Security BSides Warsaw dzień 2 ścieżka 1
Show transcript [pl]
to Dzień dobry wszystkim jeszcze raz Witam państwa serdecznie Nazywam się Grzegorz Tworek Zawodowo zajmuję się głównie bezpieczeństwem Windowsa zawsze mam ten komfort że trafiałem na pracodawców gdzie wąsko Wąska wiedza z mojej strony była potrzebna Co dało szansę ześć głęboko obszarach [Muzyka] ciekawe rzeczy czasem znajdować to jest trochę obok tematu dotyczy bezpośrednio pisania złośliwego kodu Ja lubię kodować dla przyjemności nigdy nie robiłem tego zawodowo może tam poza drobnymi jakimiś zadaniami w czasach przed stałą pracą systemy rezerwacyjne dla domów czasowego inne takie rzeczy ale to dawno temu w każdym razie czasem lubię pisać kod stwierdziłem że napiszę kod który będzie się bawił z antywirusami trochę ze względu na zawodowe potrzeby trochę ze względu na ciekawość na początku to w
ogóle projekt tak się nazywa folder na githubie w moim repozytorium troll antywirus się nazywał bo to było raczej próba bawienia się z antywirusem więc ta pierwsza wersja którą napisałem była skrajnie prosta był kawałek kodu który pobierał swoją kopię z internetu a następnie odpalał jako proces potomny który pobierał swoją kopię z internetu i odpalał jako proces potomny byłem ciekawy Po jakim czasie antywirusy zorientują się że się kręcą w kółko i robią tylko głupie rzeczy zamiast bronić mój komputer tak naprawdę wersja pierwsza od drugiej różniła się tym czy proces rodzica umierał po uruchomieniu procesu potomnego czy nie czyli zajętości pamięci w efekcie i zasobów komputera przede wszystkim natomiast bardz szybko orientują się że to jest ten sam plik wykonywalny chociażby po
jego haszu No jest to ten sam plik nie jest bardzo trudno zobaczyć jak zostanie dodany przez kogokolwiek do definicji antywirusowych No to też jest z głowy po prostu się więcej nie pobierze dlatego wersja trzecia którą popełniłem stwierdziłem że będzie się różniły te pliki wykonywalne będą się różniły hasem format port szczególności ma to do siebie że na jego na końcu pliku Można dokleić w zasadzie dowolną ilość losowych bajtów i nie wpłynie to w żaden sposób na działanie pliku wykonywalnego więc jeżeli napiszę sobie mechanizm który mi dokleja losowe bajty na końcu execa to ten ek Dalej robi to samo co robił do tej pory tyle że za każdym razem ma innego hasza no bo jest innym ekiem zrealizowanie tego troszkę
trudniejsze już było o tyle że nie mogliśmy mówić o statycznym pliku pobieranym web serwera to musiało być zrobione jakoś sprytniej ponieważ żyje w świecie Windowsa wybrałem rozwiązanie windowsowe czyli web serwer i wbudowany Windowsa który ma kilka mechanizmów rozszerzania go poczynając od tak starego jak web serwery mechanizmu CGI czyli CG to jest skró co do zasady CG jest plikiem wykonywalnym jest uruchamiany przez web serwer i otrzymuje od web serwera wszystkie dane dotyczące zapytania które przyszło po webie i taki plik wykonywalny robi swoją magię i na swój output mówiąc po polsku wyrzuca zawartość która jest do odesłania z powrotem do pytającego więc jeżeli potrafię napisać execa który mi wygeneruje mój plik exe ten wirusowy plik exe i doklej mu na końcu parę
bajtów to Sprawę mam rozwiązan przy pomocy CGI rozwiązanie jest proste skuteczne wdzięczne trochę archaiczne i takie siermiężne ale skoro działa to to po co szaleć z czymś mądrzejszym ja podszedłem do tego w bardzo prosty sposób czy ja tego mojego oryginalnego exa czytałem z pliku na dysku po prostu do do bufora w pamięci o 4 bajty większego losowe bajty ustawiałem w tym ty czterech bajtach zapasu i odsyłał do pytającego tu się zaczęło robić troszkę więcej chętnych na pobranie tego pliku póki nie został zastosowany kolejny mechanizm które ż antywirusy do wykrywania Czym jest Dany plik bo antywirusy to producenci antywirusów chcieliby mieć Komfort blokowania tylko znanych plików niestety to tak nie działa więc każdy producent wirusa bardzo
chętnie opowie heurystyka mam wrażenie czasem to jest garść If nic więcej patrząc jak to wszystko działa ale są tam jakieś tajemnicze mechanizmy które pozwalają antywirusem zorientować się że coś jest złośliwe lub nie jednym z bardzo silnych mechanizmów które mamy do dyspozycji jako analizujący malware jest tak zwany imp chodzi o to że w czasie swojego działania program plik proces korzysta z zazwyczaj z pewnej ilości funkcji bibliotecznych udostępnianych przez system operacyj obojętne o czym mówimy to bardzo rzadko plik wykonywalny zawiera w sobie całość mechanizmów związanych z jego działaniem No nie nawiązuje sam Ja nie koduj pisząc plik który pisząc programik który pobiera coś z internetu Ja tam nie koduj stosu tcpip requestów po http i tak dalej ja mówię systemowi operacyjnemu z
tego URLA Pobierz plik Zapisz pod taką nazwą i wykonują to pewne funkcje biblioteczne systemu operacyjnego Zakładam że to jest oczywiste rzecz w tym to do jakich funkcji bibliotecznych proces sięga można w pewien sposób przeanalizować zebrać i wyliczyć z tego pewnego rodzaju funkcj skrótu jest to tak zwany imp czyli has importów i ta funkcja skrótu opisuje jakie funkcje biblioteczne systemu operacyjnego są używane i w jakiej kolejności może nie identyfikuje to jednoznacznie każdego złośliwego działania bo pytanie co się dzieje po drodze natomiast wiele podobnych scenariuszy realizowanych przez pewne pliki możemy bardzo łatwo zobaczyć że oney są identyczne na przykład w tym moim przypadku te funkcje związane były Pobierz Zapisz Uruchom i tak dalej ten imp był dość charakterystyczny i
trywialny można powiedzieć natomiast z całą pewnością nie zmieniał się w sytuacji kiedy dodawałem te kolejne losowe bajty na na końcu pliku No bo ten program cały czas działał w identyczny sposób więc wiedziałem że muszę się pokusić o zrobienie pliku wirusa który się będzie różnił między swoimi kopiami nie tam paroma bajtami na końcu które wpływają na H pliku i są na takim mocno binarnym tak naprawdę mało istotnym poziomie sprawiające różnice tylko muszę się pokusić o zrobienie pliku wykonywalnego który się będzie różnił zasadniczo podejścia tutaj są w zasadzie dwa podejście pierwsze mógłbym grzebać bardzo mocno w samym pliku exe są magicy którzy potrafią plik ex rozgrzebać na kawałki zrozumieć jak on działa poprzestawiać co się w nim dzieje w
środku złożyć go z powrotem I on działa tak jak działał tylko inaczej żeby tutaj dużo nie wymieniać w Polsce i to po żeńskiej części sceny it mamy jednych z najlepszych ekspertów od tego na świecie na przykład potrafiących zmieniać w DL żeby ją ładować jako dll bo jeżeli mamy application WH listing wdrożony na exi to mamy sytuację taką kiedy plik wykonywalny ex nieznany nie jest dopuszczony do działania a d Nie wujem Wystarczy że wtedy załadujemy taką dlk czymś znanym co jest w systemie i wszystko działa znowu to tak po co takie rzeczy warto robić A to pokazuje też że że można w zaawansowany sposób grzebać w exu Natomiast ja tego nie umiem więc podejście z którego
skorzystałem stwierdziłem że napiszę ten kod wirusa on i tak był już napisany w si i ja go za każdym razem będę od nowa
kompilować mu zapewnić to to rzeczy które on wyświetla na ekranie losowe prostym prem już wystarczyłoby żeby to było losowe natomiast losowe Urle ale dalej to nie miało wpływu na impas żeby zagrać z impas Ja wiedziałem że ja muszę podejść trochę głębiej i zrobiłem to prostymi define nami to jest kawałek podobnego kodu widać nie widać byłem pewny że mam zduplikowany ekran to teraz widać zakładam bo w c mamy tak zwane dyrektywy per procesora dzisiaj powiedzielibyśmy makra Gdzie możemy kawałki kodu opakowywanie
preprocesora to ten kawałek kodu jest włączany do kompilacji jeżeli nie jest zdefiniowana to on jest po prostu ignorowany i ja mam takich kawałków kodu dość dużo różnych i ja teraz sterując kompilatorem mogę na poziomie kompilatora powiedzieć skompiluj mi kod ze zdefiniowanym D5 D3 i D1 i te kawałki kodu zostaną uwzględnione a D2 i D4 nie zostaną uwzględnione te te fragmenty w D2 i D4 Teoretycznie można by to było w sposób bardziej zaawansowany zrobić taki elegan to znaczy napisać w dyrektywach preprocesora Makro generujące liczby losowe I automatycznie wkładają i wyjmują jakby to ten sam proces kompilacji będzie generował liczby losowe oczywiście na podstawie zegarka które będą włączać i wyłączać poszczególne fragmenty kodu natomiast takie rozwiązanie byłoby wolniejsze
bardziej złożone niepotrzebne ja wolę kompilatorowi powiedzieć co jest zdefiniowane co Nie on sobie sam połącza te kawałki kodu mógłbym też teoretycznie generować kod zawierający lub nie zawierający dane fragmenty ale znowu Poszedłbym w stronę nadmiernej ta metoda wydała mi się w praktyce najprostsza i kierując procesem kompilacji Ja wiedziałem że różne kawałki kodu wkładam albo wyjmuję do mojego kodu źródłowego więc one trafiają lub nie trafiają do wynikowego pliku wykonywalnego tutaj mam kawałek w którym Używam funkcji związanych zry w oryginalnym wirusie używałem funkcji związanych z SNMP i bek i SNMP są bardzo wdzięczne z mojego punktu widzenia o tyle że ja wiem że ja jeżeli dam im głupie parametry to one nic nie zrobią tylko natychmiast zwrócą błąd invalid parameter Proszę
zwrócić uwagę te wszystkie funkcje bpt one są akurat udokumentowane mają same zera jako parametry tylko jedyne o co się miałem musiałem zatroszczyć to odpowiednia ich ilość w większości funkcji bcrypt pierwszy parametr jest uchwytem do czegoś tam w zależności od funkcji jeżeli ja podaję parametr zero to znaczy nie mam ważnego uchwytu i ta funkcja pierwsze co robi to sprawdza czy uchwyt się w ogóle do czegoś nadaje już wewnątrz wykonania tej funkcji wiedziałem że każda z tych funkcji natychmiast zwróci mi błąd No ale tak daleko silniki antywirusowe nie idą one widzą była wywołana funkcja bpt or ktoś będzie szyfrowa a ja ją wywołałem tylko po to żeby sprowokować jakieś [Muzyka] zamieszanie okej czy ja będę w stanie do
tego racjonalnie wrócić nie To tak zrobimy więc ja włączałem wyłączałem te kawałki kodu to żeby było też bardziej ciekawie dla antywirusów stwierdziłem że nie będę używał stałego jednego URLA No bo to jest bardzo proste też do wykrycia tutaj podszedłem w sposób trywialny to znaczy u mojego providera DNS utworzyłem rekord gwiazdka Krka nazwa domeny i po prostu robiłem losowe nazwy domeny i i każda trafiała do mnie i tak a już się po nazwie domeny dało zrobić jakąś tutaj blokowanie Natomiast po nazwie hosta już niekoniecznie też to był stały adres IP więc tutaj nie było dużej filozofii ale właśnie nazwa domeny była tym co zostało zidentyfikowane przez część silników antywirusowych I co działało I coś takiego popełniłem i byłem ciekawy co się z tego
stanie nawet nie ja to opublikowałem później jeżeli chodzi o samo wyzwanie związane z kompilacją bo ja mówię postanowiłem kompilować execa przed na każde żądanie to brzmi poważnie i brzmi jak gruba operacja Trafiłem w internetach na program który się nazywa t compiler tcc bardzo wdzięczny kompilator On ma dużo magicznych mocy które w ogóle przekraczały moje potrzeby on potrafi na przykład kompilować kod C potrafi skompilować do swojej pamięci i go i tam zrobić jumpa i go uruchomić taki skrypt na turb dopalaczach można dzięki temu napisać ale dla mnie on generował eki Tu jest mój si ja go odpalałem testowo To jest mój test skompilowany się teraz musi obudzić więc on działa powoli ale jak już się rozpędzi się
skasuje co ma się skasować to cała kompilacja zajmuje 16 milisekund tego mojego kodu razem z plikami nagłówkowym 27000 linii kodu i zajmuje to 16 milisekund co wydaje się całkiem akceptowalne żeby to robić na każdy request webowy żeby dorzucić sobie czas właśnie milisekundy on jest szybki i on jest bardzo wdzięczny jest bezpłatny Nie zawiera żadnych mechanizmów optymalizacyjnych jest jednoprzebiegowy co w zaawansowanych zastosowaniach może być potraktowane jako wada dla mnie to po prostu szczyt marzeń że tam nie wejdzie żadna optymalizacja że mi te moje dziwne Defy ich nie wycina skoro one nic nie robią i tak dalej i tak dalej ciekawą cechą jest to że można go uruchamiać jako execa albo jako dll ładować z czasem dotarłem do wiedzy albo
przekonania że tylko jedna kopia na raz jest w stanie działać na komputerze bo inaczej robią się błędy nie wiem z czego to wynika przeanalizowanie nie mówiąc o poprawieniu kodu tego kompilatora przekracza moje możliwości i w sensie umiejętności i w sensie czasu więc zorientowałem się że tu mam problem I to może nie być dużym problemem jak ja mam 16 milisekund kompilacji odpalę ją raz drugi piąty 10 Jak odpalę 1000 na raz to już się tam Zaczynają dziać w co którymś jakieś dziwne rzeczy potknąłem się o to w którymś momencie musiałem zacząć się bawić w serializacji wykonania co mi spowolnił zabawy więc całość połączyłem w ten sposób że na iie stworzyłem moje CGI które odpala kompilator kompiluje kod i odsyła
skompilowane execa do pytającego stwierdziłem że będę sobie to
kompilować w mechanizmie kasujący te pliki Ja wiem że to jest trywialny jakiś błąd prawdopodobnie ale ale potem się potknąłem o to zajrzałem do tego folderu Ojej nie potrzebuję ich zbierać ale miałem ich sporą kolekcję w którymś momencie jeżeli chodzi o techniczne rozwiązanie Ja po prostu ustawiłem sobie to CGI jako obsługę błędu 404 dzięki temu ja mogłem o dowolną nazwę pliku poprosić z mojego wirusa żeby mi ściągnął plik ABC albo DEF i za każdym razem ten kompilator się uruchamiał i tworzył plik więc ja mogłem generować losowe nazwy plików i robić requesty o losowe nazwy plików co jeszcze utrudniało jednoznaczną identyfikację że ten a jak widziałem potem że na przykład analitycy pobierali dodając kolejne literki i dalej się pobierał No czary
404 dobrze jak to zaczęło działać to w którymś momencie skala tego zaczęła dla mnie być fascynująca mówiąc delikatnie zastanawiająca przytłaczająca tak naprawdę w którymś momencie i trzeba było zacząć się bawić w jakieś zoptymalizowanie tego wyrzuciłem ruch na wirtualki mówił troszkę o to żeby to działało na dedykowanym adresie IP żeby tam tylko było zacząłem przeglądać Logi żądań do mojego web serwera i blokować takich nadmiernie żych to też wynikało z tego to blokowanie Dlaczego uważałem że To jest fair wobec tych antywirusów którymi się tak brzydko bawię dlatego że nie chciałem zabić komputera który analizuje ten mój kod uruchamiając się uruchomił uruchomienie nowego wątku w już istniejącym procesie jest pomijalnie małym obciążeniem więc tworzenie nowych wątków w istniejących
procesach jeżeli tylko potrafię to zrobić i umiem zadbać o porządek w tym wszystkim jest dużo szybszym rozwiązaniem niż powoływanie nowego procesu do życia Dlatego przesiadłem się w stronę isapi drugiego z trzech mechanizmów rozszerzających web Server trzeci to jest f CG i sapi ładuje moją dlk to znaczy web serwer ładuje moją dlk które ma kod a ja z mojej dll ładowałem dll tcc i w ten sposób kompilowania nowych procesów potomnych co mi znacząco przyspiesza pracę to co się wydarzyło w efekcie exa tcc umie kompilować kod 32 bitowy z dll ja nie potrafię więc jakby stwierdziłem trudno nie będzie 32 bitowego kodu jakoś to przeżyje co ciekawe ten sam kod 32 i64 bitowy wygenerowany identyczny plik wykonywalny
o identycznym działaniu w systemie Windows ma drastycznie różne oceny w Virus totalu Żeby było ciekawiej 32 ly kod jest znacznie częściej wskazywany jako potencjalnie niebezpieczny to mnie zastanowiło tak w ogóle kiedyś zastanawiałem się nad zestawem przepisów dla piszących wirusów jak wirusy jak to zrobić żeby było naprawdę źle z takim wirusem 32 bitowy kod Po pierwsze bo tego nikt nie umie analizować ze współczesnych narzędzi włącznie z systemowymi narzędziami No nikt oczywiście trochę przesadza mi koloryzuje ale automaty do analizy kodu bardzo Dziwnie się zachowują na 32 bitowym kodzie bo włącznie na przykład jest polecenie tasklist m slm w Windowsie które wyświetla załadowane dll do każdego procesu wystarczy temu windowsowy narzędziu wskazać 32 bitowego execa i zupełnie z głupie i pokaże
absolutnie nieprawdziwe dki więc o to się możemy potknąć druga rzecz którą bym sugerował twórcom wirusów używać dziwnych znaków w nazwach plików w szczególności emoji windowsowi to nie robi różnicy powodzenia w narzędziach skryptowych innych takich które trafią na emoji trzecia sugestia z takich może jeszcze prostych którą zwykle wymieniam używać ścieżek dłuższych niż 260 znaków bo to jest coś co znowu Windows sobie poradzi a absolutna większość narzędzi analitycznych zakładając bufor na ścieżkę do pliku wykonywalnego używa systemowej zmiennej Max podkreślenie paw która istnieje odkąd istnieje Microsoft i zawsze ma 260 znaków i to jest rozmiar bufora na ścieżkę a Windows bardzo chętnie nie przygarnia ścieżki do 32 KB i już wystarczy żeby się nie mieściły w buforach narzędzie analizujących to co
się dzieje czytających Logi emoji mają ciekawy też aspekt związany nawet z samym Windowsem związ vize nie umieją w emoji w efekcie jak sobie zrobimy plik którego nazwa się składa z samych emoji można próbować to jest legalne i go odpalimy to w logu jak zobaczymy w event Viewer dane związane z takim plikiem zobaczymy kwadraciki No to co zwykle widzimy w takich sytu i to nie jest tak że Windows nie umie w emoji jako znaki umie idealnie ten font którego używa event vier nie umie w emoji jak ja Sob zrobię Copy p tych kwadracików i wkleję do Worda to ja mam te emoji z powrotem ale już wystarczy żeby taka wizualna analiza coś Pogubiła No i różne inne
narzędzia jeżeli chodzi o optymalizację miałem przymiarkę do RAM dysku żadnych zysków na tym nie było to nie na f systemie się wkładałem mówiłem o tym że ja kompiluje ten kod z plikami nagłówkowym wziąłem takie do tcc gotową bułę header Windowsa i z tym kompilować co trzeba trzeba przeczesać linę po lin przeczytać i zrozumieć więc z plikami nagłówkowym ten mój parolin nowy wirus razem miał 120 000 linii kodu co wpływało na prędkość kompilacji byłem w stanie te pliki nagłówkowe po przerabiać porze bić w tym co jest importowane co nie jest importowane i zejść do 27000 linii kodu pewnie dałoby się dalej nie próbowałem Nie wydaje mi się że żeby to już były bardzo poważne zyski Natomiast tutaj
byłem w stanie to doopy [Muzyka] malizia optymalizacyjnych próbowałem żonglować z Affinity CPU czyli których rdzeniach procesora Wykonywane są operacje w przypadku bibliotek uruchamianych iasa i procesów w ten sposób uruchamianych to nie jest takie trywialne ale też mało to było spektakularne w efektach chociaż na końcu tego używałem też podszedłem do Time outów dosyć brutalnie bo to jest tak jak mi przyjdzie na raz 1000 requestów to one stają w kolejce ja zaczynam obsługiwać pierwszy Potem drugi i tak dalej i tak dalej jeżeli dotrę do ostatniego nim upłynie mój wewnętrzny timeout na obsługiwanie requestów to ja go kiedyś obsłużę pytanie Czy przypadkiem nie upłynął timeout po stronie klienta bo mógł ja dziarsko skompiluj kolejny raz 27000 lin kodu na które nikt nie czeka
więc jakby zacząłem tym Time outem też żonglować w taki sposób żeby wyrzucać rzeczy które mnie nie interesują No trudno nie zdążyłem skompilować nim się klient interesował Wywalam to z kolejki przynajmniej obsłużę w racjonalnym czasie to co przyjdzie do niej później takie brutalne ale stwierdziłem jak mi się przepełnia kolejka No to trzeba wybierać kogo obsłużę wolę tego kto aktywnie czeka tutaj też mądre zarządzanie recycling recycling to jest w Microsoft web serwerze w iie mechanizm restartowania procesów związanych z w3wp worker ww worker process które odpowiadają za generowanie kodu też ich zrestartowanie automatycznie uwalnia część pamięci było coś co też pomogło mi tam parę procent dostać no i wspominałem że źle napisałem mechanizm kasowania plików które generował po to żeby je
wysłać więc do optymalizacji chyba też trzeba dodać to że w którymś momencie zobaczyłem że wskaźniki mi spadły na zero zajrzałem co tam na moim serwerze a patrzę Dysk jest pełny pod korek się zapełnił tymi wirusami więc zacząłem je ręcznie kasować też fragment optymalizacji żeby być żeby sobie strzelić w stopy nie zrobić krzywdy samemu sobie nie mówię tutaj nawet o odpowiedzialności formalno prawnej i tak dalej za takie rzeczy bo jakby nie po to o tym opowiadam żeby się równocześnie chować że coś takiego zrobiłem ale wykupiłem dedykowany adres IP za całe 7 zł żeby to na nim uruchomić żeby jak on wpadnie na wszystkie możliwe czarne listy świata to powiem Ojej trudno nazwę domeny losowo wygenerowałem ona jest taka że mało
znaczy nie podejrzewam nikogo że ją wpisał przypadkiem Ja bym w Totka wtedy zagrał Zastanawiam się co zrobić z certyfikatem wygenerowałem jakiś certyfikat żeby sandboxy mogły zobaczyć że jest nawet jeżeli jest nieważny używałem losowego hostname to mówiłem że gwiazdka w DNS ja jestem przekonany że mój prajer myślał że jest dosowe w jakiś sposób No bo dostał dużo requestów o absolutnie głupie nazwy z jednej z domen ale od tego jest providerem DNS żeby takie rzeczy umieć unieść i wydaj że umiał unieść w kolejnej wersji przeniosłem obsługę dnsa do siebie będę o tym Jeszcze wspominał i mój provider internetu u które przez siebie przepuszczał ruch związany z rozwiązywaniem tych DNS przysyłał mi czułe maile jesteś atakiem objęty ddosem
uchroni miy ci i zablokowaliśmy część ruchu na Dzięki to co też wdrożył tam może to jest kawałek optymalizacji może to jest tutaj zabezpieczenie to ciężko opowiedzieć w iie istnieje mechanizm Dynamic IP restrictions który opiera się na tym że jeżeli requestów o danym charakterze przyjdzie w jednostce czasu zdefiniowanej przeze mnie więcej niż ilość zdefiniowana przeze mnie to na różne sposoby te requesty po prostu nie są obsługiwane znaczy mogą nie być obsłużone na różne sposoby znaczy ja mogę po prostu zdropsowany
ja dzięki temu miałem w logach te moje 403 502 może to trochę więcej ruchu generowało ale dawało mi lepsze ślady niż i też trochę jaśniejszy przekaz do klienta dlaczego życzenie nie zostało obsłużone to nie że się mój serwer wywalił tylko odpowiedział tych klientów nie obsługujemy dobrze po stronie antywirusa Teoretycznie mamy heurystyk tutaj różne były dzwonki alarmowe domena której ja to serwował była w miarę świeża taki bardzo ładny dzwonek alarmowy certyfikat był w miarę świeży mój wirus tworzył eka na dysku kolejna czerwona flaga ze względu na użytą funkcję API nie miałem bo ja tam używałem się nie mylę jest taka bardzo prosta funkcja systemowa weź plik stąd Zapisz go tu z internetu jednym wywołaniem Tylko się
nie ma żadnych parametrów w tym referer w tym user agenta i całej masy innych rzeczy które normalnych request mamy Ja widziałem po antywirusach że jednym z tych Red Flag jest właśnie to że są requesty o plik nie ma referer to nie jest to że ktoś wszedł na stronę i zobaczył Pobierz plik bo wtedy by się pojawił z przeglądarki referer tylko to po prostu nagle się pojawiło żądanie do weba i nikt nie mówi Skąd się wzięło i po co ono jest kolejny Red Flag procesy potomne Czyli mamy coś co potencjalnie jest groźne i widzę tworzy mi to procesy potomne Jest to kolejny Red Flag żonglerka x64 32 wspominałem o tym jak to wygląda w praktyce z tych
wszystkich zaawansowanych ambitnych technik że co bym nie napisał to tak naprawdę nazwa domeny była wykrywana żeby nie być gołosłownym tu jest to jest ta domena tutaj widać jej nazwę jakby ktoś sobie bardzo ten serwer jest wyłączony w tej chwili tak ale widać że 10 wdów To jest mój jednorazowy adres IP tutaj też widać 177000 subdomen zarejestrowanych przez Virus totala nazwy domen wyglądają w ten sposób jak tutaj widać nie trudno się domyślić że to data i czas były wykorzystywane chociaż to jest data i czas po stronie klienta co nie znaczy że prawdziwe i w bardzo wielu przypadkach klient na zegarku też odszukuje nie tylko na [Muzyka] budziku tutaj mam pliki które się z nim komunikowały znowu widać dużą liczbę
plików bo one miały różne nazwy różne hasze i tak dalej I to w ten sposób działało jeżeli chodzi o to co wus Total o tym wieus Total ma możliwość malowania grafów i potrafi to rozm malować Ale jak sobie kliknę na tej mojej domenie to widać że Virus Total wie o jej subdomen de facto każde pobranie było subdomen każde uruchomienie wiązało się z subdomen jak to antywirus analizował część z tych danych trafiła do totala to że to tak działało to nie żadna magia to co mnie bardziej zastanowiło w którymś momencie to że wirus Total 3 i p milionach tych domen i takie zaraz to znaczy że antywirusy 3 I5 miliona razy to uruchomiły i zaraportować
gdzieś dostępna ile Virus Total ma domen w swojej bazie ale jeżeli ja jedną akcją kilkudniową dorzuciłem do tej puli 3 I5 Miliona i nikt tego w ogóle nie zauważył bo pewnie by to wyciął albo coś zrobił to ta liczba chyba jest pokaźna ale A chyba zostawili w jakichś celach edukacyjnych zauważyli stwierdzi a zostawimy dla potomności nie wiem wracając do do tego co jest ciekawe w którymś momencie jak to się zaczęło dziać ja na moim web serze zbierałem Logi i stwierdziłem może by pora w te Logi popatrzeć zą też w którymś momencie zacząłem dojrzewać do decyzji pora wyłączyć nie chodzi o zrobienie krzywdy całemu światu i podpalenie internetu tylko chodzi o jakąś tam wartość eksperymentalną miesiąc zbierania danych
