DEFCON 14: Dia três

08/08/2006 Written by Roberto Preatoni (SyS64738)

defcon3A Def­con deste ano acabou, como sem­pre estava lotada, com muitas pes­soas de todos os lados do globo com uma var­iedade de mentes hack­ers. Domingo foi um dia pequeno, pois estava cheio de apre­sen­tações (nós estive­mos por alguns min­u­tos em todas) e tam­bém nas ativi­dades de encer­ra­mento da Def­con 14.

Dark Tan­gent veio saudar os par­tic­i­pantes do evento. Ele estava con­tente em dizer que este ano a marca de 7000 crachás de par­tic­i­pantes tinha sido que­brada (sem con­sid­erar os dis­tin­tivos “não ofi­ci­ais”, que não foram con­ta­dos, de par­tic­i­pantes como o dis­tin­tivo de imprensa usado pelo Zone-​H).
Ele anun­ciou que o Def­con ofer­e­ceu, pub­li­ca­mente conexão de Inter­net sem fios disponível e com fal­has neste fim de semana!… Para dar um exem­plo, da “Wall of the sheeps” a parede das ovel­has, onde mostra o nome de usuários e as sen­has (ape­nas os primeiros 3 dígi­tos são mostra­dos) de todos que uti­lizaram esta rede “hos­til” gra­tuita e de acesso pub­lica que eles lib­er­aram. Tinha várias coisas… como web­mail, POP3, IMAP, FTPHTTP que eram tam­bém exibidos em um telão ao vivo que tam­bém exibia o nome de usuário e os domínios que estavam aces­sando, muitos .edu .gov e de grandes empre­sas .com. Por sorte o Zone-​H estava usando a rede através de uma conexão sem fio “da imprensa” com uma crip­tografia mais difí­cil que pos­si­bil­i­tou não ser­mos inter­cep­ta­dos… mas esta conexão era snif­fada (lol).

Os crachás eram vários e bas­tante inter­es­santes, tinha hack­ers que fiz­eram tan­tas mod­i­fi­cações nos crachásbadge que era impos­sível não se impres­sionar. Um foi feito com um pedaço de placa mãe e um micro proces­sador que con­trolava dois Led’s azuis que pis­cavam sinal­izando Def­con 14 em código Morse. Um con­cor­rente foi além disto e fez um dis­tin­tivo de lança-​chamas que ati­rava fogo a 2 pés de dis­tân­cia da boca do smi­ley! Outro con­cor­rente con­fig­urou um sin­te­ti­zador analógico a ser ati­vado pelos impul­sos lumi­nosos dos olhos do smi­ley que emi­tia um som con­forme pis­cava os olhos.

Na palestra de “Espiões em redes cor­po­ra­ti­vas”, Andrew Whitaker falou de como esta prática é uti­lizada, e segundo uma pesquisa recente 77% das empre­sas tem algum tipo de espi­onagem, seja ela feita no e-​mail para procu­rar algum tipo de con­teúdo ile­gal como política da empresa pra garan­tir a pro­du­tivi­dade do fun­cionário ou feita por um fun­cionário mal inten­cionado que quer roubar infor­mações da empresa. Este tipo de fun­cionário pode ser até mesmo “implan­tado” por uma empresa rival que quer obter infor­mações sig­ilosas da outra empresa e usa um fun­cionário “espião” para obter estes dados.

Mesmo que este fun­cionário não seja nen­hum hacker este tipo de ataque é con­hecido como “Ataque pelo homem do meio”, onde este fun­cionário fornece seus dados para um hacker de fora poder entrar na empresa como se fosse ele para poder ficar snif­fando toda a rede da empresa ou enviar fer­ra­men­tas para o fun­cionário deixar snif­fando a rede. Com estes dados as empre­sas rivais con­seguem saber o que a outra esta plane­jando e con­segue ficar na frente quando se fala em com­petição..

Ele pode usar uma fer­ra­menta de spoof de ARP, uma téc­nica que essen­cial­mente trans­forma a estação de tra­balho em um em “escav­ador” a força de dados de out­ros com­puta­dores pois redi­re­ciona o tráfego para a máquina do “espião”.  Na demon­stração foram usadas várias fer­ra­men­tas como Etter­cap, tcp­dump, Dsniff e muitas fer­ra­men­tas do site Oxid (como Cain and Abel ).

Estas fer­ra­men­tas podem agar­rar coisas lit­eral­mente sucu­len­tas para o hacker como nomes de usuários e sen­has de Email, FTP e de rede e muitas out­ras for­mas de aut­en­ti­cação. Para se pro­te­ger você pre­cisa enten­der a importân­cia de mon­i­torar a rede da empresa para desco­brir se estes tipos de ataques estão acon­te­cendo e isto pode estar acon­te­cendo com você, o que aumen­taria os 77% dos resul­ta­dos da pesquisa…

Uma palestra muito boa foi apre­sen­tada por Wes Brown e Scott Dun­lap. No que seria a última sessão da Def­con 14, rev­e­laram o que eles chamam “Injeção de Exploits com Máquinas Vir­tu­ais”, nos quais eles ofer­e­cem uma fer­ra­menta inde­pen­dente de OS para desen­volver exploits para qual­quer OS. O kit de fer­ra­menta deles chamado “Mos­quito” é um frame­work que pode exe­cu­tar código inde­pen­dente da plataforma, um atrib­uto alta­mente dese­jável quando se faz um teste de pen­e­tração. Mos­quito tam­bém usa crip­tografia quando efe­tua comu­ni­cação entre os canais que esta exe­cu­tando um ataque. Exe­cu­tando em sua própria máquina vir­tual tem muitas van­ta­gens como não deixar ras­tros e deixar oculto proces­sos de injeção em pay­lo­das do sis­tema.

Wes e Scott tam­bém desen­volveram um LISP cos­tu­mizável para Mos­quito, para aju­dar no desen­volvi­mento rápido de scripts para exploits. O tra­balho de demon­stração do fun­ciona­mento do Mos­quito pode ser visto no site dos desen­volve­dores Ephemer​alse​cu​rity​.com.

Nós tris­te­mente assis­ti­mos as cer­imô­nias de encer­ra­mento e tive­mos que fazer nos­sas malas para voltar para os prob­le­mas diários de nos­sas vidas.
Zone-​H manda um agradec­i­mento espe­cial para Dark Tan­gent e para o time todo da Def­con, nosso muito obri­gado tam­bém aos locu­tores das apre­sen­tações e aos aten­dentes e aos novos e vel­hos ami­gos, e esper­amos muito mais para a próx­ima Def­con e os por enquanto podemos acom­pan­har seu fórum.


Share this content: