Upload
websec-mexico-sc
View
568
Download
9
Embed Size (px)
DESCRIPTION
En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México. Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX. Video: https://www.youtube.com/watch?v=V5ofjARl--4
Citation preview
(IN)seguridad en infraestructura tecnológica¿A qué riesgos esta expuesta nuestra infraestructura de TI y nosotros como
usuarios de Internet?
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
CONTACTO
3
$ cat contacto.txt
################################ Paulino Calderón Pale [email protected] Twitter: @calderpwn Bitbucket: https://bitbucket.org/cldrn/ WWW: http://calderonpale.com ################################
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Y les traigo premios…
4
• Poster “Icons of the web”
• Paquete de stickers
• Copia impresa de “Nmap 6:Network Exploration and Security Auditing Cookbook”
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿De qué voy a hablar?• En el año 2014 hemos llevado la inter-conectividad al
máximo. Ya tenemos hasta tostadoras con dirección IP…
• ¿Hemos considerado la seguridad de la información en esto proceso?
• ¿Los fabricantes lo han hecho?
!
!
5
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿De qué voy a hablar?• En el año 2014 hemos llevado la inter-conectividad al máximo.
Ya tenemos hasta tostadoras con dirección IP…
• ¿Hemos considerado la seguridad de la información en esto proceso?
• ¿Los fabricantes lo han hecho?
Algunos sí, otros intentan y a muchos otros no parece importarles hasta que tienen un problema serio.
!
6
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Agenda(IN)seguridad en infraestructura tecnologica
• Redes inalámbricas IEEE 802.11
• Dispositivos accesibles remotamente
• Ruteadores
• Cámaras web
• Sistemas VOIP
• Sistemas SCADA
8
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Redes wifi 802.11• La adopción de la tecnología wifi se ha llevado de
forma masiva en los últimos años tanto en redes laborales como caseras.
• Actualmente la mayoría de redes wifi cuenta con algún mecanismo de autenticación (Aunque sea mal implementado).
9
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comunes relacionados con el uso de estas tecnologías?
10
Seguridad de redes wifi
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comúnes relacionados con el uso de estas tecnologías?
• Uso de configuraciones inseguras.
11
Seguridad de redes wifi
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comúnes relacionados con el uso de estas tecnologías?
• Uso de configuraciones inseguras.
• Uso de mecanismos de cifrado inseguros.
12
Seguridad de redes wifi
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comunes relacionados con el uso de estas tecnologías?
• Uso de configuraciones inseguras.
• Uso de mecanismos de cifrado inseguros.
• Uso de access points vulnerables.
13
Seguridad de redes wifi
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Estadísticas de redes wifi
• ¿Existen estadísticas públicas sobre estas redes?
• ¿Qué datos interesantes se pueden obtener?
• Tipos de mecanismos de cifrado
• Uso de canales
• Dispositivos vulnerables que son utilizados popularmente.
14
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
• ¿Cómo obtendríamos estadísticas del uso de estas tecnologías?
• Wardriving
15
Estadísticas de redes wifi
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Descubrir redes inalámbricas y “mapearlas” desde un vehículo en movimiento.
!
16
¿Qué es el wardriving?
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)17
Wardriving en el 2014
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)18
Wardriving colectivoBases de datos creadas por contribuciones de una comunidad de usuarios.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)20
http://goo.gl/npjnz
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Estadísticas de redes wifi en MXAnálisis Completo
• http://www.websec.mx/Estadisticas_2013_de_Redes_802.11_en_MX.pdf
Infografía:
• http://www.websec.mx/blog/ver/redes-802.11-mexico-infografia
22
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Uso de protocolos de cifrado en MX
23
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Redes wifi que soportan WPS
23.7% 24
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)25
¿Quienes fabrican los APs más populares en México?
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Se podría obtener información de redes wifi remotamente?
• En el caso de los equipos Huawei HHG530, HHG520 y posiblemente otros modelos similares sí…
http://www.websec.mx/advisories/view/Huawei_HG520c_Revelacion_de_Informacion_via_web
• Y obviamente existen muchas vulnerabilidades que afectan a otros dispositivos. Este es solo un ejemplo…
28
Accediendo a redes inalámbricas remotamente
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Dispositivos accesibles remotamente
32
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Dispositivos accesibles remotamente
• Muchos diferentes tipos de dispositivos cuentan con una dirección IPv4 actualmente.
