Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios.
Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables.
La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.
Vivimos en una época en donde los ""as a Service"" han pasado de ser Infraestructura, Plataforma y Servicio, a una cantidad tan ingente de ellos que ya es imposible acotarlos a un conjunto conocido por todos. Sin embargo, y aunque el marketing inunde de términos el mundo de IT, todos ellos se basan en la automatización y en el uso de contenedores para desplegar todas las aplicaciones y servicios.
En esta charla se mostrará Dagda, una herramienta completamente Open Source que permite el análisis estático de vulnerabilidades conocidas en contenedores Docker y la monitorización de comportamientos anómalos dentro de contenedores en ejecución. Además, en la charla se incluirán, entre otros temas, cómo realizar un perfilado a nivel de capabilities de Linux sobre los contenedores sin necesidad de SELinux o AppArmor, y una introducción a los unikernels.
Pese a que la criptografía matemática es en general bastante segura en cuanto a algoritmia y protocolos, a la hora de realizar implementaciones prácticas es fácil subvertir esa seguridad inicial añadiendo vectores de ataque que permiten ‘explotar’ vulnerabilidades que pongan en peligro la seguridad. La charla versará sobre ejemplos prácticos de como atacar y sacar partido a herramientas criptográficas de amplio uso (SmartCards, certificados SSL, comunicaciones seguras, etc) Junto con la charla se presentará y liberará un ejemplo de ‘Troyano’ que ataca al DNI-E haciendo operaciones seguras de forma desatendida una vez robado el PIN 3. Relación de temas
Problemas relacionados con gestión de certificados SSL (no verificabilidad, falsa sensación de seguridad, fallos en procesos de registro)
Problemas relacionados con certificados en formato PKCS#12
Problemas relacionados con comunicaciones seguras cifradas (ataques MitM avanzados)
Vectores prácticos de ataques a SmartCards (Dni-e)
Vivimos en una época en donde los ""as a Service"" han pasado de ser Infraestructura, Plataforma y Servicio, a una cantidad tan ingente de ellos que ya es imposible acotarlos a un conjunto conocido por todos. Sin embargo, y aunque el marketing inunde de términos el mundo de IT, todos ellos se basan en la automatización y en el uso de contenedores para desplegar todas las aplicaciones y servicios.
En esta charla se mostrará Dagda, una herramienta completamente Open Source que permite el análisis estático de vulnerabilidades conocidas en contenedores Docker y la monitorización de comportamientos anómalos dentro de contenedores en ejecución. Además, en la charla se incluirán, entre otros temas, cómo realizar un perfilado a nivel de capabilities de Linux sobre los contenedores sin necesidad de SELinux o AppArmor, y una introducción a los unikernels.
Pese a que la criptografía matemática es en general bastante segura en cuanto a algoritmia y protocolos, a la hora de realizar implementaciones prácticas es fácil subvertir esa seguridad inicial añadiendo vectores de ataque que permiten ‘explotar’ vulnerabilidades que pongan en peligro la seguridad. La charla versará sobre ejemplos prácticos de como atacar y sacar partido a herramientas criptográficas de amplio uso (SmartCards, certificados SSL, comunicaciones seguras, etc) Junto con la charla se presentará y liberará un ejemplo de ‘Troyano’ que ataca al DNI-E haciendo operaciones seguras de forma desatendida una vez robado el PIN 3. Relación de temas
Problemas relacionados con gestión de certificados SSL (no verificabilidad, falsa sensación de seguridad, fallos en procesos de registro)
Problemas relacionados con certificados en formato PKCS#12
Problemas relacionados con comunicaciones seguras cifradas (ataques MitM avanzados)
Vectores prácticos de ataques a SmartCards (Dni-e)
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]RootedCON
¿Te crees que bastionando tu servidores estás seguro?, Tienes PKI, Certificados, SSL, e-DNI, IPSEC,mucha experiencia en seguridad, dispones de certificaciones y eres muy considerado en el sector, ¿pero? ¿le has preguntado a la secretaria de tu director? ¿sabes como y donde almacena las contraseñas tu director comercial?
Hospital Central, pretende enseñar a los asistentes como se realizo una auditoría a un hospital utilizando mecanismos de ingeniería social y como se obtuvo el control del hospital en menos de 24 horas. Nada de exploits, nada de SQL Injection. Tan solo la utilización de técnicas y troyanos humanos.
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...RootedCON
La presentación tratará acerca del sistema de reputación IP, accesible de forma libre, desarrollado en Alienvault. Se explicará el funcionamiento de todas sus partes, lo que incluye sus fuentes de información, las metodologías de recopilación de datos y el procesado de los mismos. Se tratarán temas como análisis automatizado de malware, algoritmos para perfilar datos y evitar falsos positivos, la forma de recibir retroalimentación, el uso de recursos muy diferentes en el sistema, así como las dificultades que hemos tenido a la hora de desarrollarlo.
