Black Hat Briefings USA 2005 Joaquín Eduardo Monje V. Septiembre 15 de 2005.

Black Hat Briefings USA 2005

Joaquín Eduardo Monje V.Septiembre 15 de 2005

Contenido

Acerca del evento Conferencias – Primer día

Seguridad de la aplicaciones Capa cero Políticas, administración y legal Ataques del día cero Conocimiento en profundidad

Acerca del evento (1)

Black Hat fue fundada en 1997 por Jeff Moss. Brinda educación avanzada a los profesionales en Seguridad

de la información dentro del ámbito empresarial y estatal. Presta servicios de Consultoría, entrenamiento y sesiones

informativas (Briefings)


Eventos durante 2005: Entrenamiento: Marzo 29-30. Ámsterdam Sesiones informativas: Marzo 31- Abril 1. Ámsterdam Entrenamiento: Julio 23-24, 25-26. Las Vegas, NV Sesiones informativas: Julio 27-28. Las Vegas, NV Entrenamiento: Octubre 10-11. Seattle, WA Sesiones informativas: Octubre 17-18. Tokio, Japón

1800 participantes de 34 países


Caesars Palace Las Vegas, NV

Conferencias - Primer día

1.Seguridad Aplicaciones

2.Capa Cero

3.Políticas, Administración,

y legal

4.Ataques del día cero

5. Conocimiento Profundidad

5 presentaciones por cada uno de los temas

1. Seg. Aplicaciones

Debido al incremento de los ataques a nivel de aplicaciones, esta sección trató temas sobre como encontrar y corregir problemas en:

Formateo de cadenas Inadecuada validación de los datos de entrada Debilidades en la autenticación Buffer Overflows

Estrategias para la auditoria de aplicaciones Web. Ingeniería reversa binaria para encontrar o corregir

vulnerabilidades. Análisis de código fuente. Practicas de codificación segura. Herramientas de pruebas de caja negra y stress.

1. Seg. Aplicaciones

Presentaciones OWASP Guide To Securing Web Applications and Services Attacking Web Services Owning Anti-Virus Raising the Bar For Rootkit Phishing with Super Bait

1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services

Open Web Application Security Project Estándares de seguridad para aplicaciones y servicios Web Versión 2.0, Julio 27 de 2005 Como diseñar software más seguro Como llevar a cabo una revisión usando la guía Desarrollo y configuración segura Aseguramiento de la calidad del software Web Services - Nuevo Consejos:

SOX/COBIT/ISO 17799 Anti-Phishing Modelo de evaluación de riesgos


Ejemplos en la mayoría de lenguajes: .NET, PHP, J2EE, Perl, Ruby, Python.

Apéndice de seguridad en PHP Como probar y corregir vulnerabilidades en autenticación Autorización Manejo de sesiones Log/Auditoria/Errores Estrategias de validación de datos SQL Injection Criptografía

Como seleccionar algoritmos XSS – Cross Site Scripting


Versión 2.1, para Noviembre de 2005 Para quién y para que es útil esta guía:

Desarrolladores Ejecución de pruebas Modelar amenazas Revisiones de código Pruebas de penetración

www.owasp.org

1. Seg. Aplicaciones – Attacking Web Services

Introducción a los riesgos asociados con WS Debilidades de XML (Injection), SOAP (Simple Object Access

Protocol), UDDI (Catálogo de negocios de Internet – Universal, Discovery, and Integration).

Ataques clásicos cómo: SQL Injection, XSS, Overflows, DoS Herramientas para encontrar y penetrar WS:

www.xmethods.com DISCO / WS-Inspection WSMap

OWASP Top 10 Los WS son poderosos, fáciles de usar y son vulnerables Se requiere mucho trabajo con respecto a la seguridad de WS:

Implementación de mejores practicas y estándares de desarrollo

1. Seg. Aplicaciones – Owning Anti-Virus

AV son ampliamente populares debido a la “proteccción” que ellos ofrecen.

Un usuario sabe que debe tener un antivirus. Será que en lugar de protegernos de los atacantes, el software

de antivirus les estará ayudando a que la tarea sea más fácil? Usando técnicas de auditoria binaria han descubierto

vulnerabilidades en los software de AV. Cuando no tenemos acceso al código fuente, podemos hacer

pruebas de caja negra y ver que sucede o mirar que hay por debajo usando técnicas de auditoria binaria.

El software de seguridad no es inmune a los ataques. Los AV son seguros, pero no perfectos.

1. Seg. Aplicaciones – Owning Anti-Virus

Las implicaciones que tiene encontrar vulnerabilidades en el software de antivirus, es algo que motiva a los atacantes.

El hecho es que el software de seguridad está en la mira de los atacantes.

