A continuación tenéis elr esumen de los tres días de la Rooted CON 2013 que ha elaborado SecurityArtWork.
/Rooted CON 2013 día 1
Un año más estamos en la /RootedCON. Este año se inicia con una interesante charla de David Fuertes titulada “Señales débiles, ¿nos protegemos sabiendo que nos van a atacar?“. David nos ha hablado sobre uno de los temas de moda como son las “APT” y el enfoque que le dan actualmente las organizaciones a la hora de protegerse, donde muchas de ellas no asumen que van a ser alguna vez comprometidas. David terminó exponiendo algunas ideas para detectar en las organizaciones esas señales débiles que puedan hacer saltar las alarmas, como puede ser centrarse en la cantidad de tráfico de red.
La siguiente charla corrió a cargo de Vicente Díaz: “Birds, bots and machines – fraude in twitter and how to detect it using machine learning techniques“, donde explicó una investigación que ha llevado a cabo para detectar campañas de bots de twitter que se dedican a enviar spam. Para poder diferenciar si es un bot enviando spam se aplicó machine learning, obteniendo en su estudio unos datos bastantes buenos de detección. También recalcó que una de las fases importantes de la investigación es la definición de los parámetros (públicos o calculados) que permiten después decidir si es un bot o no; un ejemplo de parámetro es el “tiempo medio entre tweet“. Como veis una charla muy interesante y con el mensaje de que no hay que tener miedo a la IA.
Jose Miguel Esparza y Mikel Gastesi “Sopelka vs Eurograbber: really 36 million eur?” nos hablaron de la botnet sopelka y alguna de sus peculiaridades, como por ejemplo que se trata de tres muestras de malware y un solo panel, un dato realmente curioso. Una vez ya habían detallado las funcionalidades pasaron a hablar de un informe que se hizo eco en todos los medios de amplia difusión sobre Eurograbber y las grandes cantidades de dinero robadas. Sobre el informe han hecho una crítica a la falta de rigor del mismo, tras realizar diferentes comprobaciones que han comentado en la misma charla. Su mensaje principal es que cuando leamos un informe debemos ser críticos y detectar rápidamente cuándo se trata de un informe enfocado únicamente al marketing.
Juan Antonio Calles y Pablo González: “Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection” nos hablaron de Flu-AD, cómo ha nacido y cuál es su estado actual. La herramienta, como muchos de vosotros ya sabéis, es un troyano para que los cuerpos policiales puedan cazar a pedófilos, pederastas, etc. Flu-AD en su origen estaba hecha en .NET y debido a diversos requisitos (por ejemplo, tamaño inferior 50kb del binario) que se les ha marcado por parte de los cuerpos policiales han tenido que desarrollarla en C. Otro punto donde han centrado su trabajo es en hacer que todos sus componentes sean indetectables. También nos mostraron su integración con metasploit, para aprovechar todo su potencial.
Alejandro Ramos “Te pique lo que te pique analiza un SQLite“, nos contó la estructura de un SQLite y las consideraciones que hay que tener en cuenta cuando vas a recuperar información de una base de datos de este tipo. Básicamente comentó que cuando se borra información de SQLite, ésta no se elimina sino que se marca que el espacio está libre, por lo que la información como en los sistemas de ficheros hasta que no sea sobrescrita seguirá ahí. Una de las dificultades para la recuperación de información radica en las aplicaciones que de manera periódica reorganizan el espacio.
David Meléndez Cano, “Trash Robotic Router Platform“, enseñó dos prototipos en los que lleva trabajando unos cuantos años. Su filosofía para crearlos es reutilizar “cacharros” que todos tenemos por casa sin usar y crear este tipo de dispositivos. Uno de ellos estaba basado en un router linksys y el otro en una fonera. Estuvo contando cual ha sido todo el proceso y qué escollos se ha encontrado hasta tener los prototipos. Una charla muy buena y un trabajo increíble.
Y de momento, eso fue todo en el primer día de la rootedcon. Seguiremos informando.
--------------------------
/Rooted CON 2013 día 2
--------------------------
En nuestro segundo día de la RootedCon parece que el congreso va ganando cuerpo como el buen vino. La mañana la abrieron los chicos de OWISAM, Andrés Tarasco y Miguel Tarasco,presentando una interesante metodología de análisis de seguridad 802.11 y acompañada de una herramienta de auditoría la cual tenemos muchas ganas de probar. Desde Securityartwork desearles suerte con el proyecto, seguro que es un éxito.
