sábado, 9 de marzo de 2024

RootedCon 2024: Crónica tercer día

 Hoy he llegado pronto al Kinépolis. Después de arreglar algunos correos personales Andy, de DXC, me ha ofendido probar a hacer un poco de lockpicking. La verdad que sin mucho éxito, pero lo he disfrutado un montón intentándolo.

Ciberguerra: ciberataques a infraestructuras críticas

Andrés Soriano ( @osintares ) y Javier Rodríguez ( @javiover ) han presentado "Ciberguerra: ciberataques a infraestructuras críticas en el conflicto de Oriente Medio".

RootedCon 2024 - Andrés Soriano y Javier Rodríguez
RootedCon 2024 - Andrés Soriano y Javier Rodríguez 

Han hecho una introduccón de qué van a hablar: TTPs (tácticas, técnicas, procedimientos híbridos) Hay dos bloques de países, Irán e Irak y los aliados de ambos bandos. Han explicado tanto las capacidades de inteligencia israelí como de la iraní. Entre algunos de los ataques israelíes están las infecciones de móviles a través de publicidad. También han explicado las capacidades de Irán a través de varias fases, tanto en remoto como presencial. Han hablado de la relación entre Irán y latinoamérica, las actividades realizadas al otro lado del charco  tales como entrenamiento militar y técnico, lavado de dinero, identidades falsas, criptomonedas, etc. Justo después han hablado de los ataques a la infraestructura eléctrica utilizando lo que han llamado "la doctrina iraní". Han mostrado los logos o señas de casi 230 tipos de empresas eléctricas de Israel. Han hablado de la captación de personas como la de un ministro de energía israelí en Nigeria en 2012. Se identificó su implicación porque cometió el error de ir dos veces a Irán despertando las sospechas del servicio secreto Israelí. Necesitaban la información del sistema eléctrico Israelí. Han explicado un ataque que se realizó con un DDoS. Otras operaciones: captación de personas judías que trabajaban en infraestructuras críticas y manipuladas para hacer cosas dentro de las mismas. Y la tercera operación: la captación a través de redes sociales con las famosas redes sociales utilizando la seducción hacia el objetivo del que querían obtener información. Han mostrado varios perfiles de redes sociales de captadores y captadoras. Ya casi acabando han contado las capacidades iraníes: utilizando zerodays, bypass EDR y paciencia. Han finalizado con las conclusiones.

Hardware Implant Revolution

Victor Fernández Minguillon ( @vickfedez )  ha presentado "Hardware Implant Revolution: Bands on hardware Implants for read team operations"

RootedCon 2024 - Victor Fernandez Minguillon
RootedCon 2024 - Victor Fernandez Minguillon

Ha descrito varios implantes físicos, cómo funcionan y algunos problemas que tienen: rubber ducky, keycroc, pwn plug, etc. Nota: por "implantes físicos" pensaba que eran trastos que se les ponían a humanos tales como marcapasos, bombas de insulina... El objetivo: implementar una alternativa de largo alcance cuando no llega internet al aparatito con el que se quiere interactuar. Ha explicado un proyecto como solución al problema planteado usando LoRa con un microprocesador y un microcontrolador (como una Raspberry). Primero ha contado la implementación del diseño ideado. Después ha contado las capas de red para continuar mostrando unas demos en video de cómo se produciría la comunicación. Posteriormente ha continuado con las conclusiones y las mejoras futuras que tiene en mente desarrollar. 

Cuando terminó hicimos un descanso con un pequeño tentempié.

Crazy {Web|Gen|AI|Net}: Cybersec ideas

Un año más, Chema Alonso ( @chemaalonso ) ha expuesto otra ponencia más de "crazy ideas". Este año se ha llamado "Crazy {Web|Gen|AI|Net}: Cybersec ideas".

RootedCon 2024 - Chema Alonso
RootedCon 2024 - Chema Alonso

Ha agradecido al equipo de RootedCon lo que han conseguido en todos estos años y a su equipo por lo que han alcanzado a hacer con las ideas locas. Ha comenzado contando cómo empezó estudiando bases de datos pasando por la ciberseguridad (algo que no se había planteado) y llegar a convertirse en CDO de Telefónica. Todo lo aprendido paso a paso. Ha seguido contando cómo cuando iban haciendo proyectos se quedaban pequeñas ideas en espera y tarde o temprano que acababa trabajando en ellas. Ha seguido contando cómo crearon la Foca y Metashield Extractor. El siguiente proyecto fue "prefeching web browser". Otro proyecto fue el de "Owning bad guys" en RootedCon 2012 (me acuerdo de aquella!!). Ha seguido con el proyecto Dust RSS presentada en RootedCon 2011. No se dejó "Make this last forever", un proyecto relacionado con webs y cadenas de bloques. Uno más ha sido Latch y sus muchas implementaciones y aplicaciones. WebscalerAI y LeakguardIAn han sido los siguientes proyectos que ha mostrado que han conseguido terminar. A posteriori ha hablado de deep fake y se ha recordado que yo salí al escenario a hacer una demo en directo (de esa también me acordaba!!) y relacionado con ese tema ha mostrado las herramientas Deep Fake Detector, VerifAID y AutoVerifAID. NewsBenderb Project es el nuevo proyecto: un portal de noticias falsas. Crean con GenAI los autores que serían los encargados de publicar esas noticias falsas, buscan fuentes de noticias, les asignan las noticias a alguno de los periodistas falsos que se ha creado el sistema y que se pongan a publicar. Ha hecho una demo. En paralelo han hecho Fake News Detector as a Service: FNDaaS, que se encargaría de intentar identificar si una noticia está construida con IA o no. Ha finalizado con las conclusiones. También decir que Chema en llevaba una camiseta de X1Red+Segura en la que en la espalda ponía "Angelucho". 

Libros y bits...

La ponencia "libros y bits: cuando la IA se convierte en tu librero personal" la hicieron Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo.

