• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Luis Delgado - XMPP, algo más que chat [RootedCON 2012]
 

Luis Delgado - XMPP, algo más que chat [RootedCON 2012]

on

  • 9,931 views

La ponencia consistirá en mostrar la importancia de la seguridad en servicios que utilicen XMPP (en muchos casos olvidada o en un segundo plano), mostrando para ello una breve introducción al ...

La ponencia consistirá en mostrar la importancia de la seguridad en servicios que utilicen XMPP (en muchos casos olvidada o en un segundo plano), mostrando para ello una breve introducción al protocolo y dos casos reales (Google y Tuenti).

Statistics

Views

Total Views
9,931
Views on SlideShare
3,810
Embed Views
6,121

Actions

Likes
0
Downloads
0
Comments
0

14 Embeds 6,121

http://www.securitybydefault.com 5528
http://buhosec.com 498
http://underterminal.nixiweb.com 49
http://feeds.feedburner.com 14
http://127.0.0.1 13
http://www.fuertes.org.es 4
http://translate.googleusercontent.com 4
http://q3rv0.com.ar 2
http://webcache.googleusercontent.com 2
http://www.blogger.com 2
http://www.pinterest.com 2
http://www.bonkm.com 1
http://pinterest.com 1
http://131.253.14.66 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Luis Delgado - XMPP, algo más que chat [RootedCON 2012] Luis Delgado - XMPP, algo más que chat [RootedCON 2012] Presentation Transcript

    • XMPP, algo más que chat Luis Delgado @ldelgadoj
    • Índice1. Introducción2. Estructura3. Seguridad4. Tuenti5. Google6. Conclusiones 2
    • Introducción• 1998: Jeremie Miller -> Jabber• 2000: Envío de draft al GD IETF -> IMPP -> Expira sin contribuciones• 2002: Segundo intento -> IETF -> XMPP• 2004: Se establecen 4 RFC’s (core, …) 3
    • Estructura• Conexiones TCP de larga duración -> BOSH (HTTP-Bind) -> Connection Manager• Intercambio asíncrono de información (id)• XML Stream• XML Stanza 4
    • XML Stanza - Message• Uso: enviar mensajes de una entidad a otra• Tipos: normal, chat, groupchat, headline, error <message to=x2@domain.com type=chat xml:lang=es> <subject>SUBJECT</subject> <body>BODY</body> </message> 5
    • XML Stanza - Presence• Forma básica de broadcast entre una entidad y todos sus subscriptores• Se puede enviar a un único usuario con el atributo TO <presence to=x2@domain.com type=suscribe/> <presence to=x1@domain.com type=suscribed/> 6
    • XML Stanza - IQ• Uso: pedir información a otra entidad/servidor• Tipos: get, set, result, error• Extensiones en XMPP <iq type=’get’> <iq from=’x1@domain.com’ <query xmlns=’jabber:iq:roster’/> to ‘x1@domain.com’ </iq> type=’set’> <query xmlns=’jabber:iq:roster’> <item jid=’x2@domain.com’/> </query> </iq> 7
    • Seguridad• Pilar importante del protocolo (&Privacidad)• Pocas vulnerabilidades conocidas (1999+)• ¿A qué nos enfrentamos? -> rogue servers, address spoofing, DoS, spam, phising, leaks, logging, code issues…• Veamoslo más en detalle 8
    • Seguridad (II)• Comunicación cifrada (TLS - SSL) client<->server & server<->server end-to-end encryption (PGP)• Autenticación e identidad parámetro ‘from’ verificación del dominio (dialback) set de caracteres unicode (a<->a) 9
    • Seguridad (III)• Spam sistema de subscripción (presences) $$ -> no es rentable limite envíos/tiempo (cuentas+ -> captcha)• Al final… -> Implementación del protocolo (auth, tls) -> Configuración de los servidores (presence) 10
    • 11
    • Tuenti - Chat• Cadena de conexión -> Mismo SID que Web/API -> ¿httponly? -> Permite elegir el recurso• Configuración aplicación android -> Libería SMACK -> accept-all 12
    • Tuenti - TuTráfico en la red social gratuito-> Tunelización a través de XMPP 14
    • Tuenti - Tu (II)¿Es realmente interesante? -> Algunas cifras 15
    • Tuenti – Tu (III)• Otras opciones ya conocidas: -> FaceCat (Facebook NetCat) -> Google Spreadsheet (IMPORTDATA) -> Facebook (Debug->Echo->URL) -> (…) 16
    • Google Talk• Tres vectores de ataque -> Dispositivos android -> Formato móvil -> Aplicación de escritorio• ¿A qué nos enfrentamos? 17
    • Google Talk (II)• Cadena de conexión vulnerable -> ¿One-Time Token? -> Timeout -> PLAIN mechanism -> TLS required -> ¿really?• Extensiones XMPP -> Contactos -> Feed emails• Añadir un contacto -> ¿añade a contactos? 18
    • Google Talk (II)• Cadena de conexión vulnerable -> ¿One-Time Token? -> Timeout -> PLAIN mechanism -> TLS required -> ¿really?• Extensiones XMPP -> Contactos -> Feed emails• Añadir un contacto -> ¿añade a contactos? 20
    • Google Talk (II)• Cadena de conexión vulnerable -> ¿One-Time Token? -> Timeout -> PLAIN mechanism -> TLS required -> ¿really?• Extensiones XMPP -> Contactos -> Feed emails• Añadir un contacto -> ¿añade a contactos? 22
    • Google Talk (II)• Cadena de conexión vulnerable -> ¿One-Time Token? -> Timeout -> PLAIN mechanism -> TLS required -> ¿really?• Extensiones XMPP -> Contactos -> Feed emails• Añadir un contacto -> ¿añade a contactos? 24
    • Google Talk (III)• Aplicación GtalkGateway -> Demo• Actualización… ¿vulnerable?• Muchos más servicios 25
    • 27
    • ¿Preguntas? 28