El pasado viernes 13 de Junio de 2014 tuvo lugar la VIII OWASP Spain Chapter Meeting 2014, en El Campus Barcelona de la Salle. El evento reunió a unos 150 asistentes y albergó un total de ocho presentaciones de distinta índole.
El evento comenzó con una bienvenida por parte de Josep Maria Ribes, Director d’Enginyeria de La Salle Campus de Barcelona. Josep destacó la larga relación entre el capítulo español de OWASP y La Salle, mostrando su deseo firme de mantenerla. Posteriormente realizó un recorrido del centro en su apuesta por la seguridad, integrada en sus estudios de grado y máster.
Vicente Aguilera Díaz, OWASP Spain Chapter Leader, Socio y Director del Departamento de Auditoría de Internet Security Auditors, introdujo la jornada mostrando su agradecimiento a La Salle por acoger un año más el evento, así como agradeció la colaboración a los patrocinadores (Internet Security Auditors), a los ponentes y a los asistentes. Posteriormente realizó un recorrido del proyecto OWASP y del capítulo español, así como las formas de colaboración.
Ashar Javed, Research Assistant en la Ruhr University Bochum (Alemania) ofreció una práctica y detallada presentación con el título “On Breaking PHP-Based Cross-Site Scripting Protection Mechanisms In The Wild” donde destacó la relevancia en la actualidad de los ataques Cross-site Scripting (XSS) y el grado de extensión de los servicios web basados en PHP. Posteriormente justificó a través de varias noticias recientes sobre incidentes de seguridad (ataque DoS a twitter, etc.), las importantes consecuencias que pueden derivarse de este tipo de ataques.
El ponente consiguió hacer la presentación compresible para todo el público e introdujo el concepto básico del contexto (HTML, attribute, script, URL y style), relativo al tipo de elemento donde se refleja la entrada de un usuario en una aplicación web. Posteriormente describió la metodología desarrollada durante su investigación, para poder romper cada uno de los contextos y finalmente lograr la inyección de código.
Además, enumeró los errores más frecuentes que en la actualidad comenten los programadores, cuando intentan proteger sus aplicaciones contra ataques XSS. Entre ellos destacó: la definición de listas negras de palabras clave, la utilización de funciones de filtrado/saneamiento en los contextos equivocados, y la definición de expresiones regulares incompletas.
Finalmente, realizó diversas demostraciones de lo fácil que resulta evadir las protecciones establecidas por los programadores web de importantes organizaciones (India Times, Electronic Arts, etc.). Adicionalmente mostró los resultados de su estudio, en relación al análisis de seguridad de las principales funciones y frameworks más utilizados en la actualidad.
Durante su ponencia, éste investigador propuso un reto XSS con una recompensa de 250$ para el primero que lograra resolverlo correctamente. Reto que 5 días más tarde seguía sin resolverse y la recompensa de la cual se vio incrementada en 300$ llegando a los 550$.
Pau Oliva Fora, Mobile Security Engineer de ViaForensics, empezó describiendo la estructura general de las aplicaciones Android en su presentación sobre “Reversing & Protecting Android Applications”. Posteriormente describió las diferentes formas de obtener estas aplicaciones exportándolas a la SD, a través de ADB, a través de APIs…), para posteriormente poder realizar análisis de ingeniería inversa (reversing)
Pau describió las diferentes formas de decompilar una aplicación Android a lenguajes de alto nivel como Smali y Java. También, enumeró las principales herramientas y distribuciones utilizadas para decompilar y analizar las aplicaciones (apktool, Procyon, Androguard/DAD, Santoku Linux, etc.)
Además, enumeró los errores más frecuentes que en la actualidad comenten los programadores de este tipo de aplicaciones. Entre ellos destacó: no cifrar los datos de la aplicación (para evitar que otras aplicaciones puedan acceder), no establecer conexiones seguras (tales como SSL) realizando pinning de certificados (evitar ataques MitM), no validar los datos de entrada (evitar ataques de inyección Sqlite, Path traversal, etc.) y no limpiar los datos sensibles almacenados en memoria volátil tras ser utilizados.
Finalmente, estableció un conjunto de recomendaciones para proteger correctamente estas aplicaciones: evaluar en primer lugar el nivel de riesgo de los datos (para posteriormente establecer las medidas de seguridad adecuadas), utilizar librerías de cifrado, establecer timeouts en las sesiones activas (para limpiar los datos de memoria volátil) y comprobar la firma del desarrollador. También, recomendó establecer otras medidas adicionales como la ofuscación de código, con el objetivo de dificultar el trabajo a los atacantes.
Inicialmente, Frank Ruiz Arenas, Threat Intelligence Analyst de FoxIT, y Manu Quintans, Manager de Intelligence de Deloitte/Buguroo, en su presentación “50 Shades of Crimeware” destacaron la importancia de ser críticos con las noticias publicadas sobre el descubrimiento de nuevos malware utilizados por los cibercriminales. En ocasiones, estas no reflejan el descubrimiento de nuevos malware sino de nuevas versiones de malware conocidos, y reflejan más los intereses comerciales de algunas empresas de seguridad. Esto sucede debido a la necesidad de las empresas de ciberseguridad de descubrir malware para hacerse lugar en el mercado.
En segundo lugar, describieron la estructura actual de las organizaciones criminales categorizándolas en distintas capas (iniciados/novatos, semiprofesionales, profesionales y profesionales antiguos) estableciendo las diferencias entre ellas en función de: el tamaño de los grupos, la facilidad de incorporación de nuevos miembros, el grado de organización, la capacidad de industrialización de malware y los canales de comunicación utilizados (foros, infraestructura propia, etc.)
Posteriormente, enumeraron los principales cambios que se están produciendo en la actualidad en este tipo de organizaciones, derivados de: las detenciones de altos cargos, la proliferación de bloguers que publican perfiles de criminales y los insider researchers (que se infiltran y extraen información). A su vez, también destacaron las consecuencias de los leaks realizados por terceros, que en ocasiones pueden entorpecer y dificultar las investigaciones de los cuerpos policiales. Principalmente estos cambios consisten en que las organizaciones cada vez son más cerradas, resultando más difícil poder obtener información de ellas.
También, enumeraron las principales tendencias del cibercrimen: el malware para POS (venta de kits o en modalidad SaaS) para el robo de tarjetas, el malware móvil (troyanos bancarios que capturan los SMS de los bancos y los datos de la SD), el malware que utiliza las redes anónimas como TOR, y la minería de monedas virtuales.
Describieron los diferentes tipos de infraestructura de las botnets, así como las nuevas formas que están adquiriendo estas en la actualidad: conexión directa, mono proxy, doble proxy, fastflux, proxy fastflux, TOR, P2P, etc. Además, destacaron la existencia de los bulletproof hostings, que aseguran la disponibilidad del servicio, independientemente de la legalidad de las actividades derivadas de su uso.
Finalmente, realizaron una demostración del robo de datos de tarjetas, para su posterior clonado y uso en establecimientos comerciales. En la demostración utilizaron el troyano POS Soraya.
Antonio González Castro, CISO de Pragsis Technologies, realizó una introducción al concepto de Big Data exponiendo el problema de procesar grandes cantidades de datos. Indicó que actualmente estas tecnologías son utilizadas por grandes empresas (Google, Facebook, NSA, etc.) en su interesante presentación bajo el título “Big Data y Seguridad, un matrimonia de futuro”.
Posteriormente, describió que una de las principales diferencias con respecto al modelo clásico de procesamiento de datos, es precisamente la ubicación donde se realiza, justo donde estos se encuentran. También presentó Hadoop, un framework de software que soporta aplicaciones distribuidas bajo una licencia libre y una de las tecnologías más utilizadas en la actualidad.
