8.8 2018 Infinity

Rodrigo Branco (USA)

KEYNOTE: Inside the Machine: How offensive security is defining the way we compute data

David Melendez (España)

Proyecto dron “The Interceptor”

El proyecto “Interceptor” basa sus orígenes en el dron “Atropos”. Se trata de un dron diseñado con el mínimo número de componentes, mínimo tamaño, así como precio total (~35€), para formación en el funcionamiento de drones, y para realizar ataques a redes WiFi de forma automatizada. Se basa en la placa IoT Vocore2, y embarca un control de vuelo programado en C usando los drivers de Linux correspondientes, a través del diseño de arquitectura DeviceTree. Entre las capacidades del dron “Interceptor” están: Control de vuelo en la placa Vocore2 Control remoto mediante protocolo mejorado WiFi, inicialmente basado en el proyecto Atropos (inyectando Beacon Frames por el mando del piloto). Herramienta presentada en el RootedWarfare 2016 Telemetría usando Beacon Frames inyectados por el propio dron Auditoría y ataques WiFi automatizados, embebidos en el propio Vocore2, en su Flash de 16MB.

Nahuel Grisolía

Knocking Down the Big Door (Breaking Authentication and Segregation of Production & Non-Production Environments)

Con más de 2000 clientes de empresas y manejando 1.5mil millones de logins cada dia, Auth0 es una de las plataformas de identidad más grandes. En esta charla les diré la historia de cómo, en Cinta Infinita, encontramos una vulnerabilidad de salto de autenticación que afectó a cualquier aplicación usando Auth0 (para nombre de usuario y autenticación de password) en un contexto de investigación independiente y sin fines de lucro.
Los conceptos de profunda seguridad de los Tokens Web JSON, autenticación y autorización, criptografía, intercepción/manipulación de tráfico HTTP, y muchos más, serán tratados. Adicionalmente, otros dos casos serán presentados como una introducción al principal problema de seguridad: el primero involucra un manejo secreto incorrecto entre ambientes de Producción y de No-Producción y una mala implementación de una funcionalidad sensible. Luego, el segundo, mostrará cómo configuraciones inseguras y administración inadecuada de características en MS Azure (y típicas instalaciones IIS) para aplicaciones Web .NET usando autenticación SAML podrían llevar a comprometer por completo una aplicación y su información.

Pablo Gonzalez (España)

Evolution: Researching, superuser and terrible consequences

UAC-A-Mola es un framework diseñado para investigar, detectar, explotar y mitigar el bypass de UAC. UAC-A-Mola permite automatizar la detección de un bypass UAC en una máquina Windows 7/8/8.1/10. UAC-A-Mola permite ejecutar diferentes módulos, personalizables, que permiten automatizar la investigación en busca de bypasses de UAC basados, principalmente, en fileless y DLL Hijacking. El framework permite incluir módulos orientados a la investigación y detección de otro tipo de bypasses. Además, UAC-A-Mola permite obtener una visión defensiva, para mitigar los posibles bypasses UAC operativos en el entorno Windows. UAC-A-Mola está escrita en Python y es un framework que permite extender funcionalidades a través de una interfaz sencilla y un sistema de creación de módulos.

Con la herramienta se demuestra cómo se puede llevar a cabo una investigación sobre la búsqueda de bypasses de UAC. Se enseña cómo cualquier researcher puede llevar a cabo una investigación y encontrar sus propios resultados. La herramienta tiene un enfoque global para la búsqueda de Bypass de UAC. El análisis de los resultados descubiertos son llamativos. El paper se puede ver en: https://www.exploit-db.com/docs/spanish/44948-uac-bypass-&-research-with-uac-a-mola.pdf (Apartado 4)

Es un framework que automatiza y ayuda a la investigación de debilidades que afectan a entornos Windows, conociendo que un bypass UAC puede ser utilizado por cualquier malware para obtener un privilegio o por cualquier atacante. Es la primera herramienta de automatización y apoyo a la investigación en temas de bypass UAC. Los resultados que se consiguen pueden provocar la obtención de un nuevo Bypass de UAC (no conocido previamente). Además, el framework puede ser utilizado en una suite de pentesting.

Además, se presenta la herramienta UAC-A-Mola TC (Thin Client), la cual es un prompt de Powershell, descargado dinámicamente, sin crear archivo en disco, que permite llevar a cabo el estudio, detección y explotación de un bypass de UAC.

Github: https://github.com/ElevenPaths/uac-a-mola (la nueva herramienta UAC-A-Mola TC no está disponible aún. Se liberará próximamente. UAC-A-Mola se puede descargar desde el repositorio).

