viernes, 24 de octubre de 2014

Security vulnerabilities in DVB-C networks: Hacking Cable tV network part 2 | Rahul Sasi

DVB-C stands for "Digital Video Broadcasting - Cable" and it is the DVB European consortium standard for the broadcast transmission of digital television over cable. This system transmits an MPEG-2 or MPEG-4 family digital audio/digital video stream, using a QAM modulation with channel coding. The standard was first published by the ETSI in 1994, and subsequently became the most widely used transmission system for digital cable television in Europe. source: We been working with a Cable TV service provide for the past 1 year. With digital cable tv implementations, the transmited MPEG streams are encrypted/scrambled and users needs a setup box to de-scramble/decode the streams. Also service providers can shut down a device remotely if (no payment) or even display a custom text message that will scroll on top of a video. This is made possible by Middleware servers or applications servers that are used to manage the DVM networks. So in our talks we cover the various attacks we can do on DVB-C infrastructure. That will include the following topics. 1) Security Vulnerabilities in DVB-C middleware servers. [Hijacking a TV stream] 2) Implementation bugs in DVB-C network protocol .[Man in the Middle Attacks] 3) Fuzzing setup boxes via MPEG streams. [Shutting down Setup boxes] 4) Demo taking over your Cable TV BroadCasting.

Sobre Rahul Sasi 

Rahul Sasi (fb1h2s) is working as a Security Engineer for Citrix Systems . He has authored multiple security tools, advisories and articles. He has been invited to speak at various security conferences like HITB [KL], BlackHat [US Arsenal], Cocon (2011-2014), Nullcon (2011-2014), HITB (AMS 2012,2013,2014), BlackHat (EU 2012), Ekoparty (Argentina), CanSecwest(Canada 2013), HITCON(taiwan). His work could be found at Garage4Hackers.

Aquí te presenta su conferencia: 

Rahul Sasi saluda a la ekoparty 10! from ekoparty on Vimeo.

Remote Automotive Attack Surfaces | Chris Valasek

Las investigaciones de seguridad que se presentan del mundo automotriz son escasas y sobre vehículos específicos, por eso no se pueden proveer ataques generales, ya que todos los fabricantes se manejan de manera independiente del resto. Chris, nos comparte sus conclusiones en base a un análisis que realizó a un gran número de autos de diferentes fabricantes, desde una perspectiva de seguridad.

Sobre Chris Valasek

Christopher Valasek serves as Director Vehicle Security Research at IOActive, an industry leader in comprehensive computer security services. In this role, Valasek is responsible for guiding IOActive’s vehicle security research efforts. He is also heavily involved in bleeding-edge automotive security research. Valasek specializes in offensive research methodologies with a focus on reverse engineering and exploitation. Known for his extensive automotive field research, Valasek was one of the first researchers to discuss automotive security issues in detail. His release of a library to physically control vehicles through the CAN bus garnered worldwide media attention. Valasek is also known for his exploitation and reverse engineering of Microsoft® Windows. As a Windows security subject matter expert, he is quoted in several technology publications and has given presentations on the subject at a number of conferences. He is also the Chairman of SummerCon, the oldest US hacker conference.

Aquí te presenta su conferencia:

Chris Valasek saluda a la ekoparty 10! from ekoparty on Vimeo.

jueves, 23 de octubre de 2014

Exploring the Jolla Phone | Vitaly Mclain, Chris Weedon & Drew Suarez

En 2011, Nokia canceló todos sus proyectos de teléfonos basados en Linux a favor de Windows Mobile, y varios de los ingenieros que trabajaban en proyectos basados en Maemo se fueron para fundar Jolla. Jolla, es un teléfono basado en componentes de código abierto y propietarios. Soporta un ambiente totalmente linux y una capa de compatibilidad Android. Además, innova a través de un componente denominado "la otra mitad", que permite cambiar desde el theme del teléfono hasta agregarle un teclado. Vitaly y Drew, nos invitan a compartir su recorrido investigando este teléfono desde su arquitectura hasta la infraestructura de las aplicaciones, e incluso la exploración de "la otra mitad". 

Sobre Vitaly McLain

I am a senior security consultant at Matasano, interested in breaking everything from web apps to mobile phones to anything else that accepts user input. 

Sobre Drew Suarez and Chris Weedon 

Drew: Drew is a security consultant for Matasano Security with a focus in mobile application testing and research. Before moving into security, Drew built and maintained large enterprise UNIX environments for a variety of companies. In addition, Drew is a member of the Cyanogenmod (open source side) team and has ported custom Android bootable recoveries to dozens of devices. Besides facilitating the installation of custom code such as Cyanogenmod, Drew likes working on unloved, problem devices with strange or nonstandard setups. Drew also writes and maintains the Cyanogenmod wiki which helps users install CM on their stock Android devices using a variety of different exploits and techniques. Chris: i do computer stuff sometimes. 

Aquí te presentan su conferencia:

Vitaly Mclain y Drew Suarez saludan a la ekoparty 10! from ekoparty on Vimeo.