RootedCon 2024 - Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo
RootedCon 2024 - Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo

Empiezan hablando del proyecto Yoleo. Es una herramienta de recomendación de libros a través de IA. Han enseñado cómo funciona mostrando lo que recomienda ChatGPT según unos parámetros determinados y consiguen un enlace al libro a través del API de Google Books  tanto para conseguir el libro como para identificar si el libro existe. Han contando de dónde viene la idea inicial, si bien vino hace 10 años, esta ha ido evolucionando hasta llegar a lo que se ha convertido ahora, aprovechándose entre otras cosas de la aparición de ChatGPT. También han explicado los distintos intentos y pruebas  que tuvieron que hacer para conseguir su objetivo final. Han ido describiendo todos los problemas que surgieron, las soluciones que encontraron y las mejoras que fueron implementando. Han finalizado con las ideas futuras para próximas versiones.

Con esta última charla el Equipo de RootedCon se ha despedido, con Arantxa a la cabeza, hasta el año que viene:

Equipo RootedCon
Equipo RootedCon

Y con todas estas charlas ha finalizado la RootedCon 2024. Espero que el año que viene pueda volver.

viernes, 8 de marzo de 2024

RootedCon 2024: Crónica segundo día

Hoy hemos empezado muy bien el día. He llegado al Kinépolis y me ha dado tiempo a tomarme un té y un croisan. Después ha llegado Iván y hemos estado buscando la opción de otro café que nos hemos acabado tomando en uno de los estands. 

BSAM: Seguridad en bluetooth 

La primera charla, BSAM: Seguridad en bluetooth, la dieron Antonio Vázquez Blanco y Jose Mª Gómez Moreno 

RootedCon 2024 - Antonio Vázquez Blanco y Jose Mª Gómez Moreno
RootedCon 2024 - Antonio Vázquez Blanco y Jose Mª Gómez Moreno

Han descrito ejemplos de dispositivos bluetooth, tanto normales como médicos (marcapasos, bombas insulina...) como básculas y demás dispositivos domésticos. Y pasan desapercibidos a la vez que se deja de lado su seguridad. Y habría que auditorios, pero es complicado. El estándar es complejo de estudiar y no hay muchas auditorías ni herramientas genéricas o la implementación del protocolo es incompleta. La solución es crear una metodología para solucionarlo, y esa es la que han creado: BSAM, solucionando todos los problemas actuales. Entre cada sección fueron poniendo ejemplos. Las fases que contaron están comprendidas en:: búsqueda de información de especificaciones internas (circuitería, chips,  implementación capa bluetooth, versión, etc),  descubrimiento (con los mensajes de anuncio: que tienen datos necesarios para la conexión como los que no lo son como puede ser un nombre de usuario), emparejamiento (es importante identificar que no se estén usando métodos obsoletos o que no nos puedan robar la clave, que no nos puedan desemparejar un dispositivo...), autenticación ( hay que asegurarse de que la autenticación sea mutua), cifrado (hay que verificar que los tamaños de cifrado sean adecuados y no pequeños), servicios (descubrimientos de qué servicios ofrece el dispositivo porque no debería de haber servicios ocultos que, por ejemplo, tenga permisos rw), aplicación (verificar que las aplicaciones cliente estén bien implementadas, mecanismo de actualización bien implementada). Han mostrado las contribuciones que han hecho en la investigación con wireshark y skapy. Después mostraron una demo 

La policía hace cosas

Inmediatamente después, Manuel Fernández nos expuso La policía hace cosas.

RootedCon 2024 - Manuel Fernández
RootedCon 2024 - Manuel Fernández

Policía de los mossos d'esquadra, participó con la guardia civil para investigar un caso de estafa, el caso Forex. La charla tuvo tres partes. 1) qué pasó y cómo empezó la investigación, 2) cómo se coordinaron las distintas FCSE (mossos, guardia civil, etc), jueces, fiscales... Entre otros Europol y Eurojust, con distintos países colaborando juntos. Contó los problemas que tuvieron, pero también los éxitos (como la investigación de las comunicaciones VoIP o el email tracking) 3) Y por último, la coordinación para irse a Albania entre distintos cuerpos de policía europeos para llevar a cabo una operación conjunta. A la hora de identificar qué máquinas requisaban porque había demasiadas para poder investigar sin dedicarle años a recopilar todas las evidencias tiraron de ruby duckers

Ya en este punto hicimos un pequeño descanso antes de ir a la siguiente ponencia en la sala 17. 

¿Quién vigila a los que vigilan?

Borja Adsuara Varela ( @adsuara ) presentó su charla: ¿Quién vigila a los que vigilan?

RootedCon 2024 - Borja Adsuara Varela
RootedCon 2024 - Borja Adsuara Varela

Empieza explicando un meme. Los abogados son como hackers: trabajan con código jurídico y seguridad jurídica. Se detectan vulnerabilidades, como por ejemplo, en el RGPD. Los reglamentos en la UE son de directa aplicación y no debería de hacer falta una transposición a leyes en los estados miembros. Habla de distintos artículos y régimen sancionadores del RGPD. Para hacer el análisis de las leyes se hace un análisis sintáctico de cómo está escrita la ley. Uno de los artículos del RGPD establece que los estados podrán establecer normas para sancionar a administraciones públicas. Uno de los problemas está en que a día de hoy no se puede sancionar a ninguna administración pública. Otro problema está en el Reglamento de IA que se va a aprobar el 13 de marzo. Ha contado el régimen sancionador, mayor al del RGPD, para personas y empresas. Pero también está el mismo epígrafe sobre las administraciones públicas. Una de las conclusiones es que parece que hay una doble vara de medir entre las sanciones de las administraciones públicas y otros porque en lo que respecta a las administraciones públicas en España no tienen consecuencias sancionadoras si se saltan las leyes de protección de datos y aparentemente tampoco las tendrán con respecto a la IA.

