11 DE JUNIO, 2019 / UNIVERSIDAD TECNOLÓGICA NACIONAL BSIDES CÓRDOBA 2019

DISERTANTES

Testeando seguridad en aplicaciones móviles

Hoy muchos de los casos de Ingeniería Social, ocurren por existir sitios Web y aplicaciones publicadas a Internet con fallos de seguridad, El robo de credenciales de los sitios Web es una constante. Se va mostrar como usar Inyection y XSS sobre un sitio Web y como con metodologías utilizando OWASP podemos revisar la seguridad de un entorno Web y aplicaciones móviles (APK e IPA), usando sobre todo aplicaciones Open Source.

Problemática actual

Metodología de evaluación de software

OWASP

◦Metodología.

◦Análisis estático vs dinámico.

◦Herramientas y soluciones.

Infraestructura al rescate.

SITUACIÓN ACTUAL

Exposición de los servicios y datos a Internet.

¿QUÉ OCURRE HOY EN INTERNET?

PLATAFORMAS INSEGURAS

PROBLEMÁTICAS

Framework desarrollo instalado en producci ón

Ausencia de ambientes desarrollo / testing

Ausencia de validaciones en formularios Web.

Fallas en validación/ autenticación

Software con ” hardcode

Ausencia de conexi ón cifradas.

Configuración Web permite SQL Injection

Usuarios de prueba en producción.

Base de datos sin protección o semilla.

Datos sensibles en base de datos :

Ley 25326 Rep. Arg

HIPAA La Ley de Transferencia y Responsabilidad de Seguro Médico

Health Insurance Portability and Accountability Act ,

PCI DSS,

Otros.

INTRODUCCIÓN A OWASP

Open Web Application Security Project

OWASP

Promueve el desarrollo de software seguro

Orientada a la prestación de servicios orientados a la Web

Se centra principalmente en el "back end" mas que en cuestiones de diseño web

Un foro abierto para el debate

Un recurso gratuito para cualquier equipo de desarrollo de software

https://www.owasp.org

OWASP Top 10

OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP.

El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.

ANÁLISIS APLICACIONES MÓVILES

Análisis estático.

Análisis dinámico.

Análisis tráfico de red.

Desarrollo

-Analizar aplicaciones desarrolladas internamente o por terceros

Area Seguridad

-Analizar aplicaciones adquiridas por la compañía

ANÁLISIS ESTÁTICO

ANÁLISIS DINÁMICO

¿COMO TESTEAR?

No hay presupuesto no es una excusa.

OWASP provee metodología de evaluación.

VER PLANILLA

Uso de herramientas Open Source

-MobSF

-Qark

-Mara

CÓDIGO FUENTE NO PUEDE MODIFICARSE

Resolver con Infraestructura

DIME QUIEN ERES Y ....NO NO ,DEJA YA LO SÉ

EMILIANO PISCITELLI

Conferencista internacional especialista en Ingeniería Social y concientización teniendo como premisa que la seguridad comienza por el humano, desarrollando y exponiendo así diferentes técnicas y herramientas que ayudan a elevar la seguridad de las empresas y las personas que la componen.

Contando con distintas certificaciones internacionales y más de 10 años de experiencia brindando capacitaciones y consultoría en Seguridad IT a empresas Nacionales e Internacionales, como así también asesoramiento personalizado a CEO's y Gerentes, tanto del sector público como privado.

Actualmente gran parte de nosotros utilizamos distintos servicios en internet, almacenamos y compartimos información cómo: lugares visitados, fotos personales, comentarios relacionados a afiliaciones religiosas o políticas, gustos, hobbies, entre tantas otras.

Esta información puede ser aprovechada y utilizada por terceras partes (personas u organizaciones) con distintos objetivos, como así también puede ayudar a realizar investigaciones y aportar información valiosa que contribuya en el esclarecimiento de distintos hechos.

A lo largo de esta charla interactiva, recorreremos conceptos y metodologías, y utilizaremos distintas herramientas que nos ayudaran a comprender cómo es posible aprovechar en conjunto el potencial de OSINT y el poder de la Ingeniería Social para llevar a cabo estos objetivos.

TRAFFIC LOGS FOR FUN AND IDOR's

FABRIZIO FAGGIANI

Fabrizio es estudiante de la carrera de Licenciatura en Sistemas en la Universidad de la Empresa, Uruguay. Actualmente integra el equipo de Seguridad Web Aplicativa en MercadoLibre.

