El fin de semana del 9 y 10 de mayo se llevó a cabo con gran éxito por primera vez una Ekoparty virtual. Fue la Ekoparty University Talks (#UniTalks) y se organizó con la UTN de Córdoba y Hacker Space también de Córdoba.
Para los que no hayan participado en vivo, todavía la pueden encontrar en twitch.
Estuvo buena. Primero por la calidad de las charlas. Y segundo porque funcionó como un ensayo general para la próxima Ekoparty 2020 que va tener lugar los próximos 24 al 26 de Septiembre, de forma integramente virtual.
Va mi crítica al evento.
Presentación
Inicialmente se hizo la presentación UTN Córdoba y Hacker Space, contando qué hace la UTN Córdoba en temas de ciberseguridad y cómo nació Hackerspace, con anécdotas de Las Vegas y todo. Si bien algunos comentarios me parecieron algo démodé, como el término ‘seguridad informática’ que ya no usa nadie, o el concepto de que la seguridad es algo que todavía se agrega al negocio de mala gana; estuvo bien para los que escucharon y todavía están en ese estado. Que por suerte son cada vez menos.
Y luego vinieron las charlas:
Hacking Humanos
de Emiliano Piscitelli
Si bien fue parecida a la charla de la eko 2019, se agregaron algunas herramientas nuevas muy interesantes como 8D Sound y avatarify. El tema de Ingeniería Social es apasionante y Emiliano sabe mucho y sabe transmitir sus conocimientos.
A day in the life of a pentester: I’m up to mischief
de Ileana Barrionuevo
Muy buena charla, interesante por estar dada por alguien que parece ser una buena hacker pero con un estilo muy académico y metodológico, me gustó mucho. Además de contar muchas herramientas de pentest, contó muchos tips metodológicos muy interesantes y se ve que ella los usa.
Radio Definidas por Software (SDR)
de Mariano Marino
Fue una buena charla pero la mayor parte fue académica. Muuucha teoría de RF (me hizo acordar a la secundaria y a la facu), pero sinceramente esperaba algo más hands on.
Es claro que para los que no sabían nada de radioporpagación, tienen que haber salido sabiendo… Me encantó el golpe a los terraplanistas 😛
El arte detrás de la seguridad de Ubuntu. ¡A preparar paletas!
de Maria Emilia Torino
A pesar de que muchas veces me enojo bastante con mi Ubuntu, saber por Maria Emilia que es uno de los sistemas operativos más seguros me tranquiliza 🙂 Muy buena charla, muy orientada a la metodología para asegurar la plataforma de Canonical, muy interesante.
Defensa en Profundidad para Aplicaciones Basadas en Contenedores
del Ing. Alfredo Pardo
No hay demasiado para decir. Simplemente que estuvo muy bien explicado, muy buenos conceptos sobre el funcionamiento y la seguridad específicamente de docker y kubernetes.
El excelente mago de la eko 2019 explicó muy bien para quienes quieren iniciarse como cazarrecompensas, tipos, programas, herramientas que él usa. Muy bueno. Habló muy bien de Burp y estoy totalmente de acuerdo! Me encantó que mencione mindmaps! estilo de herramientas que uso hace 15 años, que siempre me criticaron y es la primera vez que lo veo en una conferencia!. Muy profesional y muy buenos los tips.
En resumen, #UniTalks fue un muy buen evento en sí mismo, y un excelente ensayo general para la próxima eko 2020.
Nota por Carlos Benitez
Carlos Benitez es un reconocido experto en seguridad de la información.
La empresa de seguridad física Prosegur, fue víctima de un ciberataque el día de ayer. La empresa multinacional con sede en España, fua atacada por un ransomware que la dejó prácticamente fuera de operación.
