Tras comprobar que el funcionamiento de la solución de 2FWB con aplicación móvil y servicio en cloud para las verificaciones de seguridad funcionaba perfectamente, se nos ocurrió darle una vuelta de tuerca. Al final, habíamos optado por utilizar una conexión BlueTooth en lugar de una conexión BlueTooth Low Energy, y eso nos abría muchas puertas. Figura 29: 2FWB: Second Factor Web Browsing [Parte 4 de 4] “2FWB Modo Centinela” En un principio, recordad que la idea de usar 2FWB era poder tener una solución móvil que yo, como responsable adulto de Mi Hacker y Mi Survivor, pudiera utilizar en cualquier conexión de red para comprobar que no se estaba produciendo ningún ataque a la red IPv4 o IPv6 por la que se conectan esos equipos desde su ubicación hasta el servidor web. Pero el caso de uso evolucionó. 2FWB Personal y 2FWB Empresarial Tras comenzar como una solución de protección para menores, también nos pareció una solución perfecta para navegación personal. Imagina que estás de viaje en una ciudad que no es la tuya. Tienes que trabajar y consumir muchos datos desde tu habitación de hotel, así que pides la red WiFi. Eres un tipo preocupado por la seguridad, así que tienes fortificado tu end-point (el equipo desde el que te conectas) y además, tienes las soluciones de fortificación de la red WiFi que puedes ya que la red WiFi no es tuya. De las opciones de fortificación de las redes WiFi hablamos el año pasado en la RootedCON 2018, con la charla de Wild Wild WiFi: Dancing with wolves, donde explicamos los trabajos de investigación que hemos hecho durante estos años para fortificar las conexiones a redes WiFi con soluciones como Mummy, SSID Pinning, PsicoWiFi o WEP/WPA/WPA2-TOTP/Biometría. Aún así, sacar tu teléfono móvil, parearlo con el Agente 2FWB y navegar con la Extensión 2FWB permitiría detectar ataques de Man in The Middle en la red, e incluso más allá. Es decir, si hiciéramos una conexión VPN entre nuestro equipo y un servidor VPN y el ataque de red IPv4 & IPv6 estuviera más allá de nuestro servidor VPN, o hubiera un Proxy manipulando nuestras peticiones entre el servidor web al que deseamos conectarnos y nosotros mismos, también se detectaría. Figura 30: 2FWB Mobile App para uso personal Esto es algo importante a resaltar de la solución de 2FWB y es que no está diseñada para detectar los ataques en la red de conexión a Internet, sino a los ataques de red que se produzcan en cualquier tramo entre el cliente y el servidor web que no esté compartido con el Second Channel. Dicho esto, y pensando que esta solución utilizaba BlueTooth, se nos ocurrió que las redes por defecto podrían tener “centinelas” de seguridad fijos que ayudaran a dar esta protección. Imagina que llegas a tu despacho, a un centro de co-working o a tu casa, y tienes un dispositivo inteligente que no se conecta a tu red WiFi ni a tu red Ethernet, sino que tiene una SIM que lo conecta a Internet por un Second Channel. Este dispositivo, permite conexiones BlueTooth para vigilar la navegación. Figura 31: Esquema de 2FWB Modo Centinela Para esta Prueba de Concepto utilizamos un esquema como el que se puede ver, usando una Raspberry Pi y cambiando la SIM por un WiFi Tethering para tener la conexión del Second Channel usando la red móvil del smartphone con el que pareamos la Raspberry Pi. Así, las personas que trabajan en ese espacio físico, por seguridad, deciden utilizar el servicio Centinela 2FWB de la ubicación física y se conectan a él con su Agente 2FWB a través de la Extensión 2FWB, lo que les permite tener alertas de seguridad y detección de ataques de red en todo el tramo de conexión que haya entre su equipo personal y servidor al que se están conectando. De nuevo, más allá incluso de su servidor VPN. Prevención y Detección de ataques de red (más allá de la VPN) A lo largo de muchos años hemos estado investigando ataques de redes IPv4 & IPv6. De ahí nacieron las herramientas como Evil FOCA o los ataques a través de servidores Proxy que explicamos en las charlas de Owning Bad Guys {and Mafia} using Javascript Botnets que utilizamos para explicar cómo infectar un terminal iPhone con un Rogue AP en el libro de Hacking iOS: iPhone & iPad. Figura 32: Ataques en redes IPv6 con Evil FOCA en DefCon Han sido, y siguen siendo, muchos años hablando de las debilidades de las redes, y contando como sistemáticamente aparecen ataques a los servidores DNS de los routers (en lo que va de mes creo que ha habido varias alertas de seguridad de este tipo), así que garantizar que una conexión entre tu equipo y el servidor web no se vaya a ver afectada por algún tipo de manipulación es complicado. Figura 33: Ataque de DNS Hijacking esta semana En el trabajo de Wild Wild WiFi nos centramos en la Prevención de los ataques, pero este trabajo de Second Factor Web Browsing se centra en la Detección de los ataques. Una fase distinta dentro los procesos de fortificación y seguridad de cualquier sistema informático o servicio en la empresa. Como parte de nuestro trabajo de innovación en materia de ciberseguridad dentro de ElevenPaths, tras realizar la Prueba de Concepto, observamos que esta solución de 2FWB, tanto en Modo App Móvil, como en Modo Centinela, tenía una aproximación única, así que hicimos la presentación de las patentes pertinentes de la solución. Figura 34: Patentes de 2FWB Aún estamos en una fase embrionaria de convertir esta solución en un producto o servicio estable, pero es lo que tiene la investigación, cada día se avanza un poco más aprovechando todo el trabajo que se ha hecho antes hasta que sin darte cuenta las características se van introduciendo ellas solas en todo lo que va saliendo. . Figura 35: Second Factor Web Browsing (2FWB) Os dejo las diapositivas que utilicé en la charla de RootedCON 2019 subidas a SlideShare, y no quiero terminar este artículo sin explicar que estos trabajos son el esfuerzo conjunto de un grupo de personas. No basta con tener la idea, hay que construirla y ahí contar con mis compañeros del equipo del Laboratorio de Innovación de ElevenPaths y del equipo de Ideas Locas es genial. Saludos Malignos! ***************************************************************************************** - 2FWB: Second Factor Web Browsing [Parte 1 de 4] “Second Channels” - 2FWB: Second Factor Web Browsing [Parte 2 de 4] “Network Attacks” - 2FWB: Second Factor Web Browsing [Parte 3 de 4] “2FWB Mobile App” - 2FWB: Second Factor Web Browsing [Parte 4 de 4] “Modo Centinela” ***************************************************************************************** Sigue Un informático en el lado del mal - Google+ RSS 0xWord
from Tumblr http://eduardoromerorest.tumblr.com/post/184028899716/2fwb-second-factor-web-browsing-parte-4-de-4
via IFTTT
No comments:
Post a Comment