Justo antes del café Jesús Olmos nos presentó ChromeHack un complemento del popular navegador de Google para la auditoría Web. La verdad es que me sentí muy identificado cuando comentó el origen del proyecto, el hecho de estar realizando un análisis y tener: una Hackbar, el Tamperda, Burp, Pipper, 2 escritorios, y siete consolas abiertas, hace que el test acabe siendo un infierno. Es por eso que, este maravilloso plugin permite realizar con un simple botón derecho del ratón contra un recurso HTML concreto: fuerza bruta a un login, inyección SQL o XSS a formularios, fuzzing de URLs, todo ello basado en diccionarios de ataque. La verdad es que tenemos muchas ganas de probarlo y alimentarlo por ejemplo con los diccionarios del gran Pipper.
Concha Codan en el buche y zumito refrescante pasamos a ver la interesante ponencia de David Barroso (pese a que ya la habíamos visto en otros foros) sobre ataques de denegación de servicio distribuidos. Me sorprendieron muchas cosas pero en especial me pareció curioso el modelo de negocio de algunos ciberdelincuentes de “Pago por instalación”, es decir yo ya tengo mi botnet con mi legión de zombis y le vendo la instalación de su troyano de control a un segundo, pudiendo un único cliente infectado formar parte de varias botnets controladas por varios grupos criminales.
Justo antes de comer Sebastián Guerrero nos mostró como crear un rootkit para Android, ya que la Sandbox en estos terminales solo se despliega en el ring de usuario, no aplicando al Kernel o las librerías del sistema. Por lo tanto es posible en caliente cargar un módulo LKM, el cual se ejecuta en este espacio privilegiado. Su aportación permite obtener la SYSCALL TABLE (tabla donde se recogen la lista de direcciones de las llamadas a sistema) sin depender de la versión específica de un Kernel concreto de Android, esto es necesario para poder Hookear estas llamadas. Su módulo Penetraitor V0.1 puede, como Sebastián comenta, utilizarse para el bien, como por ejemplo debuggear aplicaciones o para el mal, creando una reverse shell cuando se le envíe un mensaje al teléfono o reciba una llamada de un teléfono concreto.
Tras un exquisito cocido madrileño, asistimos a la ponencia de Pepelux, donde nos mostró como realizar un test de intrusión sobre una FreePBX, distribución Linux con Asterisk integrado, destinada a realizar las funciones de centralita telefónica. Jose Luís nos enseñó cómo es posible comprometer este tipo de servidores a través de la creación de un plan de llamadas capaz de ejecutar código en el sistema. Ni decir tiene que todo acaba con final feliz, máquina rooteada.
Por último Roberto Baratta, CISO de Novagalicia, nos mostró como su compañía es capaz de luchar contra el ciberfraude bancario, a través de mecanismos como por ejemplo la correlación con SPLUNK o la cooperación con otras entidades. Me llamó la atención el comentario sobre la nueva directiva europea que obligará en 2014 a que los bancos estén obligados a publicar sus incidentes de seguridad. No obstante sí que hubo una cosa que me hizo levantar las orejas cual conejo deslumbrado en medio del asfalto, y es el hecho de que para analizar la seguridad del código de sus programadores, este se envíe a “La Nube”.
En general muy buenas sensaciones en este segundo día de la RootedCon, quedándonos incluso con ganas de más.
--------------------------
/Rooted CON 2013 día 3
--------------------------
El tercer día de la /RootedCON se presentó igualmente interesante a pesar del cansancio acumulado. Prueba de ello fue la gran asistencia desde la primera charla que nos presentó la gente de Taddong, David Pérez y José Picó. Nos mostraron una manera de localizar un terminal móvil a través de la señal de comunicaciones por GSM. ¡Estaba chupado! Explicaron cómo triangular la señal utilizando para ello una estación base propia, conociendo únicamente el IMEI del teléfono a localizar y forzando a que se conecte a ésta. Tras una divertida explicación del proceso, modelos matemáticos utilizados y correcciones para que no lo situara en el Oceano Índico, consiguieron una precisión de un par de metros en un área de 2 kilómetros utilizando una antena omnidireccional para la localización aproximada y posteriormente cambiando a una dirigida para mayor precisión.