La Cartera Europea de Identidad Digital

En la misma sala 17 continuamos con otra ponencia más, La Cartera Europea de Identidad Digital: ¿Garantía de identidad digital o herramienta de control estatal?, por Ignacio Almanillo Domingo ( @ )

RootedCon 2024 - Ignacio Almanillo Domingo
RootedCon 2024 - Ignacio Almanillo Domingo

Habla sobre cómo se ha iniciado en Europa la cartera digital de identidad: EUDI wallet. ¿Hay garantías o es mentira? Hubo dos secciones, la jurídica y la técnica. El tercero que no entra es el problema de los ciudadanos que no estén muy duchos en la tecnología y entreguen más datos de los realmente necesarios. Este reglamento se llama elDAS2. Se busca que haya un nuevo medio de identidad digital, que es un derecho, con control del ciudadano. También se quiere que se tenga una identidad basada en atributos, como podría ser la edad (ej:  ser mayor de edad). También puede facilitar abrir cuentas en otros bancos de la UE. Aunque ha explicado algunos problemas de acceso a la sociedad digital. También es importante poderse identificar tanto en local como remotamente. Se puede firmar solo por trocitos o la posibilidad de entregar unos pocos datos sin tener que enviar todo el conjunto entero. Además, tiene ser garante de la privacidad: pseudonominizar la identidad. Se puede poner un mecanismo para que quien quiera acceder a la cartera se tendrá que identificar y que el propietario de la cartera vea quién ha accedido a qué. Después ha hablado de la parte técnica, para que las wallets sean seguras e interoperables entre distintos países. Entre otras cosas también ha hablado de la posibilidad de tener que revocar la app en caso de necesidad.

En cuanto terminó nos fuimos a comer para después volver a la sala 18.

NightClubMare; hackeando dispositivos de DJs

David Cuadrado ha hablado de su herramienta NightClubMare.

RootedCon 2024 - David Cuadrado
RootedCon 2024 - David Cuadrado

Ha estado describiendo aparatos específicos para DJs, sus características y precios. Después ha explicado distintos términos que usan los DJs. Posteriormente ha descrito las conectividades que tienen estos aparatos: protocolos (UDP), puertos (tanto de protocolo como físicos), direccionamiento IP, ARP, etc, para después hablar de su herramienta, las tripas de la misma y su funcionamiento. A continuación ha mostrado un vídeo a modo de demo que explica el funcionamiento completo. Posteriormente ha contado qué nos haría falta para reproducir lo que ha hecho. 

Seguridad en sistemas de videoconferencia

La siguiente charla, en la sala 20,  la dio Jose Luis Verdeguer ( @pepeluxx ): Seguridad en sistemas de videoconferencia.

RootedCon 2024 - Jose Luis Verdeguer
RootedCon 2024 - Jose Luis Verdeguer

Las empresas eran reacias a la teleconferencia. Pero después de a pandemia vieron que permiten cancelar las reuniones con mucho menos riesgo que antes, son un ahorro en muchos desplazamientos, etc. Enumeró las distintas soluciones (tanto comerciales como opensource), su historia, etc. Describió el funcionamiento de WebRTC y sus fases: Señalización, conexión, securización y comunicación. Más adelante explicó varios vectores de ataque, tanto con WebRTC como con Zoom. También habló del caso de Telegram en el que se muestra la dirección IP de la otra persona con la que se está haciendo una llamada. Además de recordar la herramienta que ya explicó hace muchísimo tiempo (SIPPTS), mostró la demo de la herramienta stuncheck. Aún así, hay datos que muestra la herramienta que también se pueden ver desde el navegador con "webrtc-internals'. A continuación habló de los servidores TURN: permiten hacer redirección a localhost. En cuanto hubo explicado los parámetros hizo una demo. En cuanto la finalizó expuso formas de mitigar el ataque por TCP, pero tampoco se olvidó de UDP, mostrando los problemas que surgen a través de ese protocolo y las posibles mtigaciones.

Ya en este punto de la jornada volvimos a hacer otro descansito.

Dr. Jekill & Mr. Hide

Volviendo a la sala 25, Mark Rivero ( @seifreed ) y Sandra Bardón Moral expusieron Dr. Jekill & Mr. Hide: las dos caras de un incidente.

RootedCon 2024 - Mark Rivero y Sandra Bardón Moral
RootedCon 2024 - Mark Rivero y Sandra Bardón Moral

Lo primero que han hecho ha sido darle un disfraz a Román, siendo la broma de la jornada. Después, se han presentado y han empezado a explicar en 10 segundos (contados) el cuento de Dr. Jekill y Mr. Hide. Mark hará la parte racional o de inteligencia y Sandra la parte más "crazy", la parte más ofensiva. Han explicado qué es el grupo Muddywater. Mark ha descrito su procedencia, las herramientas que usan y la victimología, ya que estudian mucho a quién atacar y cómo hacerlo. Son muy adaptativos ya que van cambiando mucho para pasar lo más desapercibidos posibles. Después Sandra ha explicado las herramientas y técnicas utilizadas. Entre otras características, son muy buenos ingenieros sociales. Uno de los C&C que usan es Phony X2, hecho en Python 3. También ha explicado varios ataques realizados en su historia y un resumen del arsenal de herramientas que tiene esa organización. Justo después Mark ha enumerado distintas campañas, ataques y operaciones por ese actor. Ciertas partes de Sandra también se complementaban con las de Mark. Más adelante nos han contado los epic fails que han tenido en ese grupo: acciones que no parece que se correspondan con la experiencia que demuestran como si tuvieran becarios o juniors participando en sus operaciones. Han acabado cerrando con las conclusiones. 

MiTM en puntos de recarga de vehículos eléctricos

La última charla, también en la sala 25, la hizo Javier Jarauta Gastelu y Gregorio López con MiTM en puntos de recarga de vehículos eléctricos.

RootedCon 2024 - Javier Jarauta Gastelu y Gregorio López
RootedCon 2024 - Javier Jarauta Gastelu y Gregorio López

