jueves, septiembre 24, 2009

Jaquers en el SIMO

Este evento no hace referencia a que por el SIMO se pasara ayer nuestro amigo RoMaNSoft a recoger los premios de su CTF de la Ekoparty, ni que estuviera Ramandi allí realizando HOLs guiados y autoguiados con nosotros, ni que Yago, de Securitybydefault, "el amigo de los certificados digitales", estuviera hasta en la sesión de la tarde de Seguridad en Windows 7 con Lain (esta última me faltó a media sesión por ir a ver si le daban regalitos y la he quitado puntos como grupie). No, me refiero a los que nos han robado los libros del stand. ¡Qué arte!

Los métodos que han utilizado han sido diversos e ingeniosos, algunos clásicos, algunos elaborados, otros simples y rápidos. Al final, tras estos dos días las bajas ascienden a 5 ejemplares, pero lo más interesante son las técnicas que ha sido utilizadas:

SBI: eSe Brazo Injection

El vector de ataque se produce cuando varias personas están lo suficientemente cerca de la mesa de los libros, pero han dejado un agujero de seguridad entre ellos para introducir el brazo desde la segunda fila. Sin embargo, tiene la característica de que el libro y la mano quedan expuestos en la mesa durante el tiempo que se está produciendo el ataque. Si alguien tiene una alerta en el log de la mesa puede detectarlo.

BookJacking

La idea es similar al ataque de clickJacking. El ataque se debe realizar aprovechando el uso de capas en la mesa. Para ello se utiliza una de las hojas tamaño folio de la promoción de otras actividades que debe situarse sutilmente sobre el libro. Una vez disimulado lo suficiente se recoge el folio y, descuidadamente el libro debajo. Este ataque también puede ser realizado utilizando un periódico o carpeta que se deja, como descuidadamente mientras se pregunta algo. ¡Ojo! Algunas personas ya se conocen la técnica y ponen un dedito en el libro y queda muy triste decir eso: “¡Uy, no me di cuenta!” Ya que entre un folio y un libro hay un lomo de 1 centímetro de grosor.

FriendNET

La idea es conseguir mover la atención entre varios atacantes, al más puro estilo de una botnet. Para ello varias personas “ojean” el libro y se lo van pasando mientras siguen preguntando a la persona que les atiende. En un descuido, producido por la saturación de threads del que atiende, el que tiene el libro en la mano “ojeándolo” se da el piro con el libro en la mochila o bajo el brazo. ¡Cuidado! Si te dan cuenta la excusa también es muy mala, la que menos mal queda es decir: ”Uy, pensé que era gratis”.

Race Condition

En este caso hay que vigilar desde una distancia prudencial y detectar la carga del sistema adecuada y el objetivo desprotegido. Es importante no haberse acercado a hablar antes para preguntar por el libro, pues si te han dicho que tiene un coste, la cosa queda como muy cutre cuando te pillan.

Elevación de Privilegios

El ataque consiste en intentar conseguir el libro mediante un ataque de credenciales contra las personas que atienden el stand. La idea es convencerles de que se es tan importante como para merecer el libro. Este ataque no debe hacerse a la ligera, puede que se haya aleccionado al personal con un procedimiento especial para clientes “VIP” a los que atenderá directamente root. Si esto es así, te puedes encontrar contra un root bronxtolita con permisos de sysadmin sobre los IPS, que yo los contrato por tamaño.

Spidering

La idea de este ataque es conseguir llegar a algún almacén de libros que se encuentre en una ruta no pública de los libros. Para ello, en lugar de ir a ver los libros en el stand se debe proceder a una visita circular. El objetivo es, como el que no quiere la cosa, recorrerse por fuera todos los rincones del stand observando todas las ubicaciones donde los administradores están almacenando libros. Descubrir la ruta que no está protegida por credenciales y tomar el libro.

No todas han tenido éxito, por supuesto, y lo mejor ha sido contar las anécdotas de los logs. Las excusas en respuesta y las caras han sido geniales. Algunas con vergüenza, algunos han sido de verdad confusiones, y otras han sido de lo más descaradas y sin inmutarse lo más mínimo. Lo que no se esperaban muchos es que un grupo de asalto bronxtolita estuviera configurado con IPS. En fin, eso demuestra que los libros que hemos escrito, de los que ya se han vendido más de 350 ejemplares, están gustando.

