CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón

(IN)seguridad en infraestructura tecnológica

(IN)seguridad en infraestructura tecnológica¿A qué riesgos esta expuesta nuestra infraestructura de TI y nosotros como

usuarios de Internet?


Paulino Calderón Pale (@calderpwn)

CONTACTO

3

$ cat contacto.txt

################################ Paulino Calderón Pale [email protected] Twitter: @calderpwn Bitbucket: https://bitbucket.org/cldrn/ WWW: http://calderonpale.com ################################

mailto:[email protected]

https://bitbucket.org/cldrn/

http://calderonpale.com



Y les traigo premios…

4

• Poster “Icons of the web”

• Paquete de stickers

• Copia impresa de “Nmap 6:Network Exploration and Security Auditing Cookbook”



¿De qué voy a hablar?• En el año 2014 hemos llevado la inter-conectividad al

máximo. Ya tenemos hasta tostadoras con dirección IP…

• ¿Hemos considerado la seguridad de la información en esto proceso?

• ¿Los fabricantes lo han hecho?

!

!

5



¿De qué voy a hablar?• En el año 2014 hemos llevado la inter-conectividad al máximo.

Ya tenemos hasta tostadoras con dirección IP…

• ¿Hemos considerado la seguridad de la información en esto proceso?

• ¿Los fabricantes lo han hecho?

Algunos sí, otros intentan y a muchos otros no parece importarles hasta que tienen un problema serio.

!

6


Paulino Calderón Pale (@calderpwn)7



Agenda(IN)seguridad en infraestructura tecnologica

• Redes inalámbricas IEEE 802.11

• Dispositivos accesibles remotamente

• Ruteadores

• Cámaras web

• Sistemas VOIP

• Sistemas SCADA

8



Redes wifi 802.11• La adopción de la tecnología wifi se ha llevado de

forma masiva en los últimos años tanto en redes laborales como caseras.

• Actualmente la mayoría de redes wifi cuenta con algún mecanismo de autenticación (Aunque sea mal implementado).

9



¿Cuales son los problemas de seguridad más comunes relacionados con el uso de estas tecnologías?

10

Seguridad de redes wifi



¿Cuales son los problemas de seguridad más comúnes relacionados con el uso de estas tecnologías?

• Uso de configuraciones inseguras.

11




¿Cuales son los problemas de seguridad más comúnes relacionados con el uso de estas tecnologías?


• Uso de mecanismos de cifrado inseguros.

12




¿Cuales son los problemas de seguridad más comunes relacionados con el uso de estas tecnologías?


• Uso de mecanismos de cifrado inseguros.

• Uso de access points vulnerables.

13




Estadísticas de redes wifi

• ¿Existen estadísticas públicas sobre estas redes?

• ¿Qué datos interesantes se pueden obtener?

• Tipos de mecanismos de cifrado

• Uso de canales

• Dispositivos vulnerables que son utilizados popularmente.

14



• ¿Cómo obtendríamos estadísticas del uso de estas tecnologías?

• Wardriving

15

Estadísticas de redes wifi



Descubrir redes inalámbricas y “mapearlas” desde un vehículo en movimiento.

!

16

¿Qué es el wardriving?



Wardriving en el 2014



Wardriving colectivoBases de datos creadas por contribuciones de una comunidad de usuarios.



http://goo.gl/npjnz



Estadísticas de redes wifi en MXAnálisis Completo

• http://www.websec.mx/Estadisticas_2013_de_Redes_802.11_en_MX.pdf

Infografía:

• http://www.websec.mx/blog/ver/redes-802.11-mexico-infografia

22

http://www.websec.mx/Estadisticas_2013_de_Redes_802.11_en_MX.pdf

http://www.websec.mx/blog/ver/redes-802.11-mexico-infografia



Uso de protocolos de cifrado en MX

23



Redes wifi que soportan WPS

23.7% 24



¿Quienes fabrican los APs más populares en México?



¿Se podría obtener información de redes wifi remotamente?

• En el caso de los equipos Huawei HHG530, HHG520 y posiblemente otros modelos similares sí…

http://www.websec.mx/advisories/view/Huawei_HG520c_Revelacion_de_Informacion_via_web

• Y obviamente existen muchas vulnerabilidades que afectan a otros dispositivos. Este es solo un ejemplo…

28

Accediendo a redes inalámbricas remotamente

http://www.websec.mx/advisories/view/Huawei_HG520c_Revelacion_de_Informacion_via_web



DEMO



Dispositivos accesibles remotamente

32



Dispositivos accesibles remotamente

• Muchos diferentes tipos de dispositivos cuentan con una dirección IPv4 actualmente.

