Crónica desde la Defcon: Día 3 y último

Empezábamos la mañana a una charla/debate sobre la percepción que tiene la sociedad de los hackers, como son vistos de forma radicalmente diferente dependiendo de a quien se le pregunte. Las persecuciones de hackers e informadores como Snowden o Assange ha puesto en el punto de mira de las autoridades a estos investigadores, considerados por ellos mismos y parte de la sociedad como necesarios para mejorar la seguridad del mundo digital. Se nos ha invitado a los asistentes a apoyar esta causa para así permitir que eventos como Defcon se sigan celebrando.

A continuación hemos podido asistir a la charla ofrecida por los investigadores Brian Gorenc y Jasiel Spelman, quienes han analizado las múltiples vulnerabilidades aparecidas en Java en los últimos tres años. Java se ha convertido sin duda en el blanco preferido de muchos atacantes como se ha podido demostrar en los datos mostrados en esta charla, datos que además incluían información obtenida del programa Zero Day Initiative, donde se recompensa económicamente a aquellos investigadores que reporten vulnerabilidades.

defcon12

Tras repasar la arquitectura de Java y de sus subcomponentes hemos comprobado que muchos de los problemas vienen debido a al manejo de los privilegios en la “sandbox” que implementa Java. Además, el proceso de publicación de parches de seguridad sigue resultando demasiado lento (cada tres meses) y esto permite que los atacantes dispongan del tiempo suficiente para sacar partido a sus exploits.

Por si fuera poco, los usuarios tampoco ponen de su parte y el tiempo que  tardan en actualizar sus instalaciones de Java puede fluctuar mucho, llegándose incluso a superar el año en algunos casos, algo que deja expuesto nuestros sistemas demasiado tiempo para que un atacante aproveche este agujero de seguridad. Solo hay que ver los resultados de concursos como el Pwn2Own, donde las vulnerabilidades en Java coparon los cuatro primeros puestos del ranking para darse cuenta del peligro que suponen tener instalada una versión vulnerable de Java.

Ante este panorama, los investigadores han propuesto a Oracle, propietaria de Java, que lance parches de seguridad más frecuentemente, evite la superficie de ataque de su software y mejore la seguridad de su sandbox para que no sea fácilmente esquivable. Tampoco hay que olvidar a los usuarios, quienes han de tomar conciencia del riesgo de seguridad que supone tener instalado una versión obsoleta de este software.

A continuación, el investigador Remy Baumgarten, ha comentado la creciente variedad de amenazas que afectan a sistemas MAC OS e iOS y el riesgo que esto supone tanto para usuarios domésticos como corporativos. Aquellos que quieren analizar binarios Mach-O (formato de ficheros ejecutables en Mac) se encuentran con la dificultad de no disponer de una herramienta que ayude a analizar estos ficheros, algo necesario para identificar rápidamente contenido malicioso.

Por eso, este investigador ha presentado Mach-O Viz, una herramienta interactiva de visualización de datos que ayudará a los investigadores a detectar archivos Mach-O potencialmente peligrosos en una red, estaciones de trabajo o dispositivos móviles de sus usuarios. Esta herramienta cuenta con una interfaz gráfica sencilla y accesible desde una web y permite obtener gran cantidad de información como la actividad que ese fichero sospechoso genera en la red, un visor hexadecimal del código, un desensamblador, etc. Sin duda, una utilidad que será muy apreciada por los analistas de malware en sistemas Mac OS e iOS.

Una de las charlas sobre privacidad que más esperábamos es la que han presentado Drea London y Kyle O’Meara sobre el funcionamiento de ciertas aplicaciones que dicen garantizar la destrucción de los mensajes enviados pasado un tiempo establecido por el usuario. En esta presentación hemos podido observar como la información enviada y recibida por aplicaciones como Snapchat puede ser recuperada siempre que se cumplan una serie de condiciones, algo que debería hacer reflexionar sobre su privacidad a aquellos usuarios que las utilizan.

Tras tomarnos un rápido tentempié hemos acudida a la charla ofrecida por el investigador Amr Thabet donde nos ha presentado un sistema que se encuentra desarrollando y que responde al nombre de Explotation Detection System. Este sistema pretende ser la evolución lógica de los IDS e IPS actuales y entre sus finalidades encontramos alguna tan útil como la detección de ataques que utilicen exploits desde los ordenadores de la propia empresa hacia sus servidores.

defcon14

Este novedoso sistema no tiene como finalidad detectar malware mediante firmas si no que se centra en detectar si se está utilizando un exploit para atacar a nuestro sistema analizando la memoria del mismo. Para ello utiliza varias técnicas como la mitigación cooperativa, una capa adicional de monitorización del sistema, alerta ante comportamientos sospechosos de algunos procesos o un sistema de puntuación para marcar aquellas actividades potencialmente peligrosas.

