Black Hat Briefings USA 2005

1
Black Hat Briefings USA 2005

• Ana Jeanet Salamanca
• Septiembre 15 de 2005

2
Contenido

• Conferencias Segundo día
• Seguridad de la aplicaciones
• Forense
• Privacidad
• Defensas de l día cero
• Turbo Talks
• Conclusiones

3
Conferencias Segundo día

• 6 presentaciones por cada uno de los temas

1.Seguridad Aplicaciones
2.Forense
3.Privacidad
4.Defensa día 0
5. Charlas rápidas
4
1. Seg. Aplicaciones - Advanced SQL Injection in
Oracle Databases

• Presentación de nuevas formas para atacar BD
  Oracle.
• Enfocadas en vulnerabilidades de SQL Injection y
  cómo pueden ser explotadas usando nuevas
  técnicas.
• Revisión de vulnerabilidades a través de código
  PL/SQL.
• Buffer Overflows, ataques remotos usando
  aplicaciones Web.
• Recomendaciones contra estos ataques.
• Vulnerabilidades en Oracles
• Demoras en la liberación de parches.
• 40 Han sido corregidas con parches recientes.
• 65 Overflows no han sido aún corregidas
• Más de 20 vulnerabilidades de SQL Injection aún
  no corregidas.

5
1. Seg. Aplicaciones - Advanced SQL Injection in
Oracle Databases

• SQL Injection in Oracle
• Conexión directa a la base de datos (con un
  usuario)
• Ejecución de comandos SQL.
• Sin conexión directa a la base de datos (a través
  de una aplicación Web)
• Ejecución de comandos SQL para generar Buffer
  Overflow.
• Usando bloques de setencias PL/SQL
• Anónimas Por ejemplo EXECUTE IMMEDIATE BEGIN
  INSERT INTO MYTABLE (MYCOL1) VALUES (
  PARAM ) END
• Simples OPEN CUR_CUST FOR select name from
  customers where id p_idtofinf
• Usando el usuario SYS Cambiando la contraseña
  del usuario y guardando la anterior en sitio
  desde donde se puede restaurar después.
• Ejecutando comandos del SO

6
1. Seg. Aplicaciones - Advanced SQL Injection in
Oracle Databases

• Cómo protegernos
• Revocar privilegios de ejecución no necesarios.
  Especialmente para el rol PUBLIC.
• Otorgar privilegios CREATE ANY PROCEDURE, ALTER
  ANY PROCEDURE solamente a usuarios autorizados.
• Otorgar el role RESOURCE solamente a usuarios
  autorizados.
• En lo posibles definir procedimientos almacenados
  con la opción AUDIT_CURRENT_USER.

7
1. Seg. Aplicaciones - Advanced SQL Injection in
Oracle Databases

• Buffer Overflows en procedimientos almacenados
• Le permiten al atacante ejecutar código malicioso
  en el servidor.
• Puede ser utilizado por un usuario normal de la
  base de datos o usando SQL Injection por un
  usuario remoto (Usuario de aplicación Web).
• Usando la vulnerabilidad de Buffer Overflow un
  atacante puede ejecutar un comando de SO para
  crear un usuario administrador
• Net user admin2 /add net localgroup
  administrators admin2 /add net localgroup
  ORA_DBA admin2 /add

8
1. Seg. Aplicaciones - Advanced SQL Injection in
Oracle Databases

• Creando un usuario SYSDBA
• Ejecución de sentencias SQL como SYSDBA a través
  de SqlPlus.
• Para crear el usuario SYSDBA, el atacante debe
  crear el siguiente comando
• echo CREATE USER ERIC IDENTIFY BY MYPSW12 gt
  c\cu.sql echo GRANT DBA TO ERIC gtgt c\cu.sql
  echo ALTER USER ERIC DEFAULT ROLE DBA gtgt
  c\cu.sql echo GRANT SYSDBA TO ERIC WITH
  ADMIN OPTION gtgt c\cu.sql echo with gtgt
  c\cu.sql c\oracle\product\10.1.0\db_1\bin\sqlp
  lus.exe \ as sysdba _at_c\cu.sql
• Cómo detectar un ataque ................

9
1. Seg. Aplicaciones - Advanced SQL Injection in
Oracle Databases

• Cómo detectar un ataque
• Revisión de los archivos dump
• Revisar el archivo ORACLE BASE
  /admin/SID/cdump/SIDCORELOG
• Buscar excepciones ACCES_VIO (0xc0000005).
• Código inyectado puede estar en la pila del
  dump.
• En el archivo asociado udump/SIDoraTHREAD_ID.t
  rc puede estar la sentencia SQL de el atacante.
• Errores internos de Oracle pueden generar dumps

10
2. Seg. Aplicaciones Engañando la encripción
Base de Datos e ingenieria de reversa de los
algoritmos de administración de Oracle

• Presentación de las fallas de encripción de
  packages dbms_crypto. Y dbms_obfuscation_toolkit
• Un hacker puede interceptar las llaves de
  encripción y usarlas para desencriptar
  información crítica de las compañías.
• Por que se encripta la información?
• Conservar la confidencialidad de la información
• Cumplir con regulaciones
• Última línea de defensa
• Backups
• Como se encripta?
• Algoritmos DES, 3DES, AES, RC4, software especial