Antonio expuso que estas tecnologías presentan muchos problemas y retos de seguridad, ya que esta no se tuvo en cuenta en sus diseños. Destacó la no existencia de sistemas de autenticación y autorización, así como de cifrado de datos.
Expuso los beneficios de utilizar este tipo de tecnologías en el ámbito de la seguridad: la disponibilidad inmediata de gran cantidad de logs, la centralización de los eventos, la detección de incidentes y ataques, etc.
Para finalizar su ponencia mostró una demo de Hadoop. En él se describió el proceso de importación y perfilado de datos, y el de definición de reglas, con el objetivo de obtener información útil a partir de los datos. Además, se presentó la capacidad de la aplicación para la generación de gráficas y estadísticas.
Daniel García, Security Researcher and Pentester, miembro del Golismero Project y Navaja Negra Conference Organizer, se encargó, en la presentación con el título “GoLismero Project: A revolutionary security framework” de llevar a cabo una introducción a la herramienta, definiéndola como un escáner Open Source orientado a la web, pensada para la detección de vulnerabilidades, la realización de auditorías de seguridad y la minería de datos (metadatos). Posteriormente, realizó una descripción de sus características principales (multiplataforma y centrada en la facilidad de uso) e hizo un repaso de cada uno de sus componentes.
Junto con Raúl Requero, presentaron las principales novedades de la herramienta: los plugins (para el desarrollo funcionalidades no cubiertas por otras herramientas) y su nuevo IDE (integrado en el navegador), y la generación de informes de auditoría (autocontenidos, fácilmente editables y exportables).
Daniel también describió las líneas de trabajo futuro: la corrección de errores, la gestión dinámica de plugins, el funcionamiento en cualquier plataforma (incluidas las móviles) y, el funcionamiento en clúster y la cooperación entre múltiples instancias de la herramienta, con el objetivo de ser utilizadas conjuntamente como una única plataforma de auditoría.
Xavier Panadero Lleonart, Director de Operacions del Centre de Seguretat de la Informació de Catalunya (CESICAT) inició la ponencia sobre “Equipo de Respuesta a Incidentes del CESICAT” exponiendo la diferencia entre una incidencia (caída del rendimiento, etc.) y un incidente de seguridad. Después, expuso en qué consistía el proceso de categorización de un incidente, indicando que esta se realiza en función de la tipología del incidente, su criticidad (en función de la actividad del cliente) y su prioridad (en función de los recursos y tiempo disponible para su resolución).
También, destacó la necesidad de profundizar en las medidas necesarias para evitar que un incidente vuelva a suceder. Así como la limitación de investigación de los incidentes (no todos pueden ser investigados).
Posteriormente, describió la estructura general de los CERTs (basada en niveles y en el proceso de escalado de incidentes), su modelo documental (basado en políticas, normas, procedimientos e instrucciones) para trabajar de forma eficiente, y los servicios que ofrecen a organizaciones y ciudadanos (respuesta remota a incidentes, soporte in-situ, análisis de laboratorio, etc.). Además, destacó la estrecha colaboración entre CERTs a través de otras organizaciones (FIRST, ENISA, CSIRT.es, etc.) y el auge en la creación de estos equipos (actualmente 304 equipos con presencia en 66 países).
Xavier, realizó un repaso de las herramientas de soporte y de laboratorio utilizadas. Además, mostró con cifras la capacidad de gestión de incidentes del CESICAT, frente al rápido crecimiento anual del número de incidentes de seguridad. También, indicó que las principales causas de los incidentes eran la obsolescencia del software y el despliegue de botnets por parte de organizaciones cibercriminales.
Finalmente, expuso detalladamente todo el proceso de investigación de un incidente de seguridad que involucraba a una pequeña cooperativa eléctrica, que disponía de un PLC conectado a Internet. Este PLC era vulnerable, otorgando al potencial atacante la capacidad de desconectar a sus clientes de la red eléctrica (ataque DoS).
