¡Saludos desde Berlín!

Comienza la cuarta y última transmisión desde el Chaos Communications Congress, otro año más (para mi ya el cuarto) he tenido la suerte de poder sumergirme en este micro-cosmos que es el CCC durante 4 días, lo malo es volver al MundoReal de nuevo… pero esto es así, todo lo bueno dura poco :( y habrá que esperar de nuevo otro año para volver, el cual será ya el 25C3, ¿organizarán un congreso algo diferente o especial para celebrar los 25 años?. Espero que si… pero hasta que ese momento llegue, tendremos que conformarnos con el report de esta cuarta jornada.

Abriendo todos los canales, estableciendo conexión…

CONNECTED

Este último día de congreso :( empieza fuerte con la charla “A Spotter’s Guide to AACS Keys” donde se ha tratado con cierta profundidad el sistema de protección de HD-DVD y Blue-Ray temas que ya hemos tratado en profundidad en el podcast.

El ponente ha sido Peter Eckersley de la EFF, el cual ha dado a mi parecer un repaso muy bueno a este endiablado sistema de anti-piratería. Ha dado un ligero repaso a la arquitectura del sistema, para pasar a comentar con cierto detalle de profundidad todo el sistema de gestión de claves, y cómo funciona el sistema de revocación por el cual se pueden anular dispositivos particulares en el caso de detectar que sus claves han sido vulneradas. Esta parte ha estado muy interesante ya que ha explicado como funciona el sistema jerárquico en forma de arbol binario con el que se gestionan las claves, y la relación que existe entre los diferentes sub-grupos de claves, lo cual es la base de todo el sistema de revocaciónd e claves selectiva. A continuación ha comentado los sistemas de watermarking, ya que se aplican diferentes sistemas al audio y al video. El watermarking de video por el momento no se ha roto, y por lo que ha contado es resistente a transcoding e introducción de ruido… una cosa realmente compleja. Ha puesto un ejemplo muy representativo del watermarking de audio, quizás algo extremo, pero interesante ;) suponed que grabáis una fiesta familiar con vuestra cámara de video casera, y en la TV están emitiendo una película, con lo que su audio se incluye en vuestra grabación. Podríais no poder llegar a ver vuestra pelicula casera en ningún reproductor ya que se negaría a reproducirlo si detecta el watermarking del audio y ve que es una copia y no el original. Un poco exagerado, pero estas cosas podrian llegar a pasar. Por ultimo ha comentado la actividad en la escena que lucha contra el AACS, básicamente es un tira y afloja, en donde gente como Slysoft pone en jaque a la AACS-LA continuamente (hemos hecho referencias en el podcast al AnyDVD de Slysoft en alguna ocasión).

Lo que está claro es que hay que luchar contra este tipo de sistemas diábolicos, sobre todo si somos usuarios de sistemas free/open source, ya que somos los que más perdemos con estas cosas, porque nos arrojan directamente a la pirateria al no poder disponer de reproductores abiertos y libres para este tipo de sistemas. No os dejan otra opci´n. ¿Acabaremos teniendo que meter modchips a nuestros reproductores Blu-Ray o HD-DVD?… parece exagerado, pero han apuntado a que puede ser algo no tan extraño dentro de poco… puede que eso no tarde tanto en llegar :(

Lo unico que le he echado en falta a la charla ha sido que no han hablado nada sobre BD+, que quizás sea la siguiente batalla y que como ya comentamos en el podcast es otro enfoque totalmente distinto, ya que está basado en una VM que se encuentra en el player y que ejecuta el código que se distribuye con los discos.

La verdad es que el tema del AACS es tan interesante que quizás merezca la pena planificar un especial sobre AACS para algún podcast futuro dentro de poco, es algo que ya teniamos pensado, un especial de sistemas DRM, y la charla de hoy me anima a que lo hagamos dentro de poco :) dejadnos vuestros comentarios si os interesa que lo preparemos.

A continuación la mejor alternativa era la conferencia sobre clonación de smartcards “Smartcard protocol sniffing”. Los ponentes ya dieron una charla el año pasado sobre este mismo tema, asi que prometia ser interesante, igual que el año pasado. La ponencia ha tratado sobre los procedimientos que han seguido para clonar una smartcard llamada postcard actualmente en uso en Suiza y distribuida por PostFinance. A efectos prácticos es una tarjeta de débito, asociada a una cuenta bancaria, y que sirve para sacar dinero en ATM, hacer compras en tiendas, etc.
Han explicado cómo han realizado la ingeniería inversa de la tarjeta, como han analizado el protocolo entre la tarjeta y el reader, y cómo han realizado la clonación de la tarjeta, realizando una transacción con ella. Además, como dato curioso, han comentado que había 3 bytes de la meemoria de la tarjeta que no lograron identificar, y que al parecer debía ser el que vinculaba la smartcard con al cuenta bancaria, asi que cuando realizaron la transacción con la smartcard clonada (era un clon de su tarjeta legítima) obtuvieron el dinero del ATM, pero la transacción no se registró en su cuenta, por lo que creen que quizás le cogieron el dinero a algún otro usuario del sistema… jejeje :)