mi wystarczył zupełności Trzeba było te Logi w jakiś sposób przeanalizować a ich było 7 Gig może nie jakaś straszna ilość ale jeżeli mnie interesują Wyświetl mi wszystkie p które miały 403 502 bo były dropy ze względu na na zbyt dużą częstotliwość requestów No to to już się robi coś do przeczesanie użyłem do analizy tego w tym konkretnym przypadku lck parsera Lock parser jest bezpłatnym narzędziem Microsoftu Command lowe narzędzie w którym w commandline nie wklepuje składnie taką jak w sqlu mniej więcej I mówimy from i podajemy folder z logami i on analizuje te Logi tak jak trzeba i robi to dobrze szybko może nie jest trywialny w użyciu trzeba się z nim przez parę godzin poos
waja żeby zrozumieć co możemy czego nie możemy dobrze umieć w SQL natomiast Poza tym ma same zalety koło 100 MB logów na sekundę przetrawi czyli około pół miliona zapytań pół miliona wierszy w logach jest w stanie na sekundę przetrawić to jest niezła wydajność natomiast przy 7 Gig i 30 milionach linii w dalej mamy do 90 sekund na zapytanie to jest powód dla którego tej analizy nie wykonuje live tylko posługuje się screenami jeżeli chodzi o screeny to tak po pierwsze stwierdziłem że dopytam o adresy IP i ile tutaj też widać składnie log parera ile z danego adresu IP mam zapytań i trafiłem na adresy IP z których miałem po tak jak rekordziści 800000 zapytań to jest niezły
wynik ja mówię o logach ja nie wiem o co to było za pytanie na pewno I to potem jeszcze pokażę miałem do czynienia z przypadkami w których ktoś zobaczył adres IP na którym coś się dzieje więc odpalił tam tym skaner bo takich skanerów automatycznych pojawił się nowy URL gdzieś tam ktoś o nim przebąkiwać
poszukam właśnie tych adresów IP Tak wygląda lista adresów IP widać że mam 31 milionów linii przeczesanie to 113 sekund no i i mam właśnie te ilości requestów przy czym to drugie zapytanie to tutaj jak widać ur like proc exe to znaczy to są zapytania o zeki stricte to nie jest skaner który phap czesze natomiast już widać że te liczby są w wielu obszarach zauważalnie mniejsze no i ten ranking się trochę zmienia jeżel patrz to pobierał eki jak to po prostu coś z mojego web serwera czesał moje 403 502 Tak wygląda statystyka 3 miliony requestów czyli koło 10 proc Odrzuciłem bo były zadawane zbyt często tak to w praktyce wyglądało wszystkich zapytań wszystkiego razem do mojego web
serwera trafiło 31 milionów No i tyle on obsłużył koło miliona requestów dziennie z czego wynik może nie jest spektakularny ale nie zamierzam go ukrywać mniej więcej połowę udało mi się odpowiedzieć poprawnie bez Time outów ktoś jeszcze czekał na ten wynik bez błędów nic się nie wywaliło No poprawnie obsłużył połowę z tego co może nie jest powodem do dumy ale nadal to jest 15 milionów poprawnie wykonanych kompilacji więc coś czym czym można się chwalić średni czas wyszedł mi żałośnie niski ja się mogę chwalić znaczy się mogę tcc chwalić 16 milisekundami średni czas responsa który mam w logach zanotowany to są 34 sekundy głównie ze względu na serializacji mówiłem nie co z tego że mi tcc w 16 milisekund kompiluje jak ja
mogę odpalić tylko jeden na raz bo inaczej mam błędy Tu akurat nie chwalę tcc więc ja je muszę poukładać sobie w kolejkę i obsługiwać jeden po drugim z całym backendem związanym z z odesłaniem tego do klienta zapisaniem na dysku i tak dalej więc jak się robiły kumul duże kolejki to było to bolesne No i 34 sekundy na średnio na odpowiedź wypadały co czasem nie jest specjalnie spektakularne widziałem duże adres duże liczby w adresach IP ale też zauważyłem pewne klasy że one są podobne Więc kolejne zapytanie dotyczy klas adresów IP tutaj się posłużył klasami w sensie 24 bitów maski i też widać jakiś takich wiodących że wprawdzie w adresach poszczególnych te liczby nie były aż tak duże ale jak
patrzę to z tej klasy na przykład było 10 różnych adresów IP i każdy z nich pobrał coś co było poniżej radarów tych rekordzista HP natomiast jak patrzę na klasy to widzę takich pacjentów którzy po po prawie 2 miliony z jednej klasy ktoś tego pobrał po coś oczywiście mówiłem o tym że mam mniej więcej połowę przypadków sukcesu udanego oddania pliku wykonywalnego vlogach w przypadku ia jest jakaś tam informacja o tej drugiej połowie i zrobiłem sobie statystykę po błędach które Windows popełnił przy oddawaniu tego pliku duża część z nich jest Time outów część jest jakiś takich jakby ktoś ten kod błędu Który z pierwszej kolumnie próbował rozszyfrować mogę opowiadać A mogę pokazać CMD jest mój CMD już go zdążyłem
zgubić nethelp msg 64 dla tych prostych błędów właśnie tut nie mam drugiego końca nethelp msg 121 Sema for Time i tak dalej i tak dalej 2 3 6 te błędy nie są bardzo jakieś wyszukane daje się rozszyfrować tych numerków dość łatwo neel msg pomaga tam jest taki w poleceniu nsg wyszukany algorytm o których błędach on coś mówi o których nie mówi jak potrzebujemy bardziej uniwersalne narzędzie do rozwiązywania numerów błędów ono UM mnie w takie błędy minus 1500 1900 heks nie wiadomo jakie cuda ceru minus error weźmy 1 2 36 żeby pokazać że to to samo i on o nim potrafi coś opowiedzieć ten c jest lepszy niż msg do tych net Help msg się nadaje a
dla pozostałej ludzkości Google Network znaczy Windows error dojdziemy do tego samego na końcu Okej więc te błędy się oczywiście pojawiały widać że ich było niemało No mówię połowa była sukcesem zobaczyłem vlogach w którymś momencie informacje która mnie zastanowiła jak bo przeglądanie 7 Gig logów oczywiście nie jest czymś co się robi ręcznie ale to kto by sobie nie chciał posk i i z informacji które mnie tam zastanowił było na przykład to że zacząłem zauważać user agent mówiłem że mój wirus nie używa user agenta bo używa zbyt trywialnego sposobu pobrania pliku z internetu żeby użyć user agenta więc jakby skąd user agent 42000 zapytań miało user agenta ktoś po drodze coś pokombinować Ktoś próbował jakieś dziwne rzeczy robić
Nie wiem czy sposób zautomatyzowany czy próbując dojść do tego jakieś ręcznej analizie nie wiem 4 przypadków może w całym wolumenie nie jest bardzo dużo no ale nadal to są 42000 takich przypadków tak samo zauważyłem I tu liczba już była pokaźna bo to powyżej miliona referer No ja tym referer nie byłem to nie mój kod ktoś go prawdopodobnie wstrzelić w samo zapytanie jakieś Proxy po stronie sandboxa dodało referer do zapytania żeby lepiej poosiowy gadnsk
ni rekordow to są chyba wszystkie bo nie widzę tutaj w składni żeby było inaczej więc takimi rzeczami próbowali oszukiwać mojego antywirusa nie to żeby on się tym mojego wirusa nie to żeby on się tym przejmował ale ale próbowali co jeszcze różnych zapytań które zostały zadane to też bardzo ciekawy wynik widzę 15 milionów 300s ja mówiłem że mój kod generuje za każdym razem nową nazwę nowy host i to żąda A z 30 milionów zapytań ja widzę 15 milionów unikalnych zapytań Co oznacza że część z nich się powtarzała już pomijam to że tam Ktoś wszedł na Ruta domeny zobaczyć co tam co tam za strona pod tym stoi oczywiście żadna nie stała ale zauważyłem zacząłem szukać głębiej niemała ilość zapytań jest jakby
powtórzeniem to znaczy ktoś pobra i ktoś inny nie wiem Jakim mechanizmem czy tam człowiek pod spodem stoi czy dodatkowe jakieś automaty wziął ten sam plik jeszcze raz pobrał i próbował analizować jakby nie uruchamiał sam pełnych ścieżek tylko brał dane z jakiś repozytoriów zamiast je samodzielnie otrzymywać większość tego wszystkiego była zapytaniami legalnymi znudziło za to skanery zaczęły bawić po 21 dniach od rozpoczęcia zabawy ta statystyka wyglądała w ten sposób że w ciągu jednej doby miałem 800 000 zapytań o mojego eka i ponad milion zapytań o rzeczy niebędące ekiem czyli te zapytania w żaden sposób nie mogły być wynikiem działania mojego mojego wirusa one pochodziły z jakichś innych mechanizmów ktoś coś tam odpalił albo coś się odpaliło na początku Działania
te proporcje były dokładnie odwrotne miałem 400 000 zapytań o execa i 100 000 140 000 zapytań o z automatów jak zobaczyłem że te proporcje zaczynają exec jest małą częścią tego o co jest pytany mój web serwer a inne rzeczy których tam nie ma zaczynają dominować stwierdziłem pora to wszystko wyłączyć i tak zostało Natomiast co ciekawe jak włączę ten serwer w tej chwili bo to jest wirtualka jak ją odpalę to te zapytania tak po paru sekundach zaczną przychodzić i zacznie znowu coś pukać to to jest przecieka zjawisko typowe zapytania nie będące znaczy będące też się załapały które mi się powtarzały oczywiście pytania o Ruta tam wszystko było w ścieżce V4 więc widać takie rzeczy ikon robot z TXT klasyki ale
login PHP już w żaden sposób nie wynikał ze sposobu działania mojego wirusa to ewidentnie skanowa aktywność No i eki były po kilkadziesiąt razy pobierane takie topowe łącznie zapytań o zeków miałem 20 eki 20 milionów w tym wszystkim ciekawą statystyką którą też się podzielę obiecuję że to już się zbliżam do końca jest ilość adresów IP bo o eki Jeżeli ktoś pyta o eka No to jakoś tam jest skojarzony z antywirusem albo sanbox prawdopodobnie No bo wi że to w ogóle mówimy o exec 69 000 adresów IP i to jest dla mnie liczba dosyć fascynująca to znaczy jeżeli coś odpal opublikują państwo pik wykonywalny w internecie to za 69000 adresów IP ciężko zgadnąć ile tam jest komputerów No bo Naty w przyrodzie
występują stoją jakieś automaty które go zechcą odpalić to jest to jest trochę dla mnie przytłaczające Łączna ilość adresów IP które się raczył odezwać do mojego serwera z losową nazwą to jest powyżej 125000 adresów IP jak wystawią państwo web serwer do internetu i ktoś się o nim dowie należy się spodziewać powyżej 100000 adresów IP które zechcą się do niego odezwać bo coś nie znam motywacji która za tym stała S dla mnie liczby które troszkę No przytłaczają może nie przerażają ale przytłaczają nauczony doświadczeniami wersji czwartej to jest zajęło mi parę miesięcy żeby się za to zabrać żeby ochłonął zapał po wersji czwartej na tyle żeby pojawił się głód wersji piątej są państwo pierwszą grupą Która widzi coś o wersji pi
pokazane artykuł się powinien w czasopiśmie frak pojawić w sierpniu na ten temat takie czasopismo się śmiesznie reklamują bo mówię zaczynaliśmy w czasie kiedy ciężko było znaleźć informacje a teraz są czasy kiedy jest informacji za dużo ale frak zawiera t co trzeba oni wychodzą piszą o takich rzeczach i wychodzą od 85 roku w wersji piątej postawiłem na skalowalność przede wszystkim wszystkie te generatory wirusa kompilatory postawiłem za Rivers Proxy riv Proxy stał na i on odsie cały ten chłam w zapytaniach zostawiając faktyczne zadania kompilacyjne rozrzucane przez na cztery wirtualki które stały na tym samym hoście i to taki entry level host 32 Gig RAM więc żadne szaleństwo w samych zapytaniach zacząłem przesyłać więcej informacji stwierdziłem że nie będę robił zagrań trywialnych
typu znak zapytania RAM rów 100 pu rów 200 i nie będę tego podawał w query No bo to będzie zbyt ordynarne ja to podawałem w ścieżce w samym Uri czyli było Slash coś tam coś tam SL coś tam coś tam i w tych segmentach przesłałem tą informację ja sobie potem po stronie mojego Reverse Proxy i po stronie już tych mechanizmów kompiluje informację z logów to potem byłem w stanie wyczesać i na końcu zaimportować SQL mam takich około 20 milionów rekordów sqlu cały czas to analizuję na różne dziwne sposoby jeszcze ale w samych zapytaniach używam user agenta rozróżniającym execa kiedy nie jest bo własnego user agenta mam o wersji systemu coś widzę o ramie wolnym i
dostępnym też skonstruował te ścieżki w taki sposób żeby być w stanie dotrzeć do tego jakby Jak wygląda drzewo procesu którego Wynikiem jest zapytanie o tego URLA i ten proces na rekordowych w rekordowych tych drzewkach trafiłem na sandboxy które miało 8000 procesów potomnych uruchomione w ramach Pobierz Uruchom proces potomny i tak dalej w tej wersji ja nie kasuję procesu rodzica więc 8000 pobrań i odpaleń kolejnych procesów pozazdrościć że ktoś ma takie środki na budowanie własnego sandboxa Natomiast w którymś momencie zorientowałem się po pierwsze To jest mechanizm do ddosów ale to jest z drobiazg tak naprawdę to jest botnet Ja mam dziesiątki tysięcy serwerów które wykonują mój kod normalnie musiał za to zapłacić masę pieniędzy a te one to
robią za darmo więc zacząłem propagować nowe zadania wstrzykiwać do tego kodu w jakieś tam proste rzeczy takie żeby zobaczyć efekty a żeby nikt mnie nie posądziła swojej korzyści dodatkowe zadania patr jak propagują fcz zapytania bardzo szybko zaczęły przychodzić z tego nowego workload i zobaczyłem że tam się dzieją rzeczy więc tak naprawdę stworzyłem botnet z sbox antywirusowych ale o tym będzie już sesja pewnie następnym b bardzo Państwu Dziękuję wierzę że zainteresowałem do podłanczam
dobrej części dalszej
dnia
i i
i i
i i
No Zobacz nawet mam koszulkę z kotkiem odpowiednio wszystko
tematycznie lepiej nie I co jest ten ten
dźwięk przecież wiesz Dobra jedziemy Słuchajcie spróbujemy so dzisiaj odpowiedzieć na takie pytanko gdzie podział się ten cały metal czyli ta warstwa Taka mocno Sprzętowa mocno infrastrukturalna wszyscy wiemy że generalnie co do zasady mamy taki Trend uchmurki właściwie co się da [Muzyka] tak ale gdzieś to się też zaczęło gdzieś to się cały czas ten nasz metal mieli No i tak naprawdę krótki w historyczny może na początek wiecie co to jest tak ale jaki to jest 5 mega pakowane do samolotu panam pierwszy tak naprawdę chyba dysk twardy jaki w ogóle powstał Zobaczcie sobie jak jak to wyglądało kiedyś tego nie nie nie udało mi się jakoś znaleźć ale to jest dosyć popularne zdjęcie łatwo jest je znaleźć
Zobaczcie dzisiaj mamy nasze telefony ja tu mam Nie wiem 64 Gig to ile musiałbym mieć takich dysków żeby mieć te 64 Gig nie sł teraz tak będą w przeszłości to słówko nasze serwer to się pojawia pierwszy raz w 69 roku A wiecie przy jakiej okazji nie zaczy impreza była duża bym powiedział węc że Kosmiczna impreza przy locie Apollo 11 wtedy pojawia się tak naprawdę pierwszy raz słowo serwer Czyli słowo z którego właściwie każdy admin korzysta kilkanaście razy dziennie pewnie nie pierwszy serwer www No to mamy 21 lat później jeśli dobrze Liczę to jest 90 rok w tym momencie tak naprawdę startuje nam internet ale już 6 lat później mamy serwer z klocków Lego sery O tak naprawdę zbudowano serwer z
klocków Lego natomiast pierwszy serwer goog powstał Jeszcze zanim tak naprawdę powsta Google bo Google startuje w 998 roku a ich pierwszy serwer startuje już w 96 roku na Uniwersytecie Stanforda i teraz tak te wszystkie usługi które mamy dzisiaj jakieś YouTube twittery cała masa innych rzeczy to wszystko na tych serwerach Gdzieś musi być Facebook startuje w 2004 tak dzisiaj mamy 2024 Facebook ma 20 lat z małej aplikacji którą Cerber napisał właściwie na laptopie mamy giganta potentata całe całą wielką korporację Tak dzięki temu metalowi Dzięki ludziom którzy z nim i później dla niego opracowali YouTube Proszę bardzo 2005 rok ktoś nie korzysta z yoube ktoś nie korzystał chociaż raz z yoube chyba nie ma takiej osoby nie ktoś
chociaż raz nie korzystał z Twittera nie z tego ktoś nie korzystał chociaż raz juj już prędzej ale mało prawdopodobne nadal tak zobaczcie te wszystkie usługi te wszystkie rzeczy które mamy one gdzieś cały czas muszą pracować na czymś mówiłem przed chwilą że pierwszy serwer www No to w 90 roku wystartował A gdzie ktoś wie gdzie w cnie Tak właśnie wyglądał to jest właśnie pierwszy serwerek www w cnie uruchomiony on tam ma taką karteczkę że to jest serwer i prosimy go nie wyłączać pod żadnym pozorem dobra dzisiejsze serwer No już bardziej przypominają takie raki zazwyczaj tak tu mamy też starszego jeszcze sprzed paradnych lka wspomagana już przez sztuczną inteligencję o ile tam pierwsza maszyna No to jest po prostu maszyna do której
wkładamy dyski uruchamiamy usługi tutaj już możemy na tej drugiej wspomagać się sztuczną inteligencją do wielu różnych czynności ale no żeby nie było że preferuję tylko jedną
firmę Ja tego nie powiedziałem Słuchajcie dwóch największych producentów sprzedają gigantyczne ilości tego sprzętu del ma nawet fabrykę w Polsce pod Łodzią Jak będziecie mieć kiedyś możliwość zwiedzenia to bardzo fajna rzecz jest żeby się tam pojechać i zobaczyć h z kolei ma najbliższą fabrykę w Pradze więc też nie jest jakoś strasznie daleko No dobra tylko teraz te serki jeszcze muszą z czyć sobą muszą jakąś gadać czy potrzebujemy coś co nas połączy między nimi przełącznic żeby też nie było że preferuj tylko jedną firmę Zobaczcie już masz specjalnie dla ciebie tych urządzeń możemy podpiąć multum tak zobaczcie na górze jest 48 możliwych plus jeszcze cztery światła na dole 24 plus 4 światła to są gigantyczne ilości sprzętu to są gigantyczne ilości
danych to są po prostu terabajty dzisiaj tak dzisiaj taka rzecz jak baza która ma Nie wiem 700 giga to nie jest nic takiego strasznego to kiedyś się wydawało Nie no nie ma możliwości dzisiaj w niektórych zespołach administruje się bazami danych które idą w terabajty po prostu to chyba każdy zna tak jest ktoś kto nie zna No dobra Na pewno wszyscy znają a wszyscy umieją zrobić co jest to jest jak najbardziej więcej nie trzeba nie jak się zapamięta to już później leci i zobaczcie te kable które mamy to też tak żeż Adzie p panel nawet 20 Met tak ale może być sytuacja coś się uszkodzi trzeba coś zarobić na szybcior i teraz żeby wiedzieć jeszcze jak to zrobić tak to jest raz a dwa żeby
wiedzieć w jakich kategoriach te kable sobie kupować bo to też nie jest wcale takie proste więc cały czas ta ta wiedza Gdzieś musi być przekazywana cały czas musi być [Muzyka] zdobywana tak i o ile mamy kable miedziane to Pamiętajcie że one mają swoje duże ograniczenia zazwyczaj No niestety ale te miedziaki to jest 100 Met czyli tam 320 ile 8 stów tak oni wyliczają powyżej tego dochodzi do zakłóceń bardzo często sygnału No i tracimy niestety albo dane albo połączenie wręcz jeśli chodzi o te kategorie to ale tutaj mamy już przy 6a mamy taki gruby kabel że ciężko jest go po prostu nawet wsadzić w końcówkę czasem on jest jeszcze na takiej prowadnicy w środku kto miał w rękach
kiedyś No jest część ludzi jak ktoś nie miał Polecam W środku jest taki krzyżyk plastikowy nie jest to proste Żeby to zi PJ W końcówkę że tylko miedziaki mają swoje jakieś tam rodzaje światła dzięki którym możemy przesłać naprawdę gigantyczne ilości danych także mają swoje rodzaje no Jest tego trochę nie będę o nich wszystkich opowiadać bo spędziliśmy tutaj Pewnie jeszcze dobre d dni co najmniej nie dobra słuchajcie teraz tak mamy wiemy że mamy kable wiemy że musimy je jakoś połączyć No ale jak switch do switcha duży koszt tak czasem nie nie warto po prostu by było w większości wypadków kiedyś były jeszcze takie patz panele ktoś widział taki Patch Panel kiedyś jak się zarabia w tym kabelki
można przeklinać co jakim nożykiem powinno tak ktoś nie miał noża koronowskiego w ręce ręka do góry dobra a chcecie być adminami już nie rozumiem słuchajcie to wygląda tak ten nożyk Krona To jest specjalnie zbudowane narzędzie i on działa w ten sposób że ma taką końcóweczka która dociska nam jednocześnie dwa ostrza które obcinają Nadmiar tego kabla nauka tego korzystania z tego to jest Góra jeden dzień roboczy więc jak ktoś chce i się
przyłoży nie wiem ale się domyślam natomiast teie z wyją bardzo łatwo tam s takie tutaj na tym zdjęciu nie widać za bardzo ale są w bocznych częściach dwa haczyki i dzięki temu można te ewentualnie żyły pojmować i teraz tak tak się robiło przez długie lata Właściwie dopiero kilka lat temu pojawiła się pewna powiedzmy automatyzacja tego procesu krosowniczego i mamy Kiston kony czyli takie fajne końcóweczki Gdzie właściwie otwieramy końcówkę zdejmujemy ten biały plastik rozkładamy żyły jak na obrazku zaciskamy i mamy gotowe samo się obetnie 5 minut roboty dosłownie 5 minut roboty sam nie wiem ja wolę nóż kowski znaczy zaoszczędzony czas jest tutaj jeżeli będziemy robić jakąś dużą infrastrukturę tak tak jak ja miałem okazję pracować przy
projekcie wymiany Infrastruktury na Politechnice warszewskie na jednym z wydziałów to zamiana noża Krone na Kiston przy kilometrach dosłownie kilometrach tych kabli No to jest duża różnica w godzinach się liczy po prostu No dobra wiemy że mamy Patrz panele wiemy że mamy noże wiemy że mamy Kiston gdzie to umiejscowienie w jakiejś fajnej szafie na przykład takiej ładna to właśnie z tego projektu na Politechnice to jest akurat budowany punkt dystrybucyjny to nie Jeste i zobaczcie ułożone
oryginalnie bo to zdjęcie musiałem wykadrować są nalepki identyfikujące ten sprzęt więc nie mogłem pokazać górnej części ale uwierz mi że to jest mało w stosunku do tego co było w górnej części tego zdjęcia w górnej części tego zdjęcia ja jak wszedłem do tej serwerowni to się zastanawiałem czy tam ktoś makaronu nie jadł bo niestety bardzoo wą na poku to Po dwóch miesiącach macie [Aplauz] to znamy to tak znamy to znamy to niestety więc dalej idąc mamy serwerownie kolejny punkt rozwoju to
wygląda tak nie adminka to taka czysta praca gdzie wchodzicie wyjmuje wkładacie nie to tak nie wygląda adminka to jest taka praca Gdzie często cacie się pod podłogą techniczną wchodzicie z rękoma całymi a wychodzicie po kaleczenie Jeżeli nie wzięliście rękawiczek więc no niestety ale jest to praca dla osób które lubią się ubrać i lubią się niestety ubrać na szybko potem nie często nie ma takiej możliwości w wielu firmach żeby gdzieś tam się umyć zrobić pysznic czy cokolwiek tak dat Center wygląda na obrazku mało prawdopodobne że wyglądało tak w rzeczywistości praca admina to jest praca tak naprawdę w Wiecznym stresie i nie sugerujcie się oczywiście tym obrazkiem nie to tak nie wygląda Nie nigdy w ogóle lekkie serwery są lekkie tak my
ostatnio kupiliśmy do firmy serwery Gdzie jest nic nie na serwerach napisane nosić we trzech dosłownie jest żółta nalepka nosić we trzech co prawda niektórzy noszą samodzielnie ale jest tam same dyski w tych serwerach ważą około 35 kg same dyski jest naprawdę ciężko trzeba naprawdę mieć dużo siły dużo sprytu i zaufania do ludzi którzy stoją obok że to się wszystko nie wywali tak mamy Data Center Data Center coraz więcej firm później łączyło w Area tak regiony No i powstają nam chmury z tego wszystkiego jak wszyscy wiemy wszystkie właściwie chmury są zbudowane z serwerów linuxowych a przynajmniej głównie ale tych chur takich Ilu mamy takich głównych dostawców rozwiązań chmurowych jakich
MOS i Google tego środkowego to ja pomijam Zakładam że jest tych trzech tak Czyli AWS a i Google Cloud w tych wszystkich rozwiązaniach chmurowych możemy wpakować właściwie wszystkie absolutnie wszystkie nasze rozwiązania nasze usługi może mieć tam i serwery www i Firewall właściwie to czego sobie zażyczy myy damy radę tam zrobić tak bo możemy mieć serwery www możemy mieć wirtualne przełączniki możemy budować wirtualne całe duże sieci nic nie stoi na przeszkodzie tak naprawdę poza tym ile za to zapłacimy my byliśmy w październiku na szkoleniu w AWS i oni nam mówili że jedne usługi kosztują małego niebieskiego dolar a drugie usługi kosztują dużego czerwonego Doka Tak więc pytanie brzmi ile mamy pieniędzy co chcemy tam wpakować i jak
chcemy z tego korzystać Część rozwiązań tak jak tutaj macie xd i Ed to są rozwiązania które dostawcy nam budują dostarczają Natomiast cała całe tło działa na na rozwiązaniach chmurowych Przykładem może być chociażby Trend mro który jeśli dobrze pamiętam z Google clou korzysta No i my mamy swoje agenty wysyłamy metryki Natomiast cała ta praca nie jest u nas na premi gdzieś tam obrabiana tylko właśnie jest na chmurze dzięki czemu uzyskujemy zyskujemy bardzo dużo na wydajności tak sprawdzanie xd Czy Ed naszych Maszyn tego co się na nich dzieje jeżeli mamy 100 200 a coraz częściej są to tysiące maszyn gdyśmy mieli to robić u siebie No to kolejne maszyny musielibyśmy postawić pewnie własne Data Center w pewnym momencie
zużywać kolejny prąd natomiast ten kosz nam się wtedy
analityków narzędzia które działa tam gdzieś w chmurze natomiast zbiera te metryki od nas tak i zostaje nam tak naprawdę szkolenie tylko tego [Muzyka] analityka jakieś musimy [Muzyka] BRZ czy wszystkie dane można puścić do chmury jak widzicie chmurę może
tak to jest właśnie zdanie bezpiecznika tak typowego bezpiecznika jeśli chodzi o chmurę ja
Ani nad tym komputerem Ani nad tym człowiekiem Dlaczego papier przyjmie wszystko Możecie napisać umowę jaką tylko chcecie zabezpieczyć się jakimi tylko chcecie paragrafami Nigdy nie będziecie wiedzieć co się dzieje z tyłu nigdy żaden dostawca chmury nie dostarczy wam informacji o tym jakich algorytmów używa w tle gdzieś a może używać dowolnych jakich danych Ja na pewno bym nigdy nie wysłał do chmury Bo tak jak mówiłem przy x lecą metryki więc nie jest to jakiś wielki problem tam nie są skanowane nasze pliki tam nie są skanowane nasze żadne dane ale na pewno żadnych danych medycznych żadnych incydentów żadnych danych niejawnych tak ten przykład ostatni to tutaj akurat jest z doświadczenia ponieważ na jednej uczel gdzie pracowałem będę na której
