(In)Seguridad y Ataques de Mensajería Instantánea en Entornos Corporativos - ConectaCON 2014

(IN)SEGURIDAD Y ATAQUES DE I.M.
EN ENTORNOS CORPORATIVOS

(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
QUIENES'SOMOS
Jaime Sánchez
- Ingeniero Informático - Telefónica España!
- Executive MBA, CISSP, CISA y CISM!
- Speaker en Rootedcon, Nuit du Hack, BH USA
Arsenal, Defcon, NoConName, BH Sao Paulo etc.!
- Twitter: @segofensiva!
- http://www.seguridadofensiva.com!
!
!
Pablo San Emeterio
- Ingeniero Informático - Telefónica España!
- Master en Seguridad Informática por la UPM,
CISA y CISM!
- Speaker en NoConName, Nuit du Hack,
RootedCON, BH Europe, Shmoocon etc.!
- Experiencia anterior con IM y WhatsApp :)!
- Twitter: @psaneme
CONECTACON 2014

CONECTACON 2014

ANTERIORMENTE
CONECTACON 2014

MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
Proceso de extracción no
autorizada de datos dentro
de un sistema o de una red.
Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un
proceso de robo de información, aunque con la proliferación de los ataques de
tipo APT también se han popularizado las soluciones técnicas que dificultan este
proceso, como:!
! - Detectores de anomalías!
! - Sistemas de prevención de fugas de información !
! - Cortafuegos inteligentes.
CONECTACON SHMOOCON 2014
2014

ERES'TARGET'…
“Attackers exfiltrate data by creating a mount point for a remote file share and copying the data
stored by the memory-scraping component to that share,” the SecureWorks paper notes. “In the
previous listing showing the data’s move to an internal server, 10.116.240.31 is the intermediate
server selected by attackers, and CTU researchers believe the “ttcopscli3acs” string is the
Windows domain name used on Target’s network. The “Best1_user” account appears to be
associated with the Performance Assurance component of BMC Software’s Patrol product.
According to BMC’s documentation, this account is normally restricted, but the attackers may
have usurped control to facilitate lateral movement within the network.”
2014

Prácticamente protocolo puede utilizarse como Covert Channel, aunque
generalmente se utilizan algunos concretos en Capa 3-4 (Red-Transporte), como
ICMP, IP con TCP/UDP, o en Capa 7 (Aplicación) los más comunes son HTTPS
o DNS.
2014

- El problema llega porque los usuarios no limitan el uso de las tecnologías
para los fines profesionales y porque el malware en dispositivos móviles no
para de aumentar. Los casos de malware en dispositivos como Android son
cada vez más frecuente y estas amenazas se pueden transferirse a través de
los sistemas de mensajería instantánea.!
!
- Durante el periodo comprendido entre Agosto de 2013 y Julio de 2014 se
registró el número más alto de ciberataques en los últimos años.
2014

- En la actualidad, con la llegada de los dispositivos móviles, los sistemas de mensajería
instantánea tienen una segunda juventud, y los usuarios aprovechan sus posibilidades
para el ámbito personal y profesional.!
!
- Los sistemas de mensajería instantánea puede suponer un problema para la
seguridad, sobre todo en el ámbito del trabajo.
2014

2014

¿'QUÉ'ES'SNAPCHAT'?
- Snapchat es una aplicación para móviles,
que puedes descargar en tu iPhone o
Android, para ¿chatear? con amigos a través
de fotos y vídeos (con la posibilidad de usar
etiquetas).!
!
- Vamos, como un WhatsApp (que ya sabéis
que nos gusta) en el que no se puede enviar
texto, sólo ficheros multimedia.!
!
- Una de las cosas más importantes de
Snapchat es que la características de auto-destrucción
de las fotos, una vez el
SHMOOCON 2014
destinatario las ha visto.
CONECTACON 2014

EL'HISTÓRICO'DE'SNAPCHAT
- Crees que es seguro enviar esas fotos
embarazosas a través de Snapchat?
PIÉNSALO DE NUEVO.
!
- SnapHack: una aplicación que permite
reabrir y guardar mensajes de Snapchat,
sin que el remitente sepa que se han
almacenado
- Dump de 4.16 millones de usuarios y
números de telefóno de usuarios de
Snapchat publicados en el sitio web
snapchatdb.info, después del public
disclosure del funcionamiento de la API.
2014

- Vivimos épocas convulsas de filtraciones online. Si en los últimos tiempos
fue el famoso celebgate o fappening el que trajo de cabeza a varias
famosas del mundo del cine, el espectáculo y la televisión ahora es la
aplicación Snapchat la que ha sufrido otra filtración masiva.!
!
!
!
!
!
!
!
2014
!!
- Una aplicación de terceros originó una filtración masiva que implica a
unas 200.000 imágenes íntimas de numerosos usuarios de Snapchat,
aunque según algunas informaciones la cifra podría seguir aumentando a
lo largo de las próximas semanas.!
!

- Para realizar envíos a través de Snapchat, necesitaremos primero obtener
el request_token correspondiente:
- Los siguientes campos serán necesarios para realizar las diferentes
plataformas y enviar Snaps a través de la plataforma:
CONECTACON 2014
Nada dura para siempre,!
!excepto el token temporal de Snapchat!

