Aquí tenéis las slides de mi conferencia From Kernel Space to User Heaven en la RootedCON 2013.
El objetivo de la charla es explorar las ventajas que nos va brindar la posibilidad de encolar el tráfico TCP/IP desde el espacio de kernel hacia el espacio de usuario. Esta teçnica permite gran cantidad de aplicaciones prácticas, ofensivas y defensivas, como modificar tráfico entrante/saliente en tiempo real, crear un sniffer de red, detectar tráfico no autorizado como conexiones por dns tunneling, falsear respuestas a herramientas de red como traceroute etc.
Finalmente se explicará más en profundidad las diversas técnicas de detección de sistema operativo, tanto activas (nmap) como pasivas (p0f). Generaremos las respuestas específicas para engañarlas y se verán pruebas de concepto contra herramientas y dispositivos de seguridad conocidos, como Sourcefire, pudiendo evadir el motor de detección de sistema operativo que implementan.
Para combatir este tipo de evasiones, es necesario trabajar a otro nivel, como en la detección de anomalías.
En un futuro post, veremos algunas herramientas open source para combatir estas técnicas, y así como las medidas contradefensivas que ofrece Sourcefire.
Espero que os guste :)
No hay comentarios:
Publicar un comentario