Retomamos la CON escuchando al siempre divertido Fernando de la Cuadra contar cómo funciona un antivirus... Mal, comienza diciendo, con lo que la atención está asegurada.
Continúa ¿aliviando? un poco la tensión provocada con su anterior afirmación aclarándonos que nuestros equipos no son blanco de ataques dirigidos, sino uno más a los que se dirigen ataques masivos e indiscriminados. Y compara la evolución de los ordenadores con la de los coches: cada vez son más seguros, pero ¿y el usuario? Hízose el silencio... ¡Benditos lusers!
Sigue después contándonos que de todo el malware que pulula por ahí tan sólo el uno por mil son virus, con lo que ¡los virus han muerto!
Continúa explicándonos que la detección de virus puede hacerse de tres modos: por base de datos (detección de firma: porción de código malicioso almacenado de unos 100 a 150 bytes por bicho), por heurística y genética (son códigos maliciosos ligeramente modificados por script-kiddies), y que si el antivirus "ralentiza" el ordenador es debido a que analiza TODA la info que entra al equipo por cualquier medio.
Y Java... ¿por qué tiene esa mala reputación? Porque es a través suyo por donde entra un fichero cifrado que el antivirus no detecta como malicioso porque no puede ver el código ejecutable, dejando que se almacene en el HDD. De ahí sale todo pito y se va a memoria, donde se descifra y se ejecuta, a salvo de la supervisión del proceso por parte del antivirus.
Así, cualquiera. Pero la culpa no es del antivirus, ni funcionan mal... creo.
Y tras la infección, el forense, que el equipo ha muerto... Aparece Carlos Aldama para contarnos el proceso de realización de pruebas periciales y cadena de custodia, dejándonos clarito la base de la realización de las periciales: el principio de intercambio de Loccard.
Intercambio como el que me dejó helado: el del top-manta, donde esos CD de ¿artistas desconocidos o desfasados? se codean con lo último del mundillo... ¿cómo es que el "gerente" del negocio tiene mercancía tan poco apetecible a la venta? Pues igual resulta que dentro del "contenido" digital del soporte haya "varias" cositas ocupando el mismo espacio... Vamos, que no sería la primera vez que pornografía infantil se esconde, esteganografiada, en el CD pirata de ese artista... Sí, la misma cara se me quedó a mí.
Luego continuó contándonos algún que otro detalle del funcionamiento de su trabajo, como que a los juzgados la info se lleva en CD o DVD, o que cuando estás buscando información en un medio te limitas a apuntar el documento dejando que sea el Juez quien tome la decisión de abrirlo para ver el contenido o no, que la ley de protección de datos es muuuy quisquillosa con según que datos. Otras cosas curiosas que nos contó fue la existencia de sw que permite diferenciar el color de la piel, clara u oscura, con el fin de ayudar a la detección de casos de pedofilia; o la existencia de esta página que permite "fabricar" imágenes de conversaciones de mensajería instantánea supuestamente realizadas a través de smartphones, o esta otra página web con su herramienta de búsqueda inversa de imágenes: pones la url de una imagen y te busca esa imagen en su base de datos (podéis probar a poner vuestro avatar de Twitter).
Curiosa la página ¿verdad? Podría haber sido perfectamente el comienzo de la siguiente charla, la de Kao, con su fase 1: reconocimiento, de su pentest 4 scratch...
Comenzó, más nerviosa que tranquila, con problemas en la BIOS (no actualizada vía NetBIOS ;-D) que al estar "capada" no permitía montar máquinas virtuales... Pues nada, linux live y a modificar los parámetros de la BIOS vía consola. ¿Ha quedado claro? Pues eso, que según iba entrando en materia la tranquilidad la "poseía", y el nerviosismo del comienzo se diluyó al igual que las restricciones de la BIOS.
Una vez corriendo ya la máquina virtual de recibo arranca su distro "de pal mal" y lo primero que instala para continuar trabajando es un editor hexadecimal, que la ayudará en esa fase de reconocimiento.
Comienza con una simple búsqueda de subdominios en archive.is.
Luego, continuamos aquí , donde nos cuentan "cositas" del target sin dejar huella de actividad alguna: mi IP no figurará en el log del servidor "cotilleado"...
Interesante lo que sale. Y nos deja con buen sabor de boca y unas cuantas herramientas más para esta primera fase, como Acunetix online, OpenVAS y BURP Suite.
Ahora, ¿quién se resiste a jugar? Cerramos así las jornadas y... ¡al lío antes de que se nos olvide lo que nos contaron!
Un cordial saludo.
No hay comentarios:
Publicar un comentario