spinner

Biohacking, fuzzing y deep confusables en la Hack in the Box (HITB) 2019

Durante la semana del 6 al 10 de mayo, parte del equipo del lab de seguridad de BBVA Next Technologies se desplazó hasta Ámsterdam, para participar en el evento anual Hack in the Box(HITB), una de las conferencias más importantes de Europa en ciberseguridad, que además cumple este año su décimo aniversario. La temática este año ha girado en torno al pasado, presente y futuro de la ciberseguridad y ha conseguido unir lo bueno de las conferencias de alto nivel técnico con las villages, lugares donde aprender temáticas nuevas, sin dejar de lado la gran comunidad que han creado.

La X Edición contaba con 14 talleres y 60 charlas, estructurado en tres tracks simultáneos, uno principal de interés general y otros dos más técnicos. Las charlas que más nos impactaron fueron las de H(ack)DMI, sobre los ataques a los conectores HDMI y la de Attacking Industrial Remote Controllers, sobre la seguridad en dispositivos industriales. Al mismo tiempo tuvo lugar Haxpo, un evento gratuito donde existen multitud de retos y empresas donde poder realizar networking con profesionales del sector.

En el siguiente post os contamos nuestra experiencia siendo ponentes por primera vez en y nuestras impresiones de las conferencia.

Vista del recinto donde se celebró Haxpo X

Nuestra experiencia como ponentes

Durante la charla, Deep Confusables, Improving Unicode Encoding Attacks with Deep Learning, presentamos los resultados obtenidos de la investigación desarrollada en el laboratorio de Ciberseguridad de BBVA Next Technologies.
Hablamos sobre problemas de codificación de Unicode, más concretamente sobre confusables,
caracteres Unicode visualmente similares a otros. Este tipo de caracteres permite realizar distintos ataques, como por ejemplo phishing. Este es un problema antiguo, pero que sigue teniendo una gran relevancia a día de hoy. Nuestra charla se centró en cómo mejorar la generación de confusablesusando deep learning, qué problemas encontramos en distintas aplicaciones a la hora de validar caracteres Unicode y algunos casos de uso de estos caracteres.

Durante la charla se presentó Deep Confusables, un sistema Open Source capaz de generar confusables
a partir de imágenes de los caracteres Latin-1, y genera dominios similares a uno dado usando los confusables generados. Este sistema puede ser usado como herramienta por un blue team, para detectar posibles dominios que suplanten a nuestra empresa o registrarlos para redirigir al dominio legítimo. Deep Confusables se puede encontrar en GitHub en estos repositorios:

Respecto a los problemas encontrados con los confusables en aplicaciones, se encontraron distintos problemas sobre todo al no ser capaces estas aplicaciones de validar correctamente los caracteres confusables, haciendo que un usuario no sea capaz de reconocer un dominio falso de uno real, o al no convertir los dominios a punycode (un sistema de protección de Unicode). Todos estos problemas fueron reportados a sus respectivas empresas. Tanto Microsoft (en el caso de Skype) como Foxit Software (en el caso de Foxit Reader) consideran este tipo de error un potencial vector de ataque que puede propagar phishing con el uso de dominios falsos.

Por último, presentamos varios casos de uso de confusables, entre los que se encontraban la evasión de software de detección de plagio y la esteganografía, es decir, ocultación de un secreto dentro de otros de forma que no se perciba su existencia. Para esto, se liberó la herramienta StegUnicode disponible en GitHub ( https://github.com/mindcrypt/stegUnicode). Esta herramienta hace uso de un diccionario de confusables, que también fue liberado durante la charla.

Ponencias destacadas de HITB X

Durante la conferencia, se presentaron multitud de charlas sobre todo centradas en reversing, fuzzing y exploiting. Se presentaron herramientas como Hourglass Fuzz, diseñada para Android, pero con posibilidad de usarse en otras plataformas. Se mostraron varios 0-days con ella, además de un desarrollo sobre fuzzingen el kernelde Windows.

