dosud vyrobený RFID čip. Existuje toto omezení na maximální počet hradel pouze z důvodů velikosti čipu nebo jsou pro něj i jiné důvody (například pasivní "napájení" čipu)?
    Počet hradel je omezený na prvním místě z důvodu napájení, neboť většina RFID čipů bude napájená pasivně a čipy musí mít malý příkon a výkon, aby za prvé stačily získat dost energie a na druhé straně, aby té energie bylo potřeba co nejméně, neboť čipy zase nesmí příliš topit.

    • Pavel Vondruška

  • Svoji přednášku jste uvedl slovy, že "dokonalá šifra existuje, otázka tedy zní, proč ji nepoužíváme". Jaká je Vaše odpověď na vlastní otázku? Protože to není v zájmu velkého bratra nebo že se v případě Vernamovy šifry těžko distribuuje klíč?
    Vernamova šifra při zachování všech podmínek na jednorázové heslo je prokazatelně absolutně bezpečná (viz Shanonova teorie) a tedy je neprolomitelná bez ohledu na čas a prostředky.

    Heslo:
    • Lze použít pouze jednou!
    • Musí být náhodné
    • Stejně pravděpodobné
    • Nepředvídatelné

    Proč se nepoužívá souvisí právě s požadavky na heslo :
    • Výroba hesla je velmi složitou záležitostí a stál se ukazuje, že neumíme taková hesla s dostatečnou kvalitou vyrábět…
    • Heslového materiálu je potřeba, co do objemu, stejně jako dat, která mají být šifrována , což vede k velkým nákladům a to výrobním a zejména logistickým (bezpečná doprava, doplňování materiálu)

      Pokud jde o velkého bratra, tak doba zákazu a vývozu silné kryptografie (do roku 2000 zcela běžná) již asi pominula. Osobně jsem přesvědčen, že šifrový standard AES je pro velkého bratra také nepřekonatelný a tedy zákaz Vernamovy šifry v současné době ztrácí smysl.

      Dovolím si přidat jeden zajímavý a související výsledek z poslední doby. Problém máme i s generováním velkých prvočísel. Viz zajímavý výsledek (který trochu zapadl): studie Ron was wrong, Whit is right (jejími autory jsou - Arjen K. Lenstra, James P. Hughes, Maxime Augier, Joppe W. Bos, Thorsten Kleinjung a Christophe Wachter). Dva z každého tisíce modulů RSA nenabízí bezpečnost. Ze zkoumaných 4,7 miliónů různých RSA modulů jich mělo jeden z prvočíselných faktorů společných s jiným modulem celkem 12 500 vzorků (!). Problém se týká nejen modulů RSA-1024, ale také RSA-2048. Schneier tvrdí, že jádro problému je právě v generátorech náhodných čísel.

      • Vlastimil Pečínka

    • Při přednášce jste uvedl, že Seznam skoro žádné osobní údaje neshromažďuje, přičemž IP nepovažujete za osobní údaj. Z toho tedy vyvozuji, že IP logujete. Při pozdější diskuzi si však pan Písecký "posteskl", že jste nedodali nějaké údaje, protože jste je neměli a na rozdíl od operátorů je po usnesení Ústavního soudu nelogovali. Nemohlo jít o IP, nelogujete tedy obsah komunikace, nebo šlo o něco jiného?
    • Při rozpoznání napadení emailové schránky by se hodil výpis posledních přihlášených IP adres, jako je tomu třeba u gmailu. Proč toto stále u seznamu chybí?
    • E-maily, které jsou smazány (vysypány z koše) uživatelem se již nikde neuchovávají a jsou nenávratně odstraněné? Nebo archivujete i takto smazané e-maily pro případné žádosti na výpis komunikace od PČR?
    • V případě regulérního zrušení e-mailové schránky uživatelem jsou stále k dispozici údaje o užívání e-mailové schránky? Například IP adresa, ze které bylo naposledy přistupováno ke schránce? Nebo tyto údaje jsou smazány kompletně spolu se schránkou? Jak tomu je v případě zabanování schránky administrátorem kvůli nějaké nelegální aktivitě, apod.? V tomto případě předpokládám, že nějaké informace uchováváte pro případné trestní řízení, či nikoliv?
      Odpověd na otázky  1 až 4 je v podstatě shodná. V reakci na rozhodnutí ústavního soudu (tuším jde o Nález Ústavního soudu ČR Pl ÚS 42/11 - zrušení ust. § 88a trestního řádku k 1.10.2012, či nějaký předchozí s tím související) jsme (byť nejsme společnost spadající pod telekomunikační zákon) přestali ukládat a uchovávat tzv. lokalizační údaje o našich uživatelích. K dispozici máme pouze údaje nezbytné pro provoz služby, neshromažďujeme tedy lokalizační nebo identifikační údaje. Tedy ani po smazání schránky nebo zprávy je nikde neuchováváme.
      Samosebou ctíme zákony a právní řád, takže v případě nařízení od soudce se dle takového nařízení/rozhodnutí chováme.