• Es relativamente facil hacer un barrido de todas las direcciones IPv4 existentes.
• ¿Se puede escanear el espacio de direcciones IPv6?
33
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Escaneando el Internet• Presentación sobre escaneos distribuidos con Dnmap
(GuadalajaraCON 2012):
https://www.youtube.com/watch?v=kLaKrRtr_cY
• Existen otras herramientas especializadas en velocidad:
• masscan (http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.htm)
• zmap (https://zmap.io/) $ zmap -p 443 –o results.txt
34
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Escaneando el Internet• Lista de IPs por país en formato CIDR:
http://software77.net/geo-ip/
• Existen bases de datos públicas con información interesante:
• ShodanHQ (http://www.shodanhq.com/)
• scans.io (https://scans.io/)
35
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
SHODANHQ• Motor de busqueda de dispositivos conectados a
Internet (http://shodanhq.com)
36
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Otras búsquedas interesantes
39
• cisco last-modified
• default password
• Dispositivos específicos
• bacnet
• scada
• modbus
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Ruteadores y modéms
40
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en ruteadores
41
• Existen vulnerabilidades en los principales fabricantes de ruteadores y modems.
• Routerpwn contiene la mayor cantidad de exploits relacionados con ruteadores, modems y switches. (http://routerpwn.com)
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en dispositivos Huawei
44
• Cálculo de llave inalámbrica default
• Acceso remoto y local sin autenticación
• Control completo del dispositivo
• Obtención remota de MAC / WEP / WPA
• Entre muchas otras…
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en dispositivos Huawei
45
!
• Huawei EchoLife HG520c Denegaciones de Servicio y Reset 2010
• Huawei EchoLife HG520 CSRF Interfaz Remota 2010
• Huawei EchoLife HG520c Revelación de Información 2010
• Huawei EchoLife HG520 Revelación de Información por UDP 2010
• Una herramienta para descomprimir el archivo de configuración,
• Algoritmo para Huawei HG5xx MAC2WEPKey 2011. Actualmente se pueden encontrar diversas implementaciones incluyendo una app de Android muy popular
• Evasión de autenticación en Huawei HG866
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Disculpa, ¿me das tu archivo de configuración?
47
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Calculo de la llave default con Mac2wepkey HHG5XX
• https://play.google.com/store/apps/details?id=mx.websec.mac2wepkey.hhg5xx&hl=es_419
48
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)51
Y hasta ocasionó algunas peleas…
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Como no usar la herramienta
53
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Como no usar la herramienta
54
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
TP-Link
56
• El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web oculta para depuración que podría servir de puerta trasera a atacantes localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
• El nombre de usuario de esta consola esta guardado estáticamente en el binario del servidor HTTP y la contraseña no puede ser cambiada desde la interfaz web, por lo que siempre es valida la siguiente cuenta: Usuario: osteam Contraseña: 5up
• La criticidad de esta vulnerabilidad es alta debido a que a través de esta consola se pueden ejecutar comandos en el sistema con privilegios root como agregar reglas de redirección de trafico y modificar archivos de configuración
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
DPT==“Detector de Puertas Traseras”
60
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Detectando puertas traseras
62
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Cámaras web
64
• Cámaras de seguridad ofrecen administración remota para comodidad de los usuarios.
• Casi nunca se utilizan reglas de acceso.
• Cuentan con muchos problemas de seguridad.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Cámaras web
65
Problemas de seguridad similares:
• Puertas traseras
• Controles de acceso mal implementados
• Dispositivos vulnerables
• Uso de credenciales débiles
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en cámaras web
66
• Craig Heffner recientemente habló de su trabajo en este tipo de dispositivos:
Exploiting Surveillance Cameras Like A Hollywood Hacker https://www.youtube.com/watch?v=B8DjTcANBx0
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Problemas con VOIP
70
¿Cuales son los problemas de seguridad que encontramos en estos sistemas?