11
2. Seg. Aplicaciones Engañando la encripción
Base de Datos e ingenieria de reversa de los
algoritmos de administración de Oracle

• Estrategias para administrar las llaves
• Manejadas por el cliente Se almacena en el
  cliente y el DBA no la conocerá
• Guardar las llaves en el file system Se almacena
  en diferentes cuentas y accesadas a través de
  procedimientos externos.
• Guardarlas en las bases de datos
• Calcular llaves
• Código PL/SQL
• Oracle Enterprise Manager 10g Grid Control
• Herramienta monitorear y administrarSoftware
  Oracle
• Aplicación web
• Feb/05 informó de vulnerabilidades

12
2. Seg. Aplicaciones Engañando la encripción
Base de Datos e ingenieria de reversa de los
algoritmos de administración de Oracle

• Problemas de Oracle Enterprise Manager 10g Grid
  Control
• Utiliza esquema SYSMAN
• Las contraseñas se guardan en tablas conocidas
• Las contraseñas se encriptan/desencriptan con una
  función
• El DBA puede utilizar las funciones de
  encriptan/desencriptan
• Se puede interceptar todas las llaves
• Calcular las llaves con ingeniera de reversa
• Calcular las llaves a través de funciones y
  procedimientos PL/SQL
• Si se conoce la función, parámetros y la
  secuencia de llamados

13
2. Seg. Aplicaciones Engañando la encripción
Base de Datos e ingenieria de reversa de los
algoritmos de administración de Oracle

• Recomendaciones
• Usar nombre de funciones/tablas no obvias
• Use SQL dinámicos para esconder dependencias
• Use nombre de calificadores completos (Por
  ejemplo SYS.dbms_crypto)
• Generación de llaves y acceso a librerías en un
  package
• Conclusiones
• Riesgo de BDA
• Un hacker puede obtener el perfil del DBA
• La encripción con dbms_crypto o
  dbms_obfuscation_toolkit no es segura porque la
  administración de llaves seguras no es posible

14
3. Forense GEN III Honeynets The birth of roo

• El propósito de esta presentación fue describir
  las nuevas capacidades del GEN III honeypot y
  demostrar el nuevo roo, adicionalmente se revisó
  los honeygrid conectados a honeynets
• Proyecto Honeynet Se implementaron redes
  alrededor del mundo para ser atacadas
• Objetivos
• Incrementar el conocimiento de los riesgos
  existentes
• Para el conocedor enseñar e informar de los
  riesgos
• Dar a las organizaciones las posibilidad de
  aprender más sobre si mismas.

15
3. Forense GEN III Honeynets The birth of roo

• Honeypot
• Es un sistema de cebo diseñado para que los
  atacantes interactuen con el.
• Recolecta información mientras se usa
• Tipos de Honeypots
• Baja interacción
• Emula Servicios, Aplicaciones y Sistemas
  Operativos
• Alta interacción
• Servicios, Aplicaciones y Sistemas Operativos
  Reales
• En el verano de 2005 se libero un nuevo honeynet
  llamado roo.

16
3. Forense GEN III Honeynets The birth of roo

• http//Honeynet.org/tools/cdrom/roo/download.html
• roo
• Información de logs (FW, IDS)
• Entender las acciones de los atacantes
• Alto nivel de análisis

17
3. Forense GEN III Honeynets The birth of roo

• Honeynet Red de honeypot de alta interacción
• Honeywall Honeynet Web basado en herramientas
  de análisis de datos
• Honeygrid una red de Honeypots

18
3. Forense GEN III Honeynets The birth of roo
19
4. Forense Desarrollando un efectiva respuesta
a incidentes

• En esta sesión se revisó
• El impacto de los incidentes de Seguridad en las
  organizaciones.
• Métodos para responder a un Incidente de
  Seguridad
• Tendencias y tecnología que la época de la
  información nos ha traído

20
4. Forense Desarrollando un efectiva respuesta
a incidentes

• Ataques
• Sofisticados
• Difícil de detectar
• Herramientas especializadas
• Rápida propagación
• Realizado desde el extranjero
• Las compañías no están preparadas para responder
  efectivamente a un incidente.
• Recursos especializados
• Recursos dedicados
• Recolectar los datos
• Rastros - evidencia

21
4. Forense Desarrollando un efectiva respuesta
a incidentes

• Cómo detectan las compañías los incidentes?
• Alertas
• Antivirus
• IDS
• Firewall
• Sensores
• Usuarios finales
• Cómo detectan los usuarios finales los
  incidentes?
• Caídas de los sistemas
• Antivirus inactiva o no se puede visitar la
  pagina web del software antivirus
• Aplicaciones no corren
• Registry se cierra cuando se invoca

22
4. Forense Desarrollando un efectiva respuesta
a incidentes

• Caso de estudio
• En dos ocasiones se compromete el PIN de un
  cliente
• La entidad financiera revisa su red
• Donde se comprometieron los datos del cliente?
• Evidencia
• Logs Antivirus
• Entrada de Dr. Watson
• Antispayware
• Historial del Browser
• Correo electrónicos Phishing

