Cybercamp17: Resumen jornada 2

Cybercamp17: Resumen jornada 2

Más ponencias interesantes durante la segunda jornada del #cybercamp17

Hemos comenzado la mañana en el auditorio con Sergio Sáiz, con la ponencia Harry el sucio contra Mr. Robot (casi nada). Tras este llamativo título y una pequeña introducción sobre cómo algunas técnicas no tan protocolarias resultan, en ocasiones, más eficientes que las “académicas”, nos ha ilustrado con varios ejemplos basados, en su mayoría, en la distribución Kali nethunter (o el Kali para dispositivos móviles. ¿Alguien me vende un Nexus de segunda mano barato, por cierto? XD)

En los vídeos se ha visto varios usos de ataques Bad USB,  que aprovecha la vulnerabilidad de cambio de id de dispositivo (HID): soy una llave USB con scripts embebidos, pero para Windows soy un teclado. Ha extraido las credenciales de la sesión en curso de un ordenador que no tenía la sesión bloqueada (así que… bloquea siempre la sesión si te levantas a por café!!). También ha conseguido obtener una consola meterpreter del mismo equipo en un server remoto. Otro ataque muy chulo ha sido un MiTM para obtener tráfico de red. También ha hablado de los USB killers y USB key loggers, justo antes de pasar a demostrar como obtener una sesión ssh inversa en una equipo de una red si colásemos una raspberry en, por ejemplo, una sala de reuniones o un CPD.

-¡Elliot! Alégrame el día.

 

Santiago Hernández Ramos nos ha enseñado el proceso por el cual llegó a desarrollar la herramienta WinReg MiTM en la ponencia WinReg MiTM: Simple Injection and Remote Fileless Payload Execution.

Ha hecho una introducción al protocolo, enseñándonos varias capturas con Wireshark en las que hemos visto los paquetes que se intercambiaban entre cliente y servidor para terminar descubriéndonos un fallo en la renegociación del contexto de seguridad:
Este se efectúa con un nivel de seguridad que no cifra los paquetes (nivel 1) en vez del que debería (nivel 6). Aunque se deben dar ciertas condiciones para que suceda, también se puede forzar el fallo. Finalmente, ha realizado una demo de principio a fin: a capturado el tráfico entre la máquina cliente que abre regedit y conecta con una segunda máquina mediante Arp Spoofing, utilizando el   MiTM framework desde Kali, ha recalculado y manipulado los paquetes que ha querido con  WinReg MiTM (que también fuerza el fallo del protocolo para poder verlos en plano) para insertar un payload en la clave de registro Run de la máquina destino. Al reiniciarla, ya tenía su consola de meterpreter remota conectada al equipo vulnerado. Brutal. Aquí os dejo su twitter: @Santiagohramos

Tú edita el registro en remoto… que yo ya pongo lo que me dé la gana en las claves si eso.

 

En To cloud or not to cloud: automatizando las auditorías de seguridad y el fortalecimiento en los sistemas en la nube, Antonio Fernández y Claudio Chifa nos han hablado de la nube en general, para poder concluir que, ya que en muchos casos perdemos el control de lo que sucede en las plataformas basadas en cloud, al menos podremos utilizar herramientas para saber si se cumple lo que nuestro proveedor nos promete.

Han introducido qué entendemos por cloud y su paradigma; sus ventajas e inconvenientes, sus tipos (IaaS, SaaS, etc)y enumerado diversas plataformas para diferentes modelos.

En varias ocasiones han comentado que Netflix tiene un repo en github con buenas herramientas  para auditar el compliance de sus proveedores, lo que les sugirió la idea de recopilar varias en su Sacassi cp toolkit, un lanzador de herramientas de dichas utilidades de auditoría a proveedores. Un pequeño fallo del directo  ha impedido ver el informe final que obtenemos con dicha herramienta pero, aún así, creo que todos hemos salido complacidos.

