En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México.
Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX.
Video: https://www.youtube.com/watch?v=V5ofjARl--4
3. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
CONTACTO
3
$ cat contacto.txt
################################
Paulino Calderón Pale
calderon@websec.mx
Twitter: @calderpwn
Bitbucket: https://bitbucket.org/cldrn/
WWW: http://calderonpale.com
################################
4. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Y les traigo premios…
4
• Poster “Icons of the web”
• Paquete de stickers
• Copia impresa de “Nmap
6:Network Exploration and
Security Auditing
Cookbook”
5. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿De qué voy a hablar?
• En el año 2014 hemos llevado la inter-conectividad al
máximo. Ya tenemos hasta tostadoras con dirección IP…
• ¿Hemos considerado la seguridad de la información en esto
proceso?
• ¿Los fabricantes lo han hecho?
!
!
5
6. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿De qué voy a hablar?
• En el año 2014 hemos llevado la inter-conectividad al máximo.
Ya tenemos hasta tostadoras con dirección IP…
• ¿Hemos considerado la seguridad de la información en esto
proceso?
• ¿Los fabricantes lo han hecho?
Algunos sí, otros intentan y a muchos otros no parece
importarles hasta que tienen un problema serio.
!
6
8. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Agenda
(IN)seguridad en infraestructura tecnologica
• Redes inalámbricas IEEE 802.11
• Dispositivos accesibles remotamente
• Ruteadores
• Cámaras web
• Sistemas VOIP
• Sistemas SCADA
8
9. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Redes wifi 802.11
• La adopción de la tecnología wifi se ha llevado de
forma masiva en los últimos años tanto en redes
laborales como caseras.
• Actualmente la mayoría de redes wifi cuenta con algún
mecanismo de autenticación (Aunque sea mal
implementado).
9
10. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comunes
relacionados con el uso de estas tecnologías?
10
Seguridad de redes wifi
11. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comúnes
relacionados con el uso de estas tecnologías?
• Uso de configuraciones inseguras.
11
Seguridad de redes wifi
12. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comúnes
relacionados con el uso de estas tecnologías?
• Uso de configuraciones inseguras.
• Uso de mecanismos de cifrado inseguros.
12
Seguridad de redes wifi
13. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Cuales son los problemas de seguridad más comunes
relacionados con el uso de estas tecnologías?
• Uso de configuraciones inseguras.
• Uso de mecanismos de cifrado inseguros.
• Uso de access points vulnerables.
13
Seguridad de redes wifi
14. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Estadísticas de redes wifi
• ¿Existen estadísticas públicas sobre estas redes?
• ¿Qué datos interesantes se pueden obtener?
• Tipos de mecanismos de cifrado
• Uso de canales
• Dispositivos vulnerables que son utilizados
popularmente.
14
15. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
• ¿Cómo obtendríamos estadísticas del uso de estas
tecnologías?
• Wardriving
15
Estadísticas de redes wifi
16. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Descubrir redes inalámbricas y “mapearlas” desde un vehículo
en movimiento.
!
16
¿Qué es el wardriving?
18. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)18
Wardriving colectivo
Bases de datos creadas por contribuciones de una
comunidad de usuarios.
28. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Se podría obtener información de redes wifi remotamente?
• En el caso de los equipos Huawei HHG530, HHG520 y
posiblemente otros modelos similares sí…
http://www.websec.mx/advisories/view/
Huawei_HG520c_Revelacion_de_Informacion_via_web
• Y obviamente existen muchas vulnerabilidades que afectan a
otros dispositivos. Este es solo un ejemplo…
28
Accediendo a redes
inalámbricas remotamente
33. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Dispositivos accesibles
remotamente
• Muchos diferentes tipos de dispositivos cuentan con
una dirección IPv4 actualmente.
• Es relativamente facil hacer un barrido de todas las
direcciones IPv4 existentes.
• ¿Se puede escanear el espacio de direcciones IPv6?
