Perdonad la demora con este post, pero hemos preferido esperar a la liberación de algunas informaciones antes de publicarlo, ¡vamos con el día 3!
Comenzaba el último día de Rooted CON 2011, y que mejor forma que con "espectáculo". Se vaticinaba algo grande, ya sólo por la preparación de David y José, desde primerísimas horas de la mañana, de sus "aparatos" que formarían parte de su charla "Un ataque práctico contra comunicaciones móviles": una jaula de Faraday, routers, móviles, iPads...
Si sois seguidores del blog de Taddong, todos sabréis ya lo demostrado en anteriores ocasiones por estos chicos sobre sus investigaciones sobre las comunicaciones móviles. En esta charla centraron todo en las conexiones de datos, por ser uno de los principales usos de los dispositivos móviles hoy en día. Siempre se nos ha dicho (y hemos recomendado) que por seguridad, lo más adecuado sería utilizar conexiones de datos, como son GPRS o 3G, en vez de WiFi, por sus diversas inseguridades y por la cantidad de herramientas de "botón gordo" que últimamente se publican tanto para realizar ataques através de este tipo de comunicaciones. Pues imaginaos si ahora decimos que con un presupuesto de alrededor de 10.000 dólares, "cualquiera" pudiese interceptar nuestras comunicaciones de datos, y lo peor de todo...sin darnos ni cuenta.
Se plantearon (y posteriormente demostraron) ataques realizados mediante una estación base falsa (BTS), un PC y el desarrollo OpenBSC, capaz de crear una red GSM mínima pero suficiente. A esto, añadimos los componentes dedicados a la parte GPRS, mediante OsmoSGSN y OpenGGSN. Con todo preparado, simplemente es necesario comenzar a emitir con nuestra estación falsa y todo el software ejecutándose, para que la víctima se conecte a nuestra estación dejando la que se encontraba utilizando anteriormente.
Pero se nos prometió que iríamos a por las redes 3G/UMTS...¿cómo se consigue? Simplemente sería necesario inhibir las frecuencias UMTS que se encuentren alrededor (por ejemplo mediante un jammer, que se puede encontrar hasta en DealExtreme...), y con esto conseguiríamos que, en vez de que la víctima siga conectada a la red 3G, lo sacaríamos de dicha red, y a la hora de requerir conexión de datos, inmediatamente se iniciaría en nuestra red de datos, aún siendo GPRS. Casi todo el mundo tiene configurado que en caso de pérdida de red 3G (algo muy habitual en nuestro entorno, ya que la cobertura por aquí no es que sea muy buena...), directamente se conecte a la red 2G para continuar con las comunicaciones de datos.
La charla contó con varias demostraciones de todo lo comentado, incluyendo ataques de man-in-the-middle, mediante el cual era posible interceptar conexiones realizadas por un cliente, como puede ser hacia su aplicación de banca online, y redirigirle a nuestra versión especial de la aplicación...¡y también en HTTPS! Además, también pudimos asistir a como se pudo comprometer un aparato de vigilancia, cuya gestión se realizaba mediante un número de teléfono móvil....pero recordemos que TODAS las comunicaciones móviles ¡ya nos pertenecían previamente!
Joxean Koret - Database Security Paradise
Joxean Koret fue uno de los ponentes más valorados de la pasada Rooted CON 2010 con su ponencia sobre vulnerabilidades en Oracle Financials. Esta vez, con su charla "Database Security Paradise", no se centraría únicamente en un fabricante/motor de base de datos, si no que daría un buen y gran repaso a varios motores, así como algún que otro cliente.
Joxean nos comentó con todo lujo de detalles (y aun así, sobrando bastante tiempo de sus 50 minutos asignados en un principio) vulnerabilidades locales en software de base de datos como Unidata e Ingres, en el cliente de MySQL (permitiendonos la posibilidad de crear un servidor de base de datos "fake" que, una vez un cliente se conectase con este software vulnerable, nos permitiría atacarle a él), IBM DB2, Oracle (no podía faltar...), Informix. Después, pasaría a vulnerabilidades remotas, en varios mencionados anteriormente también, aunque en algunos casos existió más dificultad en encontrar vulnerabilidades.
