Charlas 2018

KEYNOTE: Inside the Machine: How offensive security is defining the way we compute data

Speaker:

Rodrigo Branco (USA)

UAC-A-Mola^2 Evolution: Researching, superuser and terrible consequences

Speaker:

Pablo Gonzalez (España)

Descripción::

UAC-A-Mola es un framework diseñado para investigar, detectar, explotar y mitigar el bypass de UAC. UAC-A-Mola permite automatizar la detección de un bypass UAC en una máquina Windows 7/8/8.1/10. UAC-A-Mola permite ejecutar diferentes módulos, personalizables, que permiten automatizar la investigación en busca de bypasses de UAC basados, principalmente, en fileless y DLL Hijacking. El framework permite incluir módulos orientados a la investigación y detección de otro tipo de bypasses. Además, UAC-A-Mola permite obtener una visión defensiva, para mitigar los posibles bypasses UAC operativos en el entorno Windows. UAC-A-Mola está escrita en Python y es un framework que permite extender funcionalidades a través de una interfaz sencilla y un sistema de creación de módulos.

Con la herramienta se demuestra cómo se puede llevar a cabo una investigación sobre la búsqueda de bypasses de UAC. Se enseña cómo cualquier researcher puede llevar a cabo una investigación y encontrar sus propios resultados. La herramienta tiene un enfoque global para la búsqueda de Bypass de UAC. El análisis de los resultados descubiertos son llamativos. El paper se puede ver en: https://www.exploit-db.com/docs/spanish/44948-uac-bypass-&-research-with-uac-a-mola.pdf (Apartado 4) Es un framework que automatiza y ayuda a la investigación de debilidades que afectan a entornos Windows, conociendo que un bypass UAC puede ser utilizado por cualquier malware para obtener un privilegio o por cualquier atacante. Es la primera herramienta de automatización y apoyo a la investigación en temas de bypass UAC. Los resultados que se consiguen pueden provocar la obtención de un nuevo Bypass de UAC (no conocido previamente). Además, el framework puede ser utilizado en una suite de pentesting. Además, se presenta la herramienta UAC-A-Mola TC (Thin Client), la cual es un prompt de Powershell, descargado dinámicamente, sin crear archivo en disco, que permite llevar a cabo el estudio, detección y explotación de un bypass de UAC. Github: https://github.com/ElevenPaths/uac-a-mola (la nueva herramienta UAC-A-Mola TC no está disponible aún. Se liberará próximamente. UAC-A-Mola se puede descargar desde el repositorio).

Using Machine-Learning to Investigate Web Campaigns at Large

Speaker:

Marco Balduzzi (Italia)

Descripción::

From these observations, we conceived an automated system that efficiently builds intelligence information out of raw events. Our approach streamlines the analysts job by automatically recognizing web campaigns and assigning meaningful textual labels to them. Applied to a comprehensive dataset of 13 million incidents, our approach allowed us to conduct what we believe been the first large-scale investigation of this form. In addition, our approach is meant to be adopted operationally by analysts to identify live campaigns in the real world.

We analyze the social structure of modern web attackers, which includes lone individuals as well as actors that cooperate in teams. We look into their motivations, and we draw a parallel between the time line of word-shaping events and web campaigns, which represent the evolution of the interests and orientation of modern attackers.

Love is in the air: Reverse Engineering a shitty drone

Speaker:

Ezequiel Tavella (Argentina)

Descripción:

La charla es la historia sobre el research hecho a un Dron marca Syma, desde los inicios de como capturamos la señal con Hardware como la HackRF, pasando por el reversing del protocolo utilizado entre el transmisor y el dron, hasta el desarrollo de los scripts necesarios para interceptar la telemetría o enviar ordenes de vuelo, estos últimos serán las Demos en vivo de la charla.

Veremos además la cámara que proporciona el dron, y algunas vulnerabilidades en sus servicios, que nos permiten tomar el control de las mismas,mas allá de los resultados obtenidos, la idea es que el publico pueda llevarse la metodología utilizada en el research, los aciertos y errores a lo largo del camino y unos conocimientos mínimos para iniciarse en el campo.

