Español | English
rss facebook linkedin Twitter

Race to Zero: conclusiones

Durante esta última edición de Defcon, se celebró el controvertido concurso denominado 'Race to Zero', que como comentamos ya en una entrada anterior, causó un pequeño revuelo entre los vendedores de software antivirus.

Este concurso se celebraba en el salón multiusos adyacente al CTF donde nuestros colegas de Pandas with Gambas intentaban realizar sus breakthrough, un salón donde se congregaban personas de diferentes países, y sobre todo, de diferentes formas de vida (había un par de norteamericanos que eran unas máquinas al Guitar Hero, algunos maestros de lockpicking, y mucha gente que hacía cosas demasiadas extrañas para preguntar). En realidad el concurso se celebraba en 4-5 mesas donde había unas 10-15 personas.

El concurso en sí no despertó mucho interés de los asistentes a Defcon, más preocupados con la charla de Dan Kaminsky (la misma que dió en BlackHat en el Caesars), y realmente todos los equipos se afanaban en conseguir mutar los 10 ejemplares que se suministraron usando una mezcla de OllyDbg, IDA y algún editor hexadecimal (el mítico hiew). Nuestros amigos de iDefense se habían presentado (nos contaron que habían estado preparando algún packer polimórfico durante estas últimas semanas), y consiguieron completar todos los especímenes en unas 6 horas. Bueno, realmente todos no, puesto que una prueba consistía en un exploit de Word 2000 y nadie tenía un Microsoft Office 2000 :).

La cobertura por parte de la prensa ha sido escasa (a pesar del interés inicial), pero hay algún site donde comentan el transcurso del evento, y parece que ninguna casa antivirus ha comentado nada al respecto, pero lo que sí que es evidente, y ellas lo reconocen, que es necesario replantearse la manera de luchar contra el código malicioso.

Actualización (27/08/2008): Rafa Sanchez nos comenta una entrada en su blog relacionada con el tema.

David Barroso
S21sec e-crime

3 comentarios:

Rafa Sánchez dijo...

Por si a alguien le interesa, puse hace no mucho, una entrada en mi blog sobre cómo ocultar malware a los antivirus. Es un how-to bastante sencillito.
http://rafasec.blogspot.com/2008/08/ocultar-troyanos-virus-etc-los.html
Seguramente, en el concurso de la BlackHat fuera necesario algo más complejo, pero resulta curioso lo sencillo que puede resultar a veces engañar a antivirus como Kaspersky o Nod32.
Por cierto, la entrada está desarrollada a partir de una charla de la Shmoocon 2008 ("Hacking and Stuff")
Un saludo !

S21sec e-crime dijo...

Gracias Rafa, he actualizado el post para enlazar el tuyo. En BlackHat los primero ejemplares eran facilones, aunque la verdad es que los últimos que se suponían más complejos no se tardó mucho en modificarlos.

vseo dijo...

Qué bueno :)


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login