Seguridad móvil y web, principales temas de la conferencia de seguridad Black Hat

Las Vegas vuelve a convertirse en epicentro de la seguridad informática con la celebración de Black Hat USA 2012, una cita que los investigadores en seguridad aprovechan para desvelar nuevas vulnerabilidades que afectan a las tecnologías móviles y web, como NFC, HTML5 o los firewalls de aplicaciones web.

El aumento de los smartphones durante los últimos años ha convertido a las tecnologías móviles en uno de los principales focos de la investigación en seguridad, y no solo por el sistema operativo que utilizan. El conocido hacker de sistemas Apple Charlie Miller, principal consultor investigador de la firma de consultoría de seguridad Accuvant, ha estudiado la seguridad de las actuales implementaciones de NFC, tecnología que permite el pago sin contacto, y detectado formas en las que podría ser vulnerada para forzar a algunos móviles a analizar archivos y abrir páginas web sin la aprobación del usuario. En algunos casos, los atacantes podrían llegar a tomar pleno control del teléfono mediante NFC, permitiéndoles robar fotos y contactos, enviar mensajes de texto y hacer llamadas, tal y como advierte Miller, que presenta sus hallazgos en la edición estadounidense de la conferencia de seguridad Black Hat.

Por su parte, el investigador de la Universidad de Luxemburgo Ralf-Philipp Weinmann abordará los ataques contra los procesadores de la banda base -los microprocesadores de un teléfono responsables de la comunicación con las redes celulares-. Ya el pasado año, Weinmann demostró cómo las vulnerabilidades en el firmware de los procesadores baseband podían ser explotadas para convertir a los móviles en dispositivos de espionaje remotos engañándoles y llevándoles a conectarse con una estación base GSM falsa. La estación base había sido configurada empleando hardware básico y software open-source. 
En esta ocasión, Weinmann planea mostrar que las estaciones base falsas no son necesarias para llevar a cabo tal ataque, porque algunas vulnerabilidades de la banda base pueden explotarse mediante conexiones basadas en IP. Si algunos componentes de las redes de los operadores se configuran de una misma manera, un buen número de smartphones podría atacarlos de forma simultánea, explica Weinmann en la descripción de la presentación que llevará a cabo en Black Hat USA 2012.

También el malware móvil se considera una amenaza creciente, particularmente para Android. Para proteger a los usuarios Android y prevenir que se suban aplicaciones maliciosas a Google Play, Google creó un servicio de escaneo automático de malware llamado Bouncer. En Black Hat, Nicholas Percoco y Sean Schulte, investigadores en seguridad de Trustwave, revelarán una técnica que les permitió evadir la detección de Bouncer y mantener una aplicación maliciosa en Google Play durante semanas.

La aplicación inicialmente subida a Google Play era benigna, pero las siguientes actualizaciones le imprimieron funcionalidades maliciosas, explica Percoco. El resultado final era una aplicación capaz de robar fotos y contactos, forzando a los teléfonos a visitar páginas e incluso lanzar ataques de denegación de servicio. El investigador asegura que la aplicación, que ya no está en Google Play y no afectó a ningún usuario durante las pruebas, no necesita la interacción del usuario. 

También los ataques y vulnerabilidades web en nuevas tecnologías de Internet serán objeto de muchas de las presentaciones de Black Hat este año. Y es que los ciberdelincuentes atacan cada vez más utilizando el llamado método de drive-by download para infectar ordenadores con malware explotando vulnerabilidades en complementos de navegador ampliamente utilizados como Java, Flash Player o Adobe Reader. 

Jason Jones, investigador en seguridad de HP DVLabs, el brazo de investigación de vulnerabilidades de HP, presentará un análisis de algunos de los toolkits de exploit web más usados, como Blackhole o Phoenix. Algunas de las tendencias observadas por Jones en el desarrollo de kits de herramientas para exploits web este año incluyen una dependencia mayor de los exploits Java y una más rápida integración de exploits para nuevas vulnerabilidades. 

En el pasado, los tookits de exploit web se dirigían contra vulnerabilidades cuyos parches habían estado disponibles durante seis meses e incluso un año. Sin embargo, sus creadores están ahora integrando exploits para vulnerabilidades que solo tienen un par de meses e incluso aún no han sido parcheadas por los fabricantes, destaca Jones. 

Otra tendencia observada es el uso cada vez mayor de firewalls de aplicaciones web (WAFs) para detector y bloquear técnicas de ataque como inyección de SQL, directory traversal u otros. Ivan Ristic, director de ingeniería de Qualys y autor del popular firewall de aplicaciones web ModSecurity, discutirá las técnicas de evasión a nivel de protocolo que podrían dejar a un hacker eludir los WAFs. 

Ristic lanzará una herramienta que contiene unos 150 test que pueden usarse para determinar si un firewall de aplicaciones web es vulnerable a las técnicas de evasión que ha desarrollado e investigado. Este experto espera que los administradores de páginas web utilicen la herramienta para probar sus productos WAF e informar de cualquier vulnerabilidad que encuentren a los fabricantes. El objetivo de la herramienta no es animar a los atacantes, sino suscitar el diálogo abierto sobre la evasión a nivel dep protocolo entre los suministradores de WAFs, sus clientes y los investigadores en seguridad. 

Otro tema que se abordará en el Black Hat USA 2012 serán las nuevas tecnologías web, como HTML5. Shreeraj Shah, fundador del proveedor de seguridad de aplicaciones Blueinfy, demostrará cómo las tecnologías HTML5 pueden facilitar ataques y exploits silenciosos. 

Además, los ingenieros de software de Qualys Sergey Shekyan y Vaagn Toukharian, discutirán posibles escenarios de ataque con WebSockets, una tecnología HTML5 que permite la comunicación entre navegadores y servidores Web. Uno de los mayores problemas con WebSockets es que la mayoría de los firewalls y los sistemas de seguridad a nivel de red no son capaces, por ahora, de inspeccionar ese tipo de tráfico, explican estos expertos. Esto significa que el malware que roba información puede utiliza WebSockets para comunicarse con sus servidores de control y comando sin ser detectado. 

Además de la seguridad web y móvil, las presentaciones de Black Hat también cubrirán cuestiones como técnicas de ataque que afectan a sistemas de control industriales, contadores inteligentes y dispositivos embebidos.  

Black Hat USA 2012

Fecha: 21 al 26 julio 2012

Lugar: Las Vegas

Organiza: Black Hat