En junio de 2006 asistí al primer encuentro del recién fundado capítulo español de OWASP (Open Web Application Security Project) que se celebró en el CESCA (Centre de Supercomputació de Catalunya). Vicente Aguilera (@VAguileraDiaz), su fundador, nos presentó aquel proyecto que nacía con la filosofía de "todo abierto y gratuito" con el objetivo de asegurar e incrementar el nivel de seguridad de las aplicaciones web.
Por diversos motivos (de agenda, principalmente) después de ese primer encuentro en 2006 no había podido volver a asistir a ninguna jornada de OWASP, hasta hoy. El pasado viernes 13 de junio se celebró el VIII OWASP Spain Chapter Meeting (#OWASPSpain8) en el Auditorio del Campus La Salle en Barcelona.
En primer lugar Josep Mª Ribas, director de la Escuela de Ingeniería La Salle Campus Barcelona nos dio la bienvenida a sus instalaciones y aprovechó para anunciar que el próximo curso volverán a poner en marcha el Master en Ciberseguridad. A continuación, Vicente Aguilera, presidente de OWASP Spain y socio de Internet Security Auditors realizó la presentación de la jornada que, de 10 de la mañana a 6 de la tarde acogió un total de ocho presentaciones.
** (01) - ON BREAKING PHP-based CROSS SITE SCRIPTING PROTECTION **
Ashar Javed (@soaj1664ashar), investigador alemán que está realizando su tesis sobre XSS, ofreció una clase magistral sobre metodologías de ataque para lo que el llama "contextos" en XSS. Se trata de buscar la manera de introducir, dentro del código de una página web, una cadena de texto tecleada por el usuario. Para ello determina 5 "contextos": HTML, Atributos, Script, URL y Estilos, para cada uno de los cuales mostró tanto ejemplos de vulnerabilidades como soluciones a los desarrolladores para evitar esas inyecciones.
Durante la charla planteó un reto, ofreciendo 250$ a quien fuera capaz de saltarse el filtro XSS que ha implementado en http://demo.chm-software.com/7fc785c6bd26b49d7a7698a7518a73ed/
(A día de hoy, tras más de 37.000 intentos, parece qie nadie lo ha conseguido y ha aumentado la recompensa a 550$).
** (02) - REVERSING AND PROTECTING ANDROID APPLICATIONS **
Pau Oliva (@pof), co-autor de "Android Hacker's Handbook" ofreció una interesante charla sobre reversing en Android, comentando diversas herramientas. Planteó 3 escenarios para "reversear" [sic] los ficheros APK de Android:
- Pasar de DEX (bytecode) a Smali, desensamblando, por ejemplo con ApkTool,
- Pasar de DEX a JAR y luego utilizar cualquier compilador de Java (por ejemplo Procyon),
- Utilizar un decompilador de Dalvik puro y pasar directamente de DEX a Java (p.ej: DAD, Jadx).
Acabó la charla con algunos consejos sobre como securizar una aplicación y sobre la aplicación de técnicas de ofuscación con herramientas como Proguard.
** (03) - 50 SHADES OF CRIMEWARE **
Los investigadores en seguridad Frank Ruiz (@francruar) y Manu Quintans (@groove) nos dieron una visión global del panorama del cibercrimen. Evidenciaron que cuando en la prensa aparecen noticias sobre cibercrimen, normalmente son poco fundadas porque no se han investigado o contrastado lo suficiente. Plantearon un esquema de cuatro capas para definir la profesionalización de los cibercriminales (a menudo, lo que los medios califican como "bandas organizadas" resulta que no los son tanto).
Después de analizar algunos eventos recientes (cierre de Silk Road, la brecha de Target, la detención del creador de Blackhold, ...) concluyeron que la industria del cibercrimen está bastante consolidada y cada vez se está encerrando más en si mismo, lo que dificulta a personas ajenas (investigadores) acceder a este mundo.
Para finalizar, destacaron que las tendencias en malware van hacia la infección de terminales POS (TPV) y realizaron en directo una demo de clonado de una tarjeta con banda magnética.
