sábado, 30 de marzo de 2019

Crónica RootedCon 2019: Día 2

Hoy hemos tenido otra jornada muy intensa en la RootedCon 2019. Además, dos libros han tenido una buena relación en este día. Uno, el libro de Pablo F. Iglesias (@PYDotCom) "25 + 1 relatos distópcos", que ya que le iba a ver me lo llevé para que me lo dedicara. Y el otro ha sido la compra de un libro recién salido de 0xWord (@0xWORD) "Arduino para hackers: pocs & hacks just for fun" que de chiripa he leído en el desayuno que salía a la venta justo hoy. Y he podido adquirirlo casi cuando Nuria y Noelia estaban montando el stand de venta de libros. Recién salido del horno como se dice.

La primera charla, "I know you P4$$word (and if not, I can guess it)", la han dado Pablo Caro Martín y Jaime Sánchez.

RootedCon 2019 - Pablo Caro Martín y  Jaime Sánchez - I know your password (and if not I will guess it)
RootedCon 2019 - Pablo Caro Martín y  Jaime Sánchez - I know your password (and if not I will guess it)
Han explicado la razón por la que han hecho el proyecto que van a presentar, comenzando por varios leakages muy históricos y épicos (varios de Yahoo, Asley Madison, Friend Finder, Badoo y muchos otros). Después han dado también una pincelada de la historia del crackeo de contraseñas sin dejarse Jhon the Ripper, HashCat, las rainbow tables, diccionarios, etc. También han recordado el uso de SpyCloud y de HaveIBeenPwned o las diferencias entre encoding, hasing y cifrado. Ni que decir tiene que tampoco se han olvidado de mencionar los términos de keyspace, hashrate y cracking time. Además de mostrar más términos muy comunes en el descubrimiento de contraseñas (diccionario, fuerza bruta, ataques de máscara, reglas) han puesto varios ejemplos del tiempo que se tardaría en romper una contraseña para recuperarla. Una de ellas hasta 4 años. La herramienta que nos han mostrado, Kaonashi es una interfaz web que permite buscar todos los leakages recuperados y ver los datos en claro a partir de los filtros deseados. Así se obtiene una inteligencia de cómo una persona determinada construye sus contraseñas lo que permitiría reducir los tiempos de crackeo cuando otras técnicas no han funcionado. Y así, poco a poco ir afinando las máscaras y reglas que se apliquen en las herramientas de crackeo. Han puesto ejemplos relacionados con el encoding de las contraseñas (ASCII vs UTF-8) y su relación con cómo se pueden escribir ciertas palabras en algunos idiomas los cuales tienen varias grafías para el mismo vocablo.

Después de esta charla, el equipo de PWC (@pwc_espana) formado por César Tascón Álvarez, Juan Carlos Díaz y Javier Urtiaga nos han hablado de una respuesta ante incidentes en la que participaron para ayudar a un cliente suyo.


Cada uno de ellos actuando como el equipo al que pertenecían en dicho incidente: blue, orange y red. El incidente en cuestión era muy crítico dado que era una compañía de gas. y mucho más teniendo en cuenta que era fuera de España (República de Abssetia). Su primera idea era bajar las probabilidades del ataque que se sospechaba que se iba a producir o en la medida de lo posible aminorar las consecuencias de producirse el mismo. Siempre sospechando que había un insider dentro por lo que todas sus actuaciones se hacían con toda la discreción posible. Hicieron una hoja de ruta de cinco pasos, para los cuales cada miembro del equipo tenía unas tareas determinadas. 1) Ver el estado actual nada más llegar monitorizando todos los datos posibles internos y públicos además de acotar la superficie de ataque. 2) Protección, detección, respuesta y recuperación de los entornos dañados en el caso de producirse el incidente que se preveía inminente. Además de estudiar un posible contraataque por parte de "rojo". Coordinación total entre los tres equipos. 3) Aquí intentaron buscar al insider y capturarlo. Blue seguía protegiendo, detectando y de ser necesario responder. Sobretodo conseguir que los backups no se pudieran comprometer para poderlos usar cuanto antes de ser necesario. Seguían la regla de no confiar en nadie. Se encontraron un controlador de dominio con un comportamiento muy raro que descargó cosas raras. Montaron un honeypot en el que el atacante cayó. 4) Para la toma de control nos contaron que tuvieron discusiones entre los distintos equipos de cómo actuar. Aquí desconectaron todos los elementos y sistemas para poco a poco irlos poniendo en producción revisando que estaban "limpios". Además, ya tenían identificado al atacante pudiendo hacerle un forense. 5) Restauración de los sistemas y puesta a punto dado que algunos llevaban muchisimo tiempo sin actualizar revisando que estaban bien. 

Un año más, Alfonso Muñoz (@mindcrypt) ha tenido la oportunidad de contarnos otro sus estudios que tanto esfuerzo le lleva. 