Leigh-Anne Galloway (UK) –
Timur Yunusov (Rusia)

For the Love of Money: Finding and exploiting vulnerabilities in mobile point of sales systems

These days it’s hard to find a business that doesn’t accept faster payments. Mobile Point of Sales (mPOS) terminals have propelled this growth lowering the barriers for small and micro-sized businesses to accept non-cash payments. Older payment technologies like mag-stripe still account for the largest majority of all in-person transactions. This is complicated further by the introduction of new payment standards such as NFC. As with each new iteration in payment technology, inevitably weaknesses are introduced into this increasingly complex payment eco-system.
In this talk, we ask, what are the security and fraud implications of removing the economic barriers to accepting card payments; and what are the risks associated with continued reliance on old card standards like mag-stripe? In the past, testing for payment attack vectors has been limited to the scope of individual projects and to those that have permanent access to POS and payment infrastructure. Not anymore!
In what we believe to be the most comprehensive research conducted in this area, we consider four of the major mPOS providers spread across the US, Europe, South America and Asia; Square, SumUp, iZettle and Paypal. We provide live demonstrations of new vulnerabilities that allow you to MitM transactions, send arbitrary code via Bluetooth and mobile application, modify payment values for mag-stripe transactions, and a vulnerability in firmware; DoS to RCE. Using this sampled geographic approach, we are able to show the current attack surface of mPOS and, to predict how this will evolve over the coming years.
We will demonstrate how anyone can carry out an attack to send arbitrary code to an mPOS device using simple hardware costing less than $10. The automation of this process allows an attacker to select from a variety of pre-generated messages to send to the mPOS during the transaction process.
Finally, for audience members that are interested in integrating testing practices into their organization or research practices, we will show you how to use mPOS to identify weaknesses in payment technologies, and how to remain undetected in spite of anti-fraud and security mechanisms.

Marco Balduzzi (Italia)

Using Machine-Learning to Investigate Web Campaigns at Large

From these observations, we conceived an automated system that efficiently builds intelligence information out of raw events. Our approach streamlines the analysts job by automatically recognizing web campaigns and assigning meaningful textual labels to them. Applied to a comprehensive dataset of 13 million incidents, our approach allowed us to conduct what we believe been the first large-scale investigation of this form. In addition, our approach is meant to be adopted operationally by analysts to identify live campaigns in the real world.

We analyze the social structure of modern web attackers, which includes lone individuals as well as actors that cooperate in teams. We look into their motivations, and we draw a parallel between the time line of word-shaping events and web campaigns, which represent the evolution of the interests and orientation of modern attackers.

Mat Powell (USA)

Finding Vulnerability Variants: Creating a new path of least resistance

Hundreds of vulnerability reports are submitted to the Zero Day Initiative each year, but rarely does one generate a new path to over one hundred CVEs. However, that exact scenario is how a recent bug report enabled me to find and ultimately disclose over 100 0-day vulnerabilities in Wecon LeviStudioU SCADA Human Machine Interface (HMI). This type of asymmetric research is also known as variant hunting and, when used properly, can greatly enhance your research.
This talk covers basic approaches for variant hunting in software. Using case studies, I cover various techniques including source code analysis, binary reversing and fuzzing. Each method has strengths and weaknesses and the real-world examples used provide insights on when to employ the different methods. Finding a security vulnerability in a product can be a great thing. Using that one bug to open a pathway to 100 bugs is even better.

We analyze the social structure of modern web attackers, which includes lone individuals as well as actors that cooperate in teams. We look into their motivations, and we draw a parallel between the time line of word-shaping events and web campaigns, which represent the evolution of the interests and orientation of modern attackers.

Ezequiel Tavella (Argentina)

Love is in the air: Reverse Engineering a shitty drone

La charla es la historia sobre el research hecho a un Dron marca Syma, desde los inicios de como capturamos la señal con Hardware como la HackRF, pasando por el reversing del protocolo utilizado entre el transmisor y el dron, hasta el desarrollo de los scripts necesarios para interceptar la telemetría o enviar ordenes de vuelo, estos últimos serán las Demos en vivo de la charla.
Veremos además la cámara que proporciona el dron, y algunas vulnerabilidades en sus servicios, que nos permiten tomar el control de las mismas,mas allá de los resultados obtenidos, la idea es que el publico pueda llevarse la metodología utilizada en el research, los aciertos y errores a lo largo del camino y unos conocimientos mínimos para iniciarse en el campo.

Diego Espitia (Colombia)
Carlos Avila (Ecuador)

GOVERMENT & HEALTH BREAKING PRIVACY

En esta charla hablaremos de una técnica pasiva de OSINT que permite recopilar información usando los metadatos de los documentos expuestos en Internet, técnica que utilizamos durante una investigación para determinar los niveles de control a fugas de información a través de los metadatos en 20 países de Latinoamérica (https://www.elevenpaths.com/es/informe-de-tendencias-que-revelan-los-metadatos-de-los-estados-de-latinoamerica/index.html).

En el desarrollo de la charla se explicará la metodología y herramientas usadas en la investigación, que permitan a los asistentes presenciar los datos recopilados y cómo estos permitirían perfilar al objetivo, determinando características de redes, usuarios, correos electrónicos y ubicación de los servicios.

