Reunión de hackers: RootedCON 2015

rooted-320x200.jpg

El pasado fin de semana se celebró la RootedCON , uno de los eventos de seguridad más esperados del año, y que esta ocasión logró récord de asistencia. Se contabilizó un registro de aproximadamente 1.300 personas. Y como siempre, hubo cierta demora para el registro el primer día, dada la gran cantidad de gente que acudió; cosa que aunque fastidia un poco, se olvida enseguida por lo mucho que se disfruta.

La Rooted CON es una conferencia que reúne a todo tipo de gente del sector de la Seguridad Informática, desde profesionales, fuerzas del orden, fabricantes de soluciones, estudiantes, apasionados en definitiva de la seguridad; y por supuesto hackers.

Este año aproveché la visita a la Rooted para conocer personalmente a algunos compañeros del MOOC impartido recientemente por INCIBECurso avanzado de ciberseguridad en sistemas de control y automatización industrial”. Gracias a David Navarro, Luis Martín, y Joan Figueras por compartir butaca, comentarios, y opiniones sobre la conferencia.

Desafortunadamente no pude estar los tres días de la conferencia, pero gracias a Joan Figueras, que me pasó sus notas de la primera parte del jueves, he podido completar el artículo.

La jornada del jueves comenzó con la charla Infección en BIOS, UEFI y derivados a cargo de David Barroso, CTO de Eleven Paths. La ponencia intentó transmitir la importancia de proteger la BIOS ya que, siendo vulnerable a infecciones, las medidas de protección habituales como el antivirus, o la restauración de un equipo desde una salvaguarda no son efectivos en estos casos.

Como medidas de protección David apuntó el uso de SecureBoot en las actuales UEFI, y el realizar copias de seguridad de la propia BIOS regularmente para comprobar si ha sido alterada.

La siguiente exposición fue la del fiscal Jorge Bermúdez con el título LECr* elviervice Pack 2. En ella se habló de la reforma a Ley de Enjuiciamiento Criminal. El Fiscal considera que es una reforma positiva porque facilitará combatir la ciberdelinucencia. Sin embargo, esta reforma no ha sido muy bien acogida por la comunidad de profesionales de la seguridad porque éstos podrían ser considerados también como cibercriminales si emplean alguna técnica que la reforma estime delictiva. El problema es que la gran mayoría, tanto los que están legislando, como los jueces, no tienen conocimiento suficiente de seguridad informática

La tarde del jueves comenzó con la intervención de Andrzej Dereszowski y su ponencia Turla: Developmet & Operations . Andrejz realizó un completísimo análisis de la APT conocida como TURLA. Turla es una familia de troyanos y backdoors que ha ido evolucionando en diferentes fases. En 2006 se propagó como un malware denominado “Agent.BLZ” que se alojaba en una carpeta oculta del equipo infectado.

Yaiza Rubio y Féliz Brezo de Telefónica Digital con su exposición How I met your ewallet, tocaron el tema de las carteras digitales (ewallet). Hablaron de cómo llegar a obtener la clave privada de una cartera electrónica (ewallet) para realizar transacciones con Bitcoins. Comentaron qué tipos de ewallet existen, como funciona la generación de claves, y qué métodos se pueden utilizar para obtener la clave en cada uno de los casos. La autenticación de doble factor y el uso de sistemas de verificación multifirma fueron las medidas de seguridad recomendadas para mitigar riesgos.

La jornada finalizó con el Panel de Debate ¿Tiene que dar alguien el carnet de hacker?. La idea del panel era debatir sobre la idoneidad de la futura regulación del profesional de la seguridad. Desde la mesa de conferencias 8 expertos debatieron sobre la figura del “hacker”, la filosofía hacker, la relación hacker-empresa, si las nuevas leyes obligarán a disponer de un “carnet de hacker” (llámesele también “certificado de profesional de la seguridad informática”), cómo se miden las capacidades de un profesional de la seguridad, que aptitudes debe tener, etc.

Interesante fue la reflexión de Miguel Tarásco: “La ley ilegalizaría nuestro trabajo cargándose la innovación”, y la de Román Ramirez, que prometió rebelarse contra ella.

b2ap3_thumbnail_Rootedpublico.jpg

El viernes comenzó con la conferencia de Alfonso Muñoz de Eleven Paths acerca de estegomalware en aplicaciones móviles, denominada Finding stegomalware in an ocean of apps. Alfonso habló sobre su investigación de ofuscamiento de código malicioso en las aplicaciones del market de Google Play. Comentó que las imágenes de las apps, o sus carpetas de recursos pueden contener ataques; e insistió en que es un malware difícil de detectar porque los sistemas de protección actuales no analizan esos aspectos de las apps

