Presentaciones de Rooted CON 2011

RootedCon se está consolidando como un referente dentro de los foros de seguridad en TI en España. Orientado casi exclusivamente a profesionales con un alto perfil técnico, su éxito se encuentra alentado en gran medida gracias a la calidad de sus ponentes y las novedades que presentan.

A continuación se ofrece un resumen de las temáticas tratadas y las novedades más reseñables relacionadas con los trabajos de investigación en seguridad presentados:

• Bluelib ha presentado la herramienta OPTOS, utilizada para recabar información (enumerating, fingerprinting). Muy útil a la hora de iniciar un pentesting, realizar minería de datos, etc.. Sin duda será la competencia gratuita de la solución comercial Maltego y que, presumiblemente será publicada por sus creadores el próximo septiembre.
• Los miembros de PainSec han presentado la aplicación Hookle que es capaz de escanear servidores vulnerables. Los resultados nos han presentado unas cifras que asustan, casi quince millones de servidores, de toda índole, con fallos de seguridad. Casos notables, los servidores de una conocida marca que se dedica a comercializar este tipo de dispositivos o de GPS usados por el ejercito de una importante nación para calcular los disparos de mortero.
• Relacionado con el pentesting o la intrusión a sistemas se han realizado varias intervenciones. De las más interesantes, la relacionada con “qué hacer cuando se ha accedido a una máquina”, o la post explotación.
• Se ha presentado un análisis del malware ADRD para Android con el objetivo de conocer como se comporta el sistema infectado y qué técnicas anti-análisis se utilizan en un sistema de ficheros como  que no sea caseSensitive,  el uso de ProGuard (optimiza y ofusca) y buscar fallos en los programas usados para decompilar (como androguard) modificando el bytecode. Esto provoca que esos malware puedan tomar diferentes acciones ante determinados eventos (variación de las coordenadas GSM, cambio de célula GSM, etc). Además se han confirmado los vectores de ataque existentes: SMS, MMS, Fuzzing, etc.
• Ataques “Man In The Middle” en dispositivos móviles en comunicaciones 2G y 3G tanto para voz como para datos, realizando suplantación de redes, interceptación de tráfico y la toma de control de un ordenador conectado a Internet mediante una conexión 3G, han dejado con la boca abierta a la mayor parte de los asistentes. Con un presupuesto que no supera los 3000 euros es posible implementar un sistema completo con torre de comunicaciones para capturar tráfico y suplantar móviles.
• “Virus: por qué el arte de crearlos no debería ser negocio”: en esta charla se han expuesto diferentes técnicas y mecanismos para manejar un botnet y técnicas de ocultación de malware a través de diversos mecanismos: usando la memoria dinámica, cifrando mediante clave criptográfica, etc. También se ha comentado sobre técnicas de mutación ocultación en el sistema, etc. a través de diversas APIs. Todo ello con el objetivo de crear tu propia Botnet, desde el desarrollo del malware hasta la implementación de los mecanismos de control.
• Otra charla que ha causado un gran revuelo ha sido la que mostraba cómo propagar malware a través de servidores DNS caché. Se trata de una técnica que a nivel de red es casi indetectable, distribuible a nivel mundial y la implementación es posible.  En la parte positiva de la investigación se ha mencionado que existen una serie de contramedidas o buenas prácticas a través de los flag como el de autoridad, el TTL (Time To Live), Rate Limit de Google, etc., para evitar este tipo de cosas. Esta técnica también se puede implementar para realizar fugas de información.
• Todo lo relacionado con el formato PDF y la seguridad en el lector más famoso hace que estén presentes en este tipo de foros. En esta ocasión el tema era la Ofuscación de PDFs, con lo que se puede conseguir ocultar una vulnerabilidad en un archivo pdf eliminando ciertos elementos dentro de la estructura del documento.

La gente de Security by Default como siempre ha hecho un excelente reporte (I y II, III, IV) de lo sucedido y dejan las presentaciones en línea para su visualización y descarga.

• Francisco Jesús Gómez y Carlos Juan Diaz - Cloud Malware Distribution: DNS will be your friend
• David López Paz - Global Warfare
• José Miguel Esparza (S21Sec) - Obfuscation and (non-)detection of malicious PDF files
• José Selvi - Unprivileged Network Post-Exploitation
• Antonio Ramos - La asimetría en el mercado de la seguridad
• Alberto García de Dios - Virus, el arte no deberia ser negocio
• Alejandro Ramos - Advanced Password Cracking
• Raúl Siles - Browser Exploitation for fun and profit: Revolutions
• Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defcon 18 CTF
• Sergi (pancake) y Roi (nibble) - radare2: from forensics to bindiffing
• Chema Alonso + Alejandro Martín - DUST
• Alejandro Ramos: Advanced Password Cracking
• Eloi Sanfélix - Hardware security: Side Channel Attacks
• José Ramón Palanco - NoSQL Security
• David Pérez - José Pico - Un ataque práctico contra comunicaciones móviles
• Joxean Koret - Database Security Paradise
• Vins Villaplana - Seguridad en capa de enlace
• Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit
• Hernan Ochoa - WCE Internals
• Marisol Salanova - Seguridad informática y cibersexo
• Rubén Santamarta - SCADA Trojans: Attacking the Grid

Sin duda, acudir a la RootedCon debería ser de obligatoria asistencia para empresas y profesionales TI  conectados al mundo de la seguridad, con el objetivo de conocer las amenazas, técnicas, nuevos mecanismos de protección, tendencias, etc. ya que en muchos casos será posible aplicarlas para investigar la seguridad de los sistemas o para protegerlos.

Fuentes: INTECO-CERT, SbD y La Cofa

Suscríbete a nuestro Boletín