Guía de Software exploitation (INTECO-CERT)

El pasado 23 de Julio, INTECO-CERT publicó una nueva guía denominada “Software exploitation” cuya lectura queremos recomendar desde Security Art Work. La guía, constituida por 103 hojas, aborda diversos aspectos relacionados con la búsqueda y explotación de vulnerabilidades.

El objetivo es concienciar a programadores y responsables de seguridad sobre la importancia de desarrollar software seguro e implementar contramedidas con las que mitigar multitud de ataques que hoy en día siguen siendo la raíz de muchas intrusiones. Dichas contramedidas comenzarán con buenas prácticas de programación y el uso de funciones seguras que eviten errores de tipo buffer/integer overflow, use-after-free, off-by-one, etc. Por otro lado, se describen multitud de medidas tanto a nivel del compilador como del sistema operativo (DEP, ASLR, SEHOP, canary cookies, SPP, RELRO, etc.) que servirán de apoyo para frenar la ejecución de exploits que se aprovechen de software vulnerable. Como se detalla en la guía, dichas contramedidas servirán únicamente como un apoyo más a tener en cuenta a la hora de compilar e instalar aplicaciones ya que éstas pueden ser fácilmente eludidas si se implementan de forma aislada.

Lo que hace realmente atractiva esta guía (además de que está en castellano) es el enfoque práctico utilizado para detallar paso a paso multitud de herramientas y scripts (FOE, mona.py para Immunity Debugger, Ollydbg, etc.) con las que localizar y depurar en profundidad vulnerabilidades críticas.

El informe hace también especial hincapié en el uso de fuzzers (SPIKE, Peach, Bed, y algunos módulos auxiliares de Metasploit) así como el uso de herramientas de análisis de código estático/dinámico (Valgrind, Rats, RIPS, etc.) con las que ayudar al auditor de software a localizar vulnerabilidades desde un enfoque black/white box.

Aunque la guía presenta un alto contenido técnico, la misma está respaldada por multitud de enlaces a papers, publicaciones y blogs de gran interés por lo que presenta un buen punto de partida con el que adentrarse en el mundo de las vulnerabilidades y el exploiting.

La guía ha sido desarrollada por Borja Merino Febrero (@borjamerino), habiendo colaborado en la elaboración de la misma Joaquín Moreno Garijo (@MoxilO), ambos autores habituales de Security Art Work.

La guía puede descargarse desde la nota de prensa de INTECO-CERT, o desde el siguiente enlace: http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_software_exploitation.pdf.

Y ya que estamos en periodo estival y muchos de nosotros disfrutaremos de unos días libres, aprovecho para recomendar la lectura de algunos informes/guías de gran interés publicadas en 2011:

• ‘Guía de análisis de tráfico con Wireshark’ publicada por INTECO-CERT, desarrollada por Borja Merino y en la que se contó como colaborador con el CSIRT-cv.
• ‘Guía de pentesting: Information Gathering’ desarrollada de manera conjunta por INTECO-CERT y CSIRT-cv a través de Borja Merino.
• ‘Informe sobre la protección de Infraestructuras Críticas en España 2011’ desarrollada por S2 Grupo y específicamente por Antonio Villalón, José Vila, Jose Miguel Holguín y Nelo Belda.
• ‘Informe sobre seguridad en Juegos Online 2011’ desarrollado por S2 Grupo.