The Great Cookie Thief

Miguel Angel Bravo (Mackaber Witckin)

ADVERTENCIA

ADVERTENCIA

LOS ATAQUES AQUÍ MOSTRADOS SON REALES Y SON MOSTRADOS

ÚNICAMENTE CON FINES EDUCATIVOS, EL AUTOR NO SE HACE RESPONSIBLE DEL MAL USO

QUE SE LE PUEDA DAR.

HAPPY HACKING! :)

¿Quién Soy?

¿Quién Soy?• Ingeniero en Tecnologías de la Información y Comunicaciones

• Co-founder de Winero

• Co-founder de Apprendiz

• Freelancer

• Co-founder de Comunidad Código

• Investigador independiente

Agenda• Cookies

• Ataques Físicos

• Chrome, Firefox, Safari…

• Ataques Locales

• Session Sidejacking

• Firesheep

• Ataques Remotos

• XSS

• XSSED

• BEEF

• The Great Cookie Thief

• Mitigation

Tipos de Ataques de Session Hijacking

Físicos Locales Remotos

Cookies

Cookie• Viene de “Magic Cookie”

• Guardan información de manera local para el usuario, como: una sesión, un carrito de compra o el tamaño de la pantalla

• Se compone de:

• Nombre

• Contenido

• Dominio

• Ruta

• Tipo de Conexión

• Fecha de Creación

• Fecha de Caducidad

Ejemplo

Ataques Físicos• Requieren tener acceso al dispositivo en el cual se encuentran las cookies almacenadas

• Muchos navegadores hoy en día usan bases de datos de cookies encriptadas

• Es posible que algunas cookies puedan ser obtenidas mediante javascript:document.cookie

• DEMO: Chrome

• DEMO: Firefox

• DEMO: Safari

• DEMO: Tor

Ataques Locales

10 min?

Session Sidejacking• Consiste escanear paquetes en una red local en búsqueda de los cookies de sesión

• Generalmente los cookies de sesión son enviados con cada petición al servidor

• Usualmente son acompañados por un ataque de ARP Spoofing

• Generalmente no es posible leer los contenidos del paquete si la conexión cuenta con SSL

Firesheep• Extensión de Firefox creada por Eric Butler en 2010, para ejemplificar el mal uso de SSL en muchos sitios populares

• Debido a su fácil funcionamiento cualquier persona podía usarlo sin tener muchos conocimientos técnicos

• Este evento derivo a que muchos sitios cambiaran a usar HTTPS en todas sus peticiones

• Herramientas Similares:

• Faceniff

• WhatsApp sniffer

• DroidSheep

• Hamster & Ferret

Ataques Remotos

15 min?

XSS: Cross Site Scripting

• Es un tipo de vulnerabilidad que se encuentra en las aplicaciones web, con la cual son capaces de inyectar código javascript en algún sitio

• La mayoría de los navegadores actuales cuentan con mecanismos para filtrar ataques de este tipo, pero NO son 100% infalibles

• Es un tipo de vulnerabilidad bastante popular, según un reporte

Tipos de XSS• Reflejado (No persistente)

• Ejemplo: http://jsbin.com/cericoti/1#alert("XSS")

• Persistente

• Ejemplo: algun comentario con <script>alert(1)</script> sin escapar

• Basado en DOM

• Ejemplo: Aplicaciones basadas en js

Self-XSS• Es un ataque de ingeniería social usado para obtener control sobre la cuenta de alguna víctima

• La víctima es engañada de ejecutar código sobre algun sitio con la promesa de obtener alguna funcionalidad extra: cambiar el color del sitio, hackear alguna cuenta, etc

• Caso más popular: Facebook

The Great Cookie Thief

20 min?

Omnomnify

• Es un sitio diseñado para promover la película de plaza sesamo: "The Cookie Thief "

• Cambia todas las imagenes del sitio por otras mostrando al monstruo comegalletas

POC• Servidor en rails usando la función "send_data", para enviar imágenes aleatorias

• Evita el filtro de XMLHttpRequest

• Evita el CSP (en caso de que bloqueé scripts)

• Menos "ruidoso" que window.location =""

Poder Ilimitado (O algo así…)

• Usando el ataque se ejecuta el script del lado del cliente y se puede rescatar del lado del servidor, sin embargo, es complicado hacer más acciones después de esto.

• Formas en que podría funcionar:

• Usando un applet

• Cargando otro script

• Cargando una imagen QR

Mitigación

Http-Only y Secure Cookie

• Http-Only: se refiere a cookies que únicamente pueden ser leídas por el navegador (no por javascript) esto para prevenir ataques de XSS

• Secure: se refiere a cookies que únicamente pueden viajar a través de una conexión segura

CSP: Content Security Policy

• Es un concepto de seguridad propuesto por la W3C

• Consiste en límitar el contenido que puede desplegar una página a fuentes confiables para evitar ataques de SSL

• Algunos navegadores modernos ya cuentan con compatibilidad para este estándar

Links de Interés

• http://www.wikihow.com/View-Cookies

• https://www.owasp.org/index.php/Category:OWASP_Cookies_Database

• https://github.com/codebutler/firesheep/tree/master/xpi/handlers

• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

• https://drive.google.com/file/d/0B_Ci-1YbMqshWUtlaGRyLVBVd28/preview?pli=1

• http://www.xssed.com/

• http://excess-xss.com/

• https://www.httpsnow.org/

¿Preguntas?

Referencias

• http://n8henrie.com/2014/05/decrypt-chrome-cookies-with-python/

• https://jimshaver.net/2015/01/10/4-years-later-what-did-we-learn-from-firesheep-and-sslstrip/

• https://developer.chrome.com/extensions/contentSecurityPolicy

• http://www.engadget.com/2015/02/13/cookie-monster-omnomnom-thief/

• https://www.facebook.com/help/246962205475854

• http://blog.codinghorror.com/protecting-your-cookies-httponly/

• http://archive.news.softpedia.com/news/Facebook-Users-Tricked-into-Loading-Malicious-Code-in-Their-Browsers-146604.shtml

• http://www.techtimes.com/articles/19496/20141105/top-5-facebook-scams-cyber-criminals-use-to-lure-you.htm

• http://www.bitdefender.com/media/materials/white-papers/en/Bitdefender_WhitePaper_Facebook_Scams_web.pdf

• Imágenes cortesía de Google

• Iconos cortesía de http://www.flaticon.com/

Contacto

Contacto

• Twitter: @Mackaber

• Facebook: /mackaber

• correo: mkbravo555@gmail.com

• web: securityisaj0ke.blogspot.com

• web 2: mackeber.me

Gracias!