CyberCampES 2014 Madrid Diciembre 5-7
Anuncio
CyberCampES 2014 Madrid Diciembre 5-7 ¿YO? • Simón Roses Femerling • Fundador & CEO, VULNEX www.vulnex.com • Blog: • www.simonroses.com @simonroses | @vulnexsl • Ex: Microsoft, PwC, @Stake • Beca del DARPA Cyber Fast Track (CFT) para investigar sobre seguridad en el ciclo de desarrollo de software • Ponente: Black Hat, RSA, HITB, OWASP, AppSec USA, SOURCE, DeepSec, TECHNET GRACIAS • Mudge, DARPA, Cyber Fast Track (CFT) • INCIBE / CyberCampES Equipo OBJETIVOS DE LA CHARLA • DARPA y cómo ha cambiado la ciberseguridad • Mi participación en el DARPA CFT Blog: http://www.simonroses.com/es/2014 /06/mi-visita-al-pentagono/ AGENDA 1. DARPA 2. Cyber Fast Track (CFT) 3. Mi proyecto 4. DEMO DAY: El Pentágono 5. No es el final, sino el comienzo 1. CARTA DE PRESENTACIÓN • DARPA es una agencia de defensa con un papel único dentro del Departamento de Defensa. • DARPA no está vinculado a una misión operacional específica: DARPA proporciona opciones tecnológicas para el Departamento entero, y está diseñado para ser el motor tecnológico en la transformación del Departamento de Defensa. 1. DARPA • Agencia de Proyectos de Investigación Avanzados de Defensa (Defense Advanced Research Projects Agency) • Agencia del Departamento de Defensa de Estados Unidos • Áreas de trabajo: satélites, robots, redes de ordenadores, etc. – ARPANET -> Internet • 240 trabajadores, presupuesto 2.000 millones USD, proyectos de corto plazo (de dos a cuatro años) llevados a cabo por equipos pequeños y constituidos expresamente para dichos proyectos • • http://www.darpa.mil/default.aspx http://es.wikipedia.org/wiki/Defense_Advanced_Research_Projects_ Agency 1. ¿CON QUIÉN TRABAJA EL DARPA? 2. CAMBIO EN EL DARPA 1998 • DARPA Project Manager 2010 • I+D Ciberseguridad 2. NACE CYBER FAST TRACK (CFT) • Mudge convence al DARPA de la necesidad de abrir un programa para hackers y pymes de todo el mundo!! • CFT: Programa que busca avances revolucionarios en ciberseguridad defensiva mediante proyectos low-cost y cortos en el tiempo CFT EN CIFRAS • Duración De agosto 2011 a abril 2013 Propuestas +550 Proyectos 135 Presupuesto 10 Millones USD Catálogo: http://www.darpa.mil/opencatalog/CFT.html 2. ALGUNOS PROYECTOS INTERESANTES: • Bulb Security -> Smartphone Penetration Testing Framework • Déjà vu -> Varios, mejoras al Peach Fuzzer • Charlie Miller -> Varios, Hacking en coches • Great Scott Gadgets -> Varios, HackRF One • Hyperion Gray -> PunkSPIDER • Immunity Federal -> Automatización de vulnerabilidades/exploits • Pwnie Express -> Power Strip Backdoor • Strategic Cyber -> Cortana, implementado en Armitage, Cobalt Strike 3. COMPILER SECURITY & BINARY DEFENSES BREAKDOWN (CS&BD) • VULNEX: El ADN se compone de un fuerte I+D en tecnologías ofensivas y defensivas en ciberseguridad. http://www.vulnex.com/es/index_es.html • Única empresa española en participar en el DARPA CFT • Proyecto CS&BD: Mejorar la seguridad en el Software • 3 Fases: – – – • Fase 1 : analizar en profundidad de las características de seguridad ofrecidas por los compiladores modernos utilizados para construir software. Fase 2: evaluación de las defensas de seguridad de los binarios en todos los sistemas de la organización. Fase 3: simplificar el proceso de compilación de software seguro. Datos: – – – – – – 7 meses de duración Análisis profundo de compiladores: Visual Studio, GCC, Xcode y LLVM Mas de 30 maquinas virtuales creadas Miles de binarios generados Detallados informes de la seguridad de compiladores y cómo modifican los binarios Desarrollo de 2 tecnologías: • • • BinSecSweeper : Solución para verificar la seguridad de binarios Windows, Linux y MacOS X: Compilación segura http://www.vulnex.com/es/csbd.html 3. BINARY INTELLIGENCE File Information • • • • Size Hash Timestamp Strings Security Mitigations • DEP • ASLR • Stack Cookies Compiler • Name • Version Vulnerabilities • Unsafe API • Weak Crypto • Backdoors 3. BINSECSWEEPER • Binary Security Posture Verification • Características – 100% en Python – Fácil de usar, interfaz intuitivo – Multiplataforma: Windows y Linux – Escaneo binarios de Windows (PE), Unix (ELF) y MacOS – Configurable – Motor de análisis – Extensible mediante plugins – Generación de informes • http://www.vulnex.com/es/binsecsweeper.html 3. BINSECSWEEPER EN ACCIÓN 4. FIN DEL CFT • En abril 2013 se cierra el DARPA CFT, pero continúa hasta 2014 • DARPA organiza un evento, DEMO DAY, donde los diferentes programas presentarán sus proyectos: – – – – Ciberseguridad Big Data Ciberguerra Robótica • Este evento se organizó en mayo 2014 en el Pentágono • DEMO DAY: http://www.darpa.mil/NewsEvents/Releases/2014/05/21.aspx 4. VISITA AL PENTÁGONO • 2 días de duración • Los que participamos en el DARPA CFT expusimos el jueves • Cada participante tenía un stand donde exponer su proyecto • No estaba abierto al público 4. PENTÁGONO 4. ¿CON QUIÉN SE PODÍA HABLAR EN EL EVENTO? • 4 horas de exposición, +50 personas se pasaron por el stand 4. ¿QUÉ SE PUDO VER EN EL EVENTO? 4. MI STAND 4. Y PARA TERMINAR EL EVENTO • El 3º día juntaron a todos los del DARPA CFT que habíamos venido y nos llevaron a uno de lo mejores museos del mundo: Steven F. Udvar-Hazy Center Smithsonian National Air and Space Museum http://airandspace.si.edu/visit/udvar-hazy-center/ • Donde se organizaron diferentes debates sobre ciberseguridad y cómo arreglar el mundo • Y por último, visita privada al museo!! 4. EL BLACKBIRD 4. SÍ, EL DISCOVERY 5. CONCLUSIONES • DARPA considera el CFT como un éxito y un cambio en su relación con contratistas • Una interesante lista de proyectos -> Blackhat, Defcon, Shmoocon, etc. • El desarrollo de BinSecSweeper continúa!!!! • Terminó el CFT, pero esta abierto el DARPA Cyber Grand Challenge http://www.darpa.mil/cybergrandchallenge/ 5. RUMORES • Posiblemente habrá un CFT 2.0 o eso esperamos muchos!!!!!! 5. Y POR QUÉ NO UN CFT ESPAÑOL… • Hola INCIBE… 5. Q&A • Gracias! • Cervezas y copas son bienvenidas! • @simonroses • @vulnexsl | @BinSecSweeper • www.vulnex.com • www.simonroses.com