Es adicto a los logs de tráfico y al bug bounty. En sus ratos libres además de estar mirando logs y cazando bugs por recompensas, le gusta malcriar a su gato “pechito” y hacer deportes.

JUAN PABLO RUFFINO

Juan Pablo (a.k.a. Ruffo) es Ingeniero en Sistemas de Información recibido de la Universidad Tecnológica Nacional, Facultad Regional Córdoba.

Actualmente se desempeña como Ingeniero de Seguridad Web Aplicativa en MercadoLibre y en sus ratos libres se dedica a leer sobre seguridad informática, realizar PoCs, tradear cryptos, mirar Netflix y cada tanto realizar alguna partida de AoE con amigos.

Existe una vulnerabilidad de tipo IDOR cuando una persona no autorizada tiene la capacidad de acceder a una entidad o dato que no le pertenece.

Internamente, implementamos una herramienta que nos ayude a detectar este tipo de vulnerabilidades a partir de los logs de la capa de tráfico de las aplicaciones web, aplicando técnicas para la reducción de falsos positivos y estrategias para poder analizar una inmensa cantidad de datos.

El objetivo de la charla es poder mostrar la manera en la que ésta herramienta nos ayuda de forma proactiva ante la detección y por lo tanto mitigación de éste tipo de vulnerabilidades.

La agenda propuesta es la siguiente:

- Esquema de la herramienta: Qué partes conforman la herramienta.

- Procedimiento: Cómo se utiliza la herramienta.

- Métricas: Resultados obtenidos bajados a números.

- Findings: Algunos ejemplos de vulnerabilidades detectadas. Finalmente se mostrará cómo se le puede dar un enfoque a la herramienta para ayudarnos a identificar otros tipos de vulnerabilidades: SSRF, Info Disclosure, OpenRedirects, etc.

PREVENTING ATTACKS TO HELM ON K8s

MARTIN CRUZ

Mi nombre es Martin Cruz. Actualmente trabajo como DevSecOps y Pentester.

A causa de esto pude hacer pequeños aportes al módulo API Scanner de OWASP ZAP, además de llevar adelante distintas investigaciones relacionadas a la seguridad informática, teniendo en cuenta nuevos paradigmas tecnológicos como contexto de aplicación.

El propósito de esta charla sería mostrar un vector de ataque poco conocido y altamente explotable en implementaciones default de Helm, en clusters de K8s: Tiller, frecuentemente definido como “a giant sudo server”.

Se pondrá en conocimiento, mediante un walkthrough detallado, como tomar ownership de un cluster a través de una aplicación node.js vulnerable al vector code injection, pudiendo ejecutar comandos para desplegar charts con jobs maliciosos sin la necesidad de un shell reverso ni acceso privilegiado al pod. Si bien el paso a paso estará respaldado por una PoC completamente funcional, desplegada en un cluster productivo con más de 300 aplicaciones, se proporcionará un repositorio público con los manifiestos, charts e instrucciones necesarias para el despliegue y prueba en cualquier cloud provider. Este ejemplo cloud agnostic, respaldado por el código y el paso a paso, permitirá a los Analistas de Seguridad diseñar sus propios controles en cualquier entorno.

Finalmente, como conclusión, el objetivo sería demostrar mediante un ejemplo real (partiendo de la prueba de concepto), las implicancias de la ausencia o deficiencia de controles, desde el código de una aplicación hasta la auditoría de políticas de seguridad a nivel infraestructura, dando alcance a todas las aristas conceptuales afectadas, desde el análisis SAST hasta conceptos propios de K8s como Namespace, RBAC, PodSecurityPolicy, etc.

Si bien esta charla contiene elementos y ejemplos útiles para Red Teams, el objetivo es orientar a la comunidad sobre la implementación de estrategias defensivas para la prevención de ataques altamente probables, utilizando como evidencia de los riegos todo lo anteriormente mencionado.

CYBER WEAPONS LAB FOR REDTEAMERS

DIEGO BRUNO

Profesional de seguridad de la información y ciberseguridad con 13 años de experiencia solida en el mercado de telecomunicaciones y financiero ampliado de la República Argentina.

