PDF de programación - Un paseo por el pentágono

Imágen de pdf Un paseo por el pentágono

Un paseo por el pentágonográfica de visualizaciones

Actualizado el 21 de Marzo del 2018 (Publicado el 28 de Octubre del 2017)
955 visualizaciones desde el 28 de Octubre del 2017
2,5 MB
37 paginas
Creado hace 9a (29/01/2015)
CIBERSEG 2015

Universidad Alcalá de Henares (UAH)

Enero 29

¿YO?

• Simón Roses Femerling

Fundador & CEO, VULNEX www.vulnex.com



• Blog: www.simonroses.com


@simonroses | @vulnexsl



• Ex: Microsoft, PwC, @Stake



• Beca del DARPA Cyber Fast Track (CFT) para investigar sobre

seguridad en el ciclo de desarrollo de software


• Ponente: Black Hat, RSA, HITB, OWASP, AppSec USA, SOURCE,

DeepSec, TECHNET

GRACIAS

• Mudge, DARPA, Cyber Fast Track

(CFT)


• CIBERSEG Equipo





OBJETIVOS DE LA CHARLA

• DARPA y cómo ha cambiado la

ciberseguridad


• Mi participación en el DARPA CFT

Blog:
http://www.simonroses.com/es/2014
/06/mi-visita-al-pentagono/






AGENDA

1. DARPA
2. Cyber Fast Track (CFT)
3. Mi proyecto
4. DEMO DAY: El Pentágono
5. No es el final, sino el comienzo

1. CARTA DE PRESENTACIÓN

• DARPA es una agencia de defensa con un
papel único dentro del Departamento de
Defensa.


• DARPA no está vinculado a una misión
operacional específica: DARPA proporciona
opciones tecnológicas para el Departamento
entero, y está diseñado para ser el motor
tecnológico en
transformación del
Departamento de Defensa.


la



1. DARPA

• Agencia de Proyectos de Investigación Avanzados de Defensa

(Defense Advanced Research Projects Agency)


• Agencia del Departamento de Defensa de Estados Unidos



• Áreas de trabajo: satélites, robots, redes de ordenadores, etc.

– ARPANET -> Internet



• 240 trabajadores, presupuesto 2.000 millones USD, proyectos de
corto plazo (de dos a cuatro años) llevados a cabo por equipos
pequeños y constituidos expresamente para dichos proyectos


• http://www.darpa.mil/default.aspx
• http://es.wikipedia.org/wiki/Defense_Advanced_Research_Projects_

Agency



1. ¿CON QUIÉN TRABAJA EL DARPA?







2. CAMBIO EN EL DARPA

1998

• DARPA Project

Manager
I+D Ciberseguridad



2010

2. NACE CYBER FAST TRACK (CFT)

• Mudge convence al DARPA de la necesidad de abrir un programa

para hackers y pymes de todo el mundo!!


• CFT: Programa que busca avances

revolucionarios en
ciberseguridad defensiva mediante proyectos low-cost y cortos
en el tiempo

CFT EN CIFRAS

Duración

Propuestas

Proyectos

Presupuesto


De agosto 2011 a abril 2013

10 Millones USD

+550

135

• Catálogo: http://www.darpa.mil/opencatalog/CFT.html






2. ALGUNOS PROYECTOS INTERESANTES:

• Bulb Security -> Smartphone Penetration Testing Framework



• Déjà vu -> Varios, mejoras al Peach Fuzzer



• Charlie Miller -> Varios, Hacking en coches



• Great Scott Gadgets -> Varios, HackRF One



• Hyperion Gray -> PunkSPIDER




Immunity Federal -> Automatización de vulnerabilidades/exploits


• Pwnie Express -> Power Strip Backdoor



• Strategic Cyber -> Cortana, implementado en Armitage, Cobalt

Strike



2. PROYECTO: HACKING DE COCHES

• https://www.youtube.com/watch?v=qX0rRRUdOKU



• https://www.youtube.com/watch?v=kWiOVwP5GTE








2. PROYECTO: HACKRF ONE

• https://greatscottgadgets.com/hackrf/


2. PROYECTO: POWER STRIP BACKDOOR

• https://www.pwnieexpress.com/product/power-pwn-care/

3. COMPILER SECURITY & BINARY DEFENSES BREAKDOWN
(CS&BD)



VULNEX: El ADN se compone de un fuerte I+D en tecnologías ofensivas y
defensivas en ciberseguridad. http://www.vulnex.com/es/index_es.html


• Única empresa española en participar en el DARPA CFT






Proyecto CS&BD: Mejorar la seguridad en el Software

3 Fases:








Fase 1 : analizar en profundidad de las características de seguridad ofrecidas por los compiladores
modernos utilizados para construir software.
Fase 2: evaluación de las defensas de seguridad de los binarios en todos los sistemas de la
organización.
Fase 3: simplificar el proceso de compilación de software seguro.