La siguiente charla vino de la mano de Joxean Koret, quien nos presentó la problemática de las aplicaciones actuales para detectar bugs y vulnerabilidades en el código y su propuesta: Fugue. Vimos que es necesaria una gran cantidad de dinero si quieres hacer uso de aplicaciones comerciales, aprendimos sus limitaciones y cómo las aplicaciones libres que existen en el mercado se quedan muy cortas cuando se trata de código con millones de líneas y un giga de tamaño. Esta herramienta, aún en desarrollo y parece que por mucho tiempo (entendemos el porqué), es capaz de analizar tanto el código como el programa compilado haciendo uso de una transformación AST, utilizar checkers de firmas tanto habituales como creadas por el usuario y centrarse únicamente en las partes del código que queramos y determinadas funciones o variables. Una idea sensacional en la que debe haber unas cuantas horas invertidas; si no recuerdo mal, cuatro años. Una presentación muy inteligible para un tema tan denso como éste.
Tras una pequeña pausa para reponer fuerzas con las famosas conchas, pasamos a la charla de Jaime Sánchez. En ella recordó el viaje realizado por un paquete de red desde la tarjeta hasta el espacio de usuario y presentó unos scripts para manipular la información de estos paquetes, con el objeto de confundir al usuario o a aplicaciones de fingerprinting, realizar detección de intrusiones a través de covert channels o para actuar como un IPS. Una charla muy interactiva con muchas demos en vivo.
A continuación llegó Raúl Siles, con una fuerte ovación incluso antes de comenzar con su presentación, en la que nos contó cómo funciona el mecanismo de conexión de diferentes dispositivos móviles a las redes Wi-Fi, cómo poder listar los PNL o Lista de Redes Conocidas y tras esto tratar de forzar al terminal a que se conecte a un punto de acceso controlado por nosotros. Vimos que en muchas ocasiones no se pueden eliminar las PNL y nuestro terminal se podría conectar sin nuestro conocimiento, para lo que presentó su iStupid, una herramienta para eliminarlas. Hizo una demostración en vivo de los PNL de los dispositivos de los presentes en la /RootedCON, a punto de establecer un Hall of Shame de PNLs comprometedoras. Tras muchas risas, terminó con las posibilidades de realizar MitM suplantando esas redes según el cifrado y el dispositivo utilizados. Muy completa.
Albert López sorprendió con una actualización del clásico HEAP overflow pero aplicándolo a las versiones actuales de glibc y kernel. Hizo una introducción muy detallada e ilustrativa del HEAP overflow y cómo jugar con las referencias a punteros de los BITS libres. He de reconocer que algunos nos perdimos con tanta referencia a forward y backward… Presentó algunas pruebas de concepto y correcciones sobre las diferentes formas de explotarlo, actualizando y corrigiendo un paper de 2005. Finalmente explicó un escenario muy particular de explotación (House of Mind) y cómo aprovecharlo. Anunció un paper de 100 páginas donde desarrolla en profundidad todo esto y la manera de evadir el parche que sacaron para corregir el fallo de House of Mind.
Para cerrar la jornada y el congreso, tuvimos la visita inesperada de Wardog, al que los asistentes pudieron realizar toda clase de preguntas y dudas y recibir sus punzantes respuestas. Muy divertido, como siempre. Tras esos minutos de entrevista llegó la hora de Chema Alonso y su presentación sobre IPv6, no sin antes agradecer la auditoría que hicieron de su panel de control de la botnet que presentó en la /RootedCON 2012 y algún que otro inquietante correo que le llegó a raíz de sus ponencias en diferentes eventos internacionales. Nosotros nos tuvimos que marchar dejando al pobre Chema con un problema con el router en IPv6, pero nos consta que pudo solucionarlo y seguir con la demo de su ponencia.
Finalmente queremos felicitar a la organización por el alto nivel de los ponentes, la coordinación de un evento con más de 600 personas. Estamos esperando ya impacientes la celebración de la /RootedCON 2014 a la que no faltaremos.
Marcadores