• Es relativamente facil hacer un barrido de todas las direcciones IPv4 existentes.

• ¿Se puede escanear el espacio de direcciones IPv6?

33



Escaneando el Internet• Presentación sobre escaneos distribuidos con Dnmap

(GuadalajaraCON 2012):

https://www.youtube.com/watch?v=kLaKrRtr_cY

• Existen otras herramientas especializadas en velocidad:

• masscan (http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.htm)

• zmap (https://zmap.io/) $ zmap -p 443 –o results.txt

34

https://www.youtube.com/watch?v=kLaKrRtr_cY

http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.htm

https://zmap.io/



Escaneando el Internet• Lista de IPs por país en formato CIDR:

http://software77.net/geo-ip/

• Existen bases de datos públicas con información interesante:

• ShodanHQ (http://www.shodanhq.com/)

• scans.io (https://scans.io/)

35

http://software77.net/geo-ip/

http://www.shodanhq.com/

https://scans.io/



SHODANHQ• Motor de busqueda de dispositivos conectados a

Internet (http://shodanhq.com)

36

http://shodanhq.com



SHODANHQ

37



Shodan Maps

38



Otras búsquedas interesantes

39

• cisco last-modified

• default password

• Dispositivos específicos

• bacnet

• scada

• modbus



Ruteadores y modéms

40



Vulnerabilidades en ruteadores

41

• Existen vulnerabilidades en los principales fabricantes de ruteadores y modems.

• Routerpwn contiene la mayor cantidad de exploits relacionados con ruteadores, modems y switches. (http://routerpwn.com)

http://routerpwn.com



Huawei

42



Rompager

43



Vulnerabilidades en dispositivos Huawei

44

• Cálculo de llave inalámbrica default

• Acceso remoto y local sin autenticación

• Control completo del dispositivo

• Obtención remota de MAC / WEP / WPA

• Entre muchas otras…



Vulnerabilidades en dispositivos Huawei

45

!

• Huawei EchoLife HG520c Denegaciones de Servicio y Reset 2010

• Huawei EchoLife HG520 CSRF Interfaz Remota 2010

• Huawei EchoLife HG520c Revelación de Información 2010

• Huawei EchoLife HG520 Revelación de Información por UDP 2010

• Una herramienta para descomprimir el archivo de configuración,

• Algoritmo para Huawei HG5xx MAC2WEPKey 2011. Actualmente se pueden encontrar diversas implementaciones incluyendo una app de Android muy popular

• Evasión de autenticación en Huawei HG866



DEMO



Disculpa, ¿me das tu archivo de configuración?

47



Calculo de la llave default con Mac2wepkey HHG5XX

• https://play.google.com/store/apps/details?id=mx.websec.mac2wepkey.hhg5xx&hl=es_419

48

https://play.google.com/store/apps/details?id=mx.websec.mac2wepkey.hhg5xx&hl=es_419



Y hasta ocasionó algunas peleas…



Como no usar la herramienta

53



Como no usar la herramienta

54



TP-Link

55



TP-Link

56

• El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web oculta para depuración que podría servir de puerta trasera a atacantes localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html

• El nombre de usuario de esta consola esta guardado estáticamente en el binario del servidor HTTP y la contraseña no puede ser cambiada desde la interfaz web, por lo que siempre es valida la siguiente cuenta: Usuario: osteam Contraseña: 5up

• La criticidad de esta vulnerabilidad es alta debido a que a través de esta consola se pueden ejecutar comandos en el sistema con privilegios root como agregar reglas de redirección de trafico y modificar archivos de configuración



DEMO



TP-Link

59



DPT==“Detector de Puertas Traseras”

60



DEMO



Detectando puertas traseras

62



Cámaras web

63



Cámaras web

64

• Cámaras de seguridad ofrecen administración remota para comodidad de los usuarios.

• Casi nunca se utilizan reglas de acceso.

• Cuentan con muchos problemas de seguridad.



Cámaras web

65

Problemas de seguridad similares:

• Puertas traseras

• Controles de acceso mal implementados

• Dispositivos vulnerables

• Uso de credenciales débiles



Vulnerabilidades en cámaras web

66

• Craig Heffner recientemente habló de su trabajo en este tipo de dispositivos:

Exploiting Surveillance Cameras Like A Hollywood Hacker https://www.youtube.com/watch?v=B8DjTcANBx0

https://www.youtube.com/watch?v=B8DjTcANBx0



DEMO



Sistemas VOIP

69



Problemas con VOIP

70

¿Cuales son los problemas de seguridad que encontramos en estos sistemas?

• Contraseñas débiles.

• Configuraciones inseguras.