1. Seg. Aplicaciones – Raising The Bar For Rootkit Detection - Shadow Walker

Los Rootkits son un conjunto de herramientas que ocultan la realización de todo tipo de acción maliciosa, proveen una puerta trasera de entrada, recogen información de los sistemas que están en la red.

Demostración de como ocultar un Rootkit en la memoria con un mínimo impacto en el desempeño de la misma.

1. Seg. Aplicaciones – Phishing with Super Bait

Modelos actuales de la Seguridad en la Web SSL – No hace que un sitio sea seguro Seguridad a nivel del navegador

Política del mismo origen: Previene que documentos o Scripts cargados desde un origen realicen un Get o Set de las propiedades de un documento de un origen diferente.

“httpOnly”: Este atributo especifica que a un Cookie no se puede tener acceso a traves de un script. Se elimina la posibilidad que información sensible contenida en un Cookie pueda ser enviada al computador o al Web Site del atacante usando scripts. Set-Cookie: cookie=data; path:/; domain=123.com; httpOnly

“Secure”: El Cookie viajara solo bajo conexiones SSL. Set-Cookie: cookie=data; path:/; domain=123.com; secure


Modelos actuales de la Seguridad en la Web Factor de doble autenticación: Provee un nivel de confianza más

alto, que las contraseñas individuales, ya que requiere algo que el usuario sabe (contraseña), y algo que el usuario tiene (Token o Smart Card).

“El factor de doble autenticación, no es nuestra salvación. No nos va defender del Phishing, no va a prevenir el robo de identidad, no va a asegurar las cuentas en linea de transacciones fraudulentas. Este soluciona problemas de seguridad que teníamos hace 10 años, no los problemas de seguridad que tenemos hoy. ” Bruce Schneier Blog.


Phishing: Este tipo de ataque usa la ingeniería social y técnicas de estafa para robar la identidad o las credenciales de las cuentas bancarias de las personas. Utilizan correos falsos, que inducen al usuario a ingresar a sitios falsos, para que ingresen sus números de tarjetas de crédito, nombres de usuarios y contraseñas.

Cross-Site Scripting (XSS): Es un tipo de ataque, en donde la información de un contexto, no confiable, puede ser insertada en otro contexto. Puede ser usado para:

Robar los Cookies y tomar control de las sesiones Ejecutar una funcionalidad no planeada en el sitio Web Hostigar al usuario con código malicioso Alterar una parte de la página Web DoS de un sitio Web Violar la politica del mismo origen Sirve de soporte para los ataques de Phishing


Ataques híbridos de XSS-Phishing: Redireccionamiento disfrazado: Un atacante envía un e-mail al

usuario con un link construido manualmente. El link tiene el nombre del Host del dominio del sitio Web de la victima, para que parezca legítimo y una URL dentro de el. Es simple y efectivo.

http:victim.com/redirect.cgi?url=http://www.hi.com Modificación de una parte de la página: Se puede cambiar solo un

aspecto de la página. http:victim.com/webapp.cgi?url=<html_javascript_exploit_code>

Herramienta avanzada de ataque de XSS

http://xss-proxy.sourceforge.net/

2. Capa Cero

La seguridad de las personas y los objetos, requieren de diferentes tecnologías y estrategias.

Esta sección se enfocó más en los aspectos físicos de nuestras redes y ambientes.

Seguridad física, sistemas de control de acceso. ¿Qué tan difícil es llegar al sitio en donde están almacenados

los copias de respaldo? Debilidades y fortalezas de los sistemas biométricos (Huellas

dactilares y reconocimiento facial). Invertimos mucho tiempo pensando acerca de la seguridad de

la red y de las aplicaciones, este fue un espacio para tener en cuenta los aspectos físicos de la seguridad de la información.

2. Capa Cero

Presentaciones The Social Engineering Engagement Methodology Plug and Root, the USB Key to the Kingdom The Non-Crytographic Ways of Losing Information Can You Really Trust Hardware? Long Range RFID (Radio Frecuency Identification) and its Security

Implications

2. Capa Cero - The Social Engineering Engagement Methodology

Presentación de una metodología que nos ayuda a cuidarnos de este tipo de ataques.

Esta basada en IA-CMM (Infosec Assurance – Capability Maturity Mode).

Es CMM aplicado a la seguridad de la información. Modelo desarrollado por NSA y la industria http://www.iatrap.com

2. Capa Cero - Plug and Root, the USB Key to the Kingdom

Vulnerabilidades en los Drivers para Windows de los dispositivos USB , pueden permitir a un atacante tomar control de una estación de trabajo, así esta se encuentre bloqueada.