Prosegur es bien conocida en estas latitudes por ser una de las principales empresas de transporte de caudales. En su crecimiento, incorporó otras lineas de negocio como las alarmas y cámaras monitoreadas, los porteros virtuales, etc. Según se sabe, la infraestructura de la empresa fue víctima del ransomware Ryuk. El resultado fue el corte de todos los servicios y comunicaciones hasta tanto se pueda solucionar el problema.
Ryuk
Este ransomware fue descubierto en Agosto de 2018. Su objetivo son redes empresariales. Suele ingresar a la empresa de la mano de otro malware como el Emotet. Si bien efectúa movimento lateral, es capaz de cifrar archivos de otros servidores a los que se encuentra conectado el equipo infectado.
Otra característica de Ryuk es que no actúa ni bien se produce la infección. Esto es por que el equipo que lo controla, analiza primero si vale la pena extorsionar a la empresa infectada. Una vez que se decide efectuar la extorsión, por comandos manuales el equipo cifra los archivos seleccionados y piden rescate por ellos. El rango va entre 15 y 50 BTC en función del tamaño de la empresa.
El efecto dominó
Hasta ahora, la noticia podría parecerse a otras tantas en las que las víctimas son empresas cuyos archivos fueron cifrados por un ransomware. Lo que tiene de particular este caso, es que los usuarios de la empresa atacada se ven directamente afectados. Esto se debe a que la infraestructura de Prosegur está construida para proteger a sus clientes.
Los sistemas se utilizan para administrar alarmas, para grabar los videos que los clientes pueden ver desde las aplicaciones allí instaladas, etc.
En este caso, debido al ataque, todos estos sistemas se encuentran anulados. Es decir que todos los clientes quedaron sin la protección que les brindaba la empresa.
La moraleja
A la hora de determinar las medidas de ciberprotección en las empresas, son muchos los puntos de vista que se pueden abordar. Uno de ellos, el más simple, es el de preguntarse: “para que el negocio funcione, ¿qué es lo que NO NOS PUEDE pasar?”. Respondiendo esa simple pregunta, sugirán todos los activos que la compañía no puede perder. De esta forma, se derivarán las acciones a tomar para no dejar, de ninguna manera, que esto pase.
Nota por Carlos Benitez
Carlos Benitez es un reconocido experto en seguridad de la información.
La semana pasada finalizó la edición número 15 de la ekoparty con excelentes aportes y mucho para aprender. Este año tuve la suerte de poder participar los 3 días. Si bien no pude participar de varias actividades, les hago un resumen de lo que extraje de las charlas a las que asistí.
Jugando con Plantas de Gas
Este workshop fue dado por Pablo Almada de KPMG. Pablo dedicó el 80% del tiempo a explicar como funcionan las plantas de gas. Seguramente los más hackers estaban esperando ver herramientas, exploits, código… Sin embargo, la explicación fue muy buena y quedó clarísimo que es imposible atacar los sistemas de control de una planta de gas si no se conoce cómo funciona. En ese sentido, creo que los asistentes (o por lo menos yo) nos fuimos con un conocimiento muy completo de su funcionamiento. Después de eso, nos explicó la forma que se utilizan los PLC en instalaciones industriales de este tipo y comenzamos a entender cómo buscarlas en Internet, reconocerlas y atacarlas. Bastante fácil por cierto. Como ejemplo, hice una búsqueda en Shodan para encontrar PLCs de Rockwell publicados en Internet (de más está decir que NO deberían!) y me encontré con esto…
OSINT e Ingeniería Social Aplicado a las Investigaciones
Emiliano Piscitelli, Alan Levy, Carlos Loyo y Jorge Martín Vila dieron una charla de cómo investigar utilizando OSINT. Utilizaron el ejemplo de los piedrazos que recibió el micro de Boca antes de la final de la Libertadores. Además de explicar bastante metodología como la de Juilán GL y su Ciberpatrulla, mostraron innumerables herramientas de análisis que ayudan investigar. Algunas de ellas son buscador.ova para buscar sin ser vistos; faceapp.com para crear perfiles falsos; hootsuite y postcron para generar contenido en las redes sociales; GeoSocial Footprint para ubicar geográficamente a las personas cuando postean, etc. Pero lo mejor estaba por venir, y las clases de magia fueron el broche de oro para la charla. Fue muy interesante que nos mostraran como funciona el cerebro humano. Gracias a eso, cómo funciona la magia, y por la misma razón, como todos podemos ser fácilmente engañados.
