Black Hat Briefings USA 2005 Joaquín Eduardo Monje V. Septiembre 15 de 2005.
-
Upload
leonor-florez -
Category
Documents
-
view
1 -
download
0
Transcript of Black Hat Briefings USA 2005 Joaquín Eduardo Monje V. Septiembre 15 de 2005.
Black Hat Briefings USA 2005
Joaquín Eduardo Monje V.Septiembre 15 de 2005
Contenido
Acerca del evento Conferencias – Primer día
Seguridad de la aplicaciones Capa cero Políticas, administración y legal Ataques del día cero Conocimiento en profundidad
Acerca del evento (1)
Black Hat fue fundada en 1997 por Jeff Moss. Brinda educación avanzada a los profesionales en Seguridad
de la información dentro del ámbito empresarial y estatal. Presta servicios de Consultoría, entrenamiento y sesiones
informativas (Briefings)
Acerca del evento (2)
Eventos durante 2005: Entrenamiento: Marzo 29-30. Ámsterdam Sesiones informativas: Marzo 31- Abril 1. Ámsterdam Entrenamiento: Julio 23-24, 25-26. Las Vegas, NV Sesiones informativas: Julio 27-28. Las Vegas, NV Entrenamiento: Octubre 10-11. Seattle, WA Sesiones informativas: Octubre 17-18. Tokio, Japón
1800 participantes de 34 países
Acerca del evento (3)
Caesars Palace Las Vegas, NV
Conferencias - Primer día
1.Seguridad Aplicaciones
2.Capa Cero
3.Políticas, Administración,
y legal
4.Ataques del día cero
5. Conocimiento Profundidad
5 presentaciones por cada uno de los temas
1. Seg. Aplicaciones
Debido al incremento de los ataques a nivel de aplicaciones, esta sección trató temas sobre como encontrar y corregir problemas en:
Formateo de cadenas Inadecuada validación de los datos de entrada Debilidades en la autenticación Buffer Overflows
Estrategias para la auditoria de aplicaciones Web. Ingeniería reversa binaria para encontrar o corregir
vulnerabilidades. Análisis de código fuente. Practicas de codificación segura. Herramientas de pruebas de caja negra y stress.
1. Seg. Aplicaciones
Presentaciones OWASP Guide To Securing Web Applications and Services Attacking Web Services Owning Anti-Virus Raising the Bar For Rootkit Phishing with Super Bait
1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services
Open Web Application Security Project Estándares de seguridad para aplicaciones y servicios Web Versión 2.0, Julio 27 de 2005 Como diseñar software más seguro Como llevar a cabo una revisión usando la guía Desarrollo y configuración segura Aseguramiento de la calidad del software Web Services - Nuevo Consejos:
SOX/COBIT/ISO 17799 Anti-Phishing Modelo de evaluación de riesgos
1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services
Ejemplos en la mayoría de lenguajes: .NET, PHP, J2EE, Perl, Ruby, Python.
Apéndice de seguridad en PHP Como probar y corregir vulnerabilidades en autenticación Autorización Manejo de sesiones Log/Auditoria/Errores Estrategias de validación de datos SQL Injection Criptografía
Como seleccionar algoritmos XSS – Cross Site Scripting
1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services
Versión 2.1, para Noviembre de 2005 Para quién y para que es útil esta guía:
Desarrolladores Ejecución de pruebas Modelar amenazas Revisiones de código Pruebas de penetración
www.owasp.org
1. Seg. Aplicaciones – Attacking Web Services
Introducción a los riesgos asociados con WS Debilidades de XML (Injection), SOAP (Simple Object Access
Protocol), UDDI (Catálogo de negocios de Internet – Universal, Discovery, and Integration).