    • Seznam poskytuje spoustu služeb, avšak řekl bych, že seznam.cz je znám hlavně jako vyhledávač. Zdá se mi, že lidé se stále víc učí používat fulltext googlu a že tedy dlouhodobě klesá uživatelů, kteří využívají fulltext seznamu, nebo se pletu? Z kuloárů zazněly informace o tom, že z dlouhodobého hlediska fulltext seznamu bude využívaný stále méně a že už tu moc potenciál pro další rozvoj seznamu v tomto směru není. Váš názor?
      Seznamu se dlouhodobě daří a už několik let slýcháme, že nás Google předběhne nebo dokonce předběhl. Dlouhodobě investujeme nemalé prostředky do technologie vyhledávání a rozhodně boj nehodláme vzdát. Ostatně všechny dostupné nepřímé ukazatele toto potvrzují – ať naše data nebo např. Toplist - http://www.toplist.cz/stat/?a=history&type=4&lang=CZ Podobně jako třeba patnerský Yandex v Rusku jsme společnost, která vyrostla na tom, že investovala peníze zpět do vlastních technologií. To je to, co se zúročuje dlouhodobě. A spolu s ruským Yandexem patříme ke 4 společnostem na světe, které jsou lokálními hráči ve vyhledávání a ještě nenechali Googlu pozici jedničky na trhu (a jen pro zajímavost  - jsme jediná z těchto 4 zemí, která používá latinku).

    • Poslední dobou se hodně poptává/nabízí databáze firem, které jsou zapsány ve firmy.cz. Částky za tyto databáze jsou v relativně vysokých hodnotách. Jak se seznam.cz staví k tomu, že někdo vygrabuje informace z firmy.cz a poté je prodává subjektům, které je využívají k marketingové činnosti? + To samé se týká i výsledků vyhledávání.
      Víme o tom, sami to sledujeme nebo nám to hlásí uživatelé a partneři. Považujeme to za parazitování, které je v rozporu se zákony ČR (neboť i databáze je autorské dílo) a podnkáme právní kroky proti parazitujícím provozovatelům.

      • Roman Kümmel

    • Vidíš v Clickjackingu i nějaký potenciál do budoucna? Respektive, jestli to bude stále aktuálním tématem třeba i za 1,2 roky?
      Clickjacking je velice široké téma, u kterého se domnívám, že ještě zdaleka nedošlo k vyčerpání celého jeho potenciálu. S příchodem HTML5 se dveře pro další varianty útoků spíše ještě více otevřely. Věřím, že v tomto a i v následujících letech budeme svědky nových technik, u kterých je použití metod clickjackingu využitelné. Je také docela pravděpodobné, že se tuto metodu, podaří aplikovat i mimo webový prohlížeč.

    • Co tvůj názor na XSS? Vím, že se o tuto zranitelnost hodně zajímáš a že jsi o ní napsal hodně informací (včetně tvé knihy), ale jak to vidíš do budoucna? Bude to stále tak aktuální téma jako nyní? Dle mého názoru prakticky každá aplikace (hádám tak 9 z 10) trpí na zranitelnost XSS.
      Jsem přesvědčen o tom, že XSS bude stále aktuální ještě minimálně dalších 10let. Z principu fungování HTML a webových prohlížečů totiž vyplývá, že prohlížeč (zvláště pokud jde o perzistentní XSS) není schopen rozpoznat, zda je obsažený kód legitimní nebo injektovaný útočníkem. I když jsou zde pokusy ze strany tvůrců webových browserů o různé XSS filtry, tak ty mohou být zaměřeny pouze na reflektované XSS. Je sice pravda, že bezpečnostní politika CSP s sebou konečně přinesla funkční a snad se dá říci i 100% řešení, jak aplikace před XSS ochránit, ale bude určitě ještě nějakou dobu trvat, než bude podporována širším spektrem prohlížečů a než se ji weboví vývojáři naučí používat. Žádný velký převrat v blízké budoucnosti proto v této oblasti nevidím.
      BTW: s tvým odhadem zranitelných webů (bereme-li v úvahu ty, které s uživateli oboustranně komunikují) naprosto souhlasím.

