31 marzo 2012

Crónica de la ACK Security Conference: Día 3

 
Teensy board para pentesters y locos por Pedro Joaquín
Pedro Joaquín nos demostró las capacidades de un dispositivo llamado Teensy. Básicamente el dispositivo que simula ser un teclado, por lo que cualquier sistema operativo de los más comunes (Windows, Linux o Mac) por defecto lo autodetectan y lo instalan por defecto (no se considera un medio extraible que tenga un autorun.inf, sino un teclado externo), leyendo las "pulsaciones" por teclado. La gracia del dispositivo es que permite programar una serie de comandos/pulsaciones a enviar al ordenador al que se conecta, permitiendo ejecutar comandos a través del "teclado".

Nos dio varios ejemplos, utilizables para la Playstation, control de un dron, integraciones con Arduino que permiten incluso troyanizar un ratón/mouse, o incluso la creación de un ratón con unas células fotosensibles, de manera que ni siquiera haya que tocarlo. Existe además integración con SET para generar directamente scripts que se pueden copiar a un Teensy para ser utilizados con fines maliciosos. Estos dispositivos se pueden adquirir en pjirc.com por unos 18 dólares.

Después Giovanni Cruz nos enseñó diversos ataques a teléfonos VoIP mediante inundaciones UDP que hacía que, incluso dispositivos con firewall incorporado, se reiniciaran remotamente. Demostró además, diferentes herramientas de ataque a VoIP, como Juno para hacer un Syn Flood a Elastix, el servidor web de gestión de Asterisk, la centralita VoIP, y así dejaba fuera de combate además el servicio de VoIP. Además, con RTPInject por ejemplo, haciendo un MiTM entre la centralita y la víctima, inyectaba audio a la extensión deseada en cuanto descolgara una llamada.


Aplicaciones Web bajo la Lupa por Álvaro Andrade 

En este caso, Álvaro nos dio una interesante introducción sobre cómo las organizaciones añaden montones de dispositivos para dotar de diferentes mecanismos de seguridad a la infraestructura, creyendo que sólo por tenerlos, ya estaba 100% protegida.
Fue una charla bastante académica sobre cuáles son los riesgos de las organizaciones simplemente por tener una cara pública abierta a Internet. Abordó las diferentes fases de análisis de vulnerabilidades en una fase de auditoría web y de sistemas.
Además, hizo varias demostraciones de vulnerabilidades de sitios muy conocidos, incluso reportadas, pero que siguen activas.
Al final, la conclusion fue: "Se necesita una sola vulnerabilidad para desvalorizar la infraestructura completa"


Hackeando con Facebook por Matías Katz

El ponente argentino nos metió el miedo en el cuerpo con su charla hablando de 9 vulnerabilidades encontradas por ellos MKIT, en un servicio tan extensamente utilizado como la red social Facebook. Todas estas vulnerabilidades han sido reportadas a Facebook y se les ha contestado que son funcionalidades y no bugs. Entre otros, enumeración de usuarios, bypass de la privacidad de muros (incluso estando con máximos niveles de privacidad permitidos por Facebook), la inseguridad de las redirecciones en los enlaces publicados en Facebook , modificación de los mismos, cómo suplantar identidad en el envío de mensajes privados a usuarios e incluso a grupos y páginas de fan!!!! (estos últimos hicieron que se me pusieran los pelos como escarpias)…. Sólo diré que es posible a través del envío de correo!
Es absolutamente increible que Facebook siga diciendo que varias de estas vulnerabilidades presentadas tome la postura de: "It's a feature, not a bug!"




El Peligro de la Red Por Roberto Olaya

El ecuatoriano Roberto, habló de Sistemas Informáticos de Inteligencia… Empezó hablando de la red Echelon, mecanismos de interceptación de comunicaciones, nodos que componen la infraestructura, etc,… asimismo otras derivadas como Enfopol, Promis (espionaje financiero), Carnivore (Actividad de correo electrónico y actividad en internet), Linterna Mágica (troyano creado por el FBI que captura pulsaciones de teclado, incluso sin instalar un keylogger). A partir de ahí, y sobre todo del 11-S, la evolución de los sistemas pasó por la creación de la llamada Homeland Security… 
Aparecieron varios proyectos: Rapid Multilingual Support embebido en el casco de los soldados sirve de traducción en tiempo real,  para entender lo que le dicen en cualquier idioma; o Communicator para ver lo que hacen los propios soldados y retransmitirlo a un centro de mando,…  HumanID, para detección de reconocimiento facial, WAE (Wargaming the Asymetric Environment) que son sistemas predictivos de profiling de personas que puedan pertenecer a grupos terroristas,… entre otros programas para la "seguridad nacional".
Después de esta charla, no es que den ganas de cambiarse de país, sino de planeta!


3 comments :

Salome dijo...

jajaja la verdad place cambiar de planeta!! gran dia 3... cierra tu fb, twitter, msn.. gran evento de ACK Security Conference.. FELICIDADES!!

dario90 dijo...

Que desastre MKIT. Hay cosas que estan hechas asi porque la empresa que desarrolla facebook lo cree conveniente y no hay vuelta que darle. En los casos nombrados tiene toda la razon facebook, y lo de MKIT me da verguenza que sean argentinos. ¡Piensan que los expertos en seguridad de facebook y demas emrpesas en estados unidos son tontos y no vieron esas caracteristicas de facebook! Deja de robar MKIT. Si hay huecos de seguridad en facebook son muchisimo mas complejos y su personal no tiene las capacidades de encontrarlos.

Matias Katz dijo...

Dario, en ningun momento se ha dicho que lo presentado son
vulnerabilidades en la infraestructura de Facebook. La idea de
la charla fue simplemente mostrar como podemos hacer uso de
"funcionalidades" (declaradas asi por Facebook) para realizar un
ataque de ingenieria social.


Saludos,