Un día en la BlackHat Europe 2010

Madre mía, qué difícil es resumir tantas y tantas cosas en un sólo post sin que quede un post kilométrico.... En fin, que haré lo que pueda.

Después de un madrugón curioso, llego al Hotel Rey Juan Carlos en Barcelona, ciudad donde se celebraba por primera vez este año la BlackHat Europa. Pasado el registro y tras recibir el Welcome Pack (una especie de bolso con documentación en papel, en CD, una libreta, etc...), entro en una sala llena hasta la bandera que escuchaba atentamente a Jeff Moss (fundador de BlackHat al que Jose Antonio entrevistó el año pasado en la edición de Amsterdam) inaugurando el evento.

* 9:00 - 10:00 Max Kelly "Security The Facebook Way"

La keynote del evento impartida nada más y nada menos que por el CSO (Chief Security Officer) de Facebook. Entre otras cosas, ha expuesto sobre las diferentes medidas que ha tenido que ir tomando Facebook contrarreloj ante los problemas de seguridad que han ido apareciendo; es lo más lógico, que al estar en constante evolución en cuanto a funcionalidad, la red social deja nuevos agujeros abiertos. Para ello dispone de un equipo de respuesta ante incidentes de seguridad, en la que la edad de los integrantes, ronda los 20 años de media. Dejó muy claro que lo primordial en Facebook es la protección de los datos personales de sus usuarios.

Fundamentalmente, dijo que la filosofía Facebook es no hacer excesivo caso a las vulnerabilidades (son muchas y más que aparecen según cambies cosas); aprende sobre las amenazas; invierte tiempo aprendiendo sobre los ataques que recibas (puesto que te enseñará lo necesario sobre los atacantes, que son EL problema); identifica y persigue a los "actores" (en eso Facebook tiene una gran experiencia, incluso ganando juicios millonarios).

Asimismo, dejó claro que Facebook utilizará todos los medios legales posibles para combatir a los "actores". Al menos es así en USA y Canadá,... en Europa, Sudamerica, Asia, etc, donde las leyes americanas no tienen nada que hacer, Facebook no tiene armas legales para combatir,... (increíble pero confirmado por él mismo en la sección de preguntas del final)

Tuvo muy en cuenta el diferenciar, entre Cumplimiento y Seguridad: "Evita ser demasiado cumplidor, porque entonces no harás seguridad" . Curioso que hablamos de esto hace poco en SbD.

Genial la keynote de Max!

* 10:00 - 11:15 FX "Defending the poor"

El ponente Félix FX Lindner, un conocido hacker alemán (que decía que llevaba poco tiempo en el lado blanco), nos deleitó con un espectacular análisis a las aplicaciones basadas en Flash, Java o Microsoft Silverlight (RIA/Rich Internet Applications). Estas aplicaciones se ejecutan sobre todo a través de los navegadores mediante plugins específicos.

Se centró sobre todo en Flash, cuyo propio panel de control está hecho en Flash y da muy pocas opciones, en comparación de las posibles que se pueden manipular mediante la configuración de un fichero llamado mms.cfg (no os creáis que permitir/denegar acceso a la cámara o al micrófono es lo único posible).

Flash permite además DNS rebinding, ejecución de UPnP (por ejemplo para reconfigurar un router ADSL remotamente, abriendo/cerrando puertos), CSRF, etc,... Existe mucho malware basado en flash (Gnida, TrojanDownloader.NAD, etc,...) que los antivirus no detectan del todo bien, sobre todo si está descomprimido (lo cuál sorprende aún más). Desarrolló una herramienta llamada "Blitzableiter" que parchea un fichero flash que se ejecute en AVM1, ante diversas vulnerabilidades (como poder ejecutar una instrucción Flash dependiendo de la versión declarada por el propio fichero, redirecciones de URL, ejecución de HTML, etc,...)

!!!!Después de una pausa para descanso, networking, etc, paso a la siguiente presentación.

* 11:30 - 12:45 Julien Tinnes y Chris Evans "Security in depth in Linux"

Por desgracia, llegué un poco tarde a esta charla, impartida por dos auténticos genios, empleados de Google, y en concreto responsables de la seguridad de Chrome, en la que expusieron diversas formas de llevar a cabo sandbox de verdad sobre Chromium. Lo que dejaron claro es que utilizar MAC (Mandatory Access Control) y virtualización no es suficiente.