    • Proč si myslíš, že Microsoft něco nedělá s IE? Podíl IE na trhu rok od roku klesá, avšak i přesto Microsoft stále nedělá nic, aby u IE udržel aspoň nějaké uživatele...
      Buďme rádi, že tomu tak je. Jak znám Microsoft, tak kdyby něco dělal, vzešla by z toho nakonec jen nějaká zhovadilost nepodporovaná jinými prohlížeči a samozřejmě pěkně zapatentovaná, aby uživatelé museli používat jen a pouze IE. Jsem rád, že uživatelé dávají přednost jiným prohlížečům a rád bych se dočkal času, kdy weboví vývojáři budou vytvářet aplikace bez podpory IE, protože tento prohlížeč prostě není plně kompatibilní. Konečně by to pak snad Microsoft přimělo k tomu, aby se přizpůsobil a nedělal si stále něco po svém.

      • Martin Klubal

    • Proč si myslíš, že jsou webhostingy obecně tak náchylné na spoustu zranitelností, které jsme mohli slyšet v přednášce? Je to tím, že jsou administrátoři líní, chybu podceňují, a nebo o tom prostě neví?
      Všechny zmíněné důvody přicházejí v úvahu. Nejčastěji je dle mého názoru důvodem fakt, že se prostě bezpečnost neřeší, dokud nedojde k nějakému incidentu. Uživatelé se zabezpečením svých dat automaticky počítají a technickým věcem zpravidla nerozumí, proto po provozovatelích nápravu nepoptávají. I nevzdělanost správců v této oblasti hraje svoji roli, LAMP dokáže nahodit dnes i člověk se základním vzděláním, hosting tak provozují mnohdy lidé, kteří bezpečnosti nerozumí a lákají klienty především na nízké ceny.

    • Proč není v defaultní konfiguraci Mysql nastavena hodnota local-infile = 0? Čtení a zápis souborů přes databázi(za dobrých okolností prakticky všude) je velmi nebezpečné pro provozovatele... Má čtení a zápis souborů přes Mysql nějaké reálné využití? V životě jsem se s tím nesetkal.
      S aplikací této funkcionality se skutečně ve sféře webhostingů setkáš zřídka, jinde tomu může být ovšem jinak. Zpravidla se ale skutečně úplatňuje princip, kdy aplikační logiku obstarává jiná část systému, než databáze, která právě u webhostingů slouží v podstatě výhradně jako "hloupé" datové úložiště. Je to z pohledu bezpečnosti opravdu škoda, že není tato direktiva standardně deaktivována.

    • Pokud se nepletu, tak se zajímáš o servery (webhostingy) trošku blíž. Z toho plyne otázka, jestli neplánuješ sepsat knihu na toto téma nebo aspoň nějaký full paper? Na toto téma je relativně málo informací a navíc jsou velmi roztroušené a nejsou centralizované, což je dle mého názoru velká škoda.
      O knize jsem samozřejmě uvažoval, ale momentálně nemám čas psát ani články pro SOOM, takže to v nejbližší době vidím bledě. Osobně jsem rád, že na toto témá existuje méně zdrojů, lidi to alespoň nutí projevit iniciativu a zkoumají systém sami, nemluvě o dopadu takových informací v rukou script kiddies.

    • Tvůj názor na Suhosin a podobné? Komplikují útočníkovi práci? V přednášce jsem o tom neslyšel ani slovo, akorát byla řeč o modulech (mod_evasive a mod_security).
      Paradoxně většina zas tolik ne, to ovšem není důvod, proč je neaplikovat. Zkušený útočník se do systému dostane i přes tyto zdi, odfiltruje to ale script kiddies, kteří mají zpravidla pouze chuť ničit. Majitelům to dodá pocit bezpečí, byť skutečně v mnoha případech falešný, neboť se správci neobťěžují WAF ani zkonfigurovat a vše ponechávají v defaultním nastavení. Určitě tedy doporučuji podobný software instalovat, ale musí se u toho přemýšlet, pouhou instalací to prostě skončit nikdy nesmí.


    Případné další odpovědi budou přidány po jejich obdržení.

Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     




Hodnocení/Hlasovalo: 1/15

1  2  3  4  5    
(známkování jako ve škole)
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | ZTEzMGRk