Hackeando en la #Rooted2014 (I)

En el día de ayer se celebró la primera jornada de la RootedCon 2014, el evento de seguridad informática más grande de España. El año pasado por exigencias del guión solo pude estar en el último día, situación que espero no tenga que volver a presentarse.

PabloYglesias-RootedCon2014

Tampoco quiero agobiar con un párrafo sobre lo feliz que me hace volver a reunirme con grandes amigos. Con la mayoría ya he hablado, nos hemos ido a comer y/o hemos vuelto juntos en coche. Sois muchos, y me alegra volver a coincidir con vosotros, aunque sea apenas en par de acontecimientos anuales. Eso descontando el cada vez mayor número de followers y following que nos leemos a diario y que en estos lugares podemos ponernos cara.

Para cuando estéis leyendo esto, ya llevaré un buen tiempecito dentro del congreso, que este año se celebra en el Hotel Auditorium. Seguiré igualmente contando mis impresiones por Twitter, pero aprovecho para dejar este artículo, publicado instantes antes en la cuenta del CIGTR (EN), y ligeramente retocado para que se adapte a la estructura de entradas que suelo publicar por aquí.

Comenzó la mañana con la presentación y evolución de Rooted, desde esos inicios como feria de seguridad, a lo que se ha convertido en nuestros días. Cinco años muy productivos, con la creación de varios proyectos anexos como ciclos de talleres y laboratorios, y con vistas a formar una nueva fecha fuera de territorio madrileño.

La primera ponencia corría a cargo de Francisco Jesús Gómez (@ffranz) y Carlos Juán Díaz (@ttlexpired), que llegaban para presentarnos Sinfonier (EN), un software OSINT (Open Source Inteligence). Una herramienta de obtención de conocimiento a partir de datos disponibles en la red. Una evolución de Yahoo Pipes (que tan abandonado han dejado), donde cada módulo puede ser desarrollado gráficamente por el cliente, y cuyos límites únicamente los fija la creatividad de quien está a los mandos.

Alfonso Muñoz (@mindcrypt) subió al escenario para hablarnos de JANO, un proyecto de investigación de este Doctor sobre las aplicaciones reales de la criptografía con lenguaje natural (aún no publicado). Una explosión de diapositivas sobre los distintos métodos a los que este gran amigo tuvo que enfrentarse para conseguir ofuscar información dentro de textos aparentemente escritos por un humano. Una lucha constante entre máquinas (el propio generador de Alfonso contra los servicios de spam), con un estudio pormenorizado del peso de las palabras, los sinónimos, la tipología y su capacidad de ocultar información.

¿Tener una red wifi con un pay-wall es un método inexpugnable? Como ya habréis podido deducir, está claro que no, y para muestra el trabajo de Pau Oliva (@pof), una aplicación para Android (EN) (terminales rooteados) que permite saltarse los pay-walls (páginas intermedias de pago para acceso a WIFI presentes en cada vez más lugares públicos) de la forma más sencilla posible. Recorre una a una todas las IPs posibles que pudieran estar conectadas, y cuando encuentra a otro usuario, spoofea su dirección MAC y su IP para hacerse pasar por él. Como contramedida, bastaría con que estos servicios restringiesen las peticiones de IPs del resto de usuarios para que dejase de funcionar. Algo que a día de hoy no hace casi ninguno.

Antonio Ramos nos habla del análisis de riesgos. Del como los sesgos perceptivos nos afectan a la hora de hacer un plan de riesgo fiable. Del principal problema que las metodologías de gestión de proyectos se encuentran a la hora de ser aplicadas en desarrollos informáticos (¿os suena de algo?). Las metodologías están desarrolladas para sistemas complicados, no complejos. Un sistema complejo requiere de la prueba-error, no de aplicar a rajatabla un estándar. En seguridad informática, no hay estándares válidos. Es por ello que Ramos apuesta por las metodologías Ágiles: Planes a corto plazo, incluir al cliente en la ecuación y estar continuamente probando.

¿Cómo nace y se desarrolla un APT (Advanced Persisten Threat)? Para Raj Shah tiene 6 ciclos claramente diferenciados. El reconocer el terreno, obteniendo el mayor conocimiento posible. Armarse con aquellas debilidades que encontremos. Infiltrarnos dentro del sistema. Explotar las vulnerabilidades. Controlar el sistema, escalando en permisos, y por último, filtrar la información conseguida. El gran problema al que se enfrentan los servicios críticos y las grandes organizaciones, y realmente difícil de controlar.

Llegaba el turno de los chicos de FluProject, Juan Antonio Calles (@jantonioCalles) y Pablo González (@pablogonzalezpe), que hacían un recorrido por la historia estadística del malware y los ciberataques, para detenerse en una de las estrategias más efectivas para controlar a la ciudadanía: la creación de botnets low-cost, utilizando miles de terminales móviles ¿Qué puede hacer una sencilla aplicación de linterna (por cierto, curioso que hayan usado una linterna también (ES))? Por supuesto, alumbrarnos cuando no haya suficiente luz, pero también enviar al servidor información de los sensores de nuestro terminal (geoposición, IP, hora,…), sacar fotos, grabar conversaciones, rastrear conexiones cercanas, saltar a redes wifis y snifar quién está conectado a ellas, o incluso realizar ataques DDoS de llamadas (dirigir una de estas botnets para dejar fuera de servicio el terminal de nuestro objetivo).

Continuaba ya bien entrada la tarde Alberto Cita con un profundo estudio de la seguridad de Skype en nuestros días. Un servicio de comunicación usado masivamente, basado a priori en los beneficios del P2P y el cifrado de datos propietario, y que desde la compra por parte de Microsoft ha ido paulatinamente dejando de lado la seguridad. Las versiones actuales envían parte de la información mediante SSL, lo que las hace sensibles a ataques MITM de guión. Basta con ingresar en el sistema operativo de la víctima una CA (aunque esté firmada por nosotros, ya que aparentemente no hace ningún tipo de validación) para poder leer en texto plano las conversaciones, obtener datos sensibles de los implicados (ID de usuario, contraseña hasheada,…) e incluso la recuperación de ficheros enviados.

Muy interesante y divertida la charla de Jorge Bermúdez, fiscal especializado en delitos telemáticos, que subió a la palestra con el respeto que un cargo como éste ostenta, y pronto se ganó el favor del público. Bermúdez nos habló de cuál es su trabajo. De lo difícil que resulta aplicar una ley de hace décadas a un entorno mucho más dinámico. De la necesidad de hackear las normas, para que los malos paguen por sus fechorías, y los buenos, salgan impunes. Y del valor de entablar lazos entre los investigadores de seguridad informática y la fiscalía, ya que los unos necesitan a los otros.

Terminó la jornada del día con el panel de la Rooted. Una mesa redonda entre órganos militares y estatales, empresas privadas e investigadores sobre el presente y futuro de las ciberarmas.

 

Os dejo así mismo el enlace al resto de artículos de #Rooted2014: