BlackHat Europe 2011 – Resumen de Charlas (Parte III)
Buenas gente,
mi turno! 🙂
antes de nada me gustaría hacer una valoración general del evento: ha sido muy positivo, pero con muy poca presencia nacional! No sabemos si ha sido porque las Rooted CON fueron hace muy poquito, si es porque este año ya no ha sido novedad que se celebrasen en nuestro pais o simple casualidad, pero se podían contar con las manos a los paisanos 😦
También me gustaría enviar un fuerte abrazo a nuevos amigos de Argentina que tuvimos la oportunidad de conocer: Sebastian y Alfredo de Groundworks Technologies (que como ya ha comentado Pau dieron una brillante charla) y unos cuantos amigos más de Core (tenía una foto con Federico Muttis y la chica «anonymous» 😉 pero no la encuentro :P). Grandísimos!
Y ahora sí vamos a las charlas:
Día 1
[Application Dissection] The ABAP Underverse – Risky ABAP to Kernel communication and ABAP-tunneled buffer overflows / Andreas Wiegenstein
Personalmente esta charla me gustó mucho, ya que toca una temática que llevo un tiempo investigando: la seguridad en SAP. En concreto trató de vulnerabilidades en el lenguaje de programación utilizado en este sistema, conocido como ABAP.
Acerca de ABAP (Advanced Bussiness Application Programming):
- Es un lenguaje propietario, y sus especificaciones completas no están disponibles
- Es independiente de la plataforma (bytecode sobre ABAP Runtime)
- La comunicación entre sistemas SAP se realiza mediante RFC (Remote Function Call)
- El control de versiones y el sistema de transporte (entre entornos de desarrollo, QA, Producción) están integrados
- Utiliza OpenSQL para el acceso a back-end (independiente del back-end utilizado)
Cosas muy interesantes explicadas durante la charla:
- ABAP es un lenguaje susceptible a vulnerabilidades de tipo inyección SQL
- En ABAP se puede inyectar código estático y ejecutarlo posteriormente
- En ABAP se puede inyectar código dinámico y ecutarlo posteriormente (además este código se ejecuta on-the-fly y no quedan trazas)
- El código ABAP customizado puede evadir restricciones de seguridad del estándar de SAP (p.e. el sistema de autorizaciones está disponible para su uso pero no es implícito)
- ABAP es vulnerable a desbordamientos de buffer
Durante la charla se mostraron DEMOS de una inyección SQL que consultaba información en todos los mandantes, de inyección de código y de ruptura del servicio mediante la explotación de un desbordamiento de buffer.
[Keynote] Cyberwar/ Bruce Schneier
El archi-conocido Bruce Schneier nos habló de su visión y reflexiones acerca de la ciberguerra, así de cómo está afectando el creciente uso de este término en los gobiernos de las grandes potencias.
Os dejo los conceptos que más me gustaron:
- El principal problema de la ciberguerra es que es un término que no está claramente definido
- En la guerra tradicional, los gobiernos de las naciones tienen el control. La ciberguerra puede ser iniciada por ciudadanos
- Es difícil saber quién te ataca y cómo, por eso es difícil protegerse
- En la ciberguerra, el principal objetivo es controlar (por ejemplo como hace un APT), y el peor objetivo es destruir
- Las tecnologías actuales dificultan la interceptación de las comunicaciones para los gobiernos, y por tanto para las labore de inteligencia. Es más fácil pinchar un teléfono que controlar todas las comunicaciones que puedan realizarse vía Internet (p.e. Skype, el chat de Second Life, etc.)
- Un país es tan vulnerable en la ciberguerra como dependiente es del ciberespacio. Evidentemente los países más desarrollados suelen ser los más vulnerables.
