El pasado día 17 de noviembre tuvo lugar en Barcelona la X edición de OWASP Spain Chapter. Participaron grandes ponentes, entre los que destaca nuestro compañero de auditoría Luis Enrique Benítez. A lo largo del día se hicieron varias conferencias de distintos temas, entre ellos: IoT (Internet of Things), XSS (Cross-site Scripting), OWASP como base para realizar auditorías de dispositivos y encontrar vulnerabilidades en páginas web…
La primera presentación del día trató sobre XSS (Cross-site Scripting), de la mano de Ashdar Javed. En ella pudimos constatar lo vulnerables que aún somos ante este tipo de ataques, y es que, aunque XSS se descubrió hace ya muchos años, sigue siendo un vector de ataque muy importante en la red. Por ejemplo, en los 2 últimos años solamente Google ha pagado 1.2M$... Además, se pudo constatar que dichas vulnerabilidades están presentes en una gran cantidad de productos, creados por empresas de prestigio internacional, y usados por millones de usuarios.
La segunda presentación la realizó nuestro compañero Luis Enrique Benítez, y trató sobre IoT (Internet of Things). El nombre de por sí ya era llamativo: “IoT: Insecurity of Things”, y es que delante del auge de todo este tipo de dispositivos nos deberíamos plantear varias preguntas, entre ellas la siguiente: “¿Realmente somos conscientes de lo que conectamos en la red?”. En la presentación pudimos ver como diferentes televisores inteligentes recopilan y envían información de uso a distintos servidores, dependiendo del canal que estamos viendo. Además, la mayoría de dispositivos tenían vulnerabilidades que podían ser explotadas. Y la pregunta final debería ser: “¿Qué pasará cuando los dispositivos se queden obsoletos y dejen de recibir actualizaciones del fabricante?”.
Antes de realizar el coffee-break, para poder asimilar toda la información recibida, fue el turno de Miguel Ángel Arroyo con la presentación “OWASP Mobile Security Project como base para auditar una aplicación iOS”. En ella, aprendimos sobre el OWASP Mobile Security Project, y se pusieron de ejemplo un conjunto de herramientas para llevar a cabo auditorías en dispositivos móviles. A modo de ejemplo, y presentando todo el procedimiento llevado a cabo, el ponente nos mostró cómo pudo incrementar los billetes y las monedas de un juego (y sí, a partir de ese momento el juego ya no tenía gracia…).
Ya después del coffee-break fue el turno de Adrià Massanet, con la presentación “Aprendiendo de los fallos de SSL”, donde pudimos ver los fallos de SSL más comunes, y lo más importante, un conjunto de medidas para poder evitar, en la medida de lo posible, que estos ocurran en un futuro. Una gran presentación a tener en cuenta como guía de buenas prácticas.
En la última presentación de la mañana, titulada “Con la vuln en los servidores. ¿A quién se lo cuento?”, Norberto González nos explicó cómo se debe realizar el reporte de intromisiones en los sistemas, la metodología que tiene que seguirse y las leyes que afectan (y como éstas no se deben tomar en blanco y negro, sino en escala de grises).
Después de la comida fue el turno de Deepak Daswani con la presentación: Hacking del Internet of Things (and Beats). Pudimos concienciarnos, en primer lugar, de la mala configuración de seguridad que aplican diferentes empresas en sus redes inalámbricas y en el conjunto de distintos elementos que la componen, seguramente por desconocimiento. En segundo lugar, pudimos observar una demostración de las vulnerabilidades que posee, en este caso, una mesa de mezcla con conexión inalámbrica para transmitir canciones.
A continuación, Marc Rivero nos deleitó con Fast incident response!. La presentación se centraba en la gestión rápida de incidentes, centrándose en la gestión y el análisis del conjunto de logs obtenidos, y en los métodos procedimentales que se deberían seguir para una correcta gestión de estos. Además, se mostraron algunas herramientas útiles para conseguir este objetivo.
Finalmente, Pedro Candel nos sedujo con OWASP: Wild pentesting in CLM for fun & profit, mostrando diferentes páginas web vulnerables, y ejemplos específicos sobre la forma de aprovechar las vulnerabilidades. Además, se constató que dichas vulnerabilidades están presentes durante mucho tiempo, y que los webmasters o responsables de seguridad no siempre se preocupan de solucionarlas (ni siendo avisados de su existencia).
Autor: Marc de Tébar
Departamento Consultoría