Lo mejor de la charla sin duda fue sobretodo el mensaje que quiso tansmitir Joxean: No tenemos que tener miedo a estos "monstruos", tanto por fabricante como por el software. No importa que lleve muchos años en el mercado, no importa que el fabricante sea auditado, o que cuente con equipos de seguridad. Hay que animarse a buscar vulnerabilidades, ya que al final, nos podremos llevar muchas sorpresas.
Vins Villaplana - Seguridad en capa de enlace
Era el turno de bajar puestos en el modelo OSI, y centrarnos en la capa de enlace. La introducción, además de explicar esta capa, contenía diferentes "vicios" o "manias" de muchos administradores, que suponen una mala configuración y a largo plazo, podrían darnos algún que otro problema, sobretodo en infraestructuras y redes tan complejas como de según que compañías.
A continuación se repasaron multitud de protocolos de este nivel, y de cada uno de ellos, nos presentó sus inconvenientes por su utilización, posibles ataques y como no, soluciones que poder llevar a cabo para mitigar dichos ataques. En la charla se incluyeron los protocolos ARP, VTP, STP, DHCP, DTP, CDP, etc.
En las slides de la charla, que encontraréis incrustadas a continuación, os daréis cuenta que es un repaso excelente y completo de esta capa de enlace, además de un montón de referencias como anexo.
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit
Llegaba la última charla antes del descanso para la comida, y subía Gabriel González al escenario, con una charla sobre PKCS11 y una técnica que presentaría por primera vez (y en la que ha estado trabajando durante los últimos meses) en Rooted CON 2011. La ponencia se titulaba "Man-In-Remote: PKCS11 for fun and non-profit", o como indica en el subtítulo: "Otros usos de PKCS11 y el DNIelectrónico"... Y vaya usos...
Tras la presentación del DNie y algo más sobre su funcionamiento interno (casualmente como WelcomePack de RootedCON2011 se había incluido un lector de DNIe por parte de Inteco), llegaba la hora de la verdad. Tras comentar como surgió el término "Man-in-Remote", Gabriel González presentó un método por el cual utilizar remotamente un dispositivo PKCS#11 como, en este caso, el DNI Electrónico, permitiendo suplantar la identidad del usuario propietario de dicho dispositivo, con unas cuantas líneas de código y un poco de ingeniería social.
La charla fue muy entretenida, preséntandonos además un escenario con un banco (48Banks) y dos viejos conocidos de la comunidad de comentaristas del blog de 48Bits, Amián y La Nuri ().
Seguidamente, se realizó una demo mediante un caso real de uso del DNIe, como es con la Seguridad Social. Enorme trabajo el de Gabriel, desde SecurityByDefault le damos la enhorabuena.
Mientras os recomendamos echar un vistazo a la presentación mientras se liberan los videos del congreso, ¡que seguro que están al caer!
RootedForge: Luciano Bello, GSIC Coruña, Batchdrake, Inguma
La iniciativa RootedForge, presentada por primera vez en la Keynote de este congreso (antes únicamente aparecerían las letras "RF" en la agenda) consiste en la posibilidad, por parte de cualquiera de los asistentes de esta edición del 2011, a preparar durante jueves y viernes una pequeña presentación de proyectos relacionados de alguna forma con la seguridad informática.
Debido a la gran cantidad de perfiles e inquietudes de todos los asistentes a Rooted CON (a unos les gusta programar, otros tienen mil ideas en la cabeza pero por falta de "manos" no pueden llevarlas a cabo, otros simplemente quieren aprender lo más rápido posible un tema en concreto...), se trata de un lugar y momento perfecto para intentar hacer llegar a la gente un proyecto propio (comenzado o apunto de) y pedir ayuda, y quien sabe...para la siguiente edición del 2012 poder formar una charla referente a dicho proyecto tras un año de trabajo.
