Crypto Crimen: en los últimos 10 años, 154 ataques costaron a la sociedad casi 4 mil millones de dólares - Brand Partners | Prensa para grandes marcas & pequeñas empresas

Hackeos a sistemas médicos y bancarios y herramientas útiles para analizar la seguridad de sistemas complejos

10 noviembre, 2021

Wardriving: la seguridad de las redes WiFi mejoró respecto a los últimos años

10 noviembre, 2021

EKOPARTY DÍA 4

Numerosos ataques se dan cada día en el mundo, algunos retoman técnicas ya utilizadas, otros se dan en los ámbitos más novedosos. A su vez, la IA sigue marcando el rumbo de todas las industrias, pero también es utilizada en ciber engaños ante los que hay que estar atentos y tomar precauciones.

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

En el cuarto día de la Ekoparty, grandes expertos del mundo de la ciberseguridad revelaron ataques que están presentes en los sistemas y tecnologías que se utilizan cada día. Además, analizaron las formas que tienen los atacantes para aprovechar cada vulnerabilidad y los cuidados que se deben tener para evitar convertirse en víctima del cibercrimen.

La jornada del viernes 5 de noviembre contó con las siguientes charlas: “The Kerberos Key List attack: The Return of the Read Only Domain Controllers” por Leandro Cuozzo; “All your Ether belong to us (a.k.a Hacking Ethereum-based DApps)” por Luis Quispe Gonzales; “System for Deepfake Detection – DeepAudioDetector” por Christian Camilo Urcuqui López, Kevin Zarama y Cristhian Eduardo Castillo Meneses; y “Crymen: La Crónica del Crypto Crimen” por Francis Guibernau.

The Kerberos Key List Attack: el retorno de los controladores de dominio de solo lectura en entornos de Microsoft Azure

Leandro Cuozzo demostró que existe un nuevo vector de ataque contra RODCs (Read Only Domain Controllers) para afectar entornos de Microsoft Azure, luego de que la compañía habilitara la autenticación sin contraseña utilizando llaves de seguridad. Este ataque utiliza las solicitudes de mensajes de Kerberos Key List.

Kerberos es un protocolo de autenticación que se utiliza para verificar identidades de usuarios y computadoras en entornos de áreas desprotegidas. Está basado en el concepto de criptografía simétrica: hay una clave compartida entre la entidad que es auténtica y la que va a autenticarla, y trabaja además con el concepto de tickets: aquellos utilizados para validar las identidades y para acceder a los diferentes servicios.

Los atacantes buscan privilegios de administrador de dominio, que proporcionan acceso y control sin restricciones de la red IT. Armados con estos privilegios, pueden manipular sigilosamente los controladores de dominio (y Active Directory) y generar tickets en Kerberos para obtener acceso no autorizado.

¿Cómo funciona y qué características tiene este nuevo vector de ataque?

Funciona tanto para controladores de dominios físicos como virtuales.
En ataques sobre controladores virtuales, la superficie de ataque es más extensiva porque es más difícil de restringir los permisos de replicación (la idea es que los usuarios de dominio y autenticados hagan autenticación passwordless, con lo cual tiene un poco más de dificultad definir cuáles se pueden replicar y cuáles no).
Las cuentas tienen que estar cacheadas en los RODCs; con solo pertenecer al grupo de denegados en la replicación se pueden atacar.
No se necesitan credenciales de administrador, porque se logra acceso directo a los listados de usuarios objetivo.
El ataque necesita que los controladores de dominio tengan versiones actualizadas que soporten el passwordless, que son las versiones de Windows 2016/2019 con los parches de enero 2020.

Hacking de aplicaciones descentralizadas basadas en Ethereum, y qué tener en cuenta para no ser víctima de estos ataques

Dentro del mundo blockchain existe Ethereum, una plataforma open source descentralizada que -gracias a la máquina virtual (EVM) que posee en su interior- permite correr contratos inteligentes, cuyo lenguaje para desarrollarlos más popular es Solidity. ¿Pero qué son las aplicaciones descentralizadas o DApps? Herramientas donde los usuarios se relacionan sin intermediarios, a través de una blockchain.

La charla de Luis Quispe Gonzales en Ekoparty mostró cómo funcionan las DApps basadas en Ethereum y las vulnerabilidades en su tecnología. Pese a que utilizan buenas prácticas de seguridad -los contratos inteligentes son inmutables, son criptográficamente seguras y se pueden verificar de forma pública-, al estar en fase de adopción, es indispensable tener en cuenta ciertas medidas, como contar con patrones de diseño inteligentes y seguros para abordar las diferentes vulnerabilidades y actuar ante los ataques que ya se registraron:

Unencrypted private data: Ninguna información privada debería almacenarse dentro del blockchain sino fuera, ya que es público, o se debe encriptar.
Authorization through: En vez de usar el tx.origin para la autorización, es más seguro usar el msg.sender, ya que esta variable global va a remitir simplemente a quien llamó inmediatamente al contrato, y no al externo.
Integer overflow: Es recomendable utilizar teorías matemáticas que permitan manejar todo el tema del número entero. Teorías que si ven que el número se desborda a la cantidad máxima permitida, revierten la transacción, por lo cual esta ya no sería válida.
Reentrada: En la mayoría de los casos primero se realiza la transferencia y luego se actualiza el balance. Por eso la recomendación es cambiar el patrón, por uno que se llama checks-effects-interactions, que primero actualiza el balance y luego recibe la transferencia.

