Documents

Documents (presentations, papers, talks, etc.) produced by me either by myself or working with other colleagues:

2008-05: LACNIC XI Presentation - A Survey on Languages, Enumerations and Other Tools used for Security Information Communication and Sharing

Here you can find the talk I presented at LACNIC XI in Salvador, Brazil on May 26 2008. The title of the work is "A Survey on Languages, Enumerations and Other Tools used for Security Information Communication and Sharing". You can read the full abstract here and you can find the slides below.

The abstract follows:

A Survey on Languages, Enumerations and Other Tools used for Security Information Communication and Sharing

Abstract

All areas of knowledge related to computer, network and information security have been the subject of enormous interest in the last years. This interest comes not only from the academic community but from the general public as well, since many high-profile incidents involving data theft, identity theft and denial-of-service situations have grabbed headlines and threatened the confidence placed by the common user on the Internet as a whole.

Computer Security Incident Response Teams (CSIRTs) [BRO03] are widely regarded as a fundamental tool in the computer and information security landscape. These teams provide a dedicated and systematic look at security incidents. Fundamental in this model is the collaboration between different incident response teams.

Well-specified communication and specification languages help interacting teams share information without ambiguity. The OVAL ([MIT06],[OVA08]) (Open Vulnerability and Assessment Language) language for example standardizes the three main steps of the assessment process: representing configuration information of systems for testing; analyzing the system for the presence of the specified machine state (vulnerability, configuration, patch state, etc.); and reporting the results of this assessment.

There are several well-established initiatives that leverage processes for the communication and sharing of security-related data. CVE (Common Vulnerabilities and Exposures)[CVE08] , for instance, is a list of information security vulnerabilities and exposures that aims to provide common names for publicly known problems. The goal of CVE is to make it easier to share data across separate vulnerability capabilities (tools, repositories, and services) with this "common enumeration”. The CME (Common Malware Enumeration) [CME08] initiative, which is also managed and maintained by The MITRE Corporation, aims to provide single, common identifiers to new virus threats (i.e., malware) and to the most prevalent virus threats.

This work will present an introductory view to well-specified languages and enumerations used for communicating and sharing security-related data and information, including OVAL, CVE, CME and other related initiatives ([IOD08] , [IET08] ) and will motivate the role they may play in the environment of a operational CSIRT.

References

[BRO03] Handbook for Computer Security Incident Response Teams (CSIRTs). MJW Brown, D Stikvoort, KP Kossakowski. 2nd Edition: April 2003.

[MIT06] An Introduction to the OVAL Language. [en línea].

<http://oval.mitre.org/oval/documents/docs-06/an_introduction_to_the_oval_language.pdf> [Consulta: 14 de marzo de 2008]

[OVA08] Open Vulnerability and Assessment Language (OVAL), MITRE Corporation [en línea].

<http://oval.mitre.org/oval/about/index.html > [Consulta: 14 de marzo de 2008]

[CVE08] Common Vulnerabilities and Exposures (CVE), MITRE Corporation [en línea].

<http://cve.mitre.org/> [Consulta: 14 de marzo de 2008]

[CME08] Common Malware Enumeration (CME),MITRE Corporation [en línea].

< http://cme.mitre.org/> [Consulta: 14 de marzo de 2008]

[IOD08] Incident Object Description and Exchange Format Working Group (IODEF) [en línea].

<http://www.terena.org/activities/tf-csirt/iodef/> [Consulta: 14 de marzo de 2008]

[IET08] IETF Extended Incident Handling (INCH) Working Group [en línea].

<http://www.cert.org/ietf/inch/inch.html > [Consulta: 14 de marzo de 2008]

Attachment	Size
lacnicxi-survey-lang-enum-05.pdf	318.57 KB

2008-11: FIRST Technical Colloquium November 2008 : Fast Flux Service Networks

Abstract and slides of the talk I presented at the Montevideo FIRST Technical Colloquium, November 2008. Spanish only yet (sorry!)

Nuevas Armas de Viejos Enemigos: Fast Flux Service Networks

Carlos M. Martínez (carlosm@fing.edu.uy)

ANTEL – Facultad de Ingeniería

1. Abstract

Los sistemas informáticos de diferentes clases han sido siempre víctimas de diferentes tipos de abusos y compromisos de seguridad. Las motivaciones de los ataques y los atacantes han ido cambiando con el tiempo y el abuso de sistemas ha pasando de ser una tarea llevada adelante por individuos aislados o en pequeños grupos en busca del reconocimiento de sus pares a ser una industria de grandes proporciones en busca de réditos económicos.

El foco de los atacantes ha pasado de buscar vulnerabilidades de bajo nivel a nivel de red o de sistema operativo (buffer overflows y similares) a buscar formas de explotar sistemas en capa de aplicación y mecanismos de fraude que muchas veces no pasan por abusar directamente del computador de la víctima si no de su confianza e ingenuidad.

Uno de los fraudes más populares es el conocido como Phishing. En el, un usuario excesivamente confiado es engañado para ingresar algún tipo de información sensible como ser passwords y números de tarjeta de crédito o de cuentas bancarias en una página web diseñada para verse exactamente igual a la de una institución bancaria o emisora de tarjetas de crédito. Esta información es colectada y luego usada por el directamente por el defraudador o revendida en Internet.

Para proporcionar un cierto grado de anonimato, estas páginas fraudulentas no son alojadas en sistemas propiedad del defraudador si no en servidores web de terceros que han sido atacados y comprometidos. Sin embargo, esto hace que una vez denunciado el fraude, sea muy sencillo para los administradores de red y de sistemas bloquear el acceso a las páginas de phishing. Además, el análisis forense de un servidor web comprometido puede proporcionar logs y otras pistas que pueden permitir identificar la fuente del ataque.