jeden z panów doktorów obrabiał wojskowe projekty na swoim koncie Google więc tak takie przypadki też istnieją bo on miał po prostu na swoje konto googlowskie na Gmaila i cały zadowolony nie
super co ja mogę no Które uczelnie mają też z Googlem i ich poczta też jest tak zwłaszcza jeśli mają nie wiem czy to się nadal nazywa g Suite tak czy workspace workspace chyba teraz jest No więc tak można sobie wykupić taką usługę i zapiąć tam domenę i wszystkie te rzeczy obrabiać Natomiast według mnie nie jest to zbyt bezpieczne Ja zawsze czegoś takiego się boję zawsze się czegoś takiego boję bo tak jak mówiłem Nie wiem co jest w tle nie mam możliwości sprawdzenia tego jeżeli mam on Prema to jestem w stanie to sprawdzić mniej czy bardziej tak zakładając że nie mam tam jakiegoś apt u siebie tak to jestem w stanie to kontrolować mogę wyciągnąć zasilanie w
przypadku chmury zasilania nie wyciągnę wyjście z chmury też wcale nie jest takie proste jak się ludziom wydaje że o to wychodzimy z chmury firmy które że chmura jedak nie jest dla nich ponoszą bardzo duże koszta z tego żeby z tej chmury wyjść raz że trzeba wyciągnąć stamtąd dane co jest gigantycznym często kosztem ponieważ dostawcy bardzo często liczą sobie za dane które od nich wychodzą dane które wgrywa wgrywa za free zobac jakan wgrywa dane za free ale dane które wychodzą a jeżeli jest tak na baza kka niebieskiego dolar tylko raczej tego dużego czerwonego nie ma gdzie podjechać z
dyskiem ale który kontener sowa w Europie nie ma jest
Stanach czy snowy jakoś tak snowcone tak no to ale to jest do zabezpieczania własnych danych tak na szybko potem są te walizkowe no i można w AWS zamówić sobie ciężarówkę ale nie w Europie przyjeżdża normalnie ciężarówka taki 40 tonowy TIR macie tam po prostu mobilną serwerowni chyba wychodził miesiące kopiowania nawet jak łącze Ma 10 GB No to co to jest jest jak tamie to są setki terabajtów jak nie petów danych tak czego na pewno nie robić będąc adminem czego nigdy byście nie zrobili nie poruszaj myy bo to jest temat drażliwy możemy w Kach porozmawiać Dobra to też ale Słuchajcie Pamiętajcie że wasze bezpieczeństwo jako admina jest kluczowe Bo wy macie w głowie Wszystko jeżeli nie macie
uprawnień sepowskich to Nie rozbieraj sprzętu na żywca ja to kiedyś zrobiłem ale jak widzicie żyję jeszcze rozbierałem kvm z kolei stanie na drabinie bo czasem trzeba po prostu jak jesteście adminami coś zrobić tak to nie jest tak że admin tylko siedzi klepie konfiguracje albo nie wiem stawia nowe usługi wirtualki nie praca fizyczna tak jak mówiłem w przypadku Data Center tutaj jest i taki przypadek widziałem człowieka o mało się to nie skończyło zawaleniem tego sufitu więc to też nie jest za dobre to jest przykład akurat z Politechniki Warszawskiej żeby nie było dwa swit leżące J na drugim na podwieszanym suficie różnica poziomów pomiędzy sufitem podwieszanym a sufitem betonowym taka tak na kasetonie po prostu po prostu 2 r 48 Jeśli dobrze
pamiętam Musiałbym poszukać zdjęcia bo zrobiłem zdjęcie ale wydaje mi się że to były 48 No i teraz tak instalowanie
i zobacz i jeszcze bardzo fajna rzecz będąc adminem Pilnujcie swojego sprzętu ja nie mówię tylko o serwerach Ja znalazłem na Politechnice Warszawskiej zaciskarkę za 200 zł mam ś świetny sprz naw że rozwijać Czego nie robić będąc
adminem Czekaj czekaj mam trzy zdjęcia za chwilę na następnym slajdzie i też z politechniki żeby nie było bo akurat tam udało tam pamiętam że już robiłem zdjęcia wcześniejszej uczelni nie robiłem z jakś wpadek Chociaż może warto było bo też było wesoło Czego nie robić na pewno jeżeli Pracujecie w zespole administratorskie ktoś wykonuje dla was jakiś remont to musicie tych ludzi pilnować nigdy nie dawajcie im robić infrastruktury róbcie ją sami nie dawajcie żadnym robotnikom nigdy infrastruktury robić bo to się po prostu źle kończy jak to się źle kończy tak się źle kończy ktoś to odebrał i ktoś za to zapłacił duże pieniądze to jest to czego nie wolno w żadnym wypadku robić to ja wiem że to
jest z waszego punktu widzenia publiczności tutaj na prelekcji zabawne z mojego punktu widzenia administratora to to był szok to był szok Jak ja to zobaczyłem ponieważ ja sobie nie wyobrażałem że można coś takiego i Jeżeli robicie jakąś robotę to róbcie ją porządnie Najwyżej powiedzcie swojemu szefowi stary potrzebuje więcej czasu nie wiem cokolwiek tak ale zróbcie raz a porządnie nie róbcie po 30 razy nie poprawiaj po 40 razy jak czegoś nie umiecie to po prostu powiedzcie że tego nie umiecie bo jeżeli będziecie źle wysyłać na przykład dane do chy tak to może się to skończyć tak No wiem że poszły dane do chmury no idealnie węc Nie ale zobacz minęło 5 Ale zobacz minęło 5 lat i jak ktoś
powie t-mobile Białołęka To każdy wie o co chodzi nie dane wysłane do chmury żeby nie było Tmobile nie jedyną firm k wys spbo
pożar też później odbudowa tego no trwała bardzo długo Natomiast teraz tak co w takiej sytuacji krytycznej kto będzie pracować poza tym że ekipy budowlane tak dalej admin będzie pracować bo admin musi teraz tak jeśli są backupy to je przywrócić No ale najpierw trzeba ogarnąć sprzęt ogarnąć infrastrukturę tak w ogó garnąć infrastrukturę trzeba sprawdzić co przetrwało w ogóle takie zdarzenie Tak więc to że mamy jakiś dat Center i mamy chmury i mamy te wszystkie regiony nie oznacza że admin będzie wam już niepotrzebny będzie adminów mniej Ponieważ większość usług możemy robić w chmurze tak natomiast AD zawsze gdzieś tam będą pew potrzebni i teraz tak jeszcze słowem Architektów pys tak to to będzie chyba właśnie w tę stronę taką czegoś pomiędzy
architektem a stricte administratorem ewoluować dlatego że właśnie no w przypadku takiej tragedii całe disas and recovery to jest na adminach stoi tak na nikim innym tutaj nie da się inaczej tego zrobić po prostu jakieś pytania może Adrian ty na pewno masz pytanie O czym O tym co za mną co myślę że tam poszło dużo błędów bardzo dużo błędów w zabezpieczeniach przede wszystkim tych fizycznych jest tak my z naszego punktu widzenia możemy ochronić systemy ochronić warstwę sieciową tak to Nazwijmy ogólnie żeby się tam nie rozbijać to nie zawsze jesteśmy w stanie wszystkie zabezpieczenia zrobić tak my się nie znamy generalnie na pepu my się generalnie nie znamy na zabezpieczeniach fizycznych tak generalnie co do zasady nie chciałbym być w sytuacji takiej
nigdy niewiele myślę brakowało w jednym miejscu żeby wybuchł tam pożar natomiast nigdy nie chciałbym być w sytuacji tych administratorów którzy musieli tam pracować bo to To musiała być straszna orka po prostu wiesz admin to myślę że mogli mieć premi natomiast raczej Tey k Myślę że mogły faktycznie nie mieć premi tak tak jak jeden z moich dyrektorów kiedyś jak ja już nie pracowałem w tamtej instytucji natomiast koledzy mi powiedzieli że dostał od samej góry propozycję rozwoju w innej firmie Dosłownie tak to z skru
tak tak tak sugerowano mu wcześniej natomiast No niestety człowiek nie złapał tematu i dopiero jak dostał wprost to to wtedy ogarnął No ale tam było tak że on był jest programistą zawodowym programistą i chciał t jednostkę utrzymaniowa PR programistyczną No to niestety nie przejdzie musicie mieć zawsze jakiegoś ogarniętego w miarę admina bo jeżeli nie jeżeli będzie to taki człowiek który jest i od drukarek i od infrastruktury i od serwerów i nie daj Boże musi zamawiać tonery do tych drukarek i je serwisować i robić wszystko to się skończy w pew mcie katastrofą po prostu trać wszyst obszary niestety ale w części przynajmniej instytucji budżetowych mamy nadal taką sytuację że jest jeden czy dwóch informatyków odpowiedzialnych za
wszystko widzę rączka podniesiona tak nie może tak być To jest niestety bardzo złe rozwiązanie bo jeżeli będziecie łapać 10 sok za ogon to żadnej nie złapiecie będziecie mieć wiedzę wszystkim ale tak naczym wszystko będ bą to mam ogarnięte to mam to to to to ale jeżeli ktoś będzie chciał zrobić audyt wejść głęboko w te wasze struktury To się okaże że a jest niedociągnięcie c jest
niedociągnięcie audyt to nie jest kontrola audyt ma was wspomóc o tyle jak przyjdzie kontrola to może już być naprawdę niewesoło wtedy więc polecałbym każdemu ogarnięcie sobie dobrego admina proszę i adwokata zero sugestii takie mam pytanie do ciebie by może ZZ od Było bardzo fajnie Jaki jest Follow ja może Nawiąż do roku 2021 to był czas obostrzeń Ja polowałem na promocj zawsze poluje ale wchodzę do pewnego marketu patrzę a tam deser z Koroną dobry deser czekoladowy za 30 gr Ja przypuszczam że ta cena spadła zł do gr bo to był deser koroną koron nawet na faceb zagadkę wrzuciłem i teraz wracamy do naszego centrum danych Mobile Jaki był follow up czy tam już zupełnie to się wyruszyło czy też wprowadzono
promocje z Promes że więcej wiesz co Przyznam ci się że już nie pamiętam w tym momencie jak skończyła się ta sprawa jednak nie pamiętam autentycznie nie pamiętam jak Tmobile załatwił kwestie swoich klientów
Pamiętam tylko że wzięło do tych wszystkich którzy mieli w umowach zapisane że mają u nich a jak wiadomo się spaliły bo były za ścianką w ty samym budynku to powiedzieli ale nieczyści tam na dole nie my je mamy ale wam nie Gwarantujemy to co pamam to co Michał mówi że backupy wvh były za ścianką obok w jednej z instytucji gdzie pracowałem były dwie lokalizacje backupu to samo pomieszczenie dwie różne szafy można można ser na środku sto szaf obo stolic starym komputerem na kórym No można można są dwie lokalizacje
postaci gaśnicy stało za szafą rakow także jak się szafa trzeba przeć drzwi przez pożar żeby za gaśnicę złapać znaczy wiesz to to jest to Michale to jest kolejny przykład Bo zauważ że do części tych pomieszczeń jak wchodzisz jakie masz tam gaśnice takie zwykłe po prostu nie One nie nadają się do elektryki i elektroniki to będzie jeszcze gorzej generalnie jeśli chodzi o zabezpieczenie pepos w serwerowniach datacenter teraz stosuje się zabezpieczenie gazowe tak gaz wypiera tlen tlen tlen się nie spala ten tlen jest akceleratorem spalania dlatego się wszystko pali ludzie tyko wyś tak tylko ludzie muszą wyjść z tego pomieszczenia i zazwyczaj jest kratka przez tą kratkę ona się otwiera doze pamiętam cz jest ustawiony na 30 sekund standardowo 30
sekund więc macie 30 sekund [śmiech] na mojego lub jej Moskwa tym nowym starym tam podem Warszawie
Wszystko rozest wsy [Muzyka] ludzie py a zestawu narzędziowego który polecasz
dopuszczasz
Bo niektórzy automatyzujący wszystko po prostu wszystko powiem tak ja jestem fanem tego żeby mieć swoje urządzenia tak które mogę dotknąć które mogę zobaczyć tak jeżeli coś jest po prostu kodem to ja tak naprawdę nie widzę tego No niestety to jest coś ale musisz skonfigurować Muszę je skonfigurować nie jestem tego wrogiem ale nie preferuję takich rozwiązań preferuję rozwiązania metalowe zdecydowanie metalowe fizyczne metalowe b metal tak są usługi które źle działają da się uruchomić Czy w AWS Czy w Google cloudzie ale zdecydowanie lepiej działają kiedy jest to metal w naszej szafie [Muzyka] mas na i masz narzędzia odora k pozować wszystkie za pośrednictwem kod czy jednak wolisz konfigurować ręcznie PR wiesz co jeżeli mam 1000 switchy to
Staram się jednak to zautomatyzować tak użyć jakiegoś narzędzia Jeżeli mam od vendora stricte narzędzie to będę korzystać z tego narzędzia tak No nie oszukujmy się 10 Switch jesteś w stanie skonfigurować nawet 100 szy jesteś w stanie skonfigurować tylko pytanie Ile czasu ci to zajmie tak no bo jeżeli tak jak podajesz przykład mamy gigantyczny Data Center znaczy mieliśmy jest tam 1000 switchy No to ile osób musiałby mieć ten zespół administratorskie żeby ten 1000 switchy skonfigurować tak No zdecydowanie wygodniej wszystkim będzie w momencie kiedy wstawimy ten 1000 switchy do naszych szaf
następnie usiądziemy przy klawiaturach i puścimy automatyzację no Jest to zdecydowanie chyba wygodniejsze może być ale nie wszyscy węzy wspierają jeszcze generowanie tego typu rzeczy poza tym co jest też bardzo W mojej ocenie ważne to że sobie Wygeneruj to jest jeden aspekt bo OKE masz wygenerowane zardo masą mapę sie zob po czym wchodzisz do serwerowni nie działa ci port A wiesz do czego idzie I czy masz pewność do czego on idzie nie w momencie kiedy będziesz w serwerowni i poza tym że Wygeneruj sobie taką mapę sie
dokąd idzie w razie jakiejkolwiek sytuacji awaryjnej nie mówiąc o krytyczne ale awaryjnej tak cokolwiek tam przestało działać potrzebujesz fizycznie wymienić kabel nie musisz go szukać wchodzisz ten tu do widzenia gotowe znacznie skraca czas w tym momencie pytania
własnego raka administrator 24 na znaczy wiesz zawsze możesz zapiąć z bika czy jakiś innego monitoringu tak i który będzie informował tak nie musisz spać tam będzie ci wysyłał na maila na telefon gdzie chcesz poza tym powi mieć dwóch adminów co najmniej tak jeden ci nie wiem wyjedzie wakacje nie daj Boże wyląduje w szpitalu coś się
wykaszanie absolutne minimum chyba że pracujecie tak jak ja w jednej firmie pracowałem byłem ja kierownik i dyrektor it trzech nie to były różne osoby były różne osoby ale to jest już rozowa dalej jakbyście chcieli porozmawiać o tej firmie w kuluarach żeby się niekoniecznie nagrywało Jest tam bardzo wesoła historyjka podpięta Dobra słuchajcie skoro nie ma pytań dalszych to ja wam bardzo wszystkim Dziękuję za wysłuchanie moich wynaturzeń Jakby ktoś chciał te prezentacj nie daj Boże to niech się odezwie Linkedin mailem czy cokolwiek i ją po prostu ode mnie dostanie tak
tyle
Dzięki chcesz powerbanka
i i
i i
i i
i i
i i
i i
halo halo halo Warszawa tak już mnie słychać A
chciałem czyli na streamie mnie już słychać mogę w końcu pozdrowić miliony osób przed telewizorami świetnie A czy na drugiej sali wykład się już skończył czy czekamy na przekładkę osób [Muzyka] nie Nie no spokojnie Nie dziękuję
Zapraszam zapraszam tak zzy ja i tak jak wspomniałem puszczę listę obecności jak na na na porządnym wykładzie Akademi pod konie sprawd wszycy identyfikujemy po adresach IP będzie w trakcie wykładu można uzyskać zwolnienia z egzaminu pani słucham Chyba u ciebie na uczelni tak ja Ja przyjechałem ze Śląska i u nas wykłady są obowiązkowe amen tak dobrze to jesc minutę poczekamy albo dwi albo TR Ja niestety mam trochę obcięty ekran czego nie widzicie postaram się tą konsolą bo będę sporo konsoli pokazywał więc jak ostatni rząd ostatni łapka nie widzi to zachęcam do do podejścia bliżej tak świetnie widać jak mży te oczy bardzo dobrze ekwilibrystyki robił Chyba widać jest sporo Dem oczywiście nie są nagrane żeby były
bardziej spektakularne powinny wszystkie zadziałać bo Wielokrotnie były testowane ta godzina Która jest tutaj Ona jest zła oczywiście bo od dawna nie używałem na tym laptopie internetu i zdążyłem się zsynchronizować ale zegarki są po lewej i prawej stronie więc sobie sobie damy radę podobno też po tym wykładzie nikogo nie ma aż przez półtorej godziny bo jest przerwa obiadowa więc zakładam że mamy 2 i pół godzinę tak ja słucham nie zrobimy przerwy No studenci prosili mnie o powtórkę przed egzaminem więc to nie róbmy przerw Przepraszam też dużo będę siedział bo będę pokazywał przy konsoli na najróżniejsze rzeczy Zakładam też że Słychać mnie dobrze Jakby co to mogę krzyczeć trochę trochę głośniej to pozwolę sobie już rozpocząć i nie czekać na
akademicki kwadrans Ja nazywam się Mateusz kocielski na co dzień pracuję w logical Trust o którym wczoraj opowiadał Adam Dziękuję gdzie zajmuję się pent testami dziś o jednej takiej historii inspirowanej pestem będę opowiadał jeżeli też ktoś jest adeptem adept pentestów to serdecznie zapraszamy a oprócz tego udzielam się też w różnych projektach Open sowy najwięcej chyba ostatnio w netbsd gdzie Działam sobie radośnie w Security wizją najróżniejsze problemy No i chciałem rozpocząć od klasyki hackera bo wykład się nazywa imem przez wbs niestety nie mam wpięte tu dźwięku i nie wiem czy po HDM to to pójdzie tu jest przycisk audio ale boję się go trochę wciskać być może nawet to zadziała spróbuję to odpalić Jak nie zadziała to No niestety nie działa toczę
nie będziecie słyszeć to to powtórzę forteca ści nie do zdoby próbowałeś tak I kto zna ten film kto go kto go widział kto wytrzymał do końca jest absoluty z której pochodzi słynny cytat o hakowaniu przez sendmail do dzisiaj tkwią spory czy to ma sens czy nie Czy trzeba było zhakować imaxa za pomocą s maila czy Send maila za pomocą imaxa nikt nie ma odpowiedzi ale absolutnie ten film się wpisał w historię polskiego polskiego hakerstwa Kto oglądał ten film w większej rozdzielczości ten Wie też że w tle znajduje się Dekalog hakera uspokajam że Dekalog hakera się też dzisiaj pojawi natomiast inspirował się [Muzyka] tym tym filmem tym dziełem filmowym przy tworzeniu tej prezentacji ponieważ tak się złożyło że na jednym z
pentestów natrafiliśmy na ima ja wam coś coś pokażę Jeszcze zanim też to pokażę to zapytam k jest A kto jest z obozu bardzo dobrze że nie ma bo dzisiaj będziemy kś się znalazł Okej to zrobimy ci od razu test na zwolnienie z egzaminu ja połączę się na
śmieją Jak wyjść z Wi A jak wyjść z emx No nie działa też nie zadziała czy ja ja wam powiem tak że na p teście też odpalili tego Maxa który był na serwerze natomiast Jak widzimy to nie jest do końca emx tylko mikro Max więc jak nie wiecie jak z jakiegoś programu wyjść to co robicie restart komputera jest jednym z rozwiązań gorzej jak pracujecie zdalnie na komputerze bo to trzeba się gdzieś przejść albo kogoś poprosić ale ten używa tak bo to nie jest zwykły imx ja ja pokażę wam jak tego imaxa opuściliśmy a potem wytłumaczę tylko wejdę w jedną rzecz więc My wpadliśmy trochę w panikę O Jezu odpalili ima na co nam to było
zaczęliśmy wciskać losowe klawisze wcisk wcisk wcisk i nagle wyszło hura nikt nie wie co do końca się stało ale się stało akurat gdybym to odpalił tak naprawdę na tym komputerze który tu mam to by nie wyszło ale tam na serwerze z pew względów wynik był taki jest to trochę dziwne albo to ozacza że twórcy tego klona ia przewidzieli że ktoś jest na tyle szalone że będzie tak próbował wyjść ale o to ich nie podejrzewamy albo stało się tutaj coś nieprzewidywalnego i dziwnego No i tak naprawdę to miałem sprawę olać a jeszcze może tylko szybko tym mro Max tylko taki klon który był inspirowany samym Maxem to jest o tyle wdzięczny Soft że przez to że był
malutki to się
rozplatania fanami takich starszych komputerów to gdzieś się z tym z tym edytorem spotkaliście albo jak korzystaliście z takiego czytnika jak Emili jak albo p to to się tam przewijał bo ten kot tam gdzieś znajduje się No i my się umiejscowić w roku 94 o tym za chwilę ale chciałem tylko powiedzieć że pan stalman z tym o czym będę opowiadał nie ma nic wspólnego bo to nie jest ten prawdziwy imx tylko micro IMAX który był zupełnie zupełnie inny też on nie był na początku licencjonowany GN kto mnie zna ten wie że ja ja licencji gnu nie uznaję a wyłącznie bsd z czasem się stało tak że ten micro IMAX został uwolniony natomiast na początku to był w ogóle
Soft komercyjny No i że to nie jest taki software całkowicie od czapy to Chciałem opowiedzieć o chyba najbardziej znanym użytkowniku tego edytora ktoś rozpoznaje było napisane wszystko tak no to głośno Kto to jest tak to jest pan Linus To jest zdjęcie Gdzieś 94 95 roku kiedy on tego edytora używał i okazuje się że on tego edytora używa w dalszym ciągu albo do niedawna używał jak zobaczycie sobie serwer serwer Kernel orgon udostępnia to oczywiście oprócz kerneli katalogu Sil Sounds nie wiem co tam jest ale z jakiegoś powodu na Kernel org to wisi jest katalog z tym mikro Maxem No i Linus do dzisiaj utrzymuje jakąś tam swój fork tego mikro ima on napisał w nim gita na przykład więc więc
w dalszym ciągu to żyje co ciekawe On kiedyś Zapytany dlaczego z tego korzysta bo No są dzisiaj Już nowsze edytory nie raczej się dzisiaj nie korzysta z z tego co pokazałem powiedział że na tyle wyszło mu do pamięci mięśniowej to że że najszybciej się z tego edytora korzysta i jestem w stanie to to uwierzyć jak wspomniałem miałem sprawę całkowicie olać ale coś tknęło mnie żeby sprawdzić jak z tego ima się naprawdę wychodzi bo prosto zrobić z kogoś głupka odpalając MMA No ale jest to trochę siara wychodzi z ima tak jak ja wyszedłem więc odpaliłem sobie manual na 96 stron i już na na 64 stronie odkryłem że w mikro i maksie znajduje się taka flaga r która opowiada o tym że jest coś
takiego w tym micro imaxie jak restricted Mode który jest przeznaczony dla systemów BBS No i to rozwaliło mi głowę i poczułem się trochę striggerowany żeby sprawdzić czym ten restricted Mode jest I o co w ogóle z tym wszystkim chodzi no i przygotowałem taki serwer BBS Czym jest BBS to za chwilę ale da się na taki zdalny zdalny serwer połączyć do imaxa czy tam mikro imaxa i ten mikro IMAX sobie działa na zdalnym serwerze A my sobie możemy tutaj przeglądać co administrator tego serwera napisał i ten restricted Mode działa tak że on odcina z tego mikro im Maxa niektóre funkcje i zabrania też edycji View Mode z kolei więc jest to takie bezpieczne narzędzie do tego żeby udostępnić komuś treść żeby
sobie mg się do niej podłączyć ponawiać poczytać No ale żeby nie mógł zrobić nam krzywdy więc trochę słuchajcie to jest Soft napisany w 85 roku czy on mógł być zrobiony dobrze No widzę że nie mógł być zrobiony dobrze wszyscy raczej kręcą głowami pewnie za lat jakś WSP ś tam mó zrobion dobrze To odpowie tak samo więc taka też była Moja intuicja że ten restricted Mode się da ominąć No i takim najprostszym rzeczą którą sprawdziłem Przeczytałem te stron manuala wiem że wychodzi się z ima przez Escape x tam exit ale przeczytałem że jest taka funkcja też jak execute No i nie mogę sobie tej komendy odpalić więc nie mogę sobie shela zdalnego yyy z spawnować i
chciałem was zaprosić właśnie na podróż jak ten jak te restrykcje zdjąć i sobie ten Shell zrobić ale o tym też też za chwilę ponieważ ten micro IMAX to ma tych wersji 3 miliony ja bym się chciał skupić na roku 94 to to zdjęcie pochodzi z 94 roku czego dowodem jest to że z zidan na tym zdjęciu miał włosy więc jak ktoś jak ktoś kojarzy go to to wie że że to że to jest naprawdę 94 rok a że jestem fanem gksu Katowice To jest zdjęcie z jednego z meczów jak GKS pokonał pokonał bordeau i Zidane odpadł z pucharu UEFA No cóż tak tak dzisiaj pan Węgrzyn gdzieś się przewija przez studia sportowe więc jak ktoś ogląda
to gratuluję powrotu Tak właśnie dziękuję dziękuję GKS Katowice po 20 latach powrócił do exl tak jeszcze dla osłody dla mnie powiem że w tym sezonie GKS wygrał Puchar Polski z tego co pamiętam wygrywając z Legią Warszawa jak dostanę od kogoś po głowie po tej prelekcji to się nie zdziwię to już pokazałem Idźmy dalej No właśnie a te urządzenie Też starsi użytkownicy pamiętają chciałem wspomnieć o co chodzi z tymi bbsi więc Kiedyś to było tak że internetu to generalnie nie było albo był bardzo powijakach jak ktoś miał takie urządzenie a kolega koleżanka miał drugie Urządzenie to można było z komputera na komputer zadzwonić i wymienić się danymi albo dać dostęp do zdolnego terminala No i powstawały teraz
To wymyśl niejsze systemy do których się łączono one oferowały wymianę poczty wymianę newsów plików i tak dalej i tak dalej i tak dalej ja nie jestem na tyle wiekowy żeby pamiętać te czasy zwłaszcza że w Polsce rozwój BBS był wolniejszy niż za wielką wodą ponieważ w Stanach rozmowy lokalne były za friko więc można było odpalić sobie BBS bez ryzyka że rodzice was ud [Muzyka] duszą tak no w Polsce odpalić BBS się też dało w miarę za bo to do was dzwoniono a nie wy do kogoś natomiast jak blokow linie to oczywiście ten gniew się gniew się pojawiał dlatego pierwsze bbsy to Działały na przykład w każdy trzeci czwartek miesiąca od 18:00 do 20:00 jak mama szła nie wiem na roraty
i było najmniejsze ryzyko że ktoś się na nas zdenerwuje pierwsze takie poważniejsze bbsy pojawiły się w latach pod koniec lat 80 chyba w drugie w połowie odpalił To magazyn komputer Potem Bajtek można było uzyskać kontakt z modem miarami i modem miarkami z całej Polski i nie tylko udało się wymienić pocztę z Europą Zachodnią ze związkiem Radzieckim i tak dalej tylko trzeba było mieć z tyłu głowy to że jak chcemy sobie wymienić pocztę ze stanami to trzeba było do nich zadzwonić i te miliony monet mieć o ktoś zna tego pana Tak to jest Stanisław Tymiński bardzo barwna postać polityczna i nie tylko to jest człowiek który ci którzy pamiętają to wiedzą że był w pierwszych wyborach prezydenckich wolnej
Polsce w drugiej turze kontrkandydatem Lecha Wałęsy człowiek miliona talentów książki robił biznesy od sądzę bardziej tak a dla tych którzy nie wiedzą Ja jestem ze Śląska z regionu Zabrza i Bytomia wyborczego i startował tam ostatnio na senatora nie wiedzieć czemu się nie dostał także taka śmiesznostki natomiast on się wpisał o tym chyba stosunkowo niewiele osób wie bardzo ciekawie na kartę historii polskiego internetu ponieważ on założył coś co nazywało się maloka BBS i to był pierwszy komercyjny BBS który oferował dostęp do internetu jeszcze nie nie było słynnego numeru 020 2122 tylko mogliście sobie wykupić tam konto w tej na tym BBS i przez niego uzyskać dostęp do prawdziwego internetu tam było łącze zdaje się nas a sam BBS był zlokalizowany w
