viernes, 6 de marzo de 2020

Crónica jornada I - RootedCon 2020

Un año más he tenido la oportunidad de asistir al evento de seguridad RootedCon. Además, como de costumbre, he llegado bien pronto por lo que he tenido la oportunidad de saludar a la organización (Chencho, Arantxa, Román, Omar, Alberto...) sin ningún problema antes de que llegasen los 1.200 asistentes que de media vienen todos los años. Incluso he podido ayudar a Chencho a enseñarles a los voluntarios cómo identificar a los asistentes. También he podido hablar dos minutos con Nuria y Noelia, de Eventos Creativos. Minutos después me encontraría con Julián (@tXambe) y Joseba (@josepalbors). Además, más adelante, después de una taza de té, nos encontraríamos con David (@esferared). O ver a Pablo (@PYDotCom). ¡Incluso por la tarde me encontraría con Longinos (@l0ngin0x)!


Hemos empezado con la key-note, en la que Román (@patowc) ha sido el maestro de ceremonias.

RootedCon 2020 - Román (y de fondo el resto del equipo RootedCon)
RootedCon 2020 - Román (y de fondo el resto del equipo RootedCon)

Se ha mostrado un pequeño clip como parodiando el problema del coronavirus. Además de mostrar las fotos de los integrantes de la organización y los valores que la conforman. No se ha olvidado de mostrar los distintos patrocinadores de este año, muy importantes para poder tener todo lo que tenemos al precio que pagamos y que si fuese más caro sería difícil que muchos pudiéramos asistir. También nos ha mostrado la foto de una cepa para hacer la broma de "COVID-19" pero... Era de la Yersina Pestis (peste negra). Y para finalizar ha adelantado un poco el tema del RootedPanel: GoodJob e #include.

La primera exposición la ha hecho Jesús Jara López.

RootedCon 2020 - Jesús Jara López - Live coding
RootedCon 2020 - Jesús Jara López - Live coding

Nos ha explicado qué es el live coding. Se trata de crear música a través de lenguajes de programación y que se ejecutan mientras se codifica por lo que esa composición va evolución en directo. Esta forma de crear música ayuda a desarrollar la creatividad. Nos ha hablado de distintos proyectos que van enfocados a este fin, como es Sonic Pi (otros son tidalcycles, foxdot, extempore, hydra, ixi lang). En general cada proyecto está basado en un lenguaje de programación ya conocido (JAVA, python, C, etc). Es muy importante que el público vea cómo se va codificando la composición en directo por lo que proyectarlo (o mostrar la pantalla del código) es indispensable. El resumen: la transparencia es fundamental. Eso no quita que alguna estrategia pueda estar pregrabada. También nos ha descrito algunas conferencias internacionales, como la ICLC relacionadas con esta práctica. Los conciertos que se hacen con esta música se les llama "retro rave". Y nos ha hecho una pequeña demo que nos ha dejado a (casi) todos con la boca abierta.


Después del concierto Gonzalo Asensio y Pablo Vera nos han hablado de la cerveza "Hackers ciberbeers".

RootedCon 2020 - Gonzalo Asensio y Pablo Vera - Hackers ciberbeers
RootedCon 2020 - Gonzalo Asensio y Pablo Vera - Hackers ciberbeers

Han iniciado la charla hablando de un viaje que hicieron a la India y que les dijeron que acabarían haciendo cerveza (quedando ellos bastante... que no se lo creían). Tiempo después acabaron decidiendo hacerla con la condición de tirar de hacerlo como un proyecto de pensamiento lateral y las distintas maneras de solucionar los problemas. Se propusieron varios objetivos: disfrutar haciendo el proyecto (y la cerve), hacer comunidad, una bebida sin ánimo de lucro y respectar tanto el medio ambiente como el comercio local. Para cada paso que necesitaban hacer lo asociaron a algún tipo de ataque o técnica o... (nombre X que se le quiera dar): OSINT y Google Dorks para buscar cómo hacer cerveza, footprinting para buscar fábricas en España, XSS y escalada de privilegios (cambio de fábria a una más grande), scanning (registrar la marca), enumeración, exploiting (los distintos tipos de recetas, bebidas, lúpulos, maltas)... Resumen: nos mostraron la marca de la cerveza y la posibilidad de probarla allí en Rooted.

Al acabar esta charla pudimos hacer un descanso de media horita en el que la mayoría de la gente fue por las famosas conchas Codan. La verdad: yo me esperé un buen rato mientras me comía unas cuantas galletas que me hice hace unos cuantos días.

La primera charla después de este descanso la dio Stefano Maccalia, de RSA.

