seguridad y ataques de im en entornos corporativos
TRANSCRIPT
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un proceso de robo de información, aunque con la proliferación de los ataques de tipo APT también se han popularizado las soluciones técnicas que dificultan este proceso, como:!! - Detectores de anomalías!! - Sistemas de prevención de fugas de información !! - Cortafuegos inteligentes.
Proceso de extracción no autorizada de datos dentro de un sistema o de una red.
“Attackers exfiltrate data by creating a mount point for a remote file share and copying the data stored by the memory-scraping component to that share,” the SecureWorks paper notes. “In the previous listing showing the data’s move to an internal server, 10.116.240.31 is the intermediate server selected by attackers, and CTU researchers believe the “ttcopscli3acs” string is the Windows domain name used on Target’s network. The “Best1_user” account appears to be associated with the Performance Assurance component of BMC Software’s Patrol product. According to BMC’s documentation, this account is normally restricted, but the attackers may have usurped control to facilitate lateral movement within the network.”
ERES'TARGET'…
Prácticamente protocolo puede utilizarse como Covert Channel, aunque generalmente se utilizan algunos concretos en Capa 3-4 (Red-Transporte), como ICMP, IP con TCP/UDP, o en Capa 7 (Aplicación) los más comunes son HTTPS o DNS.
- El problema llega porque los usuarios no limitan el uso de las tecnologías para los fines profesionales y porque el malware en dispositivos móviles no para de aumentar. Los casos de malware en dispositivos como Android son cada vez más frecuente y estas amenazas se pueden transferirse a través de los sistemas de mensajería instantánea.!!- Durante el periodo comprendido entre Agosto de 2013 y Julio de 2014 se registró el número más alto de ciberataques en los últimos años.
- En la actualidad, con la llegada de los dispositivos móviles, los sistemas de mensajería instantánea tienen una segunda juventud, y los usuarios aprovechan sus posibilidades para el ámbito personal y profesional.!!- Los sistemas de mensajería instantánea puede suponer un problema para la seguridad, sobre todo en el ámbito del trabajo.
The SnapChanneling
¿'QUÉ'ES'SNAPCHAT'?- Snapchat es una aplicación para móviles, que puedes descargar en tu iPhone o Android, para ¿chatear? con amigos a través de fotos y vídeos (con la posibilidad de usar etiquetas).!!- Vamos, como un WhatsApp (que ya sabéis que nos gusta) en el que no se puede enviar texto, sólo ficheros multimedia.!!- Una de las cosas más importantes de Snapchat es que la características de auto-destrucción de las fotos, una vez el destinatario las ha visto.
EL'HISTÓRICO'DE'SNAPCHAT- Crees que es seguro enviar esas fotos embarazosas a través de Snapchat? PIÉNSALO DE NUEVO. !- SnapHack: una aplicación que permite reabrir y guardar mensajes de Snapchat, sin que el remitente sepa que se han almacenado
- Dump de 4.16 millones de usuarios y números de telefóno de usuarios de Snapchat publicados en el sitio web snapchatdb.info, después del public disclosure del funcionamiento de la API.
- Vivimos épocas convulsas de filtraciones online. Si en los últimos tiempos fue el famoso celebgate o fappening el que trajo de cabeza a varias famosas del mundo del cine, el espectáculo y la televisión ahora es la aplicación Snapchat la que ha sufrido otra filtración masiva.!!!!!!!!!!- Una aplicación de terceros originó una filtración masiva que implica a unas 200.000 imágenes íntimas de numerosos usuarios de Snapchat, aunque según algunas informaciones la cifra podría seguir aumentando a lo largo de las próximas semanas.!!
- Para realizar envíos a través de Snapchat, necesitaremos primero obtener el request_token correspondiente:
- Los siguientes campos serán necesarios para realizar las diferentes plataformas y enviar Snaps a través de la plataforma:
Nada dura para siempre,!!excepto el token temporal de Snapchat!
OTROSUSOS'''}:)'
OR
- Todos los archivos multimedia de Snapchat (vídeos y fotos) se envían:!! - Padding de PKCS#5!! - Cifrados usando AES/ECB con clave simétrica M02cnQ51Ji97vwT4 !- Si enviamos un Snap a cualquier usuario, podemos modificar el contenido de la imagen, introduciendo los datos que necesitemos, como por ejemplo contenido en ASCII:
- Podemos enviar archivos ejecutables a través de los canales de comunicación de Snapchat.!!- En este caso probaremos a enviar un fichero ejecutable crackme.exe, previamente comprimido en formato ZIP.
! También se pueden enviar ficheros ejecutables !
