Blackhat 2013 – Presentación del director de la NSA y charlas sobre ataques integrados y de bajo nivel

La conferencia BlackHat 2013 comenzó con una presentación sorprendentemente detallada del General Keith Alexander sobre los programas de la NSA que se revelaron hace unas semanas. La presentación hasta incluyó capturas de pantalla de lo que parecía ser un GUI de Windows XP que los analistas ven al analizar los metadatos de las llamadas telefónicas.

La charla inaugural de Alexander se puede reducir a algunos puntos esenciales: 1. el programa está construido para identificar las comunicaciones de terroristas en todo el mundo y finalmente las relacionarlas con individuos dentro de los Estados Unidos. En 2012, el programa produjo informes de menos de 500 números de teléfono en los Estados Unidos. 2. los programas de intercepción de comunicaciones están bajo un intenso escrutinio, incluyendo una revisión de cuatro años del senado que resolvió que las actividades del programa y sus responsables no hacían nada malo (una de las cosas que distingue el programa de EE.UU. del de otros países es su estricto régimen de responsabilidad). 3. cada país en el mundo tiene algún tipo de programa de intercepción legal de comunicaciones. Por desgracia, no se dieron muchos detalles técnicos ni se abrió una discusión al respecto. La discusión técnica se centró en torno a la limitación del acceso de los analistas de la NSA a los datos recolectados. Pero el general respondió a preguntas de la audiencia y soportó intensas interrupciones.

Otra charla interesante fue la exploración de la nueva superficie de ataque Blackberry 10 OS de Ralf Weinmann, uno de los dos individuos que explotaron el Blackberry Torch en Pwn2Own 2011. Aunque le impresionaron sus herramientas de construcción, le pareció “rara” la colección de Adobe Air, QT y Python que se ejecutaba además de su nuevo QNX OS. Discutió posibles problemas de elevación de privilegios y QUIP, un supuesto servicio forense escondido en el sistema operativo.
Otras charlas interesantes revisaron ataques de nivel UEFI y BIOS, que demuestran que hay bootkits y rootkits que funcionan en los sistemas Windows 8. Llamó la atención que estos ataques se centraron en implementaciones individuales de vendedores de firmware y administración. Un equipo de Mitre atacó los paquetes del firmware Dell para hacer unas pruebas de concepto llamadas “Flea”, “Tick” y “Flash Hopper”. El código permaneció en el sistema incluso después de varias actualizaciones certificadas del BIOS. Impresionante.

Los chicos de Maltego presentaron una nueva versión de su investigación y herramienta de visualización de datos, agregando características colaborativas como XMPP para conversaciones en tiempo real y sincronización de datos. También exhibieron su integración con varias herramientas de reconocimiento y ataque, llamadas “Teeth” y “Kingfisher”, que aumentan sus capacidades ofensivas de seguridad. Ahora, la herramienta puede escanear e identificar servicios web y por tanto aplicar la fuerza bruta, SQLi y otros ataques web de aplicaciones según el caso.

También vale la pena recalcar que no se ha publicado ninguna vulnerabilidad del día cero este año. Hasta ahora, que yo sepa, todos los investigadores han revelado vulnerabilidades que descubrieron de forma coordinada.