Ataques clásicos cómo: SQL Injection, XSS, Overflows, DoS Herramientas para encontrar y penetrar WS:
www.xmethods.com DISCO / WS-Inspection WSMap
OWASP Top 10 Los WS son poderosos, fáciles de usar y son vulnerables Se requiere mucho trabajo con respecto a la seguridad de WS:
Implementación de mejores practicas y estándares de desarrollo
1. Seg. Aplicaciones – Owning Anti-Virus
AV son ampliamente populares debido a la “proteccción” que ellos ofrecen.
Un usuario sabe que debe tener un antivirus. Será que en lugar de protegernos de los atacantes, el software
de antivirus les estará ayudando a que la tarea sea más fácil? Usando técnicas de auditoria binaria han descubierto
vulnerabilidades en los software de AV. Cuando no tenemos acceso al código fuente, podemos hacer
pruebas de caja negra y ver que sucede o mirar que hay por debajo usando técnicas de auditoria binaria.
El software de seguridad no es inmune a los ataques. Los AV son seguros, pero no perfectos.
1. Seg. Aplicaciones – Owning Anti-Virus
Las implicaciones que tiene encontrar vulnerabilidades en el software de antivirus, es algo que motiva a los atacantes.
El hecho es que el software de seguridad está en la mira de los atacantes.
1. Seg. Aplicaciones – Raising The Bar For Rootkit Detection - Shadow Walker
Los Rootkits son un conjunto de herramientas que ocultan la realización de todo tipo de acción maliciosa, proveen una puerta trasera de entrada, recogen información de los sistemas que están en la red.
Demostración de como ocultar un Rootkit en la memoria con un mínimo impacto en el desempeño de la misma.
1. Seg. Aplicaciones – Phishing with Super Bait
Modelos actuales de la Seguridad en la Web SSL – No hace que un sitio sea seguro Seguridad a nivel del navegador
Política del mismo origen: Previene que documentos o Scripts cargados desde un origen realicen un Get o Set de las propiedades de un documento de un origen diferente.
“httpOnly”: Este atributo especifica que a un Cookie no se puede tener acceso a traves de un script. Se elimina la posibilidad que información sensible contenida en un Cookie pueda ser enviada al computador o al Web Site del atacante usando scripts. Set-Cookie: cookie=data; path:/; domain=123.com; httpOnly
“Secure”: El Cookie viajara solo bajo conexiones SSL. Set-Cookie: cookie=data; path:/; domain=123.com; secure
1. Seg. Aplicaciones – Phishing with Super Bait
Modelos actuales de la Seguridad en la Web Factor de doble autenticación: Provee un nivel de confianza más
alto, que las contraseñas individuales, ya que requiere algo que el usuario sabe (contraseña), y algo que el usuario tiene (Token o Smart Card).
“El factor de doble autenticación, no es nuestra salvación. No nos va defender del Phishing, no va a prevenir el robo de identidad, no va a asegurar las cuentas en linea de transacciones fraudulentas. Este soluciona problemas de seguridad que teníamos hace 10 años, no los problemas de seguridad que tenemos hoy. ” Bruce Schneier Blog.
1. Seg. Aplicaciones – Phishing with Super Bait
Phishing: Este tipo de ataque usa la ingeniería social y técnicas de estafa para robar la identidad o las credenciales de las cuentas bancarias de las personas. Utilizan correos falsos, que inducen al usuario a ingresar a sitios falsos, para que ingresen sus números de tarjetas de crédito, nombres de usuarios y contraseñas.
Cross-Site Scripting (XSS): Es un tipo de ataque, en donde la información de un contexto, no confiable, puede ser insertada en otro contexto. Puede ser usado para:
Robar los Cookies y tomar control de las sesiones Ejecutar una funcionalidad no planeada en el sitio Web Hostigar al usuario con código malicioso Alterar una parte de la página Web DoS de un sitio Web Violar la politica del mismo origen Sirve de soporte para los ataques de Phishing
1. Seg. Aplicaciones – Phishing with Super Bait
Ataques híbridos de XSS-Phishing: Redireccionamiento disfrazado: Un atacante envía un e-mail al
usuario con un link construido manualmente. El link tiene el nombre del Host del dominio del sitio Web de la victima, para que parezca legítimo y una URL dentro de el. Es simple y efectivo.
