Em primeiro lugar, gostaria de dizer que o termo Capivara não foi criado por mim. Essa alcunha genial é fruto das mentes brilhantes dos nossos camaradas do dclabs Grinch, Crash e Alexos, hábeis observadores da natureza e da semelhança com atitudes de certos usuários.
A pergunta que não quer calar é: Habitariam também as capivaras os ambientes high-tech, ou estariam confinadas apenas aos lugares mais comuns, onde o Office é o exemplo máximo de tecnologia ? Infelizmente, habitam.
Vamos falar de alta tecnologia.
O STUXNET
Essa obra de arte da tecnologia não é mais novidade. O assunto já rola há algum tempo e foi alvo de pelo menos 3 comentários nas palestras do WebSecForum, incluindo a minha.
O Stuxnet é um malware especificamente criado com fins de sabotagem. Ele pode ser desmembrado em algumas dlls e códigos que vão infectar máquinas Windows e controladores PLCs, de maneira bem especifica.
Diferentemente dos PCs, cujo hardware é praticamente padronizado e o SO não varia tanto também (win, Linux, etc), a arquitetura que envolve controladores industriais é bem mais complexa e diferenciada.O caso do Stuxnet envolve código específico para centrifugas ligadas a projetos de energia atômica. Algumas pesquisas mostram que a grande maioria dos usuários do modelo vulnerável ao código do Stuxnet esta no IRÃ. Seria isso mera coincidência ?
Em termos de arquitetura, um grupo de centrifugas está ligado por interfaces de controle a um concentrador, que por sua vez liga-se ao PLC (Programmable Logic Controller). Esse equipamento é quem recebe e roda programas em uma linguagem incomum chamada STL e que, através desses programas, controla as centrifugas. Esse controle envolve parametrizações mais simples e algumas mais criticas, como por exemplo, a velocidade de rotação do motor da centrifuga. Essa velocidade é muito especifica para o processo, não pode ser mais nem menos do que o estabelecido, e é exatamente isso que o Stuxnet faz, ora aumentando, ora diminuindo a velocidade de rotação, sabotando o processo.
Para interfacear com o PLC, mandando os programas para ele, por exemplo, existe um PC rodando Windows e fica conectado ao PLC (na verdade, não precisam estar o tempo todo conectados). Em geral , esses computadores ficam apartados das redes TCP/IP, mas também podem estar ligados a uma (o que não parece ser uma boa pratica). No caso específico do PLC alvo do Stuxnet, da marca Siemens, há um software de controle que é executado nesse PC, o WinCC/Step7.
Em termos de preparação e planejamento, o Stuxnet é o estado da arte. Esqueça mensagens com palavras escritas errado e adolescentes programando em uma mesa suja. Stuxnet foi desenvolvido por equipe grande e com skills bem variados. Ele usa complicados esquemas de injeção de código na memória e aplica rootkits para esconder-se tanto na máquina Windows quanto no PLC. O esquema de infecção é engenhoso, apoiando-se em varias vulnerabilidades, sendo que duas delas eram 0-day na época de seu lançamento. Além disso, busca infectar máquinas Windows com Step7 ligadas a rede TCP/IP ou não. Para as desconectadas usa uma estratégia bastante inteligente: a fim de manter as máquinas atualizadas, em geral os administradores baixam patches para pendrives e as atualizam off-line, plugando o pendrive em cada uma das máquinas que acessam PLCs. O Stuxnet tem um sub-sistema específico para explorar máquinas a partir de arquivos .lnk e com isso infectar máquinas onde pendrives contendo tais arquivos forem usados. Muito engenhoso !
Vale a pena tirar um tempo e estudar mais profundamente a estratégia e os detalhes desse malware. Ele foi citado, inclusive, em uma das minhas previsões da minha palestra no WebSecForum e imagino que vá criar uma nova onda de ataques muito mais complexa e elaborada que as atuais.
Onde estão as Capivaras ???
O Stuxnet ataca por todos os lados. Uma das estratégias de infecção é buscar a máquina que está rodando o banco de dados do WinCC. Ele se conecta ao banco e usa algumas queries, acessa o SO, aciona OLE automation, enfim, faz a festa. Como ele faz isso ? Muito simples. A senha do database está hardcoded dentro do código do WinCC ...
Sem comentários, não ? Ou melhor, comentem !!!
Até o próximo post !
domingo, 22 de maio de 2011
quinta-feira, 19 de maio de 2011
Ysts 5 - Review
Quem foi que disse que não dá para melhorar o que já está excelente ? A turma da organização do YSTS mostrou que dá.
