Black Hat Briefings USA 2005 Joaquín Eduardo Monje V. Septiembre 15 de 2005

Contenido Acerca del evento Conferencias – Primer día Seguridad de la aplicaciones Capa cero Políticas, administración y legal Ataques del día cero Conocimiento en profundidad

Acerca del evento (1) Black Hat fue fundada en 1997 por Jeff Moss. Brinda educación avanzada a los profesionales en Seguridad de la información dentro del ámbito empresarial y estatal. Presta servicios de Consultoría, entrenamiento y sesiones informativas (Briefings)

Acerca del evento (2) Eventos durante 2005: Entrenamiento: Marzo Ámsterdam Sesiones informativas: Marzo 31- Abril 1. Ámsterdam Entrenamiento: Julio 23-24, Las Vegas, NV Sesiones informativas: Julio Las Vegas, NV Entrenamiento: Octubre Seattle, WA Sesiones informativas: Octubre Tokio, Japón 1800 participantes de 34 países

Acerca del evento (3) Caesars Palace Las Vegas, NV

Conferencias - Primer día 1.Seguridad Aplicaciones 2.Capa Cero 3.Políticas, Administración, y legal 4.Ataques del día cero 5. Conocimiento Profundidad 5 presentaciones por cada uno de los temas

1. Seg. Aplicaciones Debido al incremento de los ataques a nivel de aplicaciones, esta sección trató temas sobre como encontrar y corregir problemas en: Formateo de cadenas Inadecuada validación de los datos de entrada Debilidades en la autenticación Buffer Overflows Estrategias para la auditoria de aplicaciones Web. Ingeniería reversa binaria para encontrar o corregir vulnerabilidades. Análisis de código fuente. Practicas de codificación segura. Herramientas de pruebas de caja negra y stress.

1. Seg. Aplicaciones Presentaciones OWASP Guide To Securing Web Applications and Services Attacking Web Services Owning Anti-Virus Raising the Bar For Rootkit Phishing with Super Bait

1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services Open Web Application Security Project Estándares de seguridad para aplicaciones y servicios Web Versión 2.0, Julio 27 de 2005 Como diseñar software más seguro Como llevar a cabo una revisión usando la guía Desarrollo y configuración segura Aseguramiento de la calidad del software Web Services - Nuevo Consejos: SOX/COBIT/ISO Anti-Phishing Modelo de evaluación de riesgos

1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services Ejemplos en la mayoría de lenguajes:.NET, PHP, J2EE, Perl, Ruby, Python. Apéndice de seguridad en PHP Como probar y corregir vulnerabilidades en autenticación Autorización Manejo de sesiones Log/Auditoria/Errores Estrategias de validación de datos SQL Injection Criptografía Como seleccionar algoritmos XSS – Cross Site Scripting

1. Seg. Aplicaciones - OWASP Guide To Securing Web Applications and Services Versión 2.1, para Noviembre de 2005 Para quién y para que es útil esta guía: Desarrolladores Ejecución de pruebas Modelar amenazas Revisiones de código Pruebas de penetración

1. Seg. Aplicaciones – Attacking Web Services Introducción a los riesgos asociados con WS Debilidades de XML (Injection), SOAP (Simple Object Access Protocol), UDDI (Catálogo de negocios de Internet – Universal, Discovery, and Integration). Ataques clásicos cómo: SQL Injection, XSS, Overflows, DoS Herramientas para encontrar y penetrar WS: DISCO / WS-Inspection WSMap OWASP Top 10 Los WS son poderosos, fáciles de usar y son vulnerables Se requiere mucho trabajo con respecto a la seguridad de WS: Implementación de mejores practicas y estándares de desarrollo

1. Seg. Aplicaciones – Owning Anti-Virus AV son ampliamente populares debido a la proteccción que ellos ofrecen. Un usuario sabe que debe tener un antivirus. Será que en lugar de protegernos de los atacantes, el software de antivirus les estará ayudando a que la tarea sea más fácil? Usando técnicas de auditoria binaria han descubierto vulnerabilidades en los software de AV. Cuando no tenemos acceso al código fuente, podemos hacer pruebas de caja negra y ver que sucede o mirar que hay por debajo usando técnicas de auditoria binaria. El software de seguridad no es inmune a los ataques. Los AV son seguros, pero no perfectos.

1. Seg. Aplicaciones – Owning Anti-Virus Las implicaciones que tiene encontrar vulnerabilidades en el software de antivirus, es algo que motiva a los atacantes. El hecho es que el software de seguridad está en la mira de los atacantes.

1. Seg. Aplicaciones – Raising The Bar For Rootkit Detection - Shadow Walker Los Rootkits son un conjunto de herramientas que ocultan la realización de todo tipo de acción maliciosa, proveen una puerta trasera de entrada, recogen información de los sistemas que están en la red. Demostración de como ocultar un Rootkit en la memoria con un mínimo impacto en el desempeño de la misma.