Saludos Malignos!

14 comentarios:

  1. Jajaja buenísimo xD Me he reído un montón, sobre todo con el SBI

    ResponderEliminar
  2. Muy bueno, y yo todo el día por allí y no vi nada, aunque la verdad es que no era muy difícil llevarse algo. Pero que conste que yo no he sido.

    ResponderEliminar
  3. Me he reido un rato.

    Sólo una puntualización, en el SBI, si tienes que recurrir a los log ("oye, dónde está el nº libro...?"), ya el jaquer está en el pabellón de al lado :P

    ResponderEliminar
  4. Joder, que ingenio!!!!, y otros optamos por comprarlos directamente.

    ResponderEliminar
  5. Algunos preferimos comprarlos, que ya no estamos pa malabares (y ya puestos ni pa ir al SIMIO) xD

    De todas formas si tu IPS es igual de eficaz que el de este centro comercial no me extraña que os vuelen....

    http://www.youtube.com/watch?v=l8CEzILvtg8

    Saludos nin!

    Wi®

    ResponderEliminar
  6. Jo, a ver si soy el único que compró el libro en el SIMO. Yo intenté (con tu hermano) la técnica de ¿no hay descuento o gratis para colegas? Y como me dijo que no era suyo y que no sabía si podría al final le dije que no se preocupara, que lo pagaba ;-)

    ResponderEliminar
  7. snif snif, he perdido puntos de grupi

    xDDDDDDDD

    ResponderEliminar
  8. Chema Chema Chema, te has dejado uno de los clasicos que todos conocemos, el ataque distribuido, que además lo pusieron en practica... un zombie coje un libro en un stand y se aleja, cuando el firewall detecta la salida del paquete lo detiente. Durante ese tiempo de detección otro paquete salio en la otra dirección aprobechando el 100% del uso de cpu en el intento de bloqueo,

    /ts~

    ResponderEliminar
  9. Queremos una cam grabando, que hoy en día los logs se pueden falsificar fácilmente xDDD

    ResponderEliminar
  10. Precisamente anoche, pasando por el puente romano de Mérida me intentaron sustraer la cartera por el clásico MitM. Ocupado por los procesos andar, respirar y sobre todo mantener una conversación telefónica cuando un tercero se interpuso infiltrando su mano en mi mochila. Gracias que las alertas pertinentes saltaron como corresponde y me giré antes de que la mi cartera se volatilizara en la red de callejones romanos...

    ResponderEliminar
  11. Yo soy uno de los que los ha comprado en el SIMO, ademas los dos. He hecho varios cursos acerca de la LOPD, pero si deciros que el libro me parece genial, tan solo voy por el capitulo 4, aproveche el camino de vuelta, la hora de avion en barajas y la hora de vuelo hasta Alicante, bueno me distraje un poco con el paso de las azafatas, y la vecina de delante jugando a la DS (Menuda pava de 30 años), ya podia haberme tocado al lado y no la que me toco (Me abstengo de hacer comentarios :-D), pero sobre todo me distrajo un ucraniano en la fila de al lado, no paraba de levantarse, el momento cumbre fue cuando abrio el portaequipajes y saco una bolsa de patatas fritas abierta, pense dentro de esa bolsa metalica lleva algo.... :-D
    Aterrizo el avión y se acabo el viaje, que excusa inventare en la empresa para volver a escaparme 3 dias :-(
    Por falta de tiempo no pude asistir a los hand on labs, si que pude hacer algun hand on labs autoguiado. Os lo habeis currado, muchas gracias.

    ResponderEliminar
  12. Soy Raúl, alumno de David C. tuve el privilegio de conocer en persona al autor de Análisis forense en entornos Windows, Juan Garrido Caballero (gracias por firmarme el libro), y, por supuesto, el ejemple me lo llevé comprándolo, me averguenzo de que unos verdaderos profesionales, como son los autores, estén currando como verdaderos esclavos del siglo XXI, dando charlas, escribiendo, estando en stands.... etc.. Animo chicos, como dice Chema, si la gente se los lleva, significará que son buenos. Saludos malignos....

    ResponderEliminar
  13. [Si esto es así, te puedes encontrar contra un root bronxtolita con permisos de sysadmin sobre los IPS, que yo los contrato por tamaño.]

    Jajajajajajaja

    ResponderEliminar