Se presentaron 4 solicitudes, que describiremos brevemente:
- Luciano Bello, descubridor del fallo del "generador aleatorio de números" en openssl de 2008, nos presentó un prototipo que pretende detectar comportamientos anómalos pero dejando a un lado el análisis a un bajo nivel. Todo ello se realizaría mediante un estudio del tráfico para a continuación representarlo en forma de autómata. Esta técnica, utilizada en otros ámbitos, se conoce con biosurveillance.
- Diego Ferreiro es uno de los organizadores de las Jornadas de Seguridad de A Coruña, GSIC, de las que os hablamos en este enlace, y en este tiempo asignado nos presentó junto con otros miembros (como por ejemplo, Miguel Gesteiro, organizador del concurso h4ckc0nt3st que se celebra durante dichas jornadas), lo que se pretende con la edición del 2012. De momento, ya cuentan con una sala mayor, con capacidad para aproximadamente 1500 personas. Prometieron más charlas y más talleres, ¡por lo que seguiremos al tanto!
- Gonzalo, también conocido como Batchdrake del grupo Painsec, nos propuso la creación de un kernel...si si....¡un kernel! Pero sobretodo quiso dejar claro que el objetivo no es la de tener algo funcional a corto plazo, ni venderlo, ni conseguir que cualquier distribución lo tenga...Gonzalo aclaró que lo único que quiere es utilizar este proyecto como aprendizaje, tanto para él como el resto de contribuidores, de poder meterte en temas que quizás antes no te propondrías. Programar por programar y old-old school hacking en estado puro. Obviamente, es un proyecto en el que cuanta más gente mejor, y no es algo simple, por lo que Gonzalo también animó a la gente a unirse a él en esta andadura, de la que esperamos tener más noticias pronto. Nos quedamos con su última frase, referente a la finalidad de esta "bizarrada" como la definía él mismo: "Aprender creando"
- Hugo Teso, uno de los componentes de 48Bits, nos presentó (aunque muchos ya la conocíamos) Inguma, un toolkit para la búsqueda de vulnerabilidades y realización de tests de intrusión. El proyecto fue iniciado por Joxean Koret, pero tras varios años, fue continuado por el propio Hugo, contando además con David Martinez (Ender), y más desarrolladores como son Javier Sánchez y Sofian Brabez. ¡Equipazo de lujo! Tras la presentación y un pequeño repaso a todas sus funcionalidades, Hugo animó a la gente a colaborar con el proyecto. Podréis colaborar y conocer más esta nueva época de Inguma visitando http://inguma-framework.org/projects/inguma
Personalmente, una de las ponencias más esperadas, y no defraudó. Hernan Ochoa, ponente que ya hemos podido ver en congresos como Blackhat, Defcon o Ekoparty, es el creador del Pass-The-Hash toolkit y de WCE (Windows Credentials Editor) en 2010.
WCE es una herramienta que permite la obtención de sesiones de inicio (logon) y la edición de credenciales de Windows asociadas (por ejemplo, hashes LM/NT). Con ello, se podrían realizar ataques de tipo pass-the-hash además obtener dichos hashes de la memoria, debido a que siguen presentes por culpa de conexiones de escritorio remotas, inicios de sesión interactivos u otros servicios. Imaginemos una intrusión en un sistema, y mediante cualquier exploit de Windows, conseguimos hacernos Administrador del sistema. El siguiente paso sería la obtención de las credenciales...pero únicamente conseguimos los hashes como tal. Tenemos dos opciones:
- Crackeo de contraseñas, que puede convertirse en una tarea ardua, costosa, y que implica tener una buena infraestructura o buenos amigos que dispongan de maquinas.
- Obtención de hashes, y mediante ellos, la autenticación en diferentes sistemas con la técnica pass-the-hash. No siempre necesitamos crackear, y no siempre tenemos que dar por finalizadas las pruebas por haber conseguido Administrador (como ya recordó José Selvi en su ponencia). La post-explotación es necesaria, y mediante esta herramienta junto con las técnicas necesarias, podemos llegar mucho más allá de la máquina objetivo.