Lo primero que han hecho ha sido presentar al equipo que ha participado en la investigación y a ellos mismos. Por lo que he entendido, una de las entidades que ha participado ha sido Cesvimap que les prestó un vehículo para hacer las pruebas. La primera parte ha sido una investigación con IoT poniendo de ejemplo el incidente que hubo hace unos años en los que los dispositivos IoT fueron utilizados para hacer un DoS con el protocolo UDP. Aquí lo que buscan es mejorar la seguridad del tendido eléctrico. El problema está en que dispositivos aparentemente inofensivos para la red eléctrica (como parecía que eran los IoT), podrían tumbarla como por ejemplo una cantidad ingente de aires acondicionados conectados a la vez. Se hicieron simulaciones en las cuales podía haber más o menos éxito según el conocimiento del atacante de la red eléctrica y cómo está construida. Los cargadores son unos elementos que la podrían tumbar si hay muchísimos trabajando a la vez. La pregunta que se hicieron era si es posible controlar la carga de un vehículo eléctrico de forma maliciosa. Ahí explicaron los tipos de carga, según los kW que se estén usando y el tiempo que se esté realizando esa carga. No querían modificar ni el coche ni el cargador, por lo que montaron su propio cable con los conectores para ponerlos entre el coche y el cargador. Explicaron el funcionamiento interno de ese dispositivo en cuanto a potencias y circuiterías. Después mostraron las pruebas de laboratorio. Para el atacante la bentaja de ese cable customizado es que nadie se entera de la manipulación que se ha realizado. Han continuando dando unas conclusiones. No sólo hay riesgo para la red eléctrica, sino también para el vehículo y el punto de carga. Casi acabando han ido contando algún ataque más para verificar los datos de protocolo de red que navegan entre el coche y el cargador. Y hasta ahí pudieron hablar para empezar la hacker night.

Y así con estas ponencias finalizamos la segunda jornada de RootedCon 2024. Que la he disfrutado muchísimo. 

jueves, 7 de marzo de 2024

RootedCon 2024: Crónica primer día

Un año más hemos podido ir a la RootedCon. Como de costumbre he llegado poniendo la carretera. 

Al llegar he podido saludar a todo el equipo de la organización y de Eventos Creativos. Además, he conocido a algunas personas y he podido encontrarme con compañeros del trabajo, tanto con los que trabajo ahora como con los que estuve trabajando hace muchos años, algo que me ha hecho mucha ilusión.

Keynote

Empezamos con la keynote. En la que nos contaron que esperaban más de 6.100 asistentes y presentaron a los patrocinadores.. Además explicaron cómo han organizado este año el evento. Después presentaron "el círculo.io" y los premios "Raúl Jover 2024", que se lo dieron a título póstumo a Angelucho, que tristemente falleció el año pasado. Román, que era el encargado de hacer esta keynote, no ha dejado de tener palabras de elogio para Angelucho y todo lo que hacía, tanto por la comunidad como la asociación que creó de X1Red+Segura con otros compañeros del sector o las prácticas que conseguía para jóvenes "delincuentes" para conseguir que fueran por el buen camino y no entrasen en un centro penitenciario donde acabarían saliendo peor.


ZTNA VS ZTNA

Cristina Crespo y Sonia Cancha
RootedCon 2024 - Cristina Crespo y Sonia Cancha

Empezaron explicando la integración de Accenture con Innotec. Han explicado los retos de la imprevisibilidad del comportamiento humano y los problemas que ello conlleva, siendo un reto casi inalcanzable evitar los problemas que se producen. La idea es descargar la responsabilidad de la solución en la tecnología. De las amenazas internas se ha hablado que está subestimada, ya sea por errores de los empleados o por malicia. Han hablado de los derechos de mínimo acceso a los datos, el de monitorización y la necesidad de aislar un dispositivo si hace algo no esperado. También nos han explicado cómo abordan el reto desde Accenture.

En cuanto se acabó la ponencia nos fuimos a hacer un descanso. Allí me encontré con Lorenzo ( @lawwait ) y Longinos ( @l0ngin0s ).

DFIR en el gobierno de la Rioja 

RootedCon 2024 - Miguel Ángel de Castro y Tomás Gómez
RootedCon 2024 - Miguel Ángel de Castro y Tomás Gómez

Nos hablaron del contexto; 7 consejerías, el Servicio Riojano de Salud y fundaciones públicas. Nos describieron el tipo de infraestructura con la que trabajan como el número de usuarios, dispositivos, servidores, aplicaciones, etc y las posibles amenazas y estadísticas de las mismas. Después han hablado de distintos incidentes que detectaron: ataques de identidad, sobre una tarjeta SIM 3G expuesta y un servidor expuesto a través de un API. Más adelante contaron las lecciones aprendidas: ser conscientes de la superficie de exposición, que de ella también forman parte los usuarios. Además las APIs y los servicios web de deben de proteger igual o más que las aplicaciones. Y los sistemas hay que parchearlos en una ventana de tiempo razonable. Además es imprescindible usar 2FA y estudiar las consecuencias de añadir tecnología sin control. Sin olvidarse de compartir secretos de manera segura o tener la seguridad de que el SIEM ingesta casi todos los logs. Para finalizar contaron lo que creían que habían hecho bien.

Aegis: aproximación a la ciberseguridad dirigida a datos y machine learning

RootedCon 2024 - Iván Fernández Mora
RootedCon 2024 - Iván Fernández Mora

Nos habla de los objetivos críticos por los que una empresa puede ser atacada. Después nos ha contado por qué y para qué se usa machine learning en ciberseguridad. Además, también ha contado por qué han desarrollado su propia herramienta de análisis con machine learning y cómo decidieron organizarse para desarrollarla. Sobre todo porque es más versátil y además pueden usar sus propios datos, si buen en ocasiones hay problemas: que no lleguen todos los logs del SIEM, quién es el responsable de los mismos, etc. También es importante las regulaciones legales sobre la categoría de los datos en relación a cómo se pueden publicar, si son personales, etc. Después ha explicado propiamente el fundamento de la herramienta AEGIS. 

Después me fui a comer, encontrándome con mi compañero de trabajo Iván con el que estuve comiendo y vi las dos siguientes charlas.

Dark territory: paralizando la red ferroviaria de un país entero

Tras la comida, fuimos a la siguiente charla, por David Meléndez ( @TaiksonTexas ) y Gabriela García ( @constrainterror ) ; "Dark territory: paralizando la red ferroviaria de un país entero"

RootedCon 2024 - David Meléndez y Gabriela García
RootedCon 2024 - David Meléndez y Gabriela García


Concepto ferroviario: zona ferroviaria sin controles eléctricos. Más adelante han conceptos ferroviarios como "cantón ferroviario", "contador de ejes", "bloqueo de vía", "control de trafico centralizado", etc. Han explicado el sistema de balizas ASFA. Han puesto ejemplos de accidentes como el de Uharte Arakil en Navarra o el accidente de Angrois. También han descrito cómo están construidas las balizas. Más tarde puesto un ejemplo de manipulación de la baliza con una pila de petaca. O la opción de hacerse con un testeador de balizas, que permitiendo hacer algún tipo de ataque a las balizas: replicación de balizas, denegación de servicio, etc. Han mostrado una posible forma de crear una baliza falsa. 

