Saiba quais foram os destaques do evento de tecnologia Black Hat

Saiba mais sobre Bad USB e outros temas discutidos nos dois dias de palestras do maior evento de segurança digital do mundo, o Black Hat.

Entre os dias 2 e 7 de agosto, Las Vegas se tornou o centro global de segurança digital ao sediar o principal encontro da indústria da Tecnologia de 2014, o Black Hat. A PSafe Tecnologia, líder nacional de segurança da informação, marcou presença em Vegas e, contrariando a máxima de que “Tudo que acontece em Vegas, fica em Vegas”, divide com você o quê de mais quente aconteceu por lá, nos dois principais dias da Conferência. Fique por dentro dos assuntos mais comentados por especialistas badalados do setor de Segurança Digital!

Destaques do primeiro dia de palestras do Black Hat (6/8)

 

Como escapar do isolamento do Enhanced Protection Mode

O workshop apresentado por James Forshaw, gestor de Pesquisa de Vulnerabilidade da Context Information Security, do Reino Unido, demonstrou algumas formas de escapar do isolamento do Enhanced Protection Mode da Microsoft, que surgiu no IE 10 e Windows 8 e passou a executar o processo em uma Sandbox, bloqueando acesso de gravação e escrita a várias partes do sistema. Durante o encontro, ele mostrou de forma detalhada como analisar a Sandbox, assim como conseguir explorar algumas falhas que podem resultar na execução de código fora da Sandbox.

O processo executado dentro da Sandbox possui um ambiente controlado, nao possuindo permissão para escrever fora do ambiente da Sandbox, o que dificulta a atividade maliciosa. Explorar estas falhas leva a execução de código fora da Sandbox, ou seja, permite ter um nível de acesso maior ao sistema.

Ataques direcionados a drivers gráficos do Windows

Ilja van Sprundel, diretor de testes de Penetração da IOActive, especialista em penetração e identificação de vulnerabilidades de celulares iOS e do Kernel do Windows, falou sobre a estrutura dos drivers gráficos assim como a forma com que eles são utilizados pelo sistema, mostrando que os erros simples no desenvolvimento podem ser utilizados como vetores de ataques futuros, com exemplos de erros normalmente cometidos durante o desenvolvimento dos drivers gráficos.

A informação mais valiosa: A Microsoft divulgou que nas análises de crash dumps do Windows XP, os drivers de vídeos eram responsáveis por até 20% de todas as blue screen.

Formas de conseguir acesso ao C&C (Command and Controller)

A palestra do Aditya K Sood, pesquisador e consultor de Segurança sênior, teve como tema as formas de conseguir acesso ao C&C (Command and Controller) utilizado por diversas botnets, como Zeus e Citadel, explicando as brechas deixada pelos atacantes que podem ser utilizadas para se obter acesso a todo o conteúdo obtido por eles: todas as informações capturadas das máquinas afetadas, como IP, nome do usuário, senhas, etc.

Destaques do segundo dia de palestras do Black Hat (7/8)

 

Bad USB: falha continua aberta

Os pesquisadores Karsten Nohl e Jakob Lell esmiuçaram o tema mais comentado da atualidade. Apresentaram como os dispositivos USB, devido a falhas na sua arquitetura, podem ser utilizados de forma maliciosa de modo bastante preocupante, pois até o momento não existe uma maneira de evitar este tipo de ataque.

Para demonstrar a gravidade do problema, eles utilizaram como exemplo um pendrive, que pode ter seu firmware atualizado para uma versão maliciosa fazendo com que possa infectar o dispositivo assim que é inserido na porta USB, sem exigir do usuário nenhuma outra interação com o equipamento, como executar um programa ou visualizar o conteúdo da unidade.

Bad USB: provas de conceito

Dispositivos USB, como pendrive, webcam, teclado e HD externos também estariam vulneráveis à infecção pelo malware

Durante a apresentação, alguns testes realizados confirmaram as suspeitas da comunidade de Segurança da Informação.

Teste 1: capacidade de reinfecção

Os pesquisadores inseriram um pendrive infectado em uma máquina Windows, fazendo com que a máquina fosse infectada sem nenhuma interação do usuário. Logo em seguida, outro pendrive limpo de vírus foi inserido nesta máquina infectada, que, por sua vez, contaminou o segundo pendrive com o código malicioso. Daí, este pendrive foi conectado a uma máquina Linux, que também foi infectada pelo malware, fazendo com que o computador passasse a ser capaz de infectar outros dispositivos.

Teste 2: redirecionamento para phishing

Um pendrive infectado foi fixado em uma máquina Windows, criando uma interface de rede que redirecionava todas as requisições de DNS para um servidor malicioso, tornando possível levar o usuário para um site de phishing, onde seria possível roubar dados e informações do usuário.

Teste 3: interceptação de tráfego Android

Pode ser muito fácil redirecionar o tráfego de internet de um usuário utilizando um dispositivo Android para um site malicioso. Isso porque os aparelhos Android já vêm com a funcionalidade de criar um adaptador de rede via USB para compartilhar a internet do smartphone com o PC. Assim, é possível interceptar todo o tráfego vindo do computador e, então, redirecionar o usuário móvel para um site falso.

Até o momento, não existe nenhuma forma de bloquear a infecção dos dispositivos e a alternativa mais simples e efetiva é desabilitar a opção de reescrita do firmware, o que só pode ser feito pelos fabricantes, enquanto algumas “soluções” descobertas não têm sua eficiência confirmada.

Explorando vulnerabilidades do iOS

O último tema do evento foi mais um alerta para os clientes Apple que acreditam estar protegidos contra problemas de segurança.

Na apresentação foi demonstrado que, mesmo após a liberação dos patches da Apple para poder solucionar as falhas que eram utilizadas para aplicar Jailbreak nos dispositivos, muitas destas correções acabam deixando uma brecha que pode ser explorada de outras maneiras.

Baseado nas ferramentas de Jailbreak para versões anteriores desenvolvidas pelos Evad3rs, foi analisada a ferramenta para poder entender o fluxo utilizado nas versões anteriores e verificar o que foi alterado, descobrindo como encontrar outra forma de refazer os exploits. O maior desafio é conseguir acesso de Root no device, já que as diversas proteções existentes, como verificação de assinatura, RWX Protection, Sandbox e verificação de integridade, tornam este processo bastante trabalhoso.

Conseguindo acesso Root, é possível fazer o bypass dos últimos patches liberados pela Apple para executar um código não assinado na versão 7.1.1 do iOS.

A ação não realiza o Jailbreak completo, mas consegue burlar uma grande parte das proteções existentes nesta versão do iOS. Os pesquisadores também já possuem uma possível solução para driblar as proteções restantes e acreditam ser possível realizar o Jailbreak completo do iOS.

Ficou animado em saber mais e ficar por dentro do que discute este seleto grupo de profissionais? Então, agende aí, você pode começar com a edição nacional, que apesar de menos importante e comentada, será uma boa introdução ao universo de Segurança Digital. O evento está marcado para os dias 26 e 27 de agosto e acontecerá em São Paulo.