Qubit Prague 2023 a Digital Forensics 101
Presne pred mesiacom, v dňoch 16.-18. mája 2023, sa v Prahe konal už 10. ročník konferencie Qubit. Táto konferencia sa medzičasom vypracovala na jeden z top kyberbezpečnostných eventov v strednej a juhovýchodnej Európe. ktorý okrem prednášok a školení prináša aj široké možnosti networkingu. Zároveň slúži ako stretnutie slovenskej a českej bezpečáckej komunity z komerčného, vládneho a akademického prostredia. My sme na tejto udalosti nechýbali, svojou troškou sme prispeli v podobe školenia o počítačovej forenznej analýze.
Na Qubit konferenciách sa už tradične konajú celodenné predkonferenčné školenia, zvyčajne pre maximálne 20 ľudí. Tento rok sa okrem nášho školenia Digital Forensics 101 uskutnočnili aj školenia zamerané na Open Source Intelligence od Borisa Mutinu a tiež aj manažment rizík v podaní Mareka Zemana a Jozefa Úrodu. Potešilo nás, že aj napriek najviac technickej téme sme mali na našom školení najvyššiu účasť.
Školenie Digital Forensics 101
S účastníkmi školenia Digital Forensics 101 sme najprv prebrali teoretický úvod, čo je to počítačová forenzná analýza a kde sa využíva. Povedali sme si o digitálnych stopách a digitálnych dôkazoch, opísali jednotlivé fázy forenzky a pracovný postup. Samozrejme, nevynechali sme ani Chain of Custody - zjednodušene povedané, proces a dokumentácia narábania s digitálnymi stopami.
V ďalšej časti sme sa venovali zaisťovaniu digitálnych stôp, vytváraniu obrazov diskov, triáži a rýchlemu zaisťovaniu najdôležitejších stôp, spomenuli sme aj zopár tipov pri zaisťovaní virtuálnych strojov. Následne sme sa mohli pustiť do spracovania a analýzy digitálnych stôp, prakticky sme si vyskúšali viacero nástrojov na rôznych druhoch digitálnych stôp.
Oblasť počítačovej analýzy je značne rozsiahla na to, aby sa dala celá pokryť počas jedného dňa. Aj skúsení forenzní analytici sa neustále učia niečo nové. No snažili sme sa vybrať a priblížiť účastníkom školenia niekoľko najdôležitejších tém, s ktorými sa pri forenznej analýze bežne stretávame - súborové systémy, perzistencia, Windows event logy a analýza nedávnej aktivity. Tieto veci sme si aj prakticky vyskúšali na hands-on laboch. Spomenuli sme aj analýzu operačnej pamäte a vytváranie časovej osi.
Posledná štvrtina školenia bola celá praktická. Na mini-CTF (capture the flag) sme spojili všetko dokopy a účastníci mali možnosť si preberané témy vyskúšať na prípade čiastočne inšpirovanom reálnymi udalosťami. K dispozícii sme mali obrazy disku, operačnej pamäte, Kape triage dáta aj predspracovaný prípad v programe Autopsy. Úlohy a otázky v rámci CTF slúžili aj ako návod na vytvorenie predstavy, čo sa v analyzovanom prípade udialo.
Na školení sme prvýkrát použili infraštruktúru v cloude. Pre každého účastníka sme mali pripravenú dostatočne výkonnú cloudovú inštanciu Windows 10 so všetkými dátami a nástrojmi využívanými počas školenia. Z predchádzajúcich školení vieme, že keď je tých dát niekoľko desiatok GB, tak kopírovanie a rozbehávanie virtuálok na účastníckych notebookoch zabrerie pomerne dosť času. Taktiež nie každý má dostatok voľného miesta na disku. Navyše, s príchodom Apple Silicon sa situácia s prípravou virtuálok skomplikovala (medzičasom už existuje aj VirtualBox Developer preview for macOS/Arm64, no ešte ho nemáme odskúšaný). Mali sme však pripravených aj niekoľko záložných riešení, vrátane virtuálok, no nemuseli sme ich použiť. Internetové pripojenie bolo stabilné a rýchle, pripojenie do cloudu sme rozbehali a pracovalo sa nám pohodlne. Túto cloudovú infraštruktúru ocenili aj samotní účastníci v následnej spätnej väzbe, takže čas strávený prípravou a testovaním sa rozhodne oplatil.