• Datos:



7 meses de duración


– Análisis profundo de compiladores: Visual Studio, GCC, Xcode y LLVM
– Mas de 30 maquinas virtuales creadas
– Miles de binarios generados
– Detallados informes de la seguridad de compiladores y cómo modifican los binarios
– Desarrollo de 2 tecnologías:




BinSecSweeper : Solución para verificar la seguridad de binarios Windows, Linux y MacOS
X: Compilación segura





http://www.vulnex.com/es/csbd.html



3. BINARY INTELLIGENCE

File

Information

• Size
• Hash
• Timestamp
• Strings

Security

Mitigations

• DEP
• ASLR
• Stack Cookies

Compiler

• Name
• Version

Vulnerabilities

• Unsafe API
• Weak Crypto
• Backdoors

3. BINSECSWEEPER

• Binary Security Posture Verification



• Características



– 100% en Python



– Fácil de usar, interfaz intuitivo



– Multiplataforma: Windows y Linux



– Escaneo binarios de Windows (PE), Unix (ELF) y MacOS



– Configurable



– Motor de análisis



– Extensible mediante plugins



– Generación de informes




• http://www.vulnex.com/es/binsecsweeper.html





3. BINSECSWEEPER EN ACCIÓN

3. CASOS DE USOS

• Análisis Binarios: 1..*



• Programadores: verificar su software (SDLC)



• Depto. TI: analizar el software en la organización



• Seguridad: Análisis de malware y vulnerabilidades



• Postura de Seguridad del Software:

– Fabricantes conocidos
– Sistemas Operativos





4. FIN DEL CFT

• En abril 2013 se cierra el DARPA CFT, pero continúa hasta 2014



• DARPA organiza un evento, DEMO DAY, donde los diferentes

programas presentarán sus proyectos:





– Ciberseguridad
– Big Data
– Ciberguerra
– Robótica

• Este evento se organizó en mayo 2014 en el Pentágono

• DEMO DAY:

http://www.darpa.mil/NewsEvents/Releases/2014/05/21.aspx




4. VISITA AL PENTÁGONO

• 2 días de duración



• Los que participamos en el DARPA CFT expusimos el jueves



• Cada participante tenía un stand donde exponer su proyecto



• No estaba abierto al público





4. PENTÁGONO

4. ¿CON QUIÉN SE PODÍA HABLAR EN EL EVENTO?

• 4 horas de exposición, +50 personas se pasaron por el stand







4. ¿QUÉ SE PUDO VER EN EL EVENTO?

4. MI STAND

4. Y PARA TERMINAR EL EVENTO

• El 3º día juntaron a todos los del DARPA CFT que habíamos

venido y nos llevaron a uno de lo mejores museos del mundo:

Steven F. Udvar-Hazy Center
Smithsonian National Air and Space Museum
http://airandspace.si.edu/visit/udvar-hazy-center/


• Donde se organizaron diferentes debates sobre ciberseguridad y

cómo arreglar el mundo 


• Y por último, visita privada al museo!!








4. EL BLACKBIRD

4. SÍ, EL DISCOVERY

5. CONCLUSIONES

• DARPA considera el CFT como un éxito y un cambio en su

relación con contratistas


• Una interesante lista de proyectos -> Blackhat, Defcon,

Shmoocon, etc.


• El desarrollo de BinSecSweeper continúa!!!!



• Terminó el CFT, pero esta abierto el DARPA Cyber Grand

Challenge
http://www.darpa.mil/cybergrandchallenge/






5. RUMORES

• Posiblemente habrá un CFT 2.0 o eso esperamos muchos!!!!!!





5. Y POR QUÉ NO UN CFT ESPAÑOL…

• Hola…









5. Q&A

• Gracias!

• @simonroses

• @vulnexsl | @BinSecSweeper



• www.vulnex.com
• www.simonroses.com
  • Links de descarga
http://lwp-l.com/pdf7291

Comentarios de: Un paseo por el pentágono (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad