Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios. Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables. La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.

1. Live Free or Die
Hacking
Jaime Peñalba Estébanez @Nighterman
Javier Rodríguez @Javiover

2. Introducción
2

3. Criminalización del hacking
● Reformas en el código penal
● Herramientas y exploits “ilegales“
● Si usas cifrado eres un terrorista
● Problemas tras reportar un fallo
● Mayor repercusión mediática
● Aumento de la ciberdelincuencia
● #fueunhacker

4. Lo estas haciendo mal...

5. Lo estas haciendo mal si...
● Estas revelando o vendiendo secretos
● Estas violando privacidad de los usuarios
● Estas sacando algún beneficio económico
● No sabes lo que estas haciendo

6. Sentido común 0 – Potato 1
● Utilizas tu dirección IP
● Usas la wifi de un sitio publico con cámaras
● Usas el wifi de un comercio y pagas con
tarjeta de crédito
● Utilizas tu cuenta para entrar
● No cifras tus conexiones ni tus datos

7. Requisitos para “curiosear”
● Materia prima (Hookle)
● Anonimato (tor, ashell, proxys, etc...)
● Ocultarse en los sistemas (lsnake)
● Poderes de supervaca

8. Preload Hooking

9. Pivotar
ashell
+
Tostadores
9

10. ¿Dispositivos embebidos?
● Son objetivos fáciles de explotar
● Instalaciones homogéneas
● Muchas veces trabajan sobre RAM
● Dificultad para realizar análisis forense
10

11. Pivotar por videos
● Kernels 2.6.x
● Procesadores ARM, MIPS
● 64/128/256Mb RAM
● Glibc 2.3.90

12. Pivotar por routers
● Kernels 2.4.x y 2.6.x
● Procesadores ARM, MIPSEL, MIPSBE
● 32/48/64Mb RAM
● uClibc 0.9.27
● /var/ == tmpfs

13. Pivotar por routers

14. Pivotar por RSC, SSP, RAC
Sun Fire V20z y V40z System Service Processor
● Linux Kernel 2.4.18
● CPU PPC 64Mhz
● 64Mb RAM
● Glibc 2.2.3

15. Pivotar por estaciones GPS
● Linux RTOS (Montavista)
● Kernels 2.2.x y 2.4.x
● CPU PPC 64Mhz
● 64Mb RAM
● Glibc 2.2.3

16. Pivotar por estaciones GPS

17. Pivotar por estaciones GPS

18. Distribución de Ficheros
● Almacenamiento en RAM
● Upload via PJL (Printer Job Language)
● Download via PJL o HTTP

19. Distribución de Ficheros
Mas de 38.000 Impresoras en todo el mundo
19

20. Requisitos
● Cross Compilers de todos los colores
● Emuladores / Dispositivos para probar
● Paciencia, mucha paciencia...
● Poderes de super vaca
20

21. ashell

22. ashell

23. Ashell: Funcionamiento

24. Rootkit
lsnake
24

25. User Space VS Kernel
● Multiplataforma
● Mayor flexibilidad (standalone, full, netonly)
● Menos cambios que en el API de kernel
● Mayor persistencia tras actualizar el S.O.
● Uso de librerías de user space (OpenSSL)
25

26. User Space VS Kernel
● Mayor exposición a ser descubierto
● Dificultad para encontrar un punto de
inyección en todos los procesos por S.O.
● Hay que comunicar los procesos
● Binarios estáticos
● Mayor “sobrecarga” del sistema
● Dolores de cabeza
26

27. Instalación
● Linux
● /etc/ld.so.preload
● Solaris
● crle -E LD_PRELOAD=/lib/secure/libsn.so
27

28. Funcionalidades de Sistema
● Ocultar procesos
● Ocultar ficheros
● Ocultar conexiones
● Garantizar acceso remoto
● Garantizar privilegios de root (local)
28

29. Funcionalidades de Red
● Conexiones cifradas
● Autenticación X.509
● Shell remota
● Proxy Socks4
● Port Forwarding
● Conexión a través de servicios existentes
(ssh, apache, mysql, etc...)
29

30. Opciones de despliegue
● Completo (Librería)
● Networking (Librería)
● Multiplataforma.
● Se instala sobre un solo servicio
● Shell, Socks4 y Port Forward
● Standalone (Demonio)
● Proceso independiente
● Shell, Socks4 y Port Forward
30

31. Identificar al owner
● GID (grupo de sistema) = XXXX
● Variables de entorno. VARIABLE=PASS
● Remoto: Puerto origen entre XXXX y XXXX
● Remoto: Certificado
31

32. Ocultar procesos / ficheros
stat() __xstat() access()
stat64() __xstat64() chdir()
lstat() __lxstat() closedir()
lstat64() __lxstat64() fopen()
fstat() __fxstat() fopen64()
fstat64() __fxstat64() open()
open64()
readdir()
readdir64()
opendir()
32

33. Ocultar procesos / ficheros
33

34. Ocultar procesos / ficheros

35. Elevación de privilegios
35

36. Elevación de privilegios

37. Acceso remoto

38. Acceso remoto

39. Acceso remoto

40. Ocultar conexiones
● Uso de System V IPC
● Hook socket() y accept()
● Agregamos el inodo a shared memory
● Hook close()
● Eliminamos el inodo de shared memory
● Hook fopen()
● /proc/net/tcp || /proc/net/udp || /proc/net/raw
40

41. Ocultar conexiones
41

42. Autenticación X.509

43. Autenticación X.509
● Verificaciones del certificado de rootkit
Validez del certificado y firma de la CA
Fingerprint SHA1 (Posibles MiTM)
Extensión X.509 V3: SSL Client
● Verificaciones del certificado de “admin”
Validez del certificado y firma de la CA
Common name (CN) correcto
Extensión X.509 V3: SSL Server
43

44. Autenticación X.509

45. sclient: Cliente remoto

46. sclient: socks4 pivoting
46

47. sclient: shell remota

50. “LIVE FREE OR DIE
HACKING”
Grupo Delitos Telemáticos
Unidad Central Operativa
Guardia Civil
RootedCon 2012

51. El Escenario (I)
“Si conoces al enemigo y te conoces a ti mismo,
no tienes por qué temer el resultado de cien batallas.”
Sun tzu, El Arte de la Guerra.

52. El Escenario (II).
• Servidores y otros elementos de red
vulnerados.
• “Troyanización” de infraestructuras
informáticas y elementos de red.
• Saltos que involucran varios países.
• Resumen: Escenario complejo para la
investigación.

53. Perfil del atacante
• Amplios conocimientos en el desarrollo de
rootkits/malware.
• Amplios conocimientos en periféricos y
arquitecturas de red.
• ¿Motivación? (APT, daños, espionaje, etc).
• No es un “niño” del Acunetix.

54. El resultado
• Delito de daños en sistemas informáticos (art. 264).
• Delito de descubrimiento y revelación de secretos
(art 197).
• Perjuicios económicos altos.
• Lucro cesante.
• Resumen = Pena de prisión + responsabilidad civil.

55. Comprendiendo el ataque
• Análisis forense del binario.
– Principio de Locard.
– Análisis estático del binario.
– Análisis dinámico del binario.
• Estudio de los saltos.
– Países/Zonas.
• Judicialización del caso
– Colaboración Interpol / Europol.
– Grupos especializados internacionales (24x7).
– Apoyos de ISPs y empresas especializadas.
– Comisión Rogatoria Internacional / Eurojust.

56. Análisis del binario (estático)
Nivel de debug
Strings
Símbolos
Bibliotecas
Secciones
Etc.

57. Análisis del Binario (II).
• Valorar realizar análisis dinámico.
– Strace, gdb, lsof, etc.
• Estudiar las conexiones entrantes/salientes
– Del binario. (si es posible).
– De la red. (si es posible).
• Recursos por parte del denunciante/agraviado.
– ¿Qué puede aportar en lo técnico?.

58. Conclusiones
• A pesar de la complejidad del escenario, existen
herramientas tanto judiciales como técnicas para el
esclarecimiento del hecho.
• Investigación larga, falsa sensación de impunidad
por parte del atacante.
• Importancia del análisis del binario y conexiones de
red.
• Importancia de la investigación policial clásica.

59. Dirección General
de la Guardia Civil
¡GRACIAS POR VUESTRA
ATENCIÓN!
Grupo Delitos Telemáticos.
Unidad Central Operativa
Guardia Civil
www.gdt.guardiacivil.es

60. Jaime Peñalba Estébanez @Nighterman
Javier Rodríguez @Javiover
Especial agradecimiento al Grupo de Delitos Telemáticos