[Nota: Debido a su extensión, he divido el post en 2 entradas. En breve publicaré la 2ª parte]
[>>>>>>>>>> Actualizado: 11/10/2013: Enlace a la 2ª parte <<<<<<<<<<]
La semana pasada tuve ocasión de asistir a las conferencias "Navaja Negra" que tuvieron lugar en Albacete. En tres días (del 3 al 5 de octubre) pudimos disfrutar de hasta 21 charlas sobre seguridad informática, a cual más interesante (ver programa).
Esta 3ª edición congregó a casi 200 profesionales, expertos, estudiantes, interesados, amantes etc. de la seguridad informática en un espacio donde compartir conocimiento y experiencias, siempre fieles a los 3 principios con los que se creó Navaja Negra según declaran sus organizadores "Humildad, Compartir y Aprender".
Trasladarse de Barcelona a Albacete, desde un punto de vista logístico, no es tarea fácil (motivo por el cual no asistí al evento del año pasado), así que para este año me propuse realizar el trayecto en coche. Nunca podré agradecer lo suficiente al que tuvo la feliz idea de incluir en la web del congreso el enlace "comparte coche", gracias al cual encontré a otros 3 compañeros de viaje que también iban al Navaja Negra. La buena experiencia del congreso, para mí, empezó ya a unos 550 kilómetros de Albacete cuando los cuatro nos montamos en el coche dispuestos a aprovechar al máximo estas jornadas.
A continuación os dejo un breve resumen de las diferentes ponencias (a causa del viaje nos perdimos las sesiones de la mañana del primer día) pero sé que la organización grabó todas las charlas en vídeo y próximamente las publicará, así como las presentaciones que realizaron los ponentes.
Las charlas que me perdí fueron las 4 primeras: "Telepathy: Harness the code" (Juan Carlos Montes @jcmontes_tec), "De pacharanes por Racoon City: Cómo sobrevivir al día a día real de un pentester" (J. Daniel Martínez @dan1t0), "Fuzzing browsers by generating malformed HTML/HTML5" (Florencio Cano @florenciocano) y "SDR: Lowcost receiving in radio communications" (Alfonso Moratalla @alfonso_ng & Ricardo Monsalve @cenobita8bits).
"¿Nadie piensa en las DLL?" (Adrián Pulido)
Adrián Pulido (@winsock) presentó una interesante ponencia sobre los peligros de las librerías (DLL) como puntos de entrada de código malicioso. Con ejemplos, demostró como la capacidad de las DLL para ejecutar código puede ser utilizada para atacar un equipo y como pueden ocultarse para no ser detectadas por los antivirus o no despertar sospechas en los usuarios.
Esta 3ª edición congregó a casi 200 profesionales, expertos, estudiantes, interesados, amantes etc. de la seguridad informática en un espacio donde compartir conocimiento y experiencias, siempre fieles a los 3 principios con los que se creó Navaja Negra según declaran sus organizadores "Humildad, Compartir y Aprender".
Trasladarse de Barcelona a Albacete, desde un punto de vista logístico, no es tarea fácil (motivo por el cual no asistí al evento del año pasado), así que para este año me propuse realizar el trayecto en coche. Nunca podré agradecer lo suficiente al que tuvo la feliz idea de incluir en la web del congreso el enlace "comparte coche", gracias al cual encontré a otros 3 compañeros de viaje que también iban al Navaja Negra. La buena experiencia del congreso, para mí, empezó ya a unos 550 kilómetros de Albacete cuando los cuatro nos montamos en el coche dispuestos a aprovechar al máximo estas jornadas.
A continuación os dejo un breve resumen de las diferentes ponencias (a causa del viaje nos perdimos las sesiones de la mañana del primer día) pero sé que la organización grabó todas las charlas en vídeo y próximamente las publicará, así como las presentaciones que realizaron los ponentes.
========== Día 1 ==========
Las charlas que me perdí fueron las 4 primeras: "Telepathy: Harness the code" (Juan Carlos Montes @jcmontes_tec), "De pacharanes por Racoon City: Cómo sobrevivir al día a día real de un pentester" (J. Daniel Martínez @dan1t0), "Fuzzing browsers by generating malformed HTML/HTML5" (Florencio Cano @florenciocano) y "SDR: Lowcost receiving in radio communications" (Alfonso Moratalla @alfonso_ng & Ricardo Monsalve @cenobita8bits).
Adrián Pulido (@winsock) presentó una interesante ponencia sobre los peligros de las librerías (DLL) como puntos de entrada de código malicioso. Con ejemplos, demostró como la capacidad de las DLL para ejecutar código puede ser utilizada para atacar un equipo y como pueden ocultarse para no ser detectadas por los antivirus o no despertar sospechas en los usuarios.
Daniel García (@ggdaniel, uno de los organizadores de las jornadas) nos presentó la herramienta "GoLismero" que ha creado junto a otros 2 compañeros. Se trata de una interesante herramienta para auditores de seguridad: un framework que permite unificar herramientas open source de pruebas de seguridad web. Según su autor, "El punto fuerte de esta herramienta es que los resultados son capaces de realimentarse entre todos".