słynnej lokalizacji hotelu Mario kosztowało to też krocie A jak wzięliście pod uwagę to że trzeba w tym 94 roku było najpierw zadzwonić na międzymiastowa rozmowę to to nie wyglądało to wcale tak różowo natomiast to tego BBS zabiła Telekomunikacja Polska otwierając ten numer 20 21 22 w 96 roku ku mojej uciesze i ku zdziwieniu moich rodziców natomiast też ci którzy pamiętają Co zdarzyło się potem no to generalnie telekomunikacja była monopolist jakość usług była bardzo różna i był duży hejt wtedy na telekomunikacj co z telekomunikacją się dalej stało o tym nie będę opowiadał zyt cóż to jest Brawo to jest terminal tak to nie jest komputer Kiedyś to było tak że nie było nas stać na to żeby każdemu Studentowi
kupić komputer tylko mieliśmy x takich terminali podpiętych do ogromnego komputera natomiast Koszt takiego urządzenia wcale był taki mały sprem przeliczeniu na dzisiejsze pieniądze coś takiego kosztowało i to są rząd wielkości dziś około 16 tysięcy złotych więc wcale wcale nie mało ale opowiadam o tym nie przypadkowo słucham
te Tak więc Fir Wach na to był właśnie gł Okej to nie wiedziałem natomiast opowiadam o tym nie bez powodu ponieważ dzisiaj jak zobaczycie sobie na współczesną architekturę terminali linuxowych uniksowych czy innych to wciąż pozostałości po tych wszystkich terminalach są i generalnie zbudowane to jest w ten sposób że są albo pseudo terminale albo opadam o tym nie bez przyczyny bo będę poky które będą po ty terminalach mazać żebyśmy zrozumieli co się dzieje to na szybko o tym opowiem Co się stanie jak wpiszę coś takiego co tu się wydarzyło
enter to się ona wykona czy nie A dlaczego nie tak generalnie jak tak sobie zapiszę to kogoś mogę zdenerwować jako administrator ale nic szczególnego na tym terminalu nie wykonam Dlatego ja ja potrzebowałem mieć pewną automatyzację obsługi tego terminala żeby na przykład Napisać sobie program który wychodzi na innym terminalu z z imaxa więc zrobiłem taki program o strasznie głupiej nazwie TTY destroyer i on działa tak że on nie wypisuje tylko udaje że wciska klawisze na tym innym terminalu tak jakby to to wciskał użytkownik tu jeszcze tylko drobna rzecz tutaj mamy pts a nie TTY ponieważ to są pseudo terminale czyli to tak naprawdę jest xterm który jest emulatorem terminala Natomiast mam zalogowanego też użytkownika na prawdziwym terminalu
kowym No i to jest użytkownik którego zalogowałem po prostu na takiej zwykłej konsoli nieg graficzne to jest nieistotne ja tylko pokażę jak ten t działa i będę jakiś cz prosił żebyście zamęt te numerki [Muzyka] będę to co wpisuje jest mniej istotne napiszemy sobie na terminal 3D z delem powiedzmy jakimś takim tak to nie zadziałało ponieważ żeby pisać tak do terminala żeby komendy się wykonywały to TR trzeba mieć uprawnienia administratora dlaczego tak jest zostawiam wam na zadanie domowe ja tylko sobie to przykleję i będę to już korzystał z Ruta jak tutaj wcisnę enter to to to się odpali No i przygotowałem zestaw exploitów Nie nie po polsku a języku Perl one nie są skomplikowane i nie będziemy ich specjalnie analizować
tylko ostatnią rzecz wę Zwróć ę że tutaj są kolorowe A jak zrobię tak to nie są dlaczego tak bo raz LS pisze tutaj wprost do terminala a raz tu pisze przez rurę do programu Cat który nie jest terminalem te różnice warto rozumieć bo dzięki temu się da o wiele wygodniej aplikacje konsolowe terminalowe testować w odróżnieniu od tych to to rozumiemy Idźmy dalej To wróćmy na moment do programu do programu im czy tam mikro im Odpal sobie tutaj jeszcze raz tego UA i Wyjdźmy tak jak wychodziłem przed chwilą Stało się coś niepokojącego ja tutaj skowa im Maxa wersji z czymś co nazywa się adress sanitizer co po prostu jak coś się złego dzieje w zarządzaniu pamięcią to adres
sanitizer przerywa Działanie programu i od razu mi opowiada o tym co jest źle No i tu widzimy coś niepokojącego że jest jakiś Buffer overflow w pamięci No a jak niektórzy pamiętają już z egzaminów oscp z tego co wiem wyleciały No to zwykle to oznacza coś niepokojącego nie że programista C zrobił coś źle tudzież programistka C zrobiła coś źle to Przyjrzyjmy się tej funkcji A może na moment jeszcze tylko wrócimy do tych Buffer overflow przygotowałem demo d tych któr napr kojarzą chodzi Kto z was kiedykolwiek programował w c kto z was wie że trzeba dbać o bufory pewnie większość i prosto się się naciąć na różne problemy z tym związane więc przygotowałem tylko bardzo szybki program żeby wytłumaczyć wam o co chodzi
Jak tu sobie wpiszesz że jestem Mateusz prezentuje to napisze mi że Cześć Mateusz C No jak jestem słuchaczem i słucham i wysłuchuje No to stało się coś bardzo nie niepokojącego nie co nie powinno tak być i powiedzmy że gdybyśmy zrobili taki komercyjny Soft to moglibyśmy oberwać po głowie dlaczego tak się stało Stało się to dlatego że zalaliśmy sobie pamięć tutaj dla kogo to jest wasza prawa strona ekranu tak moja też po prawej stronie ekranu ale po lewej stronie jest stały bufor dla które do którego wpisujemy że siedzę i słucham Dlatego jak wyświetlają się te dane to tutaj pojawia się niepokojące słowo i no i jest trochę kingow trochę trochę dziwnie więc jak każdy programistka programista c taki
błąd popełni raz to wie już że trzeba o to dbać nawet Jak dba to i tak to jest na tyle trudne że na pewno taki błąd w przyszłości popełni Dlatego jak dzisiaj przychodzą studenci pierwszego roku na kurs C to to jakie jest pierwsze pytanie czy wolno pisać w języku rast bo dzisiaj w tej chwili jest taka ogromna moda do przypisywania wszystkiego do systemu rast jak ktoś kojarzy tego pana To w 85 roku jak pisano mro overflow wiedziano że istnieją ale nie do końca wiedziano że da się je je wykorzystać to jest pan Morris który napisał pierwszego robaka który
GKS zid na tym zdjęciu nie wiedział że buff overflow problemem prog Programiści programistki C też nie wiedziały że nie wiedzieli że Buffer overflow jest problemem słuchajcie to jak jeszcze wam pokażę ostatnią rzecz która jest istotna żeby zrozumieć co to się będzie za chę dz jaie tyko kurs gdb był na poprzednim roku więc wnioskuję że potraficie się obsługiwać gdb przygotowałem też
debugować zainstalowana z paczki ale żeby były debowe symbole to skompilować Pokażę wam kod i pokażę wam jedną rzecz W ten restriction Flag czy restrict Flag działa tak że programista sobie w wielu miejscach w programie sprawdza czy ten Res flaky jest ustawiony czy nie jest no i no i teraz pytanie do studentów studentek Czy da się to zrobić dobrze Nawet dzisiaj jak robicie taką architekturę programu No jak jest 100 If to na pewno gdzieś brakuje tego jednego Gdzie powinien być i go nie ma Nie to nie mam pomysłu tak ad hok jak to zrobić lepiej albo mam ale nie powiem bo to będzie na egzaminie Ale generalnie to nie da się tego zrobić dobrze No i teraz jak jest ten
restriction mod to po prostu Rest Flag ma wartość niezerową a jak nie wi nam zależało na tym żeby ustawić ten Rest na zero i pomysł jest taki że jak jest ten nasz Buffer overflow o którym opowiadałem on sobie akumuluje znaki do takiej do takiego bufor który ma 128 b i nazywa się to będę sobie
na z zmienię i będę cliwy bo ominę ten to zobaczmy jedną rzecz a mianowicie jak te bufory się do siebie mają jeszcze tylko może jedną rzecz pokażę tego na egzam
występuje ona się odpala Co znak który użytkownik wciska z terminala i po prostu zapisuje do prz tutaj przez wskaźnik do tamtego bufora znak po znaku nie sprawdzając czy ten czy ten bufor jeszcze ma miejsce czy nie ma Dobra to teraz przypomnijmy sobie z zeszłego roku Jak wykorzystać g gdb tego na egzaminie nie będ tylko powiem wspominałem że już potrafię wspaniale to sobie odpalę jeszcze drugie połączenie odpalę tego debowego Maxa tutaj A tutaj zrobię tak tego na egzaminie też nie będzie dobrałem prawej str bufor jak bufor Last ma się do tej mojej flagi uwaga tutaj zadanie na zwolnienie z egzaminu będzie Rest Flag znajduje się pod takim adresem A mój bu ten Last masku podem znajduje się Last
mesk kto to potrafi skomentować na zwolnienie z
egzaminu tak ale Res Flag jest jak umiejscowione względem Last No właśnie jak jest wcześniej to dobrze czy źle ty danych programu jest źle tak No właśnie czyli znaleźliśmy fajny błąd ale go nie wykorzystamy nie bo no bo niestety się tak ułożyły te dane w skompilowany programie że tego nie wykorzystamy No i jest trochę przykro Nie bo spodziewałem się że zrobię to No ale kurczę się tak dane ułożyły że nie zrobię Miała być z tego fajna prezentacja poświęciłem kupę czas a nie wyjdzie nie wyjdzie nic ale możemy zobaczyć co jest za tym Last mesk bo może jest coś innego przydatnego co nadpisz więc jak wspomniałem ten Last mesk ma 128 bajtów nie będę pokazywał wam dowodu że tak jest za tym naszym
buforem znajduje się Last Pointer i ten Last Pointer Jak szybko pokazałem was wam funkcję t ml gdzie ten błąd występował to jest taki wskaźnik Gdzie jest ostatni znak który wpisał użytkownik zapisywane faktycznie do pamięci pod taki adres czyli sytuacja wygląda tak Czekajcie wrócę na prezentację jak jak wpisuj sobie znak to po prostu do tego idzie znak a ten Last Pointer się przesuwa No więc pomysł jest taki żebym mógł tym Last mezim dojść aż do Last pointera i spróbować coś tam potańczyć z tymi wskaźnikami i tu drobna dygresja na pierwszym roku jest architektura systemów komputerowych więc bardzo dobrze Pamiętacie że są dwa obozy Little i bigan ktoś macha ktoś macha nie do kamery aha okej to ja też pomacham do
kamery więc są dwa obozy endian Bigi i one się różnią tym Jak zapisujemy w pamięci dane na współczesnych komputerach raczej korzysta się z którego czyli Starsze bajty są z przodu czy z tyłu zależy co przodem A co jest tyłem nie natomiast jak my sobie idziemy tym buforem to najpierw sobie nadpisz te Najmłodsze to też źle Nie no bo jak bym sobie mógł od tej strony iść to bym mógł sobie nadpisywać ten Last Pointer baj po bajcie i wpisać co chcę taka była moja pierwsza myśl Ale wymyśliłem sobie że w sumie to bym mógł też od drugiej strony zapisywać tak że najpierw skoczę tutaj wpiszę to co powinno być a potem w drugi Bajt przeskoczę wpiszę coś małego dziem
trik O tutaj jest ten trik pokazany tutaj pisze coś małego i ten Last Pointer mi przeskoczy przed czyli to jest dokładnie to co mi chodziło nie czyli dla dla tych którzy na spokojnie to będą analizować w domu nadpisuje sobie bufor tutaj potem tak sprytnie Manu po tutaj tylko przed Flag przynajmniej Taki mam plan i tu uwaga będzie pierwsza prezentacja przymiarki do do exploita wejdę sobie tylko do mojego magicznego [Muzyka] katalogu więc ja tylko per używałem printów jest taki pomys x żebym wszedł w ten tryb do wpisywania komend potem nadpisuje prawie cały bufor tu nie ma dwóch znaków bo IMAX na początek wpisuje dwukropek spacje więc to musiałem odjąć a potem robię taniec z taniec z Pointer żeby znaleźć się
przed tym Rest plug to zobaczmy czy to działa Zobaczmy czy działa i to możemy zrobić tutaj tylko kto pamięta numerek tutaj tego terminala jak jak się pomyli to jak jak saper to to tylko raz zadziała Sprawdźmy poprawka we wrześniu tak ja słyszę burczenie brzuchów Więc przyspieszę słucham pts Tak Uwaga No to patrzymy patrzymy słuchajcie teraz Pointer znajduje się p znajduje się tutaj a Rest Flag znajduje się jeszcze raz Rest Flag znajduje się tutaj No to uwaga piszemy ktoś powiedział że TR Ja nie jestem przekonany No ale trudno Do odważnych świat należy i powinienem jakiś Delay włączyć dobra jeszcze damy coś się dzieje uwaga odpalamy a jeszcze powinienem mieć
Ruta No i ktoś się pomylił bo napisało To tutaj no to no to no to żeby nie przedłużyć to muszę to odpalić od nowa Przepraszam ktoś źle zapamiętał to oczywiście nie wina wykładowcy studentów jeszcze raz na szybko Co ja tu robię Dobra to Uwaga kto zapamiętuje Cała sala Pamiętajcie bo to się będzie już do końca przewijać Dobra to tutaj się łączę tak tu się łączę tak tu odpalam teraz tak odpalam tego ima tu odpalam NZ o tak o wspaniale odpaliło się Patrzymy czy możemy tutaj pisać teraz pytanie kontrolne który tam był numerek jeden bardzo dobrze to aż od osób ze streama też było słychać Dobra to uwaga próbujemy Coś się zadziało wygląda to dziwnie Sprawdźmy gdzie jesteśmy z tym
naszym Pointer O patrzcie tutaj przeskoczyli przed czyli prawie jesteśmy w domu ponieważ ja słyszę burczenie brzuchów Więc opowiem wam co za chwilę się wydarzy i dlaczego to nie zadziała Ja się straszliwie podałem że rozwiązałem ten problem zrobiłem fikoły poter natomiast jak spróbujecie tam się przesunąć do tego to wam się uda ale co musimy wpisać do Rest Flag żeby ten restriction Mode zdjąć zero jak wpiszemy zero to niestety micro im Max stwierdzi że skończyliśmy komendę i nie zapisze tam tego zera więc zrobiło mi się strasznie przykro Nie będę ukrywał że przeszedłem drobne załamanie nerwowe i no i pomyślałem sobie że głupi sof z 85 roku jednak miał szczęście no ale nie mogłem mu dać za za wygraną
dlatego pewnego Styczniowego zimnego dnia postanowiłem trochę poczytać kod a właściwie to odpaliłem ten kod i rozwiązanie przyszło samo zrobiłem co coś takiego grab Last Pointer gwiazdka no i patrzcie tutaj Okazuje się że w kodzie są takie miejsca które same zapisują zer do pod te miejsce o które mi chodzi czyli jakbym był w stanie się przesunąć idealnie w momencie wykonania takiej linijki do tego miejsca to bym mógł wpisać sobie zero do tej flagi i byłbym w domu więc śledziłem długo jak te funkcje działają między sobą znalazłem takich miejsc trochę natomiast tam ciekawym problemem było to że te miejsca
triggerować ze st Buffer overflow albo z jakimiś innymi błędami bo ten kod był tak No nie chcę powiedzieć że źle ale frywolnie napisany trudno mieć pretensje do osób które ten kod pisały lat temu 40 40 tak także jeszcze jak przeczytacie sobie ten kod to OK że jest takiej dziwnej konwencji to już tylko najgorsze dinozaury pamiętają akurat ten plik nie ale jest taka jest w ogóle wiecie Jakieś deklaracje odpalania funkcji z Pascala żeby były żeby były Jumpy O tutaj jest też ciekawa konwencja bo ci którzy programują w c się z tym mogli nie spotkać ale to jest konwencja Tak to jest to już najgorsze dinozaury pamiętają pamię programuje dłużej niż niż świat [Muzyka] istnieje tak zanim Linux powstał i zanim
w ogóle wynaleziono ale znalazłem takie miejsce i to jest miejsce funkcja deb się nazywa i Pokażę wam jak to wygląda i pokażę wam dlaczego znowu mi się zrobiło smutno g funkcja deb deb deb deb deb deb deb Słucham tak okazuje się że w restricted Mode się da debugować skrypty Otóż to jest funkcja debug nieistotne co co ona robi w tej chwili ale żeby sterować takie miejsce gdzie mogłem zapisać te te zer przechodziłem sobie przez nią i jest prawie idealnie da się wszystko wpisać ale jest taka linijka która obcina mój input Po wpisaniu do szerokości terminala No i terminal tam nie wiem ma do 120 znaków a ja potrzebowałem przynajmniej 128 No to co zrobić kto kontroluje terminal
[Muzyka] generalnie jak uprę się to sobie ten VT 220 tak rozbuduje że będzie miał 1000 linii No będzie głupio wyglądał ale powiedzmy te ekrany 16 na 9 Też na początku nie wyglądały jakoś specjalnie fajnie nie więc użytkownik ma możliwość ustawienia sobie szerokości terminala co więcej on wcale nie nie musi brać lutownicy w rękę tylko może zrobić taki trik ja tenas wam pokażę ale teraz już na ekranie nie zobaczymy nic przydatnego to się w ogóle nie nie zablokowało się bardzo dobrze Otóż ja sobie softower ten terminal i się robi to poleceniem stt tak nawet ktoś ktoś kojarzy i tu wpisze 25 bo ja potrzebuję tylko 128 i tu mam przyg może już żeby się nie rozdrabniać to
pokażemy sobie ten exploit to jest exploit który zapisze mi pod tym restricted FL dokładnie to co chcę czyli sobie odpalimy ten deb Mode Dosi się zrobimy taniec Pointer jak zrobimy ten taniec Pointer to Dosi się do tego Rest Flag tutaj i odpali się nam ta Magiczna
sprawdzić że że nie oszukałem ja to odpalę i zobaczymy czy nam się uda czy nie odpalę to w tym restricted Mode restricted Mode jest o tyle restricted że się da tutaj wciąż pisać to jest oczywiście wszystko rozwalone bo zmieniłem szerokość terminala więc wszystko się tutaj rozwaliło ale to nic bo bo możemy zapisywać to odmy sobie ten i zobaczymy czy zadziała czyzy jak spróbuj tutaj odpalić Shell com execute to pisze że wypisuje mi że komenda jest limitowana czy podlegam pod restrykcje No to ludzie ze Śląska nie mogą podlegać pod restrykcje to sprawdźmy czy czy jesteśmy to w stanie ominąć tu się trochę denerwuj bo to wymaga odpowiedniej kolejności skupienia Wydaje mi się że wszystko mam przygotowane dobra odpalamy uwaga jak
nie to odpalimy dwa trzy razy Na pewno przejdzie coś się dzieje Coś się tam wpisało i to co my zrobiliśmy to Wpisaliśmy sobie Pay do imaxa ale wspominałem że jest debug Mode więc trzeba sobie ten debug Mode debuguje makra więc trzeba te Makro odpalić a odpala się to funkcją execute Buffer która nie jest nie podlega pod restrykcje To odpal to coś się tu zadziało trudno powiedzieć co jeżeli mamy szczęście to ten restricted Mode się zdjął to Sprawdźmy jak teraz odpalę Shell ex to nagle się okazuje że mogę odpalić SH czyli zdjąłem ten restricted Mode czyli jest już prawie fajnie ale przypomnijmy sobie że naszym celem nie było to żeby to zrobić gdb tylko żeby adminowi BBS zhakować BBS więc możemy
cały ten atak powtórzyć tutaj na tym BBS i sprawdzić czy sprawdzić czy nam się uda ten Shell uzyskać to Uwaga to zróbmy to tylko tutaj oczywiście muszę znowu zrobić trik z rozszerzeniem terminala zapamiętajcie numerek pamiętacie osoby przed streamem też niech niech niech pamiętają to teraz tak tu rozszerzam sobie terminal no Dobra wpiszę 256 bo tak przetestowałem to połączmy się do BBS drugi raz Tu oczywiście się wszystko rozwaliło bo jest szerszy terminal no i będziemy chcieli sobie tu wpisać swój payload No i to mi się znowu zrobiło smutno bo zrobiłem całą akcję wiecie z z jakimś Memory corap z tańczeniem z poteri spędziłem nad tym kupę czasu ale zapomniałem o tym że jest VI Mode no i
VI oznacza że ja nie mogę napisać tylko mogę przeczytać no i zrobiło mi się strasznie przykro znowu przeżyłem kolejne załamanie nerwowe ale tak jak GKS Katowice nie mogłem odpuścić tego tej ekstra klasy więc poczytałem kod i okazało się że jak się to można zrobić tak można wcisnąć Escape wcisnąć x wcisnąć x wpisać set wpisać że zmieniam zmienną dolar C Mod tu wpisać wartość na przykład losową losową wartością jest na przykład wartość 1 No i nagle się okaże że mogę zapisywać No to chyba modeo [Muzyka] znaczy że mogę spróbować przeprowadzić mój mój tajny atak to Przeprowadź go odpalimy go sobie z z tej konsoli a może nawet przerzucę tutaj żeby to było spektakularne Chociaż tu się wszystko
rozwaliło nie to w ogóle nie tą konsolę przyniosłem co chciałem to Zamknąłem tam to to chciałem o nie o nie a nie dobrze jest czy nie To będzie na egzaminie dobra jest chyba okej dobra kto pamięta numer tej konsoli pi ufam wam ufam wam tu damy żeby to powoli leciało bo tak jest bardziej spektakularnie i będzie więcej nerwów dla mnie uwaga dajmy Delay taki tyko muszę jeszcze zmienić na piątkę i tu muszę zmienić na Final jeszcze chciałem wspomnieć w międzyczasie że dziś się odbędzie panel na koniec na który serdecznie zapraszam na którym będzie można zapytać o cokolwiek i też chciałem prosić dla organizatorów bisów wielkie brawa za to że zorganizowali ten event zorganizowali streamy i że w ogóle b wrócił także
wielkie wielkie podziękowania i brawa Dobra to odpalam na koniec i idziemy na obiad O ile oczywiście to zadziała No to wciskam enter Kto uważa że zadziała jest szansa czyli was przekonałem że chyba wiem wiem o co chodzi Ja nie jestem przekonany ale zobaczymy uwaga odpalam tam się powoli dzieją różne rzeczy w tle zapisują się te znaki napięcie trwa werble wibrują coś się tu dzieje teraz odpalam bufor moje tętno w tej chwili to 130 no uwaga czy się udało Nie udało się to jeszcze raz Ostatnio jak to prezentował był ten sam problem ale zwykle jak odpali się dwa razy to jest toie wstawiam sobie zapamiętajcie numerek tym razem jest inny to też będzie na egzaminie STS Łączę się na pbsa Ustawiam
sobie tutaj najzabawniejsze jest to że mam przećwiczone te demo 3000 razy w hotelu ale zawsze na prezentacji za pierwszym razem z jakiegoś wiem dlaczego teraz powinno się udać
Uwaga zast to Śląska Nie to nie jest to jest błąd językowy tak to jest błąd językowy za który bardzo przepraszam uwaga Ale wiesz co uznajmy że to jest GW Śląska uwaga odpalimy wyszedłem z ima Przepraszam jeszcze raz ja ja ten nie nie nie To ja ja ja oszukałem Aha jeszcze w ogóle mi się ten bufor tu zapisał bo bo wyszedłem z to jeszcze raz chyba że ktoś tego BBS już już zhakował dobra sobie tutaj damy tak i jeszcze raz tutaj Dałem już mniejszy Delay żebyśmy nie czekali z werbli teraz to idzie
Nie coś się tu dzieje Nie wiadomo co [Aplauz] fantastycznie to trzy słowa na koniec ja tylko przejdę to jest GKS Katowice po zwycięstwie w 94 roku w pucharze UEFA przede wszystkim gdybyśmy zastanowili się czy ten S był Dobrze zaprojektowany i w ogóle ten BBS Generalnie to ja dzisiaj wykładając taki BBS do internetu i odpalając pozwalając odpalić imaxa przeglądarkę lesa czy cokolwiek założyłbym że na pewno ten ktoś tego lesa przeglądarkę imaxa w Wima czy cokolwiek innego jest w stanie tak przewrócić że tego Shella zrobi więc powinienem raczej zadbać o to żeby działało to w takim środowisku że jak ktoś tam nawet wykona swój kod to żeby nic złego się się nie stało i to i to
jest taka lekcja do wyniesienia z dziś inną lekcją jest to że błędy Memory Cor są ciekawe i zachęcam do ctf żeby te kategorie p próbować próbować eksploatować No Oczywiście trudno mieć pretensje do tego że Programiści mikro i maa zrobili cokolwiek źle oni zrobili co mogli jak na swój czas to i tak był świetny Soft powstał w nim git więc gdyby nie oni to to nie wiem w czym wpisał tego nie w mikro w mikro imie także bardzo dziękuję za uwagę Mam nadzieję że was zachęcił do eksperymentu z Memory corruption jeżeli są pytania to chętnie odpowiem Jeżeli nie to nie będę też się kręcił gdzieś tutaj w pobliżu i zapraszam na panel o 17:30 do którejś z
aul nie wiem do której albo do a albo do b Chyba tak bo tylko tu są wykłady dzięki [Aplauz] a egzamin egzamin odbędzie się w przyszłą sobotę zwolnień oczywiście nie ma ci którzy zdają trzeci czwarty raz to kolegom koleżankom pomogą którzy zdają pierwszy raz można przynieść swój modem ale eskalację do Ruta robicie sami i trzeba przynieść swój terminal tak to to
oczywiście jest naprawdę dziw
i zaczynamy To na początek kilka słów o mnie inżynierią wsteczną i programowaniem różnych ciekawych rzeczy w firmie Box prywatnie wolnym czasie bezpieczeństwo niskopoziomowe wszelakie jakieś Rowy software hardware eksploatacja i tak dalej tak samo Rut kity i bot kity wszystko co na ringu zero i niżej to mnie interesuje raczej także to to jest moja taka działka i casualowo czasami sobie zagram w jakiegoś ctfa albo odpalę tutaj kategorie to raczej reversing albo kryptografia to takie chyba moje trzy ulubione No i Jeżeli ktoś chciałby się ze mną skontaktować na jakimś discordzie czy Twitterze to AD kelman to powinno do mnie przekierować i o czym będzie dzisiaj Najpierw się wytłumaczę może dlaczego się w ogóle formatem zainteresowałem potem pokrótce opowiem o
strukturze Forcie przedstawię Kilka prostych sztuczek w formacie Mao które mogą być zaimplementowane przez ludzi którzy nie do końca może by chcieli żeby ich programy były analizowane nie za darmo analizowane potem sobie mówimy ZR sobie takie case study pewnej kampanii spu Który targował macos z tego roku No jakieś wnioski to tak Dlaczego format o no przede wszystkim dlatego że istnieje A ja lubię rzeczy niskopoziomowe formaty plików wykonywalnych i nie tylko jakby to już jest jakiś tam bodziec że jak już coś istnieje takiego to może warto by się tym zainteresować No ale oczywiście ciekawość tak bo przede wszystkim fajnie jest znać strukturę danego formatu który jakby no jest używany i jakby może warto wiedzieć i jakby zobaczyć co można z takim
plikiem zrobić przeczytać sobie kod tego znaczy jak to jest napisane i może znaleźć jakieś rzeczy które nie do końca przewidzieli autorzy tak i i zrobić coś śmiesznego można też jakby poznać różnicę w porównaniu z przynajmniej takimi dla mnie standardowymi formatami plików czyli PE i Elf No i z perspektywy analizy malware ten format mi się wydawał przynajmniej dość niszowy bo choćby jak się wejdzie na malw bazar i się puści zapytanie o pliki w formacie PE albo Elf i zobaczy się ile tego jest potem się zobaczy pliki w formacie Mao No to jest tego drastycznie mniej tak także nie jest tego dużo więc kolejny jakiś bodziec że ciekawe może Czemu nie Nie ma tego dużo No i zdarza się że
