jueves, 13 de marzo de 2008

La primer Black Hat del año...

Ya se encuentran publicadas las presentaciones de la Black Hat DC. Muchos temas interesantes, así que voy a hacer un repaso de los que más llamaron mi atención.

La charla de "Cracking GSM", a dado mucho que hablar últimamente. Casualmente es la única charla que posee el video disponible, obviamente para ir preparando todo el show de Las Vegas.

No lo encontré en YouTube o Google Video, así que lo subí a Blogspot:

video

Otra charla muy interesante es la de FX llamada "Developments in Cisco IOS Forensics", de la cual no están publicados los slides pero si el white paper.

Básicamente, FX esta presentando un framework para análisis de los core dumps que genera el IOS. Las ultimas versiones del IOS generan dos archivos de core dump, el memory core y el IO memory core, este ultimo posee información obtenida de una parte de la memoria que es usada para el forwardeo de paquetes.

Estos dos core dumps se generan cuando el router crashea por alguna causa especifica, o también pueden ser generados manualmente, brindándonos la posibilidad de tener un snapshot de la memoria en ese momento.

El framework creado por FX se llama CIR "Cisco Information Retrieval". CIR puede ser utilizado para muchas cosas, pero relacionado al análisis forense podemos usarlo para:

  • Detectar si la imagen del IOS ha sido modificada. El paso siguiente tras haber explotado una vulnerabilidad de un IOS, es subir una versión modificada del mismo, lo que permite tener un acceso mas simple y oculto.
  • Extracción de scripts TCL. Las ultimas versiones del IOS permiten utilizar scripts TCL que pueden ser usados para generar un backdoor. CIR extrae estos scripts para un posterior análisis.
  • Extracción de trafico de red. Dado que el IO memory core posee información del forwardeo de paquetes, CIR puede extraer el trafico de red real que se encuentre guardado en este dump y guardarlo en formato PCAP, lo cual puede ser muy útil para analizar que trafico provoco el crash o si se trataba de un intento de ataque.

Otras charlas interesantes son las de Adam Laurie llamada "RFIDIOTs!!! Hacking RFID Without A Soldering Iron (or a Patent Attorney)", esta la pude ver el año pasado en Las Vegas y estuvo muy buena, primero porque es un tema interesante, y segundo porque Laurie es un gran presentador.

La charla de Neal Krawetz "A Picture's Worth... Digital Image Analysis" también me gusta, es la misma que dio el año pasado en Las Vegas pero con mayor contenido, y trata sobre el valor forense del análisis de imágenes digitales. El año pasado escribí este post: "Una imágen vale más..." sobre esta charla.

Finalmente otra charla que me pareció interesante tras haber visto los slides, es la de Jason Larsen llamada "Breakage", que trata sobre los ataques que se pueden realizar a una red SCADA.

Si bien el tema del peligro que representa un ataque a las redes SCADA ya hace muchos años que se conoce, me da la impresión que recién últimamente esta teniendo mayor relevancia. Tal vez se deba a que esta impulsado por Homeland Security tras el 9/11, y las grandes empresas de seguridad están aprovechando esto por el gran negocio que representa.

No hay dudas de que el peligro es real, pero me da la impresión de que esta mas impulsado por el negocio que por el peligro en si mismo.

Otra cosa, es que todo el mundo habla de las fallas de seguridad y de todo lo que se podría llegar a hacer, pero casi nadie de como corregir todos estos problemas o que posibles soluciones existen. Porque la verdad es que hay MUY poco que se puede hacer, de forma medianamente práctica, para mejorar la seguridad en SCADA. En mi opinión, por el momento, la mejor solución sigue siendo aislar la red SCADA de la LAN y por supuesto de Internet.

No hay comentarios.:

LinkWithin