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...RootedCON
El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción historica para los asistentes no familiarizados con el mundo del cibercrimen. Durante la presentación se hablara de los proveedores Offshore más activos e situado en Europa del este. Dicho ISP constituye uno de los recursos más activos del Crimeware mediante el cual se distribuyen una importante cantidad de códigos maliciosos, malware, crimepacks, botnets, iframers, tdsSystems y un largo ETC…. El indice de la presentación tendrá una estructura similar a la siguiente:
Un poco de Historia (Breve introducción al cibercrimen)
Infraestructura enumerando máquinas, dominios, etc? (Como tienen montado el chiringuito)
Dibujo de la organización, responsabilidades…(Vamos a mostrar, nombres, responsabilidades,horarios de trabajo)
Donde compran ellos su infraestructura (es realmente offshore??) (sacaremos algún leak que demuestra nuestras sospechas y se verán contrastadas nuestras suposiciones)
¿Que cuesta ser malo? (Kids Don’t do it!) (Cuanto invierte un malote)
Donde venden y compran servicios.
Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc.. (Cual es el éxito de su servicio) ‘lo prueban por su calidad y se quedan por el servicio técnico’
Análisis de los crimewares encontrados más relevantes y conocidos. Los clasicos Spyeye, Zevs, etc….
Análisis de los crimewares más raros y privados encontrados. (Bazar Bizarro)
Conclusiones y agradecimientos.
El contenido de la ponencia será completamente 100% real. se mantendrá la frescura de los datos en exclusiva para la la RootedCon, de está manera está presentación no se volverá a repetir en ningún congreso Por otro lado se sombrearan los datos que se considere que puedan perjudicar y causar un impacto negativo sobre los mismos. Toda la información que se cite durante la ponencia será con fines educacionales y a pesar de los títulos en ningún momento se incitara a cometer actos delictivos. Todos los datos adquiridos han sido fruto de colaboración empresas y autoridades que nos facilitan la publicación de los datos.
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...RootedCON
La ingeniería social es el arte de obtener información confidencial a través de la manipulación de la persona que tiene ese conocimiento. La base de esta técnica es que las personas siempre suelen ser el eslabón más débil en un sistema securizado, ya que normalmente siempre hay una persona que sabe cómo acceder a él. La idea es que es más fácil manipular a una persona que al sistema en sí mismo. La banca online no es una excepción. En este caso, las personas más vulnerables son los propios usuarios, los clientes finales de los bancos, y el objetivo es acceder a sus cuentas. Para ello se utilizan troyanos bancarios, pero no se deja de lado la ingeniería social, sino que ésta aparece en forma de inyecciones HTML o redirecciones a sitios de phishing, siendo las primeras las más sofisticadas. Es impresionante ver cómo cada vez que un banco añade una barrera de seguridad ésta se salta sin problemas gracias a la ingeniería social y a la ingenuidad de los usuarios. Por lo tanto, ¿sigue siendo rentable invertir en medidas de seguridad sabiendo que no podemos controlar a los usuarios?¿existe alguna contramedida contra la ingeniería social?
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]RootedCON
La ingeniería inversa y el análisis de seguridad de dispositivos hardware suele requerir herramientas especializadas que el usuario medio no tiene disponibles en casa. Durante esta charla presentaremos las herramientas y métodos básicos a utilizar durante el análisis de este tipo de productos, buscando introducir a los asistentes en el mundo del hardware hacking sin necesidad de emplear excesivos recursos. Se empezará desde la búsqueda de información inicial, el análisis de interfaces interesantes (RS232, i2c, USB, etc ), pasando por la obtención del firmware utilizado por el dispositivo y finalmente por la emulación yo debugging en tiempo real del código utilizado por el dispositivo via JTAG. Para cada uno de estos aspectos se realizarán demostraciones sobre hardware común (off-the-shelf).
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...RootedCON
En esta sesión se verá el funcionamiento de las javascript botnets, se analizarán entornos de despliegue y explotación, y acciones que pueden llevarse a cabo. Además, la sesión mostrará resultados de un estudio realizado a través de servidores proxy, nodos TOR y Rogue APs, que han permitido desplegar un sistema de prueba.
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]RootedCON
El objetivo de la conferencia es exponer cómo se puede llevar a cabo, de forma lo más sencilla y estructurada posible, la coexistencia de diversos elementos cotidianos en las casas actuales, controlados por un único sistema, con la finalidad de mejorar la seguridad del lugar donde más tranquilos deberíamos estar: nuestra propia vivienda. Se explicará cómo diseñar un mecanismo de seguridad física casero basado en:
Mecanismos de monitorización mediante cámaras web genéricas, con técnicas de reconocimiento facial de los habitantes de la casa, así como detección por bluetooth.