23
4. Forense Desarrollando un efectiva respuesta
a incidentes

• Revisar PC victima
• Aplicaciones instaladas
• Revisar historial del Browser
• Revisar los emails
• Revisar archivos temporales
• Revisar time / date stand
• Se encuentra un keylogger Trojano

24
4. Forense Desarrollando un efectiva respuesta
a incidentes

• Rootkits
• Esconde Archivos y directorios
• Procesos
• Entradas al registro
• Evita sean borrados los archivos
• Evita ejecución de antivirus

25
4. Forense Desarrollando un efectiva respuesta
a incidentes

• Investigación
• Recolección de evidencia
• Puertos
• Servicios
• Ip
• Regedit
• Log seguridad, sistema, aplicación

26
5. Forense Atrapeme si puede

• Demostración de manipulación de logs y forma de
  evadir herramientas forense
• Engañar herramientas de análisis forense
• Sobrepasar herramientas comerciales
• Evitar detección de actividad

27
5. Forense Atrapeme si puede

• Técnica
• Encase utiliza Timezone establecer hora de
  eventos y detectar archivos sospechosos
• Anti-técnica
• Borrar timestamps
• Modificar los log o removerlos
• Agregar entradas ficticias

28
5. Forense Atrapeme si puede

• TIMESTAMP
• Técnica usada para colocar a cada fichero un
  sello que certifica que éste fue creado a la
  hora que marca el mismo.
• Existen herramientas como File Stamper, TIMESTOMP
  permite seleccionar múltiples ficheros y
  cambiarles la fecha de creación, el último
  acceso, y cuándo fue modificado, aparte de los
  atributos de oculto, lectura o sistema

29
5. Forense Atrapeme si puede

• Modificar propiedades de los archivos
• Modificación
• Acceso
• Creación
• Problemas SO
• Adicionar datos binarios a un log
• Cambiar encabezados

30
5. Forense Atrapeme si puede

• DoS - Tecnica
• Analizar logs en tiempo real y correlacionar
  eventos
• Acceso
• Creación
• Anti-tecnica
• Llenar los logs con eventos
• Adicionar datos binarios a un log
• Cambiar encabezados

31
5. Forense Atrapeme si puede

• Técnica Recuperación de datos
• Herramientas para recuperar datos borrados
  -Winhex
• Anti técnica
• Utilizar herramientas de borrado seguro - Eraser
• Limpiar los slack space
• Limpiar los unallocated space

32
5. Forense Atrapeme si puede

• Técnica Análisis de firmas
• Encase utiliza dos métodos para identificar
  archivos
• Extensión
• Signature File
• Anti técnica
• No diferencia entre un archivo TXT y un
  ejecutable
• Editor de Texto cambia la información

33
5. Forense Atrapeme si puede
34
5. Forense Atrapeme si puede
35
6. Forense Más alla de Ethereal RUMINT

• Herramienta de análisis de trafico - paquetes
• Observar la red y la acción de un atacante
• Filtros

36
6. Forense Más alla de Ethereal RUMINT
Visualización de Información Es el
uso de representaciones interactivas, visual de
datos abstractos, para reforzar conocimiento.
37
6. Forense Más alla de Ethereal RUMINT
38
6. Forense Más alla de Ethereal RUMINT
39
6. Forense Más alla de Ethereal RUMINT
40
6. Forense Más alla de Ethereal RUMINT
41
6. Forense Más alla de Ethereal RUMINT
42
6. Forense Más alla de Ethereal RUMINT
43
6. Forense Más alla de Ethereal RUMINT
44
6. Forense Más alla de Ethereal RUMINT

• Copia de 3 archivos

45
Conclusiones

• Antes de implementar controles de seguridad de la
  información, debemos crear conciencia, explicar
  el porque, ponerlo en el lenguaje de los
  usuarios, utilizar ejemplos ilustrativos. Esto
  para evitar una fricción entre los usuarios y los
  sistemas de información.
• Día a día vemos la necesidad de reforzar la
  seguridad de la información para garantizar su
  confidencialidad, integridad y disponibilidad.
• Debemos mantenernos al día con respectos a las
  últimas vulnerabilidades que aparecen, para poder
  aplicar los correctivos oportunamente.

46
Conclusiones

• Dada la problemática actual con respecto a las
  vulnerabilidades, es importante que durante la
  implementación de nuevas soluciones informáticas,
  así como de las ya existentes, debe ser
  considerada la seguridad de la información.
• No a la seguridad a través de la oscuridad.
• Debemos tener en cuanta las herramientas de
  seguridad también son vulnerables a posibles
  ataques.
• Las nuevas vulnerabilidades que son descubiertas,
  deben ser asumidas como un mecanismo pro-activo
  de defensa, y no cómo una amenaza para los
  proveedores de tecnología.

47
Referencias

• http//www.blackhat.com/html/bh-media-archives/bh-
  multi-media-archives.htmlUSA-2005

48
Gracias