Expertos en Ciberseguridad anticiparon tendencias en el 3er. webinar de H4ck3d - Security Conference 2022

Carlos Pantelides, programador; Eric Balderrama, cofundador de Trully; Maximiliano Soler, miembro de Secure Podcast; Lucas Paus, CISO en MODO; y Tomás Almeida, referente del blueteam de MODO disertaron sobre malware, fraude y vulnerabilidades.

Javier Vallejos Martínez, Licenciado en Informática UP y director de la Diplomatura en Ciberseguridad UP, y Fabián Martínez Portantier, ambos cofundadores de Securetia, dieron inicio a la tercera jornada de H4ck3d - Security Conference 2022 con gran concurrencia virtual de todo el país y la región.

El último encuentro de este año abordó una demostración de malware en hardware realizada por el programador Carlos Pantelides, experto en ciberseguridad IT bancaria; seguido de Eric Balderrama, cofundador de Trully, quien expuso sobre fraude. Luego, Maximiliano Soler, miembro de Secure Podcast, habló sobre vulnerabilidades en WebSockets; y finalmente Lucas Paus, CISO en MODO, y Tomás Almeida, referente del blueteam de MODO, brindaron la charla Hardening de microservicios.

En simultáneo, los participantes también se sumaron al desafío del CTF (Capture The Flag) para resolver distintos retos informáticos como challenges de reversing, crypto, web, stego, entre otros.

Malware en hardware: Killer Packet

Siguiendo con la serie de demostraciones prácticas que realiza año a año en H4ck3d, Carlos Pantelides, programador especialista en ciberseguridad IT bancaria y de IoT, mostró un nuevo ataque de malware en hardware.

En el 2020, mediante la ejecución muy frecuente de una instrucción de poco uso, se modificó el bit supervisor de una CPU, ataque que cambiaba el nivel de autorización de un sistema. En 2021, atreviéndose a dar un paso más en cuanto a complejidad, Pantelides tomó un SOC icicle RISC-V y realizó una serie de modificaciones para que al detectar una secuencia de código a cierta hora cambiara el valor de un registro.

“Lo que pretendo hacer este año es, dada información que fluye desde el exterior, que se provoque una acción sobre el sistema cuando se detecte una secuencia, afectando la disponibilidad. Cuando el atacante manda un mensaje al sistema, llega al conector, atraviesa unos cables hasta un controlador de comunicaciones, de ahí a un controlador de bus y a la CPU. La idea es interceptar el ataque en algún punto del recorrido”, explicó previamente a la ejecución.

Teniendo en cuenta una escala de CVSS, el programador evaluó que este ataque mejoró varios puntos sobre los de años anteriores. “El año que viene quisiéramos lograr, por ejemplo, inyectar código, lo que complejiza mucho más el ejercicio. Será mucho más ofensivo”, concluyó anticipando la próxima edición.

Seventh fraud of a seventh fraud

Agradeciendo a la Universidad de Palermo y a Securetia por una nueva convocatoria, Eric Balderrama, cofundador de Trully, disertó sobre ciberseguridad y prevención de fraudes.

“Entre los principales tipos de fraude se pueden nombrar phishing, malware, skimming, vishing (estafa telefónica o engaño), interno (robo de información y de dispositivos), carding (copio de tarjeta o de banda magnética) y SIM swap (robo de número telefónico)”, enumeró Balderrama.

Además, sostuvo que se pueden analizar desde diferentes puntos de vista: como particular (con el riesgo de pérdida de dinero, robo de identidad o datos expuestos); empresa (robo de dinero, pérdida de clientes o daño de reputación); o desde la óptica del atacante (cuyo único interés radica en el dinero).

Existen herramientas para mejorar y detectar los indicadores de compromiso. Si empezamos a compartir esta información con los equipos de fraude y de ciberseguridad vamos a poder bajar el nivel de ataques. Dejemos de ser reactivos y empecemos a trabajar de manera conjunta para pasar al lado de la proactividad”, reflexionó el experto.

Vulnerabilidades en WebSockets

Maximiliano Soler, miembro de Secure Podcast, expuso sobre identificación y explotación de vulnerabilidades en WebSockets. “WebSocket es un protocolo de comunicación que proporciona canales de comunicación full-duplex a través de una única conexión TCP”, explicó y agregó: “El protocolo WebSocket fue estandarizado por el IETF como RFC 6455 en 2011”.

Respecto a cómo identificar las vulnerabilidades, en primer lugar Soler resaltó que hay que tener en cuenta que cualquier entrada transmitida al servidor puede procesarse de manera insegura. Asimismo algunas vulnerabilidades del tipo blind solo pueden detectarse mediante técnicas fuera de banda. Por otro lado, los datos transmitidos a través de WebSockets a otros usuarios de la aplicación podrían dar lugar a XSS u otras vulnerabilidades client-side.

En base a eso, entre las recomendaciones que dio Soler mencionó: utilizar siempre protocolo wss://; no incluir datos que puedan ser manipulados por un atacante; proteger el mensaje de handshake para evitar ataques del tipo CSRF; tratar los datos recibidos a través de WebSocket como no confiables en ambas direcciones; incluir Rate Limiting y protección contra DoS. Y finalmente un punto muy importante: validar, validar y validar.


Hardening de microservicios

Durante la última charla, Lucas Paus, CISO en MODO y Tomás Almeida, referente del blueteam de MODO, expusieron sobre cómo mantener paquetes y librerías seguros.

“Los contenedores son una forma de virtualizar el sistema operativo, dentro de un contenedor se encuentran todos los ejecutables, el código binario, las bibliotecas, los archivos de configuración necesarios. Son bastante diferentes a las máquinas virtuales, tienen más compatibilidad con arquitecturas de microservicios”, señaló Paus.

A su vez, describió los cinco pasos claves para desplegar microservicios. En primer lugar, utilizar servicios NUBE para infraestructura de producción. Segundo, diseñar y desplegar microservicios pensando para la falla, en el fracaso. Un punto muy valioso es descentralizar la gestión de datos. Distribuir la gobernanza, trabajar de una forma fusionada, ya que los equipos de microservicios son interfuncionales. Por último, aconsejó automatizar el despliegue de la infraestructura y adoptar procesos CI – CD.

Cuando hablamos de microservicios, muchas organizaciones deben replantearse como se despliegan en las aplicaciones. Un paso clave es la cultura, romper una vieja cultura puede ser una de las tareas más complicadas de los equipos de seguridad”, explicó el CISO. A lo que agregó: “La seguridad hoy en día es parte de los negocios. Es un compromiso de todas las personas que integran una compañía. Representa calidad y debe ser algo diferencial en cualquier producto que hagamos”.

Tomás Almeida, referente del blueteam de MODO, hizo foco en seis consejos para el desarrollo seguro y la implementación de microservicios: analizar y monitorear mediante métricas; utilizar soluciones integrales de infraestructura, usar soluciones integrales de telemetría; testear las soluciones con datos generados; identificar escenarios de contingencia; y automatizar la detección de interacciones críticas entre microservicios.

A modo de conclusión, Paus expresó: "Es posible que los microservicios no sean para todos. Una estructura monolítica heredada que puede funcionar muy bien, pero a medida que las organizaciones crecen la estructura de los microservicios puede ser la más viable. Siguiendo los consejos que dimos, los microservicios pueden ser seguros, simples y eficientes".

De esta manera y con gran concurrencia virtual finalizaron las tres jornadas de H4ck3d - Security Conference 2022, organizadas anualmente por la Facultad de Ingeniería UP junto con Securetia para intercambiar conocimiento y tendencias dentro del campo de la Seguridad Informática.

¡Los esperamos el próximo año!

Para acceder a todos los webinar: https://www.palermo.edu/ingenieria/h4ck3d/