No último sábado, 18 de abril, aconteceu a primeira conferência realizada pelo Mente Binária, totalmente on-line. A MBConf@home reuniu uma média de 471 espectadores durante 5 horas de palestras de especialistas em segurança da informação. O principal objetivo da MBConf@home foi levar ao público um conteúdo sobre segurança da informação diante do fato de que vários eventos da área tiveram de ser cancelados por conta da pandemia do novo coronavírus (COVID-29). Não podíamos, diante desta situação, ficar parados, deixando o primeiro semestre do ano sem conferências de segurança no Brasil. Logo na abertura do evento, Fernando Mercês lembrou de grandes eventos que foram realizados durante esse período através de transmissões ao vivo nas redes sociais. "Tem uma galera investindo em fazer lives, eventos on-line, e é um momento de aprendizado e estudo".
Ele explicou ainda sobre o projeto Mente Binária, que nasceu em 2007 a partir de uma vontade de compartilhar, como blog pessoal do Mercês, as situações do dia a dia da área de segurança. "Passando por diversas transformações, nos tornamos uma instituição sem fins lucrativos que busca ajudar quem está entrando na carreira de segurança da informação uma base sólida para que não caia num buraco de estudos sem base. O mercado tem um gap claro na área de segurança e o ensino brasileiro não é o suficiente para que as pessoas tenham essa base sólida. A gente tenta suprir esse gap", disse. "No final queremos cumprir essa missão de trabalhar no conhecimento de base dos futuros profissionais de segurança, e os atuais também, através desses projetos".
E uma das formas de compartilhar esse conhecimento foi justamente a realização da MBConf@home. O evento continua disponível no canal Papo Binário e vale muito a pena ver, rever e estudar o conteúdo compartilhado por esses profissionais. A gente fez uma cobertura e traz aqui alguns highlights do que foi compartilhado durante a conferência.
Análise de uma botnet P2P transiente
O primeiro palestrante do dia foi Renato Marinho, Chief Research Officer da MorphusLabs e Incident Handler na SANS Internet Storm Center. Renato fez uma apresentação sobre a análise de uma Botnet P2P, explicando desde o comprometimento de um honeypot até enumeração dos nós da rede. "Diferente de uma Botnet concentrada, a P2P distribui o comando dentro da rede, e isso dificulta ações de takedown, que derrubam a Botnet", explicou.
Ele explicou como fez análise do honeypot através do Raspberry Pi 3. "Comecei a ver muitas tentativas de login, e algumas pessoas deram comandos. As primeiras tentativas que eu vi não eram maliciosas, curiosamente, parece que faziam alguma análise da máquina e saiam. Mas não demorou muito para ter um arquivo malicioso". Ele explicou ainda sobre a execução do malware, e como bloqueou as saídas de execução para não infectar ninguém e nem participar de ações maliciosa, pois queria apenas estudar. "Fiquei curioso para saber o que estava sendo trafegado pela Botnet, e aí entra a análise do C&C. Usei a estratégia man-in-the-middle. Dentro da Botnet tinha um controle de segurança para que somente os nós infectados conseguissem acesso à rede, evitando que pesquisadores entendessem o que ocorria na rede".
Dentro de seus estudos ele viu que o Brasil aparece em sétimo lugar, com aproximadamente mil nós infectados. Além disso, o Raspberry aparece como maior parte de dispositivos infectados, mas há outros também. Ele usou ainda a geolocalização para tentar identificar a origem dos nós, que o levou à Ucrânia. "Foi uma curiosidade, pois não é possível ter esse nível de precisão". A pesquisa demorou um mês e meio para ser realizada, entre ter a ideia de examinar a Botnet até os resultados finais.
Introdução ao Hardware Hacking
Sergio Prado, criador do embarcados.com.br e fundador da Embedded Labworks, fez uma apresentação sobre hardware hacking e segurança de dispositivos eletrônicos. Na palestra, foram abordadas diversas técnicas de engenharia reversa em hardware, incluindo extração e análise de firmware, side-channel attacks, glitch attacks, entre outros. Sérgio disse que apesar de não ser um profissional da área de segurança, acabou atuando diretamente na área. "Como faço design de produtos eletrônico, conheço o que pode dar errado. O foco dessa palestra é falar um pouco sobre técnicas e ferramentas para explorar vulnerabilidade em hardware", disse.
Ele tem mais de 20 anos de experiência em desenvolvimento de software para sistemas embarcados e atua com consultoria, treinamento e desenvolvimento de software para sistemas embarcados. "Qual processo seguir para explorar a vulnerabilidade em hardware? As técnicas são parecidas com a exploração em software, o que muda são as ferramentas. Primeiro temos que identificar o objetivo, o que você quer fazer. Depois, identificar os vetores de ataque, e depois as vulnerabilidades. O último passo é explorar a vulnerabilidade", explicou.
O foco da palestra foi na exploração da vulnerabilidade no hardware em si, e não no que ele expõe em interface externa. "Entender e focar o objetivo é importante", disse Sergio. Definido isso, ele indica coletar informações sobre o dispositivo na Internet e depois, em suas palavras, "abrir o dispositivo e perder a garantia!. Cuidado que alguns dispositivos devem ter mecanismo anti-tampering responsável por apagar a memória flash do dispositivo se ele for aberto. Às vezes é bom ter dois dispositivos, pois o primeiro dificilmente vai voltar a funcionar", aconselhou. Ele mostrou ainda quais são as ferramentas necessárias para a etapa de coletar informações do hardware e como analisar vetores de ataque.
