Wednesday, September 21, 2011

רשמים מכנס owasp-il2011

ביום חמישי שעבר הגעתי למרכז הבינתחומי בהרצליה כדי להשתתף בכנס owasp-il2011. הגעתי ברכבת מנתניה, בתחנת בית יצחק נפגשתי עם אלעד וירדנו בתחנת הרצליה 7 הכוכבים. משם חיכינו כ-40 דקות לאוטובוס קו 8 שבושש לבוא. מוניות לא הסכימו להסיע לבינתחומי בתואנות על פקקים אז יצאנו ברגל ביחד עם עוד שני חבר'ה צעירים בתיכון ולפני גיוס, אחד מהם, עמיחי, מהחברה של dcg9723. בעת ההליכה עד לתחנה המרכזית, למדתי על החבר'ה האלה שהבריזו מבית הספר כדי ללמוד על תחום העניין שלהם, אבטחת מידע באינטרנט. מתחנה מרכזית קו 2 הביא אותנו לבינתחומי לחים ונלהבים ובאיחור מה.

אחרי "שלום-שלום" עם כמה מכרים וכמה קוראים של הבלוג שלי נכנסנו, אלעד ואני להרצאה של שי חן מהאקטיקס (החדשים, אחרי הרכישה של ארנסט-יאנג). הנה הקישור למצגת שלו. ההצגה היתה מעניינת. אני חושב שאני יכול לסכם את הרעיון במשפט הבא: אפשר לנצל מידע רגיש שנרשם בזכרון משותף לצורך התקפה באמצעות שימוש ב-race conditions. חן הראה כיצד הוא מצליח בשיטה זו לעבור מסך שדורש שם משתמש וססמה גם ללא ססמה על ידי גלישה במקביל לדף ה-"שכחתי ססמה". לכאורה, גם במקרים שבהם לנצל את ה-race condition קשה מאוד כי ה-race קיים רק לשבריר שנייה, גם אז אפשר לנצל בהצלחה את השיטה -- חן הציג ודן בשיטות מגוונות להאריך שבריר שנייה זה לזמן ארוך יותר ומשמעותי מספיק כדי לבדוק האם ההתקפה יישימה ואם כן, לבצעה. המשותף להצעות לקבל "תוספת זמן" היה התקפה אלגוריתמית, אך לא בכוונה  לבצע Denial of Service אלא דווקא להשאיר את השרות עובד -- הרי המטרה היא לנצל את ה-race. הפתרון להתקפות מסוג זה בצד הפיתוח הוא לא מפתיע:

  • להמנע מ-race ולעבוד מסודר
  • לא לכתוב מידע רגיש בזכרון משותף
  • לא להשתמש במודל חישובי חזק יותר מהנדרש (למשל, אם רוצים ביטויים רגולריים, אז כדאי להשתמש במנוע רגולרי במובן המתמטי, כזה שמבטיח עיבוד בזמן לינארי באורך הקלט, אגב, למפתחים מתעניינים יש מאמרים יפים של ראש קוקס על כך ב-http://swtch.com/~rsc/regexp/,  ולא במנועים כלליים כמו pcre, שאינם מבטיחים ריצה לינארית באורך הקלט ונתונים להתקפות אלגוריתמיות דיי בקלות, למשל לפי המתואר ב-http://en.wikipedia.org/wiki/ReDoS, אבל לא רק...).

ההרצאה הבאה היתה של יותם הר-חול. הוא הציג עניינים שקשורים לפיתוח מנוע חתימות לזיהוי חדירה (intrusion detection system) מבוסס אלגוריתם אהו-קוראסיק. לא מעט מהנושאים שהוצגו, אם לא כולם, הם מנת חלקו של כל מפתח שהיה צריך לבנות מנוע יעיל מסוג זה. לא הבנתי מדוע החידושים שהוצגו הם חדשים (אולי באקדמיה הם חדשים, בתעשייה, הדברים הללו נעשו כבר, אני יודע שאני עשיתי דברים כאלה ועוד אחרים במימוש שלי למנוע החתימות של ה-ASM של F5 שפיתחתי). יחד עם זאת זה חיובי שבאקדמיה דנים בנושאים הללו ומפרסמים דברים שאחרת לא היו רואים אור. זה כנראה יחסוך למפתחים בעתיד שימצאו את עצמם "ממציאים את הגלגל" -- במקום זאת יוכלו להיעזר במסקנות של העבודה הזאת ודומות לה.