Hubo más de 5 ponencias relacionadas con IoT en las que fueron expuestas sus vulnerabilidades, dejando al descubierto los graves problemas que siguen teniendo estos dispositivos hoy en día. El principal problema es la conexión wireless que tienen los dispositivos, y los atacantes utilizan métodos de radiofrecuencia para vulnerarlos.

PoC sobre el hack de HDMI

Otro tema que apareció en varias ocasiones son las comunicaciones inalámbricas, donde se mostraron los diversos protocolos y ataques a las comunicaciones. Se trataron los problemas en redes SS7, herramientas de grandes redes con Wicy, mostraron problemas de seguridad en comunicaciones satélite o ataques a voz IP. Resulta curioso que ninguna de ellas tenían en mente la nube y sus problemas de seguridad que sí aparecen en otras conferencias.

De todas ellas nos llamó la atención dos de ellas en particular. La primera es H(ack)DMI, que se centraba en atacar a los conectores HDMI. Los investigadores introdujeron el funcionamiento de los HDMI para entender posibles vectores de ataque. Para atacar a estos dispositivos, utilizaron fuzzing, que es tratar de probar todas las entradas posibles de forma aleatoria para ver comportamientos que no se ajustan al estándar o comportamiento normal. Se utilizó una pieza que permitía la entrada de datos sobre el conector HDMI, provocando errores que se podrían usar para atacar el dispositivo que se conectaba.

Ejemplo de ataque a la grúa por parte de TrendMicro

Otra de las ponencias que más nos interesó fue la de Attacking Industrial Remote Controllers, que trataba sobre la seguridad en dispositivos industriales, en este caso grúas de obra. Los investigadores fueron capaces de realizar diversos ataques a esos dispositivos, ya que no tenían ningún tipo de seguridad implementada en las comunicaciones entre el dispositivo remoto de control y la grúa, por lo que podían moverla sin necesidad de tener acceso al controlador. Fue bastante impactante ya que muchas empresas siguen sin tener medidas de seguridad para protegerse frente a ello y cualquier atacante con un mínimo de conocimientos sobre radio frecuencia podría realizarlo.

Haxpo

En este evento, conviven charlas, sponsors y villages. Quizás, lo más interesante sean estas últimas, que son pequeños espacios donde los asistentes participan activamente en los retos/actividades que se proponen, normalmente centrados en un tema específico. En este caso fueron un total de 25, distribuidos en 3 tipos (pasado, presente y futuro). Algunas de ellas fueron juegos retro, tratar de vulnerar un sistema de seguridad médica o capturar señales de radiofrecuencia oculta.

Entre las más interesantes fueron la de AI vs Human race, donde se animaba a los participantes a mejorar los tiempos que hacían los coches conducidos por la máquina en un circuito, la villagede car hacking, donde tenían una maqueta con todos los componentes de un coche para tratar de enviar señales a los elementos y tomar control del vehículo. Otro village de soldadura, donde se permitía montar tus propios componentes usando Arduinos, Raspberry Pi, etc. A modo de ejemplo, tenían LEDs que responden a tus gestos o un piano casero y finalmente, uno de los que más nos impactó era el de bodyhacking, donde por 100$ te inyectan un componente RFID para que usarlo en diversos lugares como cerraduras, máquinas expendedoras, etc. Y todo ello lo hacían allí mismo, tenían las agujas y el material necesario.

Aparte de eso, existían algunas competiciones, la más conocida la de Capture The Flag (CTF) donde se repartieron premios de hasta 3000 dólares.

Conclusiones

El evento es muy recomendable, ya que junta lo bueno de las conferencias de alto nivel técnico con lugares donde aprender temáticas nuevas como las villages, sin dejar de lado la gran comunidad que han creado y la facilidad que se respira para compartir las nuevas investigaciones que se están llevando a cabo. Esperamos poder volver el año que viene.

Imágenes: HITB


Este post está escrito por: 

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?

Utilizamos cookies propias y de terceros para mejorar nuestros servicios, brindarle una grata experiencia y mostrar a los usuarios publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando por este sitio web, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información accediendo a nuestra política de cookies aquí.