Díl 41. – Techniky a nástroje, kterými po Vás hackeři půjdou

V druhé části rozhovoru s Pavlem Luptákem z Hacktrophy jsem popustil uzdy fantazii a ptal se Pavla na věci, které mě zajímaly v souvislosti s bezpečností na internetu.

Zajímalo mě třebas, jestli se v praxi využívají útoky postranními kanály procesoru (MeltDown, Spectre, TL Bleed). Probírali jsme i možné zranitelnosti Intel ME koprocesoru. Dozvěděl jsem se, že řešením řady zranitelností by mohla být tzv. kompartmentalizace na úrovni HW i SW.

Od Pavla padla zajímavá myšlenka – paradoxně nejsložitější aplikací, kterou používají běžní uživatelé je webový prohlížeč. Proto tam bude vždy plno prostoru pro různé zranitelnosti.

Položil jsem i svou oblíbenou otázku – zda dochází k nějakému výraznějšímu posunu v OWASP žebříčku zranitelností. Podle všeho je vidět určitý posun směrem k chytrým klientům – vyplácí se třebas útoky na HTML5 funkcionality typu local storage, zpracování videa či SVG obrázků.

Zajímalo mě, jestli a jak hackeři přizpůsobují svoje útoky, podle jazyka, ve kterém je aplikace napsána. Což mi Pavel potvrdil – různé platformy mají odlišná slabá místa, kde se vyplatí útočit. Obecně se dá říct, že aplikace napsané v Javě či C# jsou bezpečnější než aplikace napsané v PHP. Je to sice zjednodušující tvrzení, ale statisticky podpořené. Za tímto tvrzením samozřejmě stojí především úroveň programátorů, kteří jazyk používají a v PHP píše celá řada nezkušených vývojářů a to se na statistice zkrátka projevit musí.

Vyptával jsem se i na útoky spadající po oblast sociálního inženýrství. Nejsou součástí standardního, ale u Hacktropy je možné si takové útoky přiobjednat. Pavel s nimi má navíc jako člen skupiny Ztohoven dlouholeté zkušenosti. Třeba taková Morální reforma je ukázková aplikace takového sociálního inženýrství.

Tento díl je tedy hlavně o věcech, které nosím v hlavě já. Pokud jste na stejné vlně, věřím, že vás tenhle díl bude bavit.

Video

Pouze audio

2 thoughts on “Díl 41. – Techniky a nástroje, kterými po Vás hackeři půjdou”

  1. Proč byl rozhovor tak krátký? Extrémně zajímavé téma a jen taková chvilka. Nesnáším rozhovory, které je nutné ukončit jen aby nebyly “moc dlouhé”. Pán mohl klidně dále povídat, rozhodně měl o čem.

    1. No on ve skutečnosti nebyl krátký – natáčeli jsme to v kuse s předchozím dílem 40., takže ve skutečnosti to byl rozhovor na více jak hodinu. Protože máme zkušenosti, že nám lidi cca po 1/2 hodině odpadávají, tak jsme se interně dohodli, že se pokusíme takto dlouhé díly rozpůlit a vydat jako dva půlhodinové.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.