No último Sábado (18/11) aconteceu a 4º edição da NullByte Security Conference. A NullByte Security Conference é uma conferência técnica em segurança da informação que acontece anualmente em Salvador, Bahia e que vem se consolidando entre as conferências técnicas de segurança da informação no Brasil. A conferência é limitada a 50 pessoas e as inscrições esgotaram bem antes da conferência mas o pessoal da organização abriu mais inscrições que totalizou 87 pessoas inscritas oficialmente nessa edição. Como de costume, esse ano a conferência apresentou trabalhos técnicos interessantes e de bastante relevância no mercado.
A conferência foi realizada no mesmo local da edição anterior, a Sala de Arte do Museu Geológico da Bahia. O local comportou muito bem a edição anterior e dessa vez não foi diferente. Não tenho ideia quantas pessoas estavam presentes ao certo, mas acredito que tanto na sala de apresentações (um cinema) quanto na área livre, todos estavam confortáveis. O bar/lanchonete começou a funcionar cedo e bem antes da conferência iniciar, então, quem chegou cedo, teve tempo suficiente de pegar uma bebida, comer algo e ainda bater um papo antes de assistir a primeira apresentação que demorou um pouco de começar. Os slides estão disponíveis aqui e algumas fotos postadas pelo pessoal podem ser encontradas aqui. Até o momento que olhei, somente duas apresentações tem os slides publicados.
Ultra (Sound) Hacking – Victor Pasknel
Não assisti essa apresentação mas pelos comentários do pessoal, ela foi legal. Inicialmente, achei que a apresentação seria sobre hacking usando ultrassom e não sobre problemas de segurança em máquinas hospitalares. Victor também fez uma apresentação similar na Hackers 2 Hackers Conference baseado na agenda da conferência. Não encontrei os slides da H2HC nem da NullByte. Mesmo sem ter assistido a apresentação, o que pude aprender pelos comentários do pessoal foi a existência de um protocolo chamado DICOM.
Windows’s Kindnesses – Commoner to D-K(d)OM (Direct Kernel Object Manipulation) – Otávio Silva
Na edição anterior da NullByte Security Conference, Otávio Silva falou sobre Linux kernel. Dessa vez, ele veio compartilhar um pouco do seu conhecimento dos internals do Windows. Como esse assunto não é simples, a apresentação do Otávio foi um pouco densa com bastante informações sobre a arquitetura do Windows e difícil de acompanhar para quem não está familiarizado com o assunto. Os slides dessa apresentação estão disponíveis aqui. O que consigo lembrar da apresentação, basicamente, Otávio começou falando sobre retrocompatibilidade no Windows e como alguns problemas antigos ainda afetam as versões mais recentes. Segundo ele, a Microsoft considera essas questões como um recurso e não um problema. Logo no início, ele fala que os problemas mencionados na apresentação não é consequência de uma vulnerabilidade específica mas sim sobre recursos inerentes no Windows que podem ser abusados. Mesmo sendo usuário Administrador, o usuário não consegue interagir diretamente com o kernel do Windows devido a algumas proteções. Caso um desenvolvedor precise necessariamente fazer isso, ele precisa de um módulo para o kernel e um certificado para poder assiná-lo por causa do Windows Signed Driver Enforcement. Sem o certificado, não seria possível carregar o módulo. Aí entra o DKOM. Na definição do Otávio, poder acessar o kernel do Windows através de alguma entidade já confiável, como exemplo algum outro módulo já instalado. Ele lista alguns módulos conhecidos que apresentaram ou ainda apresenta problemas que podem ser abusados, como os módulos para GPU Nvidia e de mapeamento de memória da Asus. Por fim, ele fala como buscar problemas em outros módulos e sobre uma ferramenta que escreveu para injetar código em processos, chamada KiInjector e que pode ser encontrada aqui. O Otávio, mais uma vez, fez uma ótima apresentação, rica em detalhes.
LKM rootkit para kernels Linux atuais – Victor Ramos (m0nad)
Rootkits é um assunto que me interesso bastante então não poderia deixar de ver a apresentação do Victor. Ele falou sobre seu projeto chamado Diamorphine, um rootkit para o kernel do Linux que funciona nas versões 2.6.x/3.x/4.x. O Diamorphine funciona através de sinais (signals) e tem a capacidade de esconder arquivos, diretórios, processos, módulos do kernel e ainda escalar os privilégios para root. O projeto está disponível no Github e quem quiser pode encontrar mais informações aqui.
Explorando Aplicações Web Java com Deserialization – Manoel Netto
Saí no início da apresentação, Java não é muito a minha praia. Até o momento que presenciei, a apresentação estava legal e Manoel estava explicando detalhes de como acontece serialização e deserialização em Java através das classes ObjectInputStream e ObjectOutputStream. Gostei de ver o Manoel palestrando, ele já participou da NullByte e dessa vez veio como palestrante.
Is rust language really safe? – Joilson Rabelo
Nessa apresentação, Joilson Rabelo falou sobre a linguagem de programação Rust e como ela evita alguns problemas de segurança de acontecer. A linguagem de programação Rust é bem falada ultimamente e até então eu não conhecia quase nada sobre ela. A apresentação do Joilson foi legal, simples e direta ao ponto. Os slides estão disponíveis aqui. Ele começou exibindo um código em C++ e perguntando ao público se o código contém algum problema. Eu chutei uso de variável não inicializada mas quem acertou foi o Maycon Vitali. Eu não ouvi o que ele disse. A apresentação continuou e ele começou a descrever algumas características do Rust, como Ownership, Borrowing, algumas proteções em tempo de execução e finalizou falando sobre a palavra chave unsafe que permite ignorar algumas proteções e criar código inseguro.
WMI – The Hacker’s Perspective – Helping to pwn since Windows 2000 – Elbert Cirino (Tuxtrack)
Elbert Cirino falou sobre como o protocolo WMI pode ser utilizado durante ataques. Essa apresentação para mim foi mais interessante pelo fato de ser a primeira vez que vejo Elbert palestrando (Ou a primeira palestra dele?), um grande amigo meu. Eu pensei que ele ficaria mais nervoso do que como estava, apresentar não é fácil. No final a apresentação ocorreu sem problemas. Não posso falar detalhes sobre a apresentação porque não tenho experiência com ambientes Windows e nem os slides estão disponíveis. Aqui e aqui contém mais informações sobre WMI para quem quiser saber mais detalhes.
Surprise – Maycon Maia Vitali (0ut0fBound)
Como podem ver pelo título, a apresentação do Maycon foi supresa e somente quem estava presente no evento pode presenciar. Não posso falar do conteúdo mas posso comentar sobre a apresentação. Quem já viu Maycon apresentando sabe que ele é muito bom tanto na apresentação quanto tecnicamente, com uma boa dinâmica e didática nas apresentações. Acho que o pessoal acertou colocando ele para falar por último, fechando muito bem essa edição de 2017.
O que me surpreendeu nessa edição foi a presença de alguns amigos de outros estados que vieram somente para assistir a conferência. Também me surpreendeu a quantidade de garrafas de uísque. Não lembro de ter acontecido ano passado mas esse ano teve leaks no banheiro, como acontece também em outras conferências. Gostaria de parabenizar o pessoal da organização porque acompanho o trabalho deles e sei que não é nada fácil realizar uma conferência com a qualidade da NullByte na Bahia, onde há pouco ou nenhum suporte local. A próxima edição já tem data marcada e será em 10 de novembro de 2018. Vejo vocês ano que vem!
Anderson Nascimento 