La señora DoubtLine …
LINE tiene ya más de 400 millones de usuarios activos
Inicialmente fue una aplicación móvil desarrollada para uso interno de comunicación.!
!Tras su gran acogida y
popularidad entre los usuarios, se amplió a Windows Phone,
BlackBerry OS,1 Firefox OS, Mac OS X y Windows.!
!Esta última tiene dos versiones: una de escritorio tradicional y otra exclusiva para Windows 8 disponible en Windows Store. !
!También existe una versión para
Firefox OS
ALGUNOS'DETALLES'DE'FUNCIONAMIENTO'…- Gran cantidad de servicios web diferentes, debido a la gran cantidad de apps y subsistemas que conviven…!!- La mayor parte del protocolo se genera sobre canales HTTPS, utilizando Apache Thrift para la serialización de los datos de los mensajes.!!- El procedimiento de autenticación:! loginWithIdentityCredentialForCertificate(
IdentityProvider.LINE, // identityProvider "[email protected]", // identifier "password", // password in plain text true, // keepLoggedIn "127.0.0.1", // accesslocation "hostname", // systemName "") // certificate (empty on first login)
- La respuesta a nuestro intento de autenticación será:!! struct LoginResult {
1: string authToken; 2: string certificate; 3: string verifier; 4: string pinCode; 5: LoginResultType type;
} !- Después de una autenticación correcta, el campo de authToken contendrá el valor necesario para las siguientes peticiones, y se utilizará dentro de la cabecera X-Line-Access.!!- Dentro de la sincronización inicial del cliente, se llamarán a funciones como:!
getLastOpRevision() getBlockedContactIds() getProfile() getRecommendationIds() getBlockedRecommendationIds() getAllContactIds() getContacts(contactIds) getGroupIdsJoined()
getGroups(groupIds)
- La comunicación se realiza por HTTPS:
UPLOAD'DE'EJECUTABLE
DESCARGA'DEL'EJECUTABLE
UPLOAD'DE'FICHERO'COMPRIMIDO
DOWNLOAD'DE'FICHERO'COMPRIMIDO
Se puede actualizar el contenido
CONECTACON 2014
Telegram Pie
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Telegram es una aplicación de software libre, que puede ser modificada por la comunidad, por lo que existen clientes oficiales para los sistemas operativos móviles Android, iOS y Windows Phone8.!! - También existen versiones para ordenadores, así cómo versiones para ejecutar en el navegador.
- Telegram es un servicio de mensajería por Internet, desarrollada por los hermanos Nikolai y Pavel Durov, creadores de la red social VK.!!- Aunque su financiamiento es independiente de VK, desde el 2013 el proyecto sin ánimo de lucro tiene como sede en Berlín y es operado de manera gratuita tanto su protocolo API como sus clientes.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Telegram utiliza HTTP cifrando el payload
Con esta version se pueden enviar: ! Fotos
Videos Ficheros como mensajes de texto DOCUMENTO….. o ¡Virus!
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Lord Of The WhatsApp
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Y'NUESTRO'QUERIDO'WHATSAPP'…
TEXT MSG RC4
SERVIDOR MULTIMEDIA
- En este caso podemos utilizar el almacenamiento de imágenes utiliza HTTPS (bin2jpg)
- Exfiltrar ficheros como mensajes
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
ANONIMATO
- Es posible que no queramos que identifiquen la cuenta a la que se exfiltrará la información confidencial de la empresa.!!- Podemos utilizar diferentes saltos por la red, números virtuales, proxys anónimos etc.
VIRTUAL NUMBERS
- Esto es posible de realizar con cualquier otra aplicación o protocolo, con unos sencillos scripts, por ejemplo, en Python.!!- Para el caso de WhatsApp, no es necesario, ya que con un poco de ingenio y gracias a Yowsup, tendremos la mayor parte del trabajo hecho.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
Snapchat( Line((
Telegram((
WhatsApp((
Subir&Exe/Virus& Si,&con&offset& Si& Si& No?&
Subir&Zip& Si,&con&offset& Si& Si& No?&
Ficheros&como&texto&
No& No& Si& Si&
Version&PC& No& Si/No&probada& Si& Si,&no&oficial&
Pe@ciones&web&&
Si&& Si&& Si& Sólo&ficheros&
Protocol& HTTPS& HTTPS& HTTP&& HTTPS/RC4&
Canales&de&comunicación&
Uploads&actualizables&CON&cambio&de&ID&&
Uploads&actualizables&SIN&cambio&de&ID&&
Si&(texto&/envio&de&ficheros)&
Si&(Texto)&