Grabación de videos a sospechosos
Interacción con una alarma controlable vía TCPIP
Reconocimiento facial de personas clasificadas como “buscadas por las autoridades”, en modo lista negra, integrado con el aviso teléfonico a la policía mediante una centralita basada en VoIP, indicando la ubicación de qué persona de dicha lista, se encuentra en el domicilio.
Sistema de notificaciones de las alertas a Twitter, correo y mensajería instantánea.
Asimismo, se hablará de automatización de mecanismos de control de aire acondicionado/calefacción, robots dedicados a la limpieza y estaciones meteorológicas, demostrando que cualquier elemento casero con interfaz de red, puede ser un sistema SCADA. Además de implementar un sistema de autenticación biométrica, aprovechando el reconocimiento facial de quien entra en la casa, se podrá disponer de una lista blanca de usuarios, sobre los que poder personalizar un mensaje de bienvenida para cada usuario, pudiendo avisarle de diversos aspectos.
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...RootedCON
En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]RootedCON
“DNS: Internet Dial-Tone”; Partiendo de esta premisa y con la vista puesta en el método de distribución de ‘malware’ presentado en 2011 (Cloud Malware Distribution), intentaremos mostrar de forma dinámica los resultados obtenidos después de algunos meses de trabajo focalizado en las comunicaciones, tanto en la parte de control como en la fuga de información, de las ‘botnets’. Por supuesto con el protocolo DNS con un papel protagonista. Jugaremos con tres parámetros fundamentales que tendremos que equilibrar:
Nivel de exposición de la infraestructura del atacante.
Recursos y complejidad.
Ancho de banda en la comunicación.
El objetivo final es concienciar de la importancia de poner el foco en este protocolo como se ha hecho en otros. Nuestros resultados, y los resultados obtenidos por proveedores de seguridad e investigadores en los últimos meses avalan la posición que defendemos.
Overview of hacking techniques used to attack modern web applications focused on application layer. Cross Site Scripting, SQL Injection, Buffer Overflow, Phishing attacks presented.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Taller de seguridad para servidores GNU/Linux (GSICKMinds)cl0p3z
Se expondrán de manera práctica las principales técnicas para asegurar al máximo nuestros servidores GNU/Linux ante cualquiera amenaza. Se tratarán desde los conceptos más básicos de seguridad física y permisos de acceso, hasta los más avanzados como herramientas detección de intrusos y seguridad mejorada con SELinux. Además de explicar los conceptos técnicos y apoyarlos con demostraciones prácticas, se proveerán las guías básicas para que el asistente sea capaz de valorar las herramientas y técnicas más convenientes para su instalación particular. La idea del taller es que el oyente adquiera una idea completa del aseguramiento de servidores GNU/Linux, como organizar el proceso y detectar las tareas de mayor prioridad.
Fedora Security LAB sirve para trabajar en auditorías de seguridad, forenses, rescate de sistemas, y enseñanza de diferentes metodologías para verificar la seguridad en universidades, o en otras organizaciones.
3. Criminalización del hacking
● Reformas en el código penal
● Herramientas y exploits “ilegales“
● Si usas cifrado eres un terrorista
● Problemas tras reportar un fallo
● Mayor repercusión mediática
● Aumento de la ciberdelincuencia
● #fueunhacker
5. Lo estas haciendo mal si...
● Estas revelando o vendiendo secretos
● Estas violando privacidad de los usuarios
● Estas sacando algún beneficio económico
● No sabes lo que estas haciendo
6. Sentido común 0 – Potato 1
● Utilizas tu dirección IP
● Usas la wifi de un sitio publico con cámaras
● Usas el wifi de un comercio y pagas con
tarjeta de crédito
● Utilizas tu cuenta para entrar
● No cifras tus conexiones ni tus datos
7. Requisitos para “curiosear”
● Materia prima (Hookle)
● Anonimato (tor, ashell, proxys, etc...)
● Ocultarse en los sistemas (lsnake)
● Poderes de supervaca
10. ¿Dispositivos embebidos?
● Son objetivos fáciles de explotar
● Instalaciones homogéneas
● Muchas veces trabajan sobre RAM
● Dificultad para realizar análisis forense
10
20. Requisitos
● Cross Compilers de todos los colores
● Emuladores / Dispositivos para probar
● Paciencia, mucha paciencia...
● Poderes de super vaca
20
25. User Space VS Kernel
● Multiplataforma
● Mayor flexibilidad (standalone, full, netonly)
● Menos cambios que en el API de kernel
● Mayor persistencia tras actualizar el S.O.