O dia começou com uma palestra genial sobre lockpicking. Foi a primeira vez que assisti uma palestra sobre esse tema. Já tinha visto vários vídeos sobre o assunto, mas ao vivo é mais interessante e o palestrante, Deviant Allan, mandou bem. Acredito que o tema foi muito bem recebido, já que a área que foi disponibilizada para tentar as técnicas estava sempre cheia.
Segunda palestra do evento, nosso camarada brazuca Fábio Assolini trouxe algumas histórias macabras de roubo de identidade no Brasil. Como o Anchises mesmo twittou, deu medo ...
Alex Kirk veio em seguida trazendo o assunto de uso da porta 80 em canais c&c. Eu estava me preparando para a minha palestra e confesso que aproveitei pouco essa. Vou ler melhor os slides quando forem liberados.
Seguindo a minha apresentação, tivemos Gerry Egan mostrando como a ideia de reputação pode ser usada para complementar a proteção pelos antivírus. Almoço, sobremesa, e recomeçam as palestras.
O ano passado já tinha sido ótimo, lugar legal, palestras super interessantes, mas o trio Willian Caprino, Nelson Murilo e Luiz Eduardo conseguiu se superar. O lugar foi ainda melhor, ambiente descontraído, e as palestras estavam super interessantes. Não posso deixar de destacar também o trabalho do staff, sempre disponíveis para ajudar (valeu o help, Rodolfo!).
O dia começou com uma palestra genial sobre lockpicking. Foi a primeira vez que assisti uma palestra sobre esse tema. Já tinha visto vários vídeos sobre o assunto, mas ao vivo é mais interessante e o palestrante, Deviant Allan, mandou bem. Acredito que o tema foi muito bem recebido, já que a área que foi disponibilizada para tentar as técnicas estava sempre cheia.
Segunda palestra do evento, nosso camarada brazuca Fábio Assolini trouxe algumas histórias macabras de roubo de identidade no Brasil. Como o Anchises mesmo twittou, deu medo ...
Alex Kirk veio em seguida trazendo o assunto de uso da porta 80 em canais c&c. Eu estava me preparando para a minha palestra e confesso que aproveitei pouco essa. Vou ler melhor os slides quando forem liberados.
O cheff Tony Rodrigues apresentou em seguida o projeto MUFFIN, uma técnica para se criar toolkits de resposta a incidentes que não tenham as fraquezas ou problemas que encontramos nos toolkits disponíveis atualmente. A apresentação foi muito positiva e varias pessoas já me procuraram querendo trabalhar projeto. Excelente ! Vou dedicar um post especificamente para o projeto e seus detalhes.
Seguindo a minha apresentação, tivemos Gerry Egan mostrando como a ideia de reputação pode ser usada para complementar a proteção pelos antivírus. Almoço, sobremesa, e recomeçam as palestras.
Anderson Ramos falou do histórico do projeto hackers construindo futuros e passou a bola para FerFon falar sobre riscos e como ganhar com eles. A palestra trouxe alguns questionamentos e, como o próprio Fernando comentou comigo, atingiu o objetivo de colocar a turma para pensar em algumas questões. Muito bom.
Michael Smith falou sobre ddos e suas diversas implicações, e foi bacana assistir ao assunto porque ao meu lado estava o Nelson Brito, mestre nesse tema.
Gary Golomb trouxe uma abordagem de forense baseada em rede e falou do Netwitness, um software excelente para esse fim. É tudo e mais um pouco, pena que tem custo altíssimo (há uma versão free, com capacidade reduzida).
A palestra do nosso camarada Zucco veio em seguida, mas eu já estava de partida para o aeroporto e não consegui assisti-la, bem como perdi o hilario Anchises no Infosec Arena. Tenho que vê-las em vídeo assim que ficarem disponíveis.
Fim do resumo, resultados super-positivos e mais um mega evento para a conta desse trio que está de parabéns.
Comentários ? Dê suas impressões sobre o evento !
Até o próximo post !
Fim do resumo, resultados super-positivos e mais um mega evento para a conta desse trio que está de parabéns.
Comentários ? Dê suas impressões sobre o evento !
Até o próximo post !
segunda-feira, 9 de maio de 2011
YSTS 5 e habilidades culinárias
O mais famoso evento etílico-hacker do planeta está chegando. Dia 16 de maio, algum bar bacana de São Paulo estará fechado e cheio de loucos falando sobre InfoSec, invasões, pentesting, forense e assuntos nessa linha.