trzeba taki plik w pracy zwow i podobno to dobrze motywuje Ale to mi kolega mówił także tak struktura plików ma O tutaj na tym slajdzie przygotowałem takie wizualne porównanie na początek tych powiedzmy trzech formatów czyli PE Elf io żeby tak się powiedzmy wzrokiem sobie ogarnąć jak to wygląda no i widzimy że nie jest to jakieś tam strasznie różniące się od siebie trochę się nazywają inaczej rzeczy typu są load commands w formacie Mako ale load commands ni są ze sobą te same informacje co na przykład program headers w elfie są też sekcje i tak dalej no najgorzej tak w sensie to wygląda to w miarę zachęcająco nawet tak i No oczywiście dzisiaj się skupimy na tym żeby sobie powiedzieć tak
mówię powierzchownie Co to jest header load Command segment commands se sekcje i segmenty No to tak nagłówki to tak wygląda tak wygląda kod z pliku ma loader który można sobie znaleźć w necie albo pobrać albo sobie po prostu odczytać i zobaczyć jak to jest napisane no tutaj są standardowe rzeczy jest Magic number tutaj jest Fit face dla architektury 32 32 bitowej jest to prawie tak fajne jak deadbeef albo Dead Code także jakby też Plus za za fajne fajny Magic number a same pola w tej strukturze No to tak naprawdę jest co Magic jest typ CPU typ pliku rozmiar wszystkich load Command i flagi dla architektury bitow tak naprawdę różni się tylko to że dochodzą nam te bity
zarezerwowane i na głów nie na główek tylko Magic number już nie jest Fit tylko Fit już nie brzmi tak fajnie jak architek 32 bitow tutaj są typy plików mak Jakie możemy spotkać dzisiaj będziemy analizować dalszej prezentacji ten plik executable czyli tutaj jest ten Hex 2 i dynamic Library czyli Hex 6 ale No generalnie to wszystko jest w kodzie zdefiniowane co tam można spotkać load commands No sama struktura load Command to niesie ze sobą dwie takie informacje Główne czyli jest typ load Command i rozmiar w bajtach tych comand ale samych load Command jest już całkiem sporo i tak naprawdę one tak jak mówiłem w tym porównaniu em PE tutaj jest bardzo dużo informacji tak naprawdę całej struktury opis całej struktury
całej struktury pliku mamy informacje gdzie są segmenty mamy informacje na przykład czy plik jest biblioteką tutaj jest ten LC ID delp mam informacje dla interpretera tutaj na tym slajdzie nie mam tego ale jest też load Command LC Main która nam określa Gdzie jest entry Point albo funkcja Main mamy tak naprawdę bardzo dużo informacji konkretnym programie następnie były segment Command segment Command to tak naprawdę określa w skrócie zę zasięg bajtów które które stworzą segment I one będą jakby zmapowane na adress Space programu później sekc czyli sekc czyli to jest to Z czego zbudowane są segmenty w tej sekcji data na tamtym obrazku i ponownie No tutaj mamy tak naprawdę garść informacji wszystkich elementów danych które używane są przez konkretną sekcję
no przede wszystkim mamy nazwę tej sekcji i segment do której trafi informacje o pamięci rozmiarze w bajtach of setach i tak dalej no myślę że nie jest to jakieś zaskakujące że mamy takie informacje ale fajnie jest wiedzieć jak to wygląda no i sekcje są różnych typów generalnie jak się potem rewersu plik i mamy segmenty typu tekst data link Edit nie zobaczymy takich nazw nie zobaczymy że w sensie że mamy sekcje typu S regular one występują pod innymi nazwami ale tak naprawdę pod spodem to są sekcje właśnie tych typów tak i to są budulce segmentów a same segmenty No to wyróżnić takie najważniejsze C tak spotykane które możemy to na pewno będzie Page zero będzie to tek będzie to data Object może
i link Edit z czego wiadomo segment Tekst zawiera jakby kod wykonywalny i wszystkie dane readon sekcja data zawiera te dane writeable zaczy nie sekcja tylko segment Przepraszam a segment link Edit zawiera tak naprawdę wszystkie informacje takie jak symbole wszystko co potrzebuje linker loader pracy z tym plikiem tak I w sumie tak w dużym dużym skrócie tak są zbudowane pliki ma i teraz makowe sztuczki Ja generalnie tą sekcję chc zacząć od pytania Jak rozpoznać że jestem uruchomiony w debag bo jak złem tym interesować to interesowało mnie w jaki sposób ktoś może próbować przeszkodzić w analizie takiego pliku więc zaczynałem sobie od zadawania do goog takich pytań właśnie w kontekście formatu ma właśnie Jak rozpoznać że jestem w debag jak się
okazuje takie pytanie padło na stronie developer apple.com w sekcji Technical qa i No to jest pytanie i odpowiedź była równie fajna ponieważ ktoś po prostu odpisał że i nazwał tą funkcję mib i to jest funkcja żywcem wzięta z tej strony to już wisi ileś tam lat i co ciekawe wciąż są Próbki które implementują tą funkcję także nawet na stronie możemy znaleźć jakieś takie przeszkadzajki dla analityków No i co ta funkcja robi no ta funkcja zwraca TR jeśli konkretny proces który nas interesuje jest debowy i tak naprawdę no nie ma się jakby nad czym zastanawiać bo ten kod jest bardzo bezpośredni ale w dużym skrócie jakby inicjujemy sobie jakieś tam zmienne ustawiamy sobie flagę do M
iib wrzucamy sobie informacje o konkretnym procesie który nas interesuje który my chcemy zbadać robimy Cola do syl z tą na temat tego konkretnego procesu No i jeżeli ustawi nam się flaga p No to jesteśmy
debugowania ona mówi tyle że deb proces being tak no i w momencie jeżeli faktycznie ta flaga nam się ustawi to debugger nam się wykrzacza teraz pytanie mę ściągi tak generalnie jak sobie z tym radzić tak no bo fajnie że wiemy że coś takiego może być ktoś to może zaimplementować i pytanie jest jak sobie z tym jak sobie z tym poradzić No to wystarczy sobie jakoś tam wyliczyć offsety dla tego Cola do do PIT i jeżeli uda nam się dostać do tej wartości to po prostu ją skserować przed kolem i tak naprawdę żeby w momencie tego syl ta wartość była inna niż dla tej fragi p i to powinno bezpośrednio udać się jakby kontynuować debugowanie pliku następna sztuczka która jest myślę
bardzo znana i lubiana w środowisku rewersów na platformie macos to jest PIT Race p d attach 00 No pitrace to jest generalnie takie utility które jest nie tylko na Mai bo na Linuxie też jest i służy do trasowania konkretnego procesu patrzenia mu w rejestry w pamięć i tak dalej Ale co jest specyficzne dla macos i to chyba nie jest zaimplementowane nigdzie indziej to jest ptd attach i to Apple dodał do jakby tych parametrów dla Pet Race żeby chronić Kent który jest drm jakby Digital RS Management typu jakieś tam iTunes i tak dalej w sensie wszędzie gdzie jest kontent który ma jakieś tam prawa autorskie to oni bardzo chcieli żeby przeszkadzać ludziom którzy mogli chcieli mogliby chcieć coś zrobić
z tym contentem więc taka taki parametr pt został do osx też lata temu już dodany i o co chodzi No tutaj mamy dwa przykłady dwa kety które Wziąłem od Ala omary który opisuje różne fajne sztuczki w formacie mako i tutaj Te dwa snet są bardzo bezpośrednie więc uznałem że ich Użyj żeby pokazać o co chodzi tak naprawdę to SPR do tego że jeżeli uruchomimy proces debag to będzie lldb czy gdb czy coś to w momencie tego Cola do pt program nam się wywali ze statusem 45 albo 2D w heks i to jest o tyle istotne że nam się wywali z tym statusem że ten status jest jakby specific dla tego pt więc generalnie widząc coś takiego
już powinniśmy od razu wiedzieć że w kod No i jakby wiemy z czym się mierzymy to możemy łatwo uzna zaczy możemy w miarę łatwo sobie z tym poradzić No w tym przykładzie po lewej stronie gdzie jest po prostu ATT to wystarczy tak naprawdę zrobić co ustawiamy breakpoint na PCE i zerujemy albo kemy c prostu zmieniamy wartość pt ATT tutaj na scie po prawej jest w linii dziewiątej Hex 1f to jest właśnie jakby ten number Value dla dla tego pt attach więc tak naprawdę na odpowiednim rejestrze wystarczy tą wartość zmienić i przejść dalej I jakby ten trik przestaje działać trochę trudniej się robi w tym drugim wariancie Jeżeli ktoś to samo zrobi co po lewej stronie tylko że zapisze to w asemblerze
bo co w sensie możemy widzieć ten status 45 wywala nam się ustawiamy Break na się nic nie dzieje tak nie dostajemy nic możemy nie mieć symboli na przykład dla ten jakby nic nam nie daje taka wiedza więc wtedy tak naprawdę możemy w kodzie spróbować znaleźć Cola do tej zą wartością Hex 2001a to jest jakby numer tego sysa do tego z argumentem p z wartością Hex 1f i jeżeli uda nam się to ustalić to można w debag gerze przed jakby kem do tego 21 po prostu rejestr RX No mówię ponownie skserować wyzerować tak żeby tam były jakieś śmieci i to powinno to powinno nie powinno tylko to zadziała i będzie można ten kod dalej analizować kolejnym trikiem to jest trik
czysto ctf to jest trik z pewnego KRM gdzie autor tak naprawdę wykorzystując To w jaki sposób jest zdefiniowany d a konkretnie Command powodował że po prostu wykrzacza się debugger i o co chodzi mamy tutaj Union LC gdzie mam zdefiniowany offset offset string nie dużo nam to mówi i za chwilę też jakby poszukamy sobie trochę dalej Czym jest ten offset konkretnie i jak to można wykorzystać co jest istotne że ten ten ten lcst potem jest wykorzystywany w DP a dp jest ładowany w delp Command i teraz offset w dokumentacji appla można znaleźć że offset to jest long integer czy to jest bite offset z startu konkretnej load Command która zawiera ten konkretny string początek t string dat i co jeszcze wiemy wiemy że
offs będzie mieć 24 baj z reguły tak jest zdefiniowany przez jakby ponownie architekturę tych plików więc mamy rozmiar mamy offset gdziekolwiek tak I jakby co można z tym zrobić no można z tym zrobić tyle że autor konkretnego prostu załadował ten string umieścił string gdzie indziej zmienił offset i
skompilować konkretnych sekcji No i głupieje I się przewraca żeby to naprawić pewnie trzeba by po prostu sobie spaczować tą binar i te wartości pozmieniać ale trik jest dość dość zabawny więc jak to widziałem więc się podzieliłem ostatnim trikiem takim bardzo common myślę dla dla ludzi którzy chcieliby przeszkodzić w analizie to będzie użycie exception Ports exception Ports to jest tak jakby alternatywa macowa dla obsługi sygnałów uniksowych a to się dlaczego alternatywa bo sygnały na maku są obsługiwane przez pewną część kernela i tam są po prostu zdefiniowane jako exceptions i potem takie exception czyli sygnał trafia do konkretnego exception port z informacją czy był Success czy non Success Tak wyglądają te te exception tut widzimy że to jakieś tam Bad Access Bad instruction
arithmetic Break tak dalej więc jakby to już widać że to jakby jest coś co jest często gęsto używane przez jakieś tam debag i tak dalej do prostu handing no i generalnie jak ktoś by chciał nam przykrzyć życie w kodzie to mógłby sobie zdefiniować zaczy użyć takiej funkcji jak task get exceptions i tutaj jej drugim jej drugim parametrem jest exception types i osoba która pisze kod który nie chciałby żeby był analizowany może po prostu wszystkie wrz tą funkcję i potem forem przejść i zobaczyć gdzie miał non Success jeżeli zwrócił mu się non Success powiedzmy na Break Poincie czy gdziekolwiek to po prostu jest Shutdown i kończy się wykonywanie programu i to jest takie dość już takie
fajne bo to już mówię to jest wykorzystywanie sygnałów fajna sprawa i nie jest taka powiedzmy myślę łatwa do zidentyfikowania jak na przykład właśnie pt gdzie ma konkretny st złośliwym i pytanie czy jest coś poza tym no oczywiście że jest jest mnóstwo różnych fajnych trików które niekoniecznie są związane z jakimś tam złośliwymi rzeczami bo nie wiem jest binary golfing czyli mnóstwo różnych trików żeby zrobić plik jak najmniejszym się da i żeby dalej działał normalnie są różne triki które na przykład powodują że jak się plik załaduje Do ID czy do guidry to plik który działa normalnie i normalnie pokazuje stringi w śmieci zamiast stringów bez konkretnego algorytmu użytego więc dużo różnych fajnych sztuczek i ja generalnie Zachęcam do zainteresowania
się tym bo tak naprawdę te rzeczy potrafią być dużo ciekawsze niż taki taki malware A można się nauczyć naprawdę dużo jak to wszystko działa No i tak Przejdźmy sobie do rewersow malware w formacie Mac o omówimy sobie Kampanię Light Spy to była kampania która targetowa ludzi w Chinach i była też [Muzyka] atrybucie i ten malware generalnie Pierwszy raz był zidentyfikowany na systemy Android i iOS w roku 2020 już przez kasperskiego bodajże w tym roku była identyfikacja wariantu atakującego maki i Celem tego malu był tak naprawdę bardzo szeroko rozumiany Cyber Piona ten Mal składał się tak naprawdę z 10 pluginów które miały za zadanie eks filtrować dane i tak naprawdę owali wszystko w sensie historia przeglądarek
kamera pliki rzeczy skain informacje o sieci w jakich w sensie o sieci w której było dane urządzenie przez pingowanie tak naprawdę możliwych adresów i zbieranie odpowiedzi softu zainstalowanego na na zainfekowanym hoście i Generalnie miałem trochę wrażenie że to jest coś takiego jak właśnie bo tak naprawdę No eksfiltracja była wszystkiego co się dało Tak i tutaj jeszcze wspomniałem Delivery tego się odbywało poprzez eksploatację błędu z 2018 roku błędu z tego roku więc poerwsze ludzie a po drugie śmieszny fakt explo których używali TR aktorzy były po prostu skopiowane z 1 do1 nawet z nickami autorów tych exploitów w stringach więc jakby bardzo niski wysiłek był tak W każdym razie Jak wyglądał Infection Chain No była eksploatacja tego Sześcioletniego błędu żeby
dostarczyć plik cyferki PNG tylko był plikiem PNG tylko z nazwy to był tak naprawdę plik Mac który miał w sobie dwie funkcje to była funkcja injection i funkcja Spaw VI lunch D Z czego funkcja SPA VI l była też skopiowana z jakiegoś githuba 1 do1 a funkcja injection miała za zadanie z jakby odczytać Ed z siebie skrypt i wykonać go właśnie przez to SP la a ten skrypt pobierał między innymi loader całego bwu już z który był odpowiedzialny za ładowanie pluginów i tak dalej więc no jakby dużo rzeczy atakujący wzięli z internetu żeby sobie nie robić pod górkę moim targetem analizy był było kilka plików był właśnie ten loader i były pluginy Land devices Shell Command key i
Browser i wicej No o to Zostałem poproszony pracy żeby odpowiedzieć na kilka pytań związanych właśnie z tymi plikami więc ja jakby mając tą całą wiedzę jakby w sensie mniej więcej wiedząc Jak wygląda plik Mako wiedząc że są jakieś sztuczki które mogą mi życie uprzykrzyć to miałem trochę podejście takie bo mówię kurczę no fajnie jakiś tam chiński traktor malw który tam kampanią Cyber espion w ogóle kradną wszystko i szpiegują pewnie pewnie się czegoś fajnego nauczę Nie No to zobaczymy potem czy dalej będę będę się tak cieszyć Ale tak co przed dekompilacji tak no bo jakby mam pliki które chcę zwow ać one na przykład mogą być zwus i tak dalej to też się wyjaśni że obfuskacja
była ale nie była jakaś super skomplikowana ale tak naprawdę jeśli chodzi o jakby predominacja to jest tak naprawdę można użyć sobie standardowych narzędzi które są na przykład na Linuxie typów File i tak dalej żeby zobaczyć sobie co te pliki mają w sobie Strings tak naprawdę jakoś się nie rozczula nad tym bardzo szybko przeszedłem do do obfuskacja i analizy w gid także jeszcze można sobie załadować taki plik na przykład do programu detect It Easy i zobaczyć na przykład właśnie system operacyjny jaki kompilator W jakim języku jest ten jest ta binar entropie poszczególnych sekcji tutaj akurat już jest są not packed one były packed takim fajnym korem ale to się wyjaśni w trakcie Czemu to nie była jakaś tam przeszkoda i można
było bardzo szybko przejść do kodu w ręczną w PL tekście tak więc tak makc loader to jest plik wykonywalny w formacie ma tutaj widzimy że jakby od początku jakby [Muzyka] mamy File Type 2 w heks tak jak pamiętamy ze slajdów dwójka oznaczała plik wykonywalny i faktycznie to był plik wykonywalny także tutaj się wszystko zgadza trochę niżej Mamy wszystkie segmenty i sekcje tak jak mówiłem że tamte sekcje tam s regular i tak dalej że one nie występują w tych nazwach bo faktycznie raczej się spotyka typu sekcje typu tekst stab stab Helper i tak dalej Ale jakby te typy się cały czas zgadzają więc to jest tylko kwestia no jak to się nazywa jak się spojrzy w program No to też
możemy sobie przejrzeć przez przejść przez te wszystkie segmenty i sekcje i zobaczyć co jest w każdej z nich więc to jest też całkiem jakby przydatne w niektórych przypadkach mamy symbol Tre dla tego makc loadera i tak naprawdę ten makc loader nie był jakoś Subkowy więc tutaj miałem już ten przywilej że mogłem sobie na takie coś patrzeć no i tutaj mamy kilka klas które jakby no jakby same nazwy tych klas już zdradzają mniej więcej co ten malware chce robić ale na przykład mamy klasę aes i tam jest funkcja decrypt bardzo fajna mamy mamy configuration która tak naprawdę mamy szereg funkcji które odpowiadają za konfigurację malware załadowanie configu zdes go i po prostu pobranie z C2 pluginów i
zainstalowanie tych pluginów na zainfekowanej maszynie ale tak jak mówiłem że ten config config trzeba było zeszyć ten KIG był zaszyfrowany aem ale tak się składa że w kodzie był klucz podany więc mając jakby tak fajnie to napisali że można było sobie po prostu wziąć ten klucz i zdes config I tam był cały szereg C2 był były IP wszystkie były ID pluginów były nazwy pluginów był jakieś komentarze No po prostu cały plik konfiguracyjny był No w sensie oni prawie wszystko skopiowali więc ja byłem niepocieszony trochę przy analizie ale tak I tutaj co tutaj jest przykład właśnie tego Cola do ASD cryp Na jakim argumencie tym argumentem prawdopodobnie był config bo tylko to było des szyfrowana aas A co
jest niżej cały ten paw to jest artefakt deweloperów w tak w takim jakby directory był trzymany config też stąd nazwa RC loader tak to nazwali deweloperzy więc jakby już ta nazwa chyba została Tak więc jakby tak to wyglądało No nie jest to zbyt fajne mamy namespace i Jak myślicie co jest f jest taki algorytmem i z Counter i tak naprawdę ten algorytm był używany do de obfuskacja [Muzyka]
[Muzyka] analizy konkretnego pliku więc znowu no nie jest zbyt fajne nie Ale tak przejdźmy do modułów które były jakby ładowane z tego mak loadera czyj pobierane przez ten loader ja tutaj Omówię tylko jeden tak bardziej szczegółowo lip K który miał za zadanie kopiowanie wszystkich rzeczy z Kain które chyba się dało i wysyłanie je na C2 no znowu tutaj mamy akurat File Type 6 w he i to jest Dynamic Library to nie był plik wykonywalny wszystkie pluginy były ładowane jako biblioteki i tam trochę niżej mamy load Command ID faktycznie jest identyfikator że Lipki chip jest jakby rozpoznawany jeżeli sobie wejdziemy w symbol symbole No to mamy znowu już Pok mamy szeregow funkcji mamy nazwy więc można po prostu
po nazwach wybrać funkcje k nas interesują i przeanalizować konkretne funkcje według tego na przykład o co się nas pytają w pracy no także spoko nie mamy klasy No i ponownie mamy klasę keychain i mamy szereg funkcji typu AD certificat Generic password Generic password Keys get name get plugin ID jest naprawdę wszystko jakby co jest potrzebne temu plugin nowi do działania mamy get plugin ID on zwracało 31000 takie same wartości były w configu więc ten generalnie chyba chodziło o to żeby po prostu identyfikować po idach który plugin już jest załadowany który nie i nie wiem może uzupełniać te brakujące nie wiem to generalnie dziwny był ten kod tutaj jest co aha kolejne mamy jakieś artefakty tutaj na przykład właśnie ten
plugin był w directory f Warehouse Mac New plugins keychains keychains i generalnie wszystkie pluginy były trzymane właśnie w tym ich Warehouse tak holderze New plugins No także tak to wygląda ale ja tak naprawdę nie będąc zbyt jakby pod wrażeniem tego kodu i już trochę taki powiedzmy może nie zniesmaczony ale jakby że spodziewałem się czegoś więcej chciałem czegoś ciekawszego więc jak miałem taki kod to po prostu chciałem znaleźć jak najszybciej funkcje które mogą robić ciekawe rzeczy z perspektywy ludzi którzy mnie o to pytali i im powiedzieć jakby w jaki sposób w jaki sposób powiedzmy właśnie w tym przypadku ten moduł kopiował rzeczy z keychain i je wysyłał na C2 No i znalazłem sobie między innymi w
funkcjach item Copy matching która miała Cross
Czyli jak to może być jakaś poszlaka Jaka jest definicja funkcji copying z dokumentacji macos zwraca jeden albo więcej Jakby ke items które pasują do zapytania tak no i tutaj mamy przykładu wizę [Muzyka] certificate tam w chyba SJ si linii od góry i tak naprawdę o co chodzi No tutaj w tym uwar 7 jest właśnie to zapytanie jakby budowane i chwilę niżej jest właśnie Call na tym ivar 6 do se copying na tym uar 7 czyli po prostu kopiuje informacje o certyfikatach jeżeli jest rezultat tej operacji różny od zera m eror Handling zaimplementowany Dlaczego różny od zera bo funkcja item copying zwraca os status a os status jeżeli zwróci zero to jest no error wszystkie inne wartości to jest jakiś
tam błąd więc tutaj nawet taki prosty error Handling był zaimplementowany następny slajd co tutaj jest Aha tutaj widzę jest jest referencja do CF Airport Airport to jeżeli się dobrze orientuj to jest utility takie do WiFi i sieci na na macach i jeżeli się Jeżeli dobrze pamiętam to hasła do do właśnie WiFi i tak dalej do Airport też są przechowywane w keychain i tutaj ponownie takie hasła były kopiowane i wyciągane i teraz tak skopiowali wszystko co chcieli i tak dalej I teraz co się z tym dzieje te dane były generalnie serializowanie [Muzyka] one były wysyłane na C2 z tym post formur Comp na jakieś tam ipi to była końcówka tego C2 i tam sobie trzymali wyniki tak tego co im się udało wyspać
na tym były jeszcze inne pluginy był Shell Command by Browser No i tak używa żeby sobie dać możliwość tego nie jest to jakieś imponujące chyba L devices czyli plugin który pinga jakieś tam powiedzmy podsieć w której był był zainfekowany host to był po prostu Simple ping który jest na githubie i autorzy nie wiem czy cokolwiek tam zmieniali W każdym razie bardzo wysokie prawdopodobieństwo że po prostu skopiowali w całości ten projekt i używali wszystk tych sieciowych rzeczy tego tego projektu plugin Browser był zainteresowany historią przeglądarek z Chroma i Safari i polegała ta eksfiltracja na tym że po prostu zapytaniem sqli kopiowali te pliki z tą historią i wysyłali na C także To naprawdę było No trochę nudne w sensie bardzo
bezpośrednie ale bez żadnych fajerwerków więcej czułem Po analizie tego bo byłem nastawiony na jakieś fajerwerki mówię tak no chiński traktor Cyber espion w ogóle mnóstwo różnych pluginów do eksfiltrację danych mówię to będzie Fajne nie I to się okazuje że operacja polegała na eksplo sześcioletnich błędów spami z metasploit pluginy były oparte o frameworki czy jakieś tam projekty z githuba skopiowane je do je a sama eksfiltracja czy powiedzmy jakby operowanie tych pluginów to było właśnie typu użycie po na procesie i tyle albo użycie funkcji item copying Żeby skopiować konkretne konkretne wartości No nie podobało mi się to nie działa finzi chodzi że żeby niea potem na b z prezentacją ale był super malware ale mi się podobało tylko im chodzi o to
żeby to działało tak oni mają jakieś tam cele i to działało faktycznie więc jakby tylko mówię z perspektywy analityka i mam taki właśnie fragment rozbisurmaniony reverser Talking bo mówię ja się wywodzę z tego powiedzmy z tej braci cfj właśnie reversing interesują mnie r kity kity Mal który jest napisany z reguły bardzo dobrze i robi bardzo fajne rzeczy mówię no w sensie Ring zer i niżej to są naprawdę ciekawe rzeczy i w pracy z reguły nie taki Mal się rewersu jeżeli ktoś o coś tam prosi tylko właśnie z jakiś takich kampanii A te kampanie nie nie są raczej wysokiej jakości dużo takiego skinow przeklejania kodu który nie wiem działa bo działa Nie wiem czy zawsze działa pewnie nie zawsze
no bo mówię tutaj była kampania oparta o s lat więc No wystarczy się spaczować nie i będzie spoko i Where are gdzie są te wszystkie sztuczki i triki i ten fajne rzeczy które mi obiecano zaczy wiadomo one są można je znaleźć ale jeżeli jeżeli powiedzmy ktoś ma przywilej analizować malware w pracy to jeżeli by bazował prawdopodobnie tylko na tych takich kampaniach Konsumenckich że tak powiem to nie to niezbyt często by jakieś ochy i jachy były reguły analiza wyglądała tak że ten Mal był taki dość pokraczny No to przejdźmy do wniosków pierwszym wnioskiem którym chcę żeby jakby został z wami po tej prezentacji to jest to że warto znać strukturę plików z którymi się pracuje bo można robić z nimi fajne rzeczy które
niekoniecznie mają związek z malem [Muzyka] ale są fajne rzy moż robić faj szp d to jest spoko manipulacja plikami Maco jest fajna poza tymi sztuczkami które pokazałem jest mnóstwo innych które robią fajniejsze rzeczy ale nazwa tego Toka by musiała być trochę inna żebym mógł o nich Tak dokładnie opowiedzieć No i tak jak mówiłem zdając struktury plików wykonywalnych można robić Naprawdę ciekawe sztuczki które niekoniecznie muszą komuś psuć komputer Albo robić coś złego tylko po prostu są ciekawe i fajnie je znać i fajnie poznać właśnie można się nauczyć jak działają pliki Jak działają systemy i tak dalej I naprawdę warto to często jest ciekawsze niż malware paradoksalnie rewersow takiego wcale nie musi być bardzo wymagające to na
