viernes, 7 de marzo de 2014

Crónica de la RootedCON: Día 1

En el día de ayer se celebró la primera jornada de la RootedCon de este año, el evento de seguridad informática más grande de España. Hasta él se trasladó el CIGTR en una programación habitual para cubrir este evento en su totalidad.

RootedCon2014

La RootedCon es un congreso que habitualmente aprovechan investigadores y empresas para presentar nuevas vulnerabilidades y/o herramientas, estudios de varios meses (o años) que acaban con su momento de gloria en la presentación oficial delante de más de un millar de perfiles del sector. De hecho, lejos está esta Rooted 2014 de los que fueron sus primeros pasos, hace cinco años, como feria básica de seguridad. Un quinquenio muy productivo con la creación de varios proyectos anexos como ciclos de talleres y laboratorios, y con vistas a formar una nueva fecha fuera de territorio madrileño.



La primera ponencia corría a cargo de Francisco Jesús Gómez (@ffranz) y Carlos Juán Díaz (@ttlexpired), que presentaron Sinfonier, un software OSINT (Open Source Inteligence). Una herramienta de obtención de conocimiento a partir de datos disponibles en la red. Una evolución de Yahoo Pipes, donde cada módulo puede ser desarrollado gráficamente por el cliente, y cuyos límites únicamente los fija la creatividad de quien está a los mandos.

Alfonso Muñoz (@mindcrypt) subió al escenario para hablar de JANO, un proyecto de investigación de este Doctorando sobre las aplicaciones reales de la criptografía con lenguaje natural. Una explosión de diapositivas sobre los distintos métodos a los que este gran amigo tuvo que enfrentarse para conseguir ofuscar información dentro de textos aparentemente escritos por un humano. Una lucha constante entre máquinas (el propio generador de Alfonso contra los servicios de spam), con un estudio pormenorizado del peso de las palabras, los sinónimos, la tipología y su capacidad de ocultar información.

¿Tener una red wifi con un pay-wall es un método inexpugnable? Como ya habréis podido deducir, está claro que no, y para muestra el trabajo de Pau Oliva (@pof), una aplicación para Android (terminales rooteados) que permite saltarse los pay-walls (páginas intermedias de pago para acceso a WIFI presentes en cada vez más lugares públicos) de la forma más sencilla posible. Recorre una a una todas las IPs posibles que pudieran estar conectadas, y cuando encuentra a otro usuario, spoofea su dirección MAC y su IP para hacerse pasar por él. Como contramedida, bastaría con que estos servicios restringiesen las peticiones de IPs del resto de usuarios para que dejase de funcionar. Algo que a día de hoy no hace casi ninguno.

Antonio Ramos nos habla del análisis de riesgos. Del como los sesgos perceptivos nos afectan a la hora de hacer un plan de riesgo fiable. Del principal problema que las metodologías de gestión de proyectos se encuentran a la hora de ser aplicadas en desarrollos informáticos. Las metodologías están desarrolladas para sistemas complicados, no complejos. Un sistema complejo requiere de la prueba-error, no de aplicar a rajatabla un estándar. En seguridad informática, no hay estándares válidos. Es por ello que Ramos apuesta por las metodologías ágiles: planes a corto plazo, incluir al cliente en la ecuación y estar continuamente probando.

¿Cómo nace y se desarrolla un APT (Advanced Persistent Threat)? Para Raj Shah tiene 6 ciclos claramente diferenciados:

- Reconocer el terreno, obteniendo el mayor conocimiento posible. - Armarse con aquellas debilidades que encontremos.

- Infiltrarnos dentro del sistema. - Explotar las vulnerabilidades. - Controlar el sistema, escalando en permisos.

- Filtrar la información conseguida. El gran problema al que se enfrentan los servicios críticos y las grandes organizaciones, y realmente difícil de controlar.

Llegaba entonces el turno de los chicos de @fluproject, Juan Antonio Calles (@jantonioCalles) y Pablo González (@pablogonzalezpe), que hicieron un recorrido por la historia estadística del malware y los ciberataques, para detenerse en una de las estrategias más efectivas para controlar a la ciudadanía: la creación de botnets low-cost, utilizando miles de terminales móviles ¿Qué puede hacer una sencilla aplicación de linterna? Por supuesto, alumbrarnos cuando no haya suficiente luz, pero también enviar al servidor información de los sensores de nuestro terminal (geoposición, IP, hora, ...), sacar fotos, grabar conversaciones, rastrear conexiones cercanas, saltar a redes wifis y snifar quién está conectado a ellas, o incluso realizar ataques DDoS de llamadas (dirigir una de estas botnets para dejar fuera de servicio el terminal de nuestro objetivo).

Continuaba ya bien entrada la tarde Alberto Cita con un profundo estudio de la seguridad de Skype en nuestros días. Un servicio de comunicación usado masivamente, basado a priori en los beneficios del P2P y el cifrado de datos propietario, y que desde la compra por parte de Microsoft ha ido paulatinamente dejando de lado la seguridad. Las versiones actuales envían parte de la información mediante SSL, lo que las hace sensibles a ataques MITM de guión. Basta con ingresar en el sistema operativo de la víctima una CA (aunque esté firmada por el usuario, ya que aparentemente no hace ningún tipo de validación) para poder leer en texto plano las conversaciones, obtener datos sensibles de los implicados (ID de usuario, contraseña hasheada...) e incluso la recuperación de ficheros enviados.

Muy interesante y divertida la charla de Jorge Bermúdez, fiscal especializado en delitos telemáticos, que subió a la palestra con el respeto que un cargo como éste ostenta, y pronto se ganó el favor del público. Bermúdez nos habló de cuál es su trabajo. De lo difícil que resulta aplicar una ley de hace décadas a un entorno mucho más dinámico. De la necesidad de hackear las normas, para que los malos paguen por sus fechorías, y los buenos, salgan impunes. Y del valor de entablar lazos entre los investigadores de seguridad informática y la fiscalía, ya que los unos necesitan a los otros.

Terminó la jornada del día con el panel de la Rooted. Una mesa redonda entre órganos militares y estatales, empresas privadas e investigadores sobre el presente y futuro de las ciberarmas.

Durante la jornada de hoy, seguiremos cubriendo el evento por Twitter.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

0 comentarios:

Publicar un comentario