domingo, 11 de marzo de 2012

RootedCON 2012 - día 1

Hace exactamente ya una semana de la celebración de la Rooted de este año, y tras mi primera vez en asistencia al congreso, tengo que decir que ha sido mucho más de lo esperado. Recomendado para cualquiera interesado en la seguridad informática, no importa el nivel que se tenga, ya que el ambiente para compartir información y conocimiento no puede ser mejor. Y vamos, seguro que sales aprendiendo una o dos cosas más que no sabías. Además, tienes la oportunidad de ver a los grandes de la seguridad de nuestro país, delante de tus narices... y todos juntos.

Lo que quiero hacer en este post es un pequeño resumen de las ponencias de cada uno en los tres días que duró el congreso, además de añadir mis notas personales. Seguro que ya hay muchas crónicas, resúmenes, etc. que explicarán con mayor calidad y detalle lo que se pudo ver este año en la Rooted, y los vídeos de las ponencias estarán disponibles muy pronto. Por último, agradecer a mi gran amigo @fidoxd que viniera conmigo, que también se quedó con ganas de repetir el año que viene. Bien, empezamos:

Jornada I: jueves 1 de marzo

Keynote RootedCON 2012


Inauguración de la Rooted por medio de los voluntarios y el "maestro de ceremonias", Román Ramírez.



Guillermo Grande y Alberto Ortega. Building an IP reputation engine, tracking the miscreants.


@a0rtega y @Guillermo, dos grandes de AlienVault, nos muestran una herramienta que han desarrollado que consiste en clasificar IPs "sospechosas" como buenas o maliciosas, según varios criterios que han tenido en cuenta, siempre susceptibles de mejorar. Ahora os pongo mis notas:

Open Source IP Reputation Portal - La herramienta.

SIEM: Security Information Event Management.

OSSIM: The Open Source SIEM.

C&C: Centro de Comando y Control. Un servidor para controlar un conjunto de máquinas remotas, como los bots de una botnet.

DNSBL: DNS-based BlackHole List.

BULK DOMAINS: Registro de dominios y comprobación de disponibilidad de los mismos.

DYNAMIC DNS: DNS Dinámico, como DynDNS o No-IP.

GOOGLE SAFE BROWSING: El API de navegación segura de Google es un API experimental que permite a las aplicaciones cliente comparar direcciones URL con las listas negras de páginas de software malintencionado y posible suplantación de identidad que Google actualiza continuamente.

ALEXA TOP ONE MILLION: una de las consultas que realizaban para saber si la web a tratar está en la lista de Top Sites de Alexa.

Cuckoo Sandbox: Sistema de análisis de malware automatizado mediante "entornos aislados".

Campana de Gauss: supongo que para la estimación de la valoración de una IP o URL como buena o mala.



Luis Delgado. XMPP, algo más que chat.


En esta charla, lo que ha hecho Luis es explicar ciertas vulnerabilidades del protocolo XMPP, cuyo máximo exponente se puede decir que es GoogleTalk. ¡Muy interesante!

Notas:

Se compone principalmente de 3 RFCs: RFC 6120, RFC 6121 y RFC 6122.

XML Stanza.



José Miguel Esparza y Mikel Gastesi. Social Engineering in Banking Trojans: Attacking the weakest link.


Creo que el título ya lo dice todo (y ya imagináis cuál es el weakest link, ¿no?), así que, pasamos a las notas:

Pharming: explotación de una vulnerabilidad en DNS que permite redirigir un nombre de dominio a otra IP, que no es la legítima.

Web Fakes: páginas web falsas que emulan a las originales. Se usa en caso de las páginas de los bancos, cuentas de correo, servicios, etc.

formgrabbing

SMSMonitor: una potente herramienta de control remoto de sms. El objetivo principal de esta aplicación es la auditoría de seguridad y control parental. Programa envía todos los sms entrantes y salientes de teléfono móvil donde está instalado a su número de forma silenciosa. Todos los mensajes se enviarán en modo oculto (aplicación no se muestra en el menú del teléfono, conserva copias de sms en enviados e informa de las carpetas y no no se muestra en la lista de tareas) que puede ser útil si no desea que su hijo (o otra persona) saber leer sus mensajes.

fichero .apk: formato equivalente al .jar de JAVA, pero para Android.

Man-in-the-Browser.

Webmoney y Liberty Reserve: moneda electrónica y sistema de pago online.

Tatanga, Citadel: troyanos bancarios.

Zeus y Spyeye: dos de los troyanos más conocidos por el momento.

HTML Injection: Inyección de código estático, mejor explicado por OWASP.



Juan Garrido. Corporate Forensics. Saca partido a tu arquitectura.


Juan Garrido "Silverhack", autor del libro Análisis Forense Digital en Entornos Windows, basó su charla en cómo aprovechar lo que ya tienes en tu empresa (pues, porque no hay pasta para estar comprando, por ejemplo), para salvaguardar los logs de Eventos de tus sistemas Windows, el registro, el SAM,... para facilitar los procedimientos de análisis a los forenses (a modo de resumen). Otra charla muy interesante y con un toque de humor andaluz.

