CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón

(IN)seguridad en
infraestructura tecnológica

(IN)seguridad en
infraestructura tecnológica
¿A qué riesgos esta expuesta nuestra infraestructura de TI y nosotros como
usuarios de Internet?

(IN)seguridad en infraestructura tecnológica
Paulino Calderón Pale (@calderpwn)
CONTACTO
3
$ cat contacto.txt
################################
Paulino Calderón Pale
calderon@websec.mx
Twitter: @calderpwn
Bitbucket: https://bitbucket.org/cldrn/
WWW: http://calderonpale.com
################################

Y les traigo premios…
4
• Poster “Icons of the web”
• Paquete de stickers
• Copia impresa de “Nmap
6:Network Exploration and
Security Auditing
Cookbook”

¿De qué voy a hablar?
• En el año 2014 hemos llevado la inter-conectividad al
máximo. Ya tenemos hasta tostadoras con dirección IP…
• ¿Hemos considerado la seguridad de la información en esto
proceso?
• ¿Los fabricantes lo han hecho?
!
!
5

¿De qué voy a hablar?
• En el año 2014 hemos llevado la inter-conectividad al máximo.
Ya tenemos hasta tostadoras con dirección IP…
• ¿Hemos considerado la seguridad de la información en esto
proceso?
• ¿Los fabricantes lo han hecho?
Algunos sí, otros intentan y a muchos otros no parece
importarles hasta que tienen un problema serio.
!
6

Paulino Calderón Pale (@calderpwn)7

Agenda
(IN)seguridad en infraestructura tecnologica
• Redes inalámbricas IEEE 802.11
• Dispositivos accesibles remotamente
• Ruteadores
• Cámaras web
• Sistemas VOIP
• Sistemas SCADA
8

Redes wifi 802.11
• La adopción de la tecnología wifi se ha llevado de
forma masiva en los últimos años tanto en redes
laborales como caseras.
• Actualmente la mayoría de redes wifi cuenta con algún
mecanismo de autenticación (Aunque sea mal
implementado).
9

¿Cuales son los problemas de seguridad más comunes
relacionados con el uso de estas tecnologías?
10
Seguridad de redes wiﬁ

¿Cuales son los problemas de seguridad más comúnes
• Uso de conﬁguraciones inseguras.
11

¿Cuales son los problemas de seguridad más comúnes
• Uso de mecanismos de cifrado inseguros.
12

¿Cuales son los problemas de seguridad más comunes
• Uso de mecanismos de cifrado inseguros.
• Uso de access points vulnerables.
13

Estadísticas de redes wiﬁ
• ¿Existen estadísticas públicas sobre estas redes?
• ¿Qué datos interesantes se pueden obtener?
• Tipos de mecanismos de cifrado
• Uso de canales
• Dispositivos vulnerables que son utilizados
popularmente.
14

• ¿Cómo obtendríamos estadísticas del uso de estas
tecnologías?
• Wardriving
15
Estadísticas de redes wiﬁ

Descubrir redes inalámbricas y “mapearlas” desde un vehículo
en movimiento.
!
16
¿Qué es el wardriving?

Wardriving en el 2014

Wardriving colectivo
Bases de datos creadas por contribuciones de una
comunidad de usuarios.

http://goo.gl/npjnz

Estadísticas de redes wiﬁ en MX
Análisis Completo
• http://www.websec.mx/
Estadisticas_2013_de_Redes_802.11
_en_MX.pdf
Infografía:
• http://www.websec.mx/blog/ver/
redes-802.11-mexico-infograﬁa
22

Uso de protocolos de cifrado en MX
23

Redes wiﬁ que soportan WPS
23.7%
24

¿Quienes fabrican los APs más populares en México?