1. Seg. Aplicaciones – Phishing with Super Bait Modelos actuales de la Seguridad en la Web SSL – No hace que un sitio sea seguro Seguridad a nivel del navegador Política del mismo origen: Previene que documentos o Scripts cargados desde un origen realicen un Get o Set de las propiedades de un documento de un origen diferente. httpOnly: Este atributo especifica que a un Cookie no se puede tener acceso a traves de un script. Se elimina la posibilidad que información sensible contenida en un Cookie pueda ser enviada al computador o al Web Site del atacante usando scripts. Set-Cookie: cookie=data; path:/; domain=123.com; httpOnly Secure: El Cookie viajara solo bajo conexiones SSL. Set-Cookie: cookie=data; path:/; domain=123.com; secure

1. Seg. Aplicaciones – Phishing with Super Bait Modelos actuales de la Seguridad en la Web Factor de doble autenticación: Provee un nivel de confianza más alto, que las contraseñas individuales, ya que requiere algo que el usuario sabe (contraseña), y algo que el usuario tiene (Token o Smart Card). El factor de doble autenticación, no es nuestra salvación. No nos va defender del Phishing, no va a prevenir el robo de identidad, no va a asegurar las cuentas en linea de transacciones fraudulentas. Este soluciona problemas de seguridad que teníamos hace 10 años, no los problemas de seguridad que tenemos hoy. Bruce Schneier Blog.

1. Seg. Aplicaciones – Phishing with Super Bait Phishing: Este tipo de ataque usa la ingeniería social y técnicas de estafa para robar la identidad o las credenciales de las cuentas bancarias de las personas. Utilizan correos falsos, que inducen al usuario a ingresar a sitios falsos, para que ingresen sus números de tarjetas de crédito, nombres de usuarios y contraseñas. Cross-Site Scripting (XSS): Es un tipo de ataque, en donde la información de un contexto, no confiable, puede ser insertada en otro contexto. Puede ser usado para: Robar los Cookies y tomar control de las sesiones Ejecutar una funcionalidad no planeada en el sitio Web Hostigar al usuario con código malicioso Alterar una parte de la página Web DoS de un sitio Web Violar la politica del mismo origen Sirve de soporte para los ataques de Phishing

1. Seg. Aplicaciones – Phishing with Super Bait Ataques híbridos de XSS-Phishing: Redireccionamiento disfrazado: Un atacante envía un al usuario con un link construido manualmente. El link tiene el nombre del Host del dominio del sitio Web de la victima, para que parezca legítimo y una URL dentro de el. Es simple y efectivo. Modificación de una parte de la página: Se puede cambiar solo un aspecto de la página. Herramienta avanzada de ataque de XSS

2. Capa Cero La seguridad de las personas y los objetos, requieren de diferentes tecnologías y estrategias. Esta sección se enfocó más en los aspectos físicos de nuestras redes y ambientes. Seguridad física, sistemas de control de acceso. ¿Qué tan difícil es llegar al sitio en donde están almacenados los copias de respaldo? Debilidades y fortalezas de los sistemas biométricos (Huellas dactilares y reconocimiento facial). Invertimos mucho tiempo pensando acerca de la seguridad de la red y de las aplicaciones, este fue un espacio para tener en cuenta los aspectos físicos de la seguridad de la información.

2. Capa Cero Presentaciones The Social Engineering Engagement Methodology Plug and Root, the USB Key to the Kingdom The Non-Crytographic Ways of Losing Information Can You Really Trust Hardware? Long Range RFID (Radio Frecuency Identification) and its Security Implications

2. Capa Cero - The Social Engineering Engagement Methodology Presentación de una metodología que nos ayuda a cuidarnos de este tipo de ataques. Esta basada en IA-CMM (Infosec Assurance – Capability Maturity Mode). Es CMM aplicado a la seguridad de la información. Modelo desarrollado por NSA y la industria

2. Capa Cero - Plug and Root, the USB Key to the Kingdom Vulnerabilidades en los Drivers para Windows de los dispositivos USB, pueden permitir a un atacante tomar control de una estación de trabajo, así esta se encuentre bloqueada. Esto se puede lograr realizando una programación específica sobre los dispositivos USB. La vulnerabilidad de Buffer Overflow hace que se vulnere la seguridad de Windows y se obtenga acceso con privilegios de administrador sobre la máquina. El Buffer Overflow está en los Drivers del dispositivo que Windows (XP o 2000) carga cuando este es conectado en un computador. Los Drivers de los USB son escritos con una muy poca validación de datos y sin tener en cuenta muchos aspectos de seguridad. Estos están enfocados en el tema de la [velocidad].