¡Cazando bugs con redes de pesca!
Nico Waisman está trabajando en Semmle auditando código de Google. Explicó cómo usar QL, un motor que permite hacer análisis de código fuente de forma muy precisa. La charla fue puro código y encima usó un plugin de QL para Eclipse…. Sin embargo lo bueno es que todos nos fuimos con el conocimiento de la existencia de la aplicación y algunas nociones muy didácticamente explicadas, sobre cómo construir código en QL que audite código escrito en los lenguajes que soporta la herramienta. El concepto se basa en modelar la superficie de ataque del software, buscar fallas desde simples lineas hasta en flujos completos. Con esto se desarrolla código que después puede utilizarse para buscar las mismas fallas en otros programas.
SIEMs Framework
Esta fue una de las charlas de Containers (…porque se daban dentro de containers…). En este caso Yamila Levalle y Claudio Caracciolo presentaron una herramienta para atacar sistemas SIEM.
Inicialmente me había ilusionado ya que comentaron que iban a mostrar como utilizar los SIEMs como vectores de ataque. Pensé que habían desarrollado una vieja idea en la que nunca tuve tiempo de trabajar: la de, sabiendo que el blanco usa un SIEM, enviar paquetes que produzcan logs que puedan romper ese SIEM…
Buen, no era eso lo que presentaron. La charla consistió en la presentación de un framework para atacar sistemas SIEM. El framework se llama SIEMS FRAMEWORK (o MultiSIEM Modular Python3 Attack Framework?) y se puede encontrar en github. El sistema por ahora soporta Splunk, Graylog y Ossim pero tienen planeado incorporar otros sistemas como Qradar, ArcSight, etc. No tuve tiempo de probarlo pero es una de las tareas que me llevo para los próximos días.
Hacking and auditing LoRaWAN networks
Cesar Cerrudo junto a Esteban Martinez Fayo y Matias Sequeira presentaron su análisis de vulnerabilidades de redes LoRaWAN, un protocolo de redes WAN inalámbricas de baja potencia. El sistema es bastante nuevo pero se cree que ya hay 80 millones de dispositivos LoRaWAN en el mundo. Se cree que la base instalada va a crecer exponencialmente y eso es preocupante por las fallas de seguridad que tiene el protocolo. La arquitectura de LoRaWAN se puede ver en el siguiente gráfico:
Por ahora existen varios potenciales ataques bastante peligrosos y hay pocas herramientas para auditar su seguridad. Una de ellas es el LAF (LoRaWAN Auditing Framework). La gente de IOActive explicó en detalle las vulnerabilidades y algunas posibles contramedidas.
¿Cómo hacer entrevistas técnicas?
La psicóloga Carolina Maristany explicó en este workshop cómo hacer entrevistas técnicas a la hora de seleccionar personal. Fui a ese workshop porque tenía mucha curiosidad de ver qué hace un tema como este en una eko. Lo que Carolina contó fue más o menos lo mismo que conozco y que vengo aplicando desde hace años en las entrevistas laborales. Lo que más me llamó la atención de esta charla fue la gran cantidad de asistentes. Me pregunté si los especialistas en seguridad (…hackers…) presentes en la eko necesitarían escuchar estos tips para cuando ellos vayan a ser entrevistados…
Receta Práctica y Económica de un Implante de Hardware
En esta charla, Andrés Blanco y Lautaro Fain contaron con detalle cómo implantar un microcontrolador en un dispositivo de hardware estándar de forma de poder tener control del mismo. Empezaron el proyecto trabajando a partir de una placa de desarrollo similar a la Blue Pill pero basada en ARM, la STM32F030F4.