** (04) - BIG DATA Y SEGURIDAD: UN MATRIMONIO DE FUTURO **
Antonio González Castro (@agonzaca), CISO de Pragsis, habló sobre los retos que plantea Big Data para la seguridad. Primeramente analizó la tecnología Hadoop (HDFS) desde el punto de vista de su funcionamiento (información distribuida) y su seguridad, revisando cada uno de los aspectos de autenticación, autorización, cifrado o ejecución de código, para, a continuación, pasar a analizar como utilizar el potencial de Big Data para la seguridad que puede ser, por ejemplo, una excelente herramienta para la centralización de eventos (sin límite, y acumulando logs por años que luego pueden correlacionarse) o para la detección del fraude (mediante análisis de comportamiento en el uso de tarjetas de crédito).
** (05) - GOLISMERO PROJECT: A REVOLUTIONARY SECURITY FRAMEWORK **
El creador de GoLismero, Daniel García 'cr0hn' (@ggdaniel) y uno de los desarrolladores, Raúl Requero (@rrequero) presentaron las novedades de esta herramienta para la automatización de las auditorías de seguridad. Entre las novedades destaca el nuevo módulo de creación de informes (Reporting) que genera informes en HTML completamente editables y con la opción de guardarlos en formato PDF; también incluye un IDE para crear o modificar los plugins que se necesiten.
Toda la información de GoLismero la encontrareis en la web del proyecto: http://www.golismero.com. La versión liberada es la 2, pero Daniel García avanzó que están preparando la 3.0
** (06) - EQUIPO DE RESPUESTA A INCIDENTES **
Xavi Panadero (@xpanadero) del CESICAT (Centre de Seguretat de la Informació de Catalunya) nos ofreció una charla sobre los equipos de respuesta ante incidentes (CERT).
En España existen actualmente 15 CERT's (6 del sector privado: e-LaCaixa, S21-CERT, Telefónica, ..., y 9 públicos: CCN-CERT, INTECO, CESICAT, CESCA ...) todos ellos formando parte de las redes de CERT's globales (TF-CSIRT, FIRST, ENISA, ...). Tienen tipificados 37 tipologías distintas de incidentes, los cuales se gestionan en función de dos variables: criticidad y prioridad. Los CERT, además de actuar para dar respuesta al incidente, se encargan también de la prevención y protección para evitar que los incidentes vuelvan a suceder.
La charla finalizó con un caso práctico de una resolución de un incidente real.
** (07) - TUS BINARIOS HABLAN, ¿ESCUCHAS? **
Simón Roses (@simonroses), de Vulnex, presentó su herramienta BinSecSweeper que unas semanas antes había presentado en el Pentágono, ya que forma parte de un proyecto seleccionado por el DARPA. Por ello la herramienta aún no está disponible, aunque Simón anunció que lo estará en breve.
La herramienta está orientada al desarrollo de software seguro, y permite verificar que un binario -antes de ser entregado al cliente- cumple con las políticas de seguridad de la organización. También puede utilizarse como herramienta de análisis de malware para determinar si un binario es un malware o contiene malware.
** (08) - ECRIME TEAM, WHAT, WHY AND HOW **
La jornada finalizó con la charla de Marc Rivero (@seifreed) de BDigital quien nos habló sobre malware y e-crime. Repasó la evolución del malware, desde los primeros troyanos bancarios, que eran muy simples, pero que poco a poco se han ido sofisticando. En este sentido comentó el caso de Stuxnet, que utilizaba 4 0-Days no conocidos y una combinación de varias vulnerabilidades.
En su análisis destacó las nuevas vías de infección, a través de los smartphones (Android principalmente, por la sencillez de instalar aplicaciones). Para finalizar, mostró su propuesta de lo que debería ser un "eCrime Team" compuesto por expertos con diferentes perfiles: un Auditor (pentester), un experto en Reversing, un Analista de malware (forense) y un Analista de Inteligencia (OSINT, SIEM).
Sin duda un evento de gran nivel, con unos ponentes y una organización excelente. Espero poder asistir al próximo.
En la página web de OWASP Spain en breve colgarán las ponencias y las fotografías de la jornada:
 |
| (Foto de @golismero_pro en Twitter #) |
No hay comentarios:
Publicar un comentario