Simon Roses Femerling, CEO & Fundador de Vulnex, situó la presentación “Tus binarios hablan, ¿escuchas?” en la fase de Verificación dentro del Ciclo de desarrollo seguro de software. Indicó la existencia en el mercado de diferentes marcos de desarrollo seguro como Microsoft SDL, etc.
Además, justificó la necesidad de invertir en el desarrollo seguro como una forma de ahorrar costes. Para ello, presentó el coste que supone la corrección de un error en cada una de las distintas fases de un proyecto de desarrollo de software, destacando que cuanto más tarde se detecta, se incurre en más costes para poder solucionarlo. También, indicó otros beneficios derivados del desarrollo seguro, como el aumento de la calidad del producto, que puede permitir comercializarlo a un precio superior, incrementando así el margen de beneficios.
Posteriormente, presentó la herramienta BinSecSweeper que su equipo está desarrollando. Esta herramienta permite realizar el análisis estático completo de binarios. Simon destacó su característica multiplataforma (manteniendo una experiencia uniforme), la capacidad de análisis masivo de binarios (todos los binarios de un S.O., etc.), su extensión a través de plugins (detección de packers, uso de funciones inseguras, etc.) y la generación de informes intuitivos. Entre sus posibles usos, destacó la posibilidad de verificar que un producto cumple unos criterios estandarizados, evaluar todo el software de una organización, y el análisis de malware.
Inicialmente, Marc Rivero López, Security Researcher de Barcelona Digital, incidió en su presentación “Ecrime Team, What, Why, and How” en el hecho de que el dinero es la principal motivación del cibercrimen. Posteriormente, describió la evolución de estas organizaciones criminales, que en sus inicios consistían en pequeños grupos segregados que posteriormente se unieron para conjuntar diferentes nichos de mercado, hasta alcanzar el nivel de profesionalización que les caracteriza en la actualidad.
Posteriormente realizó un repaso de los principales malware utilizados por estas organizaciones (Stuxnet, Duqu, Flame, etc.) y de las noticias relacionadas más recientes (operación Game Over Zeus). Marc, indicó que la principal vía para combatir estas organizaciones es a través de los CERT.
También, justificó la introducción de estas organizaciones en el sector móvil a causa de la implantación de medidas de autenticación de doble factor, que involucran a este tipo de dispositivos.
Además, describió como las infraestructuras de estas organizaciones han ido evolucionando para dificultar la detección de sus actividades (fastflux, doble fastflux, P2P, bulletproof servers, etc.). Así como la introducción de medidas de protección adicionales en sus infraestructuras, como el bloqueo de rangos de direcciones IP correspondientes a empresas del sector de la seguridad.
Finalmente, Marc expuso en base a su propia experiencia, la estructura que debe tener un equipo de ecrime completo. Este equipo debería estar formado por: auditores/pentesters, reversers (ingeniería inversa), analistas de malware y analistas de inteligencia. También, enumeró algunas de las herramientas imprescindibles para el equipo: cuckoo (sandbox, para el análisis de malware) y urlQuery.net (un servicio de análisis de malware web).
En el cierre y despedida Vicente Aguilera agradeció a los ponentes, asistentes, colaboradores y esponsors su participación del que ha sido el evento del capítulo OWASP Spain más multitudinario de la historia y que, meeting tras meeting, reúne a más profesionales y amantes de la seguridad. Este evento ha sido el más internacional de los realizados hasta el momento tanto por los ponentes como por los asistentes, que han incluido personas de Europa y América. La Fundación OWASP, que mantiene alrededor de 200 capítulos en más de 100 países de todo el mundo, es sin duda, el referente mundial en eventos de este tipo y, desde Internet Security Auditors esperamos seguir colaborando con el capítulo español que tanto en Barcelona como en Madrid consigue superarse en cada encuentro.
Autores: Carlos Antonio Sans & Laura Blasco
Departamento de Consultoría.