Carmen Torrano fue la segunda ponente del viernes. En su exposición Investigando sobre los cortafuegos de aplicaciones web, hizo un resumen de la tesis que ha realizado en el CSIC (Centro Superior de Investigaciones Científicas) sobre motores de detección de intrusiones en aplicaciones web (WAF). La tesis analiza tres motores: el estocástico, el machine learning, y el de cadenas de markov; evaluando la capacidad y la velocidad de detección. Como resultado del estudio, el motor estocástico es el que más ataques detecta, y el machine learning es el que tiene el mejor rendimiento de velocidad. Además subrayó la dificultad de la obtención de tráfico de aplicación y la necesidad de tener un buen “conjunto de datos” etiquetados en la realización de las pruebas, para que los resultados de las mismas sean óptimos.

Abel Valero, especialista en ingeniería inversa, basó su charla WEBEX: Análisis de datos en bruto, en el procedimiento que ha estudiado para recuperar una conversación Webex, cuyos ficheros se guardan temporalmente mientras está abierto el navegador; pero luego se eliminan. Abel explicó cómo fue rastreando el disco duro de su equipo para localizar y recuperar los ficheros de la conferencia Webex. Una vez localizados y analizada la estructura de los ficheros creó una herramienta que reconstruye la conferencia a partir de ellos. Esta herramienta, por tanto, permitiría copiar los vídeos de las conferencias, cuando en principio sólo las puede hacer el creador.

La siguiente ponencia Deep inside the Java framework Apache Struts la protagonizó Julián Vilas, analista de seguridad en Sctyl. Julián hizo un análisis de algunas vulnerabilidades de Struts, tanto de la versión 1, como la versión 2. Principalmente las vulnerabilidades estudiadas permiten la ejecución remota de código arbitrario en versiones de Tomcat 7, y 8 , mediante el encadenamiento de llamadas corruptas a los métodos Struts getClass() y setClass(). Además comentó que había subido información sobre las vulnerabilidades a Metasploit (el framework de pentesting)

Los investigadores Ricardo J. Rodríguez y José Vila hablaron de cómo atacar dispositivos que usan la tecnología NFC en su charla On Relaying NFC Payment Transactions using Android devices. Primeramente Ricardo y José en un mano a mano hicieron una introducción sobre el estándar NFC ISO/IEC 14443 y el estándar de tarjetas de crédito EMV ISO/IEC 7816; para posteriormente explicar cómo mediante una pasarela creada con dos móviles se podría realizar un cargo a una tarjeta de crédito en un datáfono remoto.

El escenario sería el siguiente: La tarjeta de la víctima es leída sin su consentimiento por una aplicación móvil mediante conexión NFC, y aprovechando que la información viaja en claro, podría ser usada para pagar en una transacción bancaria realizada por un móvil remoto al que se le han enviado los datos de la tarjeta por otro medio de comunicación; como por ejemplo wifi. El ataque tiene una ejecución complicada por las características propias del protocolo NFC. El atacante para obtener los datos de la tarjeta tiene que estar a no más de 10 cm de la tarjeta, y el tiempo de reenvío de los datos robados no puede ser mayor de 5 s. Pero no sólo explicaron como aprovechar las vulnerabilidades de los protocolos NFC y EMV; sino que aportaron también contramedidas para mejorar la seguridad en las tarjetas NFC como aplicar un segundo factor de autenticación, añadir un switch de activación del NFC, e incorporar delimitadores de distancia de lectura al protocolo. Al finalizar Ricardo y Jesús apuntaron que el ataque se puede hacer con un dispositivo Android sin permisos de root.

Alejandro Ramos de SecurityByDefault basó su ponencia Rojos y Azules: dos equipos con dos sabores en la comparación entre la seguridad ofensiva y defensiva. Además hizo una encuesta online sobre distintos aspectos de las técnicas de seguridad, que luego comentó al final de la charla.

Alejandro se apoyó en las definiciones de Microsoft sobre los equipos rojo y azul. El equipo rojo es un grupo de ethical hackers dentro de la compañía que ejecuta ataques persistentes y dirigidos sobre la infraestructura de TI con el objeto de que el equipo que defiende encuentre y subsane las vulnerabilidades de los sistemas. Y por contra, el equipo azul es el grupo de expertos en seguridad responsable de solucionar los incidentes. A ambos equipos se les puede medir su efectividad usando varias métricas. Por una parte al equipo rojo se le puede medir mediante el tiempo medio de compromiso de un elemento, y mediante el tiempo empleado en escalar privilegios (pwnage). Y de otro lado, al equipo azul se le valora por el tiempo de detección , y por el tiempo de recuperación del incidente. A continuación Alejandro hizo una exposición de los 6 mejores ataques y las 6 mejores defensas a los elementos que a día de hoy siguen siendo los más sensibles dentro de la infraestructura de TI: Credenciales, Vulnerabilidades de las aplicaciones, Red, Privilegios de los usuarios, Infiltración de malware, Exfiltración de información.