Konferencia Qubit Prague 2023
Nasledujúce dva dni sa niesli v znamení prednášok, oficiálnych panelových diskusií aj neoficiálnych diskusií a stretnutí s mnohými známymi mimo prednáškových miestností. Po úvodnom privítaní nasledovala otváracia prednáška Ondra Krehela (Cyber reflections of lessons learned). Počas nej som si zaspomínal aj na niektoré prípady a APT útoky, na ktorých sme spoločne pracovali a dva týzdne “zápasili” s útočníkmi v kompromitovanej infraštruktúre.
Väčšinu prvého dňa bol spoločný program v technickej aj manažérskej časti konferencie, preberali sa často spomínané témy ako využitie AI a ChatGPT, bezpečnosť v cloude a aktuálne výzvy. Tie technickejšie prednášky na druhej strane spomenuli algoritmizáciu penetračných testov (opäť s využitím jazykových modelov a AI na spracovávanie verejných zdrojov dát alebo na prekladanie reportov do iných jazykov). Viacero prednášok sa viac či menej dotklo bezpečnosti dodávateľských reťazcov (supply chain), ale tentoraz sa už riešili aj stavebné prvky moderných aplikácií a mikroslužieb. Reč bola o podpisovaní container images, SBOM (software bill of materials) a vôbec zabezpečení integrity a autenticity kódu, knižníc a komponentov na celej ceste od vývojára, cez celý build proces až po nasadenie v produkcii.
Špeciálne by som vyzdvihol prednášku Jana Mareka o porovnávaní a vyhodnocovaní EDR riešení. Prešiel niekoľko najčastejších marketingových tvrdení, s ktorými sa môžeme stretnpť a ktoré vyzerajú dobre na papieri, ale v praxi sú dosť nepoužiteľné (napr. žiadne falošné detekcie alebo naopak 100% úspešnosť detekcií toho zlého). Hlavnou témou prednášky ale bol popis porovnávacej metodiky založenej na praktických skúsenostiach z Red teamingov, penetračných testov aj riešenia incidentov. Výsledkom boloa porovnanie 6 nemenovaných EDR, v ktorom bolo krásne vidieť rozdiely medzi aktuálne dostupnými riešeniami.
Druhý prednáškový deň bol už viac technický, resp. bolo viac samostatných technicky orientovaných prednášok. Po otváracej prednáške pod taktovkou FBI vystúpil Josh Pyorre so zaujímavou prednáškou o detekciách a signatúrach založených na časovom priebehu sieťovej komunikácie. Osobne mám rád zdanlivo netradičné prístupy, kde sa na jednu vec pozeráme ako na niečo úplne iné, čo ale vieme dobre analyzovať a porovnávať - v tomto prípade analýza podobných zvukových záznamov, v podstate taký Shazam pre sieťovú komunikáciu.
Ďalšie prednášky sa opäť venovali aj zabezpečeniu dodávateľského reťazca a softvérových závislostí, spomínal sa Docker, Kubernetes, videli sme aj praktické ukážky. Nevynechala sa ani problematika mobilných aplikácií, ktoré obsahujú rôzne API kľúče a prihlasovacie údaje pre ďalšie využívané služby tretích strán, od ktorých závisí ich funkčnosť. Jedna prednáška bola o malvéri a analýze botov. Po nej nasledovala ukážka možností automatizácie nástroja BurpSuite pomocou Pythonu, na ktorej Oliver Bachtik ukázal niekoľko svojich skriptov. Pre pentesterov zaujímavá možnosť, ako spojiť veľmi obľúbený pentesterský nástroj a obľúbený programovací jazyk.
Na záver konferencie odznela pomerne netradičná prednáška o AI a AGI (všeobecná umelá inteligencia), miestami veselá, miestami mierne provokatívna, ale priniesla niekoľko zamyslení sa aj nad socioekonomickými vplyvmi a dôsledkami.
Sme radi, že sme sa mohli na konferencii zúčastniť. Mali sme príležitosť spoznať nových ľudí, stretnúť starých známych, vypočuť si prednášky na aktuálne témy a aj podeliť o naše znalosti a skúsenosti.
Disclaimer: fotky boli prevzaté z oficiálnej galérie fotiek konferencie Qubit Prague 2023 a LinkedIn-u