przykładzie chińskich traktorów mamy przykład że byli na tyle fajni że klucze do Asa i xora nam nawali w kodzie więc można było sobie fajnie zkowa kod i przejść przez niego szybko i zapomnieć o tym rozb Rewers ciąg dalszy czy ciężko ciekawie Mal Jeżeli patrzymy na kampanie konsumenckie przynajmniej te które do mnie trafiają bo też nie mówię że nie wiem śledzę wszystko jak leci Bo generalnie w pracy w pracy rewersu tylko ten kot o który jestem poproszony i generalnie w takim kontekście Pewnie ciężko bo mówię raczej jest bardzo dużo niskiej jakości próbek w porównaniu z tym malem który jest jakościowy i który czegoś tam uczy ale zawsze moż parować coś innego tak jakiś dziwny software dziwny
firmware dziwny kod i generalnie Ja Zachęcam do analizy właśnie rzeczy dziwnych jakiś nowych software hardware architektur generalnie można się nauczyć Mówię więcej niż patrząc właśnie choćby w jakiś taki śmieszny malware co warto poczytać przede wszystkim Ja polecam czytać ziny of Concept dotout frag Paged out tam jest mnóstwo różnych artykułów które właśnie pokazują sztuczki właśnie pokazują takie właśnie fajne rzeczy hackingu taki hacking prawdziwy nie taki jakiś złośliwy który kradnie ludziom dany tylko taki hacking właśnie jak coś można wyhaczyć w jakimś tam formacie plików wykonywalnych Jak działają jak działają systemy operacyjne w sensie można się naprawdę dużo nauczyć o internals Linuxa Windowsa Maca i o tych formatach plików także to polecam Jeżeli kogoś interesuje malware to VX Underground tam jest mnóstwo
próbek i można sobie znaleźć takie właśnie ciekawe które czegoś uczą i pokazują że może być fajny malware i mnóstwo Paper o analizie i opisaniu malu można się uczyć Jak analizować taki malware przez to jak się widzi jak taki malware powstaje i tam naprawdę mówię Rity bity Można naprawdę fajne rzeczy poczytać i się douc i to naprawdę potem pomaga przy analizach wiadomo jak ktoś chce jakiś tam research zrobić na na macos no to dokumentacja Apple developer i opensource propp jeżeli chodzi o malware konkretnie na Mai No to the Art of Mac malware książka która jest dostępna za darmo w necie na stronie autora i tam autor po prostu od a do z pokazuje jak takim malem się zajmować
blogi między innymi z których korzystałem i które też warto odwiedzić no to jest rever tam się o tym triku z kashani gdb przez offset AB dowiedziałem Alex Omara ma kilka fajnych artykułów O właśnie takich Anti debugging sztuczkach w formacie Mac TR Fabric Hun i Kasperski jeżeli chodzi o analizę takich kampanii właśnie jak ten Light Spy czy inne no to generalnie tam to można znaleźć z mojej strony to tyle Czy są jakieś pytania [Muzyka] je jest śmieszne że kś w kodzie kluc zobić inaczej żeby uruchamiał uruchamiał ale żeby zabezpieczyć swój k No na przykład żeby nie trzymać klucza po stronie klienta po prostu tak albo go jakoś tam chować w różnych stringach widziałem takie różne sztuczki typu
jakieś śmieciowe dane gdzieś tam była jakaś funkcja k śmieciowych dany wyciągała konkretne bajty i z tych bajtów był klucz nie nie musi to być po prostu wście wiadomo to wciąż można znaleźć ale no tak jak tutaj było pokazane No to to było aż za łatwe nie No
bo tak no w sensie można przejść przez taki kod i jakby to wszystko sobie ustalić nie także tak tak jasne tylko chodzi o to po prostu z reguły przynajmniej z tego co ja widziałem i miałem okazję analizować to po prostu nie jest kwestia żeby to było niemożliwe ale po prostu żeby spowolnić jak najbardziej ten proces analizy nie nie zawsze jest takie
bezpośrednie no w sensie naprawdę sztuczki ukrywania takich rzeczy też jest mnóstwo nie tego A jakby ktoś miał jakieś pytania prezent bo nie wiem Nie chcę teraz powiedzieć
albo w sensie takie automaty generalnie mają tendencję do na przykład wykrz się Cami po prostu wyś po drodze a jeżeli już im się spodoba to przynajmniej na tyle na ile ja z nich korzystam to one po prostu mogą wskazać mniej więcej miejsce powiedzmy konkretny segment gdzie się może coś dziać ale jeżeli chodzi o taką identyfikację konkretnych rzeczy złośliwych To mówię ja z reguły opieram się na analizie statycznej patrzę ręcznie w kod bo tym wszystkim maszynką to No mówię jakoś tak nie do końca ufam nie w sensie można ich używać są jest Cape Sandbox jest Drag w i tak dalej które na pewno sobie dobrze radzą ale mówię No myślę że najwięcej można wyciągnąć patrząc ręcznie w kod
[Muzyka] nie to chyba nie ma już pytań jakby ktoś Mówię Jakby ktoś chciał się potem skontaktować to Discord Twitter i tak dalej pod tym nickiem mnie można znaleźć No i dziękuję wam bardzo jasne dzięki
i i
i i
i i
mo zaczynać jeszcze 20 sekund
happ coś smutnego powied
ogry mają warstwy jak już wiemy tak jak tak jak cebula cebula dużo cebul i tak samo warstwy mają również internety warstwach zanim do tego przejdziemy to bardzo chciałam powiedzieć że jest to dla mnie ogromna frajda że występuję na tej konferencji i bardzo się cieszę że b wróciło i mam nadzieję że wróci na stałe trzymam kciuki dla organizatorów zdecydowanie więc tak zaczniemy od tego że muszę powiedzieć dwie rzeczy że to co będę mę w celach edukacyjny pamaj wasze albo na co nie macie zgody jest niezgodne z prawem podlega pod parę paragrafów z Kodeksu Karnego No i generalnie można sobie zrobić kuku więc nie róbcie tego w ten sposób a po drugie wszystkie rzeczy o których będę mówić są to rzeczy znaczy
przykłady o których będę mówić są to przykłady fikcyjne natomiast też warto wiedzieć o tym że one są inspirowane prawdziwym cego doświadczyłam co spotkałam na Pach żeby tak zaznaczyć temat to krótko powiem co się będzie działo bardzo krótko jak widać bo tak de facto nas czekają dwa duże punkty jeden To jest teoria drugi to jest praktyka i zaczniemy od teorii natomiast potem one się trochę będą przeplatać będzie trochę teorii potem trochę praktyki jakieś demem Trę teor muszę trochę opowiedzieć o tym jak działa internet żeby było jasne z czego w ogóle powstają te błędy które będę pokazywać na demo więc tak przede wszystkim Właśnie przejdźmy do tego jak działa internet więc Internet działa tak że mamy sobie jakiegoś
użytkownika mamy stację roboczą przy której Ten użytkownik sobie siedzi i na potrzeby tej prezentacj użytkownik albo stacja robocza albo jakieś urządzenie końcowe to to będzie dla mnie jedno i to samo żeby trochę to żeby usprawnić mówienie po drugiej stronie mam jakiś serwer który ma dane które Ten użytkownik chce pozyskać dowiedzieć się co tam jest to może być jakieś zdjęcie to może być jakaś informacja to może być jakiś filmik cokolwiek więc użytkownik korzystając z tej swojej jednostki roboczej komunikuje ty wysyła żądanie dostaje odpowiedź dostaje w zwrotce te dane o które prosi No i kiedy mamy innego użytkownika to sytuacja wygląda tak samo Kiedy mamy następnego użytkownika również to tak wygląda czyli ci użytkownicy komunikują się bezpośrednio z serwerem No jakby
Sytuacja jest taka że jak widać już tutaj po sylwetkach użytkowników to niekoniecznie jest to aktualna sytuacja tylko jest to taki stan który był kiedyś ale nie jest już teraz no może przejdźmy do bardziej aktualnego wyglądu internetu więc znowu mamy jakąś użytkownicy serwer Natomiast pojawia się coś pomiędzy tymi dwiema jednostkami które chcą się skomunikować i to jest bardzo istotne że ten element się tutaj pojawia więc użytkowniczka komunikuje się z tym urządzeniem pośredniczącym to urządzenie pośredniczące komunikuje się z serwerem komunikacja zwrotna wygląda tak że serwer odpowiada do urządzenia pośredniczącego to urządzenie pośredniczące odpowiada do użytkowniczki z tymi danymi Dlaczego to jest takie istotne to za chwilę się okaże No i teraz kiedy mamy innego użytkownika to również jest tam jakieś urządzenie
pośredniczące kiedy mamy następnego użytkownika to również co to mogą być za urządzenia pośredniczące to może być jakiś cdn content Delivery Network coś co dostarcza treści czyli na przykład jak sobie oglądać jakieś zdjęcie na Facebooku albo pobieracie film z YouTube to bardzo często nie są to serwery takie jakby bezpośrednie gdzie ten cały serwis sobie siedzi tylko są dodatkowe serwery gdzie te grafiki są przechowywane i one są dostarczane tak jakby z tego serwera dodatkowego po co to wszystko jest zrobione to ja za chwilę Powiem tym urządzeniami pośredniczącym może być też jakieś Reverse Proxy mogą być load balancer i tym podobne i tym podobne oprócz tego że skomplikował się jakby sam internet połączenie między jedną a drugą stroną to znaczy między
użytkownikiem a serwerem to skomplikowała się też sytuacja na samych serwerach to znaczy już nie mamy tak jak było kiedyś że mamy jakąś jedną stronę statyczną którą zwraca która jest zwracana przez dany ser albo jakiś jeden statyczny plik tylko bardzo często ta strona która dla nas jako użytkowników wydaje się stroną statyczną jest tak naprawdę efektem współpracy wielu komponentów na tym serwerze będzie to jakiś skrypt jakiś silnik szablonów będzie to połączenie do bazy danych z której trzeba pobrać dane żeby wyświetlić na stronie Czy wyświetli użytkownikowi czy jakieś wpisy na blogu i tak dalej i tak dalej więc to wszystko się mieli na tym serwerze i dopiero jak się wymi i to finalnie zostaje wysłane do użytkowników No i tak Aha i w tych
wszystkich miejscach znajduje się pamięć podręczna to znaczy tak mamy pamięć podręczną na serwerze mamy pamięć podręczną w tych urządzeniach pośredniczących trochę urządzenia może być takim nadmiarowym słowem dlatego że to mogą Może też być mogą być jakieś oprogramowan a nie tylko same jakby fizycznie odrębne urządzenia to też żeby było jasne i również mamy pamięć podręczną na końcowych urządzeniach użytkowników i znowu tutaj tych pamięci podręcznych tak naprawdę jest kilka Może być pamięć podręczna systemu operacyjnego na pewno jest pamięć podręczna przeglądarki i jeszcze parę innych ale ja chciałabym zwrócić uwagę że te błędy o których będę dzisiaj opowiadać błędy bezpieczeństwa to są te błędy które znajdują się gdzieś interne znaczy one nie dotyczą urządzeń końcowych użytkowników tylko występują
gdzieś już w internecie i jakby założenie jest takie że są to czy urządzenia czy oprogramowania serwery cokolwiek do których ma dostęp więcej niż jedna osoba więcej niż jedno urządzenie dobrze więc w ogóle jakby po co to wszystko po co w ogóle została wprowadzona ta pamięć podręczna wię pomysł był taki żeby było szybciej tak jak już wspominałam o tym że można oglądać jakieś zdjęcia na Facebooku i te zdjęcia są pobierane z pobierane są z na przykład z cdna to chodzi o to że kiedy pierwsza osoba na przykład z Warszawy pobiera sobie zdjęcie jakiejś koleżanki z Meksyku to plus minus to zdjęcie do nas dotrze z Meksyku natomiast kiedy inna osoba z zci bo mają wspólną koleżankę to To
zdjęcie prawdopodobnie zostało już przekopiowanie cdn albo w Europie albo nawet stricte w samej Polsce więc geograficznie
[Muzyka] tak py bardzo prosto bardzo prosto takie rzeczy jak pl Na przykład one mają generalnie jest tak że że że ten certyfikat który widzisz jako certyfikat serwera to jest certyfikat zainstalowany naze Jeżowe przy użyciu natomiast twoje połączenie między twoim
serwerem zaczy to jest też to samo przyszło mi do głowy Oj momencik muszę sobie wrócić do tego schematu że jak jesteśmy tutaj to ja bym powiedziała sfc Tak więc jakby tu mamy End to End szyfrowanie tutaj tutaj jest to rozszywanie bardzo często tu mamy z powrotem tu jest to rozszywanie więc to tak natomiast też jest kwestia tego co za chwilę będzie Znaczy no nie za taką chwilę ale za jakiś czas będzie widoczne na demo że to tak jak mówiłam niekoniecznie musi być Urządzenie to może być na przykład pamięć podręczna którą mamy na swoim serwerze więc wtedy przed wypuszczeniem ruchu na zewnątrz najczęściej nie mamy szyfrowanego kentu ja wiem tutaj akurat było pytanie konkretnie o o tego
Facebooka dobra więc jesteśmy tutaj więc tak to zdjęcie jest kopiowane bliżej geograficznie w związku z czym dotrze do nas szybciej no bo ma mniejszą drogę do przebycia tak samo jak już jakiś jakaś treść zostanie wygenerowana na serwerze tak jak mówiłam że mamy te skrypty szablony połączenie do bazy danych i to się wszystko musi przemielić No to jak już taki powiedzmy nie wiem jakiś wpis na blogu zostanie raz wygenerowany to dużo łatwiej jest go następnej osobie wrzucić z pamięci podręcznej niż jeszcze raz generować a przecież wiadomo że tam jest ta sama treść więc jakby taka jest idea żeby było szybciej mamy mniejsze obciążenie wracając do tego zdjęcia jak zdjęcie nie musi przez całą ziemię latać w tą i nazot
to mamy mniejsze obciążenie łączy No bo nie musi robić aż takiej długiej drogi tylko gdzieś tutaj wychodzi do nas za winkla że tak powiem i tak samo serwer jest mniej obciążony jeśli nie musi za każdym razem generować z tej samej strony tylko może ją wygenerować raz a potem jakby korzystać coś trochę na zasadzie ksero tak no i Teoretycznie powinno by bezpieczniej bo na przykład takie Reverse Proxy ukrywa lokalizację docelową serwera kiedy korzystamy z jakiejś ochrony to możemy mieć zredukowaną szansę na powodzenia jakiś ataków dedos możemy tam mieć zainstalowane waf które będą blokować ataki na aplikacje webowe zanim te ataki w ogóle dotrą do aplikacji więc generalnie powinno być bezpiecznie i taka była Idea za tym
wszystkim na pewno jest bezpieczniej to jakby o tym jest ta prezentacja i tak naprawdę pamięć podręczna wprowadza albo zupełnie nowe rodzaje podatności pamięć podręczna w sensie źle skonfigurowana albo zupełnie nowe rodzaje podatności albo takie podatności które co prawda istnieją ale w sumie są bardzo trudne albo wręcz niemożliwe do wykorzystania tutaj mamy wymienione trzy rodzaje Ja wszystkie je będę pokazywać więc myślę że nie będę przez przechodzić bo to za chwilę będzie na demo teraz jest taki slajd który Waro dobrze zrozumieć dlatego że on pokazuje z czego tak naprawdę tą istotę z czego wynikają błędy związane z pamięcią podręczną jest tutaj pierwszy użytkownik to całe jest jednym jednym serwerem jakimś pośredniczącym Powiedzmy że jest właśnie tym cdn jest jakiś Użytkownik
który chce zobaczyć zdjęci jed wysyła żądanie do serwera pośredniczącego serwer pośredniczący zastanawia się czy ma to zdjęcie już zapisane okazuje się że nie ma zapisanego więc wysyła żądanie do serwera tego docelowego z prośbą o to zdjęcie serwer docelowy odsyła to zdjęcie i teraz dzieją się dwie rzeczy jednocześnie Po pierwsze jest zdjcie odsyłane od serwera pośredniczące użytkownika końc pojawiła się taka ikonka którą Niektórzy też kojarzą w formie fizycznej natomiast ona najczęściej oznacza że coś Zapisujemy To znaczy że to zdjęcie zostało zapisane również na serwerze pośredniczącym jest druga osoba która również chce zobaczyć takie zdjęcie jednorożca i też wysyła żądanie potencjalnie do serwera tego końcowego gdzie to zdjęcie się znajduje Natomiast w praktyce to to żądanie serwer pośredniczący najpierw trafia do
serwera pośredniczącego No i serwer pośredniczący zastanawia się czy już takie żądanie ma Przepraszam nie żądanie tylko takie zdjęcie ma okazuje się że ma to zdjęcie bo to jest dokładnie to samo zdjęcie które tamta pierwsza tamta pierwsza osoba poprosiła w związku z czym odsyła to zdjęcie tej drugiej osobie Co wydarzyło istotnego wydarzyło to że to drugie żądanie to tutaj nigdy nie trafiło do serwera końcowego tak tutaj Nie mamy żadnych połączeń to jest bardzo ważna rzecz to znaczy że ten serwer końcowy nawet nie dowiedział się o tym że coś tam do niego dotarło i teraz będzie Demo tylko zanim przejdziemy do domu to ja sobie muszę jeszcze wziąć picie
halo dobra mamy doszy wyglą pamięć podręczna w praktyce to jest ber który nam będzie pokazywał żądania przechwytywał żądania które idą z przeglądarki wejdziemy sobie na taką stronę CAS gdybyście chcieli sobie na nią wejść To absolutnie się wam nie uda ponieważ to jest mój prywatny internet i ona istnieje tylko tutaj
[Muzyka] mam czyli odpowiedź to co chcemy tutaj zobaczyć to jest tak tutaj jest w tą aplikację wbudowana pamięć podręczna Waris co ma mniejsze znaczenie większe znaczenie ma to że będziemy patrzeć na nagłówek h który nam będzie pokazywał plus minus w sekundach jak dawno temu ta zawartość została wygenerowana I zasada jest taka że kiedy mamy tutaj wartość zer to znaczy że to zostało wygenerowane na świeżo natomiast kiedy mamy wartość inną niż zero dodatnią to znaczy że to zostało nam zwrócone z pamięci podręcznej I co jest ważne żeby tutaj patrzeć mamy czas z dokładnością do sekund i w momencie kiedy dostajemy zawartość strony z z pamięci podręcznej No to ten czas w sekundach się nie będzie zmieniał Jeśli
to zostanie wygenerowane na nowo no to wtedy zobaczymy że te sekundy nam przeskocz co najmniej sekundy czasem mogą minuty teraz nam się czas zmienił bo mówiłam pamięć podręczna jest skonfigurowana na dłużej na 30 sekund żebyśmy z jednej strony widzieli że to się zapisuje a z drugiej mieli nie musieli jakoś bardzo dużo czekać aż nam wygaśnie więc ja mówiłam dłużej niż 30 sekund więc to nam się odświeżyło natomiast widzicie że teraz odświeżam i ten czas nam się nie zmienia ja sobie to wrzucę do Intrudera to jest taki takie narzędzie które pozwala nam automatycznie wykonywać zapytania ustawię żebyśmy wykonało nam 64 takich samych zapytań będą sobie one szły w jednym wątku i to co będziemy chcieli wyciągnąć
z odpowiedzi to po pierwsze chcemy wyciągnąć ten żeby nam ta wartość się wyświetlała a po drugie chcemy żeby nam pokazywało ten czas wtedy zobaczymy czy on się faktycznie zmienia czy się nie zmienia i tak to jest wszystko więc ja sobie ten atak puszczę u góry będą nowsze żądania za każdym razem we wszystkich narzędziach miejcie świadomość tego że nowsze żądania są u góry zwiększa widz zer to cały czas jest ten sam czas nie zmieniają nam się sekundy No i teraz musimy poczekać jeszcze te około 10 sekund żeby pamięć podręczna wygasła żeby zostało wygenerowane na nowo w momencie kiedy tutaj nam do około 30 dotrze to jest ten moment ja zatrzymam i jak widzicie tutaj mam które było
podręczna do tej pory się nie zmienia Cały czas mamy ten sam czas w sekundach i w momencie kiedy została przy następnym żądaniu na nowo wygenerowane to dostajemy nowy czas i jakby on znowu przez kolejne żądania się nie
zmienia dobra istotna kwestia to jest taka na którą trzeba sobie odpowiedzieć konfigurując pamięć podręczną co wypadały takiej PCI zachowywać a czego wypadałoby nie zachowywać więc po pierwsze jeśli chcemy coś zapisywać w pamięci podręcznej No to dobrze żeby to był plik statyczny No bo jak dla tego samego adresu URL mamy różne dynamiczne zawartości No to bez sensu żeby pod ten adres podpinać pamięć podręczną warto żeby to były informacje które są publicznie dostępne bo z założenia pamięć podręczna jest czymś co zapisuje dla dane dla wielu użytkowników no i żeby nie zawierały żadnych poufnych danych jakby z tego samego powodu co przed chwilą tak robimy to po to żeby dostarczać jedną treść wielu użytkownikom z przykładów to mogą być
jakieś grafiki typu logo to mogą być Style z arkuszami stylów to mogą być też skrypty w javascripcie które obsługują daną stronę No bo generalnie są to rzeczy które są publiczne i takie same dla wszystkich w przypadku czego nie chcielibyśmy zapisywać w pamięci podręcznej No to przede wszystkim dane poufne i takie które zawierają jednego dane jednego użytkownika bo z jednej strony nie chcemy żeby ktoś inny się do tego dobrał a z drugiej strony trochę bez sensu skoro i tak mała szansa że te dane zostaną ponownie wykorzystane w czasie w którym to będzie zapisane w pamięci podręcznej z przykładów tutaj mogą być na przykład dane w bankowości internetowej dane na przykład koszyka zakupowego czy wykonanych do tej
wykonanych do tej pory zakupów w jakimś sklepie internetowym teraz przechodzimy do takiej istotnej kwestii skąd dane urządzenie czy tam skonfigurowana pamięć podręczna w ogóle wie czy to zapisać Czy tego nie zapisać To po pierwsze a po drugie skąd ona wie że to drugie żądanie czy któreś kolejne żądanie jest jakby o ten sam zasób któ było kiedyś tam żądanie pierwsze z przeszłości i jeśli coś wiecie o żądania http jak nie wiecie to za chwilę zobaczycie to te żądania mają dużo różnych nagłówków i wiele z tych nagłówków nie ma jakiegoś wielkiego znaczenia tak naprawdę dla odpowiedzi w związku z tym branie pod uwagę wszystkich trochę mija się z celem bo po pierwsze nie są potrzebne po to żeby
wygenerować taką samą odpowiedź może ć że żaden użytkownik albo żadne kolejne żądanie tak naprawdę nie da nam takiego samego zestawu nagłówków razem z ich wartościami w związku z czym ten klucz żądania jest często ograniczany i taka najprostsza możliwość to jest ograniczenie tego Klucza żądania do metody http za chwilę na przykładzie to pokażę do protokołu do linii żądania i do nagłówka host co tak naprawdę Jak sobie Skleimy te wszystkie elementy oznacza że mówimy o i będziemy mówić o metodzie metodzie get to oznacza że mówimy tak naprawdę o adresie URL Tak wygląda przykładowe żądanie w http tutaj u góry pierwsze to jest metoda dalej mamy tą linię żądania tutaj mamy wersję http która jest używana i dalej mamy host na
gó host w którym jest podawana domena pod którą jest wysyłane to żądanie tutaj istnieją też inne nagłówki które nie mają większego znaczenia tak naprawdę dlatego co zostanie wygenerowane jako odpowiedź i to co jest zaznaczone na zielono to jest to co jest brane pod uwagę w dopasowywaniu Czy jakby kolejne żądanie Czy kolejne żądanie to jest żądanie o dokładnie ten sam zasób który już został zapisany w pamięci podręcznej czy coś innego jeś chodzi o bę z pamięcią podręczną to one się dzielą na takie dwie główne kategorie które się różnią tym w którym miejscu jest atakujący względem swojej ofiary pierwszym błędem to jest zatrucie pamięci podręcznej najpierw jest atakujący który będzie chciał zrobić coś takiego co zostanie zapisane w tej
pamięci podręcznej i potem ofiara jak będzie się odwoływać do tego to dostanie coś co tam już zostało zapisane i zostanie to może brzmieć trochę zagmatwanie co ja teraz powiedziałam ale na szczęście mamy demo więc za chwilę wszystko będzie jasne jak znajdę kursor mam kursor wspaniale
dobra mamy tutaj taką aplikację widzieliście ona korzysta z pamięci podręcznej i tak się składa o nawet tutaj widać tu mamy żądanie i tak się składa że jak sobie klikniemy na to strona główna tutaj widać w HTML No to Przechodzimy tak jakby na stronę główną tej aplikacji natomiast widzimy że tutaj podawana jest domena to jest ta sama domena która tutaj jest w nagłówku host natomiast zi
ale też in nagłówki któ potencjalnie nadpisać nagłówek host jednym z takich nagłówków jest nagłówek [Muzyka] forward No i sprawdzimy Ja sobie tutaj wpiszę jakąś losową wartość nie znalazłam tego w odpowiedzi
c nie ma pomysł to od razu podpowiem czy teraz ktoś ma podpowiedź pomysł dlaczego Bo jest bo to tą odpowiedź dostałam z casha teraz już minęło podejrzewam te dodatkowe 10 sekund jak widzicie to już się znalazło w odpowiedzi Oczywiście teraz znowu jak coś tu zmienię No to to co zmieniłam się nie pojawi bo dalej mamy zaczy bo znow mamy Toe z pami podręcznej s tak pytajnik i coś tutaj jakieś losowe rzeczy bo wtedy za każdym razem mamy inny URL inny klucz żądania więc jak sobie Testujemy to możemy sobie tak testować też w momencie kiedy Testujemy na produkcji co niestety się dosyć często zdarza to Dzięki dodawaniu jakichś losowych rzeczy mamy dużą szansę że nie zaszkodzą
przypadkiem więc dobra jesteśmy tutaj Jak widzimy coś takiego że możemy się w środku HTML wbić No to w każdym razie mi pierwsze przychodzi do głowy to sprawdźmy czy my tam na przykład możemy sobie wstrzyknąć swojego htmla i zrobić xss zróbmy Odpowiedź na wszystko i w
ogóle dobra mamy wygenerowane na świeżo jak widać ten xss nam się tu pojawił kiedy ja wejdę pod ten adres to dostaję tego xss Oczywiście my byśmy nie chcieli żeby użytkownik żeby go przekonywać że musi wejść pod jakiś taki adres albo coś tam robić my byśmy chcieli żeby ten xss był na głównej na przykład na głównej No to co możemy zrobić możemy po prostu usunąć te dodatkowe parametry które wrzuciliśmy na w etapie testowania wysyłamy to jeszcze raz tamta pamięć podręczna która się wcześniej zachowała zdążyła wygasnąć jak widać to tu mamy Ja wam teraz pokażę to będzie to ostatnie żądanie które było sobie tak Oznaczę tutaj odświeżam F5 mam xss dziękuję i to jest to żądanie które
poszło jak się tu przyjrzycie ten xss tutaj jest w odpowiedzi natomiast tu nigdzie nie ma tego nagłówka x forwarded host to znaczy że nie było tego nagłówka No ale jednak dostaliśmy to co zostało wstrzyknięte zostaliśmy dostaliśmy w odpowiedzi i To jest dowód na to że to zostało zapisane w pamięci podręcznej i z tej pamięci podręcznej zostało yy zwrócone jakiejś niewinnej osobie tak naprawdę od tego jakie są skutki takiej podatności To zależy gdzie ona się y pojawi Jeśli to mamy stronę główną i mi się tak zdarzyło na na przykład jakimś bardzo dużym y portalu no to mamy bardzo szerokie skutki tak bo przez stronę główną przewijają się pewnie setki tysięcy jak nie miliony osób Jeśli mówimy o dużych portalach