Tomando los datos iniciales como base para ampliar los análisis de OSINT, que permitan determinar algunos vectores de ataque que tengan en común los gobiernos, como son el uso de usuarios genéricos y administrativos en sus sistemas, o poder tener acceso a correos electrónicos de dominios gubernamentales debido a realizar una búsqueda de estos correos en las fugas de información que han sido publicadas.

A estas alturas, ya nadie se sorprende cuando visitas a un médico y completa tu historia clínica en una computadora o en un dispositivo móvil, pero quizás no somos tantos los que nos preguntamos dónde y cómo se guarda esta información; así como también que impacto tendría si otras personas obtengan esa información.
En esta charla intento analizar y responder estas cuestiones a partir de las vulnerabilidades encontradas en diferentes aplicaciones médicas evaluadas en aplicaciones web y móviles, como sistemas PACS, visores DICOM, sistemas de ERM/HRM/RIS, que tiene conectividad conectividad comúnmente con protocolos DICOM/HL7.

La charla mostrará el nivel de exposición de estos sistemas basados en análisis que he realizado, fallos encontrados y reportados; donde también incluyo una demostración contra uno de estos sistemas. Los hospitales, clínicas, pacientes, doctores y sistemas/dispositivos de monitoreo de estos, podrían verse afectado por estas vulnerabilidades.

Daniel Isler (Chile)

… La Voz me dijo que lo hiciera

Basándome en mi experiencia y estudios de caso con relación a elementos característicos de un ataque propio de ingeniería social. Puedo decir que la suplantación de identidad es el pretexto mas utilizado y mas efectivo con el que nos podemos encontrar, sobre todo en formatos de Phishing y Vishing.
La suplantación a partir de una URL o un correo electrónico pueden ser técnicas fáciles de detectar y con posibilidades acotadas. Si no contienen la información necesaria, cualquier colaborador o victima podrá detectarlo fácilmente.

¿Qué pasaría si alguien pudiera no solo suplantar, sino que efectivamente utilizar la identidad de una institución para hacer un ataque a nivel nacional? ¿Es posible hacer esto con una inversión mínima o sin capital? La respuesta es SI.

Todas las empresas tienen una cara, colores y logos, que ya sabemos son sumamente vulnerables y de fácil acceso en internet. Pero también tienen una voz, una voz que da confianza, que nos acompaña cuando necesitamos su ayuda, que es la primera que escuchamos cuando llamamos, que nos dice lo maravilloso y beneficioso que es estar asociado a esa marca o consumir ese producto. Una voz que jamás no querrá perjudicar, hasta ahora.

Lamentablemente la realidad en Chile desprotege a las empresas y en consecuencia también a sus locutores. Menos del 10% de las voces que representan a todas las empresas que difunden sus marcas realizan contratos para sus locutores. Esto quiere decir que un locutor el mismo día puede grabar la locución institucional del Banco A y la locución institucional del Banco B. Hasta el momento no parece algo tan grave. Pero al no existir derechos y obligaciones, este locutor puede ser contactado por cualquier persona para grabar lo que sea.

Este es un ejemplo real realizado durante el horario de oficina con un locutor comercial:
165 llamadas realizadas desde un celular.
35 llamadas contestadas.
17 personas cortan luego de escuchar parte del mensaje.
12 personas digitan su Rut y cuelgan cuando se les solicita su clave.
6 personas digitan su Rut e ingresan su clave.
La presentación se estructura en una puesta en escena basada en “La Casa de Papel” presentando un breve reportaje, procesos y pruebas para comprobar la efectividad de la idea planteada “… la voz me dijo que lo hiciera”.

El reportaje presenta a las voces más representativas de nuestro país. Que nos explicarán los procesos y técnicas para comprender la efectividad de su profesión. También se generarán pruebas para que ellos puedan comprobar el alcance de su influencia.

Se presentarán los procesos necesarios para realizar un Vishing de bajo costo con las herramientas expuestas en este contexto: contacto de un locutor, guion, cantidad y formas de pago.

¿Cuánto tiempo pasará hasta que alguien contacte a la voz oficial de un banco y obtenga los números de usuarios y claves de gran parte de sus clientes?

Esto lamentablemente es una realidad solo de nuestro país. En países como Argentina, México o Colombia los locutores tienen derechos y obligaciones contractuales donde, por ejemplo, no pueden grabar para cualquier persona un guion que no esté aprobado por el cliente, los locutores no pueden grabar para la competencia, existen plazos y exclusividades.

Cuando una marca realiza un spot para televisión, hasta los extras tienen contrato ¿Por qué desproteger tanto al único elemento capaz de lograr y proyectar la identidad de una empresa? ¿Por qué dejar esa puerta abierta y disponible para grandes ingenierías sociales de bajo costo y alto impacto?.