¿Se podría obtener información de redes wiﬁ remotamente?
• En el caso de los equipos Huawei HHG530, HHG520 y
posiblemente otros modelos similares sí…
http://www.websec.mx/advisories/view/
Huawei_HG520c_Revelacion_de_Informacion_via_web
• Y obviamente existen muchas vulnerabilidades que afectan a
otros dispositivos. Este es solo un ejemplo…
28
Accediendo a redes
inalámbricas remotamente

DEMO

Dispositivos accesibles
remotamente
32

Dispositivos accesibles
remotamente
• Muchos diferentes tipos de dispositivos cuentan con
una dirección IPv4 actualmente.
• Es relativamente facil hacer un barrido de todas las
direcciones IPv4 existentes.
• ¿Se puede escanear el espacio de direcciones IPv6?
33

Escaneando el Internet
• Presentación sobre escaneos distribuidos con Dnmap
(GuadalajaraCON 2012):
https://www.youtube.com/watch?v=kLaKrRtr_cY
• Existen otras herramientas especializadas en velocidad:
• masscan
(http://blog.erratasec.com/2013/09/masscan-entire-internet-
in-3-minutes.htm)
• zmap
(https://zmap.io/)
$ zmap -p 443 –o results.txt
34

Escaneando el Internet
• Lista de IPs por país en formato CIDR:
http://software77.net/geo-ip/
• Existen bases de datos públicas con información
interesante:
• ShodanHQ (http://www.shodanhq.com/)
• scans.io (https://scans.io/)
35

SHODANHQ
• Motor de busqueda de dispositivos conectados a
Internet (http://shodanhq.com)
36

SHODANHQ
37

Shodan Maps
38

Otras búsquedas
interesantes
39
• cisco last-modiﬁed
• default password
• Dispositivos especíﬁcos
• bacnet
• scada
• modbus

Ruteadores y modéms
40

Vulnerabilidades en
ruteadores
41
• Existen vulnerabilidades en los principales fabricantes
de ruteadores y modems.
• Routerpwn contiene la mayor cantidad de exploits
relacionados con ruteadores, modems y switches.
(http://routerpwn.com)

Huawei
42

Rompager
43

Vulnerabilidades en
dispositivos Huawei
44
• Cálculo de llave inalámbrica default
• Acceso remoto y local sin autenticación
• Control completo del dispositivo
• Obtención remota de MAC / WEP / WPA
• Entre muchas otras…

Vulnerabilidades en
dispositivos Huawei
45
!
• Huawei EchoLife HG520c Denegaciones de Servicio y Reset 2010
• Huawei EchoLife HG520 CSRF Interfaz Remota 2010
• Huawei EchoLife HG520c Revelación de Información 2010
• Huawei EchoLife HG520 Revelación de Información por UDP 2010
• Una herramienta para descomprimir el archivo de conﬁguración,
• Algoritmo para Huawei HG5xx MAC2WEPKey 2011. Actualmente se pueden
encontrar diversas implementaciones incluyendo una app de Android muy
popular
• Evasión de autenticación en Huawei HG866

DEMO

Disculpa, ¿me das tu archivo
de conﬁguración?
47

Calculo de la llave default
con Mac2wepkey HHG5XX
• https://play.google.com/
store/apps/details?
id=mx.websec.mac2wepkey.h
hg5xx&hl=es_419
48

Y hasta ocasionó algunas
peleas…

Como no usar la herramienta
53

Como no usar la herramienta
54

TP-Link
55

TP-Link
56
• El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web
oculta para depuración que podría servir de puerta trasera a atacantes
localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
• El nombre de usuario de esta consola esta guardado estáticamente en
el binario del servidor HTTP y la contraseña no puede ser cambiada
desde la interfaz web, por lo que siempre es valida la siguiente cuenta: 
Usuario: osteam Contraseña: 5up
• La criticidad de esta vulnerabilidad es alta debido a que a través de
esta consola se pueden ejecutar comandos en el sistema con
privilegios root como agregar reglas de redirección de trafico y
modificar archivos de configuración

DEMO

TP-Link
59

DPT==“Detector de Puertas Traseras”
60

DEMO

Detectando puertas traseras
62

Cámaras web
63

Cámaras web
64
• Cámaras de seguridad ofrecen administración remota
para comodidad de los usuarios.
• Casi nunca se utilizan reglas de acceso.
• Cuentan con muchos problemas de seguridad.