DeepFake: cómo detectar una tecnología que puede ayudar, pero también engañar

Probablemente la mayoría recuerde aquel video de Barack Obama dando un discurso sobre “la nueva era donde nuestros enemigos pueden hacer lo que sea”. Este contenido, que no era real, se hizo realmente popular gracias a su calidad, y su autenticidad ante el ojo humano. Este fue solo un uso más de la IA dentro de la sociedad, dando lugar al famoso “deepfake”, que ya es utilizado por miles de personas en todos los ámbitos, principalmente entretenimiento, moda y política. Se trata de modelos que tienen la capacidad de crear imágenes, videos o audios cada vez más reales, que, en las manos equivocadas, pueden ser utilizados para ingeniería social y otras amenazas informáticas como chantaje, difamación o hasta manipulación de personas.

Pero a la vez, puede ser una herramienta para generar impactos positivos. Por ejemplo, el audio deepfake podría ayudar a personas que sufren de esclerosis lateral amiotrófica, a hablar con sus seres queridos, pero no con una voz robotizada, sino con su propia voz, o también, podría ayudar a personas con problemas del habla desde el nacimiento.

La charla de Christian Camilo Urcuqui López, Kevin Zarama y Cristhian Eduardo Castillo Meneses en Ekoparty presentó dos proyectos de investigación sobre la detección de Deepfakes y una herramienta de libre uso para cualquier interesado.

Crypto Crimen: en los últimos 10 años, 154 ataques costaron a la sociedad casi 4 mil millones de dólares

El mundo de los blockchains, criptomonedas y contratos inteligentes crece cada día más, y junto con ello lo hacen también los ataques. La alta demanda y la inminente adopción masiva generan un interés colectivo frente a una oportunidad que promete ser el futuro. Pero también existen cientos de atacantes alrededor del mundo que utilizan esta tecnología para sus propios beneficios, apuntando a víctimas de bajo riesgo y alta recompensa.

La charla de Francis Guibernau hizo un recorrido por los fundamentos del blockchain, la anatomía de los ataques más comunes, y su impacto en el lavado de activos. Entre ellos, se destacan:

Inside Jobs – Exit Scams: atacantes que en realidad son autoridades dentro de un protocolo o un proyecto de una organización y lo único que hacen es cometer un fraude, que es desviar los fondos que están dentro del protocolo, para robar el dinero. 11 ataques confirmados, en los cuales se lograron robar u$s 223.630.000.
Criminales y Amenazas avanzadas persistentes (APTs): grupos que en ocasiones están financiados por un gobierno, con 7 ataques confirmados al momento por una pérdida total de u$s 916.950.000.

Además, existen otros ataques como: “Ataques del 51%” con el que se perdieron u$s 28.660.000; “Ataques a Finanzas Descentralizadas” (DeFi), con un total de u$s 1.481.900.000 perdidos; “Ataques a Exchanges Centralizados” (CEX), valuados por pérdidas de u$s 2.265.285.000; entre otros. El lavado de activos se convierte en el segundo y último paso de estos ataques, siendo un proceso sencillo de realizar en el mundo de los blockchains gracias a la cantidad de técnicas y servicios que se encuentran disponibles y a las pocas regulaciones que existen en protocolos de organizaciones.

Las charlas completas se subirán al canal de YouTube de Ekoparty Security Conference en las próximas semanas.

En el último día del evento, quienes participen de Ekoparty podrán disfrutar de nuevas charlas online, y actividades presenciales, tales como el wardriving -desafío en el cual los participantes recorrerán en micro la ciudad buscando redes WIFI inseguras, para luego identificarlas geográficamente en un mapa junto a su nivel de seguridad-, y de los espacios más prometedores: RedZone, CyberFinance, DevSecOps, SE y AeroSpace. Además de múltiples sorpresas que darán un cierre a la 17° edición de la conferencia de hackers más importante de Latinoamérica.

Para obtener más información visitar www.ekoparty.org

Sobre Ekoparty

La conferencia de seguridad informática más grande de América Latina, celebrada anualmente en la Ciudad de Buenos Aires desde 2001. Es el espacio de reunión por excelencia de investigadores, hackers, programadores, ejecutivos, consultores, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, quienes disfrutan de compartir conocimiento y participar en desafíos, talleres y capacitaciones.

Más info en www.ekoparty.org