http:victim.com/redirect.cgi?url=http://www.hi.com Modificación de una parte de la página: Se puede cambiar solo un
aspecto de la página. http:victim.com/webapp.cgi?url=<html_javascript_exploit_code>
Herramienta avanzada de ataque de XSS
http://xss-proxy.sourceforge.net/
2. Capa Cero
La seguridad de las personas y los objetos, requieren de diferentes tecnologías y estrategias.
Esta sección se enfocó más en los aspectos físicos de nuestras redes y ambientes.
Seguridad física, sistemas de control de acceso. ¿Qué tan difícil es llegar al sitio en donde están almacenados
los copias de respaldo? Debilidades y fortalezas de los sistemas biométricos (Huellas
dactilares y reconocimiento facial). Invertimos mucho tiempo pensando acerca de la seguridad de
la red y de las aplicaciones, este fue un espacio para tener en cuenta los aspectos físicos de la seguridad de la información.
2. Capa Cero
Presentaciones The Social Engineering Engagement Methodology Plug and Root, the USB Key to the Kingdom The Non-Crytographic Ways of Losing Information Can You Really Trust Hardware? Long Range RFID (Radio Frecuency Identification) and its Security
Implications
2. Capa Cero - The Social Engineering Engagement Methodology
Presentación de una metodología que nos ayuda a cuidarnos de este tipo de ataques.
Esta basada en IA-CMM (Infosec Assurance – Capability Maturity Mode).
Es CMM aplicado a la seguridad de la información. Modelo desarrollado por NSA y la industria http://www.iatrap.com
2. Capa Cero - Plug and Root, the USB Key to the Kingdom
Vulnerabilidades en los Drivers para Windows de los dispositivos USB , pueden permitir a un atacante tomar control de una estación de trabajo, así esta se encuentre bloqueada.
Esto se puede lograr realizando una programación específica sobre los dispositivos USB.
La vulnerabilidad de Buffer Overflow hace que se vulnere la seguridad de Windows y se obtenga acceso con privilegios de administrador sobre la máquina.
El Buffer Overflow está en los Drivers del dispositivo que Windows (XP o 2000) carga cuando este es conectado en un computador.
Los Drivers de los USB son escritos con una muy poca validación de datos y sin tener en cuenta muchos aspectos de seguridad. Estos están enfocados en el tema de la [velocidad].
2. Capa Cero - Plug and Root, the USB Key to the Kingdom
Otra vulnerabilidad, tiene que ver con un dispositivo USB debidamente programado, para que copie los archivos recientemente utilizados, cuando este sea insertado en un PC con Windows.
Este tipo de ataques requieren un acceso físico a los sistemas. Se puede obtener a través de las personas que hacen el aseo, contratistas o visitantes.
Mecanismos de defensa:
2. Capa Cero - Plug and Root, the USB Key to the Kingdom
Safend, es una solución de software, que nos permite bloquear y asignar políticas de seguridad sobre los periféricos en sistemas Windows.
2. Capa Cero - The Non-Crytographic Ways of Losing Information
Presentación realizada por un integrante de la Agencia de Seguridad Nacional (NSA).
Desde los días gloriosos del Criptoanálisis durante las Segunda Guerra Mundial, el arte de proteger y robar la información ha cambiado drasticamente.
Historias sobre la máquina Enigma. Para entender como proteger la información crítica en el
mundo de hoy, es necesario entender las técnicas que usan los espías modernos.
Demostración de casos de robo de información a través de: robo, compra, chantaje, soborno, Espiando detrás de las puertas, etc.