El objetivo fue el de implantar el controlador en un router WiFi TP-Link. Una vez que verificaron que era posible interceptar la función de actualización del firmware con un dispositivo del tamaño del STM32, pasaron a miniaturizar el implante y a instalarlo de forma totalmente imperceptible. Si alguien hiciera esto el algún dispositivo que estemos usando, sería muy difícil detectarlo. De más está decir que me dieron ganas de desarmar todos mis dispositivos para ver si alguno tiene hardware implantado.
OpenBSD una workstation segura
Este workshop me entusiasmó bastante por un proyecto que tengo en el que había pensado usar OpenBSD como sistema operativo base. Lo dió la gente de BSDar, una organización fundada en mayo de este año y se ve que con mucha fuerza y ganas. El objetivo de Matías y Anatoli fue el de explicar qué es OpenBSD, mostrar su instalación y configuración como workstation configuración de 2 window managers y compilación del kernel incluida. El plan original no se logró por completo debido a que la intro de OpenBSD que dio Anatoli se llevó casi todo el tiempo del workshop. Sin embargo, todo lo que se contó sobre sistema me pareció realmente muy interesante. Todos sabemos que OpenBSD es uno de los sistemas operativos más seguros del mundo. Lo que yo no sabía hasta ese momento es exáctamente por qué. El generador de números aleatorios propio, sumado a los sistemas para ubicar en forma aleatoria los programas en memoria, generar aleatoriamente los pids, relinkear el kernel en cada instalación, ya muestran características de seguridad desde el diseño. A esto se le agrega el esquema de seguridad en el que no es posible relajar un permisos mientras el sistema esté online, la eliminación de captura de audio/video, la imposibilidad de correr las X como root, que todos los servicios se chroot’een o el doas, mucho más seguro que el sudo. Y como broche de oro, la mínima cantidad de vulnerabilidades halladas sobre OpenBSD a lo largo de la historia. Por supuesto que lo primero que hice al llegar a casa fue tratar de instalarlo. Como no tenía un equipo donde hacerlo, lo hicen en una VM de virtualbox. Me llevó bastaaaante tiempo, pero finalmente y con ayuda de los chicos de BSDar…
Gracias a este grupo y a OpenBSD seguramente pasaré muchas noches sin dormir.
Backdooring Hardware Devices by Injecting Malicious Payloads…
La charla de Sheila se basó en su investigación sobre tres formas de inyectar código en microcontroladores. Las pruebas las hizo sobre el PICkit3. Con mucho detalle técnico y una explicación impecable como siempre, mostró como hacer para que estos PICs carguen código malicioso. Para la demo, sólo hizo que enciendan unos leds, pero evidentemente es posible hacer cosas más graves. En particular, si estos PICs son que se usan dentro de los autos.
Modern Secure Boot Attacks: Bypassing Hardware Root of Trust from Software
En esta charla, Alex Matrosov no sólo mostró vulnerabilidades del hardware relacionadas con el software. Además presentó una paradoja muy interesante desde el punto de vista de seguridad.
Si se prentende que los programas sobre los dispositivos sean seguros e inalterables, una solución es instalarlos sobre el hardware en ROM. Pero si en algún momento aparece alguna vulnerabilidad en ellos, estas son imposible patchearlas. Esto exáctamente es lo que pasó con EPIC Jailbreak, la vunerabilidad de los iPhone desde el 4 en adelante, que fue publicada el viernes 27, precisamente el último día de la eko. Como fue hallada en la Secure BootROM de los iPhones no es posible patchearla. Para evitar esto, el software entonces podría instalarse como firmware, es decir en la flash de la BIOS, con la posibilidad de que sea actualizado y patcheado. Pero en este caso, los mecanismos para actualizar el firmware, también pueden ser utilizados de forma maliciosa para infectarlo.
