lunes, 19 de abril de 2010

Charla Ethical Hacking 2008 en PUCP

Este video lo teniamos en el web antiguo y por alguna razon, algunas personas lo reclamaron, sera porque les sirve o porque les resultad divertido. Como update, Carlos Renzo (el mayorcito de los 3) ya no trabaja con nosotros, pero, seguimos siendo excelentes amigos.

miércoles, 7 de abril de 2010

Linux Week y MS10_002

Hace unas semanas, me invitaron a dar una charla en la quinta edicion de Linux Week que se realizo en la semana del lunes 15 hasta el viernes 19 de marzo en las instalaciones de la PUCP. Desde aqui quiero felicitar a los organizadores y agradecerles por la invitacion y el buen trato.

El tema que toque en esa oportunidad fue ataques de lado cliente en donde basicamente hablamos sobre las tendencias de los atacantes, se expuso algunos de los "ataques" mas frecuentes que vienen ocurriendo para el robo de credenciales como lo son el Phishing y el Pharming. Lo ultimo, para que los asistentes tengan conciencia de las consecuencias si no se tiene algunos criterios minimos al momento de ingresar a una url no conocida o aceptar un archivo posiblemente malicioso.

Terminamos hablando un poco sobre los relativamente recientes ataques contra Google, la denonimada "Operacion Aurora". Fue en este ultimo punto donde realice una pequeña demo donde explote la vulnerabilidad antes mencionada, una vulnerabilidad de corrupcion de memoria que afecta a Internet Explorer
en sus versiones 6 y 7. Mediante esta, un atacante crea un HTML con un codigo javascript malicioso, que al ser interpretado por un navegador afectado, permitira tomar control total del equipo. Para probar el exploit, use Metasploit.

Una vez explotada la vulnerabilidad, el payload utilizado dependera de la vida del proceso asociado. Esto es debido a que una vez llamada la shellcode, la sesion meterpreter es cargada en el espacio de memoria asignado al proceso explotado, en este caso, iexplorer.exe. Si el navegador se cuelga por el ataque o si la victima simplemente deja de navegar y cierra el Internet Explorer, se libera la memoria, ergo, perdemos la sesion.

Para evitar este escenario, metasploit nos facilita la vida con la funcionalidad de migrar de proceso. Podemos automatizar esto escribiendo un script para que una vez conseguidos los privilegios, creemos un nuevo proceso y migremos a este. Tan solo seteamos el valor AutoRunScript.


Aqui les dejo el script utilizado



Ah, y la presentacion.


Saludos!

MVelazco.

P.D: Tildes omitidas intencionalmente

viernes, 2 de abril de 2010

GPEN versus GCIH : Una pequeña, pero, IMPORTANTE DIFERENCIA

En un medio con el nuestro (Perú) donde las certificaciones en tema de seguridad estan en la etapa 0 (apenas algunos se han certificado y no es exigencia para realizar labores relacionadas), resulta importante hacer siempre precisiones y dado el prestigio del entrenamiento de SANS y las certificaciones de GIAC, es importante comprender algunas diferencias y no dejar que nos den gato por liebre.

En diás pasados se aperturó una lista de correo para un grupo de personas con certificaciones de GIAC o alumnis de SANS respecto a ciertos cursos (relacionados los 3 a penetration testing) y luego se aperturó a los certificados y alumnis de manejo de incidentes.  Esto dió lugar a unas opiniones de los creadores, gestionadores e instructores de estos cursos de las cuales se puede extraer :

"504 is more geared to incident response than penetration testing." -Ed Skoudis
(504 es el código del curso que conduce a la certificación GCIH)

"Thanks for including 504.  I took 504 and then tried my new skills out by
attempting an internal pen test against my environment (with written
permission, of course!) and found I was lacking.  Although I had the tools
and some skills, the 560 class brought it all together for me as far as a
formal procedure of defining a scope and compiling a report.  I think 504
and 560 should be taught together in a two-week SANS Ultra Brain Dump Uber
Course.  They certainly complement each other. "
- Tony K. Reusser
(560 es el código del curso que conduce a la certificación GPEN).