... La Voz me dijo que lo hiciera

Speaker:

Daniel Isler (Chile)

Descripción::

Basándome en mi experiencia y estudios de caso con relación a elementos característicos de un ataque propio de ingeniería social. Puedo decir que la suplantación de identidad es el pretexto mas utilizado y mas efectivo con el que nos podemos encontrar, sobre todo en formatos de Phishing y Vishing.

La suplantación a partir de una URL o un correo electrónico pueden ser técnicas fáciles de detectar y con posibilidades acotadas. Si no contienen la información necesaria, cualquier colaborador o victima podrá detectarlo fácilmente. ¿Qué pasaría si alguien pudiera no solo suplantar, sino que efectivamente utilizar la identidad de una institución para hacer un ataque a nivel nacional? ¿Es posible hacer esto con una inversión mínima o sin capital? La respuesta es SI. Todas las empresas tienen una cara, colores y logos, que ya sabemos son sumamente vulnerables y de fácil acceso en internet. Pero también tienen una voz, una voz que da confianza, que nos acompaña cuando necesitamos su ayuda, que es la primera que escuchamos cuando llamamos, que nos dice lo maravilloso y beneficioso que es estar asociado a esa marca o consumir ese producto. Una voz que jamás no querrá perjudicar, hasta ahora. Lamentablemente la realidad en Chile desprotege a las empresas y en consecuencia también a sus locutores. Menos del 10% de las voces que representan a todas las empresas que difunden sus marcas realizan contratos para sus locutores. Esto quiere decir que un locutor el mismo día puede grabar la locución institucional del Banco A y la locución institucional del Banco B. Hasta el momento no parece algo tan grave. Pero al no existir derechos y obligaciones, este locutor puede ser contactado por cualquier persona para grabar lo que sea.
Este es un ejemplo real realizado durante el horario de oficina con un locutor comercial: 165 llamadas realizadas desde un celular. 35 llamadas contestadas. 17 personas cortan luego de escuchar parte del mensaje. 12 personas digitan su Rut y cuelgan cuando se les solicita su clave. 6 personas digitan su Rut e ingresan su clave. La presentación se estructura en una puesta en escena basada en “La Casa de Papel” presentando un breve reportaje, procesos y pruebas para comprobar la efectividad de la idea planteada “… la voz me dijo que lo hiciera”.
El reportaje presenta a las voces más representativas de nuestro país. Que nos explicarán los procesos y técnicas para comprender la efectividad de su profesión. También se generarán pruebas para que ellos puedan comprobar el alcance de su influencia. Se presentarán los procesos necesarios para realizar un Vishing de bajo costo con las herramientas expuestas en este contexto: contacto de un locutor, guion, cantidad y formas de pago. ¿Cuánto tiempo pasará hasta que alguien contacte a la voz oficial de un banco y obtenga los números de usuarios y claves de gran parte de sus clientes? Esto lamentablemente es una realidad solo de nuestro país. En países como Argentina, México o Colombia los locutores tienen derechos y obligaciones contractuales donde, por ejemplo, no pueden grabar para cualquier persona un guion que no esté aprobado por el cliente, los locutores no pueden grabar para la competencia, existen plazos y exclusividades. Cuando una marca realiza un spot para televisión, hasta los extras tienen contrato ¿Por qué desproteger tanto al único elemento capaz de lograr y proyectar la identidad de una empresa? ¿Por qué dejar esa puerta abierta y disponible para grandes ingenierías sociales de bajo costo y alto impacto?.

Proyecto dron "The Interceptor"

Speaker:

David Melendez (España)

Descripción::

El proyecto "Interceptor" basa sus orígenes en el dron "Atropos". Se trata de un dron diseñado con el mínimo número de componentes, mínimo tamaño, así como precio total (~35€), para formación en el funcionamiento de drones, y para realizar ataques a redes WiFi de forma automatizada. Se basa en la placa IoT Vocore2, y embarca un control de vuelo programado en C usando los drivers de Linux correspondientes, a través del diseño de arquitectura DeviceTree. Entre las capacidades del dron "Interceptor" están: Control de vuelo en la placa Vocore2 Control remoto mediante protocolo mejorado WiFi, inicialmente basado en el proyecto Atropos (inyectando Beacon Frames por el mando del piloto). Herramienta presentada en el RootedWarfare 2016 Telemetría usando Beacon Frames inyectados por el propio dron Auditoría y ataques WiFi automatizados, embebidos en el propio Vocore2, en su Flash de 16MB.