Meu paper foi aceito e vou lançar no evento um projeto na linha de coleta de dados voláteis para resposta a incidentes.
O projeto MUFFIN surgiu a partir da observação das vantagens e desvantagens dos produtos existentes no mercado com essa finalidade: levantar os dados voláteis e o estado da máquina, coletando informações para analise. O MUFFIN tem lugar garantido nessa etapa e vai atuar exatamente onde os Live CDs e alguns outros deixam a desejar.
Um exemplo ? Quem já nao passou pela irritante situação de ter o antivirus bloqueando um utilitário legitimo de coleta, enquanto o próprio deixou passar o malware ? E quando o alvo da coleta ou triagem estava se protegendo com alguma ferramenta de anti-forense ? MUFFIN se propõe a tratar esses e outros problemas.
A turma também está preparando a Operação Aurora++. Não perca !
Quem for ao evento, dê um alô. É sempre bom falar de Forense e reencontrar amigos.
Até o próximo post !
sábado, 7 de maio de 2011
Websecforum - Review
O Web Security Fórum terminou há alguns dias e eu fiquei devendo alguns comentários aqui no blog.
O primeiro deles é sobre a organização do evento. Gustavo Lima, mistura de nerd de Infosec com Silvio Santos, mostrou que podemos ir longe se juntarmos planejamento, contatos e muita, mas muuuita persistência. O evento foi impecável em todos os sentidos, tanto para quem palestrou quanto para quem assistiu. Lugar excelente, infra adequada, preços acessíveis para estudantes, tratamento VIP para os palestrantes (ele só ficou devendo as virgens havaianas que iriam nos abanar durante todo o evento ... Nada é perfeito ...).
Brincadeiras à parte, Gustavo levou nota 10. Foi excelente. As palestras, idem. Diversas disciplinas foram tratadas, desde Segurança de Informações até Direito Digital, técnicas de pentesting, Forense, tivemos até um vidente maluco ... :O. Sem desmerecer os demais, os mineirinhos do DC LABS e o baianinho maluco que veio em seguida foram sensacionais. Milagres deu show, como sempre. Nelson trouxe uma nova versão do T50 em mais uma super palestra multimídia, Mercês vai tomar conta do projeto e foi apresentado lá. Um ponto a mais! O evento também contou com as palestras da Dra Gisele Truzzi e da Carol Bozza, que além de lindas, fizeram excelentes palestras e calaram a boca dos que contam aquela infame piadinha que Deus pergunta se quer ser bonita ou ser de TI ...
Saindo doe entrando no , fiquei me questionando sobre uma característica que notei durante o evento, tanto nas palestras quanto nos comentários e conversas sobre o assunto no hall. Sobre o projeto de lei de crimes cibernéticos, já esta claro que o assunto é polemico e está se arrastando muito além do que imaginávamos. Alguns são, inclusive, da opinião de que nada vai efetivamente sair, nem mesmo nessa década. É nesse ponto que eu pergunto: afinal, o que precisa ser feito ??? Muitas ideias e criticas foram colocadas sobre o assunto no evento. Ok, mas o que efetivamente pode ser feito para acelerar essa discussão e colocar na cadeia quem usa o mouse como arma ?
Comentários ?
Ate o próximo post !
PS: os vídeos das palestras já estão no youtube.
quinta-feira, 5 de maio de 2011
Depois de mais de um ano resistindo à idéia de usar o Twitter, acabei sendo vencido e criei uma conta. Como meu camarada Nelson T50 Brito disse, não posso deixar de acompanhar algumas pérolas que os amigos escrevem, sejam elas de tecnologia ou mesmo pura insanidade.
Já aviso logo que meus tweets vão variar entre essas duas linhas, então siga-me por sua própria conta e risco ;)
O nome da conta faz menção a um novo projeto que lançarei em breve: @OctaneLabs
Vamos nos ver por lá.
Até o próximo post !
Já aviso logo que meus tweets vão variar entre essas duas linhas, então siga-me por sua própria conta e risco ;)
O nome da conta faz menção a um novo projeto que lançarei em breve: @OctaneLabs
Vamos nos ver por lá.
Até o próximo post !
quinta-feira, 10 de fevereiro de 2011
Web Security Forum
Nos dias 9 e 10 de abril teremos em SP mais um novo evento de Segurança de Informações: O Web Security Forum.
