Conferencia 2012 | The Last Com Sec Con
01 PEERING IN THE SOUL OF HACKERS: THE HACKER’S PROFILING PROJECT V2.0 RELOADED
Raoul ‘Nobody’ Chiesa
The Security Brokers
Italia
Imagine poder obtener una vista previa al próximo movimiento de un atacante sobre la base de las huellas digitales dejadas en los equipos infectados. Ese es el objetivo del proyecto de Hacker’s Profiling Project (HPP), una metodología abierta que pretende permitir a los analistas a trabajar en los datos (logs, rootkits, y código) dejado por los intrusos, desde un perspectivo diferente, brindándoles una metodología de perfiles que identifica el tipo de atacante y por lo tanto, su modus operandi y los objetivos potenciales.
Esta charla analiza las raíces de los hackers y la evolución de la llamada ‘hacking underground’, a continuación, se centra en los perfiles de los atacantes que fueron identificados usando los datos del Hacker’s Profiling Project, tales como sus motivaciones, objetivos y metas principales. El presentador luego pasa a hablar sobre el hacking de hoy día y sus motivos incluyendo dinero y crimen organizado, enfocandose en el ‘underground economy’ de hoy, y su model de negocios como ‘input’ para HPP NG, que tiene su enfoque en cibercriminales del siglo 21.
06 BUFFER OVERFLOW FOR FUN AND PR0FIT
Facundo de la Cruz
DC Solutions
Argentina
Introducción a la arquitectura Intel x86/x86_64, registros de CPU, direcciones de memoria (big endian/little endian), rings (userspace/kernel space), funcionamiento del stack y el heap. Regiones de la memoria y tipos de direccionamiento, para luego abarcar una breve introducción a assembly x86 y analizar en mayor profundidad la problemática de buffer overflow específicamente, enfocándolo como un error de programación que puede ser subsanado.
Introducción al debugger GDB para luego hacer demostraciones prácticas atacando binarios vulnerables y desarrollando un exploit en lenguaje Python que permita automatizar la tarea.
Se analizara el desarrollo de una Shellcode y Shellcodes polimorfícas y se utilizarán algunas de ellas que realizar diversas funcionalidades, mas allá de obtener shell en el equipo.
Las demostraciones prácticas serán las siguientes: buffer overflow sin ASLR, buffer overflow con ASLR, buffer overflow utilizando Ret2Ret / Ret2LibC.
Se finaliza analizando los distintos mecanismos de protecciones que incorporan los sistemas operativos actuales a fin de evitar este tipo de ataques, tales como AAAS, ASLR, Cookies, Stack N^X, W^X Stack y protecciones del heap.
02 DORKBOT: CAZANDO ZOMBIS EN LATINOAMERICA
Pablo Ramos
ESET
Argentina
Win32/Dorkbot apareció a inicios del 2011, y en pocos meses la cantidad de detecciones se incrementaron hasta convertirse el código maliciosos con mayor impacto en América Latina. Esta amenaza que utiliza medios de almacenamiento extraíbles y las redes sociales como sus métodos de propagación llegó al primer puesto del ranking de amenazas en solo tres meses. Ngrbot (Nombre adjudicado por su creador, o Win32/Dorkbot, cómo lo reconoce la industria antivirus) es el crimepack más utiliza por los cibercriminales en Latinoamérica y se encuentra ampliamente diseminado por toda la región y se propagó a través de una gran cantidad de medios y canales de distribución.
Una gran cantidad de pequeñas botnets han sido detectadas en Latinoamérica y su función principal se advoca al robo de información, incluyendo credenciales de acceso a las redes sociales, cuentas de correo o de home banking. Mediante la propagación a través de archivos .LNK en dispositivos de almacenamiento extraíble, mensajes personalizados en las redes sociales como Facebook o sitios web infectados, aquellos equipos desprotegidos están siendo convertidos en bots controlados mediante el protocolo IRC.
Presentaremos las principales capacidades y funcionalidades de Win32/Dorkbot y demostraremos su evolución en cada una de sus distintas variantes, desde la propagación mediante el AUTORUN, a su evolución en archivos .LNK incluyendo las técnicas de robo de información. Win32/Dorkbot.B es la variante que más se ha propagado de este gusano. El crimepack completo se filtró en internet y se encuentra disponible para los cibercriminales. A través del seguimiento y análisis de una botnet activa en la región se corroboraron las actividades principales desarrolladas por los cibercriminales.
La investigación resultó en el descubrimiento de una de las botnets más grande de Latinoamérica, cuyo botmaster utilizó una gran cantidad de servidores y sitios web vulnerados para la implementación de ataques de phishing y propagación de sus variantes.
Distintas técnicas de Ingeniería Social fueron utilizadas para propagar las variantes de esta amenaza en sitos como Facebook o través de Windows Live Messenger. Algunas de las temáticas utilizadas incluyeron presidentes, famosos y accidentes a lo largo de todo el continente y el resto del mundo. También cientos de cuentas de correo han sido sustraídas por los cibercriminales.