Según su creador es capaz también de detectar todo tipo de Shellcodes, incluyendo aquellas que se pueden encontrar en el conocido framework Metasploit. Entre las futuras mejoras que ha prometido implementar encontramos la inclusión de un servidor central que se encargaría de recibir alertas y avisos y monitorizar la actividad de posibles exploits en las máquinas cliente.

En la charla sobre análisis forense ofrecida por John Ortiz hemos podido ver cómo un malware puede ocultar información en archivos legítimos del usuario o del propio sistema operativo. Usando la aplicación Footprint hemos visto como se comparan diferentes estados del sistema, anterior y posterior a la infección para averiguar que archivos han sido modificados. Otra herramienta que hemos visto en acción ha sido Writte Bitmap Histogram, la cual permite averiguar si un fichero ha sido alterado por un malware comparando el histograma antes y después de la infección.

Y para cerrar esta sesión de charlas, hemos asistido a la ofrecida por el investigador Alejandro Cáceres que versaba sobre la posibilidad de realizar ataques de forma masiva usando para ello mecanismos de computación distribuida de código abierto. Usando plataformas como Apache Hadoop y un cluster de no necesariamente muchos ordenadores, el investigador ha comentado como se pueden atacar grandes cantidades de sitios web en un corto espacio de tiempo, llegando a comentar un proyecto en el que están trabajando y que pretende revisar la nada despreciable cifra de 250 millones de sitios web con agujeros de seguridad.

defcon15

Para ello han utilizado la herramienta de desarrollo propio Punk Spider, que a su vez está compuesta por varios módulos. Por una parte tenemos Punk Scan, responsable de localizar direcciones web en busca de vulnerabilidades en las mismas. Se trata de una herramienta sencilla y con pocas líneas de código pero que, gracias a la computación distribuida, se convierte en algo realmente potente. En la demostración que nos ha ofrecido ha analizado y registrado 65 dominios web vulnerables en solo 45 segundos, usando para ello únicamente 10 nodos con 10 hilos de proceso cada uno.

Esta técnica permitiría revisar grandes cantidades de direcciones web en busca de vulnerabilidades para realizar ataques a gran escala (p.ej. a países), aunque no es su única utilidad. Usando otro módulo conocido como Punk Crack, se pueden utilizar los sistemas de computación distribuida de Amazon, por ejemplo, para conseguir averiguar contraseñas complejas en poco tiempo. Obviamente, cuantos más recursos económicos destinemos a alquilar servidores, menor será el tiempo necesario para averiguar la contraseña.

Entre las utilidades que una herramienta tan poderosa como esta puede tener, el investigador ha querido destacar su gran utilidad en tareas de pentesting a gran escala utilizando hardware antiguo y prevenir así ataques a gran escala.

Cabe destacar que este investigador ha tenido el mérito añadido de realizar su charla tras ingerir en directo grandes cantidades de alcohol y recibir varios golpes de remo por parte de los voluntarios de la Defcon. Y es que hay una norma no escrita que dice que si eres presentador por primera vez en la Defcon has de beber obligatoriamente durante tu charla. En su caso ha tenido que beber dos veces por haber realizado dos charlas en su primer año y tomar un trago más en solidaridad con otra presentadora. Una costumbre divertida que añade algo más de diversión a estas charlas y que hemos grabado en un video que publicaremos próximamente.

defcon16

Y por nuestra parte eso es todo desde la Defcon. Ha sido un placer participar en un ambiente tan abierto y dispuesto a compartir información como es la Defcon un año más y esperamos volver el año que viene para ofrecer más información interesante. Durante los próximos días y semanas iremos ampliando la información sobre aquellas charlas que nos han parecido más interesantes, complementadas con fotos y videos que hemos tomado a lo largo de estos días.

A nosotros solo nos queda disfrutar de nuestras últimas horas en Las Vegas y prepararnos para el largo viaje de regreso a España que nos espera. Muchas gracias a todos por seguir nuestras crónicas en este blog. Os esperamos en el próximo evento de seguridad que cubramos.

 Josep Albors

 David Sánchez

Hackeo de automóviles al estilo español