Blog de Matias Katz

Archive for 19:18 hrs.

Matias Katz | 19:18 hrs.

Vive ForoSI, evento técnico organizado por Segu-Info

Segu-Info, la mayor comunidad de habla hispana sobre seguridad de la información, organiza Vive ForoS!, un evento de conferencias 100% técnico, en el cual se instaurará una modalidad diferente:

Diferentes disertantes hablarán sobre temas relacionados con la seguridad de la información, con un enfoque totalmente técnico. Estas presentaciones tendrán una duración de 30 minutos, y luego el público podrá interactuar y debatir sobre el tema presentado, explotando al máximo posible las diferentes posturas y opiniones sobre cada tema. Será mucho más que una simple ronda de preguntas y respuestas post-presentación. Será el público quien tome protagonismo en la disertación.

Entre los disertantes se encuentran varios íconos de la materia, entre los cuales tendré el privilegio de poder participar dando una charla.

Aquí está la agenda completa:

Apertura – Cristian Borghello (Segu-Info): Apertura y bienvenida con los objetivos del evento
Seguridad Móvil – Ezequiel Sallis, Claudio Caracciolo (Root-Secure): enfoque sobre la identificación y descripción de los ataques más importantes asociados a los dispositivos móviles en lo respecta a los sistemas operativos, aplicaciones, interfaces de comunicación y el factor humano
Continuidad de Negocio y Gestión de Crisis – Mateo Martinez (TATA Consultancy Services)
Virtualización y Seguridad en VDI (Virtual Desktop Infrastructure) – Diego Bruno (Consultor Independiente): Debilidades y fortalezas de VDI y la seguridad en ambientes de virtualización. Puntos a favor y en contra de RDP y PCoIP al montar distintos escenarios virtuales.
Seguridad en Cloud Computing – Hernán Racciatti (SIC Labs): se presentan los aspectos relevantes de este nuevo paradigma así como la importancia de la seguridad, el cumplimiento de los estándares, las regulaciones y la legislación internacional
Criminología informática a través de botnets – Jorge Mieres (MalwareIntelligence): objetivos de una investigación sobre botnets, el estado del arte en materia delictiva sobre distintas redes delictivas, afiliados de negocios, servidores BulletProof y presentación exclusiva de investigaciones locales sobre botnets extranjeras.
MITM y robo de información en sesiones SSL – Matias Katz (Mkit Argentina): forma de realizar un ataque Man-In-The-Middle y una posterior captura de credenciales, tanto sobre una sesión no segura como en una protegida a través de SSL
Debate de cierre con resumen de las principales ideas de la jornada

El evento se realizará el día 28 de Octubre de 2010 de 12 a 18 hs, en las oficinas de TATA Consultancy Services, Uspallata 3034, en el Distrito Tecnológico de la Ciudad Autónoma de Buenos Aires, Argentina.

La asistencia a Vive ForoS! de manera presencial se dará únicamente través de una invitación exclusiva por parte de Segu-Info y tendrá un costo de AR$ 200 (200 pesos Argentinos) confirmando y abonando por adelantado o AR$ 250 (250 pesos Argentinos) abonando el mismo día del evento.

En caso de querer aplicar para una invitación, deberán comunicarse con la organización en el siguiente link: http://www.segu-info.com.ar/contacto.php

En paralelo, el evento se transmitirá via Streaming en vivo y en directo a través del sitio web, comenzando la transmición a las 12 hs en punto. La participación vía Internet es completamente libre y gratuita.

Los participantes vía Internet podrán sumarse al debate a través de la redes sociales y el streaming en vivo, lo cual les brinda una experiencia única en un evento de este tipo.

Los espero a todos los que puedan asistir, no solo a mi charla sino al evento en general. Será una muy buena experiencia para todos.

Link al evento: http://www.segu-info.com.ar/vive-forosi/

Category: Evento, Seguridad | Tags: event, Evento, news, noticias, Security, Seguridad

Matias Katz | 16:19 hrs.

