Analytics

jueves, 30 de noviembre de 2017

XI edición de OWASP 2017 Spain Chapter

El pasado día 23/11/2017 tuvo lugar en Barcelona la XI edición de OWASP Spain Chapter.

Participaron ponentes de gran conocimiento en el área, entre los que destaca nuestro compañero de auditoría Luis Enrique Benítez. A lo largo de la conferencia se trataron distintos temas, entre ellos: Atacando aplicaciones NodeJS, IoT (Internet of Thing), Protección y verificación de Business Logic Flaws, Protección de la identidad digital, utilización de Telegram por parte de Daesh y pentest en aplicaciones móviles bancarias.

La primera presentación del día la realizó Michael Hidalgo, esta primera presentación estuvo titulada: Atacando aplicaciones Node.js, en ella pudimos observar como realizar pruebas de inyección en este tipo de aplicaciones, inyectar parámetros, llegando incluso a realizar una ejecución de código remoto en el servidor, si la aplicación lo permite. Se destacó que la plataforma fue creada a partir del entorno de ejecución de JavaScript de Chrome, para construir aplicaciones de red rápidas y escalables, a su vez Node.js usa V8 (máquina virtual que empodera Google Chrome) y utiliza código JavaScript del lado del servidor.

La segunda presentación del día la realizo Miguel Ángel Arroyo, con el tema: Superficie de ataque en un dispositivo IoT según OWASP Internet of Things Project. Se destacaron amenazas y vulnerabilidades presentes en los dispositivos IoT, realizando una pequeña demo, en la que con 15 dólares es posible realizar un ataque y conseguir credenciales del dispositivo, se resaltó también que una de las vulnerabilidades que afectan a los usuarios de los dispositivos IoT, es que estos equipos envían información al fabricante sin el consentimiento de usuario, invadiendo de esta manera la privacidad.

La tercera presentación del día la realizo Roberto Velazco, con el tema: Protection and Verification of Business Logic Flaws. Manipular el contrato o realizar algo inesperado que la aplicación no es capaz de validar o verificar, una forma de hacerlo es jugar con la lógica de la aplicación, modificando parámetros para modificar su correcto funcionamiento.

La cuarta presentación del día la realizó Selva Orejón, con el tema, Protección de la identidad Digital, se dio a conocer la importancia y las consecuencias de que la información personal esté pública en internet por terceros. Se demostraron técnicas para verificar nuestra información personal publicada en internet.

La quinta presentación del día la realizó Carlos Seisdedos, con el tema: Utilización de telegram por parte del Daesh, se reveló como los terroristas usan las redes sociales, deface web, dump de bases de datos para generar terror. Se dio a conocer información que publican los terroristas en los canales de Telegram como manuales de bombas, veneno, como usar tor para anonimizar su conexión y la publicación de panfletos e imágenes con contenido terrorista que son impactantes a la vista.

La sexta presentación del día la realizó Luis Alberto Solís, y trató el tema: Análisis de apps bancarias usando Owasp MASVS, la utilización de herramientas muy potentes como Frida, Drozer, Zap Proxy y metasploit.

La última presentación del día la realizó nuestro compañero de auditoría Luis Enrique Benítez, con el tema: Internet of Things, Smart Cities y otras vulnerabilidades. Se habló de la invasión de la privacidad por parte de las compañías y fabricantes de los productos IoT a los usuarios, se dieron ejemplos, destacando los televisores, las lavadoras y juguetes inteligentes que son capaces de conectarse a internet, se explico también como realizar un laboratorio de prueba para auditar y testear la seguridad de los equipos IoT.


Autor: Carlos Alejandro Capdevila
Dpto. Auditoría