Desde hace 10 años liderando con pasión y compromiso, equipos de trabajo de seguridad tanto en ámbitos de consultoría como de formación profesional, desarrollo de la práctica, la comunidad y el mercado.

Speaker reconocido con especialización en Vulnerability Assesstment, Penetation test, ReadTeam, OSINT, CIS20, ISO27x, NIST CSF y regulaciones BCRA/CNV/PCI/SOX/GDPR/HIPAA.

Algunas de las actividades sin fines de lucro, incluyen la participación en: • OWASP latam tour • 8.8 • CharrúaConf • Un Hack para los chicos • Secure Podcast (https://securepodcast.com/ )

En esta charla se mostrarán técnicas de OSINT con una orientación netamente ofensiva en dónde a través de las mismas y sin siquiera tirar un ping se pueda hacer un mapeo de la infraestructura de una compañía e incluso del personal que la compone encontrando además a traves de sitios o buscadores especializados, exploits que afecten a la misma.

DETECCIÓN RANSOMWARE EN TIEMPO REAL

GERMAN PARISI

Soy un Ingeniero en Sistemas de Información e Investigadores en Seguridad de la UTN FRC desde hace 5 años. He participado dando charlas en OWASP y sobre todo en congresos académicos como el CoNaIISI siempre relacionado a Seguridad de la información.

FEDERICO BERTOLA

La mejor medida preventiva contra los ransomware es la realización de backup. Sin embargo, esto no evita que luego de un ataque de estas características se pierda tiempo y dinero en la restauración de los datos. Es por esto que se planteó una estrategia para desarrollar un software de defensa a fin de que pueda reconocer que un proceso es un ransomware y así bloquearlo. Básicamente este software actuaría en última instancia y estaría monitoreando a los procesos de un sistema operativo (se realizó un estudio sobre el impacto en cuanto performance que también mostraremos en la charla).

En este trabajo se planteará una estrategia reactiva, es decir, la detección de un ransomware será cuando éste se encuentre en ejecución, el cual, llegaría a cifrar algunos archivos pero la intención es que la mayoría de ellos no. Nos hemos puesto como meta que aceptamos perder 25 MiB (en teoría debería ser más fácil restaurar un backup de 25 MiB que uno de 1 TiB).

Como se puede sospechar del funcionamiento de un ransomware es que el mismo realiza muchas llamadas a read y a write respecto a la cantidad de las otras syscalls. En base a esta hipótesis, se desarrolló un módulo en el kernel de Linux que intercepta cada llamada al sistema para ir contando la cantidad de cada una de ellas por cada proceso. Si la proporción de llamadas a read y write superan cierto umbral entonces se puede inferir que se trata de un ransomware.

Se hicieron pruebas con múltiples ransomware que demostraron la validez de la hipótesis. Sin embargo, en algunos casos apareció otra syscall llamada lseek con una proporción muy alta.

HUNTING FOR MEMORY RESIDENT MALWARE

MARCOS OVIEDO

Marcos Oviedo es un arquitecto de software experimentado, motivado y orientado a los resultados que adora programar no solo para crear código sino también para crear valor. Cuenta con una amplia experiencia en tecnologías heterogéneas y arquitecturas informáticas.

Durante sus años de experiencia laboral profesional, la seguridad informática ha sido su pasión durante mucho tiempo, ya sea que se haya centrado en diseñar capacidades de prevención de exploits de una solución de seguridad de punto final, o en investigar la vulnerabilidad en el software de carga de telecomunicaciones de nivel de operador, o analizar un exploit / malware para cree una firma de detección o simplemente participe en CTF por diversión.

Marcos trabaja actualmente en McAfee como Arquitecto de software, liderando el desarrollo de los componentes de tecnología de prevención de exploits que forman parte del producto insignia de próxima generación de la compañía llamado Endpoint Security (ENS). Este producto se implementa actualmente en millones de puntos finales en todo el mundo.

Durante esta charla hablaré sobre lo que significa buscar malware residente en memoria a escala y por qué es importante.

También mostraré una herramienta que he creado para esto llamada Memhunter. Memhunter es una herramienta de sensor de punto final especializada en detectar malware residente en memoria. El proceso de detección se realiza mediante una combinación de recolección de datos de punto final y escáneres de inspección de memoria.