Insistía mucho en emplear el motor de scripting que ya incluye el propio sistema de Windows para hacer un trasvase de los logs a una base de datos remota por ejemplo. Batch, ¡con dos cojones!

Ahora, algunas de las cosas que comentó Juan:

Logparser + BBDD: herramienta de Microsoft para realizar consultas sobre archivos de texto plano como logs, XML, así como el Log de Eventos, el registro o el sistema de ficheros.

WMI: una iniciativa que pretende establecer normas estándar para tener acceso y compartir la información de administración a través de la red de una empresa.

Powershell: como opción que permite envío de tráfico por red cifrado.

DCOM: Distributed Component Object Model, para que los distintos tipos de software que existen en el sistema se puedan comunicar entre sí.



Epsylon. XSSer - the cross site scripting framework.


El ponente no ha querido dar su nombre, y se ha identificado como Epsylon. La idea de XSSer nación con el propósito de demostrar la gravedad de las vulnerabilidades de XSS en las aplicaciones web en la actualidad, y que hay que tomárselas muy en serio y no "dejarlas de lado".

Notas:

Cross Site "Scripter": la página web del proyecto.

HTTP Response Splitting.



Yago Jesús. Applied Cryptography FAILs.


Esta charla, una de mis favoritas del día, de la mano del crack de Yago, consistía básicamente en desmitificar "la seguridad" ofrecida por SSL, certificados, o incluso el DNI-e. Ahora os pongo mis notas:

Nikto: escáner de vulnerabilidades en servidores web.

TypoSquatting: también conocido como URL Hijacking, donde los atacantes pueden aprovecharse de errores tipográficos o en el deletreo de las URLs para redirigir a los usuarios a sus páginas. Un ejemplo, la que mencionó Yago, payopal.net.

PKCS#12: Public-Key Cryptography Standards.

WinSpy: herramienta para comprobar todo lo que se lleva a cabo en tu PC "cuando no estás".  herramienta para sacar las propiedades de una ventana en Windows, que usó Yago para hacer un "fingerprint" de la ventana del DNI-e y poder buscarla con FindWindow(). ¡¡Gracias a Yago por la corrección!!

API de Windows: empleado para mostrar un ejemplo de cómo, de forma automática, se utilizaba el DNI-e, conectábamos a la web de la DGT y obteníamos los puntos que tenemos del carné de conducir.

- FindWindow()
- SendInput()
- GetAsyncKeyState()
- GetLastInputInfo()

OLE IE -> IE.Application.



Pedro Sánchez. Hospital Central. Historia de una extorsión.


Pedro, puede que más conocido por Conexión Inversa, nos mostró otro aspecto interesante de un proceso de investigación, la ingeniería social, que tuvo que poner en práctica en un trabajo que le encargaron. La cuestión era, saber quién de la plantilla del hospital estaba filtrando información confidencial para extorsionar a los responsables del centro, para lo que tuvo que hacerse pasar, junto con un compañero, por un médico profesional y cualificado que había sido contratado por el hospital en cuestión. Pudimos escuchar incluso pistas de audio de cómo solicitaba acceso VPN, passwords, etc. por teléfono al responsable de TI, y luego comentaba sus propias sensaciones en esos momentos, sus errores, etc. Es una parte que requiere más de habilidades sociales que de habilidades técnicas, y se la considera una parte fundamental para el information gathering y para obtener accesos no autorizados.



RootedPanel. Fuerzas y Cuerpos de Seguridad del Estado.


Para finalizar la jornada, una mesa redonda con diferentes miembros de varios Cuerpos de Seguridad del Estado: GDT de la Guardia Civil, BIT de la CNP y el CCN-Cert. Una charla bastante acalorada donde los miembros del panel y el público exponía cada uno su punto de vista y lo diluído que estaba la línea que separa a un criminal informático de alguien que quiere ayudar mediante el descubrimiento de los agujeros de seguridad latentes. Tengo que decir que los del CNP estaban bastante nerviosos. Por parte del CCN-Cert, nos animaron a reportarles las vulnerabilidades que se detecten, sin dudarlo. Por supuesto, también salió el tema de an0nym0us.

Buen sabor de boca y con ganas para ver lo que ocurría en el día 2 ;)

2 comentarios:

Yago Jesus dijo...

¡¡ Muchas gracias por la reseña !! Me alegra que te haya gustado. Solo un pequeño apunte, WinSpy lo que hace es sacar las propiedades de una ventana en Windows, yo lo usé para hacer un 'fingerprint' de la ventana del DNI-E y poder buscarla con FindWindow() :)

Jay Kamble Govind dijo...

Ufff, ¡muchas gracias Yago! Es lo que tiene el escribirlo una semana después. Muchísimas gracias por tu aclaración y... por seguirme.

Un saludo.