33
34. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Escaneando el Internet
• Presentación sobre escaneos distribuidos con Dnmap
(GuadalajaraCON 2012):
https://www.youtube.com/watch?v=kLaKrRtr_cY
• Existen otras herramientas especializadas en velocidad:
• masscan
(http://blog.erratasec.com/2013/09/masscan-entire-internet-
in-3-minutes.htm)
• zmap
(https://zmap.io/)
$ zmap -p 443 –o results.txt
34
35. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Escaneando el Internet
• Lista de IPs por país en formato CIDR:
http://software77.net/geo-ip/
• Existen bases de datos públicas con información
interesante:
• ShodanHQ (http://www.shodanhq.com/)
• scans.io (https://scans.io/)
35
36. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
SHODANHQ
• Motor de busqueda de dispositivos conectados a
Internet (http://shodanhq.com)
36
41. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en
ruteadores
41
• Existen vulnerabilidades en los principales fabricantes
de ruteadores y modems.
• Routerpwn contiene la mayor cantidad de exploits
relacionados con ruteadores, modems y switches.
(http://routerpwn.com)
44. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en
dispositivos Huawei
44
• Cálculo de llave inalámbrica default
• Acceso remoto y local sin autenticación
• Control completo del dispositivo
• Obtención remota de MAC / WEP / WPA
• Entre muchas otras…
45. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en
dispositivos Huawei
45
!
• Huawei EchoLife HG520c Denegaciones de Servicio y Reset 2010
• Huawei EchoLife HG520 CSRF Interfaz Remota 2010
• Huawei EchoLife HG520c Revelación de Información 2010
• Huawei EchoLife HG520 Revelación de Información por UDP 2010
• Una herramienta para descomprimir el archivo de configuración,
• Algoritmo para Huawei HG5xx MAC2WEPKey 2011. Actualmente se pueden
encontrar diversas implementaciones incluyendo una app de Android muy
popular
• Evasión de autenticación en Huawei HG866
47. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Disculpa, ¿me das tu archivo
de configuración?
47
48. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Calculo de la llave default
con Mac2wepkey HHG5XX
• https://play.google.com/
store/apps/details?
id=mx.websec.mac2wepkey.h
hg5xx&hl=es_419
48
56. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
TP-Link
56
• El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web
oculta para depuración que podría servir de puerta trasera a atacantes
localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
• El nombre de usuario de esta consola esta guardado estáticamente en
el binario del servidor HTTP y la contraseña no puede ser cambiada
desde la interfaz web, por lo que siempre es valida la siguiente cuenta:
Usuario: osteam Contraseña: 5up
• La criticidad de esta vulnerabilidad es alta debido a que a través de
esta consola se pueden ejecutar comandos en el sistema con
privilegios root como agregar reglas de redirección de trafico y
modificar archivos de configuración
64. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Cámaras web
64
• Cámaras de seguridad ofrecen administración remota
para comodidad de los usuarios.
• Casi nunca se utilizan reglas de acceso.
• Cuentan con muchos problemas de seguridad.
65. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Cámaras web
65
Problemas de seguridad similares:
• Puertas traseras
• Controles de acceso mal implementados
• Dispositivos vulnerables
• Uso de credenciales débiles
66. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en cámaras
web
66
• Craig Heffner recientemente habló de su trabajo en
este tipo de dispositivos:
Exploiting Surveillance Cameras Like A Hollywood
Hacker
https://www.youtube.com/watch?v=B8DjTcANBx0
70. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Problemas con VOIP
70
¿Cuales son los problemas de seguridad que
encontramos en estos sistemas?
• Contraseñas débiles.
• Configuraciones inseguras.
• Vulnerabilidades en protocolos.
Hacking SIP Like a Boss
(https://www.youtube.com/watch?v=bSg3tAkh5gA)
73. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Obteniendo credenciales SIP
73
• Ataques de MiTM permiten a atacantes obtener datos
para lanzar ataques de diccionario o fuerza bruta para
obtener las credenciales.