First rule of CLR is you do not simply inject the CRL

Al finalizar hemos podido disfrutar de la siguiente ponencia: first rule of CLR is you do not simply inject the CRL, por Marcos González y Antonio Pérez

RootedCon 2024 - Marcos González y Antonio Pérez
RootedCon 2024 - Marcos González y Antonio Pérez 

Explican qué es CRL y el intermediate language, de qué se encarga y cómo funciona. También han contado algunos lenguajes que usan CRL: C#, .Net... Y medidas y contra medidas para controlar la ejecución de los programas que están hechos en esos lenguajes. Han explicado qué es herramientas thunderstrike. Han explicado cómo hay que organizar el ataque para evitar que un EDR no detecte que está thunderstrike atacando. Después de la teoría han hecho una POC.

En cuanto acabaron nos fuimos a un descanso y al finalizarlo ya me fui yo a la sala 19.

My mobile is screwing me up

Esta charla la dieron Ofelia Tejerina ( @OfeTG ) , Pablo Fernández ( @pablofb ) y Luis Diego de Aguilar ( @h3st4k3r ) hicieron la charla my mobile is screwing me up. Pedro Candel ( @NN2ed_s4ur0n ) formaba parte del equipo que la montó pero no pudo venir.

RootedCon 2024 - Ofelia Tejerina, Pablo Fernández y Luis Diego de Aguilar (y Pedro Candel)
RootedCon 2024 - Ofelia Tejerina, Pablo Fernández y Luis Diego de Aguilar (y Pedro Candel)

Luis ha hablado de los sistemas callback tanto desde el punto de vista técnico como legal. Han mostrado código fuente de una web real (Jazztel) mostrando cómo se podría activar pero tiene sus protecciones. Con el plugin selenium ha grabado qué se ha ejecutado al introducir los datos para que nos hagan una llamada. Con un scripts se categorizan las webs que permiten hacer ese tipo de llamadas. Nos ha mostrado cómo ha funcionado en node y ha hecho una demo real con Python y una tarjeta SIM completamente nueva y desprecintada en directo. Después ha explicado qué hace el script original. Después ha hablado Ofelia, una de los abogados que han explicado qué puede suceder por usar de mala manera esos sistemas como por ejemplo las llamadas no solicitadas. Entre otras cosas también han incluido artículos del BOE. Más adelante Pablo también ha explicado los distintos tipos de llamadas comerciales y cuándo pueden y no pueden hacernos esas llamadas.


Tu robot ha perdido una tuerca

La Dra. Claudia Álvarez ( @claudiacataplau ) y el Dr. Adrián Campazas ( @gripapc ) han expuesto Tu robot ha perdido una tuerca 

RootedCon 2024 - Claudia Álvarez y Adrián Campazas
RootedCon 2024 - Claudia Álvarez y Adrián Campazas

Han hablado de dónde trabajan y a qué se dedican. Ciberseguridad, hápticos (transmisión de sensaciones, relacionado con el tacto), visión por computación y robótica de servicio (que ayuda a las personas).  Después nos han enseñado algunas fotos de robots con los que trabajan. Han hablado de riesgos y amenazas en sistemas industriales, entre otros algunos accidentes mortales en industria. Después han hecho dos demos atacando a unos robots (con un simulador gráfico, simulando el robot UR3 y Unitree A1 en "persona"). Y han dado sus conclusiones: que el cifrado no se usa aunque esté disponible porque quita eficiencia en entornos de tiempo real. Tiene un servicio SSH que se puede atacar por fuerza bruta y servidor web sin autenticación pudiendo ver por su cámara. Lo que pasa es que el atacante puede hacer un MITM para redirigir al operador a otro servidor web para que vea otra cosa. De las cosas que han hecho les han dado sus Caves. 

Y ya con esta última charla finalizamos la primera jornada de RootedCon 2024.

domingo, 25 de junio de 2023

OpenMediaVault: Error 500 Failed to connect to socket No such file or directory

Esto es una solución por si te sucede algo similar a lo que me pasó a mí hace unos meses y no he sido capaz de resolverlo hasta hace ahora unos escasos 2 minutos. Y lo primero que he hecho al ver que ha funcionado la solución ha sido venirme corriendo a escribirla aquí porque si vuelve a suceder, que podría ser, tenerlo a mano.

Al actualizar el servidor OpenMediaVault se me quedó un poco a medias. Además de poner las actualizaciones del /etc/apt/sources.list hay que acordarse de verificar si hay que modificar los propios sources de OpenMediaVault dentro de la carpeta /etc/apt/sources.list.d/.

Después de hacer las actualizaciones normales del tipo:


#apt-get update
#apt-get upgrade


En teoría ya lo tienes. Pero si no ha ido del todo bien podrías encontrarte con que al intentar iniciar sesión la interfaz web te devuelva un error del tipo:

Error 500: Internal server error. No such file or directory.

ó 

Error 500: Failed to connect to socket: No such file or directory

Bueno. Algo así. Y si buscas en Google te encontrarás con muchas soluciones pero no acaban de funcionar. La solución del Error 500... No such file or directory que me ha permitido volver a entrar en el panel de gestión vía web es la siguiente:

# systemctl unmask openmediavault-engined.service # systemctl enable openmediavault-engined.service # systemctl start openmediavault-engined.service


Espero que si os encontráis con este problema esta sea solución sea de ayuda. 

domingo, 12 de marzo de 2023

RootedCon 2023: Crónica del tercer día

 Al llegar el tercer día lo primer que fue hacer acopio de algo de merchandising.

En la sala 25, antes de empezar, presentaron una canción inédita compuesta por un amigo de la asociación y especialmente para RootedCon. 

La primera charla la dio José Manuel Vera (@jmveraortiz): "Hacker memes... ¿En serio?"

RootedCon 2023 - José Manuel Vera
RootedCon 2023 - José Manuel Vera

Ha creado una historia enlazando memes relacionados con la seguridad, empezando por la procedencia del término "meme" y cómo se generaron en general. Su conclusión ha sido que para las campañas de concienciación los memes son una muy buena herramienta porque se recuerdan mejor.