Cámaras web
65
Problemas de seguridad similares:
• Puertas traseras
• Controles de acceso mal implementados
• Dispositivos vulnerables
• Uso de credenciales débiles

Vulnerabilidades en cámaras
web
66
• Craig Heffner recientemente habló de su trabajo en
este tipo de dispositivos:
Exploiting Surveillance Cameras Like A Hollywood
Hacker
https://www.youtube.com/watch?v=B8DjTcANBx0

DEMO

Sistemas VOIP
69

Problemas con VOIP
70
¿Cuales son los problemas de seguridad que
encontramos en estos sistemas?
• Contraseñas débiles.
• Conﬁguraciones inseguras.
• Vulnerabilidades en protocolos.
Hacking SIP Like a Boss
(https://www.youtube.com/watch?v=bSg3tAkh5gA)

SIP en México
71

Asterisks en México
72

Obteniendo credenciales SIP
73
• Ataques de MiTM permiten a atacantes obtener datos
para lanzar ataques de diccionario o fuerza bruta para
obtener las credenciales.
Cain & Abel
(http://www.oxid.it/cain.html)
• Ataques de fuerza bruta remotos también son posibles
a través de peticiones de tipo REGISTER.
Por ejemplo en Nmap NSE tenemos sip-brute.
$nmap -sU -p 5060 <objetivo(s)> --script=sip-brute

Seguridad adicional en VOIP
74
Deshabilitar llamadas
internacionales si no
quieren un cuentota de
teléfono.

Sistemas SCADA
75

Sistemas SCADA
• Sistemas SCADA de fábricas como plantas de petróleo,
eléctricas, tratamiento de agua, prisiones, entre otros…
• Una de las razones por la que son accesibles remotamente es
para facilitar el monitoreo de los sistemas ya que en ocasiones
los equipos se encuentran en ubicaciones difíciles de acceder.
• El ojo de sauron ( la industria de la seguridad informatica ) tiene
mucha atención en estos sistemas.
78

Infraestructura crítica:
terminología
• SCADA = Supervisory Control and Data Acquisition
System
• ICS = Industrial Control System
• PLC = Programmable Logic Controller
• RTU = Remote Terminal Units
• HMI = Human Machine Interface
79

Automatización industrial
80
• Existen muchos posibles vectores de ataque en sistemas de
automatización industrial. ¿Cuales con estas superﬁcies de
ataque?
• A pesar de que deberían estar en redes herméticas existe la
posibilidad ( y ha pasado) de ataques a estos sistemas.
!
• ¿Cuales son los riesgos a los que están expuestos?

Vulnerabilidades en
automatización industrial
81
• En el 2000 se identiﬁcó el primer ataque a una planta de
tratamiento de residuos
• Se ha determinado que son susceptibles a ataques con EMPs.
• Puertas de prisiones se han abierto sin motivo aparente en
Estados Unidos.
• Se ha demostrado que es posible realizar ataques a distancia.

STUXNET
82
!
• Descubierto desde el 2010 en una planta nuclear de Iran…
• El primer gusano que atacaba a sistemas SCADA.
• Infección inicial via USB pero después utilizaba otros
métodos de infección.
• Firmado con certiﬁcados robados.
• Ejemplo de malware muy soﬁsticado.
• Análisis de STUXNET (https://www.youtube.com/watch?
v=GVi_ZW-1bNg)

Siemens S7
83
• Espera conexiones en el puerto 102.
• Usa un protocolo llamado ISO-TSAP
el cual el encapsulado en una
conexion TCP.
• Existen diferentes modelos (todos
afectados por vulnerabilidades):
• S7-300
• S7-400
• S7-1200

Ataques a PLCs
84
• BlackHat 2011: Siemens Simatic S7 PLC
Exploitation (https://www.youtube.com/watch?
v=33kouEKm0zo)
• Exploits para diferentes PLCs disponibles en
Metasploit:
• Siemens S7 (Uno de los PLCs mas usados)
!

Ataques a distancia
85
• Investigación por Carlos Penagos ( colombiano ) y
Lucas Apa presentada en Blackhat 2013 (https://
media.blackhat.com/us-13/US-13-Apa-Compromising-
Industrial-Facilities-From-40-Miles-Away-Slides.pdf).