Ya podéis ver el vídeo y comentar lo que queráis 😉
BlackHat Europe 2011 – Resumen de Charlas (Parte II)
Ya se ha acabado la experiencia BlackHat Europa 2011. Si tengo que resumir mi experiencia, que además es parcial, solo puedo decir: ¡muy recomendable! Sin duda, para repetir. Tanto por la exposición de contenidos de las charlas como por la gente que se tiene la oportunidad de conocer! Increíble 🙂
Tuve la oportunidad de asistir a dos charlas que me parecieron super interesantes a nivel de contenidos y muy bien llevadas a nivel de exposición:
- «Escaping from Microsoft Windows Sandboxes» de Tom Keetch
- «Building Custom Disassemblers» de Felix ‘FX’ Lindner
A continuación un resumen de ambas, y lo dicho, muy recomendable la lectura de los materiales a medida que se vayan publicando en el site de blackhat!
Escaping from Microsoft Windows Sandboxes
Interesante charla en la que se han repasado las opciones que ofrece el sistema operativo Windows para ofrecer sandboxing en espacio de usuario:
- Restricted access tokens
- Deny-Only SIDs (Discretionary)
- Low Integrity (Mandatory)
- Privilege Stripping (Capability)
- Job Ojbect Restrictions
- Windows Station Isolation
- Desktop Isolation
A continuación, se han repasado y comparado las sandboxes de diferentes productos, concretamente:
- Protected Mode Internet Explorer: Basado en el uso de «Low Integrity Levels»
- Adobe Reader X: Un subconjunto del framework de sandboxing proporiconado por Google Chromium
- Google Chromium: Ofrece la implementación más completa de las tres, ofreciendo un framework para proporcionar sandboxing con las diferentes técnicas ofrecidas por el sistema operativo Windows.
Y, finalmente, no podía haber sido de otra manera, Tom ha repasado algunas de las técnicas existentes para saltarse el sandboxing proporcionado por las facilities de Windows:
- BNO Namespace Squatting
- NPAPI Interface Exploits (Explotación de vulnerabilidades en plug-ins para saltarse el sandbox)
- Handle Leaks
- Clipboard Attacks
Building Custom Disassemblers
Gran trabajo presentado por Felix ‘FX’ Lindner, en el que repasa diferentes aspectos sobre el diseño e implementación de un desensamblador, en este caso para «S7», aunque utilizando un enfoque genérico y discutiendo técnicas a tener en cuenta a la hora de desarrollar un desensamblador para un bytecode.
Durante la charla además, se presenta la API que IDA para el desarrollo de un módulo que permita soportar un nuevo bytecode, y se repasa algunas «particularidades» 🙂 que se han encontrado durante el desarrollo del modulo para soportar el desensamblado de S7.
Además del proceso de desarrollo del mencionado desensamblador, durante la charla también se comentan aspectos interesantes acerca del análisis de las rutinas utilizadas por Stuxnet, a partir del desensamblador construido para S7. En definitiva, una presentación super completa y una exposición, en mi opinión muy acertada!
BlackHat Europe 2011 – Resumen de charlas (Parte I)
Antes de nada y siguiendo la tradición de mis compañeros Julián y Juan, me presento: soy pau ochoa y, como ellos, espero seguir contribuyendo asiduamente en esta iniciativa, testpurposes.net.
Una vez finalizadas las BHeu 2011, durante los próximos días vamos ha publicar diversas entradas haciendo un breve repaso de las charlas a las que asistimos cada uno de nosotros.
Personalmente tuve el placer de poder asistir a un par de charlas del segundo día, siendo finalmente las dos elegidas (no sin dificultades):
Me hacía especial ilusión asistir también a la charla de Sebastian Muniz y Alfredo Ortega, no sólo por la buena pinta que tenía, sino también porque la noche anterior estuvimos charlando con ellos y, a parte de ser muy buena gente, son unos verdaderos cracks.
Día 2
[Chip & Code] EAPEAK – Wireless 802.1X EAP Identification and Foot Printing Tool / Matt Neely & Spencer McIntyre
Matt Neely y Spencer McIntyre, de SecureState, presentaron una versión inicial de la herramienta que han estado desarrollando para la identificación de los métodos EAP utilizados en redes 802.11 (Wi-Fi).
En primer lugar realizaron un breve repaso a la evolución de la seguridad en las redes 802.11, para posteriormente hacer también una introducción a 802.1x, al framework de autenticación EAP y a los diferentes tipos de EAP utilizados para autenticar a los usuarios. A continuación resumieron el proceso de pentesting de redes wireless, para acto seguido mostrar como detectar de forma manual (con Wireshark) los tipos de EAP utilizados en una red, a partir de capturas de tráfico.