• Vulnerabilidades en protocolos. Hacking SIP Like a Boss

(https://www.youtube.com/watch?v=bSg3tAkh5gA)

https://www.youtube.com/watch?v=bSg3tAkh5gA



SIP en México

71



Asterisks en México

72



Obteniendo credenciales SIP

73

• Ataques de MiTM permiten a atacantes obtener datos para lanzar ataques de diccionario o fuerza bruta para obtener las credenciales.

Cain & Abel (http://www.oxid.it/cain.html)

• Ataques de fuerza bruta remotos también son posibles a través de peticiones de tipo REGISTER.

Por ejemplo en Nmap NSE tenemos sip-brute. $nmap -sU -p 5060 <objetivo(s)> --script=sip-brute

http://www.oxid.it/cain.html



Seguridad adicional en VOIP

74

Deshabilitar llamadas internacionales si no quieren un cuentota de teléfono.



Sistemas SCADA

75



Sistemas SCADA

• Sistemas SCADA de fábricas como plantas de petróleo, eléctricas, tratamiento de agua, prisiones, entre otros…

• Una de las razones por la que son accesibles remotamente es para facilitar el monitoreo de los sistemas ya que en ocasiones los equipos se encuentran en ubicaciones difíciles de acceder.

• El ojo de sauron ( la industria de la seguridad informatica ) tiene mucha atención en estos sistemas.

78



Infraestructura crítica: terminología

• SCADA = Supervisory Control and Data Acquisition System

• ICS = Industrial Control System

• PLC = Programmable Logic Controller

• RTU = Remote Terminal Units

• HMI = Human Machine Interface

79



Automatización industrial

80

• Existen muchos posibles vectores de ataque en sistemas de automatización industrial. ¿Cuales con estas superficies de ataque?

• A pesar de que deberían estar en redes herméticas existe la posibilidad ( y ha pasado) de ataques a estos sistemas.

!• ¿Cuales son los riesgos a los que están expuestos?



Vulnerabilidades en automatización industrial

81

• En el 2000 se identificó el primer ataque a una planta de tratamiento de residuos

• Se ha determinado que son susceptibles a ataques con EMPs. • Puertas de prisiones se han abierto sin motivo aparente en

Estados Unidos. • Se ha demostrado que es posible realizar ataques a distancia.



STUXNET

82

!• Descubierto desde el 2010 en una planta nuclear de Iran…

• El primer gusano que atacaba a sistemas SCADA.

• Infección inicial via USB pero después utilizaba otros métodos de infección.

• Firmado con certificados robados.

• Ejemplo de malware muy sofisticado.

• Análisis de STUXNET (https://www.youtube.com/watch?v=GVi_ZW-1bNg)

https://www.youtube.com/watch?v=GVi_ZW-1bNg



Siemens S7

83

• Espera conexiones en el puerto 102.

• Usa un protocolo llamado ISO-TSAP el cual el encapsulado en una conexion TCP.

• Existen diferentes modelos (todos afectados por vulnerabilidades):

• S7-300

• S7-400

• S7-1200



Ataques a PLCs

84

• BlackHat 2011: Siemens Simatic S7 PLC Exploitation (https://www.youtube.com/watch?v=33kouEKm0zo)

• Exploits para diferentes PLCs disponibles en Metasploit: • Siemens S7 (Uno de los PLCs mas usados)

!



Ataques a distancia

85

• Investigación por Carlos Penagos ( colombiano ) y Lucas Apa presentada en Blackhat 2013 (https://media.blackhat.com/us-13/US-13-Apa-Compromising-Industrial-Facilities-From-40-Miles-Away-Slides.pdf).

https://media.blackhat.com/us-13/US-13-Apa-Compromising-Industrial-Facilities-From-40-Miles-Away-Slides.pdf



DEMO



Vulnerabilidades en HMIs

88

• Las interfaces también son vulnerables.

• SCADA HMI & MS BLOB por R Wesley McGrew (https://www.youtube.com/watch?v=yFxzu0MzOqs)

https://www.youtube.com/watch?v=yFxzu0MzOqs



Encontrando SCADAs

89

• Existen herramientas públicas para detectar sistemas SCADA:

• Nmap Por puerto, servicio o con NSE con scripts como modbus-discovery, Siemens-WINCC.nse, Siemens-Scalance-module.nse, Siemens-HMI-miniweb.nse, Siemens-CommunicationsProcessor.nse.