Cain & Abel
(http://www.oxid.it/cain.html)
• Ataques de fuerza bruta remotos también son posibles
a través de peticiones de tipo REGISTER.
Por ejemplo en Nmap NSE tenemos sip-brute.
$nmap -sU -p 5060 <objetivo(s)> --script=sip-brute
74. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Seguridad adicional en VOIP
74
Deshabilitar llamadas
internacionales si no
quieren un cuentota de
teléfono.
78. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Sistemas SCADA
• Sistemas SCADA de fábricas como plantas de petróleo,
eléctricas, tratamiento de agua, prisiones, entre otros…
• Una de las razones por la que son accesibles remotamente es
para facilitar el monitoreo de los sistemas ya que en ocasiones
los equipos se encuentran en ubicaciones difíciles de acceder.
• El ojo de sauron ( la industria de la seguridad informatica ) tiene
mucha atención en estos sistemas.
78
79. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Infraestructura crítica:
terminología
• SCADA = Supervisory Control and Data Acquisition
System
• ICS = Industrial Control System
• PLC = Programmable Logic Controller
• RTU = Remote Terminal Units
• HMI = Human Machine Interface
79
80. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Automatización industrial
80
• Existen muchos posibles vectores de ataque en sistemas de
automatización industrial. ¿Cuales con estas superficies de
ataque?
• A pesar de que deberían estar en redes herméticas existe la
posibilidad ( y ha pasado) de ataques a estos sistemas.
!
• ¿Cuales son los riesgos a los que están expuestos?
81. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en
automatización industrial
81
• En el 2000 se identificó el primer ataque a una planta de
tratamiento de residuos
• Se ha determinado que son susceptibles a ataques con EMPs.
• Puertas de prisiones se han abierto sin motivo aparente en
Estados Unidos.
• Se ha demostrado que es posible realizar ataques a distancia.
82. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
STUXNET
82
!
• Descubierto desde el 2010 en una planta nuclear de Iran…
• El primer gusano que atacaba a sistemas SCADA.
• Infección inicial via USB pero después utilizaba otros
métodos de infección.
• Firmado con certificados robados.
• Ejemplo de malware muy sofisticado.
• Análisis de STUXNET (https://www.youtube.com/watch?
v=GVi_ZW-1bNg)
83. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Siemens S7
83
• Espera conexiones en el puerto 102.
• Usa un protocolo llamado ISO-TSAP
el cual el encapsulado en una
conexion TCP.
• Existen diferentes modelos (todos
afectados por vulnerabilidades):
• S7-300
• S7-400
• S7-1200
84. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Ataques a PLCs
84
• BlackHat 2011: Siemens Simatic S7 PLC
Exploitation (https://www.youtube.com/watch?
v=33kouEKm0zo)
• Exploits para diferentes PLCs disponibles en
Metasploit:
• Siemens S7 (Uno de los PLCs mas usados)
!
85. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Ataques a distancia
85
• Investigación por Carlos Penagos ( colombiano ) y
Lucas Apa presentada en Blackhat 2013 (https://
media.blackhat.com/us-13/US-13-Apa-Compromising-
Industrial-Facilities-From-40-Miles-Away-Slides.pdf).
88. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Vulnerabilidades en HMIs
88
• Las interfaces también son vulnerables.
• SCADA HMI & MS BLOB por R Wesley McGrew
(https://www.youtube.com/watch?v=yFxzu0MzOqs)
89. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Encontrando SCADAs
89
• Existen herramientas públicas para detectar sistemas
SCADA:
• Nmap
Por puerto, servicio o con NSE con scripts como
modbus-discovery, Siemens-WINCC.nse, Siemens-
Scalance-module.nse, Siemens-HMI-miniweb.nse,
Siemens-CommunicationsProcessor.nse.