Tan sencillo se vuelve para un atacante utilizar esos mecanismos, que Matrosov presentó funciones de PowerShell que permiten fácilmente modificar parámetros de la BIOS. Muy cómodas para el administrador… y también para los atacantes.
Internet-Scale analysis of AWS Cognito Security
La investigación presentada por el amigo Andrés Riancho en esta charla, tuvo por objetivo mostrar cómo utilizar la función de AWS Cognito de forma inversa a su propósito original. Cognito es un esquema de autenticación, autorización y manejo de usuarios para aplicaciones web y móviles. Los errores de configuración de las aplicaciones que lo usan, le permitieron a Andrés hacer un relevamiento a escala de Internet encontrando una gran cantidad de credenciales de acceso. Si bien no lo hizo, con esas credenciales pudo haber obtenido acceso a gran cantidad de datos sensibles de miles de usuarios. Excelente trabajo y una alerta para los que piensan que “la nube” es intrínsecamente segura.
Disfruté mucho de la eko de este año, aprendí mucho y, por sobre todo, me encontré con amigos muy queridos que hacía mucho que no veía. Ahora, a pensar en la eko 16….
Nota por Carlos Benitez
Carlos Benitez es un reconocido experto en seguridad de la información.
Terminó. Fue una semana muy intensa repleta de actividades. Pero la decimocuarta edición de la ekoparty ya es historia. Dejó como resultado más conocimiento, más temas en los que interesarse, más ganas de investigar, más amigos.
Ekoparty (o “la eko”) es la reunión anual más importante de curiosos-y-entusiastas-de-la-tecnología-y-de-la-seguridad-que-les-gusta-saber-cómo-funcionan-las-cosas-y-como-encontrar-nuevas-funcionalidades-que-el-programador-no-pensó…. de Argentina. Convoca unos 2500 asistentes de nuestro país pero también de todo el mundo. Si bien hay años más fuertes y años más flojos, la eko va mejorando edición tras edición en contenidos y calidad. Si bien no siempre puedo hacerlo, este año tuve la fortuna de poder asistir a los tres días y a muchas de sus conferencias y workshops. Fue una experiencia muy rica. Hubo expositores con CVs muy importantes, algunos fueron viejos conocidos y otros grandes amigos. Hubo eventos que disfruté, otros que me despertaron más curiosidades y otros que pasaron desapercibidos.
Habiendo recopilado algo de información, en esta nota, quise hacer análisis básico de algunos indicadores de la eko que tal vez les sean útiles a los lectores. Aclaro que si bien hubo como siempre, varias actividades como trainings, workshops, stands, etc. para el análisis solo me centré en las conferencias. Tengan en cuenta que muchos de los expositores o empresas a las que pertenecen, además de dar charlas, también llevaron adelante workshops o tuvieron sus propios stands. Por esto considero que tomando solo las conferencias, la muestra es representativa.
Como es la primera vez que hago esto, no puedo comparar con ediciones anteriores, pero de todos modos ahí van los resultados.
Uno de los indicadores que siempre me interesaron en estas conferencias, es quiénes son los expositores, los países a los que pertenecen y las empresas/grupos que representan. En la eko 2018 se dieron 25 charlas, brindadas por 30 expositores, los que pertenecen, hasta donde pude averiguar, a 7 países diferentes.
En el gráfico se puede ver que el 47% de los expositores fueron extranjeros. Un excelente número que muestra el interés por investigadores de otros países de compartir sus experiencias con la cumunidad en la eko. Por otro lado, en la tabla que sigue se pueden ver las empresas o grupos a los que pertenecen los investigadores que dieron las charlas..
Seis de los expositores lo hicieron en nombre de las universidades o grupos de investigación donde actúan, o en forma independiente. El resto de ellos pertentecen a empresas de seguridad.
Por último, el análisis que más me interesa cada vez que se dan conferencias de este tipo, es ver los temas que se trataron, que siempre tienen una característica importante: están en vigencia.