OR
CONECTACON 2014

- Todos los archivos multimedia de Snapchat (vídeos y fotos) se envían:!
! - Padding de PKCS#5!
! - Cifrados usando AES/ECB con clave simétrica M02cnQ51Ji97vwT4
!
- Si enviamos un Snap a cualquier usuario, podemos modificar el contenido
de la imagen, introduciendo los datos que necesitemos, como por ejemplo
contenido en ASCII:
CONECTACON 2014

- Podemos enviar archivos ejecutables a través de los canales de
comunicación de Snapchat.!
!
- En este caso probaremos a enviar un fichero ejecutable crackme.exe,
previamente comprimido en formato ZIP.
CONECTACON 2014

! También se pueden enviar
ficheros ejecutables !
CONECTACON 2014

LINE tiene ya más de 400 millones
de usuarios activos
Inicialmente fue una aplicación
móvil desarrollada para uso
interno de comunicación.!
!
Tras su gran acogida y
popularidad entre los usuarios, se
amplió a Windows Phone,
BlackBerry OS,1 Firefox OS, Mac
OS X y Windows.!
!
Esta última tiene dos versiones:
una de escritorio tradicional y
otra exclusiva para Windows 8
disponible en Windows Store. !
!
También existe una versión para
Firefox OS
2014

ALGUNOS'DETALLES'DE'FUNCIONAMIENTO'…
- Gran cantidad de servicios web diferentes, debido a la gran cantidad de
apps y subsistemas que conviven…!
!
- La mayor parte del protocolo se genera sobre canales HTTPS, utilizando
Apache Thrift para la serialización de los datos de los mensajes.!
!
- El procedimiento de autenticación:!
loginWithIdentityCredentialForCertificate(
IdentityProvider.LINE, // identityProvider
"test@example.com", // identifier
"password", // password in plain text
true, // keepLoggedIn
"127.0.0.1", // accesslocation
"hostname", // systemName
"") // certificate (empty on first login)
2014

- La respuesta a nuestro intento de autenticación será:!
! struct LoginResult {
2014
1: string authToken;
2: string certificate;
3: string verifier;
4: string pinCode;
5: LoginResultType type;
}
!
- Después de una autenticación correcta, el campo de authToken contendrá el valor
necesario para las siguientes peticiones, y se utilizará dentro de la cabecera X-Line-
Access.!
!
- Dentro de la sincronización inicial del cliente, se llamarán a funciones como:!
getLastOpRevision() getBlockedContactIds()
getProfile() getRecommendationIds()
getBlockedRecommendationIds() getAllContactIds()
getContacts(contactIds) getGroupIdsJoined()
getGroups(groupIds)

- La comunicación se realiza por HTTPS:
2014

UPLOAD'DE'EJECUTABLE
2014

DESCARGA'DEL'EJECUTABLE
2014

UPLOAD'DE'FICHERO'COMPRIMIDO
2014

DOWNLOAD'DE'FICHERO'COMPRIMIDO
Se puede actualizar el contenido
2014

- Telegram es un servicio de mensajería por
Internet, desarrollada por los hermanos Nikolai
y Pavel Durov, creadores de la red social VK.!
!
- Aunque su financiamiento es independiente
de VK, desde el 2013 el proyecto sin ánimo de
lucro tiene como sede en Berlín y es operado
de manera gratuita tanto su protocolo API
como sus clientes.
- Telegram es una aplicación de software libre, que puede ser modificada
por la comunidad, por lo que existen clientes oficiales para los sistemas
operativos móviles Android, iOS y Windows Phone8.!
!
- También existen versiones para ordenadores, así cómo versiones para
ejecutar en el navegador.
2014

Telegram utiliza HTTP cifrando el payload
2014

Con esta version se pueden enviar:
!
Fotos
Videos
Ficheros como mensajes de texto
DOCUMENTO….. o ¡Virus!
2014

Y'NUESTRO'QUERIDO'WHATSAPP'…
- En este caso podemos utilizar el almacenamiento de
imágenes utiliza HTTPS (bin2jpg)
SHMOOCON 2014
TEXT MSG RC4
SERVIDOR MULTIMEDIA
- Exfiltrar ficheros como mensajes
CONECTACON 2014

ANONIMATO
2014

- Es posible que no queramos que identifiquen la cuenta a la que se exfiltrará la
información confidencial de la empresa.!
!
- Podemos utilizar diferentes saltos por la red, números virtuales, proxys anónimos
etc.
VIRTUAL NUMBERS
- Esto es posible de realizar con cualquier otra aplicación o protocolo, con unos
sencillos scripts, por ejemplo, en Python.!
!
- Para el caso de WhatsApp, no es necesario, ya que con un poco de ingenio y
gracias a Yowsup, tendremos la mayor parte del trabajo hecho.
2014

Snapchat( Line(
(
2014
Telegram(
(
WhatsApp(
(
Subir&Exe/Virus& Si,&con&offset& Si& Si& No?&
Subir&Zip& Si,&con&offset& Si& Si& No?&
Ficheros&como&
texto&
No& No& Si& Si&
Version&PC& No& Si/No&probada& Si& Si,&no&oficial&
Pe@ciones&web&
&
Si&& Si&& Si& Sólo&ficheros&
Protocol& HTTPS& HTTPS& HTTP&& HTTPS/RC4&
Canales&de&
comunicación&
Uploads&
actualizables&
CON&cambio&de&
ID&
&
Uploads&
actualizables&
SIN&cambio&de&
ID&
&
Si&(texto&/envio&
de&ficheros)&
Si&(Texto)&

G R A C I A S !
2014

(In)Seguridad y Ataques de Mensajería Instantánea en Entornos Corporativos - ConectaCON 2014

Más contenido relacionado

La actualidad más candente (18)

Similar a (In)Seguridad y Ataques de Mensajería Instantánea en Entornos Corporativos - ConectaCON 2014 (20)

Más de Jaime Sánchez (10)

Último (20)

(In)Seguridad y Ataques de Mensajería Instantánea en Entornos Corporativos - ConectaCON 2014