En esta charla, Hernan nos mostró los entresijos de la herramienta, con una excelente explicación (en sus palabras, con todo lo mostrado, ¡podríamos incluso programarla nosotros mismos!) de como se recuperan los hashes y por qué, dandonos un excelente repaso a todo el proceso de autenticación de Windows. En exclusiva para Rooted CON, liberó la versión 1.1 de la herramienta WCE, que puso a disposición de todo el mundo (y que tras el congreso, ha sido muy nombrada en multitud de lugares)
La gran novedad de WCE 1.1, que además explicó detalladamente en la ponencia, es que en esta ocasión, la recuperación de hashes no implicaría la inyección de código, siendo en este caso un proceso mucho más "limpio" y transparente. Ponencia de 10/10, tanto por contenido como por lo buen comunicador que es Hernan.
Marisol Salanova - Seguridad informática y cibersexo
Una de las charlas más esperadas, si bien no contenía temática técnica, serviría para descansar de vulnerabilidades, demos, 0days, herramientas y demás por unos minutos.
Marisol en su ponencia nos presentó los avances en términos de privacidad y seguridad con respecto a la pornografía online y cibersexo, diferentes servicios actuales y comparación con lo que existía hace algunos años. Robos de identidad, extorsión, existencia y ausencia de anonimicidad, y como actuar frente a los posibles riesgos a los que se enfrenta el usuario que consume este tipo de servicios de forma online.
Rubén Santamarta - SCADA Trojans: Attacking the Grid
Última charla del congreso, pero no por ello menos importante. Me quedo con una frase que le oí a Rubén en varias ocasiones: "Rooted CON tendrá su propio Stuxnet", y así fue.
En esta charla, "SCADA Trojans: Attacking the Grid", se nos presentó una especie de "metodología ficticia" sobre la posibilidad de, siguiendo las informaciones sobre la creación de uno de los troyanos más famosos Stuxnet, crear un troyano SCADA, aprovechando vulnerabilidades de tipo 0day sobre algunos componentes, y como con todo ello, obtener el control de una estación eléctrica.
Tuvimos de todo, teoría sobre como funcionan las estaciones, posibles vectores de ataque, planteamiento básico de un escenario, con país atacante y país victima... Se presentó una vulnerabilidad en un componente de interfaz web de la empresa Advantech, denominado Advantech WebAccess, mediante la cual se podía explotar un servicio RPC remotamente. Aquí encontrareis el exploit a utilizar y el advisory del ICS-Cert sobre esta vulnerabilidad en este enlace. Como ha comentado Ruben posteriormente, el fabricante niega la vulnerabilidad...por lo que todo esto es producto de vuestra imaginación...*vergonzoso*
Seguidamente, se presentaron vulnerabilidades en el diseño de los sistemas RTU de CSE-Semaphore, así como un ataque contra software de EMS mediante estimadores de estado (recordemos lo que es SCADA...). Juntando esto con todo lo comentado anteriormente, seríamos capaces (bueno, el malvado malicioso) de producir algún que otro apagón en alguna que otra estación eléctrica...con lo que eso conlleva. Charla más que interesante, y enorme trabajo de Rubén, que con 3 vulnerabilidades bien estructuradas podría tumbar el sistema eléctrico del país del Reggaeton, Reggaetonia. Rubenhistan WINS!
**************************
Seguimiento RootedCON 2011
**************************
+ Día 2
+ Día 3
**************************
5 comments :
Gracias por estos pedazo de resúmenes para los que (este año) no pudimos estar ahí!
Ánimos!
Sabéis que paso con los videos que se grabaron?
Gracias por los resumenes y sobretodo gracias a RootedCON!!
@Anónimo, tenemos constancia de que se está trabajando en ellos, ¡esperamos tener más noticias pronto!
Saludos
@Anónimo, tenemos constancia de que se está trabajando en ellos, ¡esperamos tener más noticias pronto!
Saludos
Gracias por estos pedazo de resúmenes para los que (este año) no pudimos estar ahí!
Ánimos!
Publicar un comentario