No necesariamente son novedosos o importantes, pero sí están “de moda” y hay un importante número de personas a las que les interesa, sino no los presentarían. Me tomé la libertad de agrupar los temas tratados en categorías para presentarlas en el siguiente gráfico:
Las categorías que tuvieron más interés por parte de los expositores este año, con 3 charlas por categoría, fueron las siguientes:
Sistemas BMC (Baseboard Manager Controllers) combinada con la seguridad de los sistemas de booteo UEFI (Unified Extensible Firmware Interface). Estos sistemas asociados a los servidores suelen tener muy pocas medidas de seguridad y pueden llevar no solo a vulnerar servidores individuales sino comprometer toda la red de management de una empresa, que suele ser insegura y no controlada.
Sistemas Operativos. Se tocaron temas de seguridad de los sistemas operativos de los iPhones y iPads (iOS) así como varias fallas en el kernel o en drivers de interfases de red de Windows.
Algunas aplicaciones populares. Se presentaron varias charlas sobre vulnerabilidades halladas en varias aplicaciones como por ejemplo: de lectura de PDFs, de archivos de posicionamiento en mapas de Google (KML), o en el sistema de de virtualización VirtualBox.
En segundo lugar, con 2 charlas por categoría, se presentaron:
Vulnerabilidades en sistemas de pagos, tanto en las terminales POS portátiles como en sistemas NFC a través de los cuales se mostró que es posible alterar la información que viaja entre los dispositivos y generar fraudes de forma relativamente sencilla.
Fallas de seguridad en lenguajes de programación de páginas web dinámicas, en especial en algunas características de .net y en el modo de inyectar objetos en php.
Las siguientes categorías tuvieron una charla por cada una y fueron:
Fallas de seguridad a la hora de implementar sistemas de redes definidas por software (SDN) sobre redes WAN por utilizar como base sistemas antiguos y vulnerables.
Ataques de tipo ROP Chain (Return Oriented Programming) en el que se construye un ataque con porciones de programas que ya están en la memoria.
Un caso particular de utilización de la Blockchain: los contratos inteligentes y de cómo se generan trampas a través de la publicación de contratos inteligentes vulnerables.
La utilización de la caché de diferentes proveedores y CDNs como vector de ataque en sistemas web.
Sistemas de administración de dispositivos móviles (MDM) vulnerables.
Análisis de arquitecturas inseguras de sistemas de Internet de las Cosas (IoT).
Resultados y recomendaciones para el análisis de artifacts de Malware en laboratorio.
Una charla nostálgica sobre emuladores para juegos.
Alertas sobre graves problemas en los optimizadores de los compiladores más populares que no solo introducen fallas de seguridad, sino que eliminan las contramedidas incluidas por los programadores.
El análisis y la utilización de la modificación dinámica de los sistemas de comando y control de los botnets (C&C).
Problemas serios en sistemas de autenticación en los que es posible comprometer cuentas de usuarios sin tener sus credenciales a través de las preguntas secretas.
La demostración de como los esquemas dearquitectura de desarrollo inseguros pueden llevar a difundir datos sensibles de producción a otros ambientes.
Estos temas, no son necesariamente los más importantes o destacados en ciber seguridad. Que no se hayan tocado temas como Advanced Endpoint Protection (AEP), Inteligencia Artificial, Phishing, Radio, etc. no significa que no sean importantes, simplemente los investigadores que estuvieron en esta eko no los presentaron.
La eko #14 ya finalizó.
En mi caso me llevé unas 20 herramientas para probar que desconocía y otro tanto de referencias de papers para analizar. A mí me fue muy útil y la disfruté mucho, casi como “una fiesta de cumpleaños” como deseó Federico Kirschbaum, uno de sus organizadores, en la ceremonia inaugural. Espero que al resto de los asistentes también.
Nota por Carlos Benitez
Carlos Benitez es un reconocido experto en seguridad de la información.