RootedCon 2019 - Alfonso Muñoz - Reviving Homograph attacks using (deep learning) asteroids
RootedCon 2019 - Alfonso Muñoz - Reviving Homograph attacks using (deep learning) asteroids
Se busca usar machine learning para aplicarlo a la seguridad ofensiva en los ataques clásicos tipo nmap, SQLMap, Deep Exploit, etc. Tampoco se ha dejado en el tintero los PassCAN, herramienta que permite hacer mutación en passwords. Con respecto a estas últimas tenemos los ataques unicode y homográficos (confusables) en los que dos representaciones muy similares (si no iguales) realmente son letras distintas. Por ejemplo, para las grafías de otros idiomas como el cirílico. Un ejemplo de algunos de estos ataques anteriores es representar la "S" en ASCII o en unicode. Nos ha hablado del estándar punycode que fuerza a que los caracteres unicode se muestren de otra forma a los usuarios y que estos no se lleven a engaño pensando que lo que se les muestra es una información cuando se trata de otra. Ha conseguido generar un diccionario de este tipo de confusables con machine learning comparando "visualmente" los caracteres ASCII con unicode.  Ha presentado su herramienta uriDeep. También ha enseñado tres casos reales donde se pueden usar este tipo de ataques: en URLs (maliciosas), en el plagio de textos (por ejemplo, en tesis doctorales) y en la esteganografía. Para esos ejemplos ha enseñado el comportamiento de los navegadores y de los clientes web de distintos correos gratuitos. Por no olvidarnos de las distintas mensajerías instantáneas como Skype, Twitter, WhatsApp, etc). O la posibilidad de poder engañar a PlagScan y Turnitin, herramientas que buscan plagios en los documentos que se les mandan. Ha dejado caer la pregunta el por qué después de tanto tiempo que se conocen estos ataques siguen saliendo a la luz.

La siguiente charla la ha dado Gianluca D'Antonio (@infosecadvocate). 


RootedCon 2019 - Gianluca D'Antonio - Working cybersecurity: truths and lies behind the trincee
RootedCon 2019 - Gianluca D'Antonio - Working cybersecurity: truths and lies behind the trincee
De las primeras que comenta es que los encargados de buscar las ofertas de trabajo para perfiles de seguridad no saben nada. Ha dado algunas pinceladas de los números de las posiciones y ofertas de empleoen ciberseguridad. Además de no dejarse los perfiles que hay en auge ahora mismo. Es muy necesario que se les explique las cosas a los gestores que no saben. Además, no se ha olvidado de las posiciones imposibles que se piden (un ejemplo que no ha puesto exactamente, pero como ejemplo: joven de 25 años con 10 años de experiencia en...). Nos ha enseñado un robot tipo IoT, Pilos, que suministraba las pastillas necesarias (los medicamentos recetados por el doctor de cabecera) y que guardaba en los servidores del fabricante todos los datos de salud y clínicos. Dicho aparato no se llegó a vender por los problemas de seguridad que tenía porque nadie se molestó en analizarlo. Todo a colación de lo que ya se ha contado en otras Rooted: se montan electrodomésticos de estos sin tener a nadie capacitados que tengan en cuenta la seguridad. Ha hablado de cómo se percibe a un profesional y ha recomendado dos libros: "The future of world affairs technology volume one" por Abishur Prakash y "Working in cybersecurity" por Michael Tanji.

Después de comer con Pablo, la organización le ha dado paso al equipo de Mr. Looquer (@mrlooquer) antes de la charla planeada. . 

RootedCon 2019 - Mr Looquer - Attacker is looking at you, don't look the other way
RootedCon 2019 - Mr Looquer - Attacker is looking at you, don't look the other way

Con el título Attacker is looking at you, don't look the other way, permiten a partir de tu conexión saber un scoring de seguridad para buscar qué tienes expuesto en tu red. Se ha mencionado openscoring.org. La idea es buscar qué se tiene expuesto sin querer. Además de poder poner un dominio que te analiza se puede usar con los servidores cloud (AWS, Azure, Google Cloud). 

Tras de este inciso empezó la charla que se esperaba después de comer, la de Chema Alonso (@chemaalonso).

RootedCon 2019 - Chema Alonso - A hacker's gotta do what a daddy's gotta do
RootedCon 2019 - Chema Alonso - A hacker's gotta do what a daddy's gotta do
La charla de Chema iba sobre la exposición de los críos que tenemos en la familia a la tecnología. Y la idea del proyecto que nos ha presentado vino por sus hijas. Ha reconocido que las ha expuesto mucho a los gadgets. Nos ha enseñado dos vídeos, en cada uno de ellos venia una de sus niñas. Y ha montado una herramienta y gadget que permite protegerlas cuando están navegando. Nos ha mostrado varios protocolos como SafePost que permite traducir SMSs a una red IP (por ejemplo, si la conexión a internet se cae). O también SecondChannel que trabaja sobre GSM. A partir del gadget que han construido han definido un 2nd factor web browsing. Un móvil se conecta a otro dispositivo y este último es el que encarga de validar que se está recibiendo lo que se espera. Si no es así, el cliente web original mostrará un mensaje que indica al usuario (en el caso en concreto, a sus crías) que tienen que avisar a un adulto. Ha hecho varias demos. 