6 comments

In Fraganti – Caso #4, importante supermercado para la construcción

El otro día estaba esperando a un empleado de atención al cliente en un importante supermercado para la construcción, que se encontraba en depósito, dejando su puesto totalmente desatendido:

El empleado tardó unos 10 minutos en volver, dentro de los cuales pude tomar unas imágenes de la computadora con la cual realiza las consultas, la cual se encontraba desbloqueada, como pueden ver en la siguiente foto:

No sólo eso, sino que además había una etiqueta pegada al monitor con unas inscripciones extremadamente sospechosas:

Minutos después, luego que la terminar se auto-bloqueara por falta de uso, pude corroborar lo que sospechaba: La inscripción superior en la etiqueta corresponde al usuario de Terminal Services con el que la terminal estaba logueada al servidor donde se ejecutaban los aplicativos utilizados para realizar las consultas sobre los clientes, dejando claro que la inscripción inferior correspondería a la de la contraseña de ese mismo usuario. Lamentablemente, el empleado ya había vuelto a su puesto por lo que no pude sacar una foto

Cabe destacar también la facilidad de acceso físico que había hacia el equipo, ya sea al teclado y mouse como también a los puertos USB.

Una demostración más de la falta de conciencia en empresas importantes.

Category: Seguridad | Tags: news, noticias, Security, Seguridad

Matias Katz | 02:52 hrs.

8 comments

El verdadero problema con Facebook – Parte 1, Divulgación de Información

Los problemas relacionados con la seguridad de la información y Facebook (o mejor dicho, todas las redes sociales) son variados, repetitivos e interminables. En cada site/blog/foro/evento/conferencia/etc. sobre seguridad de la información jamás faltará quien utilice tiempo y recursos para hablar de los problemas aparejados al uso de las redes sociales. Trataré de explicar mi punto de vista de manera resumida y concisa, tratando de evitar que mi post sea “uno más” del montón.

Facebook nos provee servicios de intercambio inmediato de información de manera online. Es decir, utilizamos sus servicios (por ahora) gratuitos para comunicarnos masiva y cómodamente con nuestros pares alrededor del globo a través de Internet. Decenas, cientos o hasta miles de personas en simultáneo podrán recibir toda la información que yo introduzca a mi perfil, a veces inclusive sin tener que pedirme permiso. Sólo el hecho de “ser mi amigo” (y lo pongo entre comillas porque rara vez son amigos realmente) alcanza para recibir dicha información regularmente. Esto sin contar a los millones de usuarios que tienen un “perfil abierto”, permitiéndole ver todo sobre nosotros, a quien sea.

Analicemos los hechos de una situación hipotética, por orden cronológico:

Carlos se crea una cuenta en Facebook
Carlos agrega a su lista de contactos a un par de amigos reales, y después comienza a agregar gente según amigos en común, aparencia física que le llame la atención, intereses compartidos (que Carlos pudo ver en las descripciones de los perfiles que encontró), etc. Lentamente Carlos comienza a maximizar su lista de contactos.
Carlos comienza a incorporar información a su perfil, incluyendo:
- Información de contacto, ya sea e-mail, teléfono, dirección, etc.
- Información extra, como ser sitios web, empresa donde trabaja, gustos, intereses, hobbies, deportes, literatura, cine y toda actividad que sea de su agrado.
- Arbol familiar, incluyendo hermanos, padres, primos, sobrinos, etc.
- Fotos suyas, de sus amigos, y/o familiares, en su casa, su trabajo, su auto y/o en un lugar público
- Eventos a los que asistió y asistirá incluyendo dirección, fecha y hora del evento, otras personas que asistirán y un folleto de invitación digital (que probablemente sirva como entrada una vez impreso). Hasta he llegado a ver la “clave para pasar” publicada en la invitación al evento, por ejemplo “digan que vienen al cumple de Juancho”
- Información variada, incluyendo comentarios, anécdotas, experiencias y todo lo relacionado con su vida cotidiana:
  - “Hoy me comí un helado de chocolate, que rico!!”
  - “Recién fuí al parque con mi perra Violeta”
  - “Mis padres se fueron de viaje, me he quedado solo por los próximos 5 días”
  - “Tengo una conferencia todo el día, vuelvo a mi casa tarde, dejen mensaje”
  - “Que bueno!! 2 semanas de vacaciones al fin!! España allí voy!!”
  - “Miren que bueno el graffiti que han dibujado frente a mi casa”
  - “Anoche fui nuevamente al bar XXX, voy tan seguido que ya me conocen en la entrada jajaja!!”
Una persona con intenciones maliciosas investiga a los usuarios que tiene en su lista y a sus amigos, y encuentra a Carlos.
Mediante técnicas de Ingeniería Social (que las hay varias para lograr obtener contactos en Facebook), esta persona maliciosa logra agregar a Carlos como su amigo.
Sistemáticamente, las noticias publicadas por Carlos son leídas y analizadas por el agente malicioso, quien comienza a establecer una estrategia de acercamiento basándose en el profiling de Carlos, es decir, la recopilación de información y su posterior cruza de referencias, para obtener un perfil sobre el sujeto (Carlos) lo más específico posible.
Luego de establecer el profiling, comienza el ataque; Llamados, e-mails, intentos de acceso a perfiles online, engaños, seguimientos físicos, todo lo necesario para poder obtener algo preciado sobre Carlos, ya sea información, acceso o (porque no) entrar a robar a su casa.
Carlos, indignado, grita “Todo por culpa de Facebook!” y jamás vuelve a acceder a ninguna red social online.