jeśli to jest jakiś nie wiem jakiś wpis na bardzo znowu bardzo dużym portalu z tysiącami co najmniej czy dziesiątkami tysiąc wpisów No to jeśli to jest jakiś wpis to też troszkę zależy jak to jest nowy wpis No to pewnie więcej osób wejdzie jak to jest jakiś dużo starszy wpis No to na to są dużo mniejsze i raczej jakieś pojedyncze sztuki złapiemy na taką podatność drugim przykładem który bym chciała wam pokazać w tym zestawie podatności to tam był taki taka [Muzyka] możliwość że nie mamy opcji zrobienia tak naprawdę krzywdy wstrzyknięcia swoich rzeczy i tak dalej wstrzyknięcia możem wygenerować w sumie fajna opcja na na podatność najpierw pokażę jak ona działa a potem za chwilę Powiem Czemu to jest fajna
opcja więc tutaj tak jak widzieliście to strona wygląda w ten sposób natomiast jak sobie zmienimy metodę na inną to tak naprawdę dostaniemy błąd ja to tutaj [Muzyka]
No ale jakby trochę nie do końca mamy możliwość przekonania użytkownika żeby on sobie sam zrobił tego posta są tam jakieś opcje żeby to zrobić jak my go wyślemy z naszej strony ale my byśmy chcieli zrobić to użytkownikowi taką krzywdę bez tego żeby on jeszcze gdzieś musiał dodatkowo wchodzić tylko po prostu jak wchodzi nad tą stronę i znowu jest taki nagłówek jest taki nagłówek który pozwala nam Zaspowa metodę http tak podobnie jak było z przed chwilą z tym nagłówkiem x forwarded ten nagłówek się nazywa x http method
override I zobaczmy tak mamy na świeżo jak widzicie wysłałam żądanie metodą get a tak naprawdę dostałam ten błąd w odpowiedzi i teraz znowu Jak wejdę jako Ten użytkownik tak to jest ta sama strona która nam się przed chwilą pokazała ja ją odświeżę po prostu jak widzicie mamy błąd jesteśmy tu i jak ja będę prz chwilę odświeżać i miną nam te 30 sekund minie nam te 30 sekund to w pewnym momencie znowu nam się wygeneruje na nowo tu już mamy o h30 więc teraz już powinno być okej I teraz tak no do czego się to przydaje no można po prostu kogoś strasznie powkurwiać się stało oczywiście Tu mamy tylko 30 sekund ale czasem te cashe są
skonfigurowane na przykład na 24 godziny alb po prostu można [Muzyka] też cały czas taki taki taką pamięć podręczną zatruwać i za każdym razem jak ona wygaśnie to znowu po prostu wstrzykiwać to co byśmy chcieli powodować że że będzie coś niefajnego ja znowu mogę wam w sumie pokazać że tutaj mamy tutaj nigdzie nie mamy tego nagłówka x forwarded pram xpy z pamięci podręcznej nam się błąd i w ogóle Jak sobie radzić z tego typu podatnościami No jeśli nie mamy takiej potrzeby że musimy korzystać na przykład z tego nagłówka x http metod override to po prostu z niego nie korzystać żeby w logice aplikacji w żaden sposób nie był wykorzystywany No bo dzięki temu unikniemy tego typu
błędów które gdzieś tam mogą nam wyjść przez przypadek i tu chciałabym podkreślić ten aspekt tego że tak naprawdę tym błędem niewiele byśmy zdziała gdyby ten błąd nie był zapisywany w pamięci podręcznej bo gdyby to nie było zapisywane w pamięci podręcznej to jakby nie mielibyśmy za dużo możliwości żeby wywołać u innego użytkownika ten sam efekt tak naprawdę moglibyśmy to zrobić sobie sami co jest jakby mało przydatne w prawdziwym życiu a wszystko dzieje się dlatego że efekt naszych działań jest zapisywany w pamięci podręcznej i na to co zostanie wygenerowane ma wpływ nagłówek natomiast ten nagłówek nie jest dodany do klucza pamięci podręcznej to znaczy on nie jest pod brany pod uwagę w momencie kiedy porównujemy który zasób jest tym samym
zasobem o który ktoś już wcześniej prosił więc to jest w sumie druga rada jak sobie z tym poradzić to znaczy jeśli wiemy że ten nagłówek jednak jest nam potrzebny i chcemy z niego korzystać to skonfigurować pamięć podręczną tak żeby ten nagłówek też był brany w kluczu żądania ponieważ można u wielu providerów można sobie takie rzeczy dokonywać z tego przykładu pokażę jeszcze jedną podatność
tutaj mamy coś takiego jak przycisk wróć i byliśmy przed chwilą na stronie głównej teraz jesteśmy na profilu jak dam wróć to wrócimy na stronę główną jak teraz dam zaloguj się i znowu wejdę na profil i dam Wróć no to wrócimy na tą stronę Zaloguj się to znaczy że ten przycisk w jakiś sposób wie gdzie skąd myśmy przyszli No to pytanie skąd on to
wie już wcześniej to sprawdzałam więc jak widać ten przycisk nie widać możemy zobaczyć sobie co tutaj jest jak sobie to przykleimy do żądania to zobaczymy że pojawia nam się tutaj znowu taki nagłówek referer ja to przeniosę do repeatera żeby móc sobie to żądanie powtarzać
[Muzyka] teraz spróbujemy sobie znowu coś tu zmienić jak zmieniliśmy to Widzimy że nam się pokazało dodało to znaczy że znowu mamy tą samą opcję tak naprawdę możemy tu znowu zrobić xss jakbyśmy chcieli możemy go potencjalnie nawet zrobić bez pamięci podręcznej zrobimy taką sztuczkę
tak to będzie dla nas istotne ja tutaj sobie dodam taki HTML który nas będzie tam przenosił No i zakładamy że po prostu nam się w referer to pojawi nie tak jak O tutaj się pojawiło w referer i my byśmy chcieli tutaj będzie ten nasz xss tam się coś odpali i w ogóle wszystko wybuchnie i będzie superowo
dobra więc my tutaj sobie damy podnośnik do naszej
strony w ogóle k by nie kliknął na kotki
Dobra to jest zaznaczyłam to ostatnie żądanie które wyszło przeniesiemy teraz się na tą stronę z casem tutaj zwróćcie uwagę że jest mamy i domenę i tą jakby część nied domenową czyli konkretną pod stronę No i wchodzimy i super No i sprawdzamy jak to działa jest smutek ponieważ okazuje się że referer został wysłany tylko z domeną kiedyś tego typu atak za 2 TR lata temu był możliwy ponieważ przesyłany był w referer cały adres URL natomiast zmieniła się polityka wszystkich współczesnych przeglądarek ze względu między innymi na prywatność i w domyślnym ustawieniu wysyłany jest wysyłana jest tylko domena w nagłówku referer to można skonfigurować można sobie samemu zmienić konfigurację przeglądarki natomiast myślę że nikt tego nie zrobi albo ty
pojedyncze osoby więc generalnie zakładamy że konfiguracja przeglądarki jest taka to jest jedna kwestia po drugie jakby strony mogą sobie skonfigurować to tak żeby więcej lub mniej informacji było wysłanych ale to też jest niestandardowa konfiguracja więc będziemy patrzeć na taką konfigurację jak mamy tutaj No to jakby jest smutno no bo nie zrobimy xss w ten sposób więc tak naprawdę zostaje to co wcześniej Prost pamięci
podręcznej dobra i mamy wróć i mamy coś innego Czy już teraz Wiecie czemu niż to co podaliśmy tutaj głośniej z tak tutaj jest H1 zaczy tamto się podało z Casu więc znowu potest jemy sobie w ten sposób zobaczymy że tak jest tak jak byśmy chcieli to wrócimy tu Może tamten już nam tak już nam wygasł mamy to teraz naszego xss odświeżam
możemy zrobić tutaj jeszcze coś innego tak nie chcemy tam robić xss sztuczek wybuchów tak naprawdę chcielibyśmy na przykład nie wiem zrobić Fishing ukraść użytkownik hasło to możemy po prostu wpisać sobie tutaj swoją domenę moja zła strona na przykład na tej stronie oczywiście zrobimy dokładnie taki sam wygląda jak na tamtej pierwszej stronie i w momencie kiedy użytkownik sobie tutaj wejdzie Ja wam pokażę że on ma zupełnie innego referer bo się tam zachował z tamtego ale jakby w odpowiedzi widzicie No i użytkownikowi użytkownik klikając sobie po stronie w pewnym momencie klika na Wróć no i trafia gdzie klika na moją złą stronę Oczywiście tutaj wyświetla mu się nie błąd tylko takie super formularz żeby podał wszystkie swoje dane razem z
loginem do banku i w ogóle nie a użytkownik nawet nie zorientuje się że został przeniesiony z innej strony na tą bo nie zauważy zmianie w pasku adresu Okej to jest to drugi rodzaj błędów związanych z pamięcią podręczną to jest oszukanie pamięci podręcznej IP
podręcznej następnie pojawia atakujący który będzie chciał to co się tam zapisało z tej pamięci podręcznej wydobyć Mam nadzieję że pamiętacie że wcześniej było na odwrót To znaczy atakujący był tutaj jako pierwszy a tutaj był użytkownik Dobra to teraz tak to będzie troszkę bardziej skomplikowane logistycznie w tym sensie że teraz faktycznie
bę są dwie przeglądarki przepraszam to jest dwa profile przeglądarki Firefox i de facto możecie na to patrzeć tak jakby to były dwie różne przeglądarki one mają zupełnie niezależne profile sesje ustawienia i tak dalej i tak dalej żeby to było wizualnie dobrze wiadomo co jest Co to one mają różne kolory różne motywy zainstalowane dodatkowo na podstawie zasp zaspanego nagłówka user agent w tej drugiej przeglądarce to co się będzie w niej dło bdzie Pok na czerwono tutaj jak sobie przechodzę to widzicie jest Ni pokolorowane jak sobie przechodzę to jest pokolorowane de facto mogę wam jeszcze tak naprawdę pokazać że jeśli ja coś na jednej tak jakby przeglądarce chociaż nie robię tego na przeglądarce zrobię tego xss nam tego zostało No trochę nam
zostało ale dobra widzieliście Wysłałam sobie z tej niebieskiej przeglądarki wpiszemy niech będzie tutaj wpiszę sobie tutaj tego
xss dobra mamy go tu mieliśmy żądanie Z tej przeglądarki ja to otworzę tutaj Wala jest xss tak czyli jakby między różnymi użytkownikami to się przeniosło
okej Teraz chcemy się zalogować to będziemy mieli naszą ofiarę tutaj będziemy mieli naszego atakującego i oni mają tak tutaj są można ich zidentyfikować po tym jaki został jakie zostało wysłane ciasteczko sesyjne tam mieliśmy atakującego tutaj Mamy ofiarę na odwrót tammy ofiarę Mamy atakującego i to co jest istotne czego Niestety nie widać jak jest tak pomniejszone to to że ta strona się nie kasuje poznacie to po tym że tutaj cały czas będzie się zmieniała sekunda jak ja będę odświeżać oczywiście odświeży szybciej niż w ciągu sekundy to wiadomo że ona może zostać taka sama ale generalnie widzicie że to się nie zmienia znaczy to się zmienia nawet krócej niż te 30 sekund jak sobie zajrzymy do historii berp
to cały czas widzimy że ten jest równy z0 przy kolejnych żądania ponieważ pamięć podręczna jest skonfigurowana tak że no to jest taka prywatna strona Więc ona nie będzie zapisywana no i sztuczka jest taka jak mówiliśmy wcześniej o plikach statycznych że te pliki statyczne na przykład grafiki mogą być zapisywane w pamięci podręcznej No to tutaj trzeba się bardzo poważnie zastanowić nad tym jak zdefiniujemy pl sty No i pomysł Może być taki że jak ja widzę że jest PHP No to zakładam że to nie jest plik statyczny No bo to są jakieś tam skrypty które mogą coś generować ale na przykład zobaczę tutaj JPG No to stwierdzę że to jest plik statyczny i ja to mogę skonfigurować Ja
wam pokażę odświeżę to jeszcze raz Ja wam pokażę za drugim razem ten błąd tak naprawdę został wczytany z pamięci podręcznej widzimy to po tym że tutaj mamy to H7 i to jest błąd który widzieliście przed chwilą ale jakby trochę nam jako atakującym nie za bardzo coś to daje że my sobie zobaczymy taki błąd bo tak naprawdę sami go możemy wygenerować tak to to nie o to chodzi my byśmy się chcieli dostać do danych tego użytkownika No i pamięć podręczna jest skonfigurowana tak że tak naprawdę to Rozpoznaj czy coś jest plikiem statycznym analizując końcówkę adres ur spraw na jakiś zestaw znaków po kropce No i jak tam będzie właśnie na przykład to JPG No to stwierdzi tak to mamy plik
statyczny No to jakby nie wiem dorzućmy sobie coś tu i wpiszemy to JPG to jakby kurczę no trochę nie działa tak natomiast jest taka jedna sztuczka która sprawia że jednocześnie jesteśmy w stanie wykonać plik PHP I zakończyć nasz adres na na przykład JPG tą sztucz jest Slam
w mamy dane użytkownika teraz uwaga patrzycie na sekundy na pewno już ze trzy albo cztery minęły i czas taka magia czas się nie zmienia czas stanął w miejscu Pokażę wam że teraz za każdym razem ten się zi wię sam to dostaje dane ofiary uwaga uwaga żeby wam udowodnić że to nie jest podpucha to zobaczycie że tutaj mamy ciasteczko sesyjne ofiary a tutaj mamy ciasteczko sesyjne atakującego który dostał dane ofiary więc jakby istota jest taka że atakujący sobie wymyśla jakiś adres tam nie wiem profil super JPG na przykład w jakiś sposób podsyła ten adres ofierze która tam mówi No se kliknę Przecież to jest jakby mój własny profil strona taka którą znam tak się po staropolsku mówi
że taka legitna i sobie wejdę i będzie spoko nie i Przecież to nie zrobi mi krzywdy co więcej wchodzi i widzi swoje własne dane No to gdzie tu może mu się dziać krzywda tak nie musi nic klikać nic wypełniać zobi się No jakby Spoko nic się nie stało fajne jakby jeszcze o tym zapomnieć og o co kaman nie Natomiast idea jest taka że jak użytkownik już sobie wejdzie na to no to wtedy wchodzi sobie atakujący i też ma te same dane istotą jest to że to nie może być zrobione na odwrót tak bo jeśli atakujący to zrobi wcześniej no to Wtedy atakujący się staje ofiarą jak na przykład będzie atakujący że jest super 4 No to i wyś of takiego
linka to wtedy ofiara zobaczy atakującego tą stronę ma działać więc to jest tutaj istotne jak się przed tym bronić No trzeba sobie dobrze zdefiniować Co to są te pliki statyczne tak jak je rozpoznajemy to po pierwsze był błąd w jednym z dużych dostawców treści że właśnie rozpoznawali w ten sposób czyli patrzyli tylko na końcówkę adresu URL tam tych kilkadziesiąt było tych rozszerzeń JPG PNG CSS JS i jeszcze jeszcze sporo innych i to była taka spora podatność że można było sobie dane innych użytkowników uzyskiwać w ten sposób a Drugą rzeczą jest to żeby zaznaczyć w kluczu pamięci podręcznej że ma być pod uwagę brane ciasteczko czyli to ta dana autoryzacyjna tak w tym momencie nawet jeśli źle
Skonfiguruj te jakby tą informację źle rozróżnic A co nie jest No to ochroni nas to że atakujący też musi wysłać swoje ciasteczko sesyjne No i w tym momencie rozjeżdża nam się klucz żądania tutaj jest trochę taka mała gwiazdka która wynika z mojego doświadczenia na pent testach że w te w takim przypadku nie zrobimy ataków między użytkownikami na przykład też tego zatrucia Jeśli będziemy mieć ciasteczko sesyjne [Muzyka] w jak w kluczu żądania ale może się okazać że to działa ty dla użytkowników zalogowanych czyli będziemy mogli będziemy mogli zaatakować wszystkich innych tak którzy dopiero weszli na portal którzy nie mają tam konta albo są dopiero przed logowaniem No i jakby tak naprawdę pokazałam wam parę przykładów A
to całe rozkminianie z pamięcią podręczną a jeszcze dużo dużo smaczków i dużo niuansów Dobra to było demo No i teraz żeby nie zostawiać was z tym jak jest źle i w ogóle I co z tym zrobić no to z tym żyć No to trochę zależy i tak naprawdę już po części opowiadałam w trakcie demo Co zrobić żeby było lepiej i trochę to podsumuję najprostszą metodą jest wyłączyć pamięć podręczną w ogóle I to się wydaje bardzo dziwna rada ale wbrew pozorom ona nie jest aż taka głupia to znaczy na przykład Jak kupujemy sobie woud usługę żeby mę na wafa anty dedos i coś tam jeszcze to oni nam dorzucają tą pamięć podręczną której my na przykład nie chcemy Nie
potrzebujemy w ogóle nie wiemy o tym że to jest też jakby w pakiecie A ona nam powoduje jakieś dodatkowe błędy bezpieczeństwa więc jeśli tak jest i się okazuje że ktoś nam przypadkiem dał gratis wiadomo bo to uczciwa cena tą pamięć podręczną ale my jej nie chcemy to może warto ją wyłączyć i jakby wszystkie wtedy problemy związane z pamięcią podręczną się skończą nie będzie żadnych błędów natomiast to często nie będzie rozwiązanie w niektórych przypadkach będzie ale w większości raczej nie będzie bo po coś ta pamięć podręczna została stworzona między innymi po to żeby z niej korzystać no to jest kilka takich rad natomiast nie ma takiej jednej Generalnej rady bo to trochę zależy od tego jaki dokładnie mamy
przypadek przede wszystkim ograniczyć wykorzystanie pamięci pamięci podręcznej tylko zasobów statycznych ale tu bardzo Bardzo trzeba uważać na to jak my zdefiniujemy co pokazywałam na przykładach po drugie unikać z nagłówków i z ciasteczek to znaczy że jeśli generujemy jakąś treść No to Staramy się jak najbardziej robić tak żeby żeby ta treść nie wynikała z tego co zostało pobrane z jakiś nagłówków żądania na przykład nie musimy skoro my chcemy na stronę główną odsyłać No to nie musimy tam podawać całej domeny tak naprawdę wystarczy dać tam slza i przeglądarki zrozumieją o co chodzi Tak więc we wszystkich takich miejscach można to obsłużyć w inny Bardziej bezpieczny sposób tak jak już wspominałam warto też wyłączyć obsługę wszystkich zbędnych nagłówków których nie potrzebujemy
ponieważ może się okazać że one powodują jakieś błędy które powodują zapisanie czego znaczy które jest zapisane w pamięci podręcznej zostaną wystrzelone potem po prostu w kierunku innych osób a jeśli takich nagłówków potrzebujemy to warto je dodawać do pamięci podręcznej albo przynajmniej rozważyć na ile to będzie korzystne na ile to w jaki sposób nas ochroni no i też warto naprawiać wszystkie podatności po stronie klienta bo często jest tak że jak ktoś widzi w raporcie selfie xsa to stwierdza że no to jakby to po co się z tym zajmować skoro to i tak może każdy zrobić sobie co najwyżej sam tak naprawdę selfix ssy w wielu przypadkach można wykorzystać i nie tylko przez zatrucie pamięci podręcznej jest to jeden z przykładów
i tak Jeśli będą jakieś pytania to nie wiem czy teraz czy za chwilę czy gdzieś tam ja tu się będę jeszcze kręcić dzisiaj i jutro także spokojnie możecie mnie gdzieś tam łapać i ja bardzo dziękuję za [Aplauz] uwagę a jeszcze nie powiedziałam tak że ja się tak nazywam i w ogóle że jakbyście chcieli mnie gdzieś złapać to gdzie jest jest mój mail jest mój mailem linkedinie i tak I gdybyście mieli jakieś pytania tak wiecie też możecie zapytać sprawdzić jak to jest u was Czy macie jakieś błędy i tak dalej no to możecie się odezwać to wam Pomogę w razie potrzeby słucham mamol Czy on jest jakby przestrzegany przez tych prajer zewnętrznych bo to można zarówno od strony odpowiedzi
Taków ale Cash Control chyba kontroluje przeglądarkę nie ale chyba też kontroluje po drodze jak idzie odpowiedź od serwera z ustawionym nagłówkiem CAS to chyba teoretycznie wydaje mi się że jest ta sama odpowiedź co zawsze Czyli że to zależy bo tak naprawdę mamy wielu dostawców casha i to zależy jak oni to uwzględniają nawet tylko ja teraz nie będę pamiętała przykładu ale spotkałam się z takim dostawcą który nawet jak sobie coś tam Skonfiguruj to on to ignoruje po prostu bo robi po swojemu niektóre rzeczy więc to będzie zależało już od konkretnego dostawcy jakie nam da możliwości konfiguracji co jest domyślnie ustawione i i tak naprawdę ale trzeba mieć na jakby w głowie jedną rzecz że jak to przechodzi przez
jakiegoś zewnętrznego dostawcę jakiegoś cdna to on ma tam władzę absolutną w tym sensie że jak on stwierdzi że chce uznawać jakiś nagłówek który my skonfigurowaniem to go uzna jak stwierdzi że go nie uznaje to go nie uzna tak to nie jest tak że my możemy mu coś kazać jak on nam pozwoli coś skonfigurować i będzie to uznawał to konfigurujemy jak nie to on ma władzę absolutną jak on stwierdzi że jakby ma inną politykę to po prostu zrobi tak jak chce tak bo przez niego przechodzą treści więc on może z tym zrobić wszystko co chce zawsze jest dokument tak tak tak tak tak oni bardzo tak bogato
to niemożliwe uj teraz tak i warto korzystać tak i też a z drugiej strony niekoniecznie wierzyć w nią tak na 100% No to zależy co ja mogę powiedzieć spraw tak ufać ale sprawdzać to może warto zgadnąć pieniędzy to też może być taka
opcja Dobra to ja dziękuję i tutaj wpuszczam już Następną osobę [Aplauz]
i
i i
i i
i i
i i
i i
tak to dobrze to was wszystkich serdecznie witam będących offline I online szczególnie tych online na prelekcji o zhakowanym umyśle czyli o tym jak konstrukcja naszego mózgu sprzyja a niestety Sprzyja I to będę starała się też pokazać ale też pokazać jak wiele sami zrobiliśmy po swojej stronie żeby pomóc hakerom no A ile zrobiła nasza natura nasze geny to co gdzieś tam nam towarzyszy w naszym ciele przy czym jeszcze chcę małą taką dodać ratę do tego tytułu bo jak przygotowałam przygotowywałam te prezentacje to stwierdziłam że będą że są słowa które lepiej oddadzą naturę C właśnie słowa nie konstrukcja mózgu tylko to co wydaje się nam że wiemy o mózgu badania są wciąż prowadzone wciąż zdobywamy nową wiedzę na temat tego jak
ten mózg funkcjonuje wielu rzeczy wciąż nie rozumiemy Szczególnie jeśli chodzi o zależności między różnymi zjawiskami które gdzieś tam naukowcy próbują badać tak no bo można zbadać jedną rzecz w bardzo sterylnych warunkach laboratoryjnych ale jak ona ma się w kontekście całego działania mózgu czy mózg już poza tymi warunkami laboratoryjnymi Gdzie się sprawdza pewne rzeczy na przykład w trakcie robienia tomografii komputerowej czy tam Innych badań No to już też potrafi być zupełnie inna bajka więc to jest jeden w Trę a drugi to co wydaje się nam że wiemy o mózgu a szczególnie o ludzkim zachowaniu bo to ludzkie zachowanie jest tutaj kluczowe tak już nie mówimy o kwestiach typu nie wiem reakcja na substancje psychoaktywne Cokolwiek nie chodzi
konkretnie o ludzkie zachowanie i o to w jaki sposób człowiek funcjonuje że później hakerom jest zdecydowanie łatwiej kilka słów o mnie Ja od 2021 roku zajmuję się programowaniem natomiast wcześniej zajmowałam się psychologią głównie prowadziłam terapię tam jeszcze mamy epizody dziennikarskie copyrighter skie zanim przyszłam do it i zobaczyłam że to jest to co ja chcę robić do końca życia to trochę się poobijał po różnych dziwnych zawodach jestem fanką Formuły 1 i szydełkowania Jakby ktoś chciał porozmawiać ja Kibicuję makowi feno chętnie będę dyskutować czy na pewno jest to słuszny wybór czy nie Jakby co jestem otwarta ma fen może być czy nie A komu ty kibicujesz okej No cóż to chętnie się podpytać
to jest podejście skoncentrowane na rozwiązaniach czyli taki nut który jest gdzieś już uznawany na nurtem z pogranicza terapii i coachingu natomiast jest niesamowity w przypadku kwestii takich nie wiem interwencji kryzysowych czy takiego krótkoterminowego prowadzenia klienta który nie nie zawsze ma powiedzmy jakąś tam poważną diagnozę tak Chociaż to już nie będę wchodzić w szczegóły Natomiast generalnie trzonem tego nurtu jest skupienie się na zasobach i na tym gdzie klient chce dojść tak gdzie chce być TSR No właśnie terapia skoncentrowana na rozwiązaniach albo podejście skoncentrowane więc to takie technikalia bo to co organizacja prowadząca szkolenia to będzie trochę inaczej to nazywała ale generalnie o to chodzi także coś tam umiem chyba z tej psychologii dlatego też dzisiaj z wami
jestem dobra to zacznijmy od małej zagadki bo możemy w jakimś tam stopniu że nasz mózg jest leniwy i że pewnych rzeczy czy pewnych sposobów myślenia po prostu nie wykonuje ale czemu co jest gdzieś tam stoi za różnymi rzeczami o których dzisiaj będę opowiadać Wyobraźmy sobie że chodzicie sobie gdzieś po Dolnym Śląsku dzisiaj poranna moja prasówka w dolnym śląsku sporo jest żmij które atakują zwierzaki tam wpz do domów kąsają napotkają na drodze C tylnym Śląsku i widzicie żmij to nie jest żmija to od razu mówię wąż o węża chodzi Co robicie Co jeszcze
to będzie pierwsza wasza reakcja stajesz nieruchom Okej to były różne reakcje tak które pokazywały szereg reakcji które mogą się pojawić w sytuacjach kiedy widzimy coś co może nas zaatakować co może nam zrobić krzywdę tak reakcja walki nakrzyczeć reakcja ucieczki Czyli jak to było oddalamy się pospiesznie słowo na s up po na z góry dokładnie na z góry upatrzone pozycje albo schodzimy w stan zamrożenia i to są takie ewolucyjnie trzy reakcje bo albo możemy coś co nas atakuje zabić i przetrwamy albo Staramy się zrobić coś żeby to coś nas nie zauważyło nie ten tygrys na przykład Czy wąż albo Staramy się jak najszybciej uciec trzy naturalne reakcje i tak reaguje nasz mózg i to jest o tym wielu psychologów
tam mówiło podręczniki jak sobie poczytać z psychologii to jest cała rozkmina na temat tego czy najpierw jest myśl o to jest wąż czy najpierw jest reakcja organizmu na zasadzie pośpiesznie oddalamy się z miejsca i później dopiero Zastanawiamy się że o zobaczyliśmy właśnie węża natomiast Clue jest takie nasz mózg jest skonstruowany w taki sposób żeby pierwsza reakcja nas ocaliła przed zagrożeniem czy najpierw jest impuls potem jest reakcja potem jest myślenie dokładnie znaczy znowu to by się teoretycy gdzieś tam kłócili natomiast Clue jest właśnie takie że ten mózg ma nam pomóc przetrwać nie wąż I tu się też zgodzę z tą tezą bo kora istota szara która gdzieś tam jest najpóźniej że tak powiem uformowana jest zdecydowanie młodsza niż
ten gadzi mózg który mamy najbardziej pierwotny które za takie reakcje odpowiada tak naukowo opisując to naukowców Daniel keman pisał o tym że mamy właśnie dwa mózgi i przez to dwa systemy reagowania tak Mamy jeden system automatyczny który przetwarza informacje poza naszą świadomością nie najpierw odskakują był wąż i to jest tak zwana intuicja czy g Feeling to można w uproszczeniu powiedzieć no Jest to system szybki No bo nie dyskutujemy z tym że właśnie widzimy węża który nas zaraz ukąsi ciężko jest z tym dyskutować po prostu trzeba uciec No chyba że ktoś tak Jak wspomniałeś chce sobie zrobić selfi ale to już jest powiedzmy jest ma prawo być taki procent społeczeństwa który reaguje w trochę inny sposób tak bo to