• modbus-scan
• ScadaScan
90. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)90
PROTOCOLO PUERTO
BACnet/IP UDP/47808
DNP3 TCP/20000, UDP/20000
EtherCAT UDP/34980
Ethernet/IP
TCP/44818, UDP/2222, UDP/
44818
FL-net UDP/55000 to 55003
Foundation Fieldbus HSE
TCP/1089 to 1091, UDP/1089
to 1091
ICCP TCP/102
Modbus TCP/502
OPC UA Discovery Server TCP/4840
OPC UA XML TCP/80, TCP/443
PROFINET
TCP/34962 to 34964, UDP/
34962 to 34964
OPC UA Discovery Server TCP/UDP 4000
92. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Encontrando dispositivos
con modbus/tcp
92
PORT STATE SERVICE
502/tcp open modbus
| modbus-discover:
| Positive response for sid = 0x64
| SLAVE ID DATA: xFAxFFPM710PowerMeter
| DEVICE IDENTIFICATION: Schneider Electric
PM710 v03.110
|_ Positive error response for sid = 0x96 (GATEWAY
TARGET DEVICE FAILED TO RESPONSE)
93. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Otros dispositivos?
93
• BMCs (Board Management Controller)
• NAS (Network Attached Storage)
• DVRs (Digital Video Recorder)
• etc…
96. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
96
• Políticas de contraseñas.
Use una contraseña segura.
97. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
97
• Políticas de contraseñas.
Use una contraseña segura.
• Controles de acceso.
98. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
98
• Políticas de contraseñas.
Use una contraseña segura.
• Controles de acceso.
No deje que desconocidos se conecten.
99. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
99
• Políticas de contraseñas.
Use una contraseña segura.
• Controles de acceso.
No deje que desconocidos se conecten.
• Roles de acceso
100. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Soluciones?
100
• Políticas de contraseñas.
Use una contraseña segura.
• Controles de acceso.
No deje que desconocidos se conecten.
• Roles de acceso
Revisen los permisos por favor.
101. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
SPAM
• Nmap 6: Network Exploration
and Security Auditing
Cookbook
http://www.amazon.com/
Nmap-exploration-security-
auditing-Cookbook/dp/
1849517487
• Nmap Scripting Engine
Development
http://www.amazon.com/
Mastering-Scripting-Engine-
Paulino-Calderon/dp/
1782168311/
101
102. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Más información
• Routerpwn (http://routerpwn.com)
• Técnicas de escaneo másivo y estadísticas de vulnerabilidades
(http://www.websec.mx/blog/ver/tecnicas-de-escaneo-masivo)
• Exploiting Network Surveillance Cameras Like A Hollywood Hacker
(https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-
Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-WP.pdf)
• Compromising Industrial Facilities From 40 Miles Away
(https://media.blackhat.com/us-13/US-13-Apa-Compromising-
Industrial-Facilities-From-40-Miles-Away-Slides.pdf)
• Siemens S7 PCL Exploitation
(http://media.blackhat.com/bh-us-11/Beresford/
BH_US11_Beresford_S7_PLCs_Slides.pdf)
102
103. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Más información
• ShodanHQ (http://shodanhq.com)
• NSE scripts for SCADA identification
(https://github.com/drainware/nmap-scada)
• Zmap (https://zmap.io/paper.pdf)
• IPv6 Implications for Network Scanning
(http://www.ietf.org/rfc/rfc5157.txt)
• Hacking SIP services like a boss
(http://viproy.com/files/athcon2013.pdf)
103
104. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
Más información
• SCADApedia
(https://www.digitalbond.com/tools/the-rack/control-
system-port-list/)
• modbus-discover
(http://nmap.org/nsedoc/scripts/modbus-
discover.html)
104
105. (IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
¿Preguntas?
$ cat contacto.txt
################################
Paulino Calderón Pale
calderon@websec.mx
Twitter: @calderpwn
Bitbucket: https://bitbucket.org/cldrn/
WWW: http://calderonpale.com
################################
105