RootedCon 2020 - Stefano Maccalia - The enemy of your enemy is not your enemy
RootedCon 2020 - Stefano Maccalia - The enemy of your enemy is not your enemy

Después de presentarse ha descrito cómo ataca el equipo de incident response de su empresa las investigaciones en las que se involucran. El caso inicial que nos cuenta es de un cliente gubernamental que se ha encontrado con un problema. Para poder hacer la investigación les montan un entorno a parte para que puedan continuar trabajando mientras que les dejan el entorno real inalterado para poder averiguar cuál es el problema. Además de mostrarnos las evidencias que alertaron al cliente de que algo no marchaba bien también nos ha enseñado capturas de la tabla $MFT que les dio más pistas de por dónde estaba el problema: ficheros interesantes. También se investigaron los eventos del sistema y de los distintos proxys, firewalls... En algunos casos se encontraron con filas eliminadas o alguna máquina con un administrador de sistema y permisos para hacer prácticamente todo. Se encontraron con varios droppers (un fichero procedente de un phissing, que a su vez se descargaba otro...). El resumen: describió un DFIR de un incidente y lo solucionaron. El caso es que a su vez se encontraron con trazas de algo que no cuadraba y el cliente les informó que eran restos de un incidente anterior que ya "habían solucionado". Pero meses después descubren que hay un tráfico BITS raro y la conclusión a la que llegaron tras investigarlo es que un atacante se estaba aprovechando o atacando a otro. Algunos rastros que se encontraron en este segundo caso: una web shell (un tanto especial) en el servidor OWA de la empresa.

En este punto del evento, Francisco Hernández Cuchí, nos ha hecho una metacharla de ciberseguridad.

RootedCon 2020 - Francisco Hernández Cuchí - Metacharla de ciberseguridad
RootedCon 2020 - Francisco Hernández Cuchí - Metacharla de ciberseguridad

Ha empezado la charla durante unos minutos con una forma cómica. Nos ha hablado de un zero day en el visor de imágenes de Windows. Ha acuñado la frase "los datos también son un programa". La idea que tuvo era que mientras que se distrae a una persona viendo una imagen comprometida por detrás se esté ejecutando el código malicioso. Nos habla de la empresa Zerodium y de su proceso para recibir y pagar los bounties de los zero days encontrados. Pero nunca llegó al final del mismo. Se ha mostrado un vídeo (para mí lo era) que simulaba un Skype a tres. Ha hecho un pequeño juego para que escribamos por Twitter y con ello ha creado una de frases. En las charlas hacer falta ser uno mismo. elegir un logo y lema (si se puede), poner vídeos, elegir imágenes en grupo...

Cuando Francisco hubo terminado nos fuimos todos a comer. Como si en la zona del Kinépolis hubiese pocos sitios (eso sí: tienen que alimentar a 1.200 personas y eso no debe de ser muy fácil).

En la sobremesa, antes de que Chema Alonso (@chemaalonso) empezase, Fernando nos habló de su instituto privado de FP en el que estaban buscando una enseñanza reglada y oficial relacionada directamente con la ciberseguridad y no como contenido adicional.
Tras esa breve inciso, Chema pudo iniciar su exposición.

RootedCon 2020 - Chema Alonso - El club de los poetas muertos
RootedCon 2020 - Chema Alonso - El club de los poetas muertos

Chema recuerda una broma que publicó en el día de los Santos Inocentes de 2010 relacionada con estegoganografía (nunca sé escribirlo bien) y la FOCA. Y esta charla la planeó en 2015: aquí algunos atacantes posicionaban sus aplicaciones, en un estado inocuo. Para convertir las aplicaciones en malignas se usaban varias formas: actualizando el código fuente, comprando las aplicaciones o incluso robándolas (o un poco de todo). La idea era hacer un proveedor de aplicaciones para hacer un bot. Con el bot se podría perfilar los distintos usuarios que las instalaban. Y para poder mandar los comandos se usaba estego... Vamos, las imágenes. Así, nos ha descrito los permisos de Android de aquel entonces y la problemática que tenían (y siguen teniendo, habida cuenta del número de móviles con las versiones de ese sistema operativo de entonces que siguen instaladas). Con los permisos se podían conseguir el número de teléfono directamente (leyendo, por ejemplo, los SMSs) o directamente la tarjeta SIM. Otra problemática estaba con el sistema OAuth y los ataques tipo SAppo que ya nos contaron en su momento. Nos ha hablado de una herramienta, llamada mASAPP que avisa a las empresas que la tienen contratada que alguna de las aplicaciones que han autorizado en sus propios móviles está a la venta (y por lo tanto, puede acabar con código malicioso por parte del nuevo propietario). Además, también ha puesto énfasis en la problematica que tiene cuando la cuenta de e-mail asociada a la cuenta de desarrollador caduca, por ejemplo, porque esta persona fallezca. Esa cuenta acabaría libre para que cualquiera la pudiera crear y terminar recuperando la contraseña del repositorio de la aplicación. Ha hecho una demo para exfiltrar datos pasando comandos a través de un banner.


Aquí empezamos el RootedPanel: #Include y la fundación GoodJob.