Debugging tricks
O engenheiro reverso Thiago Queiroz, programador há mais de 20 anos em diversas linguagens, mostrou na sequência o processo de debugging utilizando a ferramenta x64dbg com o objetivo de mostrar vários truques interessantes para uma análise, dentre eles a utilização de gráficos, breakpoints condicionais, tracing e até mesmo como encontrar o ponto mágico em programas escritos em Visual Basic 6. "Fiz uns dois programas para a gente testar alguns cenários. Criei um ransomware que conversa com uma central comando de controle e vamos usar as técnicas das dicas que vou passar para analisar o malware". Ele fez todo o processo ao vivo, durante a apresentação.
Durante a apresentação, Thiago também comprovou o quão importante é o entendimento da base de computação, pois ela se aplica em todos os cenários, independente da linguagem, versão, sistema operacional ou ferramenta utilizada.
Bluetooth shell
Noilson Caio, pesquisador de segurança com foco em redes sem fio, apresentou um projeto de segurança ofensiva utilizando um chip bluetooth. Através desse chip, ele conseguiu ter shell em dispositivos que possuem porta serial, permitindo uma conexão persistente com proximidade física. "Tenho a filosofia da segurança da informação como um hobbie". O especialista em defesa cibernética da Neoway tem experiência desde 2003, atuando por seis anos com provedores de Internet, e hoje trabalha diretamente com segurança da informação.
Ele citou ainda seu trabalho na Darkwaves, comunidade virtual que tem como objetivo debater assuntos referentes a segurança da informação em redes sem fio e que realiza conferências, palestras e uma vasta gama de atividades, atuando no RoadSec, JampaSec, H2HC, e outros eventos. Durante sua apresentação, Noilson analisou o chip, a interface serial, e o Wart – circuito integrado utilizado para comunicação serial. "Essa comunicação geralmente é utilizada para debugar e realizar testes. Ter acesso a esta porta é bastante importante para que você seja capaz de acompanhar um processo de boot, ter acesso a um terminal, a comunicação entre dispositivos em rede, etc. Poder ser um circuito integrado separado ou já vir implementado em um chip".
Ele ainda explicou como fez os plugs por meio de um access point, que pode ser um roteador ou qualquer coisa que tenha interface serial, com cuidado de saber que cada pino está mapeado com a função correta.
Debugging com WinDbg
O programador de drivers Wanderley Caloni mostrou como usar o WinDbg, um debugger extremamente poderoso da Microsoft que pode ser utilizado para debugar aplicações tanto em nível de usuário quanto de kernel. "O WinDbg continua sendo linha de frente. Para fazer engenharia reversa você não vai ter o código fonte, então é muito mais rápido e prático rodar os comandos que você precisa, diretamente da linha de comando, de forma scriptável".
Caloni começa explicando sobre como o WinDbg funciona por trás dos panos, seguido de como preparar o ambiente para debugar em nível de usuário e de kernel. A apresentação seguiu com uma overview sobre como você pode analisar seu código com a IDE Visual Studio, seguido de diversas dicas de comandos do WinDbg que podem ser úteis na hora de se fazer uma análise e sua vantagem em comparação às outras ferramentas.
Engenharia Reversa em Android
Maycon Vitali, Security Exorcist na PRIDE Security, e fundador do projeto Hack N' Roll, fez uma apresentação sobre engenharia reversa em aplicativos Android. Ele disponibiliza muito conteúdos em seu canal Hack N' Roll Academy, que tem o objetivo de oferecer temáticas técnicas de qualidade, falando da teoria e da prática. Em seu canal, ele começou a série Reversing Android Application, que apresentou no MBConf@home. "A primeira etapa é analisar os componentes de uma aplicação Android tem. São basicamente quatro: activities; services; content providers e broadcast receivers".
Dentre as ferramentas utilizadas para engenharia reversa de aplicação estão adb, unzip, dex2jar, apktool, keytool, jarsigner; jd-gui, jadx, ByteCode Viewer e Frida. Maycon explicou como utilizar as ferramentas da melhor forma para se fazer uma análise. Um dos temas abordados foi como analisar aplicações utilizando o Smali. Além disso, Maycon mostrou também como instrumentar/automatizar sua análise utilizando o Frida para fazer hooking de funções, debugging customizado e tracing de código.
Encerramento
Ao final do evento, Anchises Moraes, grande apoiador do projeto há muitos anos, que faz parte da organização do Garoa HC e da BSides e atua como Cyber Prevenger no C6 Bank, parabenizou a organização e os palestrantes, dando alguns recados importantes para quem acompanha a área de segurança da informação. "Queria lembrar a todos de termos essas ações como comunidade, compartilhando conhecimento de qualidade, onde você agrega mais informações, ajuda na carreira, ajuda a todos a crescerem juntos. O Mente Binária, desde o começo, sempre teve esse foco", disse.
Ele ressaltou o momento difícil que todos vivem com a pandemia. "Temos uma sorte grande de trabalhar na área de tecnologia, que tem uma vasta demanda por profissionais, e mesmo com a crise acontecendo, muitas empresas continuam contratando nessa área. E também temos a responsabilidade de fazer o que podemos para colaborar com todo mundo". Ele deu dicas ainda sobre manter o discernimento em relação a notícias sobre a crise e ajudar a conscientizar sobre os riscos das ameaças que existem, principalmente agora que grupos de cibercrimes estão aproveitando o momento para compartilhar phishing direcionados. "Nós, como profissionais de segurança, temos a capacidade de orientar as pessoas sobre segurança da informação e compartilhar isso em rede".
E a MBConf@home v2 já tem data e hora marcada! Dia 2 de maio, às 10h, também através do canal do Mente Binária no YouTube. Marque na sua agenda!
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.