La siguiente charla, "Atrápame si puedes" la dieron Lorenzo Martínez (@lawwait) y Juan Antonio Rodríguez (@guardiacivil).

RootedCon 2023 - Lorenzo Martinez y Juan Antonio Rodríguez
RootedCon 2023 - Lorenzo Martínez y Juan Antonio Rodríguez

Lo primero que hicieron fue presentarse para posteriormente explicar las diferencias y similitudes que hay entre lo que pueden hacer las FCSE y un perito privado: cómo llega el encargo, formalización, cliente (juzgado, fiscalía, privado). También cómo o hasta dónde se pueden adquirir las evidencias y, por ejemplo, que uno privado no puede pedir datos a operadores de comunicaciones y la policía sólo con mandamientos judiciales. También explicaron qué tipos de casos pueden hacer los unos y los otros. Tampoco se han olvidado de la defensa del trabajo, que suele ser en el ámbito judicial: ambos tienen que convencer al tribunal. Después pusieron ejemplos de algunos casos que no salieron todo lo bien que cabía esperar. Algunos por problemas en la cadena de custodia, sospechas de alteración de evidencias (cambian muchos ficheros aunque podrían haber sido solo por actualización de sistema operativo y no el artefacto de interés). Hicieron hincapié en la importancia que tiene si aparecen otras cosas ajenas a la causa que se está investigando. Acabaron con un resumen sobre los informes periciales. "La credibilidad cuesta mucho ganarla y muy poco perderla." 

Cuando acabaron hicimos un muy pequeño descanso porque casi no dio tiempo. Por suerte sí que pudimos disfrutar de unas conchas Codan.

Después, de vuelta en la sala 25, tuvimos la ponencia "Das Bo0T..." por parte de Miguel Haro y Josué González.

RootedCon 2023 - Josué González y Miguel Haro
RootedCon 2023 - Josué González y Miguel Haro

Han hablado de ciberseguridad industrial. Empezaron presentándose y haciendo una introducción de términos. Lo primero es la seguridad de las personas y lo siguiente la fiabilidad. Nos han mostrado una serie de libros y sistemas virtuales para aprender y probar. Además, diferenciaron entre el uso de malware normal en la industria y el malware industrial (específico para industria). Después pusieron algunos ejemplos de malware,  explicado qué son los gemelos digitales y en qué pueden ayudar o qué aplicaciones pueden tener con respecto a la seguridad: pentest, backups, inventariado, etc. Pero también explciaron los problemas y limitaciones que pueden tener los gemelos digitales. Uno de los ataques que han explicado es EvilPLC.

En cuanto acabaron Jesús Muñoz habló de ataques a redes móviles con "A malicious attacker versus 5G"

RootedCon 2023 - Jesús Muñoz
RootedCon 2023 - Jesús Muñoz

Hizo una introducción muy rápida sobre telefonía móvil y cómo se conecta un móvil con su SIM a la antena, el servicio y la base de datos de usuarios (SIMs y terminales). También desglosó la seguridad según las generaciones de telefonía móvil para centrarse en el 5G. Uno de los ataques mostrados era contra las tarjetas SIM, preocupante porque es un servicio que se usa muchas veces para la doble autenticación. Uno de los posibles ataques están los clonados de tarjetas pero hoy hay que ponerles unos parámetros muy específicos para que funcionen, entre otros la clave de operador, la cual no se puede obtener (fácilmente). Lo más rápido y fácil es conseguir un duplicado de tarjeta. El siguiente ataque que explicó fue el de hacer una estación base falsa aprovechando SDR. Después mostró en vídeo cómo configuró una estación base falsa y cómo se conectaba un móvil contra esa estación. Se vio cómo la transmisión del móvil se podía ver en claro desde el wireshark que tenía la estación base falsa. Lo siguiente que pudimos ver un ejemplo de GPS spoofing con SDR. 


Al acabar esa charla nos fuimos a comer y a la vuelta regresé a la sala 25, donde Tomás Isasia (@TiiZss y @tisasia) expuso "Firm to the future, firm from the past"

RootedCon 2023 - Tomás Isasia
RootedCon 2023 - Tomás Isasia

Lo primero que hizo fue presentarse para después hacer una introducción de lo que nos iba a contar. La primera parte fue explicar cómo surgió la primera firma digital en 1976 y cómo en 1995 apareció la primera CA en España. Hay tres tipos de firmas: simple, avanzada y cualificada (que es equiparable a la manuscrita). Además, la cualificada tiene que tener varias características. Uno dispositivo cualificado puede ser un DNI, pero cada dos años hay que renovar el certificado que guarda o también otro dispositivo puede ser un USB criptográfico que únicamente puede guardar certificados. Nos contó varios formatos existentes; CMS/PKCS#7 (embebido y disociada), S/MIME, orientado a documentos XML o el propio de Adobe basado en PKCS#7 que puede ser una firma o más por fichero. Lo importante es que podría incluir timestamp. También explicó otros formatos: XAdES, XAdES y el PAdES. Continuó contando cómo funciona el proceso de firma y su verificación. La pregutna que se hizo y que le llevó a hacer la investigación era saber si realmente se verifica la fecha y hora que se le pasa al firmar. Por lo que mostró varios ataques conocidos a firmas digitales. Después hizo una serie de demos, entre las que estaba una en la que firmaba un documento con una hora en la que nos estaba hablando en directo y no estaba delante del ordenador. Otras PoC fueron firmar con una fecha anterior a la existencia del certificado o ficheros con firmas cuya fecha y hora están  en el futuro. Finalizó contando las situaciones en las que puede saltar una alerta por la incoherencia entre fechas. Tomás invitó a Lorenzo (Martínez) a que explicara por qué se puede identificar en un forense que se ha aplicado esta manipulación.