RootedCon 2020 - RootedPanel - #Include y Fundación GoodJob
RootedCon 2020 - RootedPanel - #Include y Fundación GoodJob

Se debate sobre las posibilidades que tienen los discapacitados para acceder a trabajos relacionados con la ciberseguridad. Luis Fernández (de la revista SIC) ha hecho de moderador y nos ha hablado de la fundación GoodJob. En el panel han participado Román, Miguel Angel (de Incibe), Yolanda (de Telefónica), Susana (ATOS), Enrique (WestCon) y César (del propio GoodJob). De hecho, César ha empezado con una presentación más en profundidad del proyecto "#include": se busca incorporar al mercado laboral personas que no tienen por qué tener nivel técnico (como un jardinero, ejemplo que han estado poniendo) y que tengan algún tipo de discapacidad. Un proyecto muy ambicioso en el que se quiere dar la formación express (y de choque) de 5 semanas para que esas 100 personas elegidas puedan entrar a trabajar durante un tiempo determinado en una empresa y que en 9 meses acaben en la plantilla de esa empresa. Además de enseñarles, la idea es que no acaben separados de la sociedad. Les hace falta personas con mucha motivación para poder enseñar los conocimientos que les harán falta a estas personas para empezar en ese nuevo puesto. Han recordado que un 70% de las discapacidades son sobrevenidas (accidentes). El cliente quiere resultados. Si se ha reconocido que aunque no lo desean en ocasiones si se produce cierto sesgo o prejuicios. También se ha comentado las posibles barreras que puedan aparecer, incluyendo las herramientas que tengan que utilizar para su día a día. "Todos somos especiales" y es muy importante "el espíritu de superación".

En este punto llegamos a otro descanso, en el que también nos sirvieron unas buenas conchas Codan.

Después de este descanso me he mudado a otra sala donde Yago Jesús (@yjesus), Jose Antonio Esteban y David Revova) nos han hablado de ataques con mandos inalámbricos para coches (y garajes).

RootedCon 2020 - Yago Jesús, José Antonio Esteban y David Revova - Car Hacking
RootedCon 2020 - Yago Jesús, José Antonio Esteban y David Revova - Car Hacking

Como se puede ver, nos explicaron todo con un coche en la sala. En el car hacking se usan muchas veces el mismo código fuente que funciona en un coche con los demás (y de vez en cuando, cuela). Nos han hablado de mandos de garaje: desde los que iban por infrarrojos, pasando por los que tiran de radiofrecuencia con un único código (y los problemas que conlleva) llegando hasta los que cambian de código (o ya puestos, los que dicen que cambian pero realmente no cambian: rolling o random). Nos muestran las distintas formas que había de abrir coches: rompiendo el cristal, con un cordel, haciendo el vacío con una pelota de tenis... Y copiando la clave que envía el mando. También explican muy, muy rápido cómo funciona que se detecte que la llave está dentro del coche y no se quede "encerrada" o la distancia del RFID para que se abra (o arranque) sin sacar la llave del bolsillo. Han hecho una demo de apertura del coche. Y otra en la que han arrancado el coche sin estar la llave dentro (en la que le avisará al conductor de ese hecho pero podrá seguir moviéndose). Y han hecho otra demo de GPS spoofing, en la que algún valiente ha dicho que lo ha probado. Además, nos han enseñado un aparato que se conecta al ODB2 del coche y que con una tarjeta SIM se consigue escuchar todo lo que sucede dentro. O esa demo en la que a través de la radio AM/FM han sido capaces de enviar a varias frecuencias muy conocidas un mensaje de audio (por ejemplo, para acordarse de su familia por la pirula te ha hecho otro conductor) o ponerle un stream de música.

Y para finalizar la primera jornada, Gonzalo Carracedo (@batchdrake) nos ha hablado de los protocolos de los contadores digitales.

RootedCon 2020 - Gonzalo Carracedo - Atacando contadores digitales
RootedCon 2020 - Gonzalo Carracedo - Atacando contadores digitales

En esta ocasión Gonzalo nos ha explicado que esta investigación la empezó a partir de otra (de Miguel Seijo, Gregorio López y José Ignacio Moreno). Nos ha explicado cómo funciona el sistema de energía en España (generación, transporte, distribución [donde se encuentran los contadores] y comercialización). Nos explica qué pueden hacer los contadores digitales. Su comunicación está construida o ideada para que funcione por PLC. Por lo tanto, nos termina hablando de dos protocolos PLC muy extendidos y usados: PRIME y DLMS/COSEM. Y cómo está construida su seguridad. Si PRIME tiene dos perfiles y uno de ellos es capaz de migrar al otro que además no aporta ninguna seguridad por ir todo en claro... En la demo tenia montado un sistema de cuatro contadores. Ha usado un kit para hacer las pruebas y le entregaban un sniffer específico. En sus demos y pruebas ha conseguido sacar datos de otros contadores que no se correspondían con sólo el suyo.

Y así ha sido la primera jornada. Mañana viernes (aunque ya hace unos minutos que hemos cambiado el día!) más.

No hay comentarios:

Publicar un comentario