30 marzo 2012

Crónica de la ACK Security Conference: Día 2

Top 10 OWASP vs Sitios Web de Colombia por David Moreno 
Inaugurando este segundo el día, el colombiano David Moreno, especialista en pentesting y con un gran dominio sobre seguridad web, nos ilustró sobre el estado del arte de los Top 10 ataques OWASP y nos demostró la mala protección de varias organizaciones/web con ejemplos de todos y cada uno de los ataques descritos en el Top 10 de OWASP. La conclusión a la que llegamos es que realmente, las medidas de seguridad y malas configuraciones de webs importantes colombianas, es tan relajada como en el resto de los países.  



Welcome to your secure /home, $user! por Lorenzo Martínez
En esta charla el sexy orador español… es decir, yo mismo :D conté las capacidades de Skynet, como programa capaz de integrar diferentes elementos domóticos de manera que me haga la vida más fácil: Roomba, alarma, estación meteorológica, termostatos, webcams, etc,… asimismo, conté cómo crear un sistema de reconocimiento de caras en imágenes, y utilizarlo como elemento de seguridad para detectar intrusos en una casa cualquiera.


Vulnerabilidades en Modems por Pedro Joaquín
Uno de los ponentes que más gratamente me ha sorprendido ha sido Pedro Joaquìn. El mexicano, creador de la herramienta RouterPwn, mostró la realidad de la inseguridad de los diferentes routers que los ISPs distribuyen a sus clientes. Es increible la base de datos de exploits de routers que la propia web www.routerpwn.com te permite lanzar.  Esta herramienta ha sido diseñada como un framework de exploiting, que permite configurar los exploits antes de lanzarlos. Fue programada en HTML puro y Javascript con el propósito de funcionar en cualquier dispositivo. Incluso existe una version en Google Play disponible para Android. El principal problema de las vulnerabilidades en routers caseros es que aùn cuando los fabricantes de los dispositivos ya han corregido las vulnerabilidades, en muchos casos depende del ISP enviar las actualizaciones.



Aventuras y desventuras del análisis de malware por Sebastián Bortnik
Tengo que decir que esta charla, lamentablemente (no me mates Sebas), me la perdí. Sin embargo el encantador y diligente ponente Giovanni Cruz que sí que pudo asistir, tomó notas del resumen para Security By Default. Bajo estas líneas os pego lo que me envió:

"Sebastián nos contó la cantidad de archivos infectados con los que trabajan en los laboratorios de ESET alrededor del mundo diariamente (aprox 200.000 muestras). Dentro de estas revisiones, algunas veces, pueden encontrar interesantes muestras de malware.

Dentro del análisis también es bastante obvio que el malware actualmente desarrollado, se encuentra relacionado con ánimo de lucro, un aspecto netamente economico y que las mayoria de las veces se encuentra relacionado con un delito informatico. Con una muestra especifica de malware, pudieron evidenciar que los creadores de malware, generan restricciones que propagan infecciones dentro de su propio país, con el fin de evitar algún tipo de proceso legal que se pueda generar para ellos.

Una de las grandes conclusiones de esta charla, que fue documentada mediante diferentes demostraciones, fue que mediante ataques relativamente sencillos (phishing, rogueware), es posible obtener información o lucro (o ambas cosas). Además, se evidenció que la necesidad de sensibilización cada vez es más latente.

Otra interesante conclusión fue la utilización de binarios con pequeñas modificaciones, para hacer cambios (sobre todo estéticos) a piezas de malware con el fin de engañar a sus víctimas.

Por último... y, como una gran conclusión que se conoce a gritos, es la utilización de permisos elevados en equipos Windows, que dan mayor facilidad a un atacante para poder usar una máquina a su antojo como el ejemplo de la botnet más grande en latinoamerica: Dorkbot" 

Muchas gracias Giovanni!




Wi-fi: Un mal karma! por Andréz Lamoroux
El simpático colombiano introdujo su charla con diversos tipos de ataques de red, aplicables a tráfico wireless.
Casi toda la charla fue práctica, utilizando backtrack y pineapple, simuló un punto de acceso falso, con un nombre conocido… Por otra parte, mediante SSLStrip, Hamster, URLSnarf, Driftnet,... era muy divertido ver a lo que la gente se conectaba (en general, porno).
Como digo, una charla eminentemente práctica, que educó a la audiencia sobre lo peligroso que pueden resultar las redes públicas inalámbricas



Detectando intrusiones en la Red. Más allá del IDS por Roberto Martínez 
Muy en la línea del taller que impartí en el primer día de ACK, titulado "Buenas Prácticas de Seguridad en entornos corporativos", el mexicano Roberto Martínez comenzó mentando compromisos en empresas de seguridad, haciendo hincapié en una de las protagonistas de los escándalos más sonados del 2011: RSA. En unas cuantas transparencias evidenció los pasos utilizados para el APT del que dicha organización fue víctima. La parte de Demo que llevó a cabo Roberto, explicó cómo combinar ingeniería social, para lograr engañar a un usuario, mediante un ataque APT, que ejecute un sencillo "juego" para que ejecute una conexión HTTPS contra una máquina que espera con Metasploit,... y a partir de ahí, abrir una sesión que permita acceso total al sistema de la víctima.
La conclusión fue bien clara: no importa cuántas soluciones se incluyan en la seguridad perimetral de una organización, al final el eslabón más débil sigue siendo el sentido común (o la falta de éste) por parte de los usuarios.