Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

13 marzo 2014

Crónica Rooted CON V (Sábado)



El último día Rooted comenzó con una disertación de Manu Quintans (@Groove) y Frank Ruiz (@francruar) sobre las 50 shades of crimeware para desmentir lo que consideran ellos como noticias y publicaciones sobrevaloradas. Explicaron también que habían llegado a la conclusión de que hay cuatro niveles de foros criminales: - El nivel más básico es el de los iniciados, donde se puede encontrar malware como el #Careto.
-       En un segundo nivel se compran VPN y accesos anónimos.
-    En un nivel ya más profundo, encontramos los foros cerradísimos (como Maza) a donde solo se accede con invitación, se siguen reglas muy estrictas y la expulsión de alguien conlleva la de quien lo invitó.
-       En el fondo del crimeware encontramos bandas criminales, muy peligrosas, que son totalmente auto suficientes.
Los periodistas de investigación solo se infiltran en los dos primeros niveles. No obstante, hay fisuras entre niveles y algunos foros externalizan parte de sus servicios, lo que abre nuevas puertas de entrada.

Las tendencias del crimeware son: el malware para móviles basado en TOR, en el campo de las criptomonedas y malware para Points of Sale; este último, se está viendo aumentada su demanda por la escasez de troyanos bancarios.

Hablando de troyanos bancarios, ellos mismos se infectaron con uno para luego borrar su tarjeta de la lista del panel de control de la botnet gracias a un SQLi que le hicieron (por favor: no repitan este experimento en sus casas).

Después llegó la ponencia que más impacto de todas causó: la de Hugo Teso (@hteso), piloto y hacker que nos puso a todos un poco nerviosos explicando cómo un avión podía ser hackeado, cambiando su configuración o siendo desviado de su ruta. Las compañías se preocupan por su safety, no por su security, dijo. Yo lo traduciría como que les preocupa que los aviones estén a salvo (de caerse), pero no que los sistemas no puedan ser comprometidos. Resultado: un ataque que la EASA le autorizó a contarnos y que resumo aquí:

Los protocolos ADS-B y ACARS son complicados y atacarlos requiere un hardware costoso. Por eso, la manera idónea de hacerlo sería atacando la gestión que hacen de ellos las compañías IT de transporte aéreo. Proceso a seguir: acceder a su base de datos mediante un sencillo XSS para entrar como persona autorizada y pedir un disco AMI (el service pack de los aviones), modificar la información que hay en él y luego irse al aeropuerto a rematar el ataque con un móvil, ya que los aviones, cuando aterrizan tienen una IP pública y se puede acceder atacando la conexión Wi-Fi o 3G (sí, he dicho 3G). ¿Estáis temblando?

Pues algo bueno que tiene la Rooted es el turno de preguntas y respuestas que hay tras cada charla. Así es que, tras la de Teso intervino un miembro del auditorio, que decía pertenecer a una de las susodichas compañías. Dijo que los cambios que podían hacerse por ese sistema no afectaban a cosas críticas de la configuración. A lo que Teso respondió que sí, pero que eso lo tenía para otra conferencia. Así es que no me quedó claro si el avión se podía hackear o no.

Pero lo que sí me alegré de oír fue que la red Wi-Fi para pasajeros no tiene ningún tipo de conexión física con la del sistema de aviación. ¡Menos mal!

La pregunta sigue en el aire (nunca mejor dicho): ¿podemos volar tranquilos? Al termino de la ponencia, muchos asistentes a la Rooted, que habían venido de fuera de Madrid, decían (en serio o en broma) que se volvían en tren. Vaya casualidad también que justo ese mismo día nos enteráramos de que un avión de Malaysia Airlines había desaparecido en pleno vuelo.

Si en alguna serie (como Hawai 5.0 o Person of Interest) veis que hackean un avión, acordaos de Teso; porque algunos le han pedido asesoramiento y otros, directamente, le han copiado.



No habéis leído mal donde ponía que el ataque al avión se podía hacer por 3G. José Picó y David Pérez (@layakk) desarrollaron la explicación teórica de uno:
- Suplantando a la operadora (IMSI catching): aprovechando que la información que se intercambia al principio no va cifrada.
- Con el IMSI capturado antes, mantener el canal abierto el tiempo suficiente como para localizar el terminal por triangulación.
- DoS: la falsa operadora manda rechazo de conexión constantemente al terminal para que no tenga cobertura, a menos que se reinicie.
- La falsa operadora dice que no dispone de cobertura 3G para degradar el servicio a 2G, que está roto y, a partir de ahí, cualquier otro ataque.