2. Capa Cero - Plug and Root, the USB Key to the Kingdom Otra vulnerabilidad, tiene que ver con un dispositivo USB debidamente programado, para que copie los archivos recientemente utilizados, cuando este sea insertado en un PC con Windows. Este tipo de ataques requieren un acceso físico a los sistemas. Se puede obtener a través de las personas que hacen el aseo, contratistas o visitantes. Mecanismos de defensa:

2. Capa Cero - Plug and Root, the USB Key to the Kingdom Safend, es una solución de software, que nos permite bloquear y asignar políticas de seguridad sobre los periféricos en sistemas Windows.

2. Capa Cero - The Non-Crytographic Ways of Losing Information Presentación realizada por un integrante de la Agencia de Seguridad Nacional (NSA). Desde los días gloriosos del Criptoanálisis durante las Segunda Guerra Mundial, el arte de proteger y robar la información ha cambiado drasticamente. Historias sobre la máquina Enigma. Para entender como proteger la información crítica en el mundo de hoy, es necesario entender las técnicas que usan los espías modernos. Demostración de casos de robo de información a través de: robo, compra, chantaje, soborno, Espiando detrás de las puertas, etc.

2. Capa Cero - Can You Really Trust Hardware? Explorando los problemas de seguridad en los dispositivos de hardware No son cajas negras. Si esto es hardware, debe ser seguro. Explora problemas clásicos de seguridad de los productos de hardware, por ejemplo: Intercepción: Obtener acceso a información protegida, sin abrir el producto. Interrupción: Hacer que el producto no funcione correctamente. Modificación: Cambios físicos a los productos. Falsificación.

2. Capa Cero - Can You Really Trust Hardware? Ataques contra: Sistemas de control de acceso: Biométricos: Son considerados más seguros que los sistemas que utilizan contraseñas, pero las características físicas son difíciles de mantener en secreto. Por ejemplo: Huellas dactilares dejadas en los teclados, la voz puede ser grabada, fotografías de sus rasgos físicos. Tokens de autenticación: Información sobre ataques y como prevenirlos:

2. Capa Cero - Can You Really Trust Hardware? Ataques contra: Sistemas de control de acceso: RFID (Radio Frecuency Identification): Sistemas que utilizan ondas de radio para identificar personas u objetos. Código de barras inteligente. Han estado disponibles desde hace muchos años, pero hasta ahora se están popularizando. Usos: Seguimiento de inventarios Control de acceso. Identificación automática Sistemas de pago Inmovilización de vehículos

2. Capa Cero - Can You Really Trust Hardware? Ataques contra: Sistemas de control de acceso: RFID (Radio Frecuency Identification): Almacenan un número serial único en un microchip que es pegado a una antena. Estos dos forman Tag. Típicamente un sistema RFID contiene un lector y uno más Tags. No hay seguridad entre las transmisiones de los Tags y lectores. Si se tiene un lector para la familia de Tags que quiero atacar y la frecuencia, nos podemos comunicar con el Tag. Como crear sistemas para leer/escribir Tags RFID: Dispositivos de red: Puntos de acceso Wireless Adaptadores de red/NICs PDAS/Dispositivos móviles

2. Capa Cero - Can You Really Trust Hardware? Problemas comunes en el diseño del hardware: No es considerada la seguridad. Son fáciles de abrir. Muchos productos basados en referencias de diseños públicamente disponibles. Inadecuada protección de la memoria. Seguridad a traves de la oscuridad: Ocultar las cosas no hace que el problema sea solucionado.

3. Políticas ¿Como trata la ley las vulnerabilidades a la seguridad que son descubiertas? ¿Qué legislación deben cumplir las compañías? ¿Cuales son las políticas aceptables con respecto a la presencia corporativa en la Web? ¿Cuál es la responsabilidad social de los participantes en seguridad? Análisis de legislación actual y futura. Tendencias en la administración y la implementación de políticas de seguridad.

3. Políticas Conferencias CISO Q&A with Jeff Moss Legal Aspects of Computer Network Defense Hacking in a Foreign Language Top Ten Security Issues in Computer Security U.S National Security, Individual and Corporate Information Security, and IS Providers

3. Políticas - CISO Q&A with Jeff Moss Sesión de preguntas y respuestas con el fundador del Black Hat y los CISO de algunas compañías. Comentarios sobre el Black Hat and DEFCON. ¿Son las investigaciones en seguridad, una ayuda o un daño para la economía? ¿Qué practicas de privacidad utilizan los CISOs? Algunas conclusiones: Crear conciencia de la seguridad de la información en los usuarios. Cambiar la percepción de que la seguridad de la información es un tema técnico. Involucrar a los usuarios en las evaluaciones de riesgo.

3. Políticas - Legal Aspects of Computer Network Defense Presentación de casos que afectaron el año pasado la seguridad de los computadores y de Internet. Presentación de los fundamentos legales disponibles para que los proveedores de servicio defiendan sus redes.