Un tema muy interesante, merece la pena echarle un vistazo a su presentación y a los datos que comentan. Ya podría alguien de España haber venido para explicar cómo jugar con las tarjetas de la zona azul de aparcamiento jejeje ;)

Por cierto, si alguien quiere jugar a estas cosas, han comentado que el lector que ellos usan es este.

La siguiente a la que he asistido es ” A collection of random things. Look what I found under the carpet”. En esta charla, el ponente “ha mirado debajo de la alfombra y esto es lo que se ha encontrado” :) básicamente ha comentado varios temas que llevan entre nosotros la pila de años pero a los que no se les ha dedicado demasiada atención, por lo que son vectores de ataque olvidados, en algunos casos resueltos, pero que vuelven a aparecer porque nadie se ha vuelto a acordar de ellos.

En primer lugar se ha comentado la posibilidad de encontrar “race conditions” en el acceso a /dev/[k]mem esto implica que herramientas que acceden a este dispositivo, que mapea la memoria de kernel, para obtener información sobre procesos, conexiones de red, etc. pueden ser susceptibles de “race conditions” ya que el acceso se hace en varios pasos, no de forma atómica, por lo que entre el momento en que se encuentra la estructura de kernel que se desea y se realiza el acceso al dato deseado usando el puntero adecuado puede haber un cambio en la memoria que haga que esta aplicación referencie mediante ese puntero datos nuevos, que no son los datos viejos a los que quería acceder, y en algunos casos casque. Por ejemplo, tenemos un proceso que abre /dev/kmem, y quiere sacar el nombre de cierto proceso, para ello localiza el struct t_proc adecuado, y obtiene el puntero que referencia a argv[0], supongamos que entre estos dos pasos se le lanza una señal de STOP, esa struct desaparece y en esa zona de memoria aparece información distinta, el proceso recibe una señal de CONT, ¿y qué pasa? que referencia cosas que antes no existian. El resultado es impredecible, pero pasa por un SEGV, un core…

A continuación a comentado también algunos problemas que puede dar la llamada al sistema snprintf() y como hay malas implementaciones que pueden dar lugar a escenarios impredecibles, sobre todo cuando mezclamos a unicode en la historia.

Por último ha hablado sobre una idea interesante… ¿qué pasa con los datos OOB (Out Of Band) de TCP?, ¿alguien los usa?, ¿alguien se acuerda de ellos?, ¿y los IDS?. Ha sido interesante, ha repasado como se manejan los OOB tanto para enviarlos como para recibirlos por parte de un proceso. Curioso como el comportamiento ante datos OOB varía de versiones 2.4 a 2.6 del kernel de Linux, por ejemplo, lo cual da lugar a escenarios impredecibles. Unos minutos de reflexión sobre la posibilidad de usar datos OOB como método de comunicación encubierto para un NIDS.

Al final no ha comentado nada sobre ofuscación de TCP, parece que quiere dejarlo para el año que viene, seguramente porque preparen la release de alguna herramienta.

A modo de curiosidad o dato inútil :) el ponente Ilja trabaja con Dan Kaminsky en la empresa IOActive como consultor de seguridad.

La siguiente era sobre un tema de autenticación en sistemas Windows “One Token to Rule Them All. Post-Exploitation Fun in Windows Environments”. Yo de Windows la verdad es que poquito y cuanto más lejos mejor :) así que aquí me he desconectado un poco, lo reconozco O:)

La charla la ha dado Luke Jennings y ha demostrado como vulnerando una maquina que contenga tokens de acceso con privilegios, se puede vulnerar el resto del dominio. La herramienta usada para la demo es incognito, que la ha escrito él y su funcionalidad también está disponible como módulo de Metasploit… La idea que comentaba Jennings es que aunque el objetivo del ataque sea un servidor concreto, pongamos que un servidor de base de datos, atacarlo directamente puede ser complicado ya que puede estar correctamente bastionado y no exponer ningún fallo. Ahora bien, puede ser que también puedan atacarse otras máquinas que estén relacionadas con el objetivo final, y que quizás estén más descuidadas. En el ejemplo que se propone del servidor de BBDD, imagináos que hablamos de la workstation del DBA. Si entramos en la máquina del DBA y desde aquí se pueden escalar privilegios a otras máquinas, se obtendrá el objetivo buscado pero mediante “la puerta de atrás” por decirlo de alguna forma, en vez de entrar por la puerta principal. Precisamente sobre esta idea ha girado su charla, dentro de un entorno de dominio windows. Y sobre esto poco más que añadir por mi parte porque en temas de administración de entornos Windows soy un aprendiz total :) yo soy más de sistemas *IX ya sabéis ;)