• Contraseñas débiles.
• Configuraciones inseguras.
• Vulnerabilidades en protocolos. Hacking SIP Like a Boss
(https://www.youtube.com/watch?v=bSg3tAkh5gA)
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Asterisks en México
72
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Obteniendo credenciales SIP
73
• Ataques de MiTM permiten a atacantes obtener datos para lanzar ataques de diccionario o fuerza bruta para obtener las credenciales.
Cain & Abel (http://www.oxid.it/cain.html)
• Ataques de fuerza bruta remotos también son posibles a través de peticiones de tipo REGISTER.
Por ejemplo en Nmap NSE tenemos sip-brute. $nmap -sU -p 5060 <objetivo(s)> --script=sip-brute
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Seguridad adicional en VOIP
74
Deshabilitar llamadas internacionales si no quieren un cuentota de teléfono.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Sistemas SCADA
• Sistemas SCADA de fábricas como plantas de petróleo, eléctricas, tratamiento de agua, prisiones, entre otros…
• Una de las razones por la que son accesibles remotamente es para facilitar el monitoreo de los sistemas ya que en ocasiones los equipos se encuentran en ubicaciones difíciles de acceder.
• El ojo de sauron ( la industria de la seguridad informatica ) tiene mucha atención en estos sistemas.
78
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Infraestructura crítica: terminología
• SCADA = Supervisory Control and Data Acquisition System
• ICS = Industrial Control System
• PLC = Programmable Logic Controller
• RTU = Remote Terminal Units
• HMI = Human Machine Interface
79
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Automatización industrial
80
• Existen muchos posibles vectores de ataque en sistemas de automatización industrial. ¿Cuales con estas superficies de ataque?
• A pesar de que deberían estar en redes herméticas existe la posibilidad ( y ha pasado) de ataques a estos sistemas.
!• ¿Cuales son los riesgos a los que están expuestos?
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en automatización industrial
81
• En el 2000 se identificó el primer ataque a una planta de tratamiento de residuos
• Se ha determinado que son susceptibles a ataques con EMPs. • Puertas de prisiones se han abierto sin motivo aparente en
Estados Unidos. • Se ha demostrado que es posible realizar ataques a distancia.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
STUXNET
82
!• Descubierto desde el 2010 en una planta nuclear de Iran…
• El primer gusano que atacaba a sistemas SCADA.
• Infección inicial via USB pero después utilizaba otros métodos de infección.
• Firmado con certificados robados.
• Ejemplo de malware muy sofisticado.
• Análisis de STUXNET (https://www.youtube.com/watch?v=GVi_ZW-1bNg)
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Siemens S7
83
• Espera conexiones en el puerto 102.
• Usa un protocolo llamado ISO-TSAP el cual el encapsulado en una conexion TCP.
• Existen diferentes modelos (todos afectados por vulnerabilidades):
• S7-300
• S7-400
• S7-1200
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Ataques a PLCs
84
• BlackHat 2011: Siemens Simatic S7 PLC Exploitation (https://www.youtube.com/watch?v=33kouEKm0zo)
• Exploits para diferentes PLCs disponibles en Metasploit: • Siemens S7 (Uno de los PLCs mas usados)
!
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Ataques a distancia
85
• Investigación por Carlos Penagos ( colombiano ) y Lucas Apa presentada en Blackhat 2013 (https://media.blackhat.com/us-13/US-13-Apa-Compromising-Industrial-Facilities-From-40-Miles-Away-Slides.pdf).
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en HMIs
88
• Las interfaces también son vulnerables.
• SCADA HMI & MS BLOB por R Wesley McGrew (https://www.youtube.com/watch?v=yFxzu0MzOqs)
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Encontrando SCADAs
89
• Existen herramientas públicas para detectar sistemas SCADA:
• Nmap Por puerto, servicio o con NSE con scripts como modbus-discovery, Siemens-WINCC.nse, Siemens-Scalance-module.nse, Siemens-HMI-miniweb.nse, Siemens-CommunicationsProcessor.nse.