• modbus-scan

• ScadaScan



PROTOCOLO PUERTOBACnet/IP UDP/47808

DNP3 TCP/20000, UDP/20000EtherCAT UDP/34980

Ethernet/IP TCP/44818, UDP/2222, UDP/44818

FL-net UDP/55000 to 55003

Foundation Fieldbus HSE TCP/1089 to 1091, UDP/1089 to 1091

ICCP TCP/102Modbus TCP/502

OPC UA Discovery Server TCP/4840OPC UA XML TCP/80, TCP/443

PROFINET TCP/34962 to 34964, UDP/34962 to 34964

OPC UA Discovery Server TCP/UDP 4000



Encontrando equipos

91

# nmap --script Siemens-PCS7.nse -p 80 <objetivo(s)>

# nmap -sU --script Siemens-Scalance-module.nse -p 161 <objetivo(s)>

# nmap -sU --script Siemens-WINCC.nse -p 137 <objetivo(s)>

# nmap --script modbus-discover.nse --script-args='modbus-discover.aggressive=true' -p 502 <objetivo(s)>



Encontrando dispositivos con modbus/tcp

92

PORT STATE SERVICE 502/tcp open modbus | modbus-discover: | Positive response for sid = 0x64 | SLAVE ID DATA: \xFA\xFFPM710PowerMeter | DEVICE IDENTIFICATION: Schneider Electric PM710 v03.110 |_ Positive error response for sid = 0x96 (GATEWAY TARGET DEVICE FAILED TO RESPONSE)



¿Otros dispositivos?

93

• BMCs (Board Management Controller) • NAS (Network Attached Storage) • DVRs (Digital Video Recorder) • etc…



¿Soluciones?

94



¿Soluciones?

95

• Políticas de contraseñas.



¿Soluciones?

96

• Políticas de contraseñas. Use una contraseña segura.



¿Soluciones?

97


• Controles de acceso.



¿Soluciones?

98


• Controles de acceso. No deje que desconocidos se conecten.



¿Soluciones?

99



• Roles de acceso



¿Soluciones?

100



• Roles de acceso Revisen los permisos por favor.



SPAM• Nmap 6: Network Exploration

and Security Auditing Cookbook http://www.amazon.com/Nmap-exploration-security-auditing-Cookbook/dp/1849517487

• Nmap Scripting Engine Development http://www.amazon.com/Mastering-Scripting-Engine-Paulino-Calderon/dp/1782168311/

101

http://www.amazon.com/Nmap-exploration-security-auditing-Cookbook/dp/1849517487

http://www.amazon.com/Mastering-Scripting-Engine-Paulino-Calderon/dp/1782168311/



Más información• Routerpwn (http://routerpwn.com) • Técnicas de escaneo másivo y estadísticas de vulnerabilidades

(http://www.websec.mx/blog/ver/tecnicas-de-escaneo-masivo) • Exploiting Network Surveillance Cameras Like A Hollywood Hacker

(https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-WP.pdf)

• Compromising Industrial Facilities From 40 Miles Away (https://media.blackhat.com/us-13/US-13-Apa-Compromising-Industrial-Facilities-From-40-Miles-Away-Slides.pdf)

• Siemens S7 PCL Exploitation (http://media.blackhat.com/bh-us-11/Beresford/BH_US11_Beresford_S7_PLCs_Slides.pdf)

102

http://routerpwn.com

http://www.websec.mx/blog/ver/tecnicas-de-escaneo-masivo

https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-WP.pdf

https://media.blackhat.com/us-13/US-13-Apa-Compromising-Industrial-Facilities-From-40-Miles-Away-Slides.pdf

http://media.blackhat.com/bh-us-11/Beresford/BH_US11_Beresford_S7_PLCs_Slides.pdf



Más información• ShodanHQ (http://shodanhq.com)

• NSE scripts for SCADA identification (https://github.com/drainware/nmap-scada)

• Zmap (https://zmap.io/paper.pdf)

• IPv6 Implications for Network Scanning (http://www.ietf.org/rfc/rfc5157.txt)

• Hacking SIP services like a boss (http://viproy.com/files/athcon2013.pdf)

103

http://shodanhq.com

https://github.com/drainware/nmap-scada

https://zmap.io/paper.pdf

http://www.ietf.org/rfc/rfc5157.txt

http://viproy.com/files/athcon2013.pdf



Más información• SCADApedia

(https://www.digitalbond.com/tools/the-rack/control-system-port-list/)

• modbus-discover (http://nmap.org/nsedoc/scripts/modbus-discover.html)

104

https://www.digitalbond.com/tools/the-rack/control-system-port-list/

http://nmap.org/nsedoc/scripts/modbus-discover.html



¿Preguntas?$ cat contacto.txt

################################ Paulino Calderón Pale [email protected] Twitter: @calderpwn Bitbucket: https://bitbucket.org/cldrn/ WWW: http://calderonpale.com ################################

105

mailto:[email protected]

https://bitbucket.org/cldrn/

http://calderonpale.com

CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón

Technology

Transcript of CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón