Um Overview Sobre a EkoParty 2011

Como é de costume aos vencedores do THC (Tempest Hacking Challenge) fazer um overview crítico sobre a conferência e as palestras apresentadas, venho através desse blog post descrever, a vocês leitores, minhas impressões sobre a EkoParty 2011, como também sobre algumas palestras que assisti durante o evento.

A EkoParty em si é de longe um dos eventos mais legais que já tive a oportunidade de ir. No geral foi um evento muito bem organizado e bastante diversificado com várias atividades acontecendo simultaneamente, tais como: Feira de Exposição, o capture the flag, as palestras, desafios na feira, etc. Outra coisa legal da EkoParty é o ambiente da conferencia que é bem despojado e atraente ao público. Enfim, a EkoParty é uma conferencia que recomendo bastante, e se você tiver a oportunidade de ir, vá! Garanto que você não irá se arrepender! Então, sem mais delongas, seguem minhas impressões sobre algumas palestras que assisti:

Exprimiendo la web: obteniendo datos de a gotas para ownear a cualquier argentino (César Cerrudo from IOActive Labs)

A palestra de César foi bem interessante, o objetivo dele foi demonstrar como é possível a qualquer pessoa que esteja conectada a internet obter informações privilegiadas e dados sigilosos de qualquer argentino. Para realizar essa tarefa ele demonstrou a exploração de vários serviços de recuperação de senha pertencente a diversos serviços de empresas argentinas. Como por exemplo: visa, mastercard, bancos, receita, aerolineas argentina, redes sociais, "Detran" argentino, intranets, etc...

Durante a palestra, César deu um overview sobre como realizar ataques de intelligent guessing, e demonstrou o resultado de diversos ataques a esses sistemas argentinos, ilustrando como praticá-los e usando como exemplo uma pessoa famosa da argentina, onde não foi citado o nome.

No geral essa palestra surpreendeu pela simplicidade como o tema foi exposto e pelos resultados obtidos, onde foi possível descobrir praticamente tudo sobre a "pessoa famosa da argentina" que estava sendo "hackeada" em um curto espaço de tempo...

Setting The Evil Bit: Malicious Traffic Hiding In Plain Sight (Alex Kirk from Sourcefire)

A palestra de Alex foi a mesma que ele apresentou na conferência brasileira You Sh0t the Sheriff 2011. De forma generalizada, o objetivo da palestra era demonstrar como detectar alguns malwares que utilizam o cabeçalho (Header) HTTP para transmitir informações e como criar regras de detecção no SNORT para esse tipo de comunicação.

Durante a palestra, Alex demonstrou vários exemplos de comunicação de malwares que utilizam o Header do protocolo HTTP para enviar e receber comandos, e além disso deu exemplos práticos de regras criadas por ele para detectar alguma ameaça similar utilizando o SNORT.

No geral foi uma palestra legal, mas eu senti falta de um exemplo prático que ilustrasse o trabalho do pesquisador na prática. Como foi apresentado, deu a ideia de que é uma pesquisa totalmente teórica, apesar dele mencionar uma aplicação prática da pesquisa criada por Rodrigo "SpoOker" Montoro que, segundo Alex é baseado nas regras criadas por ele.

The Benefits of Making a Good Impression (Deviant Ollam from TOOOL)

Essa é de longe uma das palestras mais divertidas do evento. Deviant Ollam é um cara bem humorado e passou a mensagem de sua palestra de forma bem descontraída, juntamente com um colega de trabalho. Durante sua palestra, Deviant falou sobre uma técnica de lockpicking conhecida como Key Impressioning, que utiliza somente uma chave "virgem" e um limador para construir uma nova chave para uma determinada fechadura.

Resumidamente a técnica consiste em forçar levemente a chave "virgem" na entrada da fechadura com o objetivo de que os pinos de trava deixem marcas de sua posição na chave, então, com a ajuda de um limador ir esculpindo uma nova chave baseando-se nas marcas deixadas pelos pinos a cada "forçada" da chave na fechadura que deseja-se abrir.

Além disso, Deviant comentou que um dos membros de sua equipe foi campeão de um desafio importante de lockpicking (infelizmente não recordo o nome do evento) utilizando a técnica de Key Impressioning apresentada.

Por fim, ele fez uma demonstração ao vivo de como replicar a técnica descrita, e então diante de toda plateia em poucos minutos esculpiu uma nova chave para uma fechadura que ele havia levado para apresentação sendo bastante aplaudido pelos presentes no auditódio.

Virtual Cash, Show Me The Money: Debugging Facebook Flash Games and Getting Some Real Bucks (Marcos Nieto - Independent Researcher)

A palestra de Marcos chamou bastante atenção pelo titulo. A sua apresentação teve o objetivo de demonstrar como ganhar "dinheiro de verdade" utilizando algumas vulnerabilidades existentes em jogos online do Facebook.

Durante a sua palestra ele explicou algumas técnicas que podem ser usadas pra "debugar" aplicações flash. Uma das formas de análise explicadas por ele consistia em verificar as requisições realizadas pela aplicação, para realizar essa tarefa ele utilizou uma ferramenta de proxy chamada Charles Proxy (eu pessoalmente prefiro o Burp, mas isso não vem ao caso :-P) para interceptar as requisições que eram realizadas do objeto flash (jogo) para o servidor. Durante a demonstração prática da palestra ele explorou um daqueles jogos de "fazendinha" do facebook, onde utilizando o charles proxy ele interceptou e alterou o tempo de espera da colheita para poucos minutos podendo ter acesso quase que imediato a todos os ganhos da colheita sem a necessidade de esperar por isso.

Quanto a parte de ganhar dinheiro de verdade com essa técnica, está no fato de que ele passou a vender os itens que ele ganhava no jogo para pessoas que precisavam dos items porem não tinham tempo/know how/paciência para adquiri-los.

No geral foi uma palestra bem interessante pois demonstrou para o público como ganhar dinheiro explorando uma simples vulnerabilidade de um jogo de facebook ou qualquer outro jogo que possa ser atacado dessa maneira e que tenha um público relativamente grande para pagar por items desse jogo.

Bosses love Excel, Hackers too. (Chema Alonso from informatica64)

A palestra de Chema Alonso (um dos criadores do software FOCA) também foi uma das palestras que mais curti na conferencia, ele falou sobre o software Citrix Metaframe e como "bypassar" suas proteções e "jaulas" e através da exploração dessa ferramenta obter controle total da máquina.

A apresentação em si foi quase um hands-on com muitos exemplos práticos "on the wild" onde ele demonstrou como "bypassar" a proteção de diversos Citrix Metaframe até chegar nos que permitem acesso somente ao Microsoft Excel. Nesse ponto deu-se início o tema de sua palestra onde ele utilizou a funcionalidade de execução de Macros do Excel para escrever o código de um pequeno "painel de controle" que possui várias funcionalidades como por exemplo: executar processos, editar registros, criar usuários na maquina, chamar o cmd.exe, etc...

Após isso ele demonstrou como "bypassar" algumas proteções pra execução de Macros através do Excel e já no finalzinho aconteceu um pequeno contratempo na sua apresentação onde a demonstração de como utilizar certificados falsos não deu muito certo. Fora isso a palestra de Chema Alonso além de ter sido muito bem humorada foi tecnicamente muito boa.

BEAST: Surprising crypto attack against HTTPS (Juliano Rizzo and Thái Duong - Independent Researchers)

Essa palestra foi de fato a mais comentada, mais aguardada e após ter sido apresentada deu uma certa sacudida na cena de segurança mundial. Juliano Rizzo e Thái Duong falaram sobre um ataque que eles haviam descoberto contra o protocolo SSL/TLS onde é possível descriptografar o conteúdo do protocolo HTTPS que por ventura utilize algum algoritmo de cifra de bloco com modo de operação CBC.

A ideia geral do ataque consiste em inserir um agente no browser da vítima (Objeto XMLHttpRequest, um applet java, um objeto silver light, etc...) que irá submeter diversas requisições para o servidor. Então, com a ajuda de um sniffer de rede capturar todas as respostas em busca de "colisões" em alguns blocos específicos do cifro-texto com o objetivo de descobrir caractere por caractere o conteúdo da requisição HTTPS.

Para demonstrar o ataque, Thái Duong (que participou da palestra através de uma vídeo conferência) utilizou como exemplo o site do PayPal, onde ele autenticou-se em uma conta qualquer e executou uma ferramenta chamada de BEAST juntamente com um applet no navegador do usuário. Após iniciar o ataque, poucos segundos depois todo o conteúdo do cookie havia sido descriptografado pelo BEAST. Após isso, com o auxilio de outro navegador, Thái realizou um ataque de sequestro de sessão utilizando o valor do cookie e ganhando acesso a conta em questão. Nesse momento, todo o auditório ovacionou o trabalho dos dois que de fato foi impressionante!

Após o término da palestra Juliano Rizzo gravou o conteúdo do paper sobre o BEAST juntamente com uma prova de conceito em java e jogou para plateia (assim como na EkoParty 2010 quando eles apresentaram o POET).

Na minha opinião, a palestra de Juliano Rizzo e Thái Duong foi, de fato, a palestra de maior impacto técnico que foi apresentada na conferencia. Por fim, foi muito legal poder ter visto ao vivo o hacking no protocolo HTTPS.

PS: Se você ficou curioso ou preocupado de como evitar esse ataque em algum serviço que você tenha, leia o artigo que kiko escreveu em seu blog falando justamente sobre isso.

Parte anterior

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.