Crónica X OWASP Spain Chapter Meeting

El pasado día 17 de noviembre tuvo lugar en Barcelona la X edición de OWASP Spain Chapter. Participaron grandes ponentes, entre los que destaca nuestro compañero de auditoría Luis Enrique Benítez.  A lo largo del día se hicieron varias conferencias de distintos temas, entre ellos: IoT (Internet of Things), XSS (Cross-site Scripting), OWASP como base para realizar auditorías de dispositivos y encontrar vulnerabilidades en páginas web…

La primera presentación del día trató sobre XSS (Cross-site Scripting), de la mano de Ashdar Javed. En ella pudimos constatar lo vulnerables que aún somos ante este tipo de ataques, y es que, aunque XSS se descubrió hace ya muchos años, sigue siendo un vector de ataque muy importante en la red. Por ejemplo, en los 2 últimos años solamente Google ha pagado 1.2M$... Además, se pudo constatar que dichas vulnerabilidades están presentes en una gran cantidad de productos, creados por empresas de prestigio internacional, y usados por millones de usuarios.

La segunda presentación la realizó nuestro compañero Luis Enrique Benítez, y trató sobre IoT (Internet of Things). El nombre de por sí ya era llamativo: “IoT: Insecurity of Things”, y es que delante del auge de todo este tipo de dispositivos nos deberíamos plantear varias preguntas, entre ellas la siguiente: “¿Realmente somos conscientes de lo que conectamos en la red?”. En la presentación pudimos ver como diferentes televisores inteligentes recopilan y envían información de uso a distintos servidores, dependiendo del canal que estamos viendo. Además, la mayoría de dispositivos tenían vulnerabilidades que podían ser explotadas. Y la pregunta final debería ser: “¿Qué pasará cuando los dispositivos se queden obsoletos y dejen de recibir actualizaciones del fabricante?”.

Antes de realizar el coffee-break, para poder asimilar toda la información recibida, fue el turno de Miguel Ángel Arroyo con la presentación “OWASP Mobile Security Project como base para auditar una aplicación iOS”. En ella, aprendimos sobre el OWASP Mobile Security Project, y se pusieron de ejemplo un conjunto de herramientas para llevar a cabo auditorías en dispositivos móviles. A modo de ejemplo, y presentando todo el procedimiento llevado a cabo, el ponente nos mostró cómo pudo incrementar los billetes y las monedas de un juego (y sí, a partir de ese momento el juego ya no tenía gracia…).

Ya después del coffee-break fue el turno de Adrià Massanet, con la presentación “Aprendiendo de los fallos de SSL”, donde pudimos ver los fallos de SSL más comunes, y lo más importante, un conjunto de medidas para poder evitar, en la medida de lo posible, que estos ocurran en un futuro. Una gran presentación a tener en cuenta como guía de buenas prácticas.

En la última presentación de la mañana, titulada “Con la vuln en los servidores. ¿A quién se lo cuento?”, Norberto González nos explicó cómo se debe realizar el reporte de intromisiones en los sistemas, la metodología que tiene que seguirse y las leyes que afectan (y como éstas no se deben tomar en blanco y negro, sino en escala de grises).

Después de la comida fue el turno de Deepak Daswani con la presentación: Hacking del Internet of Things (and Beats). Pudimos concienciarnos, en primer lugar, de la mala configuración de seguridad que aplican diferentes empresas en sus redes inalámbricas y en el conjunto de distintos elementos que la componen, seguramente por desconocimiento. En segundo lugar, pudimos observar una demostración de las vulnerabilidades que posee, en este caso, una mesa de mezcla con conexión inalámbrica para transmitir canciones.

A continuación, Marc Rivero nos deleitó con Fast incident response!. La presentación se centraba en la gestión rápida de incidentes, centrándose en la gestión y el análisis del conjunto de logs obtenidos, y en los métodos procedimentales que se deberían seguir para una correcta gestión de estos. Además, se mostraron algunas herramientas útiles para conseguir este objetivo.

Finalmente, Pedro Candel nos sedujo con OWASP: Wild pentesting in CLM for fun & profit, mostrando diferentes páginas web vulnerables, y ejemplos específicos sobre la forma de aprovechar las vulnerabilidades. Además, se constató que dichas vulnerabilidades están presentes durante mucho tiempo, y que los webmasters o responsables de seguridad no siempre se preocupan de solucionarlas (ni siendo avisados de su existencia).


Autor: Marc de Tébar
Departamento Consultoría

Crónica del First Hacker's Challenge Colombia 2016


Un evento realizado por Olimpia, Radware, Ciberseguridad Colombia y DreamLab con la intención de dar a conocer sus productos de seguridad DefensePro, y alteon de Radware. Con este motivo, crearon el “First Hacker Challenge de Colombia 2016” para tratar de vulnerar una aplicación web protegida por estos productos de seguridad.

El evento tuvo lugar el 3 de noviembre de 1:30pm a 6:00pm en la ciudad de Bogotá, a la cual asistieron 27 hackers y 160 invitados para presenciar el evento.

El escenario del desafío se realizó dividiendo a los hackers por países, donde 3 hackers formaban 1 país, para representar de la forma más realística posible, como se puede atacar un sitio web desde cualquier parte del mundo. Los hackers podían llevar sus equipos y utilizar cualquier tipo de herramienta. Se permitía utilizar el método deseado con la finalidad de vulnerar el sistema. Además, el público también podía realizar pruebas sobre el sistema, donde se les brindaba direccionamiento IP inalámbrico para realizar ataques contra la infraestructura y la web objetivo.