Finalmente, explicaremos porqué y de qué manera la actividad de Win32/Dorkbot difiere del resto del mundo, incluyendo tendencias que involucran el uso de internet, las redes sociales y la educación de los usuarios. Estas combinaciones son la causa directa de las infecciones masivas detectadas en la región. Las características principales de este gusano, incluyendo el control de la botnet, los comandos y protocolos también serán abarcadas.
07 SAP EN LA ERA DEL CIBERCRIMEN
Jordan Santarsieri
Onapsis
Argentina
Los Global Fortune 1000, las grandes organizaciones no gubernamentales y entidades de defensa tienen algo en común: se basan en plataformas SAP para gestionar sus procesos críticos para el negocio y también los procesos de intercambio de información.
Por lo tanto, estos sistemas son los destinatarios naturales de los ciberdelincuentes que buscan realizar ataques de espionaje, sabotaje o fraude financiero contra las organizaciones beneficiarias.
Pero, ¿es difícil para un cibercriminal entrar en un sistema SAP? Las organizaciones están protegidas contra estas nuevas amenazas introducidas por el cibercrimen?
Únase a nosotros en esta retrospectiva, donde vamos a hablar de lo que hemos aprendido a través de los 5 años de evaluaciones de la seguridad de SAP y comprender cómo los ciberatacantes pueden irrumpir en un sistema SAP, de forma totalmente anónima. Aprenda cuáles son las vulnerabilidades principales que se encuentran en el mundo real de las implementaciones de SAP y lo más importante, cómo puedes protegerte!
Por último, pero no menos importante, una nueva versión de Onapsis Bizploit (el primer suite de seguridad ERP de código abierto) estará disponible después de esta charla, dando a los asistentes la oportunidad de poner en práctica lo que han aprendido de la charla.
03 SATANCLOUD: UN VIAJE POR LOS RIESGOS A LA PRIVACIDAD Y SEGURIDAD DEL CLOUD COMPUTING
Marco ’embyte’ Balduzzi
Trend Micro
Italia
Servicios cloud como EC2 de Amazon y SmartCloud de IBM permiten que usuarios crean y comparten imagenes virtuales (AMIs) con otros usuarios. Además de estas imagenes compartidas por los usuarios, los proveedores cloud también proveen AMIs que vienen configurados con software popular como bases de datos codigo libre y servidores web.
Esta charla explora los riesgos a la privacidad igual que a la seguridad asociado con el uso de AMIs publicos obtenidos de los proveedores cloud. Presentaremos SatanCloud, nuestro sistema automatizado que usamos para analizar y probar mas de 5,000 imagines servidores disponibles a usuarios de Amazon, en cuatro centros de operaciones incluyendo EE.UU., europa y asia. Como resultado de este análisis, descubrimos que los usuarios tanto como los proveedores de AMIs son vulnerables a riesgos de seguridad incluyendo fuga de datos, acceso no autorizado, infecciones por malware, y perdida de datos confidenciales.
08 CYBERWAR PARA TODOS
Cesar Cerrudo
IOActive
Argentina
Casi todos los días aparecen noticias relacionada con Cyberwar, cyber armas, cyber ataques, etc., alguna vez se han preguntado que tan ciertas son estas noticias? Están desarrollando cyber armas algunos países? Quien creó Stuxnet? Es cierto que la infraestructura critica de muchos países se encuentra muy expuesta y muy vulnerable a cyber ataques? Es posible crear un cyber ejercito con poco o nada de presupuesto? Son costosas y difíciles de hacer las cyber armas y los cyber ataques? Se pueden mejorar las defensas contra cyber ataques de un país con pocos recursos? Se encuentran indefensos los países contra cyber ataques?
Esta presentación tratara de hacer reflexionar al público para que elabore sus propias respuestas sobre estos temas tan actuales de los cuales hay mucha desinformación y mitos. Se describirá el escenario actual a nivel mundial en cuanto a amenazas, estrategias y poderío en cyber defensas y ataques. También se mencionaran ideas practicas para mejorar las capacidades ofensivas y defensivas de países con pocos recursos.
11 TROYANOS BANCARIOS EN ANDROID: DE ESPIAS DE SMS A BOTNET ‘MOVILES’
Carlos Castillo
McAfee
Colombia
Uno de los componentes más utilizados en la seguridad en transacciones financieras son los sistemas de autenticación multifactor los cuales están presentes tanto en la realización de transacciones físicas (retiro de dinero en un cajero automático) como en las transacciones electrónicas (uso de contraseña junto con un token o una tarjeta de coordenadas) para asegurar la correcta identificación del usuario. Estos sistemas son el objetivo de familias de troyanos bancarios como Zeus y Spyeye que tienen por objetivo obtener del usuario las credenciales necesarias para realizar la transacción fraudulenta. Debido a la creciente popularidad de los dispositivos móviles en los últimos años, algunas entidades financieras han optado por utilizar contraseñas de un sólo uso (también conocidas como mTAN o Mobile Transaction Authentication Number) las cuales se envían al dispositivo en un mensaje de texto (SMS) con el fin de autorizar una transacción. Este hecho motivó a los delincuentes informáticos a implementar código malicioso para dispositivos móviles que se muestra hacia el usuario como una aplicación de seguridad pero que en realidad obtiene el factor de autenticación faltante para realizar el fraude electrónico.
