Ponente: Roberto Peña ([email protected]) Responsable seguridad de Aconsait, seguridad orientada a Banca. Su twitter @wolfinside
Experiencia en seguridad en organismo de ministerio de defensa Orientación de la charla con caracter práctico. Auditoria de seguridad de caja negra En la charla nos centraremos en atacar para hacer daño humano, físico y digital
Se refiere a medios tecnológicos.
- Barato en cuanto a recursos humanos y materiales
- Resulta bajo nivel de peligro físico.
- Necesita alto nivel de anonimato
- Es menos seguro que un sistema global de seguridad
- Generalmente el encargado de implementar la seguridad también: mantiene la bbdd, ser productivo en su trabajo, etc. Poca especialización
- Se aplica poca inteligencia humana
- Gran volumen de vectores de ataque. Cuándo se hace un plan de seguridad de infraestructura se catalogan zonas de confianzas por colores. Por ejemplo, en una empresa la intranet es tanto o mas crítica que un servicio remoto (google, amazon, etc)
- Ventana de tiempo ampila. Ataque a un centro iraní de enriquecimiento de uranio. Una turbina que llevaba años funcionando.
En resumen, hacer daño de manera lógica es fácil.
Buscar mapa de sistemas abiertos de ICS en página púclia que se llama IRAN. Pueden proveer información.
Cuándo se descubre una inseguridad normalmente no se corrige por lo que es vulnerable muy a posteriori.
Los ataques DDOS no se hacen sólo para reivindicar. Normalmente se hace para que se levante el sistema de contingencia. Cuándo se cae la principal, se escanea la secundaria para buscar una vulnerabilidad que no se muestre en el sistema principal.
Cuándo se tiene un sistema en terceros, es conveniente conocer como funciona. Protege lo tuyo y lo de tus compañeros. ISP, creamé un blackhole. Que se difumine el tráfico para que no se centralice todo en un punto.
El organismo sospecha que van a tener un ataque físico inminente. Hacen una consultoría. Escanean todo el tráfico de la infraestructura. Quieren pillar IPs de gente que hacen peticiones mediante reconocimiento de patrones que sean sospechosos. Una vez que las tiene intentan geoposicionarlas. Sólo se buscan IPs de no están en redes anónimas (TOR, proxies de salto, etc). En google maps se reconocen densidad alta en xzona país vasco. Se repite el test en diferente fecha y la densidad geoposicional coiciden.
Por ejemplo, aquel que se descarga el robot.txt que no es un crawler. Esta es una de las casi 50 pruebas que hace el script.
Se realiza un estudio de la trazabilidad de una persona para saber el uso de hardware que hacía. Vectores de hardware.
Proliferan los ataques a los dispositivos home (video consolas, smart tvs, etc). Hay software que realizando un escaneo de cuentas hace un mapa de cuentas. TinEye: servicio de internet que introduciendo una imágen (aunque sea modificada) te dice en que sitios de internet aparece. Útil para caras públicas de empresas.
Gente que se va a otros paises, se implementan servicios de protección cibernéticas.
Otro servicio: facesearch. Dado un nombre te busca fotos de gente que podrían estar relacionados.
GeoCreepy es un software que geoposiciona datos de redes sociales como twitter, flicker, etc. Usando Cree.py y añadiendo soporte han conseguido geoposicionar hasta 20 redes sociales además de las que ya se soportan. Recomienda una versión antigua mejor que la nueva para modificarla, en las últimas versiones.
Directivo de entidad bancaria dice que se va de trabajo y aparece registrado en dos sitios de una red de locales de quedadas homosexuales.
Van más allá. Quieren comprobar que una persona que dice estar en una posición está allí realmente. Usa pushpin.py, software que dado una latitud/longitud con un radio determinado y una franga horaria muestra fotografías del sitio. Utilizado por fuerzas de seguridad para buscar testigos. Se muestran las fotos en un navegador cuya url empieza con wifo-5...
Ataques a cámaras de videovigilancia seguras. Pruebas sobre cámaras digitales inalámbricas. D-Link y otros fabricantes utilizan Foscam que tiene una vulnerabilidad que permite interactura con la cámara. El bug da en plano por una url un cgi con configuración ip. Además puedes pedir el /etc/shadows. Las cámaras tienen una pequeña cache que muestra por rstp, con vlc se conectan a una url a la cámara y se ve en streaming
También consiguieron romper los sistemas biométricos con un software llamado ZKSoftware. Vulnerabilidad de 2008 en sistema cherrypy. Dado que el sistema biométrico no es reproducible, en sitios críticos tienen un sistema aparte con un clave/password. Las credenciales han podido ser vistas con el exploid.
Sistemas scada "seguros" acccesibles desde internet. Están protegidos pero haciendo inyección se pueden ver y leer/escribir. OMRON es el fabricante al que han notificado pero son difícilmente actualizables.
Muestra un herramienta de monitorización frente a un ataque DDOS contra una web con dos recursos.
Va a hacer un paso a paso para atacar los sistemas con la información obtenida. Ya hemos obtenido muchos datos y ahora los utilizaremos.
