Crónica jornada II - Navaja Negra 2019

La segunda jornada de Navaja Negra ha sido tan intensa como la primera.

Hoy he tenido la posibilidad de hablar un rato con Longinos, que ayer tanto él como Ivan nos pudimos saludar tan solo unos segundos. Además, también se ha acercado a saludarme Patxi, de la Ertzaintza.

La primera charla de hoy la ha dado Carlos Hernández (@k4rliky).

Navaja Negra 2019 - Carlos Hernández

Nos ha enseñado cómo decompilando algunos juegos como el WoW y de su estilo se puede hacer que el cliente con el que se juega cambie comportamientos del personaje que tenemos y se mueva por sitios que programáticamente no estaba pensado. Así podía hacer que el muñequito terminase alojado debajo del camino visual pero a la vez el juego le fuerza a seguir la ruta. Resultado: ningún enemigo le puede atacar (porque no le ven). También hemos podido escuchar parámetros de los juegos como "clipping" (¿quién no recuerda en Doom el truco "noclipping"?), groundLevel (que es el que fuerza este comportamiento que acabo de contar). Nos ha puesto más ejemplos con otros efectos parecidos pudiendo llegar a desplazarse a lugares secretos.

Después Mónica Salas nos ha descrito algunos problemas que dan Google y sus servicios.

Navaja Negra 2019 - Mónica Salas

Por un lado, "es imposible prescindir de los servicios de Google". Nos ha hablado de una auditoría que hizo en una empresa que implementaba MDM en la que parecía que absolutamente todas las configuraciones de los móviles estaban perfectas. Incluyendo un modo kiosco que (apenas) dejaba hacer nada. Exceptuando la configuración del teclado instalado que pedía calificarlo en Google Play. Y ahí es donde saltó la alarma porque desde ese punto pudieron ella y su equipo saltarse todos los controles implantados por el administrador pudiendo salir de ese modo kiosco. La conclusión es que hay que poner aplicaciones de total confianza y tenerlas bien testeadas aunque sean de una simpleza increíble.

La siguiente charla la ha dado Chema Alonso (@chemaalonso).

Navaja Negra 2019 - Chema Alonso y Pablo González

Una vez más ha hablado de la historia de Informática 64 y cómo consiguió con Rodol montar la empresa e ir aplicando diversas ideas que tenían por muy locas que parecieran. Y de eso iba la charla: implantar ideas locas. La que nos ha traído hoy ha sido poner un MAC antidiluviano unido a una raspberry por un puerto serie tipo mini-din (nombre puesto por mi: el circular) y conseguir subir software binario a la nube de Google que da espacio ilimitado para imágenes. Y para conseguir subir el programa lo convierten a imagen. Ha explicado cómo han hecho cada paso y han hecho una demo en vivo con toda la parafernalia necesaria.

Después del desayuno/almuerzo a media mañana le ha tocado a Josu Franco dar la charla.

Navaja Negra 2019 - Josu Franco

Josu nos ha hablado de las amenzadas basadas en usuario, que es el eslabón más débil. En un minuto nos ha contado las características de un producto que hace su empresa: Cytomic.

Al finalizar la charla de Cytomic Josu Barrientos (@bulw4rk) nos ha hablado de los análisis PCI-DSS

Navaja Negra 2019 - Josu Barrientos

Primero ha explicado qué es PCI-DSS: es la normativa que establece absolutamente todas las características que tienen que cumplir todo organismo que quiera operar con tarjetas de crédito: Asegurarse de cómo se transfiere la información, almacenamiento, funcionamiento de los sistemas, obligaciones... Qué consecuencias puede tener no cumplir con la normativa o si se tienen fallos con los clientes. Ha mostrado de una forma muy genérica cómo se haría un pentest a una organización que quería actualizar esta certificación y qué pasos siguió: alcance, descripción del contexto, búsqueda de datos (tanto en los sistemas como con OSINT, como por ejemplo, en LinkedIn), acceso los sistemas por wifi o emparejando en la red una pistola de códigos de barras... El resumen es que consiguió un acceso que no debería de haberse dado en ese contexto.

Sergio Arake (@SergioAraqueC) dio la siguiente ponencia con el título Mikrohackeando.

Navaja Negra 2019 - Sergio Araque

En ella ha descrito de dónde vienen y cómo son los dispositivos Mikrotik y su sistema operativo RouterOS y los subproductos RouterBOARD. Algunos ya sabéis que tengo uno de estos (sobretodo porque ya lo publiqué por aquí en alguna ocasión). También ha contado las distintas formas de acceder a los mismos y algunas vulnerabilidades que se han ido encontrando que permiten comprometerlos sin contar con las numerosas malas configuraciones: usuarios con más privilegios que los necesarios y contraseñas débiles entre otros. Algunas de las huellas de los hackeos son denegación de servicio contra estos aparatos, robos de información, cryptomining o incluirlos como parte de una botnet (VPNFilter). Para finalizar ha dado pautas para fortificar la configuración (muchas un tanto perogrullo, pero nunca está de más): actualizarlos siempre, el firewall bien fortificado, configurar sólo los protocolos de acceso seguros, passwords y roles como Dios manda entre otros.

