23 abril 2009

Resumen Black Hat '09 Europe: Día 2 (17 de Abril)

Es hora de resumir el día 2 (17 de Abril) de la Black Hat 09 Europe que se celebró la semana pasada en Amsterdam, en el hotel Moevenpick Amsterdam City Centre. El día de hoy se nos presentaba muy entretenido, ya que teníamos por delante la charla de Rootkits en .NET, a primera hora con el desayuno reciente, y la presentación de Chema Alonso y Enrique Rando sobre metadatos justo después de la comida.

* 09:00 - 10:15 = (Track 2) .NET Framework Rootkits: Backdoors inside your Framework - Erez Metula

Lo que nos planteaba Erez Metula en su conferencia era el llevar el concepto de rootkit, ampliamente conocido por todos al implantarse en sistemas operativos una vez se han visto comprometidos, pero en el framework .NET. Esto permitiría, aprovechándonos de la falta de comprobación de la firma de los componentes, remplazar trozos de código por otros que realizasen otra función. En las demostraciones se mostró por ejemplo como era posible modificar la típica función de escribir por pantalla, Console.WriteLine, para que pintase dos veces en vez de una la cadena deseada. No hace falta deciros en lo que podría desembocar esto si lo llevamos a otro tipo de acciones.

Unos prefieren sacar las contraseñas o navegar por los documentos de la víctima afectada al comprometer su sistema; pues bien, aquí disponemos de otra alternativa más enfocada "a largo plazo". Finalmente, dejaba la puerta abierta, y comentó que ya se encontraba investigando otro tipo de frameworks de otros lenguajes, en los que había descubierto que también podría realizar modificaciones. Erez, en varias de sus diapositivas, quería recalcar la "pasividad" por parte de Microsoft y su centro de investigación en reconocer que esto es una vulnerabilidad, por el hecho de que para conseguir su objetivo, ya era necesario ser administrador del sistema. ¿Estáis de acuerdo? Tenéis los comentarios abiertos.

Si os interesa el tema y queréis saber más, podréis visitar su página dedicada a los rootkits en .NET, así como su paper presentado para esta Black Hat aquí. En ellos se incluye más información sobre la herramienta que ha desarrollado, .NET Sploit, que se encarga de facilitar toda la tarea de modificación.

* 10:30 - 11:45 = (Track 2) Stack Smashing as of Today: A State-of-the-art Overview on Buffer Overflow Protections on linux_x86_64 - Hagen Fritsch

Mientras en el Track 1 se daba la charla de ePassports, de la que ya se habló en la edición de Las Vegas (asistentes a esta charla nos dijeron que las demostraciones fueron muy interesantes y amenas a pesar de no aportar novedad alguna) hacía unos 3 años, decidimos entonces asistir a la charla de este joven estudiante de informática, Hagen Fritsch, en la que se presentarían técnicas que permitirían saltarse las protecciones NX, ASLR o las stack-cookies. Fue una charla interesante, que merecería la pena analizar de nuevo con más detenimiento y con todo el material que aportó el autor.

En el turno de preguntas, Jeff Moss, que asistió a la charla desde su comienzo, preguntó al autor si conocía la existencia de grsec y si había investigado con él. Para mi sorpresa, dijo que no había oído hablar nunca de eso.

Ya se ha publicado lo que presentó en la conferencia, tanto lo referente a los desbordamientos de búfer en linux-x86-64, así como el tema que fue protagonista de la mayoría de sus demostraciones realizadas, el saltarse la protección ASLR prediciendo su procesamiento aleatorio. Las diapositivas de esta presentación las podréis descargar de su página principal.


Después de esta charla, durante el descanso de 15 minutos, pudimos realizar la entrevista a Jeff Moss, fundador de la Black Hat, que podréis encontrar íntegra en este post publicado ayer. De todo lo que nos contó, destacaríamos, como no, la noticia de que la edición europea del 2010 se realizará en España, más concretamente Barcelona, con el objetivo de intentar ampliar el número de charlas incrementando la cantidad de tracks, que se está trabajando en un portal social para congregar a la comunidad de la Black Hat e interactuar con todo el contenido del que disponen, y que la crísis financiera mundial también ha afectado a las conferencias de seguridad.

La entrevista hizo que llegásemos tarde a la conferencia de las 12.00, que en este caso iba a ser la ofrecida por Rob Havelt del equipo SpiderLabs perteneciente a TrustWave (que regalaban camisetas en el stand que tenían en la Black Hat al igual que otras compañías patrocinadoras del evento) titulada Yes It Is Too WiFi, and No It's Not Inherently Secure, del Track 1. Se centraba en la técnica de transmisión de modulación por saltos de frecuencia (FHSS), antigua pero aún utilizable por alguna que otra compañía, la cual resulta bastante insegura ya que con el ESSID de la red (fácilmente obtenible por encontrarse en ), así como un patrón de esos saltos, en pocos segundos podríamos unirnos a dicha red, y en caso de encontrarse protegida...siendo como es una clave WEP de 40-bit, que os voy a contar...