Después de tanto susto y de tanta cosa técnica, vino muy bien despejarse la cabeza y echarse unas risas con la "charla de historietas" (como él mismo la llamó) de Borja Berátegui () y su handware hacking. Este chico todo lo toca y nos puso varias fotos de cómo las pantallas táctiles, kioscos, cajeros etc. que hay por diversos lugares, permiten que algún manitas curioso elimine la primera presentación para llegar más adentro. Regla que se impuso (y que os debéis imponer si pensáis imitarlo): dejarlo todo como estaba. Yo no creo que me anime porque bastante apuro pasé cuando me pillaron intentando hackear la "Casa Blanca".

A continuación, Juan Vázquez () y Julián Vilas () nos mostraron cómo se puede hackear un sistema SCADA (sí, de esos que controlan las infraestructuras críticas) para cambiar, por ejemplo, el valor del indicador de temperatura. Hicieron las pruebas con un simulador del sistema Yokogawa CS3000, cuyas vulnerabilidades han sido ya publicadas mientras yo preparaba este artículo.

Por si no habíamos pasado bastante miedo con lo del avión...

El siguiente en aparecer fue Aladdin Gurbanov con un divertido vídeo en el que se veía como clonaba una tarjeta magnética (la suya) para poder sacar dinero con ella. Además de copiar el contenido de la tarjeta, es muy fácil conseguir en internet todos los abalorios necesarios para vestirla por fuera y que la copia sea completa. Y si pensáis que el PIN de la tarjeta puede servirte de protección, olvidadlo: solo tiene que modificar el bit que indica "pedir pin" para poder usarla sin esa restricción. 

¿Qué harías tú con una tarjeta clonada? ¿Comprar un billete de avión? Si anda por ahí Teso, quizá en el pecado encuentres la penitencia XD.

Espectacular fue la aparición cinematográfica de , que se superó a sí mismo. Menuda película (pero real) de la que pudimos disfrutar en la misma sala de los Goya: con referencias a Regreso al FuturoStarWars y Matrix.




¿Cuántos no habéis maldecido por esa actualización forzosa del iPhone que os fastidió algo? ¿Qué no daríais por poder dejarlo todo como está? Sería casi tan imposible como viajar al pasado a conocer a tus padres antes de que tú nacieras. Pues "Doc" Siles lo ha hecho posible con su herramienta en pyton que aprovecha una vulnerabilidad del sistema de actualizaciones iOS, cambiando una fecha para que el sistema crea que ya está actualizado y deje las cosas como están.

La herramienta, que se iba a llamar iOSTIA (iOS Tienes Indicios de Actualización), pero se quedó en iProxy, puede hacer esto de dos manera diferentes; y por ello, recibe un parámetro que le indica la manera de hacerlo: StarWord o Matrix (¿tú qué pelis prefieres?).

Pero ojo: que lo que se usa para el bien también se puede usar para el mal y alguien puede aprovecharse de esta vulnerabilidad para hacer daño. Si recordáis el famoso fallo del goto fail, que Apple rápidamente corrigió, comprenderéis lo importante que es en ocasiones actualizarse inmediatamente. Ahora bien, ¿qué sucedería si un atacante aprovechara la vulnerabilidad expuesta por Siles para "congelar" un dispositivo, explotara la vulnerabilidad "goto fail" (o la de turno) para hacer un ataque y luego dejara al dispositivo actualizarse como si nada? Que el inocente usuario comprometido, pensaría que no ha sido afectado por dicha vulnerabilidad por haberse actualizado inmediatamente y tendría una falsa (y peligrosísima) sensación de falsa seguridad. Mientras Apple lo arregla, la solución propuesta por Siles es utilizar un MDM para asegurarse de que se está permanentemente actualizado a la última versión.

Para terminar, los títulos de crédito, con referencias a su equipo de colaboradores, a la propia Apple y al vestuario (camiseta fricky diseñada expresamente para la ocasión). Siles, a ver cómo te superas para la próxima CON. Te lo has puesto muy difícil a ti mismo ;)

Y como colofón, tuvimos a los chicos del Whatsapp, Jaime Sánchez () y Pablo San Emeterio () hablándonos nuevamente de las vulnerabilidades de éste y de otras aplicaciones de mensajería instantánea. Pero mejor dejo que os lo cuenten ellos mismos:

http://www.seguridadofensiva.com/2014/03/slides-de-nuestra-charla-whatsapp-mentiras-y-cintas-de-video-en-rootedcon-2014.html

Hasta aquí mi resumen de ponencias. Espero que os haya gustado y os haya podido dar una idea de lo que se explicó, a los que no pudisteis ir, en espera de que salgan todas las diapos y los vídeos.

Pero en la Rooted CON pasó alguna que otra cosa más, que me he ido dejando en el tintero. Así es que os emplazo para una nueva entrada que espero publicar pronto.

Y como dicen por ahí: "Happy hacking!"

No hay comentarios:

Publicar un comentario

A penny for your thoughts