Friday, August 03, 2007

Black Hat USA 2007 Round-Up Part 1

I'm waiting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport for my flight home after spending 6 days in Las Vegas at Black Hat USA 2007. I last attended in 2003. Put simply I was blown away by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks I saw. I'll summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks and my response.

I spent four days teaching TCP/IP Weapons School in two two-day sessions, to a total of 116 students. I think both classes were well-received. The students were some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharper ones I've had in class, which is what I hoped for and expected. The first day of teaching I was lucky enough to share lunch with some of my students and Joanna Rutkowska. We discussed covert channels related difficult detection problems.

The following are thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first day of briefings. I spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application security track.

  • I sat in Richard Clarke's keynote. He emphasized how what he called "visualization exercises" help decision makers envisage digital risk. I described this phenomenon last year in Analog Security Is Threat-Centric and Disaster Stories Help Envisage Risks. Mr. Clarke explained how human-machine interfaces are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next security frontier and how DoD's Net-Centric Warfare (see Thoughts from IATF Meeting depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast number of IP addresses available in IPv6. Unfortunately Mr. Clarke has fallen for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myth that IPv6 will bring greater security and "prioritization," which means we must have it. I debunked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se misconceptions held by many executives in Chinese IPv6 in CIO. It struck me that Mr. Clarke mentioned that executives view spending on security as a "cost center" but spending on breach recovery is a "loss center." I wonder where we've heard that before?

  • David Byrne delivered an exceptional talk on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security consequences of anti-DNS pinning. The purpose of his attack is to use Web clients as a conduit for attacking intranet hosts. He demo'd conducting a remote Nessus scan and Metasploit attack of intranet hosts via a "tunnel" of HTTP POSTs and replies passed through a Web browser. David's talk showed that DNS resolutions which result in an Internet hostname resolving first to an Internet host and next to an intranet host can be used as a detection mechanism. A Web server vulnerable to XSS is required, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of Java or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rich content vehicles on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host only exacerbates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem by providing additional attack vectors.

  • Jeremiah Grossman and Robert Hansen continued to pile on Web application attacks. They showed a variety of ways to exploit Web clients and internet hosts without Javascript. Robert (aka Rsnake of ha.ckers.org said that everyone who links to his site from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intranet Web pages and uses his files for penetration tests leaks data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company to him.

  • I only saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last half of Brad Hill's talk because I had lunch with several ex-Foundstoners, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part I saw was impressive. Brad explained how to exploit XML digital signatures, such as running arbitrary executables (like cmd.exe) from within a signature!

  • Bryan Sullivan and Billy Hoffman rocked, showing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir demo site www.hackervacations.com exemplified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many vulnerabilities in Ajax Web sites. They really made me understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with Ajax: most, if not all in some cases, of Ajax applications are executing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. Previously, attacking Web applications centered on providing malicious input to influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web app. Now, attacking Ajax Web applications means malicious clients manipulate every aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, including variables, order of execution, and control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. They showed how to "DoS a plane" by reserving all seats on a flight booking system, and keeping all seats filled by sending an HTTP message every 30 seconds. They showed how to buy a plane seat for $1, or buy all seats for nothing. They accessed hidden administrative functions by directly talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote Web service and dumping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire database (with zero knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote database) with two commands. This emphasized that testing inputs through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web applications is completely insufficient; all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web services must now be similarly assessed.

  • Ben Feinstein and Daniel Peck showed a way to crawl and de-obfuscate malicious Javascript. They mentioned an integrity attack whereby malicious eBay sellers used XSS to provide fake positive seller ratings to unsuspecting buyers. The showed how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Caffeine Monkey tool profiles Javascript, providing a fingerprint of current malicious Javascript compared to nonmalicious Javascript. For example, string and object instantiations are very common in malicious Javascript but rare in nonmalicious Javascript. This is essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same detection problem we've been wrestling with for years, and it shows that intruders could begin to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Javascript to resemble normal versions.

  • I ended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day in Hacker Court, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Crimson Knight" was tried for cheating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Masters of Mayhem" online game. As usual Hacker Court was great, especially because Jennifer Granick moved from her traditional role as defense counsel to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new role of prosecutor. She lost her case, but I spoke with her briefly and learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience gave her a chance to think like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side in front of an audience in a simulated trial.


My overall impression from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first day of briefings can be summarized in this manner.

  • Existing defenses are absolutely ineffective against current attacks. I am struggling to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of this insight. It does not matter if you are fully patched, "properly configured," not running Javascript, or adopting any number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r current defensive stratgies if you use a Web browser that renders modern rich content. Almost none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat talks relies upon exploiting vulnerable software. Almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m abuse inherent functionality for malicious reasons.

  • Detecting current attacks in "real time" is increasingly difficult, if not impossible. Even if you assume attacks are not obscured by encryption, recognizing and understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of Web-based attacks shown at Black Hat is almost a lost cause. There is basically no way for defenders to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expanse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack surface exposed by "rich Internet applications" and frameworks. I realized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "rich" in "RIA" refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money intruders will make by exploiting Web clients.

  • The average Web developer and security professional will never be able to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks. Intruders are so far ahead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders with respect to tools and techniques that it is simply not possible to prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks I saw at Black Hat. This statement will probably offend many people but it's time to face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth. There is no way to get "ahead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat" here.


I realize I've painted a very bleak picture. In my next post (time to board cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane) I will summarize day 2 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat Briefings. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post after that I will provide some defensive strategies and concluding thoughts.

9 comments:

Anonymous said...

Thank you. Sounds very interesting and producive. I'm looking forward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next post.

Rob said...

Surely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of Black Hat and DefCon is to make sure that we know enough to try and stay ahead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers. Just because a few people are smart enough to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities, just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average web developer isn't tooled up to defend, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average hacker isn't savvy enough to attack like this eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.
Mind you, that's being hopeful, and we can't rely on hope. Security should be about awareness, so speak on...

Anonymous said...

(anon2)

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of BH and DefCon is to spread awareness, why don't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web like eg. Shmoocon and C3?
It's 2007 for heavens sake.

Anonymous said...

To anon2: Maybe if you bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red to use Google you'd easily find a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whitepapers/presentations?

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.
Zamankhan said...

your blog is nice

Anonymous said...
This comment has been removed by a blog administrator.
Steve said...
This comment has been removed by a blog administrator.