Black Hat Europa 1 day briefings

Como era de esperar una de las conferencias de seguridad más importantes del mundo, la Black Hat, no ha defraudado en su vertiente europea. Un gran escenario, el Palau de Congresos de Catalunya, ha servido de perfecto telón de fondo para albergar a la crème de la crème de los profesionales de la seguridad mundial, es por eso que S2 Grupo no podía faltar. Nada más llegar, un dato aportado por la organización resulta a un servidor sensiblemente preocupante, la distribución de asistentes por países refleja un escaso interés por parte del auditorio español (empresas, entidades públicas, I+D) haci las seguridad y la protección de la información. Con una participación entorno a 500 personas, tan solo 28 españoles constaban como inscritos. Por el contrario colegas de la profesión con un importante número de horas de vuelo a sus espaldas el día anterior, como Estados Unidos, aportaban 58 asistentes. Vietnam, la India, Alemania, Argentina, Francia o Rusia hacían presencia de forma significativa.

El evento fue en su primer día inaugurado por Max Kelly, máximo responsable de seguridad del bien conocido portal social Facebook. Éste introdujo los valores de seguridad que son aplicados en su política y que muchos de nosotros en nuestras organizaciones deberíamos seguir. En primera instancia, según palabras de Max, Facebook persigue mediante su equipo legal a todo aquel atacante o intruso que realice acciones ilícitas contra sus sistemas, mediante la CAN-SPAM (15 USC 7701), Computer Security Fraud And Abuse Act (18 USC 1030) y evidentemente los Facebook’s Rights and Responsabilities. Para dar soporte a acciones técnicas se apoyan en la comunidad mundial de la seguridad White-Hats, analizando los ataques recibidos con el objetivo de conocer a tu enemigo. Por último hubo una frase de su presentación que debe incitar a la reflexión colectiva: Compliance isn’t security. Ahí queda eso.

Como entrantes, Joe Grand, presentador del programa de televisión de Discovery Channel Prototype This, presentó la charla Hardware is the new Software. Mientras los pentesters normalmente suelen dirigir sus acciones contra aplicaciones, servidores de correo o páginas web, el hardware es el gran olvidado. Joe comentó que hoy en día la preocupación por la seguridad a este nivel sigue avanzando en menor medida que la relativa al software, pudiendo comprometer los dispositivos mediante simples tipos de ataques que siguen funcionando desde hace años. Esto es debido a la escasa preparación en materias de seguridad de los diseñadores de hardware. Pero, ¿cómo adentrarse en este mundo? Entre otras, sugirió dos paginas donde fundamentalmente se puede adquirir material para ello, www.adafruit.com y www.makershed.com. Es necesario básicamente: ChipQuickSMD (kit de eliminación limpia de integrados), Picoscope (osciloscopio software), microscopio y un soldador claro.

Una vez se dispone del material, la metodología a emplear es la siguiente:

  • Identificar “el hierro” a auditar: obvio.
  • Recopilación de información: consultar blogs, documentación, paginas web donde puedan darnos alguna pista sobre la estructura del dispositivo, realizar ataques de ingeniería social, basureo, etc.
  • Obtener el producto: eBay a veces ayuda.
  • Destripar el producto: identificar los componentes internos, alimentación, CPU, memoria. En ocasiones es útil estudiar dispositivos de la competencia o versiones antiguas del producto, ya que los diseñadores suelen reutilizar partes del diseño.
  • Identificar los interfaces externos: USB, Bus CAN, Serie… En este punto se puede utilizar un dispositivo llamado Buspirate que permite la tediosa tarea de identificar las comunicaciones de chips desconocidos. Se trata de una interfaz bus universal que permite comunicar el PC con el dispositivo mediante un bus serie.
  • Análisis Silicon Die: con lo que se pretende acceder a la circuitería interna el integrado, mediante la aplicación de sustancias químicas (acetonas, Acido nítrico…), todo ello con el objetivo de acceder a la información de la rom interna.
  • Ingenieria inversa del Firmware: tras “dumpear” a un hex la ROM, Flash o EEPROM, el objetivo es buscar strings, posibles puntos de entrada a la aplicación o menús de administración. Útil el IDA en este punto.
  • Identificar posibles ataques: por ejemplo, supongamos una tarjeta de contacto y un lector. Es posible utilizar un osciloscopio para interceptar la comunicación entre el dispositivo lector y la tarjeta centrándose en la información que va cambiando, mediante sucesivas pruebas. Tras identificar la zona de memoria que se quiere modificar es posible utilizar un PIC para emular una comunicación real.

Por último Joe Grand expuso algunos ejemplos de sistemas comunes hackeados como las máquinas de votación electrónicas, los cajeros automáticos, contadores de la luz () o los parquímetros de Boston.

La semana que viene continuaremos dando más información sobre lo acontecido en la Black Hat. Hasta entonces, disfruten de un buen, largo y provechoso fin de semana.

Comments

  1. ¿¿Y nadie ha parado a pensar en lo absolutamente prohibitivo de los precios?? Ya me hubiese gustado ir, ya, pero hay quien no llega a final de mes.

  2. Cierto, la verdad es que no es precisamente barato para un particular, pero supone my poco dinero para una empresa o entidad pública.

    Gracias por tu aporte pinger.

  3. ¿¿Ya estan los papers en algun sitio??

  4. Tienes las presentaciones en: http://twitter.com/BlackHatEvents

  5. Antonio Villalon says

    Compliance isn’t security… no del todo de acuerdo, ni de lejos… a ver si tengo tiempo para un post donde me explique :)