Al final Chema, Raul Siles (del que ya hablaré de su charla más adelante), Alfonso Muñoz y (¡¡me dejo a alguien!!) nos han contado su proyecto CriptoCert (@criptocert). 

RootedCon 2019 - CriptoCert
RootedCon 2019 - CriptoCert
La primera certificación mundial en la materia sobre criptografía, después de casi dos años de duro trabajo para tenerla lista. El CCN-Cert la reconoce.

Una vez terminaron exponernos la nueva certificación, Daniel Martínez (@dan1t0), que trabaja en IOActive (@ioactive), nos ha hablado de aplicaciones móviles para controlar aparatos en aviones.

RootedCon 2019 - Daniel Martínez - IoP: The Internet of Planes / Hacking millionaires jet planes
Tal y como hemos comentado antes, también lo ha expuesto Dani: el IoT es muy chulo pero suele carecer de seguridad. Y en los aviones se sigue la misma filosofía: muy chulo el control de las cosas en cabina (música, vídeos, temperatura, etc) pero muy poca seguridad. Estos elementos siempre están separados de los controles del propio vuelo. Nos ha hablado de varias aplicaciones móviles que sirven para lo mismo, y ha dado la casualidad de que al destriparlas están hechas por la misma persona/empresa (como si estuviese subcontratada). Las vulnerabilidades pueden afectar tanto al pasaje como al personal de vuelo ya que hay distintos funcionamientos dependiendo del rol que se seleccione en la aplicación. Además de decompilar las aplicaciones ha conseguido simular un entorno como si se encontrase en un avión para poder seguir buscando más fallos dinamicámente y poder explotarlos. Además de aprovecharse de la información que le daba el modo "demo" pudo analizar ese código fuente obtenido al decompilar el .apk y al analizar la red con un sniffer como Wireshark. La herramienta para decompilar utilizada: jadx. Se encontró con que la ejecución de la aplicación está construida en pasos (steps) y según los resultados de cada uno de esos pasos iba tirando del hilo. Descubrió cadenas json y que la aplicación hacía solicitudes de ficheros y carpetas a un servidor ftp llegando a montar la estructura de datos perfecta en uno montado por él mismo engañando a la aplicación. Por lo que, entre otras cosas, la aplicación no validaba que los datos recibidos procedieran de una fuente fiable.

Y la última charla del día la han dado Rául Siles (@dinosec y @raulsiles) y Mónica Salas (@monicasalasbla) y era sobre DNSSEC.

RootedCon 2019 - Mónica Salas y Raul Siles - Hype Potter and the Chamber of DNSSECrets
RootedCon 2019 - Mónica Salas y Raul Siles - Hype Potter and the Chamber of DNSSECrets
Nos han hablado sobre cómo implantar este protocolo y cómo protegerse frente a ataques. Además de hablarnos de escenarios aún viables. Uno de los mayores enemigos de la seguridad es la retrocompatibilidad. Es muy importante centrarse en lo que existe ahora y funciona y olvidarse las cosas muy recientes y muy novedosas (del hype). Dos vulnerabilidades que han sido atajadas por DNSSEC: el MiTM y el DNS (caché) poisoning. Nos han explicado cómo funciona por dentro este protocolo y los han dado los números de su implantación actualmente. Han hablado de un ataque se produjo hace un tiempo a uno de los 13 nodos raiz y conocido como DNSSpionage, pero que finalmente no tuvo éxito por el DNSSEC. Aunque este protocolo tampoco es suficiente porque los registrars de dominios no suelen pedir un segundo factor de autenticacion y la transferencia de dominios no está securizada por el protocolo. Han mostrado los intentos de firmas de varias zonas en unos cuantos dominios que tienen mostrando distintos resultados según sus características, entre otros, dependiendo de los registrars donde se encontraban. Se encontraron con que a la hora de hacer algunos cambios en el sistema (operadores, firmas, etc) el cifrado se deshabilitaba en vez de mantenerlo hasta actualizar a la nueva firma, que podía tardar un tiempo en establecerse. El sitio dnviz.net muestra un diagrama con la cadena de firma. Además, han comparado varios algoritmos de firmas. Han destripado varios campos o flags del protocolo. Además nos han mostrado cómo tuvieron problemas para probar con un router de su operadora los DNSs de CloudFare (1.1.1.1) porque parece ser que había operadores que usaban esa dirección internamente o para redes privadas. Además de descubrir que se forzaba a deshabilitar DNSSEC desde el propio cliente. En vivo y en directo han publicado una herramienta, dnssecchef, que permite manipular el tráfico DNSSEC forzando a que se muestre en el tráfico de red que éste existe (sin que sea cierto) y al revés.

Y esta ha sido segunda jornada de RootedCon 2019. Mañana sábado nos vemos!!







No hay comentarios:

Publicar un comentario