Durante el evento, se configuraron en los equipos DefensePro y Alteon varios niveles de seguridad, con la intención de mostrar la defensa que se puede ofrecer a la infraestructura y a los servicios. A continuación, se relajaba el nivel de seguridad para mostrar cómo de expuesta y vulnerable puede quedar la infraestructura sin la correcta configuración e implementación de estos equipos de seguridad.

El evento mostraba mediante la monitorización y logs de los equipos Radware, todos los ataques que se llevaban a cabo en cada nivel de seguridad configurado, mostrando como se visualiza en la herramienta de gestión los ataques realizados por los hackers. Desde la organización, con la idea de mostrar de una forma más sencilla los ataques que se realizaban a la plataforma, mostraron en una pantalla una visualización del mapa del mundo donde mediante el WAF integrado en su plataforma (Alteon) detectaba qué direcciones IP estaban generando tráfico malicioso, y estas se representaban en el mapa con la bandera del país asociado a dichas  direcciones IP. En otra pantalla, se mostraba la monitorización de la solución defensePro (antimalware) indicando los tipos de ataques bloqueados que alertaban al sistema.

A cada hacker se le facilitó una conexión ethernet y una conexión Wifi, donde se le administraba 10 direcciones IP estáticas, y también podían recibir IP por DHCP. La estructura de la red para el escenario de la competición, constaba de una red segmentada para cada país que simulaba carriers distribuidos alrededor del mundo. La primera línea de defensa era el DefensePro, después un firewall Checkpoint, luego un balanceador de carga que distribuía el tráfico, el cual era enviado para su análisis a un WAF, y finalmente los servidores detrás de esta infraestructura.


Cada vez que se realizaba un ataque con éxito, se recibía una puntuación de acuerdo al nivel de seguridad que se encontrara en ese momento en los equipos de Radware. Cada ronda tenía una duración de 30 minutos, y a continuación se disminuía el nivel de seguridad. Sólo los 5 hackers con mayor puntuación avanzaban a la siguiente ronda.

Los retos a los cuales nos enfrentamos eran basados en el OWASP Top 10. Se había creado un entorno controlado donde el objetivo principal era vulnerar una aplicación de banca online con múltiples vulnerabilidades, protegida con los equipos RADWARE. Estos equipos hacían aún más difícil la intrusión de los hackers participantes. El principal problema radicaba en el baneo o bloqueo de direcciones IP una vez los equipos detectaban ataques.


Durante cada fase del CTF, los administradores del entorno de pruebas, disminuían las capas de protección, generando nuevas brechas de seguridad que podían ser explotadas. Por cada ataque con éxito, el jurado asignaba puntos a los equipos, donde el que obtuviera finalmente la mayor puntución resultaba el ganador de la competición.

Por parte de Internet Security Auditors participaron Richard Javier Oliveros Álvarez y Julián Alberto Muñoz López. Ambos reflejaron el elevado nivel de conocimientos por parte del equipo de Internet Security Auditors, destacando el excelente trabajo realizado por Julian y la obtención del primer lugar del CTF por parte de Richard Oliveros.

Los retos:
Los principales objetivos a cumplir por parte de los equipos eran:
  • Lograr identificar los puertos abiertos del servidor y enumerar posibles vulnerabilidades.
  • Identificación de la base de datos y explotación de la misma a través de distintos tipos de inyecciones.
  • Elevación de privilegios.
  • Explotación de ataques XSS.
  • Manipulación de parámetros con fines delictivos.
  • Ataques de denegación de servicio.

La estrategia Ganadora:
Al igual que en el procedimiento habitual para la planificación de una auditoria a una aplicación web, se debía realizar una fase previa de recopilación de información para conocer las características del sistema objetivo. En la página del evento (http://www.hackers-challenge.co/index.html) se describía previamente que cada participante tendría un pool de 10 direcciones IP, lo cual daba a entender que los equipos de protección (en este caso, RADWARE), bloquearían las direcciones IP que detectaran como sospechosas. De esta forma, se prepararon varias máquinas virtuales y dos equipos físicos a los cuales se les asignó una IP fija a cada uno de ellos para tener disponibilidad en caso de que una de las máquinas fuera baneada.



Por otra parte, se descargaron los manuales de los equipos RADWARE,  con el objetivo de buscar en las especificaciones los tipos de ataques que no soportaban o mitigaban, para así planear la mejor estrategia.

Al conocer que sólo se entregaría un punto de red físico para cada participante, se llevó un switch el cual permitiría conectar los dos equipos físicos a la red.

Como era evidente que los equipos RADWARE bloquearían cada ataque que se realizara, previo al evento, se prepararon notas, scripts, métodos de ofuscación y evasión de escaneos e inyecciones, etc. y se instalaron en la máquina KALI que se utilizaría en el CTF.

Durante el evento, se pudo apreciar el fruto de dicha preparación. Mientras otros equipos encontraban dificultades a la hora de progresar, o se veían bloqueados por los dispositivos de seguridad, el equipo de Internet Security Auditors avanzaba rápidamente.

Cabe destacar que gran parte de las pruebas se ejecutaron de forma manual, y las herramientas, salvo Burp Suite y Tamper Data para la interceptación y manipulación del tráficos HTTP, tuvieron poco peso en las pruebas.

Las herramientas empleadas:
Para el escaneo de puertos y el análisis de vulnerabilidades, se utilizó Nmap con técnicas de evasión, Acunetix con credenciales de acceso a la aplicación, Burp Suite y el plugin de Firefox Tamper Data para la manipulación de peticiones, script Hulk.py y slowloris para ataques de denegación de servicio, y visor de desarrollador de Firefox para el análisis de código.

Como parte de los equipos del CTF, se encontraba personal militar de la unidad de telemática del ejército nacional de Colombia, los cuales no se clasificaron para la ronda final.


Autores: Richard J. Oliveros & Julián A. Muñoz
Departamento Auditoría