Making Android's Bootable Recovery Work For You | Drew Suarez

Android bootable recovery mode is a self-contained alternative boot mode that loads a tiny Linux environment onto a mobile device. While most stock devices are shipped with recoveries that are fairly limited in nature, their use can be greatly extended with a little bit of effort. In this presentation, I will show you how to build your own custom recovery for your Android device. This can be used towards a number of interesting security related goals such as: penetration testing, forensics, data acquisition, bypassing security controls, modifying software, Android development and in some cases provides a direct exploitation route into a device. Using a variety of commonly available tools, attendees will learn how to deconstruct and inspect a number of different boot and recovery software implementations and rapidly begin compiling their own custom tools.

Sobre Drew Suarez

Drew is a security consultant for Matasano Security with a focus in mobile application testing and research. Before moving into security, Drew worked with large scale UNIX environments for a variety of companies. In addition, Drew is a member of the CyanogenMod (open source side) team and has ported custom Android bootable recoveries to dozens of devices. Besides facilitating the installation of custom code such as CyanogenMod, Drew likes working on unloved, problem devices with strange or nonstandard setups. Drew also writes and maintains the CyanogenMod wiki which helps users install CM on their stock Android devices using a variety of different exploits and techniques.

Aquí te presenta su conferencia:

Drew Suarez saluda a la ekoparty 10! from ekoparty on Vimeo.

Pointer Subterfuge In The Browser Address Space | Alex Rad

Hardening a browser is especially interesting because exploitation tends to be so interactive. Browser exploitation essentially has memory sporks -- read & write primitives giving exploits a chance to really have their way with the address space. So hardening browsers is quite difficult indeed because defenses like NX memory and ASLR can be trivially bypassed with the right vulnerability -- and many UaF flaws become just that. What's new for Ekoparty===>I'll be announcing a browser exploitation challenge and provide unprotected and protected browser builds for people to try to exploit. For people that have never done browser exploitation, they will learn how easy it can be. For people who have already done browser exploitation, they will learn how frustrating it could become!

Sobre Alex Rad

Alex Rad has been playing wargames and solving security problems for a little while now. In the security industry, he looks to push boundaries and raise the bar. He has spoken at WWDC, Ekoparty '12 on IC reverse engineering., Codegate about critical cryptographic flaws in popular mobile messengers, NSC about pagetable security.

Aquí te presenta su conferencia:

Alexandru Radocea saluda a la ekoparty 10! from ekoparty on Vimeo.

Cooking an APT in the paranoid way | Lorenzo Martinez

La charla versa sobre los diferentes pasos para crear un APT en modo paranoico. Es decir, las medidas de seguridad a tener en cuenta para que el APT sea creado y gestionado de forma anónima. Se ilustrará la charla con un APT creado a través de ingeniería social en LinkedIN para hacer picar a perfiles de trabajadores y cargos de diferentes Ministerios del Gobierno de España y del sector de la Administración Pública. Se obtuvieron las versiones de los User Agents, así como de los complementos Java, Flash, Quicktime, Shockwave, etc,... de los diferentes visitantes, de forma targeteada, pudiendo ser capaz de disponer del material necesario para la elaboración de ataques de mayor nivel de sofisticación, mediante otras herramientas que también se detallan en la charla. Asimismo se mostrarán técnicas posibles de compra de transformación, de dinero físico en billetes, de forma intraceable a Bitcoins, que nos permitirán contratar diversos servicios que nos otorgarán una mayor invisibilidad en Internet, como servicios de VPN privada a países sin leyes, TOR, etc,.. Igualmente a la hora de conseguir un terminal telefónico con el IMEI no asociado a un contrato telefónico, así como una tarjeta SIM (que en España es necesario registrarlo a un nombre, apellidos y DNI determinado... utilizando ingeniería social) Además se mostrará cómo hacer llamadas spoofeando el callerID, que nos permitan dar más veracidad a nuestra historia en el APT. Se mostrarán estadísticas, versiones vulnerables, técnicas como typosquatting, generación de páginas web con certificado digital SSL válido, clonando la original, etc,… Se mostrará lo que se hizo y lo que…. podría llegado a haberse hecho (esto ya en un entorno virtual y de laboratorio) con una única visita a un entorno vulnerable

Sobre Lorenzo Martinez

Ingeniero Superior en Informática e Ingeniero Técnico en Informática por la Universidad de Deusto. Reconocido ponente en Congresos de Seguridad Informática, tanto nacionales como internacionales, con vocación académica y co-fundador del blog de seguridad informática de habla hispana Security By Default (, y con numerosas certificaciones en soluciones punteras de seguridad. Asimismo, Lorenzo Martínez pertenece a ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica), además de disponer de reconocidas certificaciones como CISA y CISSP. Después de trabajar para múltiples integradores, en los que siempre observó cómo se cometen los mismos errores, generalmente por una falta de coordinación entre los departamentos técnico y comercial, plantea hoy en día una visión diferente en la seguridad aplicada en base a una relación de confianza, sinceridad y transparencia entre proveedor y cliente. Actualmente dirige su propia compañía, Securízame (, especializada en seguridad de sistemas, redes de comunicaciones y peritaje informático forense.