Knocking Down the Big Door (Breaking Authentication and Segregation of Production & Non-Production Environments)

Speaker:

Nahuel Grisolía

Descripción::

Con más de 2000 clientes de empresas y manejando 1.5mil millones de logins cada dia, Auth0 es una de las plataformas de identidad más grandes. En esta charla les diré la historia de cómo, en Cinta Infinita, encontramos una vulnerabilidad de salto de autenticación que afectó a cualquier aplicación usando Auth0 (para nombre de usuario y autenticación de password) en un contexto de investigación independiente y sin fines de lucro.


Los conceptos de profunda seguridad de los Tokens Web JSON, autenticación y autorización, criptografía, intercepción/manipulación de tráfico HTTP, y muchos más, serán tratados. Adicionalmente, otros dos casos serán presentados como una introducción al principal problema de seguridad: el primero involucra un manejo secreto incorrecto entre ambientes de Producción y de No-Producción y una mala implementación de una funcionalidad sensible. Luego, el segundo, mostrará cómo configuraciones inseguras y administración inadecuada de características en MS Azure (y típicas instalaciones IIS) para aplicaciones Web .NET usando autenticación SAML podrían llevar a comprometer por completo una aplicación y su información.

KEYNOTE: Finding Vulnerability Variants: Creating a new path of least resistance

Speaker:

Mat Powell (USA)

Descripción::

Hundreds of vulnerability reports are submitted to the Zero Day Initiative each year, but rarely does one generate a new path to over one hundred CVEs. However, that exact scenario is how a recent bug report enabled me to find and ultimately disclose over 100 0-day vulnerabilities in Wecon LeviStudioU SCADA Human Machine Interface (HMI). This type of asymmetric research is also known as variant hunting and, when used properly, can greatly enhance your research.

This talk covers basic approaches for variant hunting in software. Using case studies, I cover various techniques including source code analysis, binary reversing and fuzzing. Each method has strengths and weaknesses and the real-world examples used provide insights on when to employ the different methods. Finding a security vulnerability in a product can be a great thing. Using that one bug to open a pathway to 100 bugs is even better.

GOVERMENT & HEALTH BREAKING PRIVACY

Speaker:

Diego Espitia (Colombia) - Carlos Avila (Ecuador)

Descripción::

En esta charla hablaremos de una técnica pasiva de OSINT que permite recopilar información usando los metadatos de los documentos expuestos en Internet, técnica que utilizamos durante una investigación para determinar los niveles de control a fugas de información a través de los metadatos en 20 países de Latinoamérica (https://www.elevenpaths.com/es/informe-de-tendencias-que-revelan-los-metadatos-de-los-estados-de-latinoamerica/index.html).

En el desarrollo de la charla se explicará la metodología y herramientas usadas en la investigación, que permitan a los asistentes presenciar los datos recopilados y cómo estos permitirían perfilar al objetivo, determinando características de redes, usuarios, correos electrónicos y ubicación de los servicios. Tomando los datos iniciales como base para ampliar los análisis de OSINT, que permitan determinar algunos vectores de ataque que tengan en común los gobiernos, como son el uso de usuarios genéricos y administrativos en sus sistemas, o poder tener acceso a correos electrónicos de dominios gubernamentales debido a realizar una búsqueda de estos correos en las fugas de información que han sido publicadas. A estas alturas, ya nadie se sorprende cuando visitas a un médico y completa tu historia clínica en una computadora o en un dispositivo móvil, pero quizás no somos tantos los que nos preguntamos dónde y cómo se guarda esta información; así como también que impacto tendría si otras personas obtengan esa información. En esta charla intento analizar y responder estas cuestiones a partir de las vulnerabilidades encontradas en diferentes aplicaciones médicas evaluadas en aplicaciones web y móviles, como sistemas PACS, visores DICOM, sistemas de ERM/HRM/RIS, que tiene conectividad conectividad comúnmente con protocolos DICOM/HL7. La charla mostrará el nivel de exposición de estos sistemas basados en análisis que he realizado, fallos encontrados y reportados; donde también incluyo una demostración contra uno de estos sistemas. Los hospitales, clínicas, pacientes, doctores y sistemas/dispositivos de monitoreo de estos, podrían verse afectado por estas vulnerabilidades.