DEMO

Vulnerabilidades en HMIs
88
• Las interfaces también son vulnerables.
• SCADA HMI & MS BLOB por R Wesley McGrew
(https://www.youtube.com/watch?v=yFxzu0MzOqs)

Encontrando SCADAs
89
• Existen herramientas públicas para detectar sistemas
SCADA:
• Nmap
Por puerto, servicio o con NSE con scripts como
modbus-discovery, Siemens-WINCC.nse, Siemens-
Scalance-module.nse, Siemens-HMI-miniweb.nse,
Siemens-CommunicationsProcessor.nse.
• modbus-scan
• ScadaScan

PROTOCOLO PUERTO
BACnet/IP UDP/47808
DNP3 TCP/20000, UDP/20000
EtherCAT UDP/34980
Ethernet/IP
TCP/44818, UDP/2222, UDP/
44818
FL-net UDP/55000 to 55003
Foundation Fieldbus HSE
TCP/1089 to 1091, UDP/1089
to 1091
ICCP TCP/102
Modbus TCP/502
OPC UA Discovery Server TCP/4840
OPC UA XML TCP/80, TCP/443
PROFINET
TCP/34962 to 34964, UDP/
34962 to 34964
OPC UA Discovery Server TCP/UDP 4000

Encontrando equipos
91
# nmap --script Siemens-PCS7.nse -p 80 <objetivo(s)>
# nmap -sU --script Siemens-Scalance-module.nse -p
161 <objetivo(s)>
# nmap -sU --script Siemens-WINCC.nse -p 137
<objetivo(s)>
# nmap --script modbus-discover.nse --script-
args='modbus-discover.aggressive=true' -p 502
<objetivo(s)>

Encontrando dispositivos
con modbus/tcp
92
PORT STATE SERVICE
502/tcp open modbus
| modbus-discover:
| Positive response for sid = 0x64
| SLAVE ID DATA: xFAxFFPM710PowerMeter
| DEVICE IDENTIFICATION: Schneider Electric
PM710 v03.110
|_ Positive error response for sid = 0x96 (GATEWAY
TARGET DEVICE FAILED TO RESPONSE)

¿Otros dispositivos?
93
• BMCs (Board Management Controller)
• NAS (Network Attached Storage)
• DVRs (Digital Video Recorder)
• etc…

¿Soluciones?
94

¿Soluciones?
95
• Políticas de contraseñas.

¿Soluciones?
96
Use una contraseña segura.

¿Soluciones?
97
• Controles de acceso.

¿Soluciones?
98
No deje que desconocidos se conecten.

¿Soluciones?
99
• Roles de acceso

¿Soluciones?
100
• Roles de acceso
Revisen los permisos por favor.

SPAM
• Nmap 6: Network Exploration
and Security Auditing
Cookbook
http://www.amazon.com/
Nmap-exploration-security-
auditing-Cookbook/dp/
1849517487
• Nmap Scripting Engine
Development
http://www.amazon.com/
Mastering-Scripting-Engine-
Paulino-Calderon/dp/
1782168311/
101

Más información
• Routerpwn (http://routerpwn.com)
• Técnicas de escaneo másivo y estadísticas de vulnerabilidades
(http://www.websec.mx/blog/ver/tecnicas-de-escaneo-masivo)
• Exploiting Network Surveillance Cameras Like A Hollywood Hacker
(https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-
Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-WP.pdf)
• Compromising Industrial Facilities From 40 Miles Away
(https://media.blackhat.com/us-13/US-13-Apa-Compromising-
Industrial-Facilities-From-40-Miles-Away-Slides.pdf)
• Siemens S7 PCL Exploitation
(http://media.blackhat.com/bh-us-11/Beresford/
BH_US11_Beresford_S7_PLCs_Slides.pdf)
102

Más información
• ShodanHQ (http://shodanhq.com)
• NSE scripts for SCADA identiﬁcation
(https://github.com/drainware/nmap-scada)
• Zmap (https://zmap.io/paper.pdf)
• IPv6 Implications for Network Scanning
(http://www.ietf.org/rfc/rfc5157.txt)
• Hacking SIP services like a boss
(http://viproy.com/ﬁles/athcon2013.pdf)
103

Más información
• SCADApedia
(https://www.digitalbond.com/tools/the-rack/control-
system-port-list/)
• modbus-discover
(http://nmap.org/nsedoc/scripts/modbus-
discover.html)
104

¿Preguntas?
$ cat contacto.txt
################################
Paulino Calderón Pale
calderon@websec.mx
Twitter: @calderpwn
Bitbucket: https://bitbucket.org/cldrn/
WWW: http://calderonpale.com
################################
105

CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón

Similar to CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón (20)

More from Websec México, S.C.

More from Websec México, S.C. (20)

Recently uploaded

Recently uploaded (20)

CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón