Blackhat USA 2012 – Forzando la tolerancia de intrusos, investigación de vanguardia

La charla principal de BlackHat 2012 que inauguró el acontecimiento, estuvo a cargo de Shawn Henry, exdirector del FBI, que se refirió al escenario sombrío e indecible del ciberespionaje en EE.UU. Resultó interesante que mencionara con insistencia la gravedad de la situación y la necesidad de aplicar lo que aprendió en el FBI sobre la protección de bienes digitales, pero no logró dar un solo ejemplo concreto. A la vez, afirmó que, más que las armas de destrucción masiva, las ciberamenazas son el problema más importante al que se enfrenta esta nación. Esta incapacidad de proporcionar detalles concretos sólo pone en evidencia la dificultad de comprender el problema de las ciberamenazas. Y es el problema del excesivo secretismo sobre los incidentes de vulneración de redes informáticas (CNE, por sus siglas en inglés) y una serie de complicadas medidas, lo que silencia las violaciones a la seguridad informática y evita el intercambio sobre este gran problema.

Si bien algunas partes de su discurso fueron muy interesantes, en particular la creación de una red hostil para los adversarios y llevar la tolerancia de intrusos un nivel más adelante, se le criticó por ser insustancial y hacerse autopublicidad. Todos los tweets, como éste, se manifestaron contra la evidente influencia corporativa de este año.

En los dos días de charlas se exploraron nuevos terrenos. El primer día incluyó la charla “Advanced ARM Exploitation” en la que Stephen Ridley y Stephen Lawler ofrecieron relevantes detalles sobre vulnerabilidades de Android y las peculiaridades para explorar los programas y desarrollar exploits en esta plataforma. Por ejemplo, se necesitan técnicas ROP incluso para aplicar la antigua técnica ret2libc en Android. Se explayaron en el tema de la manipulación de datos en ARM y determinados trucos de ensamblaje, detalles del descubrimiento de pivotes ROP y cómo forzar la inyección de datos en la pila de ARM para lograr el control. La charla incluyó contenidos sobre el curso de varios días “Practical ARM Exploitation” y manual de laboratorio de 80 páginas con más de 650 diapositivas distribuidas en 12 partes.

Otras charlas destacadas fueron las de Chris Valesek y Tarjei Mandt sobre Windows 8 Heap Internals. Desde la perspectiva de la ofensiva en seguridad, hablaron sobre el nuevo modo de usuario de Windows 8 y las protecciones de kernels agrupados que revirtieron y analizaron gracias a una significativa inversión de Microsoft para comprender y discutir antiguas de explotación anteriores.

Ambos presentaron una lista de ocho o diez técnicas de explotación ya conocidas y utilizadas en Windows 7 y versiones anteriores que Microsoft ha implementado en Windows 8 usando nuevas tecnologías de seguridad. Se trata de una impresionante hazaña de Microsoft, y algo con lo que otras marcas como Oracle y Apple han tropezado.

Después fue la presentación de Matt Miller y Ken Johnson de Microsoft, cuyo trabajo previo se publicó en Uninformed y anteriores implementaciones de la tecnología ASLR. Estos dos “defensores” ofrecieron detalles sobre la larga lista de protecciones del equipo Microsoft Security Science que los dos “atacantes” ya habían discutido en el escenario.

El segundo día hubo dos charlas muy fructíferas. Otro año, Mark Vincent Yason y Paul Sabanal de IBM X-Force, presentaron su análisis de la tecnología sandbox de Adobe, esta vez concentrándose en Flash. La charla estuvo muy bien estructurada y fue dinámica; quizás haya sido la mejor charla técnica a la que he asistido. Proporcionaron detalles sobre tres distintas implementaciones de Flash sandbox para los navegadores Firefox y Chrome, y se descubrió que “Pepper Flash” se implementa en el nivel más bajo de autorizaciones y de una serie de rigurosas políticas. Peeper es el plugin API que los equipos de Adobe y Google usan para desarrollar un plugin más seguro que aún no está listo para Chrome.

Al final de la jornada se tuvo la charla de Jonathan Brossard “Hardware Backdooring is Practical” en la que presentó su herramienta, “Rakshasa” sobre el acceso constante al hardware por medio de puertas traseras. Esta herramienta es una especie de collage de varios proyectos de código abierto, como Coreboot, SeaBIOS e iPXE, para minimizar cualquier detección de este software como malicioso, y tener más oportunidades de evadir las soluciones de seguridad. Resultó un material PoC de verdad muy interesante. Pero el backdoor en realidad no accede a ningún hardware por puertas traseras, ya que se trata puramente de software. Otra interesante funcionalidad es su capacidad para desactivar DEP y ASLR, eliminar actualizaciones CPU, y forzar autorizaciones escritas en cada nivel kernel de mapeo de memoria.

La conferencia concluyó con la entrega de los premios Pwnie. Se trató de otra burlona e irreverente revisión de los principales problemas de seguridad que se presentaron el año pasado, con el “arte sobreponiéndose a la utilidad”.