jueves, 21 de junio de 2012

La vuelta de RECon 2012 ...

Hace unos días ya desde que Francisco y yo volvimos de dar nuestra charla en RECon y me pareció que se merecía un post por varias razones:

1- Primero, decir que Montreal es una ciudad increíble. La comida maravillosa, la cerveza espectacular, la gente muy amable y para culminar, el festival al cual asistimos esos días, Les FrancoFolies, fue gigantesco!.

2- RECon estuvo de 10!. La calidad de las charlas fue espectacular, sin dudas es LA conferencia sobre RE.

3- Nuestra charla, gracias a Dios, se desarrolló como lo habíamos planeado. En mi humilde opinión, estuvimos bien, el material fue de calidad y la presentación salió sin nervios y muy clara. Cuando suban los videos ya van a poder apreciar si fue así como les cuento o todo lo contrario.

Además, quería decirles que acá pueden encontrar los slides de la charla y acá pueden encontrar eXait, la herramienta que hicimos para testear todas las técnicas anti-DBI que presentamos.

Por cierto, junto con Francisco, hicimos un post en el blog de Core Security detallando un poquito más como fue la presentación. El post lo pueden leer aquí.

No tengo mucho más para contarles.

Hasta pronto!.

lunes, 4 de junio de 2012

El camino hacia RECon 2012 ...

RECon 2012 está a poco más de una semana!.

REcon es una conferencia sobre temas relacionados con la seguridad informática y reverse engineering organizada en Canada desde 2005. No cuenta con el presupuesto de otras conferencias de este estilo como BlackHat/Defcon, tampoco tiene la cantidad de público de estas otras e inclusive podríamos decir que apunta más a un público local que internacional pero, bajo mi punto de vista, todas estas cosas se compensan con la calidad de las charlas y trainings presentados que, en mi opinión, tienen mayor contenido técnico que las charlas presentadas en BH/Defcon, por ejemplo.

Personas muy reconocidas en el ambiente del RCE como Gerardo Richarte, Alex Ionescu, Rolf Rolles, Tomislav Pericin (ap0x), Nicolas Brulez (Armadillo Copymen), entre otros, presentan charlas y trainigs año a año que le dan a RECon ese título de ser una, sino la, conferencia con el mayor nivel técnico.

Este año, junto con Francisco Falcón, vamos a dar nuestra primer charla en una conferencia de seguridad informática y da la casualidad de que será RECon el lugar para hacerlo.

En nuestra charla titulada "Dynamic Binary Instrumentation Frameworks: I know you're there spying on me" vamos a presentar más de una docena de técnicas para determinar si nuestro programa está siendo o no instrumentado por un framework DBI, haciendo especial foco en Pin. Además, vamos a presentar una herramienta open-source llamada eXait para testear todas la técnicas presentadas durante la charla.

No quiero adelantar nada más de la charla, asi que si quieren saber más los invito a que vayan a RECon o en su defecto que se bajen el material de la charla una vez que termine la conferencia.

Acá les dejo el abstract de nuestra charla.

Hasta pronto!.

"""
Debuggers have been -and still are- the de-facto tool for dynamic analysis of programs. In the last decade a myriad of techniques to detect the presence of these kind of tools have been developed as a defensive measure to avoid the analysis of code during runtime.

Over the past few years, an alternative for dynamic code analysis appeared: Dynamic Binary Instrumentation (DBI) frameworks. These have gained popularity in the information security field, and their usage for reverse engineering tasks is increasing. Nowadays we have DBI-based tools that allow us to perform different kinds of jobs, such as covert debugging, shellcode detection, taint analysis, instruction tracing, automatic unpacking, and self-modifying code analysis, among others.

We believe that as DBI framework-based reverse engineering tools gain popularity, defensive techniques to avoid dynamic code analysis through instrumentation will arise. Our research pretends to be the starting point in the task of documenting and presenting different techniques to detect the presence of DBI framework-based tools.

During our talk we will show over a dozen techniques that can be used to determine if our code is being instrumented focusing on Pin, Intel's DBI framework. We will also release a benchmark-like open source tool, which allows to automatically test every technique discussed in the talk. We call this tool eXait, the eXtensible Anti-Instrumentation Tester.
"""