La siguiente charla de la jornada del viernes El tiempo en MIS manos, estuvo a cargo de José Selvi de NCC Group. José presentó su estudio sobre la manipulación de la hora de los equipos para obligar a los usuarios a que su navegación web se transmita sin cifrar. Es decir, aunque el sitio web accedido disponga de acceso https, se le obliga a navegar con el protocolo http.

El trabajo de José parte de que la comunicación se realiza con protocolo HSTS (Http Strict Transport Security); el cual puede ser manipulado alterando el parámetro max-age del servidor web, o mediante un ataque Man In The Middle combinado con una modificación del reloj del sistema que le haga viajar al futuro. En definitiva puso sobre la mesa lo vulnerable que puede llegar a ser un equipo informático si se le modifica la hora. Además de influir en el acceso a páginas web, puede también afectar a la ejecución de las actualizaciones de software programadas, y en definitiva a cualquier tarea que esté programada, o que dependa de la fecha/hora.

La última exposición del viernes fue Ingeniería inversa de circuitos integrados del CEO de Qustodio Eduardo Cruz. Durante su charla, Eduardo explicó cómo de forma amateur se puso a investigar sobre ingeniería inversa de microprocesadores, y detalló los pasos de cómo a partir de un chip, y mediante emulación del procesador consiguió replicar el hardware en un programa informático, e implementarlo con un arduino. 

b2ap3_thumbnail_Rooted2015-200.jpg

A la jornada del sábado no pude asistir, pero os hago un resumen de las noticias que he conseguido:

Miguel Tarascó de Tarlogic: Bend the developers to your will

Su ponencia estuvo dirigida a la comunidad de desarrolladores para prevenir las vulnerabilidades del código libre, y de entornos de desarrollo integrados (IDE) como Android Studio o Visual Estudio. Aconsejó revisar y compilar los fuentes sobre todo para evitar ejecución de líneas embebidas de código.

Pablo Casais de Excelian : (in)seguridad en el gran casino

Su trabajo consistió en el estudio de la seguridad de una sistema de trading de banca que mueve millones de euros, y en el que encontró algunas vulnerabilidades como el almacenar contraseñas en el código fuente de la aplicación. Además encontró fallos de seguridad que permitían enviar contratos sin firmar o modificar el destinatario de un transferencia comercial.

David Pérez y José Picó de Layak: Ampliando el arsenal de ataque Wi-Fi

La charla describió un test de penetración a una red wifi, en el que el sistema de monitorización wifi estaba colocado en la maleta de una moto.

Hugo Teso de nSense A/S: Y por último, pero no por ello menos importante…

Su exposición se basó cómo en otras ocasiones en el tema de la aviación; pero en esta ocasión explicó cómo programarse su propio simulador de vuelo, cómo auditarlo, y cómo atacarlo. Además anunció que había liberado su trabajo de 7 años a la comunidad.

Eduardo Arriols de SIA: Physical Penetration Testing

Eduardo explicó cómo se pueden saltar las barreras de seguridad física de un edificio. Habló sobre puertas con alarma, sensores láser o de infrarrojos, sensores de movimiento, o los de temperatura, las cámaras de vigilancia, etc …  Eduardo subrayó la importancia de tener un buen estudio previo, y que mediante técnicas de ingeniería social, y por poco dinero se puede acceder a las instalaciones del objetivo.

Jose María Alonso de Eleven Paths: Can I play with madness

Chema habló sobre Path5, una herramienta de ciberinteligencia reciente de Eleven paths que se utiliza para investigaciones sobre malware en el market de Google. La herramienta se basa en el big data y en un motor de correlación.

Raúl Siles de Dinosec: Android: Back to the Future (Too? or Two?)

La actuación de Raúl de este año ha tenido un tema similar a la del año pasado. Mientras en 2014 mostraba cómo forzar al sistema operativo iOS a ejecutar una determinada actualización, este año le ha tocado a Android. Raúl consiguió forzar el regreso de un dispositivo Android a una versión 4.4.3

Adrián Villa de Tarlogic: Bypassing DRM Protections at Content Delivery Networks

Adrián presentó vulnerabilidades encontradas en las principales plataformas de video streaming, y mostró cómo evadir la autenticación para acceder a contenidos protegidos.

Hasta el próximo año !!!


Compartir en :


Noticias relacionadas




Comentarios