Ya se ha acabado la experiencia BlackHat Europa 2011. Si tengo que resumir mi experiencia, que además es parcial, solo puedo decir: ¡muy recomendable! Sin duda, para repetir. Tanto por la exposición de contenidos de las charlas como por la gente que se tiene la oportunidad de conocer! Increíble
Tuve la oportunidad de asistir a dos charlas que me parecieron super interesantes a nivel de contenidos y muy bien llevadas a nivel de exposición:
- “Escaping from Microsoft Windows Sandboxes” de Tom Keetch
- “Building Custom Disassemblers” de Felix ‘FX’ Lindner
A continuación un resumen de ambas, y lo dicho, muy recomendable la lectura de los materiales a medida que se vayan publicando en el site de blackhat!
Escaping from Microsoft Windows Sandboxes
Interesante charla en la que se han repasado las opciones que ofrece el sistema operativo Windows para ofrecer sandboxing en espacio de usuario:
- Restricted access tokens
- Deny-Only SIDs (Discretionary)
- Low Integrity (Mandatory)
- Privilege Stripping (Capability)
- Job Ojbect Restrictions
- Windows Station Isolation
- Desktop Isolation
A continuación, se han repasado y comparado las sandboxes de diferentes productos, concretamente:
- Protected Mode Internet Explorer: Basado en el uso de “Low Integrity Levels”
- Adobe Reader X: Un subconjunto del framework de sandboxing proporiconado por Google Chromium
- Google Chromium: Ofrece la implementación más completa de las tres, ofreciendo un framework para proporcionar sandboxing con las diferentes técnicas ofrecidas por el sistema operativo Windows.
Y, finalmente, no podía haber sido de otra manera, Tom ha repasado algunas de las técnicas existentes para saltarse el sandboxing proporcionado por las facilities de Windows:
- BNO Namespace Squatting
- NPAPI Interface Exploits (Explotación de vulnerabilidades en plug-ins para saltarse el sandbox)
- Handle Leaks
- Clipboard Attacks
Building Custom Disassemblers
Gran trabajo presentado por Felix ‘FX’ Lindner, en el que repasa diferentes aspectos sobre el diseño e implementación de un desensamblador, en este caso para “S7″, aunque utilizando un enfoque genérico y discutiendo técnicas a tener en cuenta a la hora de desarrollar un desensamblador para un bytecode.
Durante la charla además, se presenta la API que IDA para el desarrollo de un módulo que permita soportar un nuevo bytecode, y se repasa algunas “particularidades” que se han encontrado durante el desarrollo del modulo para soportar el desensamblado de S7.
Además del proceso de desarrollo del mencionado desensamblador, durante la charla también se comentan aspectos interesantes acerca del análisis de las rutinas utilizadas por Stuxnet, a partir del desensamblador construido para S7. En definitiva, una presentación super completa y una exposición, en mi opinión muy acertada!