Y a continuación otra de videoconsolas :) como feliz usuario de una PSP “customizada” ;) no podía faltar a “Playstation Portable Cracking. How In The End We Got It All!” de la mano de TyRaNiD miembro del Prometheus team (AKA Team C+D) al cual pertenece tambien Dark Alex, autor de los famosos custom firmware.

La charla ha repasado la evolución de la escena pspera desde diciembre del 2004 momento en el que se empezó a comercializar la PSP en Japón hasta hoy dia, 3 años después, y con la PSP completamente 0wn3z.

Ha sido muy interesante ver cómo en únicamente 5 meses consiguieron ya tomar control del firmware 1.0 japonés, y posteriormente como han conseguido el “santo grial” para la PSP que es la batería pandora, la cual para los que no estéis dentro del mundillo PSP no es más que una batería con el número de serie modificado, resulta que si el pre-IPL de la PSP encuenta una bateria con número de serie 0xFFFFFFFF en vez de coger el IPL de la flash lo carga de la MS, por lo que con un IPL custom podemos tener control completo de la PSP en tiempo de arranque y por tanto reflashear sin problemas independientemente de la versión de firmware que traiga la consola y sin depender de exploits en juegos o librerias de terceros y además permite recuperar PSP brickeadas. De ahi que se considere ya el santo grial y el fin de la historia.

Una charla muy interesante… personalmente me quito el sombrero ante toda la gente de la scene PSP y ante gente como Dark Alex quien logra sorprender con cada nueva release de firmware. ¡Magnifico trabajo!

Y para finalizar la tarde me he metido a “Latest trends in Oracle Security” de Alexander Kornbrust, fundador y CEO de la empresa Red-Database-Security GmbH quien tiene a sus espaldas el haber reportado 320 bugs en diferentes productos Oracle, ahí es nada…

La conferencia ha estado interesante, ya que ha hecho un repaso (algo rápido eso sí) de varios bugs aplicables a Oracle, técnicas de PL/SQL Injection, y lo que más me ha llamado la atención, los rootkis para Oracle. La idea es la misma que los rootkits para SO, pero aplicables al gestor de base de datos, es decir, crear usuarios y hacerlos invisibles, crear procesos, comandos, vistas, etc. que puedan ser de utilidad para el atacante pero que pasen inadvertidos para el administrador. Incluso ha comentado que unos argentinos venden un rootkit comercial, con su consola de gestión a la cual se conectan los Oracle “comprometidos” y a través de la cual poder enviar comandos al SGBD. Curioso.

También ha hecho especial incapié al final de la charla a los problemas que podría dar si un atacante hace uso de las funcionalidades de cifrado transparente del SGBD. Sería una especie de ransom-ware pero aplicado a Oracle. Curioso también.

Por cierto, lo que les gusta a los del CCC hacer cosas con los edificios de por aquí. Me imagino que muchos habréis visto los videos de cuando hace ya años jugaban al tetris en el edificio de enfrente controlando las luces de las habitaciones, y por tanto las ventanas hacían de “pixeles”, ¡una chulada oiga! :)

Este año te dejaban “grafitear” el edificio de enfrente con un proyector conectado a un macbook en donde hacías la “pintada” jejeje :)

Y hasta aquí ha dado de sí el CCC de este año, ya que las siguientes dos charlas eran en alemán, y por tanto por mi parte ya daba por finalizado el evento.

Al principio parecía que iba a ser más fojo que otros años, pero en general ha estado muy bien. Este año no ha venido mi ídolo erotico-geek Joanna Rutkowska si bien parece ser que podríamos tener un nuevo ídolo erotico-geek este año con Lucy la ponente de la charla de internals del kernel de MacOSX. No pude asistir a la charla asi que por el momento queda vacante el puesto de mito erótico-geek del CCC de este año, habrá que esperar a poder ver la charla cuando publiquen todos los videos.

Y para terminar, la reflexión del día… :)

Resistance is futile

(if < 1 ohm)

NO CARRIER

Comparte la noticia

Hide Sites