* 13:45 - 15:00 Paul Stone "New Generation Clickjacking"

El Clickjacking es una forma de robar información sensible de una página web (generalmente un formulario) simplemente haciendo click en algún enlace o botón de otra página web que ejecute código malicioso.

Paul Stone, nos puso al día de nuevas formas de llevar a cabo este tipo de ataque, así como la adaptación del mismo a HTML5, que permite directamente, por ejemplo, técnicas de Drag & Drop. Así pues con una página en la que arrastraba una inocente rana a una licuadora, se veía cómo se generaba una inyección en un campo de texto de otra página (actualizaba un estado de un usuario Twitter ficticio) es decir, hacía un CSRF.

De este tipo de demostraciones hubo varias increibles, que incluso sin hacer click, sólo moviendo el ratón, en Firefox, se añadía texto en campos definidos en la página o hasta en la barra de direcciones del navegador!!! Como contramedidas indicaba cosas como prohibir los iframes en un site, utilizar X-Frame-Options, deshabilitar el Javascript ( que no siempre es posible dado que un gran porcentaje de las páginas actuales lo necesitan para su funcionamiento), Framebusting, ocultar u oscurecer el contenido...

Asimismo aprovechó para hacer pública una herramienta para generar páginas web maliciosas con ClickJacking.

* 15:15-16:30 Mariano Nuñez di Croce "SAP Backdoors"

Si hay alguien que sabe de los internals de SAP casi más que los ingenieros alemanes, es Mariano. Y nos lo demostró con una sesión con demo Live con máquinas virtuales, con todo lo que eso implica, que salió sin problemas. Para ser capaz de atacar SAP y poner una backdoor hay que comprometer con privilegios altos alguno de los componentes de SAP (Aplicación, Base de Datos, Sistema Operativo). Al haber confianza entre las 3 capas, si comprometes una, se compromete el sistema completo.

¿Cómo?
Hay varias formas. Por ejemplo, fallos en la SAPGUI (herramienta cliente de conexión a SAP). En versiones antiguas, el hashing de las contraseñas que se enviaba al servidor era un MD5 de 40 bits y como máximo de 8 caracteres. Esto evolucionó a usarse SHA-1, hashing mucho más seguro. Sin embargo, por compatibilidad hacia atrás hay que mantener el sistema de funcionamiento de hashes antiguos. Qué algoritmo de hashing se va a usar, depende de un parámetro llamado "login/password_downwards_compatibility" (aunque previamente hay que tener acceso con un usuario para modificar esa variable a un modo que incluso NO DEJA TRAZAS!!!).

Más formas es tratar de buscar vulnerabilidades en el corazón de SAP: el SGBD.
Otra forma es mediante el programa ABAP que viene por defecto en SAP, SAPMSYST, que es que se encarga de gestionar la autenticación de los usuarios. Después de un par de movimientos, Mariano, al final añade una backdoor en un sistema SAP que envía a un servidor remoto las contraseñas de los clientes de la SAPGUI!!! Demostrado!

Además nos propuso diversas contramedidas para proteger las instalaciones SAP, como la utilización de una herramienta que aún no se ha publicado llamada "Integrity Analizer" (aún no disponible) que compara snapshots de diversos reports de ABAP, para comprobar la integridad de diferentes parámetros y cambios entre ellas.

* 16:45 - 18:00 Ero Carrera y Peter Silberman "State of Malware"

Ambos profesionales del mundo del análisis de malware y reverse enginering, dieron una detallada y técnica visión sobre cómo ha evolucionado el malware hasta nuestros días y como están interrelacionados entre ellos. Este tipo de análisis son imprescindibles para dar una eficiente respuesta ante incidentes causados por malware.

Quizá el mejor resumen del día completo haya sido el seguimiento que se hizo por el Twitter de Securitybydefault.

Agradecimientos:

En primer lugar a Jeff Moss fundador del congreso y a Nico Sell responsable de prensa, por haber tenido a bien invitarnos nuevamente.

A todos aquellos con los que pude compartir un rato y que amablemente se aceptaron que les entrevistara (más adelante) para el blog: Max Kelly, FX, Chris Evans, Mariano Nuñez Di Croce y Moxie Marlinspike.

Saludos a Chema Alonso, Anelkaos, Fermin J. Serna y José Selvi, compañeros del mundillo que nos juntamos por allí.

Etiquetas: barcelona , blackhat10eu , eventos , hackers