jest kwestia różnorodności pewnego kontinuum reakcji Jedni to zareagują na tego węża uciekną 3 km dalej i będą przeżywali to przez tydzień a inni po prostu uciekną 3 metry dalej i będą na luzie mogli próbować go złapać żeby z domu go wypuścić nie wiem czy to jest dobry sposób warto się spytać przyrodników natomiast no szereg reakcji może być różny drugi system to jest ten system kontrolowany który wymaga naszego świadomego zaangażowania Czyli jak teraz sobie pomyślicie Lena mówi o tym i o tym to to jest ten system który właśnie gdzieś tam się uruchamia natomiast ten system jest wolniejszy zużywa trochę więcej energii to też jest problematyczne ten system automatyczny czyli ten system pierwszy pojawia się w sytuacjach zagrożenia i czasem też dużą
rolę w jego pojawieniu się grają emocje jak coś czujemy No to możecie odczuć że nie wiem jak Się przestraszy to zaczyna organizm pompować krew w odpowiednie miejsca rusza adrenalina tak jesteście gotowi do tego żeby na przykład komuś przywalić W pewną częś c i tak dalej nie i ten system też obsługuje element n element naszego mózgu odpowiedzialny za nawyki tak w sensie ponieważ ten system reaguje z automatu No to jeżeli mamy jakiś nawyk to raczej on będzie zakorzeniony w tym systemie natomiast ten system kontrolowany odpowiedzialny jest za świadome podejmowanie decyzji nie wiem wracacie do domu Macie windę i nie wjeżdża tą windą na drugie piętro tylko wejdziecie schodami bo podejmujecie świadomą decyzję że to jest ważne dla was i dla waszego zdrowia i
wchodzicie tak ten system drugi kontrolowany też się pojawia w Rozmowach w dyskusjach zazwyczaj Staramy się z niego korzystać no dopóki nie idzie do jakieś tam sytuacji gdzie idziemy w dyskusji na noże tak przy czym ważna uwaga sytuacje społeczne jak na przykład to że ja siedzę teraz przed wami i mówię z tyłu głowy że wy jesteście tutaj jeszcze są ludzie którzy słuchają tego w internecie a jeszcze później będzie można to odtworzyć mózg potrafi to postrzegać jako sytuację zagrożenia nie dlatego że mnie zaraz zjecie tak natomiast ma takie mechanizmy które sprawiają że tak jak kiedyś się reagowało na te paski tygrysie innego gdzieś tam skradają się tygrysa który miał nas zjeść tygrysów już nie ma ale wciąż jest
to odz zagrożenia takie że ja po tej prelekcji będę wykluczona ze społeczności bo powiem coś nie tak nie czyli nasz gadzi mózg nie dość że chroni nas przed zagrożeniami typu coś nas zje to jeszcze n stara się chronić przed sytuacjami w których moglibyśmy wypaść z jakiejś grupy społecznej No bo jak jesteśmy sami to ciężej jest przetrwać więc w sytuacjach kiedy musimy z kimś pogadać jeszcze nie wiem szefa poprosić o podwyżkę networkingowa się na konferencjach tak mó uchi icu że coś się dzieje i zaraz nas coś zje a to jest tylko rozowa z drugim człowiekiem tylko i aż to co jeszcze gdzieś się po drodze pojawia to zdrada tego tak zwanego zdrowego rozsądku Nie każdy z nas ma
jakieś takie wyczucie przynajmniej podstawowe wyniesione z wychowania czy z procesu socjalizacji
mam branżę Security No to mamy taką mniej więcej sytuację że mamy tego ogarniętego sekuraka zazwyczaj co chce coś powiedzieć przekazać nie wiem edukować i tak dalej mamy tego naszego kochanego uy szkodnika mówię tu z pewną sympatią ale też z pewną antypatię więc poczujcie te mieszane uczucia W tym słowie No i mamy tego niecnego złoczyńcę za którym się ogląda nasz użyszkodnik nie więc to jest troszeczkę taka sytuacja rozdarcia że z jednej strony mamy jakieś tam nie Nazwijmy to zdrowy rozsądek stry uik jedak coś robi takiego co przeczy wszelkim argumentom macie propozycje czasami pieniędzy które możecie odziedziczyć po nigeryjskim księciu macie Ja dostałam nie wiem z miesiąc temu ofertę pracy na WhatsAppie że będę dodawać jakieś dobre oceny do
hoteli afrykańskich każdą dobrą OC biaa wszyst wyje naet wyjechać wystarczy że będę siedzieć w domu bę oceniać 15 funtów przy tym przeliczniku co teraz ale tego nie proponowali w ofercie jednak użytkownik użyszkodnik idzie za tym nie każdy ale jednak I to kę w to wier stwierdza że to jest naprawdę świetna oferta sam z siebie nie często na przeszkodzie jest właśnie to w jaki sposób działa nasz mózg nie mówiąc o tym że no zazwyczaj najsłabszym czynnikiem w Security jest czynnik ludzki tak także tutaj jest taki mem który gdzieś tam znalazłam na internetach i po nim jest zasadnicze pytanie tak Kim jest Dave Myślę że dobrze o tym wiecie trzeba spojrzeć w lusterko i zobaczyć że to
może byż czy my tego chcemy czy nie czyli każdy z nas No bo mamy ten sam mózg tak trochę inaczej są te neurony może połączone No bo doświadczenie wpływa na to jak ten mózg funkcjonuje natomiast mimo wszystko każdy z nas korzysta z tego systemu automatycznego i systemu kontrolowanego czyli korzysta z tego co nasz mózg wypluj na bazie właśnie wychowania i innych doświadczeń jak rodzice byli bezkrytyczni to nam będzie łatwiej być bezkrytycznym tak jak przekonań myślenia Nie jak wierzymy że świat jest miejscem dobrym to łatwiej będzie nam uwierzyć że ktoś nam te pieniądze chce dać jak mamy wrodzoną ostrożność wrodzoną w sensie gdzieś tam w procesie wychowana wychowania wyindukowanego
przelew bo nie wiem trzeba opłacić ostatni moment żeby opłacić kolonię dziecku No to zrobi ten przelew już na potwornym zmęczeniu Przed pójściem spać i nie zobaczy co jest dokładnie napisane w smsie to też jest taka sytuacja gdzie gdzieś mózg wypluj Okej wszystko jest okej a w smsie wcale nie musi być napisane że autoryzuj przelew Tylko może być dodajesz nowe urządzenie do swojego konta można takich rzeczy nie zauważyć nawet jak się jest najinteligentniejszy człowiekiem na świecie po prostu zmęczenie więc to gdzieś tam jest każdy z nas to ma Niektórzy są mniej podatni inni bardziej natomiast podatny jest każdy czyli każdego można zhakować i to jest jeden z takich przypadków automatyzmu przyjeżdżacie chcecie zaparkować skanuje QR kod
myślicie że zapłacicie za parking a później się okazuje że dajecie jakieś dostępy których byście nie chcieli dostać bo się spieszycie do roboty bo szef już was opoli kilka razy żeście się spóźnili korek to jest chyba w Krakowie jeśli się nie mylę w Krakowie no no to macie szefa Krakusa Krakus ma dość tego że się spóźnia w Krakowie są korki Krakus wie ale i tak nie ten żeby nie było lubię mieszkańców Krakowa ale tak obrazowo Nie no to płacicie i później okazuje się że płacicie nie tym co czym byście chcieli zapłacić także na to się jest w stanie nabrać każdy No więc o czym będzie socjotechnika Fishing nie nie nie To są bardzo poważne wektory ataku
można o tym długo gadać Natomiast ta popularność tych ataków nie leży tylko w kwestii braku wyszkolenia ale głębiej te emocje jakieś niespełnione potrzeby gadzi mózg to wszystko gdzieś tam się pojawia No ale o tym nie będzie to o czym będzie jeszcze tylko tak dopowiadaj że ten nasz mózg który gdzieś tam wciąż spodziewa się tego że zarośli wyjdzie nam mamut też potrafi nam sporo namieszać tak Tym bardziej że reakcja tym systemem wąż kosztuje energetycznie więcej niż reakcja automatyczna to jest ta powiedzmy leniwość naszego mózgu z natury Jak możemy oszczędzić energię to ją po prostu oszczędzimy koniec kropka nieważne czy to jest ze szkodą czy z pożytkiem dla nas Dlaczego na przestrzeni wieków to było z pożytkiem
to że teraz jest czasami kosztem decyzji które podejmujemy No cóż nasz mó nadąża ty rozwija techn Ewuś użytkownikom będzie łatwiej rozpoznać że pewne rzeczy są po prostu Fishing ale podejrzewam że do tego czasu już inne powstaną formy wyciągania od nas różnego rodzaju danych i ten Fishing to już będzie nie dożyjemy ale ten automat No właśnie to jest takie narzędzie które z jednej strony nam pomaga W wielu sytuacjach a z drugiej
strony bo przetrwanie jest górą nie może z czasem to się zmieni natomiast no znowu tu trzeba setek tysięcy lat żeby to ewolucja jakoś tam poprawiła tak a jak szybko teraz się zmienia kilka lat temu jeszcze nie mówiliśmy o tym że będziemy mieć modele lmy tak sztuczna inteligencja odpytywanie jej robienie różnych rzeczy w pracy Nie a co będzie za kilka lat jak będzie w takim tempie się technologia rozwijała a mózg biedny mózg nie nadąża sama psychologia też jako nauka się rozwija i tu jest już pierwsza taka bardzo ważna rzecz Nie wszystko co mówi psychologia warto traktować jako prawdę objawioną Większość rzeczy nie warto w sensie trzeba wziąć bardzo dużą poprawkę na to że badacze też mają swoje Różne
skrzywienia też badają różne rzeczy nie zawsze po to żeby obalić tezę ale czasami po to żeby ją potwierdzić tak metody naukowe mogą być całkiem w porządku metody statystyczne i tak dalej natomiast mimo wszystko tworzą te badania ludzie więc pojawia się kwestia tego czy badamy to kim jesteśmy czy jesteśmy tym co badamy tak czy mamy jakąś ukrytą tezę która nie wychodzi w badaniach natomiast zmienia nas postrzeganie nas jako ludzi tak więc są różne sytuacje to jest raz jeśli chodzi o taką czystość badań tezy też mają swoje życie się zmieniają i tak dalej nie zawsze też psychologia dobrze stosuje metody badawcze ale to wszędzie się znajdą ludzie którzy nie zawsze potrafią więc nie wszystkie badania też można wziąć pod uwagę mimo wszystko Mimo
tych krytyki może sporo powiedzieć o człowieku i na tym spróbujemy się skupić nie na zasadzie prawdy objawionej ale na tym że mimo wszystko sporo sporo o człowieku mówi i o tym jak można go załatwić popatrzmy na przegląd takich najważniejszych badań związanych bardziej z psychologią społeczną niż z innymi dziedzinami które wpływają na ogólny klimat myślenia zacznijmy od tego że szef ma zawsze czyli kwestia zależności Jeżeli jesteśmy w jakimś systemie zależności i ktoś jest nad nami Tak zazwyczaj jak pytacie kogoś kto jest wyżej po co Security w sensie mówicie mu o tym że chcecie żeby było bardziej Security zaimplementowane No to usłyszycie po co No bo przecież I tutaj macie całą listę różnego rodzaju pytań wymówek i tak
dalej i znalazłam jakieś takie badanie które gdzieś pokazywało że postawa osób decyzyjnych ma znaczący wpływ na politykę bezpieczeństwa w firmie nie kto ma łapę na pieniądzach wprost tak mówiąc no to ma największą moc decyzyjną da albo nie da jak nie da nie ma Security nie I tutaj chcę przywołać stanfordzki eksperyment więzienny nie wiem czy Kojarzycie bo to jest jeden tak ze słynnej tydzień czasu S dni nawet natomiast uwaga uwaga bo skrócie mówiąc po ogłoszeni opubl prasie losowo wybrane osoby przebadane że są zdrowymi na owy czas według owych badań zdrowymi psychicznie ludźmi trafiają do symulowanego więzienia na Uniwersytecie Stanford część jest więźniami część jest strażnikami no i ci strażnicy w pewnym momencie zaczynają stosować przemoc efektem tego eksperymentu Miało być
mylenie o człowieku jakoe która bardzo mocno wpływowi okazuje się że jak pod czyta się krytyczne informacje o tym eksperymencie to okazuje się że strażnicy byli nakł do tego żeby stosować przemoc bo inaczej teza nie wyjdzie to już jest ten moment kiedy No fajnie psychologia dużo się mówi o tym eksperymencie Zimbardo jest znany na całym świecie jeździ z wykładami i tak dalej a tu się okazuje że ten eksperyment nie do końca pokazał to co miał pokazać bo jednak postawa naca jak on się rozwinął więc to jest warto wziąć to pod uwagę tutaj wam dałam link do świetnego świetnego tekstu Tomasza Witkowskiego który jest takim strażnikiem metody naukowej w Polsce i nie tylko i różne tego typu mity gdzieś tam rozkłada na
czynniki pierwsze i pokazuje że okej No badaliśmy to ale więc jeżeli chcecie krytyczne spojrzenie to warto sobie jego poczytać Natomiast generalnie No jest coś takiego że wyże hierarchi to jednak czujemy pewien respekt bo ma według nas tak pozan jakąś władzę chociażby nad naszym etatem co jeszcze może się pokazać w mózgu szefa No jest to z takich mechanizmów które psychologia badała efekt fałszywej unikalności szef myśli no słuchajcie jesteśmy tak wspaniałą firmą takie rzeczy robimy to jesteśmy lepiej niż inni przygotowani do ataku każdy z nasie żech też wywa na to gdzie to No właśnie Zresztą się okazywało że jak były robione badania pod tytułem Czy uważacie że Jesteście lepsi niż 50 proc tak społeczeństwa to tak 70
proc odpowiadało że tak mniej więcej tak to wygląda nie więc gdzieś mamy ale to jest ewolucyjnie przydatne bo my potrzebujemy mieć postrzeganie lepsze rzeczywistości niż ona nią jest bo gdybyśmy mieli świadomość tych wszystkich zagrożeń które nam nas mogą dotknąć A taką świadomość mają Osoby z bardzo delikatną depresją i jeszcze gdzieś tam w obszarze umiarkowanej No to ciężej by było nam działać ciężej by było nam żyć także ten przesadzony optymizm znowu pozwala przetrwać w nieprzewidywalnym świecie Ale przy okazji się kończy właśnie takimi też kwiatkami dalej efekt fałszywego konsensusu nie było jakichś większych rozmów No to szef myśli że wszyscy się z nim zgadzają albo więcej ó osób niż w rzeczywistości jakby popytać Ty słuchaj A co myślisz na
ten temat nie ileś osób jakby szczerze powiedziały to mógłby zmienić zdanie ale zazwyczaj jest takie no dobra no chyba się wszyscy zgadzają to lecimy za tym dalej nierealistyczny optymizm jeżeli ktoś jest nierealistyczny optymistą to też Badania pokazują że mniej się przygotowuje do jakichś sytuacji krytycznych nie wiem egzaminu czegoś że coś się może wydarzyć nie wiem zabraknąć prądu i tak dalej niż osoby które mają ten optymizm mniejszy więc też może być tak że jest optymistą to optymista jakoś to będzie też to znacie No i szef też można powiedzieć że jest facetem W fartuchu czyli tym facetem który ma władzę jak facet W fartuchu to kolejny znany eksperyment milgrama Stanleya milgrama Kojarzycie Kojarzycie tak przy czym badania pokazały że sporo
osób które były w tym eksperymencie były w stanie zaimplementować najwyższą dawkę jeśli chodzi o szok elektryczny tak w skrócie mówiąc o tym badaniu badany był podpięty do aparatury która zadawała mu wstrząsy elektryczne i ktoś miał go uczyć a jak badany podstawiony aktor podawał złe odpowiedzi No to dostawał szokiem przy czym do podręczników przeszło to jako właśnie badanie które mówiło o tym że jak jest ktoś w kitlu Ktoś wydaje rozkazy i tak dalej to można dojść do rzeczy nieludzkich znowu de Banking bo się okazuje że nie wszystkie eksperymenty milgrama zostały pokazane i to jest screen z świetnego wystąpienia znowu Tomasza Witkowskiego warto je sobie posłuchać zobaczyć jak to wygląda natomiast właśnie z takich jeszcze perełek to się okazało że sporo osób nie
wierzyło w autentyczność tej sytuacji jak nie wierzyli w autentyczność sytuacji to łatwiej było zadawać elektrowstrząs niemniej to pokazuje że są jakieś takie czynniki które sprawiają czy nasze osobe że to chyba się nie dzieje Naprawdę czy jednak ten człowiek w kitlu który naszym zdaniem ma autorytet że to sprawia że jednak łatwiej się jest na pewne rzeczy nabrać widzieliście skam prezydent Duda czy tam Daniel obajtek zapraszający do tego żeby inwestować w jakieś tam akcje Orlenu jakieś inne sytuacje reklamy sponsorowane na Facebooku jak próbujecie zainwestować to się nagle okazuje że tracicie majątek facet w kitlu czy Gnie moast na większą też w Skach jest wykorzystywane No bo oni jednak mają autorytet jakiś tak facet w krawacie w garniturze znane
nazwisko dej wywiad jaka to świetna inwestycja a Toż inna sprawa chociaż różnie z tym bywa dobra prze
zamiennika słowa które powinno się pojawić także mam nadzieję że Wiecie o co chodzi A jeszcze większą Mam nadzieję że nie wiecie o co chodzi bo macie dobrą organizację pracy jak robiłam pierwszy raz te prezentacje to znalazłam takie coś na linkedinie w feedzie Andrzej djak wrzucił taki screen No właśnie kto robił audyty kodu ten się w cyrku Nie śmieje jak ja patrzę po swoim kodzie to też widzę że czasami No pewne rzeczy można by było zrobić lepiej ale nie zawsze jest czas na to bo jest gdzieś presja wymogi i ciężko jest się skupić na tym cyberbezpieczeństwie nawet jak się bardzo chce no ale to już różnie bywa tak natomiast jeśli chodzi o o organizację pracy to takie rzeczy są
właśnie efektem tego jak wygląda całe środowisko pracy nie zawsze natomiast no ma to jakiś tam wpływ tak bo może być na przykład Lęk przed oceną to jest bardzo silny czynnik które potrafi zmienić nasze funkcjonowanie To co robimy Jakie decyzje podejmujemy tak Lęk przed oceną właśnie tej wydajności tempa pracy czy Dowieźli śmy Sprint czy siedzieliśmy nad czymś bo chcieliśmy sprawdzić czy ta funkcja na pewno będzie napisana w bezpieczny sposób nie no cóż ma działać tak ostatecznie więc nie zawsze to Cyber Security w ogóle jest czas żeby je implementować No jak stawką jest jeszcze zachowanie pracy Myślę że wiecie widzicie mieliście takie doświadczenia jak czasami ciężko jest znaleź jak czasami ciężko jest się w tej pracy utrzymać No a jakoś jak się straci pracę
to też nie jest tak że cały świat skacze z pomocą i następnego dnia Znajdujecie No to jeżeli na wadze jest wasze przetrwanie albo zrobienie czegoś tak żeby było leg Artis No przykro mi ale nie zawsze wygrywa ta dobra praktyka zdarza się tak natomiast też jest kwestia jakieś rozmytej odpowiedzialności ja miałam też taką sytuację na jednym projekcie że gdzieś się pojawił pomysł na to żeby co Security mener mówi dobra wpisz do backlogu omówimy tam w gronie menedżerskim z jakimś tam osobami innymi decyzyjnymi dobra mija tydzień mijają dwa tygodnie gdzieś tam się przypominam nic no jeszcze dyskutujemy jeszcze nie było spotkania coś tam nie a się świeci na czerwono bo trzeba zrobić rzeczy które mają przynieść biznesowi zysk no i
w pewnym momencie jak dojdzie do ataku to kto będzie winy No i oka że miały być decyzyjne ale nie porozmawiał ktoś miał się przypominać ale w pewnym momencie przestał się przypominać No bo ile można pytać i dostawać odpowiedź jeszcze nie no i nagle się okazuje że winnego nie ma Jest taki termin który to świetnie który opisuje właśnie to zjawisko to jest próżniactwo społeczne tak Czyli Jeżeli jesteśmy w grupie jesteśmy odpowiedzialni wszyscy za coś to nagle się odpowiedzialność rozmywa Ile ilu z was Ile z was miało taką sytuację na studiach że Projekt miał być I wyście kończyli jako ci którzy próbują go dopiąć bo zależy wam żeby w ogóle zaliczyć ten przedmiot to jest taka klasyka No cóż Brawo za odwagę
przyznania się nie także tutaj zawinie jakiś taki sposób myślenia tak że jesteśmy w grupie nie musimy robić wszystkiego inne osoby decyzyjne ten jest chętny ten coś zrobi to ja się nie wtrącam poszło Dobra ulubiony debat o spotkaniach które mogły być mailem to już po uśmiechach Widzę że wy wiecie o co chodzi I tu się też pojawia pytanie bo spotkania które mogą być mailem to jest jedno natomiast jak często jesteście na spotkaniach które mają potwierdzić z góry założoną tezę
[śmiech] bo ja Wiadomo że nie wszędzie tak i nie zawsze natomiast miałam okazję być na takich spotkaniach gdzie Nieważne było co ja powiem ważne było że już było założone co trzeba zrobić dalej i jedziemy karawana jedzie dalej nie ma dyskusji nie ma tematów i tutaj kolejny eksperyment nie wiem czy Kojarzycie ten eksperyment po grafice Ci co robią os To może po linku eksperyment solomona asza i eksperyment z tak zwanym conformity czy gdzieś tam wypadło mi teraz polskie słowo ale zaraz ono się znajdzie sł krótkie pytanie Niech podniosą rękę osoby te które uważają że linia a jest tej samej długości co ta na ni podpisanym obrazku czyli tutaj dobra A czy są osoby które uważają że linia B jest tej samej dług
tej samej długości świetnie Tak właśnie wyglądał eksperyment Solomon as natomiast tam warunek był taki że jedna osoba która była odpytywanie osób była osobą badaną a reszta to byli podstawieni gracze No i na przykład ci gracze mówili że linia a jest tej samej długości zresztą tu na zdjęciu ono nie jest takie super a jak znajdziecie oryginalne zdjęcie to widać że ten człowiek który jest trzeci od prawej tak jak się przygląda jakby się zastanawiał o co tu kurka chodzi i czy naprawdę te linie są równe bo to był Jeśli dobrze pamiętam człowiek który właśnie był tym badanym nie przy czym 70 proc osób przynajmniej raz uległo opinii innych w tych warunkach tak w sytuacji gdy wszyscy podstawieni
mówili coś niezgodnego z prawdą 37 proc uległo 63 zostało przy własnym zdaniu czyli gdzieś tam mamy w sobie jakiś taki element nie wiem próbę dopasowania że konformizm nam przychodzi tak Czyli ta zmiana właśnie zachowania bądź przekonań Zgodnie z tym co robią bądź myślą inni jakoś tam nam przychodzi czyli gdzieś akceptacja społeczna i to żeby nie mieć później tak zwanego smrodu w biurze potrafi być ważniejsze niż zadbanie na przykład o bezpieczeństwo Nie no bo o bezpieczeństwo gdzieś tam powiemy może się przebijemy w jednej bitwie ale walka się toczy dalej I to jaki będzie Komfort chodzenia po biurze albo słuchania jakieś tak wytykania bycia wytykany palcami czy słuchania że no nie no ty zawsze musisz coś wrzucić nie to już
jest spora cena którą też można zapłacić natomiast też znowu odniosę się do Witkowskiego bo jak sobie znowu popatrzyłam co co on tam znalazł gdzieś tam to też Widać jak bardzo różne badania potrafią być raportowane nie do końca w taki sposób że pokazują Jaki jest czysty efekt badań nie Czyli to jak myślimy o świecie o społeczeństwie bardzo mocno wpływa w tym wykładzie który tutaj wam polecam Witkowski mówi o tym że te badania i Zimbardo i milgrama i właśnie solomona Asha były robione w tych czasach kiedy ludzie bardzo mocno szukali odpowiedzi na pytanie jak to się stało że doszło do holokaustu Jak to się stało że w trakcie II wojny światowej tylu ludzi zginęło tak po prostu bo ktoś
stwierdził że trzeba ich wybić Tak więc nie wszystkie więc te wyniki badań były też trochę prezentowane w taki sposób no czarnowidztwa tak czyli No właśnie aż 75 % osób przynajmniej raz zgodziło się z tą tezą że jednak te linie które nie były równe są równe a Witkowski zwraca uwagę na drugą część tej monety czyli 25 proc badanych nigdy nie porządkował swoich odpowiedzi opinii grupy Przecież to jest cała masa ludzi którzy Jednak powiedzieli stali na straży swojego zdania tak tylko 5 proc badanych we wszystkich próbach odpowiadało konformistycznie we wszystkich nie czyli w zależności od tego jak się kształtowały warunki też było łatwiej stanąć gdzieś tam przy swoim przy swoim zdaniu także też warto patrzeć przez naprawd
takie poważne znaczy nie wiem nawet jak to ująć tak przynajmniej przez różne okulary tak na te wyniki badań bo jak się czyta to samo badania to można dojść nawet do dwóch różnych wniosków nie w zależności od tego czy patrzymy na jedną stronę czy na drugą dobra jedźmy dalej myślenie grupowe to jest taki sposób myślenia któ bze znaleźli wynaleźli to jednostka Angażuje się gdy tendencja do szukania zgodności w spójnej grupie jest tak dominująca że przeważa nad realistyczną oceną alternatywnych opcji wyboru o co chodzi No jeżeli jest tak że grupa musi mieć jakiś Wynik musi dojść do nie wiem rozwiązania jakiejś sprawy do jakiegoś konsensusu to jednak siły które czy chęci ludzkie które chcą Ludzie chcą ludzie żeby
doprowadzić do jakiegoś konsensusu przeł impas to jest ważniejsze niż realna konkretna dyskusja nad jakimś problemem nie więc to jest też taki proces który sprawia że może być trudniej spojrzeć na sprawę z różnych perspektyw Nie mówiąc o tym że przy okazji myślenia grupowego zaczynają się również inne mechanizmy pojawiać które sprawiają że trudniej jest przebić się z wersją która nie do końca spełnia oczekiwania grupy i tutaj mały spoiler Alert zaraz będzie nie wiem czy ktoś oglądał ten film dobra okej Czy jak ktoś nie oglądał to proszę o zasłużenie teraz uszu Jeżeli nie chc spoilera natomiast Tam jest taka sytuacja w tym filmie kiedy jest rozmowa tego naukowca z grupą ludzi w której jest również prezydent Stanów Zjednoczonych no i on
mówi że naukowcy zgłaszają pewne wątpliwości ale przekonanie tej grupy ludzi o tym że trzeba zastosować bombę atomową Sil że wyśmiewają temat się kończy dokładnie i to jest właśnie przykład myślenia grupowego że parcie na wybranie jednej jakiejś opcji wyjścia jest tak silne że No niestety ale cierpi na tym
rzeczywistość to jest dokładna definicja tego mylenia grupow Ost to są jeszcze wypisane różne rzeczy które się pojawiają przy tej okazji między innymi właśnie pojawia się jakaś presja w kierunku uległości czy autocenzura bo uwaga jak zaczynają się te procesy myślenia grupowego to my sami nie chcąc sobie zaszkodzić jesteśmy w stanie cenzurować to co chcemy powiedzieć Także nie jest to łatwy nie jest to łatwa rzecz do przebicia się aczkolwiek też kie powiem Moś k wpływa na to w jaki sposób postrzegamy rzeczywistość Kult Cargo znasz wo Okej ja znalazłam akurat takie natomiast mogłam się gdzieś kropnąć w przepisywaniu dokładnie czyli Amerykanie gdzieś tam na Wyspach zostawiali swój sprzęt dozbrajanie
tak Jedzenie broń etc i tubylcy nie mając pełni informacji nie rozumiejąc tego kontekstu myśleli że jeżeli będą robić to samo co biali ludzie czyli machać chorągiewkami tak bo tam były Także były przygotowane takie prowizoryczne lądowiska na których lądował
Related talks
43:55
57:24
1:01:16
44:08
29:57
1:08:51