Esto se puede lograr realizando una programación específica sobre los dispositivos USB.

La vulnerabilidad de Buffer Overflow hace que se vulnere la seguridad de Windows y se obtenga acceso con privilegios de administrador sobre la máquina.

El Buffer Overflow está en los Drivers del dispositivo que Windows (XP o 2000) carga cuando este es conectado en un computador.

Los Drivers de los USB son escritos con una muy poca validación de datos y sin tener en cuenta muchos aspectos de seguridad. Estos están enfocados en el tema de la [velocidad].


Otra vulnerabilidad, tiene que ver con un dispositivo USB debidamente programado, para que copie los archivos recientemente utilizados, cuando este sea insertado en un PC con Windows.

Este tipo de ataques requieren un acceso físico a los sistemas. Se puede obtener a través de las personas que hacen el aseo, contratistas o visitantes.

Mecanismos de defensa:


Safend, es una solución de software, que nos permite bloquear y asignar políticas de seguridad sobre los periféricos en sistemas Windows.

2. Capa Cero - The Non-Crytographic Ways of Losing Information

Presentación realizada por un integrante de la Agencia de Seguridad Nacional (NSA).

Desde los días gloriosos del Criptoanálisis durante las Segunda Guerra Mundial, el arte de proteger y robar la información ha cambiado drasticamente.

Historias sobre la máquina Enigma. Para entender como proteger la información crítica en el

mundo de hoy, es necesario entender las técnicas que usan los espías modernos.

Demostración de casos de robo de información a través de: robo, compra, chantaje, soborno, Espiando detrás de las puertas, etc.

2. Capa Cero - Can You Really Trust Hardware?

Explorando los problemas de seguridad en los dispositivos de hardware

No son cajas negras. “Si esto es hardware, debe ser seguro”. Explora problemas clásicos de seguridad de los productos de

hardware, por ejemplo: Intercepción: Obtener acceso a información protegida, sin abrir el

producto. Interrupción: Hacer que el producto no funcione correctamente. Modificación: Cambios físicos a los productos. Falsificación.


Ataques contra: Sistemas de control de acceso:

Biométricos: Son considerados más seguros que los sistemas que utilizan contraseñas, pero las características físicas son difíciles de mantener en secreto. Por ejemplo: Huellas dactilares dejadas en los teclados, la voz puede ser grabada, fotografías de sus rasgos físicos.

Tokens de autenticación: Información sobre ataques y como prevenirlos: www.grandideastudio.com/files/security/tokens/usb_hardware_token.pdf.



RFID (Radio Frecuency Identification): Sistemas que utilizan ondas de radio para identificar personas u objetos. Código de barras inteligente. Han estado disponibles desde hace muchos años, pero hasta ahora se están popularizando. Usos:

Seguimiento de inventarios Control de acceso. Identificación automática Sistemas de pago Inmovilización de vehículos



RFID (Radio Frecuency Identification): Almacenan un número serial único en un microchip que es pegado a una

antena. Estos dos forman “Tag”. Típicamente un sistema RFID contiene un lector y uno más Tags. No hay seguridad entre las transmisiones de los Tags y lectores. Si se tiene

un lector para la familia de Tags que quiero atacar y la frecuencia, nos podemos comunicar con el Tag.

Como crear sistemas para leer/escribir Tags RFID: www.parallax.com, www.tirix.com, www.makezine.com.

Dispositivos de red: Puntos de acceso Wireless Adaptadores de red/NICs PDAS/Dispositivos móviles


Problemas comunes en el diseño del hardware: No es considerada la seguridad. Son fáciles de abrir. Muchos productos basados en referencias de diseños

públicamente disponibles. Inadecuada protección de la memoria. “Seguridad a traves de la oscuridad”: Ocultar las cosas no hace

que el problema sea solucionado.

3. Políticas

¿Como trata la ley las vulnerabilidades a la seguridad que son descubiertas?

¿Qué legislación deben cumplir las compañías? ¿Cuales son las políticas aceptables con respecto a la presencia

corporativa en la Web? ¿Cuál es la responsabilidad social de los participantes en

seguridad? Análisis de legislación actual y futura. Tendencias en la administración y la implementación de políticas

de seguridad.

3. Políticas

Conferencias CISO Q&A with Jeff Moss Legal Aspects of Computer Network Defense Hacking in a Foreign Language Top Ten Security Issues in Computer Security U.S National Security, Individual and Corporate Information

Security, and IS Providers

3. Políticas - CISO Q&A with Jeff Moss

Sesión de preguntas y respuestas con el fundador del Black Hat y los CISO de algunas compañías.