Más información y descarga de GoLismero en: www.golismero-project.com
Jaime Peñalba (@nighterman) realizó una exposición detallada sobre lo que se necesita saber para realizar exploiting: entender como funciona un procesador, cuales son los registros principales, como funciona la memoria o como ésta pasa los registros a la pila (stack). Lástima que calculara mal el tiempo de su presentación y no pudiera entrar en profundidad en las técnicas de exploiting y las contramedidas que pueden aplicarse.
Jaime utilizó IDA para la parte práctica (mostrando en directo el comportamiento de la pila y del direccionamiento de memoria), y contó con la colaboración de Sergi Alvarez "Pancake" (@trufae) quien le echó una mano con la herramienta Radare.
Alejandro Nolla (@z0mbiehunt3r) y Felipe Martín (@fmartingr) nos hablaron de las redes CDN (Content Delivery Network), cuyo uso es cada vez más habitual. En estas redes, todo el contenido se replica en varios puntos de presencia y el cliente recibe la copia más cercana a su ubicación. En la charla se puso de relieve la sensación de falsa seguridad que presentan estas redes, ya que - aparentemente - el servidor de origen no está accesible y no puede recibir, por ejemplo, ataques DDoS. Sin embargo demostraron como conectándose a los routers puede obtenerse mucha información de la red (con un traceroute, por ejemplo) a partir de la cual y mediante procesos de "trilateración " pueden llegar a descubrirse los servidores de origen. Alejandro está desarrollando una herramienta que automatiza estas tareas (Felipe es quien se encarga de interfaz gráfico).
========== Día 2 ==========
Marc Rivero (@seifreed) presentó una ponencia sobre "e-Crime", sobre el alcance de mismo y como prevenirse. Empezó hablando de métodos de autenticación, de troyanos bancarios (sinowal, carberp, ...), de Ransomware (el llamado "virus de la policía"), de los troyanos "Man-in-the-browser" y de los denominados "Kits de Phising". Como contramedida a estos últimos citó la herramienta "Social Engineering Toolkit" (herramienta de test de penetración usando ingeniería social) o el proyecto www.social-engineer.com.
Se refirió a determinados proyectos de SandBox, aunque también advirtió que los "malos" también tienen los suyos para verificar que un virus no será detectado por los antivirus.
Santiago Vicente (@smvicente) presentó su estudio sobre el troyano "ZeuS". Este troyano, que fue descubierto en octubre de 2006, ha ido evolucionando y ha visto incrementadas sus funcionalidades. Poco después de la aparición de SpyEye, se publicó el código fuente de ZeuS (2011) y aunque algunos expertos auguraban el abandono de ZeuS, lo cierto es que ha continuado evolucionando y sigue muy activo, propiciando también la aparación de nuevas variantes (como Licat).
Parte de lo expuesto por Santiago, puede encontrarse en el último artículo de su blog http://invisson.blogspot.com.es/
La persistencia de la memoria RAM oscila entre 25 segundos y 2 minutos en condiciones normales. Pedro Candel "Saur0n" (@nn2ed_s4ur0n, otro de los organizadores del evento) partiendo de un paper de la Universidad de Princeton (https://citp.princeton.edu/research/memory) ha investigado este tema, corroborando que, mediante la aplicación de sprays enfriadores para circuitos electricos, la memoria RAM puede congelarse hasta alcanzar unos -50ºC. En este estado, el contenido de la memoria se mantiene hasta unos 30 minutos después de desconectar el equipo. Nos presentó una herramienta propia que consiste en un USB de arranque con un "RAM Dumper" que permite acceder al contenido de la memoria RAM congelada. La demostración en vivo y en directo fue todo un éxito.
Daniel Kachakil (@kachakil) nos ofreció una amena charla sobre retos criptográficos en los CTF (Capture the Flag). A partir de ejemplos prácticos mostró los diferentes tipos de cifrado, centrándose en los monoalfabéticos (cifrado César, cifrado por sustitución genérica) y citando algunos polialfabéticos como Vigènere.
Desde su experiencia como participante en diferentes retos CTF internacionales desveló las técnicas más usuales de descifrado con herramientas de software libre como Cryptool v1 o Cryptool v2 (http://www.cryptool.org): fuerza bruta, análisis de frecuencias, reconocimeinto de patrones, etc. Todo ello ilustrado con interesantes anécdotas que ha vivido en primera persona en estos retos.
José Selvi (@JoseSelvi) ofreció una charla sobre una de las técnicas que se pueden usar en un pentesting: "Man-in-the-Middle". Mediante procedimientos de ARP spoofing, DHCP spoofing o ICMP redirect (entre otros) se consigue desviar el flujo natural de tráfico de datos para conseguir que pase por el equipo que controlamos. A partir de ahí, con diferentes herramientas puede analizarse el tráfico o su contenido. Estas herramientas van desde un Wireshark (más genérico) a Xplico o NetworkMiner, o a otras de propósito más concreto como Cain o Ettercap.
[>>>>>>>>>> Segunda parte en: "Navaja Negra Conference (2 de 2)" <<<<<<<<<<]
No hay comentarios:
Publicar un comentario