Susto o muerte: Hacking ético o Intrusión

Habeis realizado alguna notificación a terceros de una vulnerabilidad de su web, su

aplicación o servidor ? En mi caso, lo he hecho en dos ocasiones. La primer vez fue tras visitar la web de un grupo de música. Lo primero que me llamo la atención fue la tienda online. Esta tienda permitía comprar productos del grupo ya que la música es gratuita.

Al ver el formulario, ya vi que la seguridad no era su fuerte. Permitía sin casi conocimientos de hacking:

• Fijar tu el precio de los productos mediante manipulación de parámetros (Proxificando).
• Revisar las compras de terceros.
• Ver los pedidos anteriores
• Manipular todo el código de la web para inyectar 

Bien, vista la gravedad de los problemas identificados pensé como notificarlo. Evidentemente no había ninguna opción para notificar un problema de seguridad. De forma que decidí enviar un correo que me respondieron sorprendidos pero agradecidos.

La segunda vez que he notificado vulnerabilidades graves, mi sorpresa ha sido identificarlo en una organización grande con reputados expertos. Evidentemente estos expertos no han participado en el ciclo de desarrollo seguro, ni han realizado ninguna auditoría de seguridad de caja gris.

El asunto es bastante grave porque la información que gestiona tiene precio en el mercado, existe una canal B donde venderla y la impunidad para hacerlo es absoluta. Por otra parte, las diferentes brechas permiten acceder a información critica por una parte pero sobretodo a información especialmente protegida por la agencia española de protección de datos. Aspectos como personas que han sufrido violencia de género, bajos ingresos, minusvalias... Etc.

La respuesta a la notificación, que moralmente debía hacer, pero que sabia que iba a causar malestar en la organización, fue políticamente correcta inicialmente. No proporcione los posibles vectores de ataque y el resultado hasta que estuve seguro que proporcionaba la información a personal interno y no a una tercera empresa que gestionaba el contacto center.

La respuesta a este segundo mensaje tardo en llegar. Además de la respuesta institucional, incluía un aviso para navegantes. En concreto me recordaba la política de uso y que existían sanciones para los infractores. Supongo que era una forma de solicitar que no comprobase ningún vector adicional. En uno de esos paragrafos hacia mención de que tenían identificados los vectores menos importantes y minimizaban los graves con un argumentaría propio de tertulianos de un canal de entretenimiento.

http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted

Resumen: Es cuestión de tiempo que tengan un incidente grave de seguridad al tener muchos atacantes con motivación económica que pueden acceder a sus plataformas y en segundo lugar, por la gravedad de las brechas y la facilidad de explotarlas (5 minutos).

Master Class protección web con Palaolto Networks

Miércoles 09:30 CEST Gran Hotel Central.Via Laietana 30,Barcelona. Evento Exclusive Networks-PAN España.

Empezó la sesión de Master Class con regusto (legal) +++The Mentor+++ Manifiesto Hacker 1986 por parte de Jesús Díez System Engineer de Paloalto Networks.

Para los que no conozcáis a Jesús, como me pasaba a mí hasta el miércoles, es uno de esos ingenieros con un discurso sencillo, apasionado, mordaz y experimentado en auditorías de seguridad. Por asimilarlo, seria una versión formal de Chema Alonso.

Vaya uno de esos pocos conferenciantes que puede convertir un evento en una experiencia: discusiones de hacking sobre Cross-site scripting, SQL injection, parameter tampering, ejecución de comandos de SO y acceso completo a la Shell. Todo esto con una web de e-commerce de ejemplo a modo de punching ball, siguiendo la estela de WebGoat de la comunidad OWASP

Evidentemente el ejercicio consistió en destrozar todas las protecciones del portal y demostrarlo con escalado de privilegios, acceso a información sensible o cosas simples del tipo enviarte productos de forma gratuita.

Algunas de las claves de la sesiones fueron:

• Explicación de fases clásicas de ataque.
• Utilización de Herramienta proxy Paros.-MiM web con spider y crowler de pasivo y activo.
• Explotación de información del fichero /robots.txt que se crea para los spiders oficiales tipo google.
• Deconstrucción de la programación de las web. Vector de ataque fijado en las comprovaciones realizadas en el lado del usuario. Ej, bypass de la comprovación de las tarjetas bancarias mediant algoritmo LUHN.Luhn_algorithm
• Identificación de codificación Grupo64 que oculta datos sensibles y acceleración del desencriptado de MD5 sin usar Johntheripper, sino mediante BBDD online.
• Explotación automátizada de ataques de inyección de código SQL usando Sqlix

Finalización de la sesión con la creación de CONTRAMEDIDAS en el PALOALTO.


A destacar, la diferenciación entre los motores de aprendizaje dinámico del comportamiento esperado de las webs,  de los mejores WAF y la diferencia con PAN.  Por otra parte, creo que la exposición del final, fue clave para entender la orientación de algunas herramientas integradas en los PAN como puede ser la desencriptación del tráfico SSL.  Un ejemplo seria, descargar del trabajo de cifrado SSL a los servidores internos de la dmz, y poder tratar al tráfico en claro. Por otra parte, la utilización de los filtros por tipo de fichero y firmas de DLP hicieron prácticamente el resto.

Valoración del evento: IMPRESCINDIBLE y DIVERTIDO

hth,

Robclav

Core Security: Comparativa 2012 de Vulnerability Assesment(Hacking)

¿Qué sistemas automátizado de Hacking ético es el mejor del mercado? ¿Es Core Impact un buen producto? Bien, pues contestando a un buen amigo que me pide opinión del producto VA Core Security, sí, es un buen producto. Es más se trata del segundo fabricante de un producto orientado a la auditoría de seguridad automatizada. El segundo (ficticio) es McAfee, pero hay que aclarar que es la suite de assement integrada con el Policy orchestrator. Vaya que lo mismo que te hace el inventariado y te desplega políticas de antivirus, te analiza el estado de los dispositivos. Dicho de otra forma, es una orientación para el departamento informático de un cliente final y no para integradora.

El número uno Qualys, ya lo conocemos en modo appliance y en modo SaaS. En las dos integradoras Gold Parnter de Cisco que trabajaba, se utilizaba. Como todo depende de como lo configures, pero un buen producto.

Por otra parte, Qualys y Core security, comparten una orientación a integradora. Pero leyendo el informe de Gartner y viendo las funcionalidades del segundo parece que está más enfocado a la parte de móviles que no el primero. Diferencia muy importante.  Y segundo parece una empresa con un perfil más agresivo-intrusivo, de forma que sus objetivos en la auditoría son más ambiciosos.

Comparativa VA Gartner

Resumen, Core Impact es un visionario tipo Paloalto en los NGN, y Qualys sería un producto maduro y poco más conservador.

hth,

Robclav