sábado, 7 de marzo de 2015

#RootedCON, segunda jornada: terremoto de PoC

Hay días en los que sabes, antes de levantarte, que van a ser intensos. Que al acabar la jornada tendrás tu libreta repleta de anotaciones, y la cabeza dando vueltas una y otra vez sobre diversos temas que seguramente ni te habías parado a pensar hace tan solo unas horas antes. Y el viernes fue uno de esos días. 

Segundo día de la RootedCon, uno de los eventos más importantes en materia de seguridad informática de Europa, celebrado como cada año en Madrid. Ayer publicamos la crónica de la primer jornada (http://kcy.me/1qrmy), y hoy toca hacer lo propio con la segunda.

El pistoletazo de salida lo dio Alfonso Muñoz, de Eleven Paths, hablando de aquello en lo que está especializado: para esta ocasión, sobre estegomalware en aplicaciones móviles. O lo que es igual, diversas maneras de ofuscar código ejecutable en las aplicaciones de la Play Store de Android. Tanto en la propia tienda, mediante el uso de imágenes PNG con código ofuscado, como en llamadas a recursos externos que la aplicación realiza para su buen funcionamiento, y también, por supuesto, en los propios recursos de la aplicación. Es un vector de ataque muy sofisticado y a día de hoy casi indetectable, debido a que no hay sistemas enfocados en realizar este tipo de escrutinios.

Carmen Torrano (@ctorranog), del Centro Superior de Investigaciones Científicas (CISC), recogió la batuta, presentándonos su tesis doctoral sobre algoritmos de creación de cortafuegos en servicios webs. Nos habló por tanto de WAFs basados en anomalías, del modelo de Markov y de machine learning. Técnicas que mejoran sensiblemente la eficacia de este tipo de software para enfrentarse a entornos en profundo cambio, como ocurre en el mundo de la seguridad defensiva web.

Copias ilegítimas y escalado de privilegios
El perder el acceso a una cuenta de WebEx, uno de los servicios más utilizados para realizar formación online, llevó a Abel Valero (@sanguinawer) a interesarse por el funcionamiento en local de los archivos que la plataforma dejaba en el usuario. Y gracias a ello, ha encontrado una grave vulnerabilidad en su sistema que permitiría a cualquier cliente realizar copias de los vídeos (cuando esto únicamente lo puede hacer su creador).

A continuación, Julián Vilas (@Julianvilas) alertaba de la mala configuración de Structs, un framework de desarrollo para Java, que permite a un atacante externo realizar llamadas corruptas a métodos getClass() y setClass(), escalando privilegios, y obteniendo recursos sensibles de un servidor o servicio.

Después, Ricardo J. Rodriguez (@RicardoJRdez) y Jose Vila (@cgvwzq) rompieron la seguridad por proximidad asociada a métodos de pago vía NFC. Una vulnerabilidad teórica difícilmente replicable en un entorno real, como reconocieron los investigadores, debido a las protecciones internas de la mayoría de cuentas bancarias. Pero en todo caso resulta mencionable que el ataque se realiza en dispositivos móviles sin root ni custom firmware.

Esta charla enlazaba, después de la comida, con la de Sebastián Guerrero (@0xroot), sobre el funcionamiento de Apple Pay. No presentó ninguna vulnerabilidad explotable, pero aprovechó el tiempo disponible para explicar de forma sencilla cómo funcionaba este servicio de la compañía de Cupertino y sus posibles debilidades.

El siguiente turno fue el de Alejandro Ramos (@aramosf), un habitual de la Rooted, con su ponencia sobre seguridad ofensiva y defensiva. “¿Eres del equipo rojo o del azul?”, preguntaba a los asistentes mediante una encuesta online, y acompañaba su discurso con varios de los tips para uno u otro bando que resumen de forma muy sistematizada el trabajo de cada uno.

A José Selvi (@JoseSelvi) le gusta viajar al futuro… al menos vía digital. Un estudio del protocolo de seguridad HSTS le permitió de percatarse que su caducidad podía saltarse haciendo viajar al futuro al reloj interno del sistema. ¿Qué obtiene con esto? Acceder a prácticamente cualquier servicio web masivo sin HTTPs, en claro. Y también evitar que un sistema realice notificaciones para actualizarse.

Y para terminar, Eduardo Cruz (@edcrossed) nos dejó a todos de piedra con un trabajo de varios años en ingeniería inversa amateur de microprocesadores, en este caso, de una máquina Arcade. Un hobby peligroso (requiere de unas medidas de seguridad física considerables, al trabajar con ácidos para ir separando capas y analizando la distribución del microprocesador) y sobre todo, muy extenuante, que le permitió replicar el hardware en un programa informático, y más tarde, en un arduino. Simplemente increíble. Porque el hacking no es únicamente software. El hardware hacking existe, y cuando después de tanto duro trabajo obtienes el resultado buscado, es altamente gratificante.

Como ya hicimos en las últimas horas, seguiremos en el día de hoy cubriendo el último día del evento en tiempo real desde nuestro Twitter: https://twitter.com/CIGTR.


También te puede interesar:
#RootedCON, Día 1: Empieza el show
#RootedCON, Día 3: Con la miel en los labios

0 comentarios:

Publicar un comentario