• modbus-scan
• ScadaScan
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)90
PROTOCOLO PUERTOBACnet/IP UDP/47808
DNP3 TCP/20000, UDP/20000EtherCAT UDP/34980
Ethernet/IP TCP/44818, UDP/2222, UDP/44818
FL-net UDP/55000 to 55003
Foundation Fieldbus HSE TCP/1089 to 1091, UDP/1089 to 1091
ICCP TCP/102Modbus TCP/502
OPC UA Discovery Server TCP/4840OPC UA XML TCP/80, TCP/443
PROFINET TCP/34962 to 34964, UDP/34962 to 34964
OPC UA Discovery Server TCP/UDP 4000
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Encontrando equipos
91
# nmap --script Siemens-PCS7.nse -p 80 <objetivo(s)>
# nmap -sU --script Siemens-Scalance-module.nse -p 161 <objetivo(s)>
# nmap -sU --script Siemens-WINCC.nse -p 137 <objetivo(s)>
# nmap --script modbus-discover.nse --script-args='modbus-discover.aggressive=true' -p 502 <objetivo(s)>
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Encontrando dispositivos con modbus/tcp
92
PORT STATE SERVICE 502/tcp open modbus | modbus-discover: | Positive response for sid = 0x64 | SLAVE ID DATA: \xFA\xFFPM710PowerMeter | DEVICE IDENTIFICATION: Schneider Electric PM710 v03.110 |_ Positive error response for sid = 0x96 (GATEWAY TARGET DEVICE FAILED TO RESPONSE)
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Otros dispositivos?
93
• BMCs (Board Management Controller) • NAS (Network Attached Storage) • DVRs (Digital Video Recorder) • etc…
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
95
• Políticas de contraseñas.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
96
• Políticas de contraseñas. Use una contraseña segura.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
97
• Políticas de contraseñas. Use una contraseña segura.
• Controles de acceso.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
98
• Políticas de contraseñas. Use una contraseña segura.
• Controles de acceso. No deje que desconocidos se conecten.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
99
• Políticas de contraseñas. Use una contraseña segura.
• Controles de acceso. No deje que desconocidos se conecten.
• Roles de acceso
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
100
• Políticas de contraseñas. Use una contraseña segura.
• Controles de acceso. No deje que desconocidos se conecten.
• Roles de acceso Revisen los permisos por favor.
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
SPAM• Nmap 6: Network Exploration
and Security Auditing Cookbook http://www.amazon.com/Nmap-exploration-security-auditing-Cookbook/dp/1849517487
• Nmap Scripting Engine Development http://www.amazon.com/Mastering-Scripting-Engine-Paulino-Calderon/dp/1782168311/
101
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Más información• Routerpwn (http://routerpwn.com) • Técnicas de escaneo másivo y estadísticas de vulnerabilidades
(http://www.websec.mx/blog/ver/tecnicas-de-escaneo-masivo) • Exploiting Network Surveillance Cameras Like A Hollywood Hacker
(https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-WP.pdf)
• Compromising Industrial Facilities From 40 Miles Away (https://media.blackhat.com/us-13/US-13-Apa-Compromising-Industrial-Facilities-From-40-Miles-Away-Slides.pdf)
• Siemens S7 PCL Exploitation (http://media.blackhat.com/bh-us-11/Beresford/BH_US11_Beresford_S7_PLCs_Slides.pdf)
102
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Más información• ShodanHQ (http://shodanhq.com)
• NSE scripts for SCADA identification (https://github.com/drainware/nmap-scada)
• Zmap (https://zmap.io/paper.pdf)
• IPv6 Implications for Network Scanning (http://www.ietf.org/rfc/rfc5157.txt)
• Hacking SIP services like a boss (http://viproy.com/files/athcon2013.pdf)
103
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Más información• SCADApedia
(https://www.digitalbond.com/tools/the-rack/control-system-port-list/)
• modbus-discover (http://nmap.org/nsedoc/scripts/modbus-discover.html)
104
(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Preguntas?$ cat contacto.txt
################################ Paulino Calderón Pale [email protected] Twitter: @calderpwn Bitbucket: https://bitbucket.org/cldrn/ WWW: http://calderonpale.com ################################
105