Comentarios sobre el Black Hat and DEFCON. ¿Son las investigaciones en seguridad, una ayuda o un daño

para la economía? ¿Qué practicas de privacidad utilizan los CISOs? Algunas conclusiones:

Crear conciencia de la seguridad de la información en los usuarios. Cambiar la percepción de que la seguridad de la información es un

tema técnico. Involucrar a los usuarios en las evaluaciones de riesgo.

3. Políticas - Legal Aspects of Computer Network Defense

Presentación de casos que afectaron el año pasado la seguridad de los computadores y de Internet.

Presentación de los fundamentos legales disponibles para que los proveedores de servicio defiendan sus redes.

3. Políticas -Hacking in a Foreign Language

Presentación de un plan detallado para cruzar las fronteras internacionales en Cyberespacio.

3. Políticas - Top Ten Security Issues in Computer Security

¿Es legal “husmear” en las redes Wireless? ¿Cuál es la responsabilidad civil o criminal para aquellos

quienes usan redes Wireless abiertas? ¿Cómo la ley patriota cambio el seguimiento y la investigación

de los crímenes informáticos? ¿Qué es la ley de abuso y fraude de los computadores, y cómo

esta afecta las investigaciones civiles y gubernamentales de los vacíos en la seguridad?

¿Qué aspectos legales hay alrededor de las Honeynet? ¿Es el “strike-back” legal? ¿Cuándo los logs de los computadores y otros tipos de

registros generados digitalmente son admitidos como evidencia?

3. Políticas - Top Ten Security Issues in Computer Security

¿Existe una responsabilidad civil y criminal por mantener los sistemas inseguros?

¿Es legal la ingeniería reversa? ¿Cómo se cuando necesito hablar con un abogado?

3. Políticas - U.S National Security, Individual and Corporate Information Security, and IS Providers

Explicación de cómo las políticas de seguridad nacional de los Estados Unidos pueden impactar a los consultores y proveedores de tecnología.

Surgimiento de estándares de la potencial responsabilidad legal de los consultores y proveedores de tecnología.

4. Ataques del día cero

Presentación de las ultimas técnicas de ataque. Como son encontradas y probadas estas vulnerabilidades. Nuevas vulnerabilidades descubiertas o en desarrollo.


Conferencias: The Holy Grail: Cisco IOS Shellcode and Remote Execution eEye BootRoot Trust Transience: Post Intrusion SSH Hijacking Remote Windows Kernel Exploitation –Step In To the Ring 0 Beyond EIP

4. Ataques del día cero - The Holy Grail: Cisco IOS Shellcode and Remote Execution

Michael Lynn. Demostró que es posible ejecutar código sin restricción en los

enrrutadores Cisco. Como lo hizo: A través de Ingeniera Reversa del CISCO IOS. Hasta el momento estos dispositivos se vendían como

prácticamente inmunes contra este tipo de vulnerabilidades. Debido a que la gran parte de la infraestructura de Internet

descansa sobre este tipo de dispositivos, las consecuencias de un hipotético gusano que aprovechara esta vulnerabilidad serían de gran impacto.

4. Ataques del día cero - The Holy Grail: Cisco IOS Shellcode and Remote Execution

http://www.wired.com/news/privacy/0,1848,68365,00.html Renunció a ISS para poder realizar la presentación de esta vulnerabilidad. CISCO y Black Hat acordaron remover las páginas de la presentación de Michael Lynn del libro de conferencias.

Video


eEye BootRoot: Más Rootkits para Windows.

Trust Transience: Post Intrusion SSH Hijacking: Explora las vulnerabilidades relacionadas con las relaciones de

confianza entre Hosts y como sacar provecho de ellas. A través de técnicas anti-forenses y SSH Hijacking.

Remote Windows Kernel Exploitation –Step In To the Ring 0: Muchas vulnerabilidades del Kernel han sido publicadas, pero aun

no ha surgido código que saque provecho de estas. En el futuro se verán más vulnerabilidades a nivel del Kernel. Explicación de cómo vencer los obstáculos que se presentan

cuando se está buscando tomar ventaja del anillo 0.

5. Conocimiento en profundidad

Presentaciones All new 0 Day Black Ops 2005 Economics, Physics, Psychology and how They Relate to Technical

Aspects of Counter Espionage Within Information Security iSCSI Security (Insecure SCSI) Automation – Deus ex Machina or Rube Goldberg Machine?

Referencias

http://www.blackhat.com/html/bh-media-archives/bh-multi-media-archives.html#USA-2005

Gracias

Black Hat Briefings USA 2005 Joaquín Eduardo Monje V. Septiembre 15 de 2005.

Documents

Transcript of Black Hat Briefings USA 2005 Joaquín Eduardo Monje V. Septiembre 15 de 2005.