Me ha gustado, también, la propuesta de exposición, formulándose preguntas entre ellos que contestaban perfectamente.

Un paseo por las nubes, pero sin Keanu Reeves. XD

 

Wiktor Nykiel nos ha contado en Threat Intelligence algo que resultará muy útil para mi trabajo y el trato con los clientes: qué es lo que entendemos por este concepto y, aquí viene lo que me interesa, fuentes valiosas de información sobre ataques, malware y demás familia.

Tras comentarnos que todo lo expuesto tenía un nivel white en TLP ( Traffic Light Protocol. Perdonad mi ignorancia, pero no tenía ni idea de la existencia de este protocolo de clasificación de información)  ha hablado del ciclo de la información sobre threats, que no difiere de cualquier otro tipo: recoger, analizar, producir e integrar. Ha hecho referencia a APT29, Lo que más me ha gustado es la cantidad de enlaces y referencias a fuentes que, desde hoy, seguro que utilizo. Algunos ejemplos:

y herramientas como Yeti, un proyecto de integración de las diversas fuentes (pintaza).

ThreatINT

 

A continuación, Francisco José Ramírez Vicente a expuesto Anatomía de un malware moderno: Cómo de fácilmente los malos pueden j*** el mundo.

Ha comentado uno de los métodos de propagación de alguna de las últimas amenazas mundiales mediante un archivo .rtf que invoca un .hta camuflado de una supuesta actualización (que le da sigilo) que, finalmente, descarga el payload. Ha seguido con las fases posteriores de escalado de privilegios, perpetuación y espionaje (o explotación del sistema comprometido).
Todo esto para presentar su herramienta Franken, un checker de módulos de malware alojados en github, que comprueba si superan el test de virustotal.com. Esto nos permitiría ensamblar nuestro “monstruo” que se propagara, se perpetuara y espiara.

Para finalizar (y acojonar un poco) ha ejemplificado con un virus que utiliza módulos de IA y ML (este sí que muta, y no el de la gripe…).

 

Ernesto Fernández Provecho ha sido, para mi gusto, excesivamente técnico en Probando UAC en Windows 10. En la ponencia ha realizado una prueba de concepto de un ataque basado en  token impersonation. Todo un pelín rápido. Se ve que controla muchísimo su descubrimiento, pero no ha sido consciente de trasmitirlo a un “humano-medio”  como yo. Tendré que ver el vídeo con detenimiento. 😉

 

¡No he llegado a la primera transparencia!

 

A última hora, por curiosidad personal, me he animado a seguir la exposición las matemáticas en la evolución de la criptografía, campo en el que hago siempre un ejercicio total de abstracción cuando, en mis tiempos de programador de gráficos, bajaba a la arena del álgebra implementando algoritmos.

La encargada de impartir esta charla ha sido la catedrática de la universidad de Oviedo, Consuelo Martínez López. A pesar de ser la última hora y de estar un poco muerto, me ha encantado.

Consuelo ha comenzado con un poquito de historia de la criptografía: Diffie-Hellman, de la solución del problema de intercambio de claves logaritmos discretos, los problemas de la factorización de RSA y los números de Fermat (¿quieres colgar tu PC? Programa este algoritmo y verás qué sorpresita jijiji )Ha hablado de las Funciones hash y de sus colisiones, mentando la paradoja del cumpleaños (¿sabíais que sólo hacen falta 23 personas en una sala para que haya una probabilidad del 50% de que dos de ellas hayan nacido el mismo día ? Me encantan estas pijadillas, jejeje).

También, ha hablado del futuro y de la supervivencia de la criptografía, cosa de lo más interesante: en una época post-cuántica, parece que está matemáticamente probado que, con aumentar la longitud de las claves de algunos algoritmos o utilizando otros “problemas” para su codificación, la criptografía perdurará. ¡Me deja más tranquilo!

Empecé con barrio sésamo y he acabado aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*