(Por Rubén Borlenghi, el Microsaurio) Lo que te voy a contar es el final del día jueves, por si no viniste al anteúltimo día de Ekoparty 2011. O si solamente te sentaste en la platea, paciente, sin meterte en el bar, la sala de abajo o la de la competencia de ataque a la red. Pero vamos por partes, como diría el inefable Jack.
Final de día jueves. La sala estaba repleta, porque Deep Boot, la presentación de Nico Economou y Andrés Luksenberg (ambos de Core Security) ya venía generando comentarios desde el mes pasado. No voy a resumir acá un cuidadoso trabajo de meses; cuando tenga a mano un péiper pondré el link.
Brutal compresión: Nicolás explicó (y mostró en vivo) cómo es posible controlar el arranque de un sistema operativo, hasta controlar el kernel. Y por supuesto, dejarlo instalado de tal manera que vuelva a aparecer al reiniciar el equipo. Lo demostró sobre un Windows XP, pero creí escuchar que hablaban además de que se podía hacer con Los Parientes de Unix (vivan en Manzanas o no). Fue muy curioso observar una secuencia de arranque con un mensaje intruso en ella, ligeramente parecido a lo que se ve en este breve video previo a la Eko. Picante, la frase que largaron como al pasar “…y mirá vos, el antivirus que está instalado ni se entera…”. Lo cual se veía en la pantalla de proyección, no vayas a creer. Sí, no se preocupen, también voy a tratar de conseguir un dato más sobre eso, de la fuente, como corresponde.
Hablando de antivirus, virus para el sector de arranque existen desde hace uf… años, pero este es otro tema; además, la historia de diseñadores de código variado, sea rootkit o no, que se meten con el BIOS o la etapa de arranque de la máquina, tampoco es nueva; recuerden a la bonita Joanna Rutkowska con su Blue Pill o Anti Evil Maid, o las investigaciones anteriores de gente de Core Security, sobre infectar el BIOS o esa que analiza porqué Intel compró a McAfee (¿te olvidaste que Intel provee motherboards que tienen BIOS a la mayor parte de las corporaciones norteamericanas, anche il governo e forze armate, caro mio?). O los hermanitos Kumar, que en 2007 se dieron el gusto de publicar el código del rootkit Vbootkit, preparado para cargarse a Vista alegremente desde el momento del arranque. Pero ojo: todos estos trabajos quedan chicos ante Boot Kit, capaz de meterse en el arranque del sistema “…desde la primera instrucción del booteo del BIOS…” tal como lacónicamente mencionaba la nota de avance.
Al trote a tomar café, o la cerveza tirada helada de Immunity, hacer un poco más de “networking”, como dicen los gringos, y regresar a la sala, para enterarse de lo que Pablo Varangot y Fernando Russ podían hacer con Python, con fines totalmente educativos, otra vez. Porque, por supuesto, poner “shellcode” y “payload” en el título de la presentación era solo eso. Se trata de desarrollar la forma de meter código “extraño al sistema” (no diré una palabra más…) y mostraron cómo emplearon para su trabajo una herramienta, que liberan con licencia opensource.
¿Entendés ahora por qué dije que no hay que perderse la Eko?
Vi la presentación de Ariel Futoransky sobre técnicas de precognición y su aplicación informática, y seguí tomando café… y fue a ver cómo andaba el Team Coca Cuela en el desafío informático… y llegó el día viernes. Pero eso te lo cuento en el próximo capítulo.