בהרצאה הבאה עמרי ויסמן מ-IBM הסביר על glass-box testing. המצגת וההרצאה היו ממש מבוא בסיסי. הנה המצגת. אין חידושים והמצאות, מלבד אולי הידיעה שב-IBM השקיעו מחשבה ופיתוח כדי לארגן את הנושא במוצר מסודר.

הכריכים, הירקות והפירות בהפסקת הצהריים היו טעימים ונחמדים מאוד. כל הכבוד למארגנים.

ההרצאה של איירין מ-Seeker security (מי שפעם היו האקטיקס) היתה מכוונת לקהל שונה לדעתי מהקהל שנכח בכנס. נדמה היה לי שהפאנץ' היה ש-pen testing זה קשה ולא פשוט. אולי לא ירדתי לסוף דעתהץ לא היה ברור לי מה ניסתה לחדש ובמה חידשה לקהל. היא הסבירה בהתלהבות ונתנה דוגמאות, אבל נדמה היה לי שההרצאה היתה יותר מכוונת לעסקים שמזמינים עבודות של pen testing ופחות למקצוענים שכבר יודעים במה מדובר וציפו להרצאה טכנית יותר או עם יותר סיפורים אמיתיים מהשטח עם דוגמאות מעמיקות יותר. אם המטרה היתה לתת ללקוחות פוטנציאלים להבין את המקצוע בפרופורציה ולאזן את הציפיות שלהם בהתאם, אז זה כנראה השיג את המטרה. אם המטרה היתה שונה, כנראה שהחמצתי אותה. הנה המצגת.

ארז מטולה, כרגיל סיפק את הסחורה ונתן הופעה. הוא הסביר שפיצוח קריפטוגרפיה שהוכיחה את עצמה אינה משימה קלה ואינה דרך המלך להתקפה כשהמחסום הוא קריפטוגרפי. ארז סקר והציג מגוון שיטות ידועות לעקוף קריפטורגפיה ולנצל חוסר הבנה של מממשים של פתרונות אבטחה. בוירטואוזיות רבה הדגים באופן חי ארז איך אפשר לנצל מקרים של חוסר הבנה במימוש וחוסר הבנה בקריפטוגרפיה כדי להשיג בקלות מידע רגיש וכדי להשיג בקלות גישה למערכות. השימוש הנפוץ ביותר היה בזוגות של clear-text ושל cipher-text להשוואה תוך הסקת מסקנות באיזו שיטה היה נסיון להצפין או לערבל. הדיאלוג עם הקהל והקסם הצליחו יפה בעיני. הוא מציג מוכשר. אני מקווה שהוא יסכים להגיע לאאוטבריין ל-tech-talk ויראה לנו דברים מעניינים על java ועל דברים אחרים שרלוונטיים לשרות של אאוטבריין. הנה המצגת.

ההרצאה של עופר שיזף ושל איל פינגולד מ-HP היתה על REST ולא חידשה (לי) דבר -- כנראה שיש בה לשפוך אור על הנושא למי שאינו בקיא בחומר, אבל לכל מי שעסק בנושא, לא היה פה שומדבר חדש לשמוע.

חתם את ההרצאות עדיש (עדי שהרבני) שנתן הופעה יפה מאוד והדגים חי שימוש ב-JavaScript לייצור התקפות שמנצלות פרצה שהיתה בדפדפנים בניידים חכמים. הנה המצגת. אגב, השימוש ב-Prezi היה מוצלח -- פורמט יפה ומעניין ומושך למצגות. ההדגמות החיות וההסברים אפשרו למי שלא ידע או שלא הבין מספיק עקרונות של Same Origin Policy ושל Persistence. נהניתי מאוד מההדגמות ומההסברים. כל הכבוד על ההצגה המעניינת. השוויץ שלו עם JavaScript עובד בכל פעם! :-)

שמחתי לפגוש מכרים שפוגשים בד"כ רק בארועים מסוג זה. הייתי שמח לראות הרצאות הרבה יותר טכניות והרבה יותר hands-on אבל אולי בשביל זה יש meet-ups קטנים יותר לקבוצות עניין ממוקדות יותר.


גוגל בפרסום אגרסיבי לגוגל+



איזה קטעים עם הגוגל האלה -- לא רוצים שאחמיץ את הגוגל+ (אז אולי שיבצעו אינטגרציה טובה עם יוטיוב ועם גוגלרידר...) -- אז ציירו לי חץ ענקי...