La proliferación en Internet de conjuntos de sistemas comprometidos controlados por una entidad central o botnets [1] proporcionan una plataforma ideal para alojar páginas web fraudulentas. Por un lado, las botnets están compuestas por computadores hogareños, lejos del alcance el análisis forense, lo cual agrega un nivel adicional de anonimato y por otro lado por su naturaleza distribuida, las botnets pueden alojar contenido web con alta disponibilidad.

Es en este contexto que se ha venido observando la aparición de un nuevo fenómeno conocido como Fast Flux. En el, los atacantes aplican técnicas de gestión de resolución de nombres (DNS) para dar alta disponibilidad a los sitios web fraudulentos alojados en botnets.

Un dominio en single fast flux combina tiempos de vida (TTL) cortos con frecuentes cambios y rotación a nivel de los registros “A” de DNS entregados como respuesta a consultas. De esta forma, si un agente de la botnet es eliminado por los administradores de red otro toma su lugar, aunque si el servidor DNS del dominio es eliminado toda la red es silenciada. El double fast flux agrega a lo anteior la rotación de los registros “NS” también con TTLs pequeños, agregando además alta disponibilidad a la resolución de nombres.

Este fenómeno es relativamente nuevo ([2], [5]) y es poco el trabajo que se ha realizado sobre el mismo. Entre otros aspectos, es necesario contar con métricas que permitan detectar redes en fast flux así como formas de estimar su tamaño y posibles mecanismos para bloquear el acceso a los contenidos alojados en las mismas.

El presente trabajo introduce conceptos básicos de DNS y botnets para luego presentar el fast flux mencionando los mecanismos de detección propuestos hasta el momento por la comunidad.

2. Referencias

[1] Ianelli, N., Hackworth A. “Botnets as a Vehicle for Online Crime”, International Journal of Forensic Computer Science: http://www.ijofcs.org/webjournal/index.php/ijofcs/article/viewFile/11/11

[2] Holz T., Gorecki C., Rieck K. and Freiling F. C. “Measuring and Detecting Fast-Flux Service Networks”:

https://pi1.informatik.uni-mannheim.de/filepool/research/publications/fast-flux-ndss08.pdf

[3] Know Your Enemy: Fast Flux Service Networks: http://www.honeynet.org/papers/ff/fast-flux.html

[4] SSAC Advisory 025: SSAC Advisory on Fast Flux Hosting and DNS: http://www.icann.org/en/committees/security/sac025.pdf

[5] Nazario J., Holz T. “As the Net Churns: Fast Flux Service Networks Observations”; MALWARE’08: http://honeyblog.org/junkyard/paper/fastflux-malware08.pdf

Attachment	Size
FIRST_fastflux-tc2008-01.pdf	1.04 MB

2009-05: IPv6 with 6to4 at Home

Together with my friend Roque Gagliano from LACNIC, we presented a short talk on using IPv6 via 6to4 at home. Two different approaches were shown: Roque flashed his home router with an open source firmware called DD-WRT while I used a local Linux box as a local IPv6 router effectively creating two distinct network topologies for v4 and v6 at home.

Here are the slides for this talk.

Attachment	Size
6to4athome-v2.pdf	261.88 KB

2009-05: LACNIC XII - Fast Flux Service Networks (in English)

Here you find the slides on Fast Flux Service Networks that I presented at LACNIC 12 in Panama City. Both Spanish and English versions are provided.

Files with the string "_EN" in their name are in English.

Files with the string "_3h" in their name are handouts with three slides per sheet.

Attachment	Size
fastflux-lacnic12-01_EN.pdf	604.61 KB
fastflux-lacnic12-01_EN_3h.pdf	596.28 KB
fastflux-lacnic12-01.pdf	683.53 KB
fastflux-lacnic12-01_3h.pdf	542.12 KB

FACTOIDS - Modelos y Herramientas para el Intercambio Seguro de Datos Colectados por Sensores

Este trabajo fue aceptado para su publicacion en el Congreso Ibero Americano de Seguridad Informática (CIBSI) edición 2009. Mas información acerca del mismo puede encontrarse en su sitio web.

FACTOIDS: Modelos y Herramientas para el Análisis e Intercambio Seguro de Datos Colectados por Sensores

Carlos Martínez-Cagnazzo

Facultad de Ingeniería, Universidad de la República

Julio Herrera y Reissig 565, Montevideo, Uruguay

Resumen. Los Computer Security Information Response Teams (CSIRTs) son organizaciones de servicio que alojan equipos de trabajo altamente especializados que realizan respuesta a incidentes de seguridad ya sea a nivel de coordinación u operativa. Las actividades maliciosas en Internet no reconocen fronteras de ningún tipo por lo que para poder llevar adelante su tarea con la mayor efectividad posible, los CSIRTs deben establecer relaciones de confianza entre sí para poder compartir información. Para ser aceptables, estos intercambios de información deben además respetar las políticas de seguridad de la información de las organizaciones madre de los respectivos equipos de seguridad y para ser lo más efectivos posible deberían poder ser automatizables. Este trabajo presenta una introducción a este escenario de intercambio de información entre CSIRTs, para luego analizar algunas herramientas y arquitecturas relevantes encontradas en la literatura, realizar una análisis de requerimientos y proponer una arquitectura de alto nivel para intercambio de información automáticos entre CSIRTs a través de dominios administrativos de manera de respetar las políticas de SI de cada organización.

Este trabajo fue aceptado para su publicacion en el Congreso Ibero Americano de Seguridad Informática (CIBSI) edición 2009. Mas información acerca del mismo puede encontrarse en su sitio web.

Attachment	Size
factoids-cibsi-04.pdf	460.24 KB
factoids-tc-cibsi09-mvd.odp	327.57 KB