En este año tan atípico, vivir Ekoparty de otra manera fue sin lugar a duda una experiencia interesante. A pesar de los obstáculos impuestos por la inusual situación provocada por la pandemia, la cantidad de contenidos se multiplicó drásticamente: nueve espacios o “hacktivities” sobre blue team, red team, mobile hacking, bug bounties, radio experimentación, lockpicking, ingeniería social, legales, y DevSecOps.
Tuve el agrado de poder organizar la villa sobre seguridad mobile en Ekoparty, el Mobile Hacking Space, junto a mis compañeros Juan Urbano Stordeur, Jorge Mac Tier, César Rodríguez y Juan Martínez Blanco. Fue un arduo trabajo de varios meses que terminó con una agenda que incluyó una decena de charlas sobre variados temas que hacen a la seguridad en equipos y aplicaciones móviles, entre ellos la explicación de campañas de malware, inyección de código en apps, laboratorios de análisis para iOS y Android, desarrollo seguro, pentesting, explotación de apps, ¡y mucho más!
Además, llevamos a cabo un CTF mobile que mantuvo a más de uno despierto toda la noche resolviendo desafíos. Al final de la competencia, el equipo SYPER se quedó con el primer puesto, llevándose una entrada para Ekoparty 2021, un voucher VIP de tres meses cortesía de TryHackMe, y un increíble iPhone SE auspiciado por Just Mobile Security de Juan Urbano Stordeur.
Talleres introductorios para principiantes
Tanto profesionales de la seguridad móvil como principiantes buscando comenzar a profundizar en el tema, todos encontraron su espacio en el Mobile Hacking Space. Para quienes estaban dando sus primeros pasos en el análisis de apps de Android, César Calderón presentó su charla “Cómo armar tu laboratorio para análisis de APK” en la que habló sobre las herramientas y habilidades que son necesarias para realizar análisis estático y dinámico, y cuáles son algunas protecciones que pueden complicar el análisis. César contribuye a TryHackMe, por lo que se puede acceder gratuitamente a muchas de las herramientas que se vieron durante la ponencia en esta plataforma.
Para quienes querían iniciarse en el análisis de IPA también hubo contenidos. En su charla titulada “iOS App Analysis, ¿Por dónde empiezo?” Juan Urbano Stordeur explicó conceptos básicos del sistema operativo, formas de lograr jailbreaking, cómo obtener los ejecutables e instalarlos en el sistema, análisis de tráfico de red y de código, además de herramientas útiles para tener en cuenta. Versiones anteriores de esta charla pueden verse en este enlace, como parte del proyecto University Talks de Ekoparty.
Pentesting de apps móviles
Otros de los temas presentes en la agenda fue el pentesting de aplicaciones de Android. Reconocidos ponentes locales e internacionales disertaron en nuestro espacio y compartieron sus conocimientos en la materia. Buscar fallos en apps móviles no siempre es sencillo y puede presentar muchas dificultades. Por suerte, tuvimos el agrado de contar con Gustavo "Puky" Sorondo y su ponencia “Mobile Hacking Tips”, en la que compartió consejos y trucos a la hora de testear una app móvil. Entre ellos, explicó cómo configurar un proxy de forma sencilla, cómo instalar certificados rápidamente en últimas versiones de Android, por qué debemos siempre apuntar a apps de iOS en programas de bug bountie, y cuáles son algunas herramientas útiles para el análisis de apps híbridas. Las diapositivas de esta ponencia están disponibles aquí.
Continuando con la temática de apps vulnerables, Fernando Conislla Murguia nos mostró que las soluciones de seguridad para móviles que intentan proteger los equipos de amenazas tampoco están exentas de tener vulnerabilidades. En su charla “Hackeando Aplicaciones móviles de ¿Seguridad?”, Fernando mostró tres ejemplos de esto aplicando ingeniería inversa e instrumentación dinámica.
Una charla imperdible fue la de Kyle Benac sobre explotación de vulnerabilidades en aplicaciones Android. En su presentación, nos brindó una breve introducción sobre las herramientas útiles, el ecosistema de Android y la metodología para la identificación de vulnerabilidades. El foco principal de la charla estuvo en la explotación de componentes exportados y deep links, acompañados de ejemplos y pruebas de concepto que demostraban los conceptos y vectores de ataque mencionados. ¡Lo mejor es que ya puedes ver esta charla online en el canal de YouTube de Kyle!
Desarrollo seguro
En el Mobile Hacking Space, Martin Marsicano, quien es representante del capítulo OWASP Uruguay, nos presentó su charla titulada “OWASP Mobile Project and how to use it for white hat hacking” en la que explicó cuándo y cómo utilizar MASVS (Mobile Application Security Verification Standard) y MSTG (Mobile Security Testing Guide), dos proyectos de OWASP destinados a identificar el nivel de seguridad de una app.
El Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) de OWASP es, como su nombre lo indica, un estándar para la seguridad de aplicaciones móviles. Puede ser utilizado por arquitectos y desarrolladores de software que buscan desarrollar aplicaciones móviles seguras, pero también puede ser utilizado por los expertos en seguridad para comprobar el nivel de seguridad o para garantizar la integridad y la coherencia de los resultados de las pruebas, dependiendo de si participaron en el proceso de desarrollo.
Mientras que la Guía de Pruebas de Seguridad Móvil (MSTG) de OWASP es un manual completo de pruebas de seguridad en aplicaciones móviles e ingeniería inversa tanto para iOS como para Android. Este proyecto proporciona a los expertos en seguridad móvil casos de prueba detallados para el análisis tanto estático como dinámico, algunas herramientas recomendadas y podría ayudarnos a realizar ingeniería inversa y a manipular una aplicación móvil. Sobre esto, Martín nos contó cómo utilizar ambos proyectos para mejorar las pruebas de seguridad para aplicaciones móviles. ¡Ya puedes encontrar el contenido de la ponencia en este enlace!
Sobre malware para Android
En el escenario virtual tampoco faltaron las charlas sobre malware. Para comenzar, Dan Borgogno e Ileana Barrionuevo nos contaron cómo funciona el malware móvil, cómo podría un atacante modificar un APK inyectando código en él y cuáles podrían ser algunas técnicas de evasión de detección utilizadas por actores maliciosos.
Por su parte, Bastian Muhlhauser presentó su charla “Becoming Malicious: Android Chapter”, en la que describió los componentes de una app para Android y cómo explotarlos individualmente. Luego, demostró cómo abusar de estos componentes para construir un agente malicioso.
Finalmente, contamos con la presencia de Lukáš Štefanko, Malware Researcher de ESET, quien se especializa en seguridad móvil. Durante su presentación titulada “Android COVID-19 threats”, Lukáš mostró los detalles de algunas campañas maliciosas que se distribuyeron en la primera mitad de 2020 y que intentaron sacar provecho del COVID-19 para engañar a sus potenciales víctimas. Entre estas campañas se incluyeron spyware, ransomware, un gusano SMS, troyanos bancarios, adware, aplicaciones de seguimiento maliciosas, aplicaciones gubernamentales falsas, etc. Estas amenazas intentaron comprometer a usuarios vulnerables en esta situación de pandemia haciéndose pasar por rastreadores de coronavirus, aplicaciones gubernamentales, identificadores de síntomas de coronavirus, reclamaciones de compensación por pérdidas financieras, aplicaciones falsas de Zoom y otras.
¡Únete al Mobile Hacking Space!; una comunidad tanto para principiantes como especialistas en la que ¡todos tienen su lugar!