For the Love of Money: Finding and exploiting vulnerabilities in mobile point of sales systems

Speaker:

Leigh-Anne Galloway (UK) - Timur Yunusov (Rusia)

Descripción:

These days it’s hard to find a business that doesn’t accept faster payments. Mobile Point of Sales (mPOS) terminals have propelled this growth lowering the barriers for small and micro-sized businesses to accept non-cash payments. Older payment technologies like mag-stripe still account for the largest majority of all in-person transactions. This is complicated further by the introduction of new payment standards such as NFC. As with each new iteration in payment technology, inevitably weaknesses are introduced into this increasingly complex payment eco-system.

In this talk, we ask, what are the security and fraud implications of removing the economic barriers to accepting card payments; and what are the risks associated with continued reliance on old card standards like mag-stripe? In the past, testing for payment attack vectors has been limited to the scope of individual projects and to those that have permanent access to POS and payment infrastructure. Not anymore! In what we believe to be the most comprehensive research conducted in this area, we consider four of the major mPOS providers spread across the US, Europe, South America and Asia; Square, SumUp, iZettle and Paypal. We provide live demonstrations of new vulnerabilities that allow you to MitM transactions, send arbitrary code via Bluetooth and mobile application, modify payment values for mag-stripe transactions, and a vulnerability in firmware; DoS to RCE. Using this sampled geographic approach, we are able to show the current attack surface of mPOS and, to predict how this will evolve over the coming years. We will demonstrate how anyone can carry out an attack to send arbitrary code to an mPOS device using simple hardware costing less than $10. The automation of this process allows an attacker to select from a variety of pre-generated messages to send to the mPOS during the transaction process. Finally, for audience members that are interested in integrating testing practices into their organization or research practices, we will show you how to use mPOS to identify weaknesses in payment technologies, and how to remain undetected in spite of anti-fraud and security mechanisms.

Forensic Remote Acquisition using Drones

Speaker:

Pablo Romanos (Argentina)

Descripción:

CROZONO es el desarrollo de un framework modular de exploración, auditoría y adquisición de evidencia digital remota forense a partir del accionar de vehículos aéreos no tripulados. CROZONO se ejecuta en UAVs, drones, robots y prototipos comandados a distancia, con el objeto de realizar de forma completamente automatizada el reconocimiento y selección de infraestructuras inalámbricas, traspasar su seguridad perimetral, acceder a su red interna y adquirir evidencia forense relevante para una investigación judicial.

http://www.crozono.com Los componentes de hardware empleados son: computadora de placa única (en adelante SBC) para el procesamiento de los datos (Ej.: Raspberry Pi 3), adaptador WiFi USB con chipset RT7601, antena sectorial Alpha de 7dBi para 2.4GHz a 2.5GHz, sistema global de comunicaciones móviles (en adelante GSM) para la comunicación con el servidor de comando y control (en adelante servidor C&C), sistema de posicionamiento global (en adelante GPS, Ej.: Garmin 18x 5Hz USB Antena) para la trazabilidad geográfica del UAV, pantalla de visualización de datos. Los componentes de software empleados en el frontend son: sistema operativo GNU Linux, plataforma de desarrollo Python 3, y el core principal de CROZONO. Los del backend; servicio escalable en la nube: Elastic GPUs - Amazon Web Services (C&C).

