Lo que nos planteaba Erez Metula en su conferencia era el llevar el concepto de rootkit, ampliamente conocido por todos al implantarse en sistemas operativos una vez se han visto comprometidos, pero en el framework .NET. Esto permitiría, aprovechándonos de la falta de comprobación de la firma de los componentes, remplazar trozos de código por otros que realizasen otra función. En las demostraciones se mostró por ejemplo como era posible modificar la típica función de escribir por pantalla, Console.WriteLine, para que pintase dos veces en vez de una la cadena deseada. No hace falta deciros en lo que podría desembocar esto si lo llevamos a otro tipo de acciones.
Unos prefieren sacar las contraseñas o navegar por los documentos de la víctima afectada al comprometer su sistema; pues bien, aquí disponemos de otra alternativa más enfocada "a largo plazo". Finalmente, dejaba la puerta abierta, y comentó que ya se encontraba investigando otro tipo de frameworks de otros lenguajes, en los que había descubierto que también podría realizar modificaciones. Erez, en varias de sus diapositivas, quería recalcar la "pasividad" por parte de Microsoft y su centro de investigación en reconocer que esto es una vulnerabilidad, por el hecho de que para conseguir su objetivo, ya era necesario ser administrador del sistema. ¿Estáis de acuerdo? Tenéis los comentarios abiertos.
Si os interesa el tema y queréis saber más, podréis visitar su página dedicada a los rootkits en .NET, así como su paper presentado para esta Black Hat aquí. En ellos se incluye más información sobre la herramienta que ha desarrollado, .NET Sploit, que se encarga de facilitar toda la tarea de modificación.
* 10:30 - 11:45 = (Track 2) Stack Smashing as of Today: A State-of-the-art Overview on Buffer Overflow Protections on linux_x86_64 - Hagen Fritsch
Mientras en el Track 1 se daba la charla de ePassports, de la que ya se habló en la edición de Las Vegas (asistentes a esta charla nos dijeron que las demostraciones fueron muy interesantes y amenas a pesar de no aportar novedad alguna) hacía unos 3 años, decidimos entonces asistir a la charla de este joven estudiante de informática, Hagen Fritsch, en la que se presentarían técnicas que permitirían saltarse las protecciones NX, ASLR o las stack-cookies. Fue una charla interesante, que merecería la pena analizar de nuevo con más detenimiento y con todo el material que aportó el autor.
En el turno de preguntas, Jeff Moss, que asistió a la charla desde su comienzo, preguntó al autor si conocía la existencia de grsec y si había investigado con él. Para mi sorpresa, dijo que no había oído hablar nunca de eso.
Ya se ha publicado lo que presentó en la conferencia, tanto lo referente a los desbordamientos de búfer en linux-x86-64, así como el tema que fue protagonista de la mayoría de sus demostraciones realizadas, el saltarse la protección ASLR prediciendo su procesamiento aleatorio. Las diapositivas de esta presentación las podréis descargar de su página principal.
Después de esta charla, durante el descanso de 15 minutos, pudimos realizar la entrevista a Jeff Moss, fundador de la Black Hat, que podréis encontrar íntegra en este post publicado ayer. De todo lo que nos contó, destacaríamos, como no, la noticia de que la edición europea del 2010 se realizará en España, más concretamente Barcelona, con el objetivo de intentar ampliar el número de charlas incrementando la cantidad de tracks, que se está trabajando en un portal social para congregar a la comunidad de la Black Hat e interactuar con todo el contenido del que disponen, y que la crísis financiera mundial también ha afectado a las conferencias de seguridad.
La entrevista hizo que llegásemos tarde a la conferencia de las 12.00, que en este caso iba a ser la ofrecida por Rob Havelt del equipo SpiderLabs perteneciente a TrustWave (que regalaban camisetas en el stand que tenían en la Black Hat al igual que otras compañías patrocinadoras del evento) titulada Yes It Is Too WiFi, and No It's Not Inherently Secure, del Track 1. Se centraba en la técnica de transmisión de modulación por saltos de frecuencia (FHSS), antigua pero aún utilizable por alguna que otra compañía, la cual resulta bastante insegura ya que con el ESSID de la red (fácilmente obtenible por encontrarse en ), así como un patrón de esos saltos, en pocos segundos podríamos unirnos a dicha red, y en caso de encontrarse protegida...siendo como es una clave WEP de 40-bit, que os voy a contar...
Y llegamos a otra de las charlas más esperadas de esta edición:
* 14:15 - 15:30 = (Track 1) Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data - Chema Alonso, Enrique Rando
* 17:15 - 18:30 = (Track 1) Masibty: A Web Application Firewall Based on Anomaly Detection - Stefano Zanero & Claudio Criscione
Con la intención de echar por tierra los sistemas de detección basados en reglas, por la poca visión en cuanto a la evolución hacia posibles nuevos ataques, Stefano y Claudio proponen Masibty, un firewall de aplicaciones web que se alimenta del comportamiento normal de una aplicación permitiendo crear una especie de flujo correcto del funcionamiento que es capaz de detectar cuando existe una anomalia en su utilización.
Y con esto llegamos al final del día 2 y de los resumenes de esta edición europea de Black Hat 2009. De este segundo día, personalmente me quedo con las siguientes presentaciones:
1) .NET Framework Rootkits: Backdoors inside your Framework
2) Stack Smashing as of Today: A State-of-the-art Overview on Buffer Overflow Protections on linux_x86_64
3) Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data
Seguiremos investigando más sobre todos los temas presentados en este ciclo de conferencias, poniendo especial hincapié en aquellas a las que no asistimos y que nos quedamos con las ganas de poder conocer más. De momento, estaremos al tanto de lo que publican en los archives de la página oficial.
Posts relacionados:
[+] SecurityByDefault cubrirá la Black Hat Europe 2009
[+] Resumen Black Hat '09 Europe: Día 1 (16 de Abril)
[+] Black Hat Europe '09: Entrevista a Jeff Moss
0 comments :
Publicar un comentario