● Uso de librerías de user space (OpenSSL)
25
26. User Space VS Kernel
● Mayor exposición a ser descubierto
● Dificultad para encontrar un punto de
inyección en todos los procesos por S.O.
● Hay que comunicar los procesos
● Binarios estáticos
● Mayor “sobrecarga” del sistema
● Dolores de cabeza
26
27. Instalación
● Linux
● /etc/ld.so.preload
● Solaris
● crle -E LD_PRELOAD=/lib/secure/libsn.so
27
28. Funcionalidades de Sistema
● Ocultar procesos
● Ocultar ficheros
● Ocultar conexiones
● Garantizar acceso remoto
● Garantizar privilegios de root (local)
28
29. Funcionalidades de Red
● Conexiones cifradas
● Autenticación X.509
● Shell remota
● Proxy Socks4
● Port Forwarding
● Conexión a través de servicios existentes
(ssh, apache, mysql, etc...)
29
30. Opciones de despliegue
● Completo (Librería)
● Networking (Librería)
● Multiplataforma.
● Se instala sobre un solo servicio
● Shell, Socks4 y Port Forward
● Standalone (Demonio)
● Proceso independiente
● Shell, Socks4 y Port Forward
30
31. Identificar al owner
● GID (grupo de sistema) = XXXX
● Variables de entorno. VARIABLE=PASS
● Remoto: Puerto origen entre XXXX y XXXX
● Remoto: Certificado
31
40. Ocultar conexiones
● Uso de System V IPC
● Hook socket() y accept()
● Agregamos el inodo a shared memory
● Hook close()
● Eliminamos el inodo de shared memory
● Hook fopen()
● /proc/net/tcp || /proc/net/udp || /proc/net/raw
40
43. Autenticación X.509
● Verificaciones del certificado de rootkit
Validez del certificado y firma de la CA
Fingerprint SHA1 (Posibles MiTM)
Extensión X.509 V3: SSL Client
● Verificaciones del certificado de “admin”
Validez del certificado y firma de la CA
Common name (CN) correcto
Extensión X.509 V3: SSL Server
43
50. “LIVE FREE OR DIE
HACKING”
Grupo Delitos Telemáticos
Unidad Central Operativa
Guardia Civil
RootedCon 2012
51. El Escenario (I)
“Si conoces al enemigo y te conoces a ti mismo,
no tienes por qué temer el resultado de cien batallas.”
Sun tzu, El Arte de la Guerra.
52. El Escenario (II).
• Servidores y otros elementos de red
vulnerados.
• “Troyanización” de infraestructuras
informáticas y elementos de red.
• Saltos que involucran varios países.
• Resumen: Escenario complejo para la
investigación.
53. Perfil del atacante
• Amplios conocimientos en el desarrollo de
rootkits/malware.
• Amplios conocimientos en periféricos y
arquitecturas de red.
• ¿Motivación? (APT, daños, espionaje, etc).
• No es un “niño” del Acunetix.
54. El resultado
• Delito de daños en sistemas informáticos (art. 264).
• Delito de descubrimiento y revelación de secretos
(art 197).
• Perjuicios económicos altos.
• Lucro cesante.
• Resumen = Pena de prisión + responsabilidad civil.
55. Comprendiendo el ataque
• Análisis forense del binario.
– Principio de Locard.
– Análisis estático del binario.
– Análisis dinámico del binario.
• Estudio de los saltos.
– Países/Zonas.
• Judicialización del caso
– Colaboración Interpol / Europol.
– Grupos especializados internacionales (24x7).
– Apoyos de ISPs y empresas especializadas.
– Comisión Rogatoria Internacional / Eurojust.
56. Análisis del binario (estático)
Nivel de debug
Strings
Símbolos
Bibliotecas
Secciones
Etc.
57. Análisis del Binario (II).
• Valorar realizar análisis dinámico.
– Strace, gdb, lsof, etc.
• Estudiar las conexiones entrantes/salientes
– Del binario. (si es posible).
– De la red. (si es posible).
• Recursos por parte del denunciante/agraviado.
– ¿Qué puede aportar en lo técnico?.
58. Conclusiones
• A pesar de la complejidad del escenario, existen
herramientas tanto judiciales como técnicas para el
esclarecimiento del hecho.
• Investigación larga, falsa sensación de impunidad
por parte del atacante.
• Importancia del análisis del binario y conexiones de
red.
• Importancia de la investigación policial clásica.
59. Dirección General
de la Guardia Civil
¡GRACIAS POR VUESTRA
ATENCIÓN!
Grupo Delitos Telemáticos.
Unidad Central Operativa
Guardia Civil
www.gdt.guardiacivil.es
60. Jaime Peñalba Estébanez @Nighterman
Javier Rodríguez @Javiover
Especial agradecimiento al Grupo de Delitos Telemáticos