Produzido pelo autor do blog Coruja De TI Gustavo Lima, o evento ocorrerá no Espaço APAS e terá a participação de um time de peso de palestrantes. O foco estará em Cloud Computing, Web Aplication Server, Web Appplication Firewall, Virtualização de Ambientes, Vulnerabilidades, Testes de Intrusão, Computação Forense e Técnicas Hackers
O evento terá uma série de facilidades de locomoção para o local, diversas opções de pagamento e descontos para universitários e estudantes em geral. Teremos também uma infra-estrutura muito bem organizada.
Estarei por lá. Fui convidado para falar no evento e escolhi o tema: Novos Rumos da Computação Forense no Brasil e no Mundo. Vai ser uma espécie de previsões de ano novo tecnológica. Um pouco atrasada, já que estamos rumando para o fim do primeiro trimestre. Não importa, não dizem que aqui o ano só começa depois do Carnaval ?
Então ainda estamos em tempo ! Encontro vocês por lá.
Até o próximo post !
Produzido pelo autor do blog Coruja De TI Gustavo Lima, o evento ocorrerá no Espaço APAS e terá a participação de um time de peso de palestrantes. O foco estará em Cloud Computing, Web Aplication Server, Web Appplication Firewall, Virtualização de Ambientes, Vulnerabilidades, Testes de Intrusão, Computação Forense e Técnicas Hackers
O evento terá uma série de facilidades de locomoção para o local, diversas opções de pagamento e descontos para universitários e estudantes em geral. Teremos também uma infra-estrutura muito bem organizada.
Estarei por lá. Fui convidado para falar no evento e escolhi o tema: Novos Rumos da Computação Forense no Brasil e no Mundo. Vai ser uma espécie de previsões de ano novo tecnológica. Um pouco atrasada, já que estamos rumando para o fim do primeiro trimestre. Não importa, não dizem que aqui o ano só começa depois do Carnaval ?
Então ainda estamos em tempo ! Encontro vocês por lá.
Até o próximo post !
quinta-feira, 3 de fevereiro de 2011
Mais uma para se preocupar
As ações relacionadas à anti-forense estão cada vez mais criativas. Depois de milhares de técnicas diferentes para subverter a investigação, a ThotCon 0x1, primeira conferencia de segurança de informações em Chicago no estilo do nosso YSTS, trouxe uma palestra bem interessante ligada ao assunto.
Greg Ose e Chris Neckar, da Neohapsis, apresentaram Forensic Fail Malware Kombat. Nela, além de algumas técnicas, os autores mostram (e demonstram) como conseguiram executar código arbitrário durante uma perícia.
Eles perceberam que tanto o FTK quanto o Encase possuem uma falha que permite execução de código durante a análise de um malware especialmente montado. Além das óbvias implicações que isso tem, os autores afirmaram que já tinham notificado ambos os fabricantes há pelo menos 3 versões de cada produto (especula-se que a notificação tenha sido anterior à 6.14 do EnCase).
Essa palestra foi há quase um ano e somente agora eu pude ter contato com o material. Gostaria de abrir uma linha de discussão sobre isso. Qual impacto esse problema (ou semelhantes) pode ter para a Computação Forense ? Isso fere a credibilidade dos resultados ? O problema já foi consertado ? O que dizer da postura das duas empresas em relação a demora em corrigir o problema ? Será que as ferramentas forenses também vão virar alvo de ataque ? Você já teve experiências semelhantes em outras ferramentas forenses ?
Comente !
Até o próximo post !
Greg Ose e Chris Neckar, da Neohapsis, apresentaram Forensic Fail Malware Kombat. Nela, além de algumas técnicas, os autores mostram (e demonstram) como conseguiram executar código arbitrário durante uma perícia.
Eles perceberam que tanto o FTK quanto o Encase possuem uma falha que permite execução de código durante a análise de um malware especialmente montado. Além das óbvias implicações que isso tem, os autores afirmaram que já tinham notificado ambos os fabricantes há pelo menos 3 versões de cada produto (especula-se que a notificação tenha sido anterior à 6.14 do EnCase).
Essa palestra foi há quase um ano e somente agora eu pude ter contato com o material. Gostaria de abrir uma linha de discussão sobre isso. Qual impacto esse problema (ou semelhantes) pode ter para a Computação Forense ? Isso fere a credibilidade dos resultados ? O problema já foi consertado ? O que dizer da postura das duas empresas em relação a demora em corrigir o problema ? Será que as ferramentas forenses também vão virar alvo de ataque ? Você já teve experiências semelhantes em outras ferramentas forenses ?
Comente !
Até o próximo post !
Assinar:
Postagens (Atom)