ElevenPaths en Navaja Negra

sábado, 22 de octubre de 2016

Del 29 de septiembre al 1 de octubre tuvo lugar la conferencia de seguridad Navaja Negra. Una de las más importante en el panorama nacional de las conferencias de ciberseguridad y que reúne a 600 profesionales del ámbito. Además de charlas, también hubo talleres, aportando un enfoque más pragmático. Tanto Pablo González como yo tuvimos el placer de estar allí compartiendo conocimiento con un gran elenco de profesionales.

En este post me gustaría compartir nuestra experiencia en el taller que presentamos y que lleva por título “HSTS y HPKP: Los Batman y Robin de la seguridad web”.

El título de la charla viene motivado por la capa de protección adicional que aportan estos dos protocolos sobre TLS/SSL.  HSTS es un protocolo destinado a forzar la conexión por HTTPS, de modo que la conexión se realice de modo seguro incluso cuando se accede por HTTP. Por su parte, HPKP nace con el objetivo de detectar modificaciones en la cadena de certificación de modo que, por ejemplo, se puedan detectar modificaciones debidas a un ataque MiTM.  Ambos se pueden consultar en los RFC 7469 y 6797.

Para el funcionamiento de estos protocolos es necesario que estén implicados tanto el cliente como el servidor, y se implementan añadiendo una cabecera en la respuesta del servidor. En el caso de HSTS la cabecera se llama “Strict-Transport-Security” y en HPKP “Public-Key-Pins”.

En el taller se explicó el funcionamiento de ambos protocolos y de qué manera es posible implementarlos en el servidor. Además, se mostraron las diferentes directivas, como preload, max-age, includeSubdomains y pins (ésta última en el caso de HPKP).

También se describió cómo los navegadores más populares (Firefox y Chrome) almacenan los dominios visitados por el usuario y protegidos con estos protocolos. Pin Patrol es un plugin de Firefox desarrollado en ElevenPaths que resulta de gran utilidad para una visualización mucho más cómoda de este tipo de información.

Pero estos protocolos no están exentos de puntos débiles. Se mostró tres maneras de atacar estos protocolos. En particular, por medio de versiones antiguas de los navegadores, usando el framework MiTMf y aplicando el ataque a NTP con Delorean.

Posteriormente se propuso “el juego de los dominios”, que consistía en que los asistentes averiguaran cuál de los protocolos usaba cada uno de los protocolos propuestos.  Para finalizar se expusieron algunas conclusiones, así como medidas de seguridad que deben tenerse en cuanta a la hora de implementar correctamente estos protocolos.

Por nuestra parte fue un placer impartir el taller y desde aquí nos gustaría dar las gracias tanto a la organización como a los asistentes.  Esperamos que lo disfrutarais tanto como nosotros.

Aquí os dejamos la presentación para que les echéis un vistazo.

¡Esperamos veros pronto de nuevo!

Carmen Torrano




No hay comentarios:

Publicar un comentario en la entrada