Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

14 diciembre 2014

#8JornadasCCN_CERT Crónica (II)


Enlace permanente de imagen incrustada

Continuamos la crónica dando cuenta del resto de las ponencias presentadas en el módulo 2 "Nuevas amenazas, herramientas y tecnologías".


La primera fue una demo basada en el proyecto de fin de carrera de José Vila, dirigido por Ricardo Rodríguez, sobre ataques de relay en tarjetas EMV NFC con dispositivos Android:

Las comunicaciones NFC tienen un alcance práctico de 10m (20 teóricos) y pueden establecerse de manera pasiva (hay un terminal que la inicia con superior potencia) o activa (tanto el receptor como el emisor generan su propio campo NFC. El estandar de comunicación está recogido en la norma ISO 1443 que se compone de cuatro partes. Sin embargo, es solo una recomendación y no todas las tecnologías que implementan NFC lo cumplen por completo. Por ejemplo, MIFARE, ampliamente utilizada en las tarjetas contactless, solo cumple con las tres primeras y, por lo tanto, es vulnerable. Como quizá sepáis, estas tarjetas permiten el pago de hasta 20€ sin introducir un pin de seguridad y dicha operación puede realizarse hasta cierto número de veces, aunque no sin límite. Esto permite que alguien con acceso a nuestra tarjeta pueda hacer compras e incluso quedarse con los datos de la misma (excepto el CV), ya que viajan en claro.

¿Te consideras seguro si no hay un datáfono a menos de 10m de tu tarjeta? Pues los ponentes demostraron que el ataque puede hacerse a más distancia utilizando un terminal que haga de proxy y con una aplicación android llamada NFC Leech, que se puede instalar en cualquier terminal sin rootear, con versiones 4.4 o superior. Es suficiente con que un móvil que esté a menos de 10m de la tarjeta de la víctima se conecte (mediante wifi o bluetooth) con otro que esté cerca del datáfono. La complejidad del ataque puede incrementarse para incluir más terminales y saltos en el camino que dificulten el rastreo.

Enlace permanente de imagen incrustadaLos ataques de relay se realizan en el nivel 2 de OSI, por lo que todas las medidas de seguridad que implementemos en capas superiores no sirven. ¿Lo mejor para protegerse? Una mini jaula de faraday. En muchas tiendas venden billeteros a tal a efecto. Hasta ahora yo utilizaba el método casero del papel albal. Pero dejadme que os enseñe qué es lo que llevo ahora (cortesía de S2 Grupo): 

¡Hasta Félix Sanz tiene una! 

Despues, continuaron Alfonso Muñoz y Sergio de los Santos que nos hablaron de las técnicas de correlación utilizadas en su herramienta Path5 para detectar malware en las apps Android y presentaron un caso de estudio hecho para la botnet Shuabang. Un cosa interesante que aprendí es que no es cierto que a más permisos, más malware: una gráfica realizada con la herramienta mostraba que la mayoría de las apps maliciosas solo tenían cinco. El análisis del lenguaje natural (en la descripción de la app) resultaba más eficaz para detectarlas.

Posteriormente salió Jaime Sánchez (no en camisa, sino con jersey; es verdad que en la sala hacía fresquete) para hablarnos del famoso #ShellShock. Lo cierto es que es mucho lo que se ha hablado ya del tema desde que salió. Pero Jaime nos hizo un buen repaso de los distintos tipos de ataques que se pueden realizar aprovechando dicha vulnerabilidad. Un par de cosas que mencionó que me parecieron interesantes fueron que la mayoría de los ataques detectados parecían venir de Estados Unidos y, sobre todo, la pregunta que lanzó: ¿habéis revisado los logs para comprobar que no habéis sido víctimas del ataque antes de que saliera a la luz y lo parchearais? Me quedé con ganas de preguntarle por el #Winshock; pero como sabía que el horario era muy ajustado...

Enlace permanente de imagen incrustada
Jaime con su jersey, Ghost in the Shell

Y después, Abraham Pasamar desmitificando el AntiVirus. Con el debate existente sobre si los antivirus sirven o no para algo, ante la pregunta "¿debemos instalar un antivirus?" Abraham responde con un claro "Sí". Pero, teniendo en cuenta que tampoco son la panacea. ¿Por qué? Porque pueden evadirse y, de hecho, se evaden. Lo hicieron en Incide (no confundir con Incibe) y su CEO nos mostró cómo lo hicieron, cocinando un Crypter FUD y haciendo pruebas repetidas, hasta que ningún AV lo detectaba:

Como muchos AV escanean los binarios del disco correspondientes al proceso que está en memoria, se puede utilizar una técnica de Dynamic Forking para colocar el virus en una zona de memoria utilizada por un proceso legítimo y que pase desapercibido. Por otra parte, para evadir los sistemas de heurística de los AV, utilizaron una exhausting routine, que, básicamente, consiste en cansar al AV, haciéndole analizar un trozo de código inocuo que dura mucho, para que asuma que todo lo demás es bueno y no siga analizando.

Si queréis saber más sobre AV, encoders, packets, crypters, stubs y demás, tenéis una muy buena serie de artículos escritos por Abraham en SbD. Yo aprendí mucho con ellos.

Y hasta aquí todo lo relativo a las ponencias del módulo 2 del primer día. Continuará...

No hay comentarios:

Publicar un comentario

A penny for your thoughts