2. Capa Cero - Can You Really Trust Hardware?
Explorando los problemas de seguridad en los dispositivos de hardware
No son cajas negras. “Si esto es hardware, debe ser seguro”. Explora problemas clásicos de seguridad de los productos de
hardware, por ejemplo: Intercepción: Obtener acceso a información protegida, sin abrir el
producto. Interrupción: Hacer que el producto no funcione correctamente. Modificación: Cambios físicos a los productos. Falsificación.
2. Capa Cero - Can You Really Trust Hardware?
Ataques contra: Sistemas de control de acceso:
Biométricos: Son considerados más seguros que los sistemas que utilizan contraseñas, pero las características físicas son difíciles de mantener en secreto. Por ejemplo: Huellas dactilares dejadas en los teclados, la voz puede ser grabada, fotografías de sus rasgos físicos.
Tokens de autenticación: Información sobre ataques y como prevenirlos: www.grandideastudio.com/files/security/tokens/usb_hardware_token.pdf.
2. Capa Cero - Can You Really Trust Hardware?
Ataques contra: Sistemas de control de acceso:
RFID (Radio Frecuency Identification): Sistemas que utilizan ondas de radio para identificar personas u objetos. Código de barras inteligente. Han estado disponibles desde hace muchos años, pero hasta ahora se están popularizando. Usos:
Seguimiento de inventarios Control de acceso. Identificación automática Sistemas de pago Inmovilización de vehículos
2. Capa Cero - Can You Really Trust Hardware?
Ataques contra: Sistemas de control de acceso:
RFID (Radio Frecuency Identification): Almacenan un número serial único en un microchip que es pegado a una
antena. Estos dos forman “Tag”. Típicamente un sistema RFID contiene un lector y uno más Tags. No hay seguridad entre las transmisiones de los Tags y lectores. Si se tiene
un lector para la familia de Tags que quiero atacar y la frecuencia, nos podemos comunicar con el Tag.
Como crear sistemas para leer/escribir Tags RFID: www.parallax.com, www.tirix.com, www.makezine.com.
Dispositivos de red: Puntos de acceso Wireless Adaptadores de red/NICs PDAS/Dispositivos móviles
2. Capa Cero - Can You Really Trust Hardware?
Problemas comunes en el diseño del hardware: No es considerada la seguridad. Son fáciles de abrir. Muchos productos basados en referencias de diseños
públicamente disponibles. Inadecuada protección de la memoria. “Seguridad a traves de la oscuridad”: Ocultar las cosas no hace
que el problema sea solucionado.
3. Políticas
¿Como trata la ley las vulnerabilidades a la seguridad que son descubiertas?
¿Qué legislación deben cumplir las compañías? ¿Cuales son las políticas aceptables con respecto a la presencia
corporativa en la Web? ¿Cuál es la responsabilidad social de los participantes en
seguridad? Análisis de legislación actual y futura. Tendencias en la administración y la implementación de políticas
de seguridad.
3. Políticas
Conferencias CISO Q&A with Jeff Moss Legal Aspects of Computer Network Defense Hacking in a Foreign Language Top Ten Security Issues in Computer Security U.S National Security, Individual and Corporate Information
Security, and IS Providers
3. Políticas - CISO Q&A with Jeff Moss
Sesión de preguntas y respuestas con el fundador del Black Hat y los CISO de algunas compañías.
Comentarios sobre el Black Hat and DEFCON. ¿Son las investigaciones en seguridad, una ayuda o un daño
para la economía? ¿Qué practicas de privacidad utilizan los CISOs? Algunas conclusiones:
Crear conciencia de la seguridad de la información en los usuarios. Cambiar la percepción de que la seguridad de la información es un
tema técnico. Involucrar a los usuarios en las evaluaciones de riesgo.
3. Políticas - Legal Aspects of Computer Network Defense
Presentación de casos que afectaron el año pasado la seguridad de los computadores y de Internet.
Presentación de los fundamentos legales disponibles para que los proveedores de servicio defiendan sus redes.