3. Políticas -Hacking in a Foreign Language Presentación de un plan detallado para cruzar las fronteras internacionales en Cyberespacio.

3. Políticas - Top Ten Security Issues in Computer Security ¿Es legal husmear en las redes Wireless? ¿Cuál es la responsabilidad civil o criminal para aquellos quienes usan redes Wireless abiertas? ¿Cómo la ley patriota cambio el seguimiento y la investigación de los crímenes informáticos? ¿Qué es la ley de abuso y fraude de los computadores, y cómo esta afecta las investigaciones civiles y gubernamentales de los vacíos en la seguridad? ¿Qué aspectos legales hay alrededor de las Honeynet? ¿Es el strike-back legal? ¿Cuándo los logs de los computadores y otros tipos de registros generados digitalmente son admitidos como evidencia?

3. Políticas - Top Ten Security Issues in Computer Security ¿Existe una responsabilidad civil y criminal por mantener los sistemas inseguros? ¿Es legal la ingeniería reversa? ¿Cómo se cuando necesito hablar con un abogado?

3. Políticas - U.S National Security, Individual and Corporate Information Security, and IS Providers Explicación de cómo las políticas de seguridad nacional de los Estados Unidos pueden impactar a los consultores y proveedores de tecnología. Surgimiento de estándares de la potencial responsabilidad legal de los consultores y proveedores de tecnología.

4. Ataques del día cero Presentación de las ultimas técnicas de ataque. Como son encontradas y probadas estas vulnerabilidades. Nuevas vulnerabilidades descubiertas o en desarrollo.

4. Ataques del día cero Conferencias: The Holy Grail: Cisco IOS Shellcode and Remote Execution eEye BootRoot Trust Transience: Post Intrusion SSH Hijacking Remote Windows Kernel Exploitation –Step In To the Ring 0 Beyond EIP

4. Ataques del día cero - The Holy Grail: Cisco IOS Shellcode and Remote Execution Michael Lynn. Demostró que es posible ejecutar código sin restricción en los enrrutadores Cisco. Como lo hizo: A través de Ingeniera Reversa del CISCO IOS. Hasta el momento estos dispositivos se vendían como prácticamente inmunes contra este tipo de vulnerabilidades. Debido a que la gran parte de la infraestructura de Internet descansa sobre este tipo de dispositivos, las consecuencias de un hipotético gusano que aprovechara esta vulnerabilidad serían de gran impacto.

4. Ataques del día cero - The Holy Grail: Cisco IOS Shellcode and Remote Execution Renunció a ISS para poder realizar la presentación de esta vulnerabilidad. CISCO y Black Hat acordaron remover las páginas de la presentación de Michael Lynn del libro de conferencias. Video

4. Ataques del día cero eEye BootRoot: Más Rootkits para Windows. Trust Transience: Post Intrusion SSH Hijacking: Explora las vulnerabilidades relacionadas con las relaciones de confianza entre Hosts y como sacar provecho de ellas. A través de técnicas anti-forenses y SSH Hijacking. Remote Windows Kernel Exploitation –Step In To the Ring 0: Muchas vulnerabilidades del Kernel han sido publicadas, pero aun no ha surgido código que saque provecho de estas. En el futuro se verán más vulnerabilidades a nivel del Kernel. Explicación de cómo vencer los obstáculos que se presentan cuando se está buscando tomar ventaja del anillo 0.

5. Conocimiento en profundidad Presentaciones All new 0 Day Black Ops 2005 Economics, Physics, Psychology and how They Relate to Technical Aspects of Counter Espionage Within Information Security iSCSI Security (Insecure SCSI) Automation – Deus ex Machina or Rube Goldberg Machine?

Conclusiones Antes de implementar controles de seguridad de la información, debemos crear conciencia, explicar el porque, ponerlo en el lenguaje de los usuarios, utilizar ejemplos ilustrativos. Esto para evitar una fricción entre los usuarios y los sistemas de información. Día a día vemos la necesidad de reforzar la seguridad de la información para garantizar su confidencialidad, integridad y disponibilidad. Debemos mantenernos al día con respectos a las últimas vulnerabilidades que aparecen, para poder aplicar los correctivos oportunamente.

Conclusiones Dada la problemática actual con respecto a las vulnerabilidades, es importante que durante la implementación de nuevas soluciones informáticas, así como de las ya existentes, debe ser considerada la seguridad de la información. No a la seguridad a través de la oscuridad. Debemos tener en cuanta las herramientas de seguridad también son vulnerables a posibles ataques. Las nuevas vulnerabilidades que son descubiertas, deben ser asumidas como un mecanismo pro-activo de defensa, y no cómo una amenaza para los proveedores de tecnología.

Referencias archives.html#USA-2005

Gracias