Esta charla tiene como objetivo mostrar cómo funcionan las familias de troyanos bancarios en Android que existen actualmente, mediante el análisis estático y dinámico de aplicaciones maliciosas, comparando las características más importantes de cada una de ellas (funcionalidad, método de distribución, ingeniería social utilizada para instalar la aplicación, método de envío de la información obtenida, ejecución remota de comandos) con el fin de evidenciar la evolución de esta amenaza de seguridad para usuarios de dispositivos móviles Android y dar una visión de lo que puede ser el fraude electrónico en dispositivos móviles en un futuro cercano.
04 CIBERCRIMEN: DESAFIOS DE LA INVESTIGACION EN LA ‘DEEP WEB’
En la actualidad es común escuchar hablar de la existencia de diferentes formas de poder mantener el anonimato en la Internet, una de las formas de lograrlo es mediante el uso de redes anónimas como las del ‘Proyecto Tor’ https://www.torproject.org/, esto puede ser muy útil para la protección de la privacidad y para la libertad de expresión, pero lamentablemente también es útil para que el cibercriminal pueda permanecer oculto. Dentro de estas redes anónimas se encuentra lo que se conoce como la “Deep Web” la Web profunda, esta “Internet” paralela pone a disposición de quien este dispuesto a accederla un oscuro mundo virtual que da acceso a diferentes tipos de delitos como la pornografía infantil, la venta de drogas, la venta de armas y la venta de información corporativa, si bien esto puede parecer ciencia ficción es parte de una realidad a la cual los investigadores deben enfrentarse a la hora de combatir el ciberdelitos.
La presentación propone a través de contenidos teóricos y prácticos dar a conocer al asistente como es el funcionamiento de esta redes, como el cibercriminal las utiliza y cuales son los desafíos y herramientas con las que se cuenta en la actualidad para combatir esta problemática.
09 CLOUD FORENSICS: IN THE EYE OF THE STORM
Italia
12 EVOLUCION DE ANDROID.FAKEINSTALLER
Fernando Ruiz
McAfee
Chile
Android.FakeInstaller es un malware que envía mensajes de texto a números de tarifa premium, sin el consentimiento del usuario, haciéndose pasar por un instalador de aplicación legitima.
FakeInstaller viene en gran variedad de versiones y esta siendo distribuido por cientos de tiendas de aplicaciones falsas, y día a día hay mas.
Esta presentación es sobre como ha evolucionado esta familia, añadiendo nuevas funcionalidades, polimorfismo del lado del servidor, ofuscación, técnicas de anti-reversing, y recompilando frecuentemente su código para evitar la detección de los antivirus.
05 INSTRUMENTACION DE AOSP PARA LA DETECCION AUTOMATIZADA DE MALWARE EN ANDROID
Kevin Watkins
Appthority
EEUU
En esta charla repasaremos algunas de las técnicas relacionadas con el análisis dinámico de seguridad y privacidad de aplicaciones Android, incluyendo instrumentación del Android Open Source Project (AOSP) para la detección automatizada de malware en Android. El tiempo se gasta en un tutorial de automatización de detección, y también como engañar muestras de malware para que se creen que se están ejecutando en un dispositivo real.
10 PENTESTING EN LA ERA POST-PC
Jaime Andrés Restrepo
DragonJAR
Colombia
Los computadores de escritorio y portátiles día a día se ven mas desplazados por los teléfonos inteligentes y las tablets, marcando el comienzo de lo que algunos denominan la era post pc. En esta charla veremos como la seguridad informática se adapta a esta tendencia y como los pentesters ahora pueden hacer su trabajo sin depender exclusivamente de un monitor y un teclado.
13 EXPLOTACION FACIL DE VULNERABILIDADES EN KERNEL DE WINDOWS
Cesar Cerrudo
IOActive
Argentina
Para algunas vulnerabilidades locales en kernel no hay una forma de explotación general, que funcione en todas las versiones de Windows y que sea confiable. Ha habido interesantes técnicas publicadas pero que en general no son simples y/o la mayoría tampoco funcionan en todas las distintas versiones de Windows.
Esta presentación mostrara técnicas de explotación de vulnerabilidades comunes en kernel, dichas técnicas son simples, confiables y funcionan en todas las versiones de Windows. Estas nuevas técnicas permiten incluso explotar vulnerabilidades que han sido consideradas difíciles o casi imposible de explotar en el pasado.
|
14 CYBERCRIME: AN EXOTIC WALKTHROUGH FROM WARGAMES TO THE UNDERGROUND ECONOMY
|
15 SPEAR-DDOS: ATAQUES MASIVOS A SERVICIOS UTILIZANDO DATOS PERSONALES DE CIUDADANOS