3. Políticas -Hacking in a Foreign Language
Presentación de un plan detallado para cruzar las fronteras internacionales en Cyberespacio.
3. Políticas - Top Ten Security Issues in Computer Security
¿Es legal “husmear” en las redes Wireless? ¿Cuál es la responsabilidad civil o criminal para aquellos
quienes usan redes Wireless abiertas? ¿Cómo la ley patriota cambio el seguimiento y la investigación
de los crímenes informáticos? ¿Qué es la ley de abuso y fraude de los computadores, y cómo
esta afecta las investigaciones civiles y gubernamentales de los vacíos en la seguridad?
¿Qué aspectos legales hay alrededor de las Honeynet? ¿Es el “strike-back” legal? ¿Cuándo los logs de los computadores y otros tipos de
registros generados digitalmente son admitidos como evidencia?
3. Políticas - Top Ten Security Issues in Computer Security
¿Existe una responsabilidad civil y criminal por mantener los sistemas inseguros?
¿Es legal la ingeniería reversa? ¿Cómo se cuando necesito hablar con un abogado?
3. Políticas - U.S National Security, Individual and Corporate Information Security, and IS Providers
Explicación de cómo las políticas de seguridad nacional de los Estados Unidos pueden impactar a los consultores y proveedores de tecnología.
Surgimiento de estándares de la potencial responsabilidad legal de los consultores y proveedores de tecnología.
4. Ataques del día cero
Presentación de las ultimas técnicas de ataque. Como son encontradas y probadas estas vulnerabilidades. Nuevas vulnerabilidades descubiertas o en desarrollo.
4. Ataques del día cero
Conferencias: The Holy Grail: Cisco IOS Shellcode and Remote Execution eEye BootRoot Trust Transience: Post Intrusion SSH Hijacking Remote Windows Kernel Exploitation –Step In To the Ring 0 Beyond EIP
4. Ataques del día cero - The Holy Grail: Cisco IOS Shellcode and Remote Execution
Michael Lynn. Demostró que es posible ejecutar código sin restricción en los
enrrutadores Cisco. Como lo hizo: A través de Ingeniera Reversa del CISCO IOS. Hasta el momento estos dispositivos se vendían como
prácticamente inmunes contra este tipo de vulnerabilidades. Debido a que la gran parte de la infraestructura de Internet
descansa sobre este tipo de dispositivos, las consecuencias de un hipotético gusano que aprovechara esta vulnerabilidad serían de gran impacto.
4. Ataques del día cero - The Holy Grail: Cisco IOS Shellcode and Remote Execution
http://www.wired.com/news/privacy/0,1848,68365,00.html Renunció a ISS para poder realizar la presentación de esta vulnerabilidad. CISCO y Black Hat acordaron remover las páginas de la presentación de Michael Lynn del libro de conferencias.
Video
4. Ataques del día cero
eEye BootRoot: Más Rootkits para Windows.
Trust Transience: Post Intrusion SSH Hijacking: Explora las vulnerabilidades relacionadas con las relaciones de
confianza entre Hosts y como sacar provecho de ellas. A través de técnicas anti-forenses y SSH Hijacking.
Remote Windows Kernel Exploitation –Step In To the Ring 0: Muchas vulnerabilidades del Kernel han sido publicadas, pero aun
no ha surgido código que saque provecho de estas. En el futuro se verán más vulnerabilidades a nivel del Kernel. Explicación de cómo vencer los obstáculos que se presentan
cuando se está buscando tomar ventaja del anillo 0.
5. Conocimiento en profundidad
Presentaciones All new 0 Day Black Ops 2005 Economics, Physics, Psychology and how They Relate to Technical
Aspects of Counter Espionage Within Information Security iSCSI Security (Insecure SCSI) Automation – Deus ex Machina or Rube Goldberg Machine?
Referencias
http://www.blackhat.com/html/bh-media-archives/bh-multi-media-archives.html#USA-2005
Gracias