Aquí te presenta su  conferencia:

Lorenzo Martinez saluda a la ekoparty 10! from ekoparty on Vimeo.

miércoles, 22 de octubre de 2014

Ganadores del Pre-CTF de la ekoparty 10!

Este es un reporte de resultados del prectf de la ekoparty, cuyo premio consistía en una entrada VIP para la conferencia.  El juego se abrió el 4 de octubre al medio día (hora colombiana) y se cerró el 19 de octubre a medianoche (hora Argentina). Dado que no incluyó registro previo, la mejor estimación del número de jugadores es el número de direcciones IP únicas en los registros del servidor, y que sugiere un número cercano a los 1350 jugadores.

El prectf incluía 5 niveles:

En el primero, una cookie muy volátil incluía un nombre de archivo (igual de volátil) codificado. Simplemente debían descargarlo, lo importante era la velocidad. 

El segundo nivel consistía en un web-service vulnerable a inyección de comandos y un primitivo WAF que intentaba protegerlo. Además del WAF el web-service incluía su propio filtro, que procesaba las salidas de la consola, y aunque los jugadores no lo sabían, se emularon también actualizaciones del WAF, por lo que algunas soluciones dejaron de ser explotables después de algunos días (aunque, el nivel siguió siendo explotable de muchas formas distintas).

El tercer nivel era un poco inusual pues era una autenticación basada en arrays, sin embargo, el nivel incluía algunos leaks que resultaban de ayuda (por ejemplo, el archivo trys.txt).

El nivel cuatro era un XSS, y esperábamos que explotaran un vector específico para obtener una flag, sin embargo decidimos aceptar como flag cualquier forma de explotación XSS. 

Finalmente, en el nivel cinco se les guiaba hacia un archivo pass.db que incluía las claves de los usuarios cifradas con RC4. Como todas las claves se cifraron con el mismo keystream, el problema correspondía a un multi-time pad. Curiosamente, las claves incluían muchos espacios, lo que las hace aun más simples de recuperar, pero al parecer, esto complico las cosas para los jugadores que no incluyeron el espacio en su conjunto de caracteres.

En cuanto a las soluciones recibidas, solo recibimos tres reportes con el juego completo y a continuación los comentaremos en orden de llegada.

El primer reporte nos llego desde Ucrania. Lo preparó el team dcua (Defcon Ukraine) y nos lo remitió Mykola Ilin. Este es un reporte conciso pero suficientemente claro, e incluye scripts para los niveles 1 y 5, así como las URLs para explotar los otros 3 niveles.  Además de ser el primero en llegar, este fue el único reporte que encontró la flag "real" del nivel 4 (por lea? ;) y el único que desarrolló su propio script (desde cero) para la solución del nivel 5, y como bono, incluía también un reporte de como explotar el nivel 2 para robarse el código fuente de todos los niveles!  Algo que estaba contemplado desde el inicio del juego. Sospechamos que el tener todas las fuentes influyó en que nos enviaran su reporte en menos de 24 horas de abierto el pre-ctf!

La  segunda solución la envió Felipe Andrés Manzano, el 15 de octubre, desde Argentina. El reporte incluía scripts en Python para todos los niveles (dos para el nivel 5), y un README con las salidas de los scripts. Nos divertimos mucho siguiendo su solución del nivel 5, pues al principio se ve tan compleja que llegamos a bromear diciendo que hasta podría incluir un troyano :), pero al seguir el script es fácil ver que usa un probador de teoremas (z3) para definir los requisitos de la solución y luego le deja hacer todo el trabajo.  Aunque esto puede verse un poco sobre-dimensionado para este nivel, es una aproximación extrapolable a otros escenarios y eso la hace muy interesante.

Finalmente la tercera solución nos la envió Emiliano del Castillo, también el 15 de octubre, y también desde Argentina. Técnicamente, llegó unos minutos antes que la de Felipe, pero el reporte era tan corto que solicitamos algunas adiciones para entender sus soluciones a los niveles 2 y 5.  Para el nivel 5, Emiliano presenta dos herramientas (cribdrag y cribstatic) y como una de ellas lo llevo a la solución.

Además, podemos hacer una mención especial a Ezequiel Escobar, Juan Lucas Armendares y Emiliano Fausto, a los que solo les falto resolver el nivel 5. 

Tanto Felipe Andrés Manzano como Emiliano del Castillo recibirán entradas VIP. Desde luego, Mykola también se la merece, pero está muy lejos como para aprovecharla :P.

Muchas gracias a todos los participantes de este PreCTF, nuestra intención siempre es pasar un rato agradable y los niveles se diseñan de una forma que permita ir construyendo conocimiento aunque empieces desde cero. Para todos los interesados durante la EkoParty #10 tendremos un CTF de 18 niveles que se tendrán que solucionar en 2 días, así que los esperamos allí!

Fernando Quintero, Rubén Molina, Giovanni Cruz Forero y Fernando Giraldo Montoya para ekoparty.