Después se hizo una ponencia sobre computación cuántica en la que explicaban cómo afecta a la ciber seguridad, por parte de Mario Muñoz, Gustavo A. Lara, Jesús Domingo y Francisco González

RootedCon 2023 - Mario Muñoz, Gustavo A. Lara, Jesús Domingo y Francisco González
RootedCon 2023 - Mario Muñoz, Gustavo A. Lara, Jesús Domingo y Francisco González

Diferenciaron entre ordenadores corrientes y cuánticos. Los ordenadores cuánticos ponen tener el estado 0, 1 o los dos a la vez, es lo que se conoce como "el principio de superposición". También explicaron en su introducción a la computación cuántica cómo son los estados cuánticos de los "qbits" y cómo suceden. Los ordenadores cuánticos necesitan muchos parámetros para funcionar como tal o en caso contrario acaban dando resultados erróneos. Contaron que mezclar resultados de uno cuántico con la tradicional se le llama "hibridación". Tampoco se olvidaron del rendimiento de estos sistemas, aunque también afirmaron que no es correcto compararlos directamente por el uso al que los cuánticos suelen estar destinados. Después enumeraron algunas limitaciones y retos que tienen estos sistemas. Continuaron con las implicaciones que tienen respecto a la ciberseguridad, como esa afirmación de China que dice que han roto un RSA de 48 bits con un ordenador de este tipo. Tampoco se dejaron en en el tintero algunas consideraciones relacionadas con la seguridad, tanto las buenas como las no tan buenas. Y por último mostraron algunas soluciones que han hecho empresas grandes, haciendo hincapié en Azure Quantum.

Cuando acabaron nos fuimos a descansar media horita.

De nuevo en la sala 25, y antes de empezar la charla, la organización habló de la "hacker night" y dieron los números de cuántos researchers participaron, cómo lo hicieron, etc. 

RootedCon 2023 - Hacker Night
RootedCon 2023 - Hacker Night

Según nos comunicaron, se encontraron unas 70 vulnerables. Eso sí: todos los investigadores firmaron un NDA antes de empezar el reto. Incidieron en que la calidad ha subido muchísimo con respecto a años anteriores. Además, mostraron los ganadores de un premio en metálico por la calidad de sus informes.

La siguiente charla la hizo Pablo San Emeterio (@psaneme) y se titulaba "Flutter inspection challenges".

RootedCon 2023 - Pablo San Emeterio
RootedCon 2023 - Pablo San Emeterio

Lo primero que hizo fue preguntar si alguien sabía qué es "Flutter", el cual se trata de un framework de desarrollo de aplicaciones para que el resultado sea multiplataforma. Además permite quitar el ssl pinning. Nos habló de genymotion para posteriormente recordar por qué históricamente se empezó a cifrar las comunicaciones (debido al MITM). Después seguió con las técnicas de hooking en la aplicaciones utilizando, por ejemplo, Frida. Continuó contando qué les pasó con una aplicación en genymotion que no se dejaba instalar y cómo también lo intentaron con AVD. Mostró la investigación de cómo instalar Google Play con root en AVD ya que no es posible de forma nativa. Tras conseguirlo vieron cómo el descifrado seguía sin funcionar. Siguió mostrando cómo consiguieron con muchos quebraderos de cabeza descifrar las funciones y el código que había generado Flutter. Después mostró una demo, acabando con las conclusiones.

La última ponencia de esta edición en la sala 25 la hizo David Meléndez (@TaiksonTexas), "Tú no tienes poder aquí: sáltate los sistemas antidron con SDR"

RootedCon 2023 - David Meléndez
RootedCon 2023 - David Meléndez

Primero se presentó indicando cómo comenzó y cómo le ha estado yendo hasta ahora. Después fue enunciando los distintos usos de drones con un tono muy cómico. Continuó con la detección de drones, como por ejemplo, con visión (tanto por personas como por IA) o su detección vía radiofrecuencia. Siguió describiendo los drones que ha montado y que ya explicó en ediciones pasadas. Para cada uno de ellos fue describiendo las mejoras que les fue añadiendo. Y ahora tocaba una nueva implementación. Expuso cómo ha creado una nueva implementación de modulación y para la que le dedicó mucho tiempo para explicarlo, incluyendo la placa/chip que ha utilizado: MT7628. Después encendió el dron que trajo, y al cual le había atado un cordel largo no fuera a ser que se dirigiera a la pantalla del cine donde estábamos. Tuvo algunas dificultades para encenderlo, a las que le quitaba importancia haciendo chistes y tal situación estresaba mucho a Román. Además, el dron haciendo musiquita mientras estaba arrancando. Cuando hubo encendido y David se dispuso a volarlo, alzó el vuelo dos segundos para inmediatamente después caer a plomo al suelo, con un gran alivio para Román.

Aquí acabó la edición de RootedCon 2023, despidiéndose todo el equipo y voluntarios en el escenario, y a los que espero poder ver el año que viene:

RootedCon 2023 - Equipo y voluntarios de RootedCon 2023
RootedCon 2023 - Equipo y voluntarios de RootedCon 2023

viernes, 10 de marzo de 2023

RootedCon 2023: Crónica del segundo día

Antes de entrar a la sala me encontré de nuevo, como ayer, con un antiguo compañero de la empresa donde estoy, Víctor. Ayer no tuve oportunidad de ponerlo aquí. ¡Y de hoy no pasa!

Antes de iniciar la charla Román ha mostrado un montaje del logo del año pasado y algunas BSOs 

RootedCon 2023 - Román Ramirez con el logo de RootecCon 2022
RootedCon 2023 - Román Ramirez con el logo de RootecCon 2022

La primera charla, "Ataques bluetooth: de la teoría a la práctica... Hay un trecho " en esta segunda jornada la he visto en la sala 25. La han dado Jesús María Gómez y Antonio Vázquez, pertenecientes al equipo de @Tarlogic.

RootedCON 2023 - Antonio Vázquez y Chema Gómez
RootedCON 2023 - Antonio Vázquez y Chema Gómez

Han explicado cómo funciona bluetooth de una forma muy resumida y simple para poder contar su charla: los dos tipos de bluetooth (LE, BR/EDR), host y controler, master y slave... Entre medias han puesto un vídeo "broma". Así, han explicado dos tipos de ataques que no son sencillos de ejecutar: BIAS (suplantación de equipos) y KNOB (un MITM). Uno de los problemas está en el cifrado y el conseguir forzar que la clave de cifrado se reduzca al mínimo posible y además que entre ambos dispositivos se acepte ese tamaño. Después nos han presentado el dispositivo que han implementado, BlueTrust, que consigue hacer un mayor acercamiento a esos ataques y una demo.