Finalmente enseñaron la herramienta EAPeak que han desarrollado, principalmente Spencer McIntyre, para automatizar este proceso y poder obtener además de los métodos EAP, de una forma sencilla y rápida, otra información de interés como por ejemplo nombres de usuario que viajan en claro en PEAP, TTLS, EAP-FAST y LEAP. Esta última funcionalidad puede llegar a ser muy útil durante ciertos pentests, ya que permite obtener usuarios de Active Directory, sin ni tan siquiera estar asociado a la red.
La herramienta ha sido incluida en el CD oficial de las conferencias, pero será publicada en breve. Además comentaron una serie de mejoras que están planeando, entre las que destacan:
- Mover parte del código a Scapy, para que otras herramientas puedan obtener información EAP de forma más sencilla.
- Incorporar métodos de ataque, para complementar la herramienta y que esta deje de ser exclusivamente de análisis.
Destacar también la aportación de Raúl Siles durante la tanda de preguntas, ya que su propuesta de añadir métodos activos para el descubrimiento de los métodos EAP, tuvo buena acogida por parte de los ponentes.
En resumen, una buena charla con la que nace una herramienta que puede ser de gran utilidad 🙂
[Infraestructure rationale] Owning the data centre using Cisco NX-OS based switches / George Hedfors
Durante esta charla George Hedfors, del grupo Cybercom, sacó a relucir diversas deficiencias de seguridad que había
detectado previamente en un dispositivo Cisco-7020. De una forma muy distendida y amena, fue explicando como a partir de la explotación de una vulnerabilidad detectada hace 9 años, se interesó por estudiar el modelo de seguridad de estos dispositivos, extrañado por explotar una vulnerabilidad tan antigua en un sistema moderno.
De entre los problemas detectados y reportados a Cisco por George Hedfors, destacan:
- Ejecución de los daemons con privilegios de root y sin chroot ni similares.
- La command line interface (CLI) de los dispositivos incluye gran cantidad de comandos ocultos, entre los que destaca gdb, mediante el cual es posible llegar a ejecutar una shell del sistema.
- sudo configurado con la opción «NOPASSWD» para gran cantidad de comandos.
- Vulnerabilidad a nivel 2 mediante el envío de paquetes CDP especialmente formados (no se valida correctamente el ID del dispositivo). Además el daemon de CDP se ejecuta como root…
- Usuario FTP con credenciales hardcodeadas no documentado.
- La shell utilizada en el dispositivo vsh, tiene una opción con la que no hace falta realizar una escalada de privilegios, ya que permite la ejecución de todos los comandos deshabilitando los roles de seguridad.
- La CLI utilizada permite obtener una shell ejecutando comandos como:
ssh `/bin/bash`
Creo que con todo lo anterior os podéis hacer una buena idea…
Uno de los mejores momentos de la charla fue cuando, desde el público, un representante de Cisco se ofreció a resolver las preguntas de los asistentes. No dio demasiadas explicaciones ni soluciones concretas, más allá de instigar a cualquiera que tenga dispositivos de este tipo a que pida que se solucionen los problemas y a poner presión a Cisco, pero personalmente valoro como muy positiva su actuación ya que aguantó estoicamente y dio la cara.
Black Hat Europe 2011
Este año, por segunda vez consecutiva, el evento Black Hat Europe tiene lugar en Barcelona (y Testpurposes.net estaremos allí)
El evento constará como siempre de trainings (15 y 16 de Marzo) y de briefings (17 y 18 de Marzo), que por cierto tienen muy buena pinta 🙂
Esperamos veros por allí, y si todavía no tenéis vuestra entrada, los lectores de Testpurposes.net podéis obtener un descuento de 350 euros utilizando el código de promoción TPReadersBH durante el registro.
Para los que no vengáis, no os preocupéis, os iremos poniendo al día desde aquí 😉
Buen fin de semana!
Testpurposes 