Una vez más la comida que nos trajo la Organización estuvo bastante bien.

En la sobremesa Noemí Rodríguez (@Noemi_rgarcia) nos habló de las consecuencias legales de Shodan.

Navaja Negra 2019 - Noemí Rodriguez

Ha hecho hincapié en las zonas grises que hay a la hora de acceder a ciertos lugares gracias a encontrarlos a través de, por ejemplo, Shodan. Según la interpretación de las leyes podemos meternos en problemas. Ajustar las leyes que regulan lo físico a lo intangible como son los 1s y los 0s es muy difícil. Ha puesto varios ejemplos de búsquedas de sistemas SCADA, MDBUS o control de estación eléctrica y nos ha dado el término de "allanamiento informático" (artíclo 197 del CP). Uno de los conceptos que se pueden resumir es: si has cambiado algo y ha hecho pupa te cae la del pulpo. Si sólo has mirado y era una empresa, bueno, mejor no hacerlo. Si es una persona física: muy malo porque eso es "revelación de secretos" y muchísimo peor nos encontramos con datos de personas especialmente protegidas. Sobretodo esto último cuando se trata de webcams con, por ejemplo, menores.

Al finalizar los capones de qué puede pasar si accedemos a lugares sin permiso y toqueteamos Joel Serna (@JoelSernaMoreno) y Ernesto Sánchez (@ernesto_xload) han destripado dos alarmas.

Navaja Negra 2019 - Joel Serna y Ernesto Sánchez

Hemos tenido la oportunidad de ver cómo funcionan dos alarmas que han comprado por internet. Han explicado que una de ellas ofrece wifi pero con un SSID que no se puede cambiar y mucho menos la contraseña, la cual obtuvieron reverseando el apk que se utiliza para configurarla. Además, resulta que a pesar de que esa misma alarma decía que funcionaba sobre 3G la circuitería interna realmente era sólo para 2G la cual es relativamente fácil manipular con una estación de telefonía móvil falsa (si bien tampoco es tan sencillo tener una también es bastante más delito que entrar directamente en la estancia donde se encuentra el aparato en cuestión y reventarlo de un martillazo). El NFC que permiten usar resulta que es muy básico y sólo mira el ID del tag y por lo tanto, si se graba otro tag con ese ID tampoco es que sea de mucha utilidad. Al principio han hablado un poco de los sistemas propietarios de las marcas conocidas y ciertos problemillas que podrían tener si publicasen algún reversing de sus sistemas.


Después de la merienda Ricardo Narvaja (@ricnar456) ha dado una pequeña charla.

Navaja Negra 2019 - Ricardo Narvaja

En ella ha dado una pinceladas a los términos básicos para el reversing: bug, vulnerabilidad, exploiting. Definición de buffer overflow, integer overflow, use after free, format string, null pointer deferences. Y algunos tipos de exploits. Como le quedaba tiempo la gente ha tenido la posibilidad de preguntarle muchas cosas.

Al finalizar Ricardo hemos visto una vez más a Ruth Sala (@ruth_legal).

Navaja Negra 2019 - Ruth Sala

Como de costumbre nos ha ilustrado una vez más en los aspectos legales del mundo en el que nos movemos. En esta ocasión nos ha hablado de cómo se debería aplicar un pentest de ingeniería social y todas las áreas legales que deberíamos de tener en cuenta cuando tengamos que aplicar uno de estos. Sobretodo: si se va hacer telefónicamente hay que grabar la llamada. Todo tiene que estar muy bien documentado y por supuesto sin olvidarse del contrato. Nos ha contado que se hizo un CTF para el EuskalHack basado en uno de la DefCON y tuvieron muchos problemas para poderlo llevar a cabo, precisamente por el "intringulis" legal que esto conllevaba. Un área muy interesante y muy comprometida al mismo tiempo.

Y la última ponencia de hoy la ha dado Carmen Torrano (@ctorranog).

Navaja Negra 2019 - Carmen Torrano

Ha empezado dando la cifra escalofriante de dispositivos IoT que va a haber conectados a internet en 2020: 20.000 millones de dispositivos (¿20 millardos?). Se ha puesto de relieve el problema de autenticar que un dispositivo de estos es el que dice que es y que hace sólo lo que se espera de él (y no otras cosas más). Además de los orígenes y destinos del tráfico con los que trabajan. Es muy importante concienciar a los usuarios y aplicarle seguridad a cada dispositivo. Ha dado las razones por las que el machine learning es perfecto para la seguridad IoT: la escala del número de dispositivos y el hecho de de que cada dispositivo tiene una única función determinada (saliendose de esa función es que algo malo hay). Nos ha hablado de honey pots y nos ha presentado un sistema que han montado con unos cuantos pots mostrando estadísticas de ataques incluso en tiempo real.

Y hasta aquí hemos llegado a la segunda jornada de esta edición. Y nos queda otra más que seguro que es igual de interesante que estas dos últimas.