De automação de testes de intrusão, comprometimento de Apple Watches ao encontro com Kevin Mitnick.
A Defcon 25 é um evento com palestras técnicas e conteúdo inovador, com os maiores especialistas de mercado, mas também um momento ímpar para networking, trocar experiências, reencontrar amigos e aprender.
A palestra “Hacking the Cloud” abordou o pensamento fora da caixa que pentesters devem ter ao realizar testes de intrusão em nuvem, foi bem interessante e útil para mim, pessoalmente, pois sou da equipe do Intelligence Lab da CIPHER. Apesar de o conteúdo da palestra ter sido focado no Azure da Microsoft, os métodos e conceitos podem ser aplicados a quase todos os provedores de soluções em nuvem.
A seção “Real-time RFID Cloning in the Field” me surpreendeu, em um primeiro momento me pareceu mais do mesmo já que há algum tempo atrás o assunto de clonagem de RFID está nos bastidores no cenário de segurança. O diferencial inovador foi a exibição de um novo método de clonagem em tempo real, o palestrante exibiu um vídeo de demonstração com a prova do conceito que surpreendeu todo o auditório. Em minha análise pessoal, há um risco real para exploração da falha já que muitas empresas utilizam o RFID (radio frequency identification) para permitir a entrada de funcionários.
A convenção é um evento grandioso, salas lotadas, filas nos corredores, algum tumulto e a organização trabalhando freneticamente para manter todo mundo na linha. Pelo volume de conteúdo, há uma divisão em trilhas com múltiplas apresentações acontecendo em paralelo. Uma curiosidade é que o mestre de cerimônias sempre introduz o palestrante ao auditório com um brinde da sorte, algo informal que inspira apresentador e público, quebra o gelo.
A palestra “From Box to Backdoor: Using Old School Tools and Techniques to Discover Backdoors in Modern Devices” foi bem interessante para quem é pentester, pois explica maneiras de exploração em dispositivos de sistemas de controle industrial (ICS) e Internet das coisas (loT), algo pouco abordado no nosso dia-a-dia e que, com certeza vale a pena estudar. O palestrante abordou uma série de técnicas de “exploitation” e como descobrir backdoors nesses ambientes.
Na seção “Where are the SDN Security Talks” abordou de maneira fantástica o tópico Software Defined Networking (SDN) e sua segurança. Rede definida por software (SDN) é uma abordagem para redes de computadores que permite aos administradores de rede inicializar, controlar, mudar e gerenciar dinamicamente o comportamento da rede através de interfaces abertas e da abstração de funcionalidades de baixo-nível.
Já a palestra “Jailbreaking Apple Watch”, como o próprio nome já diz demonstra todo o minucioso processo de jailbreaking do Apple Watch, ou seja, a maneira de fazer com que o dispositivo execute funcionalidades e aplicativos não autorizados para manipular dados importantes do usuário, acessando recursos até então bloqueados.
O segundo dia da Defcon começou agitado para mim, afinal eu participaria da agenda oficial do evento com uma palestra. Antes de entrar na sala fiquei lendo repetidamente o conteúdo e revisando mentalmente o que iria falar, a equipe da organização da conferência foi muito gentil e me deixou à vontade para começar. Na minha seção “My dog is a hacker and will still your data” apresentei a exploração de uma nova técnica batizada “dog in the middle”, em que explorei a simpatia criada pelo cão no homem para explorar falhas de segurança.
O cão foi utilizado como ferramenta de ataque ao transportar um celular escondido em sua coleira peitoral que poderia explorar diversas táticas incluindo pontos de Wi-Fi falsos, evil twin, karma, DNS spoofing, packet injection, negação de serviço e muito mais.
A sensação de palestra da Defcon foi a de ter aprendido muito, muitas pessoas gostaram do conteúdo e vieram conversar comigo após o término da apresentação e algumas delas até me sugeriram dicas que melhorariam a exploração do hack e esse é o intuito do evento, o compartilhamento de conhecimento para aperfeiçoar a técnica. Você pode checar a apresentação na íntegra no meu perfil do Slide Share, aqui.
O terceiro dia de evento, para mim, era o mais esperado já veria uma apresentação sobre a área de segurança que mais gosto: segurança na web. A seção “Introducing HUNT: Data Driven Web Hacking & Manual Testing” de Jasson Haddix, um dos mais respeitados nomes no cenário de bug bounty, apresentou a extensão Hunt a ferramenta Burp Suite, uma das mais respeitadas entre pentesters de aplicação web que permite a demonstração de provas de conceitos complexas. A nova aplicação auxilia os profissionais de segurança de aplicações web a encontrar bugs de maneira mais efetiva, identificando múltiplos parâmetros nos websites para a posterior exploração de vulnerabilidades.
Ao final do dia, mais uma surpresa, encontrei o lendário Kevin Mitnick, um dos hackers “black hat” mais famosos da história, responsável por invadir diversas organizações, incluindo uma gigante de tecnologia e comunicação. Para quem não o conhece, Kevin foi um dos hackers mais procurados pelo FBI, preso por crimes cibernéticos. Escreveu livros sobre suas façanhas e tornou-se uma referência para profissionais e entusiastas, apesar do passado nebuloso. Há um ditado que aconselha “não conheça seus heróis”, mas nesse caso fiquei muito feliz com a simpatia durante nossa conversar, em que ele falou sobre sua nova obra, o livro “A Arte da Invisibilidade”.
* Rafael Souza consultor de segurança do Intelligence Lab da Cipher
