Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios.
Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables.
La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.
3. Criminalización del hacking
● Reformas en el código penal
● Herramientas y exploits “ilegales“
● Si usas cifrado eres un terrorista
● Problemas tras reportar un fallo
● Mayor repercusión mediática
● Aumento de la ciberdelincuencia
● #fueunhacker
5. Lo estas haciendo mal si...
● Estas revelando o vendiendo secretos
● Estas violando privacidad de los usuarios
● Estas sacando algún beneficio económico
● No sabes lo que estas haciendo
6. Sentido común 0 – Potato 1
● Utilizas tu dirección IP
● Usas la wifi de un sitio publico con cámaras
● Usas el wifi de un comercio y pagas con
tarjeta de crédito
● Utilizas tu cuenta para entrar
● No cifras tus conexiones ni tus datos
7. Requisitos para “curiosear”
● Materia prima (Hookle)
● Anonimato (tor, ashell, proxys, etc...)
● Ocultarse en los sistemas (lsnake)
● Poderes de supervaca
10. ¿Dispositivos embebidos?
● Son objetivos fáciles de explotar
● Instalaciones homogéneas
● Muchas veces trabajan sobre RAM
● Dificultad para realizar análisis forense
10
20. Requisitos
● Cross Compilers de todos los colores
● Emuladores / Dispositivos para probar
● Paciencia, mucha paciencia...
● Poderes de super vaca
20
25. User Space VS Kernel
● Multiplataforma
● Mayor flexibilidad (standalone, full, netonly)
● Menos cambios que en el API de kernel
● Mayor persistencia tras actualizar el S.O.
● Uso de librerías de user space (OpenSSL)
25
26. User Space VS Kernel
● Mayor exposición a ser descubierto
● Dificultad para encontrar un punto de
inyección en todos los procesos por S.O.
● Hay que comunicar los procesos
● Binarios estáticos
● Mayor “sobrecarga” del sistema
● Dolores de cabeza
26
27. Instalación
● Linux
● /etc/ld.so.preload
● Solaris
● crle -E LD_PRELOAD=/lib/secure/libsn.so
27
28. Funcionalidades de Sistema
● Ocultar procesos
● Ocultar ficheros
● Ocultar conexiones
● Garantizar acceso remoto
● Garantizar privilegios de root (local)
28
29. Funcionalidades de Red
● Conexiones cifradas
● Autenticación X.509
● Shell remota
● Proxy Socks4
● Port Forwarding
● Conexión a través de servicios existentes
(ssh, apache, mysql, etc...)
29
30. Opciones de despliegue
● Completo (Librería)
● Networking (Librería)
● Multiplataforma.
● Se instala sobre un solo servicio
● Shell, Socks4 y Port Forward
● Standalone (Demonio)
● Proceso independiente
● Shell, Socks4 y Port Forward
30
31. Identificar al owner
● GID (grupo de sistema) = XXXX
● Variables de entorno. VARIABLE=PASS
● Remoto: Puerto origen entre XXXX y XXXX
● Remoto: Certificado
31
40. Ocultar conexiones
● Uso de System V IPC
● Hook socket() y accept()
● Agregamos el inodo a shared memory
● Hook close()
● Eliminamos el inodo de shared memory
● Hook fopen()
● /proc/net/tcp || /proc/net/udp || /proc/net/raw
40
43. Autenticación X.509
● Verificaciones del certificado de rootkit
Validez del certificado y firma de la CA
Fingerprint SHA1 (Posibles MiTM)
Extensión X.509 V3: SSL Client
● Verificaciones del certificado de “admin”
Validez del certificado y firma de la CA
Common name (CN) correcto
Extensión X.509 V3: SSL Server
43
50. “LIVE FREE OR DIE
HACKING”
Grupo Delitos Telemáticos
Unidad Central Operativa
Guardia Civil
RootedCon 2012
51. El Escenario (I)
“Si conoces al enemigo y te conoces a ti mismo,
no tienes por qué temer el resultado de cien batallas.”
Sun tzu, El Arte de la Guerra.
52. El Escenario (II).
• Servidores y otros elementos de red
vulnerados.
• “Troyanización” de infraestructuras
informáticas y elementos de red.
• Saltos que involucran varios países.
• Resumen: Escenario complejo para la
investigación.
53. Perfil del atacante
• Amplios conocimientos en el desarrollo de
rootkits/malware.
• Amplios conocimientos en periféricos y
arquitecturas de red.
• ¿Motivación? (APT, daños, espionaje, etc).
• No es un “niño” del Acunetix.
54. El resultado
• Delito de daños en sistemas informáticos (art. 264).
• Delito de descubrimiento y revelación de secretos
(art 197).
• Perjuicios económicos altos.
• Lucro cesante.
• Resumen = Pena de prisión + responsabilidad civil.
55. Comprendiendo el ataque
• Análisis forense del binario.
– Principio de Locard.
– Análisis estático del binario.
– Análisis dinámico del binario.
• Estudio de los saltos.
– Países/Zonas.
• Judicialización del caso
– Colaboración Interpol / Europol.
– Grupos especializados internacionales (24x7).
– Apoyos de ISPs y empresas especializadas.
– Comisión Rogatoria Internacional / Eurojust.
56. Análisis del binario (estático)
Nivel de debug
Strings
Símbolos
Bibliotecas
Secciones
Etc.
57. Análisis del Binario (II).
• Valorar realizar análisis dinámico.
– Strace, gdb, lsof, etc.
• Estudiar las conexiones entrantes/salientes
– Del binario. (si es posible).
– De la red. (si es posible).
• Recursos por parte del denunciante/agraviado.
– ¿Qué puede aportar en lo técnico?.
58. Conclusiones
• A pesar de la complejidad del escenario, existen
herramientas tanto judiciales como técnicas para el
esclarecimiento del hecho.
• Investigación larga, falsa sensación de impunidad
por parte del atacante.
• Importancia del análisis del binario y conexiones de
red.
• Importancia de la investigación policial clásica.
59. Dirección General
de la Guardia Civil
¡GRACIAS POR VUESTRA
ATENCIÓN!
Grupo Delitos Telemáticos.
Unidad Central Operativa
Guardia Civil
www.gdt.guardiacivil.es
60. Jaime Peñalba Estébanez @Nighterman
Javier Rodríguez @Javiover
Especial agradecimiento al Grupo de Delitos Telemáticos