La herramienta es un binario independiente que, una vez ejecutado, se despliega como un servicio de Windows. Una vez que se ejecuta como un servicio, memhunter inicia la recopilación de eventos ETW que pueden indicar ataques de inyección de código. La transmisión en vivo de eventos de datos recopilados se alimenta a escáneres de inspección de memoria que utilizan heurísticas de detección para seleccionar los posibles ataques. Todo el proceso de detección no requiere intervención humana, ni volcados de memoria, y puede ser realizado por la herramienta en sí misma, a escala, mejorando el proceso de análisis de búsqueda de amenazas y los tiempos de corrección.

La herramienta se diseñó como un reemplazo de los mecanismos forenses de la memoria, como los complementos de mal funcionamiento de la volatilidad y de búsqueda hueca, que requieren análisis humanos y volcados de memoria para encontrar artefactos sospechosos en la memoria.

Además de la recolección de datos y la heurística de caza, el proyecto también ha llevado a la creación de una herramienta complementaria llamada "minyector" que contiene técnicas de inyección de código +20. La herramienta de minyector no solo se puede usar para ejercitar las detecciones de memhunter, sino también como una ubicación única para aprender sobre las técnicas de inyección de código conocidas.

LESS,INFECCIÓN SIN ARCHIVOS

CRISTIAN BORGHELLO

Cristian F. Borghello, es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP), CCSK (Certificate of Cloud Security Knowledge) y Microsoft MVP Security (Most Valuable Professional).

Cristian tiene más de 15 años de experiencia en Seguridad de la Información y trabajo 5 años como Director de Educación y del Laboratorio de Investigación en ESET Latinoamérica.

- En 2000 fundó Segu-Info (www.segu-info.com.ar), sitio de Seguridad de la Información.

- En 2006 fundó Segu-Kids (www.segu-kids.org), sitio de Seguridad para los menores, docentes y padres.

- En 2012 fundó Antiphishing (www.antiphishing.com.ar), sitio de lucha contra el Phishing en América Latina.

- En 2014 co-fundó el Proyecto ODILA (Observatorio de Delitos Informáticos de Latinoamérica - www.odila.org), con el objetivo de informar la legislación vigente en la materia.

- De julio de 2016 a febrero de 2018 fue Arquitecto de Seguridad en ElevenPaths.

Cristian escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información.

En esta presentación, tratare en profundidad las diferentes técnicas de "infección sin archivos" utilizados por APT.

Este tipo de archivos es creado por diferentes actores maliciosos (e incluso gobiernos), para infectar objetivos de interés.

La detección por parte de herramientas tradicionales, como los antivirus, es más difícil porque no se usa ningún archivo, los artefactos se encuentran en la memoria, los IoC (indicators of compromise) son pocos y los rastros son difíciles de ver.

CONTROL FLOW HIJACKING DETECTION THROUGH INTEL PT

DIEGO PROVINCIANI

Diego es desarrollador sénior de software en McAfee.

Actualmente está trabajando en el desarrollo de los componentes de tecnología de prevención de exploits que forman parte del producto insignia de próxima generación de la compañía llamado

Endpoint Security (ENS).

Este producto se implementa actualmente en millones de puntos finales en todo el mundo.

Diego también ha presentado en importantes conferencias de seguridad como Ekoparty.

Los procesadores Intel Core iX incorporan una nueva tecnología llamada Intel Processor Trace. Intel PT permite la supervisión de bajo nivel de un proceso en ejecución. La información proporcionada por Intel PT está relacionada con las instrucciones que está ejecutando el procesador. Esta información se entrega en diferentes tipos de paquetes de datos con un formato específico. Todo se logra a través del hardware dedicado, que se encuentra dentro del paquete del procesador y garantiza un bajo impacto en el rendimiento.

Tomando la información generada por Intel PT, especialmente la relacionada con el flujo de ejecución de un proceso trazado, es posible aplicar algunas heurísticas derivadas de la técnica de mitigación llamada Control Flow Integrity (CFI). La mitigación de CFI sugiere el uso de etiquetas en los prólogos y epílogos de cada función, así como el uso de pilas de sombras. Luego, al comparar las etiquetas (origen y destino) en las instrucciones de llamada y los valores en la pila de sombra con las direcciones de retorno en las instrucciones de retorno, es posible confirmar si un proceso sigue una ruta de ejecución válida o no.