03 noviembre 2012

Crónica NoConName 2012 - Día 1 #ncn2k12


Como ya os hemos venido avanzando a lo largo de este mes, ha comenzado la edición 2012 de uno de los eventos de seguridad más relevantes en España: la NoConName

Desde Security By Default, hemos tenido el honor de participar en el evento y os traemos un resumen de las charlas presentadas.


Triana: Análisis de malware, sin malware por Juan Garrido "Silverhack" y Pedro Laguna




La pareja de andaluces fueron los encargados de inaugurar la primera de las charlas de la NcN.
Ambos presentaron una herramienta muy útil, hecha en Python, en momentos previos de análisis de malware: Triana. Es curioso, sirve para ayudar al análisis de malware, sin disponer de una muestra de malware. Básicamente, la idea es pasarle como parámetro un hash de un fichero muestra de un posible malware. La herramienta busca en un montón de fuentes de información como Virustotal, Threatexpert, Xandora o Alienvault, generando un informe en formato docx con gráficos incluídos,  dominios en los que se encuentra, claves de registro que añade o modifica el malware, ficheros que genera, etc,....



Ciberterrorismo & Data Harvesting: Si no nos atacan, es porque no quieren - por J. Daniel Martínez




Nuestro colaborador, Danito, nos habló de cómo es posible acceder a información sensible de organismos de Administración Pública española, gracias a la "transparencia" que hay a la hora de acceder a las propuestas hechas,...
Básicamente, gracias a la extracción de datos de diferentes webs, y centrándose en una red de metro de una ciudad española, se puede ver la tecnología utilizada para reconocimiento facial, mapas de red, redes inalambricas, sistemas SCADA, terminales tetra, vhf, uhf,... Igualmente, se pueden obtener historiales de reparaciones, piezas sustituidas, modelos de equipos usados, etc,... útiles a la hora de llevar a cabo la fase de búsqueda de información para alguien que quiera llevar a cabo un ataque

Además, nos dio información detallada del funcionamiento de los trenes utilizados en el Metro de "esa ciudad española"... Para acceder a las locomotoras, utilizaban tecnología RFID (en los trenes nuevos), y en los más antiguos, sin autenticación digital alguna.


Estrategias Nacionales de Ciberseguridad por Luis Jiménez



Julio Jimenez de CCN-CERT del CNI, nos habló de estrategias de ciberseguridad. Empezó explicando cuáles eran las amenazas digitales existentes a nivel nacional antiguamente, y cómo fueron evolucionando hasta lo que ahora conocemos como amenazas cibernéticas.

Sorprendentes eran las cifras que mostraba sobre los gastos que genera la actividad del malware. Asimismo, marcó como punto de inflexión, generando una gran explosión de malware, cuando surgió Zeus, apareciendo un mercado nuevo llamado "Malware as a service" siendo fundamentalmente promovido y fomentado por mafias de crimen organizado, que paga de forma suculenta el descubrimiento de Zero-days.

Como conclusión, indicaba que, como además vivimos permanentemente conectados, cada día somos mas vulnerables, y por ello son necesarias nuevas estrategias de seguridad para hacer frente a estas amenazas.



Fc00:1 y algunos ataques IPv6 por Chema Alonso



El genial Chema Alonso, empezó su charla dando una introducción y generalidades sobre IPv6:  configuración de direcciones IP, los prefijos (antiguas máscaras IPv4), dirección de loopback, multicast, gateway por defecto, etc...

Después, pasó a contarnos las graves deficiencias de las implementaciones y diseño de IPv6: Direcciones DNS predefinidas que cualquiera puede asignarse en una red; la forma en la que se puede indicar a una máquina que tiene una IP existente ya en la red para forzar su cambio automático; Linux que responde siempre a peticiones multicast; el comportamiento de una máquina ante la recepción de un mensaje de red de otro dispositivo que dice que es un router y que las máquinas lo tengan en cuenta para enrrutar paquetes; anunciar una IPv6 con una dirección MAC rogue, derivando en un DOS;la herramienta "Parasite6" incluida en Backtrack para hacer MiTM, etc, etc,...

Y sí!! Finalmente nos presentó y enseñó la Evil Foca, que implementa todos estos ataques,....


Historia de una extorsión por César Lorenzana y Javier Rodríguez





Inicialmente, César y Javier comenzaron dando una introducción sobre cómo funciona la unidad de Grupos de Delitos Telemáticos.

Muy rápidamente, pasaron a explicar un caso real ocurrido en una empresa en la que, por un fallo humano, al abrir un "fichero.pdf.exe" recibido por correo, empezaron a pasar cosas extrañas.

Al poco tiempo, el CEO de la empresa empezó a ser extorsionado, recibiendo correos en los que se le pedía una cantidad económica importante, con la promesa de enviar información privada y sensible de la empresa a la competencia, en caso contrario. Estos correos se acompañaban de muestras de ficheros sensibles de la propia compañía, para dar prueba de que así pasaría.

El intruso era capaz de hacer cualquier cosa en la empresa. Los sistemas de seguridad implementados eran "lamentables", pese a ser una empresa que disponía de la certificación ISO 27001.

Contaron cómo a través del análisis de la muestra de malware, llegaron a dar con el extorsionador, deteniéndole e inculpándole.

Como podéis imaginar, se trataba de un ex-empleado de la misma, que se conocía al dedillo la organización y que había terminado bastante mal con la compañía.


Give me your credit card, the NFC way por José Miguel Esparza




El gran José Miguel Esparza nos habló inicialmente de los usos que tienen los tags NFC, y sus posibles aplicaciones, haciendo especial hincapie en los medios de pago.

Nos enseñó un video con el que un Android podia leer un tag NFC que, al acercar el dispositivo,  dirigía a la web preconfigurada en la acción del tag NFC. Esto que en este caso era una inocente web,tranquilamente podría haber sido un codigo USSD que hiciera un hard reset de un dispositivo o que inutilizara la tarjeta SIM...

Igualmente, destripó el funcionamiento y arquitectura interna de las tarjetas EMV bancarias que soportan este tipo de tecnología de pago. Además demostró el funcionamiento de una herramienta realizada por él que permitía, simplemente con acercar el lector, obtener la información contenida dentro.

1 comments :

☠ Dani Martinez ☠ dijo...

Por si interesa o alguien las quiere, las diapositivas de mi charla de forma temporal las podéis encontrar en: camisetasfrikis.es/NcN_2k12.pdf



Un saludo y mil gracias por la cobertura del evento Lorenzo, eres grande.