Para todo esto, Rob se ha construido un dispositivo que es capaz de localizar beacon frames de estas redes FHSS, a un precio más o menos razonable (según él, no llegaba a 1000 dólares). Quizás el gran fallo que le ví a la charla fue la ausencia de demos. Aquí podréis descargaros el whitepaper sobre lo que presentó.

Y llegamos a otra de las charlas más esperadas de esta edición:

* 14:15 - 15:30 = (Track 1) Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data - Chema Alonso, Enrique Rando


Esta vez, se realizaría una introducción sobre tipos de metadatos y su utilización para poder obtener información interna que nos pudiera servir de gran ayuda para que según que escenarios. Y no hablamos de la información que por ejemplo se podría obtener de una foto, en la que se nos indica que tipo de cámara se ha utilizado para realizarla. Hablamos de nombres válidos de usuario, información de las diferentes versiones de un documento, datos sobre la infraestructura interna de una organización, y un largo etc. El análisis se realiza mediante una herramienta, FOCA, que es capaz de obtener todo lo posible de un documento, y de la que ya os hemos hablado por aquí anteriormente. En esta edición se presentaría su versión descargable, y en su blog, Chema ya ha comenzado a publicar su manual de uso.

Sin duda fué una de las presentaciones que más expectación generó (la sala estaba completamente llena, algo que no se vió en el resto de conferencias salvo alguna excepción), y fué capaz de arrancar carcajadas y aplausos al igual que ocurrió con la de Maltego el día anterior, y fueron muchos los que se acercaron a hablar con los dos protagonistas una vez finalizó la charla. Las frases más repetidas en ese momento fueron las de "Enhorabuena por la conferencia, ha sido genial" y "¿Sabéis que el enlace a la FOCA no funciona?". Para esta última pregunta hizo falta pegar un telefonazo con el +34 delante para que la versión descargable del programa funcionase cuanto antes. El paper de la conferencia lo podréis encontrar aquí, y las slides las han subido a este enlace de slideshare.


El encuentro de la prensa posterior se alargó bastante debido a la alta afluencia de personas que querían comentar la herramienta o realizar cualquier pregunta sobre lo mostrado. Esto, y que había que despedir a Enrique y Chema como se merecían después de tan magnífica charla, ya que cogían un vuelo esa misma tarde, hizo que nos perdiésemos las charlas de las 15:45 a las 17:00. En este rango comenzó la presentación OpenOffice Security Design Weaknesses, por Eric Filiol, de los fallos de diseño en la seguridad de OpenOffice, del que esperamos poder ofreceros un post sobre este tema en un futuro no muy lejano. Mientras podréis hechar una ojeada tanto al paper como a las slides ya publicadas. Seguidamente, asistimos a las últimas charlas de esta edición, más concretamente la que nos presentaba un firewall de aplicaciones web que se basaba en detección de anomalías, llamado Masibty.

* 17:15 - 18:30 = (Track 1) Masibty: A Web Application Firewall Based on Anomaly Detection - Stefano Zanero & Claudio Criscione

Con la intención de echar por tierra los sistemas de detección basados en reglas, por la poca visión en cuanto a la evolución hacia posibles nuevos ataques, Stefano y Claudio proponen Masibty, un firewall de aplicaciones web que se alimenta del comportamiento normal de una aplicación permitiendo crear una especie de flujo correcto del funcionamiento que es capaz de detectar cuando existe una anomalia en su utilización.

Esta herramienta ya fué presentada en la Black Hat de Washington DC de este año, en febrero, y aún todavía no se ha publicado ni la documentación, ni el paper ni las diapositivas mostradas, así como la aplicación en sí por tratarse todavía de una versión beta. Sobre la técnica, he encontrado varios enlaces en la página personal de Stefano. Es más, en las demostraciones que se realizaron se podía observar como los ponentes ejecutaban su servicio en Eclipse, el entorno de desarrollo que utilizaban. Seguiremos de cerca el desarrollo hasta que por fín podamos probar su eficacia cuando se pueda implantar para su uso.


Y con esto llegamos al final del día 2 y de los resumenes de esta edición europea de Black Hat 2009. De este segundo día, personalmente me quedo con las siguientes presentaciones:

1) .NET Framework Rootkits: Backdoors inside your Framework
2) Stack Smashing as of Today: A State-of-the-art Overview on Buffer Overflow Protections on linux_x86_64
3) Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data

Seguiremos investigando más sobre todos los temas presentados en este ciclo de conferencias, poniendo especial hincapié en aquellas a las que no asistimos y que nos quedamos con las ganas de poder conocer más. De momento, estaremos al tanto de lo que publican en los archives de la página oficial.

Posts relacionados:
[+] SecurityByDefault cubrirá la Black Hat Europe 2009
[+] Resumen Black Hat '09 Europe: Día 1 (16 de Abril)
[+] Black Hat Europe '09: Entrevista a Jeff Moss