Ataque a hospitales pero estando el mínimo tiempo en la sala de espera. Hacen un ataque al televisor utilizando la toma de red. Tenían la red segmentada. Tuvieron que ir a urgencia. Usando una raspberry IP con un adaptador ethernet a usb para poder snifar todo y seguir sacando al televisor. Metieron una batería para darle autonomía. Lo hicieron duplicando la tarjeta del hospital y con uniforme de allí
Otro caso: sin acceso presencial. Utilizaron botnet duplicando una página de telefónica. El dominio utilizando movistar sólo se queda activo durante el ataque. Lo que hace la web de exploit son una serie de vulnerabilidades dependientes del browser, persistencia en el equipo cliente por si se reinicia el equipo, etc. Le dicen a una persona que se conecta a la url de nuestra web y que haga un test de velocidad. Se le dice que la velocidad es más baja de su compañero. Así hacen que se le pase la url a otros usuarios.
Consiguieron acceso a listas de distribución, historiales de salud de pacientes, credenciales de personal, acceso a documentación médica de pacientes. Asistentes afirman que Diraya (plataforma de gestión de consejería de salud) que el transporte de datos va en plano (no encriptado).
El ponente dice que cuándo se le dice a un organismo que su infraestructura no es segura la respuesta es buscar responsable para que se arregle en vez de implantar seguridad profundamente.
- NOTA: todos los accesos pertenecen a auditorias (pentesting) a organismos con su consentimiento.
Ponente: Julián González. Consultor senior de seguridad de la información También de ACS iSecurity
Los dispositivos modernos permiten que se utilicen tanto para ámbito laboral como personal. Esto aumenta las amenazas que antes quedaban en el ámbito personal a la empresa. La seguridad normalmente se centra en el perimetro pero ahora se translada.
El nivel de sofisticación de los malware aumenta el conocimiento de un "empleado cabreado". Stoolnet explotaba 4 vulnerabilidades no reconocidas. Se replicaba por USB y va buscando el objetivo del ataque sin necesidad de conectarse a internet.
¿Y si te roban el móvil y tienes configurado acceso a serivicios de la empresa? Solemos memorizar la contraseña y vendemos esa información.
-
Acceso físico (robo o software espía) Dejar olvidado un iphone con malware en algún sitio. Pueden clonar SIM Spy phone, mobyle spy, etc
-
Sistema operativo Cada OS mete vulnerabilidades. Ojo con versiones antiguas Algunos fabricantes mantienen sus versiones del sistema operativo. Esto puede retrasar la instalación de parches para reparar bugs.
-
Almacenamiento Spyphone es un malware que almacena información y da acceso a cámara etc. http://github.com/nst/spyphone
-
Comunicaciones, Bluetooh por ejemplo tiene una vulnerabilidad que permite la captura promiscua. Si consigues capturar los paquetes de emparejamiento consigues acceso. Puedo hacer un man in the middle para escuchar comunicaciones. Util para escuchar conversaciones con manos libres.
Wifi: no puedes autenticar el punto de acceso. Si vas a un McDonald otra persona puede estar snifando. SSLtrip (tomper cadena de certificados de seguridad) y MTiM (man in the middle)
GSM y 3g tienen vulnerabilidades que pueden ser explotadas. GSM tiene muchos problemas, por ejemplo generar ruido en 3g y que el dispositivo dado que no tiene buena conectividad pasa a GSM. Se pueeden suplantar sms, escuchar conversaciones de voz, etc. -
apps 9 millones de descargas de aplicaciones en Android malware. No se sabe que corre detrás. La mayoría Rusas
-
Localización 4square, google latitude, faebook lugares publican tu ubicación.
Evasión de políticas de seguridad de la empresa. Puedes usar el móvil como proxy
Perdida de control sobre la información. Como USB te sacas documentos de la empresa.
MiTM USB Attack. Pones a cargar un móvil en tu pc del trabajo. Haces un Man in the middle con una distro construida para ello. Se necesitan dispositivos Nexus y otros compatibles.
A los directivos les mola mogollón porque reduce costes. También aumenta el índice de riesgos de la empresa. Hay que aumentar la seguridad en la empresa. El parque de dispositivos aumenta y con ello las posibles amenazas.
##Mis consideraciones
La perspectiva de seguridad sobre los datos de la empresa que se expone es muy cerrada. Por ejemplo se plantea obligar al empleado dejar el teléfono móvil fuera de la empresa. Al final se hace una reflexión: hasta que punto para tu empresa puede ser un riesgo que se filtre un documento valioso. ¿Es excesivo este planteamiento en un ámbito empresarial?
Ponente: Pablo González de Eleven Paths Twitter: @pablogonzalezpe
https://latch.elevenpaths.com/
Es un servicio de "autenticación" y administración de identidades digitales. Permite reducir el tiempo de exposición de identidades digitales.
Se basa en un serivicio que se utiliza en las aplicaciones que gestionan los perfiles digitales. De esta manera una cuenta de usuario en un servicio se "latchea"
#Latch no sólo protege identidades Login es una operación básica a las que se pone latch. Pero no es la única. Podemos "latchear" servicio de transferencia de archivos, el sudo/su, claves rsa, etc.
Latch también provee sistema de contraseñas de segundo uso (segundo factor de autenticación).
Podríamos delegar en otro usuario (admin, padre/madre, etc) la activación del lach.
Permite planificar entre que horas se abrirá el latch.
estudioherramientas.incibe.es
En la web se puede obtener plan de 100 usuarios si eres PYME si te registras antes del 30 de noviembre de 2015.
Es necesario utilizar mecanismos para buscar identidades digitales de organizaciones para buscar vulnerabilidades.
El pentest clásico (auditoria de seguridad mejor caso cada 3 meses) deja de ser útil en el momento de usarlo. Con esta herramienta se hace un pentesting m2m