La siguiente charla la ha presentado Andrés Soriano (@osintares) y Javier Rodríguez (@Javiover). "HUMINT (HUMan INTelligence) against the hacker".

RootedCON 2023 - 03 Javier Rodríguez y Andrés Soriano
RootedCON 2023 - Javier Rodríguez y Andrés Soriano

Se trata de obtener información a través de personas, pero no acaba siendo realmente ingienería social. Para conseguir la información o que haga ciertas cosas se pueden hacer varias entrevistas o hacerle ver algunas cosas que le induzcan a pensar cosas que no son ciertas. Por ejemplo, que se crea que va a hacer unos trabajos para las FCSE pero realmente no es así. Muy parecido a las entrevistas de RRHH y headhunters. Han puesto un ejemplo ficticio de una persona que ha pasado del periodo de entrevista, a hacer trabajos, a ver que puede haber algo ilegal a los problemas que eso le acarrea (por ejemplo: paranoia).

Después hicimos un pequeño descanso porque nos pasamos de tiempo. 

De vuelta a la sala 25, Agustín Muñoz-Grades y Álvaro López: "Retos de seguridad en entornos multi cloud"

RootedCON 2023 - 04 Agustín Muñoz-Grandes y Álvaro López
RootedCON 2023 - Agustín Muñoz-Grandes y Álvaro López

Han hecho una introducción con las diferentes consideraciones de seguridad en esos entornos y las estadísticas que hay con respecto a este tema: incidentes, problemas, costes... También han incidido en los tipos de nubes y ventajas y desventajas de las mismas. Ha mostrado una demo de cómo lo gestionan en Accenture y qué herramientas han montado para llevar a cabo el control y vigilancia de la infraestructura que ellos están usando.

En la siguiente charla, Alejandro Ramos y Félix Brezo han contado su charla "DoubleDragon: la doble extorsión en el post-incidente"

RootedCON 2023 - Alejandro Ramos y Félix Brezo
RootedCON 2023 - Alejandro Ramos y Félix Brezo

La expresión "double" es por el cifrado de la información y su exfiltración. Incluso mencionan un tercero: la denegación de servicio. Y han puesto ejemplos bastante mediáticos. Han clasificado el tipo de filtrado: estructurado como las bases de datos o en bruto; ficheros y carpetas tal cual. Se han centrado en estos últimos: qué se han llevado, a qué ya quién afecta, qué es lo más relevante, etc. Y han estructurado distintas fases: identificar los indicios, artefactos como ejecutables sospechosos o extensiones de ramsonware conocidas, etc... Evidencias de datos transferidos... Han mostrado la demo de una herramienta opensource que es capaz de analizar los datos que hay analizar para identificar de una forma más sencilla qué en la estructura que contienen de una forma automática.

Después nos fuimos a comer, entre otros David (@esferared). Y antes de ir a la siguiente ponencia me encontré con Lorenzo (@lawwait) y tuve oportunidad de hablar unos minutos con él.

En la siguiente charla Chema Alonso (@chemaalonso) ha expuesto "Deepfake: are you talking to me?"

RootedCON 2023 - Chema Alonso
RootedCON 2023 - Chema Alonso

Ha recordado ponencias pasadas relacionadas con el deepfake. También ha hablado de cómo se pueden recuperar audios de los altavoces inteligentes. A partir de ahí ha derivado en las distintas pruebas que han hecho con distintos sistemas de IA que han ido apareciendo que permiten clonar la voz y cómo se pueden saltar sistemas de 2FA que usan la voz. Juntando esos audios con otros sistemas de deepfakes de vídeo se puede acabar engañando al espectador. Nos ha enseñado una herramienta que está en desarrollo que intenta detectar si se está ante algún tipo de deepfake o no.

La siguiente ponencia la han dado Antonio Sanz (@antoniosanzalc) y Javier García (@jagaher) titulada "Detecta o muere!"

RootedCON 2023 - Javier Garcia  y Antonio Sanz
RootedCON 2023 - Javier Garcia  y Antonio Sanz

Nos han hablado de detección de incidentes, cómo se debería de montar el sistema evaluando y demensionando qué tráfico y cantidad de datos harán falta para poder hacer un análisis. Muy importante usar protocolos como zeek y como mínimo syslog. Es muy importante normalizar los resultados de logs de cada sistema para facilitar el análisis porque nativamente cada uno los genera como quiere. Y muy importante poner en formato UTC las horas y fechas. Asumiendo que se perderán cosas y que habrá falsos positivos que harán perder tiempo, identificar y detectar al atacante. Hay que actuar de acuerdo a lo que se encuentra y reforzar según lo que se va aprendiendo. Para cada una de las secciones que ha tenido la charla han puesto ejemplos de situaciones que han tenido. 

Después del descanso fui a la sala 18, donde Sandra Bardón expuso su ponencia "We are all mad here": cómo crear una infra potente de red teaming.

RootedCON 2023 - Sandra Bardón
RootedCON 2023 - Sandra Bardón

Ha empezado contando cómo se debería planificar la infraestructura de un red team. Además de tener que usar varios servidores para cada miembro del equipo por si uno se detecta poder levantar otro rápidamente, también recomienda recompilar el software que se use eliminando/cambiando el user-agent. Lo importante es evitar dejar huella o dejar la menor posible. 

La siguiente y última charla de la sala 18, donde me quedé, la ha dado Antonio José Sánchez (@T0n1sm) y estaba relacionada con clonado de tarjetas RFID.

RootedCON 2023 - Antonio Sánchez
RootedCON 2023 - Antonio Sánchez

No ha tenido mucho tiempo para exponer. Ha contado los dos tipos de tarjetas que hay según las frecuencias con las que trabajan (13,56 MHz y 125 KHz) y las diferencias entre ambas: si almacenan información, distancias en las que operan, etc. Nos ha mostrado algunos aparatos que son capaces de hacer el clonado y muy por encima algunos sectores y formas de acceder a las claves que almacenan y que son necesarias para hacer los ataques.

Al finalizar han hecho unos sorteos que tenían planeados, momento en el que cerré porque no tenía posibilidad de participar.