Tiene Carlos razón? Tiene Facebook la culpa de su mala experiencia? No!!

Carlos (al igual que todos nosotros) debe comprender que las redes sociales son un lugar donde nuestra información es depositada para ser leída por el público. Existe un límite al tipo de información que debemos publicar en Internet, por nuestra propia seguridad.

Uno de los peores factores de estos problemas de seguridad es la falsa sensación de seguridad que tienen los usuarios, al creer que por publicar contenido y establecer que este “disponible sólo para mis amigos”, dicha información estará segura.

Podemos tener un perfil de Facebook lleno de información, siempre y cuando esa información no sea relevante a nuestra vida privada, ni provea bases para conocernos más de lo que queremos que nos conozcan.

No demos de alta información personal que no sea estrictamente necesaria para el uso de la red social, o bien que no sea de carácter privado y/o personal
No publiquemos información que después utilizaremos como método de protección de otra información. Por ejemplo, no publiquemos una foto con nuestra perra Violeta y después pongamos como pregunta secreta de nuestra cuenta de Gmail “Cuál es el nombre de mi perra?”
No divulguemos direcciones, lugares ni horarios en donde estamos ni en donde estaremos. Si quisiéramos contarle al mundo que vamos a ir a un evento, podríamos simplemente decir “Voy a ir a un evento de Hacking, que bueno!!”
Al publicar información relacionada con nuestro día, estamos indirectamente entregando mucha mas información. Por ejemplo, al decir “Me voy a jugar al fútbol después del trabajo” también estamos diciendo “No voy a estar en mi casa hasta más tarde de lo habitual”. Si decimos “Mis padres se fueron de viaje por 5 días” también estamos diciendo “Soy un adolescente y voy a estar solo en mi casa por 5 días”. Si publicamos “Miren el graffiti que han dibujado frente a mi casa”, estamos diciendo “Al que logre encontrar este graffiti o sepa donde se encuentra, tendrá la dirección de mi casa”

Más allá de los métodos implementados por Facebook, la protección de nuestra información debe correr por cuenta nuestra. La mejor forma de mantener nuestra información personal privada al público, es no publicándola.

Los dejo un poco de humor gráfico relacionado con el tema:

Para la parte 2, cubriré el problema del Robo de Identidad

Facebook es para los amigos que se han vuelto extraños; Twitter, para los extraños que se han vuelto amigos.Facebook es para los amigos que se han vuelto extraños; Twitter, para los extraños que se han vuelto amigos.

Category: Seguridad | Tags: Facebook, news, noticias, Security, Seguridad

Matias Katz | 16:05 hrs.

No comments

Sorteo de Entradas: 1ra Jornada de Cloud Computing – CXO Community

La CXO-Community, organiza el Martes 28 de Septiembre de 2010 de 9 hs a 18 hs, en la Universidad del UCEMA (Reconquista 775, CABA, Argentina) la primer conferencia de seguridad en Cloud Computing.

Los disertantes hablarán sobre la seguridad del lado del software, las infraestructuras y las plataformas como servicio (SaaS, IaaS y PaaS), implementables y contratables desde la nube.

El evento está orientado a CSOs y CIOs, Responsables de Seguridad y de Seguridad de la información, responsables de IT y de Auditoria de IT, Directores, Gerentes o Responsables de áreas críticas de negocios. Abogados y asesores jurídicos de bancos y empresas, Directivos de tecnología y de seguridad de empresas sensibles a los riesgos de seguridad.

Tengo 2 entradas para sortear entre mis lectores, a quien me de la mejor respuesta a la siguiente pregunta:

“Qué riesgo crítico es imposible de obviar dentro de los procesos de ABM de usuario en cualquier SGSI?”

Tienen hasta el Domingo 26 para enviar sus respuestas. Pueden enviarlas a matias [arroba] matiaskatz [punto] com.