Pagos NFC: El Arte de Atacar con Repetición & Retransmisión

Speaker:

Salvador Mendoza (USA)

Descripción::

En los últimos años, los métodos de pago digital han tenido una increíble tasa de adopción en dispositivos de consumo en todo el mundo. Muchas compañías, no solo bancarias, están agregando soporte NFC (Near Field Communication) a todo tipo de dispositivos y aplicaciones para permitir que los consumidores realicen transacciones monetarias. Algunas de estas compañías se están protegiendo implementando tokenización como parte de la tecnología digital. Sin embargo, está bien documentado que es posible evadir estas restricciones utilizando mecanismos simples para realizar transacciones fraudulentas. Con todos estos cambios en el ecosistema bancario y de NFC, las áreas de seguridad no están bien preparadas para protegerse contra el aumento de nuevos ataques en esta área.

Los ataques de retransmisión y repetición son cada vez más comunes en la industria de pagos. Cada día más complejos y sofisticados. No solo estamos viendo simples técnicas de skimming, sino también vectores complejos de ataque que son una combinación de tecnologías e implementaciones que incluyen SDR, NFC, APDUs, diseño de emulación de hardware, software especializado, protocolos de tokenización e ingeniería social. En esta charla, discutiremos cuáles son estos ataques, o qué tipo de hardware o software podría implementarse. Añadiendo que mostraremos escenarios reales donde estas tecnologías combinadas con la emulación RFID podrían explotar cualquier tipo de transacción NFC. Pero lo que es peor, cómo los mismos métodos de ataque podrían explotar nuevas implementaciones de NFC en los próximos años. En esta charla se usará hardware de explotación con demostraciones; la presentación incluirá comunicación SDR, emulación RFID, comunicación APDU, extracción de datos de tarjetas físicas y digitales.

CABLEGEDDON - Private Networks in the WAN

Speaker:

Ezequiel Fernandez – Jose Bertin (Chile)

Descripción:

Sobre este trabajo

Este trabajo inicia a principios del 2017 y es en abril del mismo año cuando damos a conocer un serio problema de configuración sobre el servicio SNMP, afectando principalmente a distintos modelos Cable módems en todo el mundo. A este hallazgo lo bautizamos con el nombre de #Stringbleed (CVE-2017-5135). Cursando el primer aniversario de Stringbleed, decidimos retomar la investigación poniendo énfasis en el alcance y su impacto asociado. Introducción. Dado que muchos ISP por defecto exponen los cables módems de sus clientes con configuraciones por defecto, están volviendo a los dispositivos vulnerables y por lo tanto susceptibles a ser atacados. Y tal como se presentará a lo largo del documento se tratan de vulnerabilidades triviales de explotar, que otorgan absolutos privilegios de administración a cualquier atacante y colateralmente una completa exposición las redes privadas a internet. El Cable módem; es un tipo especial de módem diseñado para modular y demodular la señal de datos sobre una infraestructura de televisión por cable. Lo interesante es que estos se utilizan para distribuir el acceso a Internet de banda ancha, aprovechando el ancho de banda que no se utiliza en la red de televisión por cable.

Tal como se ve en la imagen de arriba las redes que integran cable módems involucran muchos elementos. Para el trabajo actual solo es necesario saber que estos dispositivos nos ofrecen conectividad.

Otro componente clave de este trabajo es el Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network Management Protocol) es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Este servicio usa el puerto 161/udp Entre los dispositivos que normalmente soportan SNMP podemos encontrar routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem. Este servicio permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. SNMP, en su versión 1 y 2 a diferencia de muchos otros servicios como pueden ser FTP, SSH, TELNET, no requiere el clásico "Usuario" y "Contraseña", en su lugar ocupa un único campo llamado "Community String" y por defecto se suelen usar “private” y/o “public”.

Memorias de un perito informático forense Vol. $((IV + I))

Speaker:

Lorenzo Martinez (España)

Descripción:

La charla consistirá en la explicación de dos casos de respuesta ante incidentes que he tenido que llevar a cabo personalmente. Dos casos parecidos en los que el ransomware ha destruido todo, pero sin embargo muy diferentes en cuanto al enfoque, procedimiento de adquisición de evidencias seguido y objetivos solicitados por cada uno de los clientes.