Link al evento: http://www.cxo-community.com/jornada-cloudcomputing.html

Category: Evento, Seguridad | Tags: Cloud Computing, CXO, event, Evento, news, noticias, Security, Seguridad, Training

Matias Katz | 22:20 hrs.

3 comments

Ekoparty 2010. Mi medio-resumen

Note to my english-speaking readers: I’m having issues with my qTranslate plugin, so I currently cannot publish any english material. I’m truly sorry for this, I’m working on a solution.

Hola a todos,

Aquí dejo mi medio-resumen sobre la Ekoparty 2010, organizada en mi querido país los días 16 y 17 de Septiembre de 2010. Digo medio-resumen porque el evento duró 2 días pero yo sólo pude ir al segundo, por lo que me perdí la mitad.

Se notó que hubo una organización impecable, los eventos se realizaban en tiempo y forma, no hubo problemas con ningún provider, no faltó lugar, no hizo frío ni calor, hubo comida y bebida suficiente (y muy buena) y los organizadores fueron muy atentos.

El evento contó con profesionales de muy alto nivel, que vinieron a dar charlas muy interesantes. Como siempre, hay cosas muy buenas y cosas no-tan-buenas. Esta no fue la excepción. Algunas charlas dejaron bastante que desear, con disertantes que no lograban expresarse como el tema merecía ser explicado, por lo que los asientos rápidamente comenzaban a vaciarse.

Eso no quita que los temas fueran interesantes, sino que muchas veces saber sobre algo no alcanza, también hace falta saber explicarlo. Sin embargo, para los que aguantamos las ganas de irnos, al final de cada charla los conceptos llegaban de una manera muy concreta, logrando que las motivaciones de los oradores fueran cumplidas.

Mas allá de la calidad de oratoria de los disertantes, todos los temas tratados fueron excelentes.

La primer charla que vi (aparentemente llegué tarde y me perdí la primer charla) fue la realizada por el italiano Claudio Criscione que vino a mostrar el aclamado Vasto, un hermoso exploit capaz de hacerle cosquillas a un servidor VMware ESX, permitiendo login remoto, descarga de máquinas virtuales, y demás. Una joyita de software que nos permite extender nuestras capacidades de pentesting hacia los entornos de virtualización, área cuyo alcance es actualmente bastante limitado.

Después vino el famoso Chema Alonso a mostrarnos la última versión de FOCA, una herramienta capaz de realizar un spidering masivo de manera rápida, sistemática y altamente efectiva. En la demo, Chema nos mostró como realizar una investigación profunda sobre un dominio en Internet en cuestión de segundos, habilitando cientos de spiders diferentes realizando varias tareas en simultáneo sobre dicho dominio, ya sea PTR lookup, búsqueda de directorios navegables, descarga de todo archivo publicado para su posterior extracción de metadata, etc. Todo esto mediante un sólo click. Simplemente una maravillosa herramienta.

Luego de un break para almorzar vino el francés Nicolas Bareil, que mostró una técnica de sandboxing basado en SECCOMP. Lamentablemente no pude prestarle mucha atención porque entre su tono de voz bajo y su mal inglés, no pude mantener el hilo de la charla y la abandoné. Aproveché que de casualidad tenía sentado al lado al italiano Claudio Criscione y nos pusimos a charlar de temas varios, mostrándole los tweets y fotos subidos a la nube sobre su charla. Muy humilde el tipo, se reía y decia “ese de la foto soy yo?” mientras charlaba conmigo, prestaba atención a la charla y terminaba un informe en su laptop. Un fenómeno.

La siguiente fue la charla sobre hacking a cámaras digitales, entregada por Oren Isacson y Alfredo Ortega, que mostraron como crear software en BASIC, subirlo a una memoria SD y tomar control sobre la cámara. De manera humorística hicieron aparecer calaveras en la pantalla de las cámaras, e inclusive una foto del Gral. Juan Domingo Perón. El auditorio estalló en risa con la foto del ex-presidente. La verdad, muy buena charla.

El chileno Michael Hudson charló 20 minutos sobre un episodio que tuvo recientemente en donde fue apresado por su gobierno, quien lo acusó de sabotaje informático. Durante su relato se lo notó abatido y desconcertado. Luego de su charla me lo crucé en los pasillos y al charlar sobre ciertos temas se noto una absoluta abstinencia a comentar por parte suya.

El sudafricano Roelof Temmingh nos mostró Maltego, una poderosa herramienta de fingerprinting e investigación forense basado en información publicada en Internet. Roelof nos mostró como con una cantidad limitada de información podemos acceder a un profiling muy completo sobre un individuo en particular, basándose únicamente en sus actividades en la red. En conclusión, su moraleja fue “Si quieren seguridad para sus hijos, nómbrenlos Bob o Mary, de esa forma no podrán investigarlos”. Muy buena charla

Eric Monti, un norteamericano muy dinámico habló sobre seguridad en iPhone. Nos mostró la última versión de jailbreakme.com, un sitio web que descarga un exploit que explota una vulnerabilidad en el lector de PDF del teléfono y permite realizar un jailbreak únicamente visitando un sitio web . Lo que nos mostró Eric es el reverse engineering que le hizo a este software para poder llegar a la acción en si del exploit del teléfono, y utilizarlo para distribuir malware fácilmente inyectable en estos teléfonos. En mi opinión la charla fue muy técnica para el asistente promedio por lo que el contenido profundo de la charla se perdió. Vi muchas caras de desconcierto durante la charla. Sin embargo, el concepto general fue aceptado masivamente por el público. Muy buen material.

El cordobés Pablo Sole vino después para hablar de ROPe. Yo use ese tiempo para hacer un poco de trabajo asi que no la presencié, pero me dijeron que estuvo bastante buena.

Luego del coffee break vino la charla más esperada. El argentino Juliano Rizzo y el vietnamita Thai Duong mostraron un ataque 0-day en ASP.NET que explota una vulnerabilidad en la codificación CBC del archivo web.config, permitiendo una fácil desencriptación del archivo para obtener credenciales de acceso. Se hizo una demostración en vivo sobre una plataforma DotNetNuke y el auditorio estalló. Thai alega que el 25% de los sitios creados con ASP.NET es vulnerable a este ataque.
Luego de la explicación, vino lo mejor: El vietnamita copió el exploit 0-day en 3 pendrives y los arrojó al público, liberando el potencialmente peligroso código. Twitter se prendía fuego con gente pidiendo que suban el exploit inmediatamente

El argentino Hernán Ochoa nos mostró una herramienta que permite descargar y/o subir información hacia un servidor Citrix aislado, sin posibilidad de copiar/pegar, transferir por la red, etc. Una aplicación muy simple, minimalista y efectiva.

Y por último, una de las mejores charlas de la Ekoparty. Al igual que en Las Vegas, Barnaby Jack realizó un hacking a 2 cajeros automáticos usando 2 métodos diferentes. Lo más gracioso fue que los cajeros estaban en California, ya que Barnaby no pudo traerlos a la Argentina por rechazo de las aerolíneas, y la organización de la Ekoparty no pudo proveerle de cajeros nacionales. Por lo que el norteamericano instaló un Streaming desde su casa con una webcam apuntando a los cajeros y dejó a su asistente/novia en USA para ayudar con la presentación
Al primer cajero se conectó por una IP pública, le inyectó un exploit que causo un reboot y luego del reboot, al tocar en diferentes sectores ocultos de la pantalla se habilitó un menú especial que permitió expulsar dinero libremente y capturar los datos de las tarjetas que se introdujeran en la máquina.
Para el segundo cajero, demostró como abrir el case de la máquina era extremadamente fácil. Introdujo un pendrive USB en el motherboard, hubo un reboot y luego de eso la máquina se puso a escupir billetes. Pero para qué describirlo, si puedo mostrárselos directamente?

httpv://www.youtube.com/watch?v=oUOjpH4C84s

El auditorio explotó, los aplausos no frenaban. Fué una de las mejores demostraciones de hacking que vi en mi vida. Ojo, el hecho que la máquina escupiera billetes le agregó un dramatismo importante… Para lograr ese efecto, Barnaby sacó la bandeja del cajero en donde se depositan los billetes cuando uno extrae. Fue trampa, pero valió la pena

Sorteos, War Games, Desafíos, sponsors, cosas de nerds y geeks, hubo de todo. Les dejo unas fotos para que vean.

Para concluir, debo decir que el evento estuvo fantástico, de principio a fin. Los felicito a los organizadores, hicieron un trabajo impecable. Nos vemos en la Ekoparty 2011

Category: Evento, Seguridad | Tags: Ekoparty, event, Evento, Hacking, news, noticias, Security, Seguridad

« Older Entries